Mejoras de Arquitectura en Windows 2000

Las mejoras de arquitectura en Windows 2000 incluyen cambios en los tipos de funciones de servidor disponibles y en el tipo de confianzas de dominio utilizadas; nuevo soporte para dispositivos, Plug and Play (PnP), gestión de energía y, por supuesto, la inclusión del servicio Active Directory. Sin embargo, todos estos cambios implican que algunas aplicaciones y controladores existentes pueden no funcionar bajo la nueva arquitectura de Windows 2000.

Los controladores de dominio y los papeles de servidor en Windows 2000

En Windows 2000, los tipos de papeles de servidor son ligeramente diferentes a los disponibles bajo Windows NT. Los servidores Windows NT 4 pueden tener uno de cuatro papeles: controlador primario de dominio (PDC, Primary Domain Controller), controlador de reserva del dominio (BDC, Backup Domain Controller), servidor miembro y servidor independiente.

Los dominios Windows NT están basados en un solo maestro, con el PDC sirviendo como almacén maestro para un dominio dado. Todos los cambios realizados al dominio deben ser llevados a cabo por el PDC. Los BDC se utilizan para hacer copias de seguridad del PDC y también reducen la carga en el PDC prestando, ellos mismos, servicio a las peticiones de los clientes. Los BDC mantienen una copia actualizada del dominio sincronizándose periódicamente con el PDC y pueden asumir el papel del PDC si este servidor falla o esta fuera de servicio.

Los servidores miembro son simplemente servidores Windows NT que pertenecen a un dominio Windows NT y normalmente trabajan compartiendo archivos o compartiendo impresoras o ejecutando algún otro tipo de software de servidor, como Web, Sistema de nombres de dominio (DNS, Domain Name System) o software servidor de Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol).

Los servidores independientes son servidores Windows NT que no pertenecen a un dominio Windows NT sino que son parte de un grupo de trabajo. Es importante comprender que aunque un servidor independiente no pertenece a un dominio Windows NT, no esta limitado en sus funciones como servidor. Aun puede operar como DNS, DHCP a otro tipo de servidor, pero, por definición, no puede ser PDC o BDC.

Las funciones del servidor miembro y del servidor independiente son las mismas en Windows 2000 y en Windows NT, pero las funciones del PDC y del BDC son reemplazadas por una única función de un controlador de dominio (DC, Domain Controller). Si, los dominios en Windows NT están por fin basados en múltiples maestros, con todos los DCs de Windows 2000 actuando parejos unos con otros. Cualquier DC puede realizar cambios al dominio cuando sea oportuno. Toda la información del dominio se almacena en el Active Directory, que gestiona las replicas entre todos los controladores de dominio. La parte negativa es que los DCs de Windows 2000 no pueden existir en un dominio Windows NT hasta que el PDC del dominio se actualice a Windows 2000.

Los servidores miembro Windows 2000 y los servidores independientes pueden ser ascendidos al nivel de controlador de dominio, y los controladores de dominio pueden ser degradados a servidores miembro o a servidores independientes sin reinstalación del sistema operativo como ocurre en Windows NT.

Active Directory

Active Directory es probablemente la característica nueva mas importante de la familia Windows 2000 Server. Es un servicio de directorio ampliable, fácilmente administrable y tolerante a fallos, que es requerido por los controladores de dominio Windows 2000 y también es recomendable para su uso en servidores DNS Windows 2000.

Dominios de Active Directory

Aunque Active Directory no hace cambios fundamentales en la forma en que funcionan los dominios en Windows 2000 de cara a los usuarios finales, introduce algunas estructuras de dominio importantes que podrían afectar a la forma de aproximarse al diseño del dominio. Active Directory, al igual que el servicio de directorio de Windows NT, utiliza dominios como unidades principales de la estructura lógica. Los dominios ayudan a organizar la estructura de la red ajustándose a la organización de la empresa, ya sea política o geográficamente. Cada dominio requiere al menos un DC (preferiblemente más) para almacenar la información del dominio, siendo cada DC un maestro del dominio.

Los dominios Windows 2000, a diferencia de los dominios Windows NT, usan nombres DNS para los nombres de dominio. Al igual que los dominios DNS, los dominios Windows 2000 están organizados jerárquicamente. En Active Directory, los grupos de dominios con un espacio de nombres contiguo organizados jerárquicamente se llaman árboles, mientras que las agrupaciones de árboles con espacio de nombres no contiguos se llaman bosques.

Sitios, dominios estructurales y unidades organizativas

Active Directory también introduce los conceptos de sitios, dominios estructurales y unidades organizativas. 

• Un sitio se define como un grupo de una o mas subredes con Protocolo Internet (IP) que comparten conectividad LAN. Dentro de un sitio puede haber uno o mas dominios, o un dominio único puede abarcar múltiples sitios. 
• Los dominios estructurales son dominios que no contienen cuentas; simplemente sirven como raíz para dominios hijos de nivel mas bajo. Como tales, los dominios estructurales facilitan la reestructuración de los dominios hijos y también hacen que la replica entre dominios sea mas fácil y rápida, ya que todos los dominios simplemente se replican con el dominio estructural, que actúa como algo parecido a un concentrador de replicas.
• Las unidades organizativas (OU, Organizational Unit) son muy similares a los dominios en el hecho de que tienen contenedores para objetos de red tales como cuentas de usuarios y recursos. Sin embargo, a diferencia de los dominios, no marcan un limite de seguridad y no requieren controladores de dominio. Las OU de Active Directory proporcionan una forma excelente de proporcionar organización en un dominio sin la necesidad de directivas de seguridad y controladores de dominio adicionales. también se pueden convertir fácilmente en dominios y los dominios pueden convertirse fácilmente en OU, lo que los hace flexibles.

Relaciones de confianza en Active Directory

Las relaciones de confianza implicaban cierta dificultad si se trataba de múltiples dominios Windows NT. Windows 2000 simplifica esta labor.

* Una confianza unidireccional se puede establecer en ambas direcciones.

Una relación de confianza es un mecanismo por el cual los usuarios de un dominio pueden ser autentificados por un controlador de dominio en otro dominio. Entre unos y otros dominios Windows NT, todas las confianzas son no transitivas, lo que significa que cada confianza es una relación en un único sentido que debe ser establecida explícitamente. Para que dos dominios confíen mutuamente, se deben establecer dos relaciones de confianza por separado, -una en cada sentido. Una confianza no transitiva también esta estrictamente limitada. Por ejemplo, supóngase que un dominio Finanzas confía en un dominio Administración y el dominio Fabricación confía en el dominio Administración. Cuando se involucran confianzas no transitivas esta afirmación dice solamente que Finanzas y Fabricación permiten al controlador de dominio en Administración autenticar usuarios. No dice nada acerca de la relación entre Finanzas y Fabricación. Ni tampoco indica si Administración, a su vez, permite a Finanzas o Fabricación autenticar usuarios. Cada relación de confianza debe ser establecida separada y explícitamente.

Windows 2000 permite el concepto de confianzas transitivas. Las confianzas transitivas son siempre de dos sentidos. Además, cuando se crea un dominio secundario, Windows 2000 establece automáticamente una confianza transitiva entre el dominio secundario y el dominio principal. Sin embargo, las confianzas transitivas no entran en escena hasta que se eliminan todos los controladores Windows NT del dominio y el dominio se cambia explícitamente al modo nativo. Mientras los controladores Windows NT están activos, el dominio esta en el modo mixto predeterminado, lo cual es necesario para que los DC de Windows 2000 se repliquen con los BDC de Windows NT.

Soporte de hardware

Windows NT siempre ha sido muy particular con respecto al hardware. Los usuarios de Windows 95 y Windows 98 han disfrutado mucho del amplio soporte para controladores de dispositivos, PnP, Gestión de energía, IEEE 1394 (Firewire) y Bus serie universal (USB, Universal Serial Bus), el más reciente en Windows 95 OSR 2.1 y Windows 98. Los usuarios de Windows NT carecen esencialmente de todo lo citado, aunque disponen de otras ventajas.

Windows 2000 introduce un buen soporte para PnP, USB, IEEE 1394 (Firewire) y la configuración de dispositivos y gestión de energía configuración avanzada a interfaz de energía (ACPI, Advanced Configuration Power Interface), también se ha mejorado enormemente el soporte de dispositivos, aunque Windows 2000 todavía soporta menos dispositivos que Windows 95/98. (Hay excepciones, como el soporte de impresoras. Casi todas las impresoras soportadas bajo Windows 98 y Windows NT 4 se soportan en Windows 2000). En la mayoría de los casos, si el dispositivo es soportado bajo Windows NT 4, también será soportado por Windows 2000. Sin embargo, esto mismo no siempre es cierto para Windows 95/98, así que conviene comprobar la Lista de hardware compatible (HCL, Hardware Compatibility List) o contactar con el fabricante del dispositivo para determinar si el dispositivo es soportado bajo Windows 2000.

En la actualidad, se requiere BIOS compatible con ACPI para un uso completo de PnP y Gestión de energía. Se soportan la Administración avanzada de energía (APM, Advanced Power Management) heredada y las BIOS PnP, pero sus funciones son limitadas.

Los controladores de dispositivos en Windows 2000 han cambiado para mejorar la estabilidad del sistema al incrementar el numero de dispositivos soportados. Ahora se soporta el Modelo de controlador de Win32 (WDM, Win32 Driver Model), lo que permite a muchos controladores funcionar de forma intercambiable en Windows 2000 y Windows 98. también se soporta la firma de controladores de dispositivo (Device Driver Signing), y los controladores que no han sido verificados y firmados digitalmente por Microsoft activan una alerta cuando se instalan (Los administradores también pueden crear directivas para evitar que se instalen controladores sin firma). También se han realizado cambios en el modelo de controlador para evitar la inestabilidad del sistema y facilitar el PnP y la Gestión de energía, lo cual impide desgraciadamente que algunos controladores Windows NT funcionen en Windows 2000. Además, la Gestión de energía y el PnP no están disponibles con los controladores de Windows NT 4.

Como en Windows NT 4, los controladores de dispositivos elaborados para Windows 95, 3.x o MS-DOS no funcionan en Windows 2000.

Soporte de software

El soporte de software es un área en la cual Windows 2000 tiene algunos aspectos de compatibilidad. Al igual que Windows NT 4, es posible que Windows 2000 experimente problemas de compatibilidad con programas para MS-DOS y Windows 3.x (especialmente con algunos que accedan directamente al hardware). Las aplicaciones para Windows 95/98 que no se soporten explícitamente en Windows NT o Windows 2000 también pueden convertirse en problemas. Casi todas las aplicaciones para Windows NT 4 se ejecutan bajo Windows 2000.

La actualización de un sistema existente basado en Windows 95/98 presenta complejidades adicionales debidas a que los distribuidores tienen a menudo diferentes versiones de su software para Windows 95/98 y Windows NT/2000, o porque la misma aplicación se instala de diferente manera dependiendo del sistema operativo implicado. Consecuentemente, algunas aplicaciones requieren archivos de migración suministrados por el distribuidor (paquetes de actualización) durante la actualización del sistema operativo.

Planificación de una actualización del Dominio

La actualización de un dominio Windows NT a un dominio Windows 2000 requiere una considerable planificación incluso antes de ejecutar el Programa de instalación de Windows 2000 en el primer equipo. Algunos equipos, como los PDC y los BDCs, deben ser actualizados en un orden especifico, siendo el PDC el primero a actualizar. Otros equipos, como los servidores miembro y servidores independientes Windows NT, además de equipos cliente, pueden actualizarse en cualquier momento antes o después de la actualización del dominio propiamente dicho.

Antes de comenzar la actualización de un dominio Windows NT existente, es importante evaluar la red actual y planificar el enfoque que se quiere tomar para la actualización. 

Documentación de la red existente

El primer paso en la planificación de la actualización de un dominio in situ es documentar la estructura de la red actual. Para hacerlo de esta manera es necesario tomar nota del modelo del dominio existente, las confianzas existentes, el numero y la ubicación de los controladores de dominio, los dominios de cuentas y recursos, los espacios de nombres DNS actualmente en uso, los servidores de aplicaciones y algunos servidores Windows NT 3.51. 

La actualización de un dominio in situ es la actualización de un dominio que se realiza dejando el dominio intacto también se pueden actualizar los dominios eliminando el PDC del dominio, dejando que los BDCs suministren los servicios. Hay que actualizar el PDC a Windows 2000, probarlo y, entonces, devolverlo al dominio de la producción.

• El modelo de dominio existente: El tipo de estructura del dominio, o modelo, que los dominios Windows NT existentes utilizan determina como implementar los árboles y bosques de Active Directory de Windows 2000.

  • Dominio único: Un único dominio Windows NT.

  • Maestro único: Un dominio de cuentas y múltiples dominios de recursos.

  • Múltiples maestros: Múltiples dominios de cuentas con confianzas bidireccionales entre ellos y múltiples dominios de recursos que confían en todos los dominios maestros.

  • Confianza completa: Cada dominio es un dominio de recursos y un dominio de cuentas, con cada dominio confiando en cada uno de los otros dominios.

• Relaciones de confianza existentes: Ya que las relaciones de confianza se preservarán durante el proceso de actualización, es conveniente comprobar y documentar que relaciones de confianza existen actualmente.

• Ubicación y número de controladores de dominio: Hay que determinar dónde están localizados los PDC y todos los BDC. El PDC se debe actualizar primero. Los BDC pueden actualizarse después y, obviamente, no pueden desempeñar sus funciones deseadas durante la actualización.

• Dominios de cuentas y dominios de recursos: Hay que registrar el numero de dominios de cuentas y dominios de recursos actuales, también conviene registrar como están configurados estos dominios e ir pensando si se desea realizar una reestructuración del dominio antes o después de la actualización de la red a Windows 2000.

• Espacios de nombres DNS: Si la empresa ya ha implantado algún DNS se deberían documentar cuidadosamente los espacios de nombres actualmente en uso. Los dominios no se pueden renombrar una vez creados y deben ser únicos en la red, así que es importante tener nombres de dominios que no hayan sido usados en la organización.

• Servidores: Un paso crucial y a veces olvidado en la documentación de una red es hacer un inventario de los servidores de aplicaciones. Esto incluye todos los servidores DNS, DHCP y WINS, así como servidores de aplicaciones como servidores Exchange, servidores SQL, servidores proxy, etc. DNS es un servicio requerido en un dominio Windows 2000 nativo, así que se debería dedicar algún tiempo a determinar si se quieren usar servidores DNS existentes para este propósito, implantar nuevos servidores DNS o usar controladores de dominio como servidores DNS, que es lo que recomienda Microsoft.
  También conviene examinar algunos servidores NetWare en el entorno y determinar si se quiere sincronizar Active Directory con Servicios de directorio de Novell (NDS, Novell Directory Services). también se deberían revisar las notas de la versión incluidas en el CD-ROM de Windows 2000 Server para comprobar algunos aspectos de compatibilidad con la versión de NetWare.
  Los servidores de aplicaciones como Exchange, SQL o servidores de medios también deberían evaluarse para comprobar la compatibilidad con los nuevos dominios Windows 2000. La mayoría de los servidores no presentaran problemas, pero es una buena oportunidad para comprobar doblemente, además de volver a evaluar las funciones de estos servidores y su eficacia en la red.

• Servidores Windows NT 3.51: Los servidores Windows NT 3.51 presentan problemas en un dominio Windows 2000 lo que hace generalmente inadecuado su uso, así que la estrategia de actualización debe tener en cuenta la actualización o inutilización de servidores que se ejecutan en Windows NT 3.51. Entre los problemas se incluyen servidores de aplicaciones Windows NT 3.51 tanto negando acceso a inicios de sesión de usuarios o grupos, como concediendo incorrectamente acceso a usuarios o grupos que tienen el acceso denegado. Estas dificultades se producen a causa de la forma en que Windows NT 3.51 genera testigos de acceso cuando un usuario inicia sesión en el sistema.

Elaboración de un plan de recuperación

Después de evaluar la situación de la red actual, hay que concebir un plan de recuperación para el caso en el que algo vaya mal durante la actualización del dominio. Si falla la actualización a Windows 2000 del PDC y no hay ningún BDC disponible, el dominio entero puede venirse abajo. Es importante tener un plan de copias de seguridad satisfactorio para estas y otras situaciones.

Comprobación de que todos los dominios tienen al menos un BDC

Es necesario asegurarse de que todos los dominios que se planea actualizar poseen al menos un BDC, además del PDC, para evitar que el dominio se quede huérfano si falla la actualización a Windows 2000 del PDC. Además, antes de actualizar el PDC, hay que asegurarse de que se sincroniza el PDC con todos los BCDs.

Realización de copias de seguridad de todos los equipos antes de actualizar

Es de sentido común hacer una copia de seguridad de los sistemas antes de actualizarlos. Aunque esto es quizás demasiado cauteloso en algunos sistemas de escritorio Windows NT, es realmente importante en servidores, especialmente en los controladores de dominio. Además, hay que asegurarse de que se verifican las copias de seguridad; no hay nada mas inútil que una cinta con copias de seguridad estropeada.

Sincronización de todos los BDCs con el PDC

Hay que sincronizar el PDC con todos sus asociados de replica antes de actualizarlo. Si el PDC falla durante la actualización del dominio, se puede ascender un BDC a PDC y el dominio no perderá ninguno de los cambios.

Utilización de un BDC desconectado para la copia de seguridad

Tener los BDCs recientemente sincronizados y nuevas copias de seguridad del PDC en cinta servirá de protección ante muchos desastres. Además, desconectar un BDC recientemente sincronizado antes de actualizar el PDC es un buen seguro. Esto proporciona una copia de seguridad del dominio como se encontraba antes de comenzar el proceso de actualización a Windows 2000 operativa y rápidamente disponible. Si el PDC actualizado replica información de dominio defectuosa a los BDCs o el dominio resulta dañado de alguna otra forma, tener una copia de seguridad desconectada permite retroceder y comenzar de nuevo. Si se registran todos los cambios realizados en el dominio después de desconectar el BDC, se puede incluso retroceder en los cambios antes de conectar de nuevo el BDC (si ocurre un desastre) y no perder los cambios en el dominio.

Para preparar un BDC para que actúe como una copia de seguridad del dominio sin conexión hay que sincronizar el BDC que se desea utilizar con el PDC del dominio, hacer copia de seguridad en ese BDC y desconectar después el cable de red del BDC. Si se produce un desastre serio durante la actualización del PDC a Windows 2000 y es necesario recuperar el estado del dominio antes de Windows 2000, hay que degradar todos los DCs Windows 2000 que haya en la red, volver a conectar a la red el BDC desconectado, ascender el BDC anteriormente desconectado a PDC y sincronizar después el resto de la red con el. Esto devolverá al dominio al estado en que se encontraba inmediatamente antes de desconectar el BDC.

Todos los cambios realizados en el dominio después de desconectar el BDC con la copia de seguridad se perderán si se vuelve a conectar el BDC y se asciende a PDC.

Planificación del árbol de Active Directory

Existen varios pasos que se deberían realizar a la hora de planificar el árbol de Active Directory, incluyendo la definición del espacio de nombres del DNS y la creación de la estructura del árbol inicial.

Definición del espacio de nombres

Cuando se ha decidido cómo implementar un espacio de nombres DNS, normalmente es necesario decidir si se va a utilizar un espacio de nombres DNS existente y se va a crear el dominio raíz con un nombre de dominio existente o si se va a crear un nuevo dominio raíz y su espacio de nombres DNS asociado. La decisión es crucial porque el dominio raíz no se puede eliminar o renombrar fácilmente.

Con estos antecedentes, la siguiente lista resume las tareas necesarias para definir a implementar el espacio de nombres.

• Decidir si se puede utilizar un nombre de dominio existente para el dominio raíz o si es necesario crear uno nuevo.
• Si se va a utilizar un nuevo nombre de dominio, hay que determinar que restricciones existen en el proceso de selección de nombres y utilizar los canales apropiados para escoger el nombre del dominio.
• Configurar el dominio raíz para crear el nivel superior del espacio de nombres, con una pareja de controladores de dominio para tener redundancia.
• Configurar uno o mas servidores DNS para el árbol del dominio raíz. El servidor DNS necesita soportar el registro de recursos de servicio (el registro de recursos DNS para la especificación de la ubicación de los servicios) y debería soportar también, idealmente, actualizaciones dinámicas. Microsoft recomienda instalar el DNS en cada controlador de dominio y almacenar la información de la zona en el Active Directory.
• Añadir el resto de dominios como dominios secundarios para el dominio raíz. Es un excelente momento para realizar una reestructuración del dominio, o al menos para consolidar algunos de los dominios de recursos en las OU.

Creación de la estructura inicial del árbol

Una vez tomadas las decisiones sobre el espacio de nombres DNS es el momento de planificar el árbol de Active Directory con detalle. Se asumirá que se tiene un bosque con un único árbol, con todos los dominios compartiendo un espacio de nombres contiguo. En la practica, muchas empresas necesitaran utilizar un bosque con múltiples árboles, cada uno con su propio espacio de nombres. Sin embargo, el proceso no es diferente; cada árbol se construye y se añade al bosque de la misma forma.

El primer dominio que se actualice a Windows 2000 (o que se cree si se utiliza un modelo de múltiples dominios maestros que no se presta a una consolidación bajo uno de los dominios actuales) ha de ser necesariamente el dominio raíz. El dominio raíz almacena la configuración y el esquema de todo el bosque de Active Directory y no se puede cambiar de nombre o eliminar.

Adaptación a modelos de dominios específicos

En Windows NT hay disponibles cuatro modelos de dominios.

• Modelo de un Único dominio: El modelo de un único dominio es fácil de actualizar: el único dominio bajo Windows NT se convierte en el dominio raíz en Active Directory bajo Windows 2000. Se pueden utilizar después las OU para organizar las cuentas y los recursos y para delegar parte de la carga administrativa.
• Modelo de dominios de un solo maestro: Si existe un modelo de dominios de un solo maestro, hay que hacer que el antiguo dominio maestro sea la raíz del árbol y añadir los dominios de recursos como dominios secundarios de la raíz. Si la empresa posee una estructura de red centralizada, se podría tomar en consideración la reestructuración de los dominios en un único dominio después de haber actualizado el dominio y cambiado a modo nativo. Se pueden utilizar OU bien para imitar los dominios de recursos o para organizarlos de forma mas lógica, con las cuentas y los recursos agrupados y organizados en concordancia con la estructura de la empresa.
  Mezclar los dominios de recursos de nuevo en un único dominio ofrece varias ventajas. Como hay menos dominios que administrar, la carga administrativa es menor. Se pueden utilizar las OU para crear una estructura de red detallada sin la necesidad de tratar con confianzas. Además, se puede delegar autoridad administrativa a las OU, lo que proporciona la flexibilidad para gestionar las tareas administrativas de la forma deseada. Las consultas de Active Directory también se realizan mas rápido y de forma mas eficiente en un único dominio. Finalmente, como las OU no requieren controladores de dominio, existe el potencial para liberar algunos de los recursos informáticos infrautilizados para dedicarlos a otras tareas.
  Una empresa con una organización mas descentralizada, o una con diferentes unidades de negocio, podría desear mantenerse fiel a los múltiples dominios pero convertir sus dominios de recursos en dominios hechos y derechos, tanto con recursos como con cuentas. (Con Active Directory no hay motivo para mantener dominios de recursos distintos). Esta solución permite a los usuarios estar en el mismo dominio que los recursos que utilizan, lo que reduce el trafico y facilita a los usuarios la búsqueda y el acceso a los recursos que necesitan. Sin embargo, se debería esperar hasta que la red se convirtiera al modo nativo de Windows 2000 antes de trasladar las cuentas porque las confianzas transitivas facilitan bastante el traslado de cuentas entre dominios y este tipo de confianza solo esta disponible en un dominio en modo nativo. Como alternativa se puede establecer una confianza bidireccional entre los dominios de recursos y el dominio principal, pero normalmente tiene mas sentido esperar hasta que todos los dominios trabajen en modo nativo.
  Algunas soluciones de terceros pueden proporcionar mucha de esta flexibilidad organizativa en Windows NT 4, con la intención de permitir a las empresas reestructurar sus dominios de forma que  funcionen correctamente con Active Directory antes de trasladarlos a Windows 2000.
• Modelo de dominio principal múltiple: Debido a la flexibilidad y a las ventajas que ofrece el modelo con un único dominio, muchas empresas con un modelo de dominio principal múltiple optan por consolidar sus dominios en un único dominio Windows 2000, utilizando las OUs para estructurar jerárquicamente su red. Si se opta por fusionar los dominios, primero se debería realizar la actualización del dominio de igual forma que si se fuera a preservar las estructura de dominios existente y, entonces, realizar la fusión de dominios solo después de actualizar la red al modo nativo después de que los dominios estén en modo nativo, todas las cuentas se pueden trasladar a un único dominio sin la necesidad de volver a asignar los permisos sobre los objetos.
  Si se desea crear un árbol con un único dominio (con un espacio de nombres contiguo) durante la actualización del dominio, se puede utilizar uno de los dominios existentes como raíz del árbol, o se puede crear un nuevo dominio raíz y añadir el resto de los dominios maestros como sus hijos. Se puede considerar la utilización de un dominio estructural para este dominio raíz. Primero hay que actualizar o crear el dominio raíz. Una vez que existe el dominio y trabaja con un par de controladores de dominio, hay que actualizar el resto de los dominios y añadirlos al árbol.
  Si se desea mantener cada dominio maestro con un papel autorizador, se puede crear un bosque con múltiples árboles, con cada dominio maestro sembrado como la raíz de un nuevo árbol del bosque. En este caso, no importa que dominio maestro se actualice primero, pero se debe actualizar cada dominio maestro de cada árbol antes de actualizar los dominios de recursos que se piensen añadir al árbol.
  El modelo de dominio principal múltiple se utiliza ampliamente en grandes organizaciones por un par de motivos. Primero, porque permite que la red crezca mas allá de los límites del Administrador de cuentas de seguridad (SAM, Security Accounts Manager), el único que utiliza los dominios únicos y los dominios de un solo maestro. El SAM de Windows NT se almacena en el registro del sistema y, cuando crece por encima de los 40 Mb, la degradación del rendimiento se vuelve evidente. Esto implica que el límite practico de un dominio es de 40.000 objetos, con un máximo de 20.000 cuentas de usuarios. Para poder tener mas cuentas de usuarios a objetos, Microsoft recomienda la migración a un modelo de dominio principal múltiple.
  El segundo motivo por el cual las empresas utilizan dominios principales múltiples bajo Windows NT es para poder tener sitios de red físicamente diferentes que no posean conexiones de red de área local (WAN, Wide área Network) lo suficientemente rápidas y fiables como para permitir que tenga lugar la replica de controladores de dominio sin consumir una cantidad inapropiada del ancho de banda de la WAN. La utilización de un dominio maestro en cada sitio permite superar esta carencia de conectividad adecuada, dado que entre dominios de cuentas maestros no hay replica y todo el ancho de banda de la WAN queda disponible para otros usos.
  La tercera razón para utilizar una estructura de dominios Windows NT con múltiples maestros es reflejar la organización de la empresa en los casos en los que diferentes partes de la empresa necesitan controlar sus propios recursos y usuarios. Cada dominio de cuentas maestro puede tener su propio administrador o se puede centralizar la administración, dependiendo de los deseos de la empresa.
  Active Directory de Windows 2000 trata estos asuntos con efectividad, permitiendo a muchas empresas migrar a un modelo de un único dominio (o al menos reducir el numero de dominios) y ganar las ventajas que ofrece ese modelo. Active Directory almacena toda la información del dominio en su base de datos (que es externa al registro y puede aumentar su tamaño con libertad), de forma que cada dominio almacene su panel del directorio completo en lugar de que un servidor almacene todo el esquema de la red, lo que permite que el dominio crezca hasta aproximadamente un millón de objetos. No se necesita otro dominio; toda la organización se puede realizar con OUs. también se pueden crear múltiples sitios físicos con un único dominio que abarque todos los sitios y una replica entre sitios configurada para hacer el mejor use de los enlaces WAN lentos.
• Modelo de confianza o relación completa: El modelo de confianza completa de Windows NT se utiliza muy a menudo en empresas muy descentralizadas o en empresas que han ido implementando dominios poco a poco y conectándolos de forma gradual. El modelo proporciona bastante autonomía y flexibilidad en cada dominio maestro, pero también conlleva una gran carga administrativa.
  Al igual que con el modelo de dominio principal múltiple, muchas empresas, cuando actualicen un dominio que utiliza el modelo de confianza completa a Windows 2000, intentaran consolidar sus dominios en un único árbol o incluso en un único dominio. Sin embargo, si se desea mantener la autonomía de la estructura de dominios actual del modelo de confianza completa, se puede configurar cada dominio maestro actual como un nuevo árbol o (si es necesario) como un nuevo bosque. Cuando se crea una estructura Active Directory como esta se reduce automáticamente la cantidad de administración necesaria, dado que todas las confianzas entre dominios en un árbol o bosque Active Directory son automáticamente transitivas.
  Las confianzas transitivas no tienen efecto hasta que los dominios se convierten al modo nativo de Windows 2000.
  Cuando se actualiza el dominio, hay que crear primero el dominio raíz creando un nuevo dominio (estructural o normal) o actualizando un dominio existente y sembrándolo como la raíz del árbol Active Directory. Una vez que la raíz este funcionando con un par de controladores de dominio, se puede pasar a actualizar el resto de dominios y a añadirlos como hijos del dominio raíz o como raíces de nuevos árboles o bosques. Si es necesario, después de actualizar todos los dominios y cambiar al modo nativo de operación, se pueden reemplazar todas las confianzas de un sentido al estilo de Windows NT por confianzas transitivas para limitar el acceso dentro de un bosque o para proporcionar a dominios externos acceso a dominios específicos del árbol o del bosque.
  Una confianza de un único sentido también se puede configurar para permitir que un dominio heredado Windows 3.51 o NT 4 o un dominio secundario de otro bosque (como, por ejemplo uno que pertenezca a un socio del negocio) acceda a un dominio especifico del árbol o del bosque. Cuando se establece una confianza en un único sentido explicita en Windows 2000, funciona de forma idéntica que las confianzas en Windows NT, esto es, la confianza no es transitiva. Si se concede a un dominio acceso a un único dominio del árbol o del bosque, el dominio en que se confía no puede acceder a ningún otro dominio del árbol, aun cuando el árbol este enlazado con confianzas transitivas.

Planificación de la topología de un sitio

Los sitios, una nueva característica importante de Windows 2000, definen los limites de la conectividad LAN, haciendo mas eficientes los enlaces WAN. Cuando se configuran sitios que delimitan las secciones de la red que tienen conectividad de alta velocidad, Active Directory ajusta la forma en que utiliza los enlaces WAN reduciendo la frecuencia de replica entre sitios y dirigiendo las peticiones de servicio de los clientes (como inicios de sesión clientes o búsquedas en el directorio) a los controladores de dominio que estén disponibles localmente.

Los sitios son independientes de los dominios. Mientras que los dominios generalmente duplican la estructura organizativa lógica de la una empresa, los sitios duplican la estructura física de la red de una empresa. Un único sitio puede consistir en uno o mas dominios, árboles o incluso bosques, y un único dominio puede abarcar múltiples sitios. Un sitio puede consistir en una única subred IP (lo que es a menudo el caso, porque las subredes marcan con frecuencia los limites de la red física) o en múltiples subredes IP, pero todas las subredes deben compartir una conectividad fiable de alta velocidad para poder ser parte de un único sitio.

En estos días de los enlaces WAN con modo de transferencia asíncrona (ATM, Asynchronous Transfer Mode), cada vez es más común que el enlace WAN de una empresa sea tan rápido (o algunas veces mas rápido) que la LAN interna. Sin embargo, la carga del enlace WAN podría estar basada en el uso, o una empresa podría utilizar el enlace principalmente para tareas en tiempo real con un uso intensivo del ancho de banda como el video, lo que reduce el ancho de banda disponible. En tales casos, aun se puede establecer una estructura de sitios para el bosque Active Directory, para evitar sobrecargar el enlace WAN con una replica o peticiones de servicio excesivos.

A la hora de planificar la actualización de un dominio Windows NT a Windows 2000, es importante planificar la topología del sitio para que se pueda configurar la estructura del sitio sin demora después de la actualización. Conviene plantearse las siguientes cuestiones y registrar las respuestas:

• ¿Qué sitios será necesario crear en el bosque Active Directory?
• ¿Qué enlaces hay disponibles entre esos sitios, y cómo son de rápidos y caros? ¿Se utilizan ya intensamente o hay disponible abundante ancho de banda?
• ¿Se han planificado enlaces entre los sitios?
• ¿Existen dominios que abarcaran sitios físicos y, si es así, son suficientemente rápidos los enlaces entre los sitios como para soportarlo?

Hay dos tipos de conexiones disponibles para la replica entre sitios: RPC síncrono de baja velocidad punto a punto y el Protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer Protocol). Cualquier dominio que abarque varios sitios debe tener al menos una conexión RPC síncrona de baja velocidad entre los sitios incluidos en el dominio. Se requiere esta conexión porque no se puede utilizar SMTP para una replica intensiva entre controladores de dominio en el mismo dominio; sólo se puede utilizar SMTP para replicar el esquema, la configuración y la información del Catalogo global. Por lo tanto, si se tienen dominios con varios sitios, hay que comprobar dos veces el enlace entre los sitios para asegurarse de que se dispone de la conectividad adecuada para esta configuración.

Las empresas que utilizan el modelo de dominio principal múltiple o el de confianza completa bajo Windows NT escogerán normalmente un dominio existente para utilizarlo como la raíz de su árbol Active Directory. Sin embargo, algunas organizaciones podrían optar por utilizar un dominio estructural como raíz de su árbol, con los anteriores dominios maestros como dominios secundarios.

Un dominio estructural es simplemente un dominio sin cuentas de usuario ni recursos -existe puramente para formar la estructura del dominio (de ahí el nombre) además de ayudar a una replica entre dominios fácil y eficiente. Los dominios estructurales se pueden utilizar para proporcionar una estructura de dominios adecuada para una futura reestructuración más a fondo. Si se sitúan uno o más niveles de dominios estructurales en el árbol Active Directory, se proporciona un ancla inalterable en el árbol de dominios, bajo la cual se pueden trasladar dominios secundarios sin alterar la estructura de dominios de nivel superior. Al mismo tiempo, el dominio raíz estructural actúa como un escudo ante el mundo de forma que los cambios en la complejidad quedan ocultos tras el.

Los dominios estructurales también son útiles para la replica entre sitios, especialmente cuando se accede o se replica el Catálogo Global (CG), que es el catálogo maestro de todos los objetos de la porción de Active Directory del dominio del host y un catalogo parcial de objetos almacenados en otros dominios. Si se dispone de mas de un sitio, se puede optar por crear un dominio estructural en la raíz que abarque todos los sitios y mantenga una copia del CG de cada sitio. (también se debería almacenar una copia del CG en el dominio local de nivel mas alto de cada sitio y utilizar el dominio estructural simplemente como un enlace entre los sitios). Disponer de un CG en el sitio permite que los dominios locales de todos los sitios se concentren en el procesamiento y réplica de la información interna del sitio, dejando que el dominio estructural realice toda la réplica entre sitios.

La utilización de dominios estructurales para la réplica también facilita la configuración y el mantenimiento de los vínculos de réplica. Los dominios secundarios simplemente se replican hacia arriba, hacia el dominio principal, obviando la necesidad de conocer el nombre de cada dominio con el que necesitan replicarse.

Desarrollo de una estrategia para la actualización

Después de documentar la infraestructura de red existente, realizar un plan de recuperación y diseñar los árboles y sitios Active Directory, es el momento de juntarlo todo y crear el plan real de actualización. 

Comprobación de que el PDC es suficientemente potente

Hay que comenzar la actualización del dominio examinando cuidadosamente el PDC actual. Aunque Windows 2000 utiliza controladores de dominio principales múltiples parejos, el primer controlador de dominio conserva servicios extra que, en algunos casos, no se pueden trasladar fácilmente a otros controladores de dominio. Entre estos servicios se incluyen el servidor del Catalogo global, el Maestro de operaciones y el emulador de PDC. (El emulador de PDC proporciona servicios para clientes Windows NT y Windows 95/98 y también realiza algunas tareas en un entorno Windows 2000 puro). En otras palabras, todos los controladores de dominio son iguales, pero el primer controlador de dominio de Windows 2000 es un poco mas igual que los otros, por lo que puede ser deseable que esa máquina sea especialmente rápida y potente.

Creación del nuevo dominio raíz antes de actualizar el PDC

Si se esta migrando desde un modelo de dominio principal múltiple o de confianza completa y se desea crear un nuevo dominio para que trabaje como la raíz del árbol de dominios, es necesario hacerlo antes de actualizar el PDC. Una vez que se haya creado el nuevo dominio y este funcionando con un par de controladores de dominio (además de todos los nuevos sistemas o instalaciones limpias), se puede actualizar el PDC y unirlo a este nuevo árbol como dominio secundario.

Actualización del PDC primero

El primer servidor que ha de ser actualizado debe ser el PDC Windows NT del dominio de cuentas que se quiera utilizar como la raíz del nuevo árbol Active Directory. Esto es cierto tanto si el árbol que se esta creando es el primero del bosque o el número veinte del tercer bosque; siempre es necesario actualizar el PDC primero si se desea actualizar el dominio Windows NT en lugar de crear un nuevo dominio.

Actualización de los BDC a continuación

Conviene actualizar todos los BDCs del dominio tan pronto como sea posible tras el comienzo del proceso de actualización. Este paso permitirá cambiar el dominio al modo nativo de Windows 2000 y obtener los beneficios administrativos del modo nativo cuanto antes.

Cuando se actualice un BDC a Windows 2000, se replicará con el primer controlador de dominio que pueda alcanzar. Si en el anterior PDC, ahora Windows 2000, el controlador de dominio no esta disponible, el BDC tratará de configurarse como el primer controlador Windows 2000 del dominio, creando serios problemas cuando el primer controlador de dominio vuelva a estar disponible. Hay que asegurarse de que el primer controlador de dominio Windows 2000 es visible en la red cuando se actualiza un BDC.

Actualización de los servidores miembro y de los clientes de forma independiente

Los servidores miembro y las estaciones de trabajo se pueden actualizar cuando se desee, o bien antes o bien después de actualizar el dominio a Windows 2000. Los clientes Windows 2000 y los servidores miembro funcionan perfectamente bien con los dominios Windows NT; sin embargo, no pueden acceder a los beneficios de Active Directory hasta que el dominio se actualice.

Programación apropiada de la actualización del dominio

Hay que programar la actualización del dominio para un momento en que tenga el menor impacto en la población de usuarios. Aunque probablemente sea una vana esperanza, es mejor evitar las actualizaciones durante los proyectos mas importantes y en las épocas mas ocupadas del año. Incluso las actualizaciones perfectas producen algún impacto en los usuarios, especialmente si se realiza una reestructuración o consolidación de los dominios.

Preparación de los Dominios y de los Equipos para la actualización

El primer paso de la actualización a Windows 2000 es preparar los dominios y los equipos. Este importante paso hará mas eficiente el proceso de actualización para que transcurra con los menos contratiempos posibles.

Preparación de los dominios

Para preparar los dominios para su actualización a Windows 2000 hay que asegurarse de que todos los servidores que se piensan actualizar ejecutan Windows NT 4. también es buena idea hacer limpieza de directorios y cuentas de usuario para eliminar la basura anticuada. Cuando se actualiza el dominio a Windows 2000, todas las cuentas de usuario se trasladan al Active Directory -y aunque el Active Directory es extremadamente dimensionable, consume una buena parte del espacio del disco duro-. No tiene sentido almacenar las cuentas deshabilitadas y las no utilizadas indefinidamente, por lo que es mejor eliminarlas antes de actualizar. Conviene vaciar y limpiar los directorios no utilizados y desinstalar el software caducado. Hay que desactivar las confianzas que no se deseen preservar. Se debe sincronizar el PDC con todos los BDCs a implementar después el plan de recuperación, incluyendo la desconexión de uno de los BDC de la red.

Preparación de los equipos

Para preparar los equipos para la actualización, hay que seguir estos pasos en cada equipo involucrado:

1. Comprobar los requisitos de sistema de Windows 2000 para asegurarse de que el equipo los cumple. Solo porque el equipo satisfaga los requisitos mínimos de sistema no significa necesariamente que este preparado para las tareas previstas para él.
2. Comprobar la HCL en la carpeta Support del CD-ROM de instalación de Windows 2000. Si el sistema no aparece en la lista, hay que comprobar la HCL en el sitio Web de Microsoft (http://www.microsoft.com/hwtestlhcl/). Si existen controladores actualizados para el hardware hay que descargarlos y copiarlos a un disquete o a un disco local para poder utilizarlos durante la instalación, si fuese necesario. Si un componente del sistema no aparece en la HCL de Microsoft, se puede visitar el sitio Web del fabricante o contactar con el fabricante del dispositivo para ver si hay disponibles controladores actualizados. En general, es mejor reemplazar los componentes que no aparezcan como 100 por 100 compatibles.
3. Leer los archivos lealro.txt y leame.doc incluidos en el CD-ROM de Windows 2000 para obtener detalles sobre aplicaciones y sobre el hardware.
4. Desinstalar cualquier programa de protección antivirus que haya instalado, a menos que se sepa que funciona bajo Windows 2000 sin modificaciones.
5. Realizar y verificar una copia de seguridad de todo el sistema.
6. Crear o actualizar el disco de reparación de emergencia o el disco de inicio de Windows 95/98.
7. Registrar la configuración del hardware del sistema para tenerla como referencia en caso de que se produzca un conflicto o problema con el hardware. Entre los elementos a registrar se incluyen los dispositivos instalados, las IRQ, la configuración de los puentes y las configuraciones de discos duros.
8. Desactivar el duplicado de disco si se esta utilizando. (Se puede activar cuando finalice la actualización).
9. Descomprimir el disco duro. (Esto sólo se aplica a los clientes Windows 95/98).
10. Desconectar el cable serie de cualquier dispositivo de alimentación ininterrumpida (SAI) de puerto serie. (Los dispositivos SAI/USB se pueden dejar enchufados).
11. Localizar todas las unidades y obtener el CD-ROM de Windows 2000 o conectarse a un recurso compartido de red con los archivos de la instalación de Windows 2000.

Actualización a Windows 2000 Professional desde Windows 95/98

Con toda probabilidad un administrador de redes empleara mas tiempo en realizar actualizaciones de clientes que actualizaciones de servidores. Windows 2000 es el primero de los sistemas operativos de red de Microsoft que proporciona una vía de actualización para los sistemas operativos de escritorio (Windows 95 y Windows 98) además de para el sistema operativo de estaciones de trabajo (Windows NT Workstation).

Las actualizaciones de Windows 95/98 son la vía de actualización a Windows 2000 mas difícil y, a causa de estas dificultades, se recomienda considerar la realización de instalaciones limpias en lugar de actualizaciones siempre que sea posible. Antes de decidir si se deben actualizar o realizar nuevas instalaciones, hay que leer las secciones que siguen y probar la actualización en algunos clientes que sean representativos de la población de clientes.

Windows 2000 Professional es de lejos el mejor cliente para empresas que vende Microsoft. Sin embargo, por algún motivo, Microsoft no lo ha promocionado como la primera opción para todas las empresas y continua revisando la línea Windows 95/98 aun cuando, en general, Windows 95 y Windows 98 no son los mejores sistemas para el lugar de trabajo. De acuerdo, estos poseen reexpedidotes funcionales para redes Microsoft y se pueden actualizar para acceder a Active Directory, pero también carecen de muchos de los atributos que hacen que un sistema operativo sea bueno para la empresa. Si Windows 2000 se ejecutara en los sistemas clientes, casi siempre será mejor utilizarlo que Windows 95/98.

Windows 2000 Professional tiene una sorprendente estabilidad de sistema, superando incluso a la de Windows NT Workstation. La seguridad del sistema es personalizable; se puede hacer que la seguridad del cliente sea muy flexible o extremadamente estricta. (Windows NT 3.51 esta certificado con la seguridad de nivel C2, y se espera que Windows NT 4 y Windows 2000 reciban también esta certificación cuando emerjan del proceso de prueba un tanto prolongado). Windows 2000 también esta construido para ser rápido, con un eficiente núcleo de 32 bits completamente multienhebrado con multitarea preferente y multiprocesamiento simétrico (SMP, Symmetric Multiprocessing), lo que permite a los usuarios ejecutar mas aplicaciones y ejecutar esas aplicaciones mas rápido. Los usuarios con múltiples procesadores y software escrito para sacar ventaja del SMP pueden utilizar un segundo procesador, algo no disponible en Windows 95/98. Windows 2000 es en realidad significativamente mas rápido en muchas aplicaciones que Windows 98 en un hardware equivalente (asumiendo que el hardware cumple los requisitos de sistema mínimos para Windows 2000).

Windows 2000 Professional esta diseñado para complementar la familia Windows 2000 Server, y como tal proporciona los mejores servicios de cliente para las redes basadas en Windows 2000, superando enormemente las excelentes prestaciones de red de Windows NT 4 Workstation. En un dominio Windows 2000, los clientes Windows 2000 Professional pueden administrarse remotamente, hacer uso de los escritorios móviles y aprovechar las ventajas de las aplicaciones instaladas remotamente. (Incluso el sistema operativo se puede instalar remotamente).

Dificultades en las actualizaciones de Windows 95/98

Una actualización directa de Windows 95 o Windows 98 a Windows 2000 es posible y no se hace bien, pero resulta sorprendente descubrir que se hace completamente. La dificultad radica en una diferencia fundamental en las arquitecturas: Windows 2000 esta basado en Windows NT, y Windows 95 y Windows 98 son herederos de MS-DOS/Windows 3.x (aunque obviamente todos los sistemas operativos anteriores incluyen grandes cantidades de código nuevo). Para complicar aun mas el asunto, Windows 95 y 98 no utilizan los mismos controladores que Windows 2000. Estos son los principales obstáculos a vencer, aunque si hay controladores Windows 2000 disponibles para los componentes del sistema, el problema de los controladores se puede solucionar fácilmente.

El hecho es que algunas aplicaciones Windows 95/98 no se ejecutarán bajo Windows 2000 sin alguna modificación. Por lo tanto, cuando se realiza una actualización desde Windows 95 o Windows 98, es importante o bien desinstalar las aplicaciones que no funcionan sin modificaciones tanto en Windows 98 como en Windows 2000, o bien obtener un paquete de actualización (también llamado DLL de migración) del distribuidor de la aplicación.

Con lo dicho, se puede actualizar un sistema basado en Windows 95 o en Windows 98 a Windows 2000 Professional, y se puede conseguir que funcione. Sin embargo, una persona prudente realizara varias actualizaciones en sistemas representativos antes de decidirse sobre la estrategia de actualización.

Muchos paquetes de aplicación instalan diferentes versiones del mismo programa, dependiendo de si la instalaron se realiza para Windows 95/98 o bajo Windows 2000. Cuando este sea el caso, la versión Windows 95/98 normalmente no se ejecutara bajo Windows 2000. Si hay que enfrentarse a esta situación, es necesario obtener un paquete de actualización o una DLL de migración del distribuidor de la aplicación. O se puede desinstalar la aplicación antes de actualizar a instalar después la versión compatible con Windows 2000.

Inicio dual

Si es necesario trabajar con aplicaciones heredadas que solo funcionan bajo Windows 95/98, se puede configurar un inicio dual con Windows 95/98 y Windows 2000. El inicio dual permite a los usuarios seleccionar el sistema operativo en el inicio, estando cada sistema operativo instalado en una partición o unidad de disco independiente y manteniendo sus propias aplicaciones. Aunque el uso de un inicio dual permite bastante flexibilidad, no es algo que se deba hacer a gran escala a causa del trabajo administrativo adicional y los recursos extra requeridos.

Si se desea realizar un inicio dual con Windows 95/98 se deberían tener en cuenta las siguientes limitaciones:

• Windows 95/98 no puede acceder a las particiones NTFS, aunque Windows 2000 puede acceder a todas las particiones FAT y FAT32. Por lo tanto, si es necesario acceder a toda la información de la unidad de disco desde ambos sistemas operativos, es necesario utilizar FAT o FAT32 como formato para las particiones. Sin embargo, la utilización de FAT y FAT32 elimina muchas de las ventajas en seguridad que Windows 2000 ofrece, por lo que se debe utilizar esta solución con precaución.
• Se debe instalar cada aplicación de forma independiente en cada sistema operativo.
• Se necesita un nombre de equipo diferente para cada sistema operativo. El equipo aparecerá en la red como nombre1 cuando se inicie en Windows 95 o Windows 98; aparecerá como nombre2 cuando se inicie en Windows 2000.

Si actualmente ya se utiliza un inicio dual entre Windows 95/98 y Windows NT se puede actualizar la instalación Windows NT a Windows 2000 y después utilizar un inicio dual entre Windows 95/98 y Windows 2000. Sin embargo, en esta situación no se puede actualizar la instalación Windows 95/98 a Windows 2000.

Para configurar un inicio dual desde Windows 95/98 hay que ejecutar el Programa de instalación o bien, si la opción para notificar automáticamente la inserción esta activa, basta con insertar el CDROM de Windows 2000 y pulsar No cuando se pregunte si se desea actualizar a Windows 2000. En la primera ventana que aparece después de ejecutar el Programa de instalación o pulsar No hay que seleccionar Instalar una nueva copia de Windows 2000 para realizar una instalación limpia.

Ejecución de la actualización

Se puede ejecutar el Programa de instalación desde el CD-ROM de Windows 2000 o desde una unidad de red. En cualquier caso, primero hay que ejecutar Windows 95 o Windows 98, cerrar todos los programas y desinstalar cualquier programa de protección ante virus que haya instalado.

Para ejecutar el Programa de instalación desde el CD-ROM hay que insertar el CD-ROM de Windows 2000. Aparece el cuadro de dialogo CD de Microsoft Windows 2000 si esta activa la Reproducción automática del CD-ROM (Notificar automáticamente la inserción). (Si esta opción no esta activa, hay que abrir la carpeta i386 del CD-ROM y pulsar dos veces en winnt32.exe). Este cuadro de dialogo pregunta si se desea actualizar la versión de Windows. Hay que pulsar Sí para iniciar el Programa de instalación.

Para actualizar a Windows 2000 Professional a través de la red hay que ejecutar el programa winnt32.exe desde la unidad de red que contenga los archivos de instalación de Windows 2000 Advanced Server y, después, proceder con el Programa de instalación. Una vez ejecutado el Programa de instalación hay que seguir estos pasos para actualizar el equipo a Windows 2000 Professional:

1. Seleccionar la opción Actualizar a Windows 2000 y después pulsar Siguiente. Esto actualizara el equipo a Windows 2000 Professional manteniendo la configuración y los programas intactos.
2. Leer el contrato de licencia y seleccionar la opción Acepto este contrato y, después, pulsar Siguiente.
3. Pulsar el hipervínculo proporcionado para conectarse al sitio Web de Microsoft para buscar los archivos de actualización que se pudieran necesitar y, después, pulsar Siguiente. después, el Programa de instalación explora el sistema en busca de incompatibilidades software y hardware.
4. Si se dispone de paquetes de actualización (también conocidos como DLLs de migración) para cualquiera de los programas, hay que seleccionar la opción correspondiente y después pulsar Agregar para seleccionar la carpeta que contiene los archivos. Si no se dispone de paquetes de actualización hay que seleccionar la segunda opción y pulsar Siguiente.
5. Indicar si se desea actualizar la unidad a NTFS en la siguiente pantalla y después pulsar Siguiente. (NTFS es necesario pare utilizar las características de seguridad de Windows 2000).
6. Si se sabe que se posee hardware pare el cual Windows 2000 no tiene controladores, hay qua indicar qua se suministraran al Programa de instalación controladores actualizados y después pulsar Siguiente.
7. El Programa de instalación muestra un informe de la actualización que documenta el estado del hardware y del software. Hay qua leer este informe detenidamente para determinar si todavía se desea realizar la actualización o no. Hay que desinstalar los programas qua el Programa de instalación indique que causan problemas y, después, pulsar Siguiente pare permitir qua el Programa de instalación actualice el equipo. El Programa de instalación procederá.

Si no se proporcionan controladores actualizados, los dispositivos con controladores anticuados no funcionaran hasta que se instalen controladores más nuevos. Esto se puede hacer después de instalar Windows 2000 sin causar problemas.

Actualización a Windows 2000 Server desde Windows NT

Cuando existen servidores o clientes Windows NT, la actualización a Windows 2000 Server o Advanced Server es con mucho la vía más sencilla. hacer esto permite preservar todas las configuraciones y, cuando se actualize el PDC, permite preservar el dominio y todas sus cuentas de usuario y recursos. Realizar una instalación limpia también es una opción, pero no es necesario a menos que se este ejecutando un sistema operativo de servidor distinto de Windows NT 3.51 ó 4. (Normalmente es mejor actualizar primero los servidores qua ejecutan versiones anteriores de Windows NT a 3.51 ó 4 y después actualizar a Windows 2000, en lugar de realizar una instalación limpia).

De forma similar, no se recomienda la configuración de un inicio dual a menos qua haya alguna necesidad de utilizar la configuración del servidor o cliente Windows NT existente parte del tiempo. El inicio dual entre Windows NT 4 y Windows 2000 tiene varias limitaciones.

Para actualizar a Windows 2000 Advanced Server con el CD-ROM de actualización de Windows 2000 Advanced Server, es necesario estar ejecutando Windows NT 4 Enterprise Edition. Si se dispone de la versión completa de Windows 2000 Advanced Server, pensada para equipos nuevos, se puede actualizar desde los siguientes productos:

• Windows NT 4 Enterprise Edition.
• Windows NT 4 Terminal Server.
• Windows NT 4 Server.
• Windows NT 3.51 Server.

Después de planificar la actualización del dominio y preparar el equipo, es el momento de comenzar la actualización. Si se esta actualizando un PDC hay que sincronizar con los BDC del dominio una ultima vez antes de iniciar la actualización.

Se deben cerrar todos los programas abiertos y desactivar todos los programas de protección antivirus y después insertar el CD-ROM de Windows 2000. Si esta activada la Reproducción automática del CD-ROM (Notificar automáticamente la inserción), aparece el cuadro de dialogo CD de Microsoft de Windows 2000. (Si esta opción no esta activada, hay que abrir la carpeta i386 del CDROM y pulsar dos veces en winnt32.exe). El cuadro de dialogo pregunta si se desea actualizar la versión de Windows. Hay que pulsar Si para iniciar el Programa de instalación y, después, seguir estos pasos para actualizar a Windows 2000:

1. Seleccionar la opción Actualizar a Windows 2000 y, después, pulsar Siguiente. Esto actualizara el equipo a Windows 2000 manteniendo las configuraciones y los programas intactos.
2. Leer el contrato de licencia y seleccionar la opción Acepto este contrato y después pulsar Siguiente.
3. Si el Programa de instalación encuentra hardware que no es compatible con Windows 2000 lo muestra en la siguiente pantalla. Hay que seleccionar el hardware incompatible y pulsar Utilizar disco para proporcionar controladores Windows 2000 actualizados para el dispositivo y, después, pulsar Siguiente. En este punto el Programa de instalación reinicia, instala Windows 2000 y después reinicia el recién actualizado sistema operativo.
4. Si se esta actualizando un PDC o un BDC comenzara el Asistente para instalación de Active Directory. Para más información acerca de la utilización de este asistente para instalar Active Directory y un servidor DNS si se desean implantar ambos servicios en el controlador del dominio.

Modos operativos en los dominios

Después de actualizar el PDC a Windows 2000, el dominio opera en modo mixto, lo que significa que pueden estar presentes controladores tanto Windows 2000 como Windows NT. Esta es la configuración predeterminada para los servidores Windows 2000. En modo mixto, las confianzas operan como lo harían entre dominios Windows NT 4.

Acerca del modo nativo

Para operar en modo nativo, un dominio Windows 2000 solo debe tener controladores de dominio Windows 2000 y debe cambiarse explícitamente al modo de operación nativo. Dado que esta es una migración en un solo sentido, se debe hacer de forma manual. Desde el momento en que se actualice a modo nativo, los controladores Windows NT 4 dejaran de funcionar en el dominio. Por lo tanto, no se debería cambiar a modo nativo a menos que se este seguro de que se han actualizado o desconectado todos los BDC Windows NT y de que no se van a actualizar en el futuro controladores de dominio Windows NT. 

Los servidores miembro Windows NT 4 funcionan sin problemas en un dominio Windows 2000 en modo nativo, al igual que lo hacen los clientes basados en Windows NT 4 y en Windows 95/98. El modo nativo solo se refiere a los controladores de dominio, no a las maquinas del dominio.

Los dominios Windows 2000 en modo nativo ofrecen varias ventajas sobre los dominios Windows NT 4, además de sobre los dominios Windows 2000 en modo mixto. Además de las ventajas mostradas en la tabla, cambiar al modo nativo permite a clientes heredados beneficiarse de las relaciones transitivas entre dominios en el Active Directory y, una vez autentificados, acceder a recursos en cualquier parte del árbol del dominio, siempre que tengan los permisos adecuados.

Es importante comprender que no todos los sistemas del dominio tienen que estar ejecutando Windows 2000 para poder operar en modo nativo. El modo nativo solo afecta a la operación de los controladores de dominio. Sin embargo, el problema de tener sistemas que no sean Windows 2000 en el dominio es importante cuando se va a planificar la implantación de un servidor WINS. Mientras haya clientes y servidores heredados (no Windows 2000) en el dominio, se necesitan servidores WINS para la resolución de nombres NetBIOS (a menos que se tenga una red pequeña no enrutada que pueda gestionar la resolución de nombres NetBIOS mediante difusión). Además, no se debería desactivar NetBIOS sobre TCP/IP en las maquinas Windows 2000 hasta que la red conste únicamente de Windows 2000 porque los sistemas heredados no serán capaces de comunicarse con los sistemas Windows 2000. (Los sistemas heredados basan su comunicación de red en llamadas NetBIOS).

Cambio al modo nativo

Cuando todos los BDCs Windows NT 4 hayan sido bien actualizados a Windows 2000 o bien desconectados, se puede cambiar la red al modo nativo de Windows 2000. Para realizar el cambio hay que iniciar sesión en un controlador de dominio utilizando una cuenta de administrador y seguir estos pasos:

1. Abrir Dominios y confianzas de Active Directory desde la carpeta Herramientas administrativas.
2. Pulsar con el botón derecho del ratón en el dominio que se desee convertir al modo nativo y escoger Propiedades en el menú contextual.
3. Pulsar el botón Cambiar el modo en la ventana Propiedades. Obsérvese que el cuadro Modo de operación del dominio muestra Modo mixto.
4. Cuando Windows 2000 pida que se confirme el cambio hay que pulsar Si. Hay que pulsar Aceptar en el siguiente cuadro de dialogo.
5. Reiniciar el controlador de dominio en el que se han hecho cambios además de cualquier DC del dominio después de que el DC modificado informe de que se esta ejecutando en modo nativo.

Cambiar al modo nativo es un proceso irreversible. después de cambiar al modo nativo no se pueden usar controladores de dominio Windows NT 4 en el dominio.