La gestión del servicio de directorio Active Directory es una parte importante del proceso de administración de Microsoft Windows 2000, y es esencial familiarizarse con las distintas herramientas que se proporcionan para este propósito. Casi todas las herramientas utilizan complementos de Microsoft Management Console (MMC) para proporcionar la interfaz de usuario. El grupo de programa Herramientas administrativas del menú Inicio incluye algunos complementos, pero para el funcionamiento diario se deberán añadir otros manualmente mediante la función Agregar complemento de la MMC.

Se descubrirá que algunas de las herramientas de administración de Active Directory son programas que se ejecutan cada día, mientras que otras solo son necesarias durante la instalación de Active Directory a ocasionalmente a partir de entonces. Los complementos MMC que proporcionan las funciones de administración de Active Directory son los siguientes:

• Asistente para instalación de Active Directory crea controladores de dominio, nuevos dominios, árboles y bosques.
• Dominios y confianzas de Active Directory cambia el modo del dominio, gestiona las relaciones de confianza entre dominios y configura los sufijos del nombre principal de usuario (UPN).
• Usuarios y equipos de Active Directory crea, gestiona y configura los objetos Active Directory.
• Sitios y servicios de Active Directory crea y configura sitios dominio y gestiona el proceso de replica del controlador de dominio.
• Esquema de Active Directory modifica el esquema que define los objetos y propiedades de Active Directory.

Además de los complementos MMC, Microsoft Windows 2000 Server incluye utilidades independientes para importar y exportar información a y desde Active Directory.

Asistente para la instalación de Active Directory

A diferencia de la versión 4 y anteriores de Microsoft Windows NT Server, Windows 2000 Server no permite designar un sistema como controlador de dominio durante la instalación del sistema operativo. Cada servidor de Windows 2000 se instala como un sistema independiente o un miembro de un dominio. Cuando la instalación esta completa se puede promocionar al servidor al estado de controlador de dominio utilizando el Asistente para instalación de Active Directory de Windows 2000. Esta herramienta proporciona una gran flexibilidad adicional a los administradores de Active Directory porque los servidores se pueden promover o degradar en cualquier momento, mientras que los servidores Windows NT 4 se designan irrevocablemente como controladores de dominio durante el proceso de instalación.

Algo que también ha desaparecido es la distinción entre controladores principales de dominio y controladores de dominio de reserva. Los controladores de dominio Windows 2000 son todos parejos en un sistema de replica con múltiples maestros. Esto significa que los administradores pueden modificar los contenidos del árbol de Active Directory de cualquier servidor que funcione como controlador de dominio. Esto es un avance muy importante desde el sistema de replica de un solo maestro de Windows NT 4, en el cual un administrador sólo puede cambiar el controlador principal de dominio (PDC, Primary Domain Controller) para que después los cambios se repliquen a todos los controladores de dominio de reserva (BDC, Backup Domain Controller).

Otra ventaja de Windows 2000 es que se puede utilizar el Asistente para instalación de Active Directory para degradar un controlador de dominio de nuevo a un servidor independiente o miembro.

En Windows NT 4, una vez que se instala un servidor come controlador de dominio, es posible degradarlo de PDC a BDC, pero no se puede eliminar su estado de controlador de dominio completamente, excepto reinstalando el sistema operativo.

La función básica del Asistente para instalación de Active Directory es configurar un servidor para que funcione come controlador de dominio, pero dependiendo del estado actual de Active Directory en la red, esta tarea puede tomar distintas formas. Si se instala el primer Windows 2000 Server de la red, antes de la promoción del sistema a controlador de dominio crea un Active Directory completamente nuevo con esa computadora alojando el primer dominio del primer árbol del primer bosque.

Preparación de la instalación

Para promover Windows 2000 Server a controlador de dominio, primero hay que completar todo el proceso de instalación del sistema operativo. Después del ultimo reinicio, hay que iniciar sesión en la maquina utilizando una cuenta de administrador.

NTFS 5

Para alojar Active Directory, el servidor debe tener una partición NTFS 5. NTFS 5 es una versión actualizada del sistema de archives introducido en el primer lanzamiento de Windows NT. Cuando se crean nuevas particiones NTFS durante una instalación de Windows 2000 o se actualizan las particiones NTFS existentes creadas con versiones anteriores de Windows NT, el sistema utiliza NTFS 5. Si se opta por instalar Windows 2000 en un sistema con solo particiones FAT, se debe convertir al menos una partición a NTFS antes de poder utilizar el Asistente para instalación de Active Directory. Esto se puede hacer utilizando la utilidad Convert.exe desde el símbolo del sistema o la pantalla Administración de discos del complemento Administración de equipos de MMC.

La conversión de la partición de inicio de Windows 2000 (la partición en la que se instaló Windows 2000) requiere reiniciar el sistema. Como la conversión no se puede hacer en realidad mientras esté cargado el GUI de Windows 2000, se utiliza un indicador del registro para programar la conversión y que tenga lugar la próxima vez que se reinicie la maquina. Después se puede volver a cargar el Asistente para instalación de Active Directory y comenzar la secuencia de instalación de nuevo.

Servidor DNS

El ultimo requisito para instalar Active Directory es que el servidor tenga acceso a un servidor DNS. Active Directory utiliza el DNS para almacenar información sobre los controladores de dominio de la red. Los sistemas cliente localizan un controlador de dominio para la autenticación mediante el envío de una petición al servidor DNS identificado en sus configuraciones TCP/IP cliente. El servidor DNS que utiliza Active Directory ni necesita estar ejecutándose en el equipo que se va a convertir en un controlador de dominio, ni tiene que ejecutar el servicio DNS de Microsoft. Sin embargo, el servidor DNS que se utilice debe soportar el registro de recursos Localización de servicios definido en el documento RFC 2052 y el protocolo de Actualización dinámica definido en la RFC 2136.

Las peticiones de comentarios (RFC, Request For Comments) son los documentos de especificación del TCP/IP publicados por el Grupo de trabajo de ingeniería de Internet (IETF, Internet Engineering Task Force). Todos los documentos son de dominio publico y se pueden consultar en http://www.rfc-editor.org.

Si no hay disponible en lo red un servidor DNS que soporte las nuevas características, el asistente se ofrecerá a instalar y configurar Microsoft DNS Server en el sistema automáticamente. Se puede rechazar la oferta a instalar un servidor DNS en otro sistema, pero el nuevo servidor debe ser capaz de acceder al servidor DNS para poder instalar Active Directory y promover el sistema a controlador de dominio.

Si la red utiliza actualmente servidores DNS fuera del sitio para la resolución de nombres. Como los proporcionados por el proveedor de servicios Internet (ISP, Internet Service Provider), se debería instalar por lo menos un nuevo servidor DNS en la red local para dar soporte a Active Directory. Aunque los servidores DNS del ISO podrían soportar el registro de recursos Localización de servicios y el protocolo Actualización dinámica, es poco probable que los servidores Windows 2000 que se dispongan estén autorizados para actualizar dinámicamente los registros del servidor DNS del ISP E incluso si se permitiera, no resulta practico para los sistemas cliente atravesar un enlace WAN para solicitar información sobre recursos locales.

Instalación del Primer controlador de dominio

Siguiendo el patrón de un asistente estándar, la instalación de Active Directory en un servidor es una cuestión de responder a las solicitudes en una secuencia de pantallas. Windows 2000 incorpora vínculos al asistente en la página de Active Directory de la página principal de Configurar el servidor de Windows 2000. Esta página se muestra en el explorador Microsoft Internet Explorer automáticamente después de la instalación del SO. Esta página Web local esta diseñada para guiar al administrador a través de los procesos necesarios para configurar un nuevo servidor mediante preguntas al estilo de los asistentes y vínculos a las herramientas apropiadas para cada tarea.

Para instalar el Primer controlador deberemos seguir los siguientes pasos:

1. Iniciar la Herramienta Configuración del Servidor desde el menú de Herramientas Administrativas. Los usuarios que sean nuevos en Windows 2000, esta página Web funciona como una combinación de minitutorial y una lista de comprobación de los procedimientos de configuración del servidor. Los usuarios mas avanzados pueden saltarse la Página Web de configuración a iniciar el asistente directamente ejecutando el archivo ejecutable Dcpromo.exe desde el cuadro de dialogo Ejecutar. Los usuarios también pueden ejecutar el archivo desde el símbolo del sistema después de iniciar sesión por medio de la cuenta de administrador local. Dcpromo.exe se encuentra en la carpeta %SystemRoot%\System32, lo que permite ejecutarlos desde cualquier carpeta sin especificar una ruta de acceso.
   Cuando se actualiza un controlador principal de dominio Windows NT 4 a Windows 2000 Server, el sistema ejecuta automáticamente el Asistente para instalación de Active Directory después de que termine la instalación del sistema operativo.
2. Tipo de Controlador de Dominios: Después de una pantalla de bienvenida, el Asistente para instalación pregunta sobre la acción que se va a realizar, basándose en el estado actual de Active Directory en el sistema. Si el servidor ya es un controlador de dominio, el asistente solo proporciona la opción de degradar el sistema de nuevo a servidor independiente o miembro. En un equipo que no es un controlador de dominio, el asistente muestra la pantalla Tipo de controlador de dominios, la cual pide que se seleccione una de las siguientes opciones:
   • Controlador de dominio para un nuevo dominio: Instala Active Directory en el servidor y lo designa como el primer controlador de dominio de un nuevo dominio.
   • Controlador de dominio adicional para un dominio existente: Instala Active Directory en el servidor y replica la información del directorio desde un dominio existente.

   Para instalar el primer servidor Active Directory en la red, se selecciona la opción Controlador de dominio para un nuevo dominio. Esto hace que el asistente instale los archivos de soporte de Active Directory, cree el nuevo dominio y lo registre en el DNS . 

3. Crear árbol o dominio secundario. Deberemos elegir el tipo de dominio que queremos configurar de las dos opciones que se presentan en el siguiente cuadro
   • Crear un nuevo árbol de dominios: Configura el nuevo controlador de dominio pare que aloje el primer dominio de un nuevo árbol.
   • Crear un nuevo dominio secundario en un árbol de dominios existente: Configura el nuevo controlador de dominio pare que aloje un hijo de un dominio de un árbol que ya existe.

   Como este va a ser el primer servidor Active Directory de la red, se debería escoger Crear un nuevo árbol de dominios. 

4. Crear o unir bosque, que permite especificar una de las siguientes opciones:
   • Crear un nuevo bosque de árboles de dominios: Configure el controlador de dominio pare que sea la raíz de un nuevo bosque de árboles.
   • Situar este nuevo árbol de dominios en un bosque existente: Configure el controlador de dominio pare que aloje el primer dominio de un nuevo árbol en un bosque que ya contiene uno o más árboles.

   En este caso hay que seleccionar Crear un nuevo bosque de árboles de dominios, porque el primer controlador de dominio Windows 2000 de la red será siempre un nuevo dominio, en un nuevo árbol, en un nuevo bosque. A medida que se instalen controladores de dominio adicionales, se pueden utilizar estas mismas opciones para crear otros bosques nuevos o para poblar el bosque existente con árboles y dominios adicionales.

5. Nombre de nuevo Dominio: Para identificar el controlador de dominio en la red se debe especificar un nombre DNS valido para el dominio que se esta creando.
   Este nombre no tiene por que ser el mismo que el del dominio que utiliza la empresa para su presencia en Internet (aunque puede serlo). El nombre tampoco tiene que estar registrado en el Centro de información de redes de Internet (InterNIC, Internet Network información), la organización responsable de mantener el registro de los nombres DNS en los dominios de nivel superior com, net, org y edu. Sin embargo, el use de un nombre de dominio registrado es una buena idea si los usuarios de la red van a acceder a los recursos de Internet al mismo tiempo que a los recursos de red locales, o si los usuarios externos a la organización accederán a los recursos de red locales vía Internet.
   Cuando los usuarios acceden a los recursos de Internet al mismo tiempo que a los recursos de la red Windows 2000, existe la posibilidad de que un nombre de dominio no registrado entre en conflicto con un dominio de Internet registrado que utilice el mismo nombre. Cuando los usuarios de Internet tengan permiso para acceder a los recursos de la red utilizando protocolos estándar de la capa de aplicación como HTTP y FTP, puede surgir alguna confusión si los usuarios internos y los externos deben utilizar diferentes nombres de dominio.
6. Nombre de dominio NetBIOS: Después de introducir un nombre DNS para el dominio, el sistema solicita un equivalente NetBIOS para el nombre del dominio para que los utilicen los clientes que no soporten Active Directory. Los sistemas Windows 2000 todavía utilizan el espacio de nombres NetBIOS para sus nombres de equipo, pero Active Directory utiliza la nomenclatura DNS para los dominios. Windows NT 4 y los sistemas Microsoft Windows 9x utilizan nombres NetBIOS para todos los recursos de la red, incluyendo los dominios.
   Si se dispone de clientes de nivel inferior en la red (esto es, Windows NT 4, Windows 9x, Microsoft Windows para Trabajo en grupo o Cliente de red Microsoft para sistemas MS-DOS), estos solo serán capaces de ver el nuevo dominio por medio del nombre NetBIOS. La pantalla Nombre de dominio NetBIOS contendrá una sugerencia para el nombre, basándose en el nombre DNS especificado, qua se puede utilizar o bien se puede reemplazar con un nombre qua se elija qua tenga 15 caracteres o menos.
7. Después de especificar los nombres de dominio, el asistente solicita las ubicaciones de la base de datos, los archivos de registro y el volumen del sistema de Active Directory. La base de datos de Active Directory contendrá los objetos Active Directory y sus propiedades, mientras qua los archivos de registro registran las actividades del servicio de directorio. Los directorios para estos archivos se especifican en la pantalla ubicación de la base de datos. La ubicación predeterminada tanto para la base de datos como para los registros es la carpeta %SystemRoot%\Ntds del volumen del sistema, pero se pueden modificar esas ubicaciones como sea necesario; de hecho, probablemente se debería, para no tener todos los directorios en la misma cesta.
8. La pantalla Volumen del sistema compartido permite especificar la ubicación de lo qua se convertirá en el recurso compartido Sysvol del controlador de dominio. El volumen del sistema es un recurso compartido que contiene información del dominio que se replica al resto de controladores de dominio de la red. De forma predeterminada, el sistema crea este recurso compartido en la carpeta %SystemRoot%\Sysvol en la unidad de disco del sistema.
   La base de datos, los registros y el volumen del sistema de Active Directory tiene que situarse en volúmenes que utilicen el sistema de archivos NTFS 5. Si el asistente detecta que alguno de los volúmenes escogidos no utiliza NTFS 5, habrá que convertirlos o seleccionar otro volumen antes de poder completar el proceso de instalación de Active Directory.
   Como Active Directory escribe a menudo en la base de datos y en los registros al mismo tiempo, Microsoft recomienda no almacenarlos en el mismo disco duro. Esto no es una cuestión demasiado importante en un único controlador de dominio a otra red pequeña, pero en una red empresarial con frecuentes actualizaciones del servicio de directorio y muchos controladores de dominio replicando sus bases de datos, la carga del almacenamiento de información puede ser significativa, por lo que se recomienda encarecidamente la utilización de discos independientes.
   La recomendación de situar los archivos de la base de datos y de registro indica la utilización de discos duros independientes, no distintos volúmenes de la misma unidad de disco. Esto se debe a que las restricciones físicas del mecanismo de desplazamiento de las cabezas del disco pueden ser responsables de la reducción del rendimiento del disco. Las cabezas de una única unidad de disco no pueden estar en dos posiciones al mismo tiempo, por lo que el dispositivo debe realizar escrituras en la base de datos o en los registros de forma consecutiva. Cuando los archivos se almacenan en discos independientes, las escrituras puede realizarse simultáneamente. también es preferible utilizar unidades SCSI para este propósito en lugar de las EIDE, porque SCSI es más adecuado para ejecutar comandos simultáneos en múltiples dispositivos.
9. Instalación de DNS: En este punto, el Asistente para instalación de Active Directory tiene toda la información de configuración necesaria para instalar Active Directory y promover el servidor a controlador de dominio. El sistema comprueba que los nombres de dominio suministrados no los utiliza ya en servidor DNS a otros equipos de la red. Si, por ejemplo, el nombre NetBIOS seleccionado ya lo esta utilizando un dominio Windows NT 4 en la red, el asistente pide que se seleccione otro nombre.
10. El asistente también determina si el servidor DNS que alojara el dominio soporta el protocolo de Actualización dinámica. Si el sistema no puede contactar con el servidor DNS especificado en la configuración TCP/IP cliente del equipo, o si el servidor DNS especificado no es capaz de dar soporte a un dominio Windows 2000, el asistente se ofrece a instalar Microsoft DNS Server y configurarlo para que funcione como servidor autorizado para el dominio. La pantalla Configurar DNS permite especificar si se desea instalar el servidor DNS o configurar uno personalmente. Si se opta por utilizar otra maquina para el servidor DNS, es preciso instalarlo y configurarlo antes de poder completar la instalación de Active Directory.
11. Finalización de la instalación de Active Directory: Después de que el asistente contacte con el servidor DNS que proporcionara el servicio localizador para el nuevo dominio, se completa la instalación y configuración de Active Directory sin mas introducción de datos por parte del usuario. El asistente registra todas las actividades que se producen durante el proceso de instalación en dos archivos llamados Dcpromo.log y Dcpromoui.log, localizados en la carpeta %SystemRoot%\debug. La instalación puede durar varios minutos, después de lo cual hay que reiniciar el sistema para que tengan efecto los cambios. El asistente crea una cuenta de administrador para el nuevo dominio utilizando la misma contraseña que tiene la cuenta de administrador local con la que se ha iniciado sesión antes de iniciar la instalación de Active Directory.

Instalación de un Controlador de dominio de Réplica

Las replicas proporcionan tolerancia a fallos en un dominio Active Directory, y pueden reducir el trafico entre redes permitiendo a los clientes de la red autenticarse utilizando un controlador de dominio en el segmento local. Cuando un controlador de dominio no funciona correctamente o no esta disponible por algún motivo, sus replicas asumen automáticamente sus funciones. Incluso un dominio pequeño necesita al menos dos controladores de dominio para mantener esta tolerancia a fallos.

Para crear una réplica de un dominio existente, hay que ejecutar el Asistente para instalación de Active Directory en un Windows 2000 Server recién instalado después de unirse al dominio que se trata de replicar. En el equipo que se une al dominio, se puede realizar la unión por primera vez y suministrar las credenciales administrativas que permiten al sistema crear un objeto equipo en el dominio, o bien se puede crear el objeto equipo manualmente por medio de Usuarios y equipos de Active Directory. Después de unirse al dominio, hay que iniciar sesión en el sistema utilizando la cuenta de administrador local y ejecutar el asistente desde la página Configurar el servidor o ejecutando Dcpromo.exe desde el cuadro de dialogo Ejecutar.

Cuando aparece la pantalla Tipo de controlador de dominios en el asistente, hay que seleccionar Controlador de dominio adicional para un dominio existente y especificar el nombre DNS del dominio que se va a replicar. Después hay que suministrar el nombre de usuario, la contraseña y el nombre de dominio de una cuenta con privilegios administrativos en el dominio.

El asistente instala Active Directory en el servidor, crea la base de datos, los registros y el volumen del sistema en las ubicaciones especificadas, registra el controlador de dominio en el servidor DNS y replica la información de un controlador de dominio para ese dominio existente.

Una vez que la replica del controlador de dominio esta en funcionamiento, no es distinguible del controlador de dominio existente, al menos en lo que concierne a la funcionalidad de los clientes. Las replicas funcionan como parejos, a diferencia de los servidores Windows NT, que están designados como controladores de dominio principales o de reserva. Los administradores pueden modificar el contenido de Active Directory (tanto los objetos como el esquema) de cualquier controlador de dominio, y los cambios se replicaran al resto de controladores de dominio de ese dominio.

Cuando se crea una replica, el Asistente para instalación de Active Directory configura automáticamente el proceso de replica entre los controladores de dominio. Se puede personalizar el pro-

ceso de replica utilizando Sitios y servicios de Active Directory, que se incluye en Windows 2000 Server.

Creación de un dominio secundario en un árbol existente

Cuando se crea el primer dominio Windows 2000 de la red, también se esta creando el primer árbol del bosque. Se puede poblar el árbol a medida que se crean dominios adicionales haciéndolos secundarios de dominios existentes. Un dominio secundario es uno que utiliza el mismo espacio de nombres que un dominio principal. Este espacio de nombres se establece por el nombre DNS del dominio principal, al cual el secundario añade un nombre precedente para el nuevo dominio. Por ejemplo, si se crea un dominio llamado Miempresa.com, un secundario de ese dominio podría llamarse algo así como Investigacion.miempresa.com. Por regla general, los dominios secundarios reflejan las divisiones geográficas, departamentales o política de una organización, pero se puede utilizar cualquier principio para el diseño del árbol que se desee. Un dominio principal puede tener cualquier numero de secundarios, y la estructura del árbol puede extenderse a través de cualquier numero de generaciones, lo que permite utilizar un único espacio de nombres para crear un árbol de dominios que refleje la estructura de toda la organización.

Para instalar Active Directory y crear un dominio secundario:

1. Unir el Windows 2000 Server en el que se desea crear el Dominio secundario al dominio principal suministrando las credenciales administrativas o creando manualmente un objeto equipo en el dominio por medio de Usuarios y equipos de Active Directory. 
2. Iniciar sesión en el sistema utilizando la cuenta de administrador local
3. Ejecutar el Asistente para instalación de Active Directory desde la página Configurar el servidor o ejecutando Dcpromo.exe desde el cuadro de dialogo Ejecutar.
   Un dominio secundario no es una replica; es un dominio completamente independiente situado en el mismo árbol. Por lo tanto, cuando el asistente muestra la pantalla Tipo de controlador de dominios, hay que seleccionar Controlador de dominio para un nuevo dominio. En el cuadro de dialogo Crear árbol o dominio secundario, hay que seleccionar Crear un nuevo dominio secundario en un árbol de dominios existente. El asistente solicita a continuación el nombre DNS del dominio que ha de ser el principal del secundario. Después de suministrar esto, hay que especificar el nombre corto para el dominio secundario. El nombre corto es el nombre que se añadirá al nombre DNS del dominio principal para formar el nombre completo del dominio secundario. Por ejemplo, para crear un dominio secundario llamado Investigacion.miempresa.com, se especifica Miempresa.com como nombre del dominio principal a investigación como nombre corto del secundario.
4. Al igual que durante la creación del primer dominio del árbol, hay que proporcionar un nombre NetBIOS para el nuevo dominio de no mas de 15 caracteres. En el ejemplo anterior, el dominio podría llamarse Investigación. también hay que suministrar las credenciales de una cuenta que tenga privilegios administrativos en el dominio principal. Después, el asistente completa la instalación de Active Directory y pide que se reinicie el sistema.

Creación de un nuevo árbol en un bosque existente

Además de crear dominios secundarios en un árbol Active Directory, también se pueden crear árboles completamente nuevos, formando de este modo un bosque. Cada árbol de un bosque tiene su propio espacio de nombres independiente, pero todos los árboles comparten el mismo esquema y configuración.

Si, por ejemplo, se modifica el esquema para añadir atributos personalizados a un objeto particular de un árbol, estos atributos estarán presentes en el mismo tipo de objeto del resto de los árboles del bosque.

Antes de crear un nuevo árbol en un bosque existente, el nuevo Windows 2000 Server debe unirse al dominio raíz de ese bosque. El dominio raíz es el primer dominio creado en el bosque y el sistema se une a ese dominio iniciando sesión en el y especificando las credenciales de una cuenta administrativa en el dominio o creando manualmente un objeto equipo en el dominio por medio de Usuarios y equipos de Active Directory.

Una vez que el equipo posee una cuenta en el dominio raíz del bosque, se puede ejecutar el Asistente para instalación de Active Directory desde la pantalla Configurar el servidor o ejecutar Dcpromo.exe desde el cuadro de dialogo Ejecutar. Cuando aparece el cuadro de dialogo Tipo de controlador de dominio hay que seleccionar Controlador de dominio para un nuevo dominio. Después hay que seleccionar Crear un nuevo árbol de dominios en el cuadro de dialogo Crear árbol o dominio secundario y seleccionar Situar este nuevo árbol de dominios en un bosque existente en el cuadro de dialogo Crear o unir bosque.

Para crear el nuevo árbol, primero hay que especificar el nombre DNS del dominio raíz del bosque y después el nombre DNS que se desea asignar al primer dominio del nuevo árbol. El segundo nombre DNS no debe ser parte de ningún espacio de nombres existente en el bosque. Es decir, si un árbol ya utiliza Miempresa.com como nombre DNS de su dominio raíz, no se puede utilizar el nombre Investigacion.miempresa.com para el dominio raíz del nuevo árbol, incluso si ese nombre de dominio exacto no existe en el árbol Miempresa.com.

Después de suministrar los nombres DNS se facilita un equivalente NetBIOS de la forma usual y se proporcionan las credenciales de una cuenta administrativa en el dominio raíz del árbol. El asistente completa entonces el proceso de instalación y pide que se reinicie el sistema.

Creación de un nuevo bosque

La diferencia fundamental entre la creación de un nuevo árbol y la creación de un nuevo bosque es que los bosques tienen cada uno sus propios esquema y configuración individuales. El escenario mas obvio en el que una red debería tener múltiples bosques es cuando dos empresas con instalaciones Active Directory existentes se fusionan, y las suficientes diferencias de esquema y configuración existentes entre las dos hace que la unión de ambas en un solo bosque sea impracticable.

El proceso de crear un nuevo bosque es el mismo que el de la creación del primer dominio de la red.

Actualización de los controladores de dominios de Windows NT 4

Windows 2000 simplifica el proceso de convertir los dominios de una red Windows NT 4 en dominios Active Directory de Windows 2000 permitiendo actualizar los servidores gradualmente. Los controladores de dominio Windows NT pueden coexistir en la misma red que los controladores de dominio Windows 2000 a incluso pueden funcionar en el mismo dominio. La única regla especial del proceso de actualización es que hay que actualizar el PDC de una red Windows NT 4 antes que cualquiera de los BDCs.

Cuando se instala el sistema operativo Windows 2000 en el PDC, el Asistente para instalación de Active Directory se ejecuta automáticamente después del ultimo reinicio y comienza el proceso de promoción. Después de que el servidor se haya promovido a controlador de dominio, el sistema puede alojar el dominio existente, utilizando los BDCs NT 4 como replicas. Después se pueden actualizar los BDC al ritmo que se desee.

Cuando todos los controladores de dominio estén ejecutando Windows 2000, se podrá utilizar el complemento Dominios y confianzas de Active Directory para convertir el dominio del modo mixto al modo nativo, lo que permite aprovechar todas las ventajas de las capacidades de agrupamiento de Active Directory.

Degradación de controladores de dominios

Una diferencia fundamental entre los controladores de dominio Windows 2000 y los controladores de dominio Windows NT es que se puede degradar un controlador de dominio Windows 2000 a servidor independiente o miembro. Cuando se ejecuta el Asistente para instalación de Active Directory, el programa determina que el sistema ya esta funcionando como controlador de dominio y solo proporciona la opción de degradar el servidor.

La pantalla Configurar el servidor también detecta el estado del sistema y proporciona una única opción.

La degradación de un controlador de dominio elimina la base de datos de Active Directory de la máquina, borra todas las referencias a ella del servidor DNS y devuelve las cuentas de seguridad del sistema a un estado idéntico al de un servidor Windows 2000 recién instalado. Si el dominio al que pertenece el sistema tiene controladores de dominio de replica en la red, el servidor permanece como, miembro de ese dominio después de la degradación.

Si el servidor es el único controlador de dominio de un dominio particular, la degradación provoca que el dominio se elimine completamente de Active Directory, y que el sistema se convierta en un servidor independiente hasta que se una a otro dominio. Si el servidores el único controlador del dominio raíz de un bosque, hay que destruir el resto de dominios del bosque antes de que se pueda proceder con la degradación del controlador de dominio raíz. Para degradar el controlador hay que seguir estos pasos:

1. Abrir el Asistente para instalación de Active Directory ejecutando Dcpromo.exe. Si se muestra un cuadro de mensaje, no se debe proceder con la degradación del servidor hasta que se este seguro de que existe al menos otro servidor de Catalogo global en el dominio.
2. Pulsar Siguiente.
3. Proporcionar una contraseña para la cuenta administrador del servidor. Después se mostrara un resumen que indica lo que se ha seleccionado y el resultado que se obtendrá si se sigue adelante.

Se abrirá la pantalla Configurando Active Directory que proporcionara una descripción sobre la marcha de los procesos que se estén realizando. Esto durara al menos unos minutos, y algunas veces realmente mucho mas, dependiendo de la maquina. Cuando la configuración termine, el servidor ya no será un controlador de dominio y se pedirá que se pulse Finalizar y, después, Reiniciar ahora.

Cambio de la identificación de un controlador de dominio

Cambiar la identificación de red de un controlador de dominio requiere degradar el servidor de su estado como controlador de dominio, cambiar la identidad y después promover la maquina de nuevo.

Cuando se cambie el nombre de un controlador de dominio, hay que obrar con cuidado, especialmente en un entorno mixto con clientes de nivel inferior. Pueden permanecer referencias al antiguo nombre de dominio del servidor en servidores WINS, causando problemas de exploración, edemas de impedir que se vuelva a utilizar el nombre del equipo, y limpiar las base de datos WINS pare corregir el problema puede ser complicado.

Primero, hay que abrir Ejecutar desde le menú Inicio, escribir dcpromo y pulsar Aceptar. . Una vez que se haya degradado el controlador de dominio, hay que seguir estos pesos pare cambiar la identidad de red del equipo: '

1. Abrir la herramienta Sistema del Panel de control y pulsar en la pestaña Identificación de red.
2. Pulsar el botón Avanzada pare abrir el cuadro de dialogo Cambios de identificación.
3. Introducir el nuevo nombre pare el equipo o hacer cambios en el dominio o grupo de trabajo al que pertenece el equipo.
4. Pulsar el botón Más para especificar manualmente el nombre de dominio DNS para el equipo y para obtener una vista previa del nombre NetBIOS. Pulsar Aceptar cuando se haya terminado.

Hay que tratar de utilizar un nombre de equipo que sea compatible tanto con DNS como con NetBIOS para que todos los tipos de clientes vean el mismo nombre para el equipo. Para hacer esto hay que mantener el nombre por debajo de los 15 caracteres y no utilizar asteriscos o puntos. también es preferible evitar el use de espacios, subrayados y guiones para una mejor compatibilidad con las aplicaciones.

Una vez realizados los cambios en la identidad de red del equipo, es posible promoverlo una vez mas a controlador de dominio siguiendo estos pasos:

1. Abrir Ejecutar desde el menú Inicio e introducir dcpromo para iniciar al Asistente para instalación de Active Directory.
2. Seleccionar el tipo de controlador de dominio que se desea: un controlador de dominio adicional para un dominio existente o un controlador para un nuevo dominio.
3. Suministrar un nombre de usuario y contraseña, asegurándose de usar una cuenta con suficientes privilegios para realizar la operación.
4. Suministrar el nombre DNS completo del dominio, las ubicaciones de la base de datos de Active Directory, el registro de Active Directory y la carpeta Sysvol.
5. La página resumen aparecerá de nuevo mostrando las opciones seleccionadas. Pulsar el botón Atrás para hacer cualquier cambio; en otro caso, pulsar Siguiente.
6. Active Directory se configurara. El proceso dura varios minutos, incluso en un sistema relativamente rápido.

Al final del proceso, el Asistente para instalación de Active Directory informa de que Active Directory esta instalado y en que dominio y sitio. Es necesario reiniciar para que la instalación de Active Directory este completa.

Establecimiento de un servidor de Catalogo global

El primer controlador de dominio Windows 2000 de un bosque es automáticamente un servidor de Catalogo global. El Catalogo global (CG) contiene una replica completa de todos los objetos de directorio del dominio en que se aloja además de una replica parcial de todos los objetos de directorio de cada dominio del bosque. El objetivo de un CG es proporcionar autenticación a los inicios de sesión. Además, como un CG contiene información sobre todos los objetos de todos los dominios del bosque, la búsqueda de información en el directorio no requiere consultas innecesarias a los dominios. Una única consulta al CG produce la información sobre donde se puede encontrar el objeto.

Mientras la empresa tenga controladores de dominio Windows NT, cada dominio debe tener al menos un servidor de Catalogo global.

De forma predeterminada, habrá un CG, pero cualquier controlador de dominio se puede configurar como servidor de Catalogo global. Si se necesitan servicios de inicio de sesión y búsqueda adicionales, se pueden tener múltiples servidores de Catalogo global en el dominio.

Para convertir un controlador de dominio en un servidor de Catalogo global, hay que seguir estos pasos:

1. Escoger Sitios y servicios de Active Directory en el menú Herramientas administrativas.
2. Abrir Sites y seleccionar el sitio correspondiente.
3. Abrir Servers y seleccionar después el controlador de dominio que se desea convertir en servidor de Catalogo global.
4. Seleccionar NTDS Settings en el panel derecho y escoger propiedades en el menú Acción.
5. En la pestaña General, seleccionar la casilla de verificación Catalogo global.

Mientras la empresa opere en modo mixto (esto es, que haya otros controladores de dominio además de los controladores de dominio Windows 2000), hay que tener al menos un servidor de Catalogo global por dominio. Una vez que se hayan actualizado todos los controladores de dominio a Windows 2000, se puede cambiar el dominio a modo nativo.