Díganos qué opina sobre la experiencia de descarga del PDF.

Documentación de identidad y acceso

Las tecnologías de identidad y acceso permiten entornos de Active Directory seguros
locales y solo en la nube e implementaciones híbridas donde algunas aplicaciones y
servicios se hospedan en la nube y otros se hospedan de forma local.

Acerca de las tecnologías de identidad y acceso

ｈ NOVEDADES

Novedades

ｅ INFORMACIÓN GENERAL

Privileged Access Management para Active Directory Domain Services y AD DS

Windows 10 para empresas: Formas de usar dispositivos para trabajar

Servicios de dominio de Active Directory

Servicios de federación de Active Directory

Solución de contraseña de administrador local de Windows (LAPS)

Guías de soluciones y situaciones

ｃ GUÍA PASO A PASO

Acceso seguro a los recursos de la empresa desde cualquier lugar y en cualquier dispositivo

unirse a un área de trabajo desde cualquier dispositivo para SSO y autenticación de segundo
factor sin problemas en todas las aplicaciones de la compañía

administración de riesgos con la autenticación multifactor adicional para aplicaciones

confidenciales

Administración de riesgos con control de acceso condicional

Versiones anteriores de Windows Server

ｅ INFORMACIÓN GENERAL

Documentación de versiones anteriores de Windows

Búsqueda de información específica
Guías de soluciones y situaciones
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Con las soluciones de acceso y protección de la información de Microsoft, puede

implementar y configurar el acceso a los recursos corporativos en el entorno local y las
aplicaciones en la nube. Y puede hacerlo al mismo tiempo que protege la información
de la empresa.

Protección de acceso e información

Guía ¿Cómo puede ayudarle esta guía?

Acceso seguro a los En esta guía se muestra cómo permitir que los empleados usen
recursos de la compañía dispositivos personales y de empresa para acceder de forma segura a
desde cualquier datos y aplicaciones corporativos.
ubicación y dispositivo

Unirse a un área de Los empleados pueden acceder a aplicaciones y datos en cualquier

trabajo desde cualquier lugar, en cualquier dispositivo. Los empleados pueden usar el inicio
dispositivo para SSO y de sesión único en aplicaciones de explorador o en aplicaciones
autenticación de empresariales. Los administradores pueden controlar quién tiene
segundo factor sin acceso a los recursos de la compañía según la aplicación, el usuario,
problemas en todas las el dispositivo y la ubicación.
aplicaciones de la
compañía

Administración de En este escenario, habilitará MFA en función de los datos de

riesgos con la pertenencia a grupos del usuario para una aplicación específica. Es
autenticación multifactor decir, configurará una directiva de autenticación en el servidor de
adicional para federación que requiera MFA cuando los usuarios que pertenezcan a
aplicaciones un grupo concreto soliciten acceso a una aplicación específica
confidenciales hospedada en un servidor web.

Administración de El control de acceso en AD FS se implementa con reglas de

riesgos con control de notificación de autorización de emisión que se usan para emitir
acceso condicional notificaciones de permiso o denegación que determinarán si un
usuario o un grupo de usuarios podrán acceder AD FS recursos
protegidos o no. Las reglas de autorización solo se pueden establecer
en relaciones de confianza para usuario autenticado.
Guía ¿Cómo puede ayudarle esta guía?

Configuración del En este artículo se proporcionan instrucciones paso a paso para

Servicio web de implementar Servicio web de inscripción de certificados (o directiva
inscripción de de inscripción de certificados (CEP) /Servicio de inscripción de
certificados para la certificados (CES)) en un puerto personalizado distinto de 443 para la
renovación basada en renovación basada en claves de certificado para aprovechar las
claves de certificados en ventajas de la característica de renovación automática de CEP y CES.
un puerto personalizado
Control de acceso dinámico:
Información general sobre el escenario
Artículo • 21/12/2022 • Tiempo de lectura: 9 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En Windows Server 2012 , puede aplicar la gobernanza de datos en los servidores de

archivos para controlar quién puede acceder a la información y auditar quién ha
accedido a la información. El control de acceso dinámico permite:

Identificar los datos mediante la clasificación automática y manual de archivos. Por

ejemplo, podría etiquetar datos en servidores de archivos en toda la organización.

Controlar el acceso a los archivos mediante la aplicación de directivas de red de

seguridad que utilicen directivas de acceso central. Por ejemplo, podría definir
quién puede acceder a la información de mantenimiento en la organización.

Auditar el acceso a los archivos por medio de directivas de auditoría centrales de

informes de cumplimiento y análisis forenses. Por ejemplo, podría identificar quién
ha obtenido acceso a información muy confidencial.

Aplicar la protección de Rights Management Services (RMS) mediante cifrado RMS

automático para documentos de Microsoft Office confidenciales. Por ejemplo,
podría configurar RMS para cifrar todos los documentos que contengan
información de la Ley de transferencia y responsabilidad de seguros de salud
(HIPAA).

El conjunto de características Control de acceso dinámico se basa en inversiones en

infraestructura que pueden usar también asociados y aplicaciones de línea de negocio, y
las características pueden proporcionar un gran valor a las organizaciones que usan
Active Directory. Esta infraestructura incluye:

Un nuevo motor de autorización y auditoría para Windows que puede procesar

expresiones condicionales y directivas centrales.

Compatibilidad con la autenticación Kerberos para notificaciones de usuario y

notificaciones de dispositivo.

Mejoras en la infraestructura de clasificación de archivos (FCI).

 Compatibilidad con la extensibilidad RMS para que los asociados puedan
proporcionar soluciones para cifrar archivos que no sean de Microsoft.

En este escenario
Este conjunto de contenido incluye los siguientes escenarios y orientación:

Guía básica de contenido de control de acceso

dinámico
Escenario Evaluate Plan Implementar Funcionamiento

Escenario: Directiva Control de Plan: Una Implementar - Modelado de

de acceso central acceso implementación una directiva de una directiva de
dinámico: de directiva de acceso central acceso central
La creación de Información acceso (pasos de
directivas de acceso general sobre el central demostración)
central para los escenario
archivos permite a las - Proceso para Implementación
organizaciones Implementación asignar una de
implementar y de solicitud notificaciones
administrar de notificaciones empresarial a entre bosques
manera centralizada en bosques una directiva de (pasos de
las directivas de acceso demostración)
autorización que central

incluyen expresiones - Delegación de

condicionales administración
mediante para Control de
notificaciones de acceso
usuario, dinámico

notificaciones de - Mecanismos
dispositivo y de excepción
propiedades de para planear
recursos. Estas directivas de
directivas se basan acceso
en requisitos de central
regulación
empresarial y de Procedimientos
cumplimiento. Estas recomendados
directivas se crean y para usar
se hospedan en notificaciones
Active Directory, lo de usuario
que facilita su
- Elección de la
administración e
configuración
implementación.
adecuada para
Escenario Evaluate Plan Implementar Funcionamiento

Implementación de habilitar las

notificaciones en notificaciones
bosques en el dominio
de usuario

En Windows Server - Operaciones

2012 , AD DS para habilitar
mantiene un notificaciones
"diccionario de de usuario

notificaciones" en -
cada bosque y todos Consideraciones
los tipos de para usar
notificaciones que se notificaciones
usan dentro del de usuario en
bosque se definen en las ACL
el nivel de bosque de discrecionales
Active Directory. Hay del servidor de
numerosos archivos sin
escenarios en los que usar directivas
es necesario que una de acceso
entidad de seguridad central
atraviese un límite de
confianza. En este Uso de
escenario se describe notificaciones
el modo en que una de dispositivo y
notificación atraviesa grupos de
un límite de seguridad de
confianza. dispositivos

-
Consideraciones
sobre el uso de
notificaciones
de dispositivo
estático

- Operaciones
para habilitar
notificaciones
de dispositivo

Herramientas
de
implementación

Escenario: Auditoría Escenario: Planear la Implementar la - Supervisar las

de acceso a archivos Auditoría de auditoría de auditoría de directivas de
acceso a acceso a seguridad con acceso central
archivos archivos directivas de que se aplican
Escenario Evaluate Plan Implementar Funcionamiento

La auditoría de auditoría en un servidor

seguridad es una de central (pasos de archivos

las herramientas más de - Supervisar las

eficaces para demostración) directivas de
mantener la acceso central
seguridad de una asociadas a
empresa. Uno de los archivos y
principales objetivos carpetas

de las auditorías de - Supervisión de

seguridad es el los atributos de
cumplimiento de las recursos en
normas. Por ejemplo, archivos y
los estándares de la carpetas

industria como - Supervisión de

Sarbanes Oxley, tipos de
HIPPA y Payment notificación

Card Industry (PCI) - Supervisión de

exigen que las notificaciones de
empresas sigan un usuario y
estricto conjunto de dispositivo
reglas relacionadas durante el inicio
con la seguridad y la de sesión

privacidad de los - Supervisión de

datos. Las auditorías definiciones de
de seguridad ayudan reglas y
a establecer la directivas de
presencia o la acceso central

ausencia de dichas - Supervisión de

directivas y prueban definiciones de
el cumplimiento o atributos de
incumplimiento de recursos

estos estándares. - Supervise el

Además, las uso de
auditorías de dispositivos
seguridad ayudan a Storage
detectar extraíbles.
comportamientos
anómalos, a
identificar y mitigar
brechas en la
directiva de
seguridad y a
impedir el
comportamiento
irresponsable al crear
un registro de la
actividad del usuario
que puede utilizarse
Escenario Evaluate Plan Implementar Funcionamiento

para un análisis
forense.

Escenario: Asistencia Escenario: Planear la Deploy Access-

de acceso denegado Asistencia de asistencia para Denied
acceso acceso Assistance
En la actualidad, denegado denegado (Demonstration
cuando los usuarios Steps)
intentan acceder a un - Determinación
archivo remoto en el del modelo de
servidor de archivos, asistencia de
la única indicación acceso
que obtendrán es denegado

que tienen el acceso - Determinar

denegado. Como quién debe
consecuencia, se controlar las
generan solicitudes al solicitudes de
departamento de acceso

soporte técnico o a -
los administradores Personalización
de TI para que del mensaje de
solucionen el asistencia de
problema y, a acceso
menudo, los denegado

administradores - Planear
tienen dificultades excepciones
para obtener el - Determinar
contexto adecuado cómo se
de los usuarios, lo implementa la
que complica incluso asistencia de
más la solución del acceso
problema.
denegado
En Windows Server
2012 , el objetivo es
intentar ayudar al
trabajador de la
información y al
propietario
empresarial de los
datos a tratar con el
problema de acceso
denegado antes de
que el departamento
de TI se implique y
cuando el
departamento de TI
participe,
proporcione toda la
Escenario Evaluate Plan Implementar Funcionamiento

información
adecuada para una
resolución rápida.
Uno de los desafíos
para lograr este
objetivo es que no
hay ninguna manera
central de tratar con
el acceso denegado y
cada aplicación se
ocupa de ella de
forma diferente y,
por tanto, en
Windows Server 2012
, uno de los objetivos
es mejorar la
experiencia de
acceso denegado
para Windows
Explorer.

Escenario: Cifrado de Escenario: Planear la Deploy

documentos de Cifrado de implementación Encryption of
Office basado en la documentos de del cifrado de Office Files
clasificación Office basado documentos (Demonstration
en la basado en la Steps)
La protección de la clasificación clasificación
información
confidencial se centra
principalmente en
mitigar el riesgo para
la organización.
Diversas normas de
cumplimiento, como
la HIPAA o el
estándar de
seguridad de datos
para la industria de
tarjetas de pago
(PCI-DSS), dictan el
cifrado de la
información y hay
numerosos motivos
empresariales para
cifrar la información
empresarial
confidencial. Sin
embargo, cifrar la
Escenario Evaluate Plan Implementar Funcionamiento

información resulta
costoso y podría
afectar a la
productividad
empresarial. Por lo
tanto, las
organizaciones
tienden a adoptar
distintos enfoques y
prioridades para
cifrar su información.

Para admitir este

escenario, Windows
Server 2012
proporciona la
capacidad de cifrar
automáticamente
archivos Windows
Office confidenciales
en función de su
clasificación. Esto se
realiza a través de
tareas de
administración de
archivos que invocan
la protección del
Servidor de Active
Directory Rights
Management
Services (AD RMS) de
los documentos
confidenciales unos
pocos segundos
después de haber
identificado el
archivo como
confidencial en el
servidor de archivos.

Escenario: Escenario: Planear la Deploy

Comprender los Comprender los clasificación Automatic File
datos mediante la datos mediante automática de Classification
clasificación la clasificación archivos (Demonstration
Steps)
En la mayoría de las
organizaciones ha
ido aumentando la
dependencia de los
Escenario Evaluate Plan Implementar Funcionamiento

datos y los recursos

de almacenamiento.
Los administradores
de TI se enfrentan al
creciente desafío que
supone la supervisión
de infraestructuras
de almacenamiento
cada vez más
grandes y más
complejas, al mismo
tiempo que se les
asigna la
responsabilidad de
garantizar que el
costo total de
propiedad se
mantenga en un nivel
razonable. La
administración de
recursos de
almacenamiento ya
no se limita al
volumen o la
disponibilidad de
datos, sino que
implica además
cumplir las directivas
de la compañía y
saber cómo se
consume el
almacenamiento para
permitir un uso y un
cumplimiento
eficaces que
mitiguen el riesgo. La
infraestructura de
clasificación de
archivos permite
obtener una idea
clara de los datos
mediante la
automatización de
los procesos de
clasificación con el
fin de poder
administrar los datos
de manera más
Escenario Evaluate Plan Implementar Funcionamiento

eficaz. La
infraestructura de
clasificación de
archivos proporciona
los siguientes
métodos de
clasificación: manual,
mediante
programación y
automática. Este
escenario se centra
en el método de
clasificación
automática de
archivos.

Escenario: Escenario: Planear la Implementar la

Implementar la Implementar la retención de retención de
retención de retención de información en información en
información en información en servidores de servidores de
servidores de servidores de archivos archivos (pasos
archivos archivos de
demostración)
Un período de
retención es la
cantidad de tiempo
que un documento
debería conservarse
antes de que expire.
El período de
retención puede ser
distinto en función
de la organización.
Puede clasificar
archivos en una
carpeta según
tengan un período
de retención a corto,
medio o largo plazo
y, a continuación,
asignar el período de
tiempo para cada
tipo. Quizás desee
conservar un archivo
indefinidamente
mediante una
retención legal.

La infraestructura de
Escenario Evaluate Plan Implementar Funcionamiento

clasificación de
archivos y el
Administrador de
recursos del servidor
de archivos utilizan
tareas de
administración de
archivos y la
clasificación de
archivos para aplicar
períodos de
retención para un
conjunto de archivos.
Puede asignar un
período de retención
en una carpeta y, a
continuación, usar
una tarea de
administración de
archivos para
configurar la
duración de un
período de retención
asignado. Cuando los
archivos de la
carpeta están a
punto de expirar, el
propietario del
archivo recibe un
correo electrónico de
notificación. También
puede clasificar un
archivo con el estado
de retención legal
para que la tarea de
administración de
archivos no haga
expirar el archivo.

７ Nota

No se admite el control de acceso dinámico en ReFS (Sistema de archivos

resistente).
Vea también
Tipo de contenido Referencias

Evaluación del producto - Guía de revisores de Control de acceso dinámico

- Guía para desarrolladores de Control de acceso dinámico

Planeamiento - Planeación de una implementación de directivas de acceso central

- Planear la auditoría de acceso a archivos

Implementación - Implementación de Active Directory

- Implementación de servicios de archivos y Storage

Operaciones Referencia de PowerShell para el control de acceso dinámico

|Foro de serviciosde| directorio de recursos de Community|

Escenario: Directiva de acceso central
Artículo • 21/12/2022 • Tiempo de lectura: 5 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Las directivas de acceso central para los archivos permiten a las organizaciones
implementar y administrar de manera centralizada las directivas de autorización que
incluyen expresiones condicionales que usan grupos e usuarios, notificaciones de
usuario, notificaciones de dispositivo y propiedades de recursos. (Las notificaciones son
aserciones sobre los atributos del objeto al que están asociadas). Por ejemplo, para
tener acceso a datos de alto impacto de negocio (HBI), un usuario tiene que ser un
empleado a tiempo completo, obtener acceso desde un dispositivo administrado e
iniciar sesión con una tarjeta inteligente. Estas directivas se definen y se hospedan en
Servicios de dominio de Active Directory (AD DS).

El cumplimiento de normas y los requisitos de las normas empresariales controlan las

directivas de acceso organizativas. Por ejemplo, si una organización tiene un requisito
empresarial para restringir el acceso a información de identificación personal (PII) en
archivos solo al propietario del archivo y a los miembros del departamento de recursos
humanos (HR) que pueden ver información de PII, esta directiva se aplica a los archivos
PII dondequiera que se encuentren en los servidores de archivos de toda la
organización. En este ejemplo, tienes que ser capaz de:

Identificar y marcar los archivos que contienen PII.

Identificar el grupo de los miembros de RR.HH. que están autorizados para ver
información PII.

Crear una directiva de acceso central que se aplique a todos los archivos que
contengan PII ubicados en servidores de archivos en toda la organización.

La iniciativa de implementar y exigir una directiva de autorización puede provenir por

distintos motivos y se puede aplicar a distintos niveles de la organización. A
continuación se muestran algunos ejemplos de tipos de directivas:

Directiva de autorización para toda la organización. Esta directiva de autorización,

que se suele iniciar desde la oficina de seguridad de la información, la derivan los
requisitos de cumplimiento o de una organización de nivel muy alto y es relevante
para toda la organización. Por ejemplo, solo los empleados a tiempo completo
tienen acceso a los archivos HBI.
 Directiva de autorización departamental. Cada departamento de una
organización tiene algunos requisitos especiales de tratamiento de datos que
quiere exigir. Por ejemplo: es posible que el Departamento de Finanzas quiera
limitar por completo el acceso a los servidores de finanzas a los empleados de ese
departamento.

Directiva de administración de datos específicos. Esta directiva suele estar

relacionada con el cumplimiento y los requisitos empresariales y su finalidad es
proteger el acceso correcto a la información que se administra. Por ejemplo, las
instituciones financieras pueden implementar los muros informativos para que los
analistas no tengan acceso a información de corretaje y los corredores de bolsa no
puedan acceder a información de análisis.

Directiva de necesidad de conocimiento de la información. Este tipo de directiva

de autorización se usa normalmente junto con los tipos de directiva anterior. Por
ejemplo, los proveedores solo deben poder acceder y editar los archivos que
pertenecen a un proyecto en el que trabajen.

Los entornos de la vida real también nos enseñan que cada directiva de autorización
tiene que tener excepciones para que las organizaciones pueden reaccionar
rápidamente cuando surjan necesidades empresariales importantes. Por ejemplo, los
ejecutivos que no encuentran su tarjeta inteligente y necesitan un acceso rápido a la
información HBI pueden llamar al departamento de soporte técnico para obtener una
excepción temporal para tener acceso a esa información.

Las directivas de acceso central actúan como paraguas de seguridad que una
organización aplica entre los servidores. Estas directivas mejoran (pero no sustituyen) las
directivas de acceso local o a las listas de control de acceso discrecional (DACL) que se
aplican a archivos y carpetas. Por ejemplo, si una DACL de un archivo permite el acceso
a un usuario específico, pero una directiva central que se aplica al archivo restringe el
acceso al mismo usuario, el usuario no puede tener acceso al archivo. Si la directiva de
acceso central permite el acceso, pero la DACL no permite el acceso, el usuario no
puede tener acceso al archivo.

Una regla de directiva de acceso central tiene las partes lógicas siguientes:

Aplicabilidad. Una condición que define los datos a los que se aplica la directiva,
como Resource.BusinessImpact=High.

Condiciones de acceso. Una lista de una o más entradas de control de acceso

(ACE) que definen quién puede acceder a los datos, como Permitir | Control total|
User.EmployeeType=FTE.
 Excepciones. Una lista adicional de una o varias entradas de ACE que definen una
excepción de la directiva, como MemberOf(HBIExceptionGroup).

Las dos ilustraciones siguientes muestran el flujo de trabajo en el acceso central y las
directivas de auditoría.

Figura 1 Conceptos de acceso central y directiva de auditoría

Figura 2 Flujo de trabajo de directiva de acceso central

La directiva de autorización central combina los componentes siguientes:

Una lista de reglas de acceso definidas centralmente destinadas a determinados

tipos de información, como HBI o PII.

Una directiva definida centralmente que contiene una lista de reglas.

Un identificador de directiva que se asigna a cada archivo de los servidores de

archivos para que señale a una directiva de acceso central específica que se debe
aplicar durante la autorización de acceso.

En la ilustración siguiente se muestra cómo puedes combinar las directivas en listas de

directiva para controlar centralmente el acceso a archivos.
Figura 3 Combinación de directivas

En este escenario
La orientación siguiente está disponible para las directivas de acceso central:

Planear una implementación de directivas de acceso central

Implementar una directiva de acceso central (pasos de demostración)

Control de acceso dinámico: Información general sobre el escenario

Roles y características que se incluyen en este

escenario
En la tabla siguiente, se enumeran los roles y las características que forman parte de
este escenario y se describe la manera en que son compatibles con él.

Rol/característica Compatibilidad con este escenario

Rol de Servicios AD DS en Windows Server 2012 introduce una plataforma de autorización

de dominio de basada en notificaciones que permite la creación de notificaciones de
Active Directory usuario y notificaciones de dispositivo, identidad compuesta, (notificaciones
de usuario y dispositivo), nuevos modelos de directiva de acceso central
(CAP) y el uso de información de clasificación de archivos en decisiones de
autorización.
Rol/característica Compatibilidad con este escenario

Rol del servidor Los servicios de archivos y almacenamiento incluyen tecnologías que te
de servicios de permiten configurar y administrar uno o más servidores de archivos que
archivos y proporcionan ubicaciones centrales en tu red donde puedes almacenar
almacenamiento archivos y compartirlos con los usuarios. Si los usuarios de la red necesitan
tener acceso a los mismos archivos y aplicaciones, o si la administración
centralizada de archivos y copias de seguridad es importante en su
organización, deberá configurar uno o más equipos como servidor de
archivos. Para ello, debe agregar a los equipos el rol Servicios de archivos y
almacenamiento y los servicios de rol pertinentes.

Equipo cliente de Los usuarios pueden acceder a archivos y carpetas de la red a través del
Windows equipo cliente.
Implementar una directiva de acceso
central (pasos de demostración)
Artículo • 21/12/2022 • Tiempo de lectura: 22 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este escenario, las operaciones de seguridad del Departamento Financiero trabajan

con la seguridad de la información central para especificar la necesidad de una directiva
de acceso central para proteger información financiera archivada que esté almacenada
en servidores de archivos. La información financiera archivada de cada país solo pueden
consultarla (con permisos de solo lectura) los empleados del Departamento Financiero
del dicho país. El grupo de administradores de finanzas central puede acceder a la
información financiera de todos los países.

Para implementar una directiva de acceso central es necesario completar varias fases:

Fase Descripción

Plan: identifique la necesidad de directiva y la Identifica la necesidad de una directiva y la

configuración necesaria para la implementación. configuración necesaria para la
implementación.

Implementar: Configurar los componentes y la Configura los componentes y la directiva.

directiva

Implementar la directiva de acceso central Implementa la directiva.

Mantenimiento: Cambiar y almacenar Cambios y almacenamiento provisional de

provisionalmente la directiva directivas.

Configurar un entorno de prueba

Antes de comenzar, deberás preparar un entorno de laboratorio para este escenario. Los
pasos para configurar el laboratorio se explican en detalle en el Apéndice B:
Configuración del entorno de prueba.

Plan: identifique la necesidad de directiva y la

configuración necesaria para la
implementación.
En esta sección encontrarás series de pasos de alto nivel que te ayudarán a planificar la
implementación.

Núm. Paso Ejemplo

de
paso

1.1 Una empresa Para proteger la información financiera almacenada en los servidores de
determina que archivos, las operaciones de seguridad del Departamento Financiero
necesita una trabajan con seguridad de la información central para especificar la
directiva de necesidad de una directiva de acceso central.
acceso central

1.2 Expresión de Los documentos financieros solo deben leerlos los miembros del
la directiva de Departamento Financiero. Los miembros del Departamento Financiero
acceso solo deben tener acceso a los documentos de su propio país. Solo los
administradores de finanzas deben tener acceso de escritura. Se
permite una excepción para los miembros del grupo FinanceException.
Este grupo tendrá acceso de lectura.

1.3 Expresar la Destinatarios:

directiva de - Resource.Department Contains Finance
acceso en
construcciones Reglas de acceso:
de Windows
- Permitir lectura User.Country=Resource.Country AND User.department
Server 2012
= Resource.Department

- Permitir control total User.MemberOf(FinanceAdmin)

Excepción:

Allow read memberOf(FinanceException)

1.4 Determinar las Etiquetar archivos con:

propiedades - Departamento

del archivo - Country (País)

necesarias
para la
directiva

1.5 Determinar los Tipos de notificaciones:

tipos de - Country (País)

notificaciones - Departamento
y los grupos
necesarios Grupos de usuarios:
para la
- FinanceAdmin

directiva
- FinanceException
 Núm. Paso Ejemplo
de
paso

1.6 Determinar los Aplica la directiva en todos los servidores de archivos de finanzas.
servidores
donde se
aplicará esta
directiva

Implementar: Configurar los componentes y la

directiva
En esta sección encontrarás un ejemplo en el que implementa una directiva de acceso
central para documentos financieros.

Núm. Paso Ejemplo

de
paso

2.1 Crear tipos de notificaciones Crea los siguientes tipos de notificaciones:

- Departamento

- Country (País)

2.2 Crear propiedades de recursos Crea y habilita las siguientes propiedades de

recursos:
- Departamento

- Country (País)

2.3 Configurar una regla de acceso central Crea una regla llamada Documentos
financieros que incluya una directiva
determinada en la sección anterior.

2.4 Configurar una directiva de acceso Crea una CAP llamada Directiva de finanzas y
central (CAP) agrega la regla Documentos financieros a esta.

2.5 Dirigir la directiva de acceso central a Publica la CAP Directiva de finanzas en los
los servidores de archivos servidores de archivos.

2.6 Habilita Compatibilidad de KDC para Habilita Compatibilidad de KDC para

notificaciones, autenticación notificaciones, autenticación compuesta y
compuesta y protección de Kerberos. protección de Kerberos para contoso.com.

En el procedimiento siguiente, se crean dos tipos de notificación: País y Departamento.

Para crear tipos de notificaciones

 1. Abre el servidor DC1 en el Administrador de Hyper-V e inicia sesión como
contoso\administrador con la contraseña pass@word1.

2. Abre el Centro de administración de Active Directory.

3. Haz clic en el icono Vista de árbol, expande Control de acceso dinámico y

selecciona Tipos de notificaciones.

Haz clic con el botón secundario en Tipos de notificaciones, en Nuevo y después

en Tipo de notificación.

 Sugerencia

También puedes abrir la ventana Crear tipo de notificación en el panel Tareas.

En el panel Tareas, haz clic en Nueva y después en Tipo de notificación.

4. En la lista Atributo de origen, desplázate por la lista de atributos y haz clic en

departamento. Esto rellenará el campo Nombre para mostrar con departamento.
Haga clic en OK.

5. En el panel Tareas, haz clic en Nueva y después en Tipo de notificación.

6. En la lista Atributo de origen, desplázate por los atributos y haz clic en el atributo
c (nombre de país). En el campo Nombre para mostrar, escribe país.

7. En la sección Valores sugeridos, selecciona Se sugieren los valores siguientes y

haz clic en Agregar.

8. En los campos Valor y Nombre para mostrar, escribe US y haz clic en Aceptar.

9. Repite el paso anterior. En el cuadro de diálogo Agregar un valor sugerido, escribe

JP en los campos Valor y Nombre para mostrar, y haz clic en Aceptar.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell

New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object

Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")),
(New-Object
Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP","")))

New-ADClaimType department -SourceAttribute department

  Sugerencia

Puedes usar el Visor del historial de Windows PowerShell en el Centro de

administración de Active Directory para buscar los cmdlets de Windows PowerShell
para cada procedimiento que realices en el Centro de administración de
Active Directory. Para obtener más información, consulte Visor del historial de
Windows PowerShell

El paso siguiente es crear propiedades de recursos. En el procedimiento siguiente vas a

crear una propiedad de recurso que se agregará automáticamente a la lista Propiedades
de recursos globales en el controlador de dominio para que esté disponible en el
servidor de archivos.

Para crear y habilitar propiedades de recursos predefinidas

1. En el panel izquierdo del Centro de administración de Active Directory, haz clic en
Vista de árbol. Expande Control de acceso dinámico y selecciona Propiedades de
recursos.

2. Haz clic con el botón secundario en Propiedades de recursos, haz clic en Nueva y,
después, en Propiedad de recurso de referencia.

 Sugerencia

También puedes elegir una propiedad de recurso del panel de Tareas. Haz clic
en Nuevo y, después, en Propiedad de recurso de referencia.

3. En Seleccionar un tipo de notificación para compartir su lista de valores

sugeridos, haz clic en país.

4. En el campo Nombre para mostrar, escribe país y haz clic en Aceptar.

5. Haz doble clic en la lista Propiedades de recursos y desplázate hasta la propiedad

de recurso Departamento. Haz clic con el botón secundario y selecciona Habilitar.
Esto habilitará la propiedad de recurso predefinida Departamento.

6. En la lista Propiedades de recursos, en el panel de navegación del Centro de

administración de Active Directory, ahora verás que hay dos propiedades de
recursos habilitadas:
 País

department

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell

New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType

MS-DS-MultivaluedChoice -SharesValuesWith country

Set-ADResourceProperty Department_MS -Enabled $true

Add-ADResourcePropertyListMember "Global Resource Property List" -Members

Country

Add-ADResourcePropertyListMember "Global Resource Property List" -Members

Department_MS

El paso siguiente es crear reglas de acceso central que definan quién puede acceder a
los recursos. En este escenario, las reglas de negocios son las siguientes:

Los documentos financieros solo pueden leerlos los miembros del Departamento
Financiero.

Los miembros del Departamento Financiero solo pueden acceder a los

documentos de su propio país.

Solo los administradores de finanzas tienen acceso de escritura.

Se permite una excepción para los miembros del grupo FinanceException. Este
grupo tendrá acceso de lectura.

El administrador y el propietario del documento tendrán acceso total.

O para expresar las reglas con construcciones de Windows Server 2012:

Destino: Resource.Department Contains Finance

Reglas de acceso:

Allow Read User.Country=Resource.Country AND User.department =

Resource.Department

Allow Full control User.MemberOf(FinanceAdmin)

Allow Read User.MemberOf(FinanceException)

Para crear una regla de acceso central
1. En el panel izquierdo del Centro de administración de Active Directory, haz clic en
Vista de árbol, selecciona Control de acceso dinámico y haz clic en Reglas de
acceso central.

2. Haz clic con el botón secundario en Reglas de acceso central, haz clic en Nueva y
después en Regla de acceso central.

3. En el campo Nombre, escribe Regla de documentos financieros.

4. En la sección Recursos de destino, haz clic en Editar y, en el cuadro de diálogo

Regla de acceso central, haz clic en Agregar una condición. Agregue la condición
siguiente [Recurso] [Departamento] [Igual a] [Valor] [Finanzas] y haga clic en
Aceptar.

5. En la sección Permisos, selecciona Usar los siguientes permisos como permisos

actuales, haz clic en Editar y, en el cuadro de diálogo Configuración de seguridad
avanzada para permisos, haz clic en Agregar.

７ Nota

Con la opción Usar los siguientes permisos como permisos propuestos

podrás crear una directiva provisional. Para obtener más información sobre
cómo hacerlo, consulte la sección Mantener: Cambiar y almacenar
provisionalmente la directiva en este tema.

6. En el cuadro de diálogo Entrada de permiso para permisos, haz clic en

Seleccionar una entidad de seguridad, escribe Usuarios autenticados y haz clic en
Aceptar.

7. En el cuadro de diálogo Entrada de permiso para permisos , haga clic en Agregar

una condición y agregue las siguientes condiciones: [Usuario] [país] [Cualquiera
de] [Recurso] [país] Haga clic en Agregar una condición.
[Y] Haz clic en [Usuario]
[Departamento] [Cualquiera de] [Recursos] [Departamento]. Establece los
permisos en lectura.

8. Haz clic en Aceptar y después en Agregar. Haz clic en Seleccionar una entidad de
seguridad, escribe FinanceAdmin y haz clic en Aceptar.

9. Selecciona los permisos Modificar, Leer y ejecutar, Lectura, Escritura y haz clic en
Aceptar.
 10. Haz clic en Agregar, en Seleccionar una entidad de seguridad, escribe
FinanceException y haz clic en Aceptar. Selecciona los permisos de Lectura y Leer
y ejecutar.

11. Haz clic en Aceptar tres veces para terminar y volver al Centro de administración
de Active Directory.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell

$countryClaimType = Get-ADClaimType country

$departmentClaimType = Get-ADClaimType department

$countryResourceProperty = Get-ADResourceProperty Country

$departmentResourceProperty = Get-ADResourceProperty Department

$currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-
1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-
1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." +
$countryClaimType.Name + " Any_of @RESOURCE." +
$countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name +
" Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))"

$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + "

Contains {`"Finance`"})"

New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -

ResourceCondition $resourceCondition

） Importante

En el cmdlet del ejemplo anterior, los identificadores de seguridad (SID) para el

grupo FinanceAdmin y los usuarios se determinan en el momento de la creación y
serán distintos en tu ejemplo. Por ejemplo, es necesario reemplazar el valor de SID
proporcionado (S-1-5-21-1787166779-1215870801-2157059049-1113) para los
FinanceAdmins con el SID real del grupo FinanceAdmin que has de crear en la
implementación. Puedes usar Windows PowerShell para buscar el valor de SID del
grupo, asignar dicho valor a una variable y, después, usar la variable aquí. Para
obtener más información, consulte Windows PowerShell Sugerencia: Trabajar con
SID.

Ahora verás una regla de acceso central que permite a los usuarios acceder a
documentos del mismo país y del mismo departamento. La regla permite al grupo
FinanceAdmin editar los documentos y al grupo FinanceException leerlos. Esta regla
solo es válida para documentos clasificados como de Finanzas.

Para agregar una regla de acceso central a una directiva de acceso

central
1. En el panel izquierdo del Centro de administración de Active Directory, haz clic en
Control de acceso dinámico y, después, en Directivas de acceso central.

2. En el panel Tareas, haz clic en Nueva y, después, en Directiva de acceso central.

3. En Directiva de acceso central, escribe Directiva de finanzas en el cuadro Nombre.

4. En Reglas de acceso central miembros, haz clic en Agregar.

5. Haz doble clic en la Regla de documentos financieros para agregarla a la lista

Agregar las siguientes reglas de acceso central y, después, haz clic en Aceptar.

6. Haz clic en Aceptar para finalizar. Ahora deberías tener una directiva de acceso
central llamada Directiva de finanzas.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell

New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember

-Identity "Finance Policy"

-Member "Finance Documents Rule"

Para aplicar la directiva de acceso central en servidores de archivos

que usen la directiva de grupo

1. En la pantalla Inicio, en el cuadro Buscar, escribe Administración de directivas de

grupo. Haz doble clic en Administración de directivas de grupo.

 Sugerencia

Si la opción Mostrar herramientas administrativas está deshabilitada, no

aparecerá la carpeta Herramientas administrativas ni su contenido en los
resultados de Configuración.
  Sugerencia

En el entorno de producción, crea una unidad de organización de servidores

de archivos (OU) y agrega todos los servidores de archivos a esta OU, a la que
deberás aplicar esta directiva. Después, puedes crear una directiva de grupo y
agregar esta OU a dicha directiva.

2. En este paso, editarás el objeto de directiva de grupo que creaste en la sección

Creación del controlador de dominio del entorno de prueba para incluir la nueva
directiva de acceso central. En el Editor de administración de directiva de grupo,
vaya a y seleccione la unidad organizativa en el dominio (contoso.com en este
ejemplo): directiva de grupo Management, Forest: contoso.com, Domains,
contoso.com, Contoso, FileServerOU.

3. Haz clic con el botón secundario en FlexibleAccessGPO y después en Editar.

4. En la ventana Editor de administración de directivas de grupo, navega hasta

Configuración del equipo, expande Directivas, Configuración de Windows y haz
clic en Configuración de seguridad.

5. Expande Sistema de archivos, haz clic con el botón derecho en Directiva de

acceso central y, después, haz clic en Administrar directivas de acceso central.

6. En el cuadro de diálogo Configuración de directivas de acceso central, agrega

Directiva de finanzas y haz clic en Aceptar.

7. Desplázate hasta Configuración de directiva de auditoría avanzada y expándela.

8. Expande Directivas de auditoría y selecciona Acceso a objetos.

9. Haz doble clic en Auditar almacenamiento provisional de directivas de acceso

central. Selecciona las tres casillas y haz clic en Aceptar. Este paso permite al
sistema recibir eventos de auditoría relacionados con las directivas de
almacenamiento provisional de acceso central.

10. Haz doble clic en Propiedades del sistema de archivos de auditoría. Selecciona las
tres casillas y haz clic en Aceptar.

11. Cierre el Editor de administración de directivas de grupo. Ahora ya has incluido la

directiva de acceso central en la directiva de grupo.
Para que los controladores de dominio de un dominio proporcionen notificaciones o
datos de autorización de dispositivos, los controladores de dominio deben configurarse
para admitir el control de acceso dinámico.

Para habilitar la compatibilidad con notificaciones y autenticación

compuesta para contoso.com

1. Abre Administración de directivas de grupo, haz clic en contoso.com y, después,

en Controladores de dominio.

2. Haga clic con el botón derecho en Directiva predeterminada de controladores de

dominio y, a continuación, haga clic en Editar.

3. En la ventana del Editor de administración de directivas de grupo, haz doble clic en

Configuración del equipo, haz doble clic en Directivas, haz doble clic en Plantillas
administrativas, haz doble clic en Sistema y, después, haz doble clic en KDC.

4. Haz doble clic en Compatibilidad de KDC para notificaciones, autenticación

compuesta y protección de Kerberos. En el cuadro de diálogo Compatibilidad de
KDC para notificaciones, autenticación compuesta y protección de Kerberos, haz
clic en Habilitada y selecciona Compatible de la lista desplegable Opciones.
(Tienes que habilitar esta opción para usar notificaciones de usuario en directivas
de acceso central).

5. Cierre Administración de directivas de grupo.

6. Abra un símbolo del sistema y escriba gpupdate /force .

Implementar la directiva de acceso central

Núm. Paso Ejemplo
de
paso

3.1 Asigna el CAP a las carpetas Asigna la directiva de acceso central a la

compartidas correspondientes en el carpeta compartida correspondiente en el
servidor de archivos. servidor de archivos.

3.2 Comprueba que el acceso está Comprueba el acceso para usuarios desde
configurado correctamente. diferentes países y departamentos.

En este paso asignarás la directiva de acceso central a un servidor de archivos. Inicia

sesión en un servidor de archivos que reciba la directiva de acceso central que creaste
en el paso anterior y asigna la directiva a una carpeta compartida.
Para asignar una directiva de acceso central a un servidor de
archivos

1. En el Administrador de Hyper-V, conecta con el servidor FILE1. Inicie sesión en el

servidor mediante contoso\administrator con la contraseña: pass@word1.

2. Abra un símbolo del sistema con privilegios elevados y escriba: gpupdate /force.
Esto garantiza que los cambios que realices en la directiva de grupo se apliquen en
el servidor.

3. También tienes que actualizar las propiedades de recursos globales desde Active
Directory. Abra una ventana de Windows PowerShell y escriba Update-
FSRMClassificationpropertyDefinition . Haz clic en ENTRAR y, después, cierra

Windows PowerShell.

 Sugerencia

También puedes actualizar las propiedades de recursos globales si inicias

sesión en el servidor de archivos. Sigue estos pasos para actualizar las
propiedades de recursos globales desde el servidor de archivos
a. Inicia sesión en el servidor de archivos FILE1 con el usuario
contoso\administrador y la contraseña pass@word1.
b. Abra el Administrador de recursos del servidor de archivos. Para abrir el
Administrador de recursos del servidor de archivos haz clic en Inicio,
escribe administrador de recursos del servidor de archivos y haz clic en
Administrador de recursos del servidor de archivos.
c. En el Administrador de recursos del servidor de archivos, haz clic en
Administración de clasificación de archivos, haz clic con el botón
secundario en Propiedades de clasificación y selecciona Actualizar.

4. Abre el Explorador de Windows y, en el panel izquierdo, haz clic en la unidad D.

Haz clic con el botón secundario en la carpeta Documentos financieros y
selecciona Propiedades.

5. Haz clic en la pestaña Clasificación, en País y, después, selecciona US en el campo

Valor.

6. Haz clic en Departamento, selecciona Finanzas en el campo Valor y haz clic en

Aplicar.

７ Nota
 Recuerda que la directiva de acceso central se configuró para archivos del
Departamento de Finanzas. Los pasos anteriores marcan todos los
documentos de la carpeta con los atributos País y Departamento.

7. Haz clic en la pestaña Seguridad y, después, en Avanzadas. Haz clic en la pestaña

Directiva central.

8. Haz clic en Cambiar, selecciona Directiva de finanzas en el menú desplegable y,

después, haz clic en Aplicar. Verás que la Regla Documentos financieros está
incluida en la directiva. Expande el artículo para todos los permisos que
estableciste al crear la regla en Active Directory.

9. Haz clic en Aceptar para volver al Explorador de Windows.

En el paso siguiente, comprueba que el acceso esté configurado correctamente. Las

cuentas de usuario deben tener el conjunto de atributos de Departamento correctos
(establecidas mediante el Centro de administración de Active Directory). La forma más
fácil de ver los resultados aplicados de la nueva directiva es usar la pestaña Acceso
efectivo en el Explorador de Windows. En la pestaña Acceso efectivo podrás ver los
derechos de acceso de una cuenta de usuario concreta.

Para examinar el acceso de varios usuarios

1. En el Administrador de Hyper-V, conecta con el servidor FILE1. Inicia sesión en el
servidor con la cuenta contoso\administrador. Navega a la unidad D:\ en el
Explorador de Windows. Haz clic con el botón secundario en la carpeta
Documentos financieros y selecciona Propiedades.

2. Haz clic en la pestaña Seguridad, haz clic en Avanzadas y, después, en la pestaña

Acceso efectivo.

3. Para examinar los permisos de un usuario, haga clic en Seleccionar un usuario,

escriba el nombre del usuario y, a continuación, haga clic en Ver acceso efectivo
para ver los derechos de acceso efectivos. Por ejemplo:

Myriam Delesalle (MDelesalle) pertenece al Departamento Financiero y debe

tener acceso de lectura a la carpeta.

Miles Reid (MReid) pertenece al grupo FinanceAdmin y debe tener acceso de

modificación a la carpeta.

Esther Valle (EValle) no pertenece al Departamento Financiero, pero sí que es

miembro del grupo FinanceException y debe tener acceso de lectura.
 Maira Wenzel (MWenzel) no pertenece al Departamento Financiero ni es
miembro de los grupos FinanceAdmin o FinanceException, por lo que no
debe tener acceso a la carpeta.

La última columna se llama Acceso limitado por en la ventana Acceso efectivo.

Esta columna indica qué puertas afectan a los permisos de la persona. En este
caso, los permisos de recursos compartidos y NTFS otorgan control total a todos
los usuarios. Pero la directiva de acceso central restringe el acceso basándose en
las reglas que has configurado anteriormente.

Mantener: Cambiar y almacenar

provisionalmente la directiva
Núm. Paso Ejemplo
de
paso

4,1 Configurar notificaciones de dispositivo para Establece la configuración de directiva de

clientes grupo para habilitar las notificaciones de
dispositivo

4,2 Habilita una notificación para dispositivos. Habilita el tipo de notificación de país
para dispositivos.

4.3 Agrega una directiva de almacenamiento Modifica la regla de documentos

provisional a la regla de acceso central financieros para agregar una directiva de
existente que quieras modificar. almacenamiento provisional.

4.4. Visualiza los resultados de la directiva de Compruebe los permisos de Ester Velle.
almacenamiento provisional.

Para habilitar las notificaciones para dispositivos mediante la

configuración de directiva de grupo

1. Inicia sesión en DC1, abre Administración de directivas de grupo, haz clic en

contoso.com, haz clic con el botón secundario en Directiva predeterminada de
dominio y selecciona Editar.

2. En la ventana Editor de administración de directivas de grupo, navega hasta

Configuración del equipo, Directivas, Plantillas administrativas, Sistema,
Kerberos.

3. Selecciona Compatibilidad del cliente Kerberos con notificaciones, autenticación

compuesta y protección de Kerberos y haz clic en Habilitar.
Para habilitar una notificación para dispositivos
1. Abre el servidor DC1 en el Administrador de Hyper-V e inicia sesión como
contoso\administrador con la contraseña pass@word1.

2. En el menú Herramientas, abre el Centro de administración de Active Directory.

3. Haz clic en Vista de árbol, expande Control de acceso dinámico, haz doble clic en
Tipos de notificaciones y, después, haz doble clic en la notificación de país.

4. En Las notificaciones de este tipo pueden ser emitidas por las siguientes clases,
selecciona la casilla Equipo. Haga clic en OK.
Deben estar seleccionadas las dos
casillas, Usuario y Equipo. Ahora puede usarse la notificación de país con
dispositivos, además de los usuarios.

El paso siguiente es crear una regla de directivas de almacenamiento provisional. Las

directivas de almacenamiento provisional se pueden usar para supervisar los efectos de
una nueva entrada de directiva antes de habilitarla. En el paso siguiente crearás una
entrada de directiva de almacenamiento provisional y comprobarás los efectos en la
carpeta compartida.

Para crear una regla de directivas de almacenamiento provisional y

agregar la a la directiva de acceso central

1. Abre el servidor DC1 en el Administrador de Hyper-V e inicia sesión como

contoso\administrador con la contraseña pass@word1.

2. Abre el Centro de administración de Active Directory.

3. Haz clic en Vista de árbol, expande Control de acceso dinámico y selecciona

Reglas de acceso central.

4. Haz clic con el botón secundario en Regla de documentos financieros y selecciona

Propiedades.

5. En la sección Permisos propuestos, activa la casilla Habilitar la configuración de

almacenamiento provisional de permisos, haz clic en Editar y, después, en
Agregar. En la ventana Entrada de permiso para permisos propuestos, haz clic en
el vínculo Seleccionar una entidad de seguridad, escribe Usuarios autenticados y
haz clic en Aceptar.

6. Haga clic en el vínculo Agregar una condición y agregue la siguiente condición:

[Usuario] [país] [Cualquiera de] [Recurso] [País].
 7. Haga clic en Agregar una condición de nuevo y agregue la siguiente condición:
[And] [Device] [country] [Any of] [Resource] [Country]

8. Vuelve a hacer clic en el vínculo Agregar una condición y agrega la condición

siguiente.
[Y] [Usuario] [Grupo] [Miembro de cualquier] [Valor] (FinanceException)

9. Para establecer el grupo FinanceException, haz clic en Agregar elementos y, en la

ventana Seleccionar usuario, equipo, cuenta de servicio o grupo, escribe
FinanceException.

10. Haz clic en Permisos, selecciona Control total y haz clic en Aceptar.

11. En la ventana Configuración de seguridad avanzada para permisos propuestos,

selecciona FinanceException y haz clic en Quitar.

12. Haz clic en Aceptar dos veces para finalizar.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell

Set-ADCentralAccessRule

-Identity:
"CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Con
figuration,DC=Contoso.com"

-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-
21=1426421603-1057776020-1604)"

-Server: "WIN-2R92NN8VKFP.Contoso.com"

７ Nota

En el cmdlet de ejemplo anterior, el valor Servidor refleja el servidor en un entorno

de laboratorio de pruebas. Puedes usar el Visor del historial de
Windows PowerShell para buscar los cmdlets de Windows PowerShell para cada
procedimiento que realices en el Centro de administración de Active Directory. Para
obtener más información, consulte Visor del historial de Windows PowerShell

En este conjunto de permisos propuestos, los miembros del grupo FinanceException

tendrán acceso total a los archivos de su propio país cuando accedan a estos a través de
un dispositivo ubicado en el mismo país que el documento. Las entradas de auditoría
están disponibles en el registro de seguridad Servidores de archivos cuando un usuario
del Departamento Financiero intenta acceder a los archivos. Pero la configuración de
seguridad no se aplica hasta que la directiva se promociona desde el almacenamiento
provisional.

En el procedimiento siguiente verificarás los resultados de la directiva de

almacenamiento provisional. Puedes acceder a la carpeta compartida con un nombre de
usuario que tenga permisos basados en la regla actual. Esther Valle (EValle) es miembro
de FinanceException y actualmente tiene permisos de lectura. Según nuestra directiva
de almacenamiento provisional, EValle no debería tener derechos.

Para verificar los resultados de la directiva de almacenamiento

provisional
1. Conéctate al servidor de archivos FILE1 en el Administrador de Hyper-V e inicia
sesión como contoso\administrador con la contraseña pass@word1.

2. Abre una ventana del símbolo del sistema y escribe gpupdate /force. Esto
garantiza que los cambios que realices en la directiva de grupo se apliquen en el
servidor.

3. En el Administrador de Hyper-V, conéctate al servidor CLIENT1. Cierra la sesión del

usuario que haya iniciado sesión actualmente. Reinicia la máquina virtual, CLIENT1.
Después, inicia sesión en el equipo con el usuario contoso\EValle y la contraseña
pass@word1.

4. Haz doble clic en el acceso directo en el escritorio a \\FILE1\Documentos

financieros. EValle debería seguir teniendo acceso a los archivos. Cambia a FILE1.

5. Abre el Visor de eventos mediante el acceso directo en el escritorio. Expande

Registros de Windows y selecciona Seguridad. Abra las entradas con el
identificador de evento 4818 en la categoría de tarea Almacenamiento provisional
de directivas de acceso central . Verás que EValle tiene acceso permitido; pero,
según la directiva de almacenamiento provisional, el usuario no debería tener
acceso.

Pasos siguientes
Si tienes un sistema de administración del servidor central como
System Center Operations Manager, también puedes configurar la supervisión de
eventos. Esto permite a los administradores supervisar los efectos de directivas de
acceso central antes de aplicarlas.
Escenario: Auditoría de acceso a
archivos
Artículo • 21/12/2022 • Tiempo de lectura: 4 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

La auditoría de seguridad es una de las herramientas más eficaces para mantener la

seguridad de una empresa. Uno de los principales objetivos de las auditorías de
seguridad es el cumplimiento de las normas. Estándares de la industria como Sarbanes
Oxley, Health Insurance Portability and Accountability Act (HIPPA) y Payment Card
Industry (PCI) exigen que las empresas sigan un estricto conjunto de reglas relacionadas
con la seguridad y la privacidad de los datos. Las auditorías de seguridad ayudan a
establecer la presencia de dichas directivas y demuestran el cumplimiento de esos
estándares. Además, las auditorías de seguridad ayudan a detectar comportamientos
anómalos, a identificar y mitigar brechas en las directivas de seguridad y a impedir el
comportamiento irresponsable mediante la creación de un registro de la actividad del
usuario que puede utilizarse para un análisis forense.

Los requisitos de directiva de auditoría generalmente se impulsan en los siguientes

niveles:

Seguridad de la información. Los seguimientos de auditoría de acceso a archivos

a menudo se utilizan para análisis forenses y detección de intrusión. Poder obtener
eventos concretos sobre el acceso a información de alto nivel permite a las
organizaciones mejorar notablemente su tiempo de respuesta y la exactitud de la
investigación.

Directiva organizativa. Por ejemplo, las organizaciones reguladas por los

estándares PCI podrían contar con una directiva central para supervisar el acceso a
todos los archivos que están marcados como archivos que contienen información
de tarjeta de crédito e información personal identificable (PII).

Directiva departamental. Por ejemplo, es posible que el departamento de finanzas

exija que la posibilidad de modificar ciertos documentos de finanzas (como
informes de ganancias trimestrales) se restrinja al departamento de finanzas y, por
consiguiente, el departamento desearía supervisar todos los demás intentos de
modificar estos documentos.
 Directiva empresarial. Por ejemplo, es posible que los propietarios de empresas
deseen supervisar todos los intentos no autorizados de ver datos que pertenecen a
sus proyectos.

Además, quizás el departamento de cumplimiento desee supervisar todos los cambios

realizados en las directivas de autorización central y los constructos de la directiva como
atributos de usuario, equipo y recurso.

Una de las principales consideraciones de las auditorías de seguridad es el costo de

recopilar, almacenar y analizar los eventos de auditoría. Si las directivas de auditoría son
demasiado amplias, aumenta el volumen de los eventos de auditoría recopilados y esto
aumenta los costos. Si las directivas de auditoría son demasiado minuciosas, se corre el
riesgo de pasar por alto eventos importantes.

Con Windows Server 2012 , puede crear directivas de auditoría mediante notificaciones
y propiedades de recursos. Esto genera directivas de auditoría más avanzadas, más
concretas y más fáciles de administrar. Habilita escenarios que, hasta el momento, eran
imposibles o demasiado difíciles de llevar a cabo. A continuación se muestran ejemplos
de directivas de auditoría que los administradores pueden crear:

Auditar a todos los que no tienen permiso de alta seguridad e intentan obtener
acceso a un documento HBI. Por ejemplo, Audit | Everyone | All-Access |
Resource.BusinessImpact=HBI AND User.SecurityClearance!=High.

Auditar a todos los proveedores cuando intenten obtener acceso a documentos

que están relacionados con proyectos en los que están trabajando. Por ejemplo,
Audit | Everyone | All-Access | User.EmploymentStatus=Vendor AND User.Project
Not_AnyOf Resource.Project.

Estas directivas ayudan a regular el volumen de los eventos de auditoría y los limitan a
la mayoría de los datos o usuarios relevantes.

Una vez que los administradores crearon y aplicaron las directivas de auditoría, deben
tener en cuenta la recolección de información importante de los eventos de auditoría
que recopilan. Las eventos de auditoría basados en expresiones pueden ayudar a reducir
el volumen de auditorías. Sin embargo, los usuarios necesitan una manera de consultar
estos eventos para obtener información significativa y formular preguntas como "¿
Quién está accediendo a mis datos HBI?" o "¿Hubo un intento no autorizado de acceder
a datos confidenciales?"

Windows Server 2012 mejora los eventos de acceso a datos existentes con
notificaciones de usuario, equipo y recursos. Estos eventos se generan por servidor. Para
proporcionar una vista completa de los eventos de la organización, Microsoft está
trabajando con asociados que proporcionan herramientas de recopilación y análisis de
eventos, como los Servicios de recopilación de auditorías de System Center Operations
Manager.

La figura 4 muestra información general de una directiva de auditoría central.

Figura 4 Experiencias de auditoría central

Configurar y utilizar auditorías de seguridad suele implicar los siguientes pasos

generales:

1. Identificar el conjunto correcto de datos y usuarios que se deben supervisar

2. Crear y aplicar las directivas de auditoría apropiadas

3. Recopilar y analizar los eventos de auditoría

4. Administrar y supervisar las directivas que se crearon

En este escenario
Los siguientes temas proporcionan más información para este escenario:

Planear la auditoría de acceso a archivos

Implementar la auditoría de seguridad con directivas de auditoría central (pasos de

demostración)

Roles y características que se incluyen en este

escenario
En la tabla siguiente, se enumeran los roles y las características que forman parte de
este escenario y se describe la manera en que son compatibles con él.
Rol/característica Compatibilidad con este escenario

Rol de Servicios AD DS en Windows Server 2012 introduce una plataforma de autorización

de dominio de basada en notificaciones que permite crear notificaciones de usuario y
Active Directory notificaciones de dispositivo, identidad compuesta, (notificaciones de
usuario y dispositivo), nuevo modelo de directivas de acceso central (CAP) y
el uso de información de clasificación de archivos en decisiones de
autorización.

Rol de servicios Los servidores de archivos de Windows Server 2012 proporcionan una
de archivos y interfaz de usuario en la que los administradores pueden ver los permisos
almacenamiento efectivos para los usuarios de un archivo o carpeta y solucionar problemas
de acceso y conceder acceso según sea necesario.
Planear la auditoría de acceso a archivos
Artículo • 21/12/2022 • Tiempo de lectura: 6 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En la información de este tema se explican las mejoras de auditoría de seguridad que se

presentan en Windows Server 2012 y la nueva configuración de auditoría que debe
tener en cuenta a medida que implementa dynamic Access Control en su empresa. La
configuración de la directiva de auditoría que implemente dependerá de sus objetivos,
que pueden incluir el cumplimiento de las normas, la supervisión, el análisis forense y la
resolución de problemas.

７ Nota

En Planear e implementar directivas de auditoría de seguridad avanzada se

explica con detalle cómo planear e implementar una estrategia de auditoría de
seguridad general para la empresa. Para obtener más información sobre la
configuración y la implementación de una directiva de auditoría de seguridad,
consulte la Guía paso a paso de la directiva de auditoría de seguridad avanzada.

Las siguientes funcionalidades de auditoría de seguridad Windows Server 2012 se

pueden usar con dynamic Access Control para ampliar la estrategia de auditoría de
seguridad general.

Directivas de auditoría basadas en expresiones. Control de acceso dinámico le

permite crear directivas de auditoría concretas mediante el uso de expresiones
basadas en notificaciones de usuario, equipo y recursos. Por ejemplo, podría crear
una directiva de auditoría para realizar un seguimiento de las operaciones de
lectura y escritura en archivos clasificados como de alto impacto empresarial por
los empleados que no tienen permisos de alta seguridad. Las directivas de
auditoría basadas en expresiones se pueden crear directamente para un archivo o
una carpeta, o centralmente a través de la Directiva de grupo. Para obtener más
información, vea Directiva de grupo que utiliza Auditoría de acceso a objetos
global.

Información adicional de auditoría de acceso a objetos. La auditoría de acceso a

archivos no es nueva en Windows Server 2012 . Si la directiva de auditoría correcta
está vigente, los sistemas operativos Windows y Windows Server generan un
evento de auditoría cada vez que un usuario obtiene acceso a un archivo. Los
eventos de acceso a archivos existentes (4656, 4663) contienen información sobre
los atributos del archivo al que se obtuvo acceso. Las herramientas de filtrado del
registro de eventos pueden usar esta información para ayudarlo a identificar los
eventos de auditoría más relevantes. Para obtener más información, vea los temas
sobre cómo auditar la manipulación de identificadores y cómo auditar el
Administrador de cuentas de seguridad.

Obtenga más información de los eventos de inicio de sesión de usuario. Una vez
que se ha puesto en marcha la directiva de auditoría adecuada, Windows sistemas
operativos generan un evento de auditoría cada vez que un usuario inicia sesión
en un equipo de forma local o remota. En Windows Server 2012 o Windows 8,
también puede supervisar las notificaciones de usuario y dispositivo asociadas al
token de seguridad de un usuario. Algunos ejemplos son autorizaciones de
departamento, compañía, proyecto y seguridad. El evento 4626 contiene
información sobre estas notificaciones de dispositivo y usuario, que se pueden
utilizar con las herramientas de administración de registro de auditoría para
establecer una correlación entre los eventos de inicio de sesión de usuario y los
eventos de acceso a objetos con el fin de habilitar el filtrado de eventos en función
de atributos de archivo y de usuario. Para obtener más información sobre la
auditoría de inicio de sesión, consulte Auditar inicio de sesión.

Seguimiento de cambios en nuevos tipos de objetos protegibles. El seguimiento

de cambios en objetos protegibles puede ser importante en los siguientes
escenarios:

Seguimiento de cambios en directivas de acceso central y reglas de acceso

central. Las directivas y las reglas de acceso central definen la directiva central
que puede utilizarse para controlar el acceso a recursos críticos. Cualquier
cambio que se efectúe en ellas puede afectar directamente a los permisos de
acceso a archivos que se conceden a los usuarios en varios equipos. Por lo
tanto, el seguimiento de cambios en directivas y reglas de acceso central puede
ser importante para su organización. Dado que las reglas y las directivas de
acceso central se almacenan en Active Directory Domain Services (AD DS),
puede auditar los intentos de modificarlas tal y como se auditan los cambios de
cualquier otro objeto protegible en AD DS. Para obtener más información,
consulte Auditoría de acceso a Servicios de directorio.

Seguimiento de cambios en definiciones del diccionario de notificaciones. Las

definiciones de notificaciones incluyen el nombre, la descripción y los posibles
valores de la notificación. Cualquier cambio en la definición de la notificación
puede afectar a los permisos de acceso a recursos críticos. Por lo tanto, el
seguimiento de cambios en las definiciones de notificaciones puede ser
 importante para su organización. Al igual que las directivas y las reglas de
acceso central, las definiciones de notificaciones se almacenan en AD DS; por lo
tanto, se pueden auditar como cualquier otro objeto protegible de AD DS. Para
obtener más información, consulte Auditoría de acceso a Servicios de directorio.

Seguimiento de cambios en atributos de archivo. Los atributos de archivo

determinan qué regla de acceso central se aplica al archivo. Un cambio en los
atributos de archivo podría afectar a las restricciones de acceso del archivo. Por
lo tanto, puede ser importante realizar un seguimiento de los cambios en los
atributos de archivo. Puede realizar un seguimiento de los cambios en los
atributos de archivo en cualquier equipo configurando la directiva de auditoría
de cambio de directiva de autorización. Para obtener más información, vea
Auditoría de cambio de directiva de autorización y Auditoría de acceso a
objetos para sistemas de archivos. En Windows Server 2012 , el evento 4911
diferencia los cambios de directiva de atributos de archivo de otros eventos de
cambio de directiva de autorización.

Seguimiento de cambios de la directiva de acceso central asociada a un

archivo. El Evento 4913 muestra los identificadores de seguridad (SID) de las
directivas de acceso central nuevas y anteriores. Cada directiva de acceso
central también cuenta con un nombre descriptivo del usuario que se puede
buscar con el identificador de seguridad. Para obtener más información, vea
Auditoría de cambio de directiva de autorización.

Seguimiento de cambios en atributos de usuario y de equipo. Al igual que los

archivos, los objetos de usuario y equipo pueden tener atributos, y los cambios
en estos atributos pueden afectar a la capacidad del usuario de acceder a los
archivos. Por lo tanto, realizar un seguimiento de los cambios realizados en los
atributos de usuario o de equipo puede ser muy valioso. Los objetos de usuario
y equipo se almacenan en AD DS; por lo tanto, se pueden auditar los cambios
realizados en los atributos. Para obtener más información, consulte el tema
sobre el acceso DS.

Almacenamiento provisional de cambios de directiva. Los cambios realizados en

las directivas de acceso central pueden afectar a las decisiones de control de
acceso de todos los equipos en los que se aplican las directivas. Una directiva poco
estricta podría conceder más acceso del deseado y una directiva demasiado
restrictiva podría generar una cantidad excesiva de llamadas al departamento de
soporte técnico. Por lo tanto, es muy importante verificar los cambios realizados en
una directiva de acceso central antes de aplicarlos. Para ello, Windows Server 2012
el concepto de "ensayo". El almacenamiento provisional permite a los usuarios
comprobar los cambios de directiva propuestos antes de aplicarlos. Para usar el
almacenamiento provisional de directivas, se implementan las directivas
propuestas con las directivas exigidas, pero las directivas almacenadas
provisionalmente en realidad no conceden ni deniegan permisos. En su lugar,
Windows Server 2012 registra un evento de auditoría (4818) cada vez que el
resultado de la comprobación de acceso que usa la directiva por fases es diferente
del resultado de una comprobación de acceso que usa la directiva aplicada.
Implementar la auditoría de seguridad
con directivas de auditoría central
(pasos de demostración)
Artículo • 21/12/2022 • Tiempo de lectura: 4 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este escenario, auditará el acceso a los archivos de la carpeta Finance Documents

utilizando la directiva de finanzas que creó en Implementar una directiva de acceso
central (pasos de demostración). Si un usuario que no está autorizado a acceder a la
carpeta intenta acceder a ella, la actividad se captura en el visor de eventos.
Para
someter a prueba este escenario, se requieren los siguientes pasos.

Tarea Descripción

Configurar el acceso a objetos En este paso, se configura la directiva de acceso a objetos

global global en el controlador de dominio.

Actualizar directiva de grupo Inicie sesión en el servidor de archivos y aplique la

Configuración actualización de la directiva de grupo.

Comprobar la aplicación de la Visualice los eventos relevantes en el visor de eventos. Los

directiva de acceso a objetos eventos deben incluir metadatos para el país y el tipo de
global documento.

Configurar la directiva de acceso a objetos

global
En este paso, se configura la directiva de acceso a objetos global en el controlador de
dominio.

Para configurar una directiva de acceso a objetos global

1. Inicie sesión en el controlador de dominio DC1 como contoso\Administrador con

la contraseña pass@word1.

2. En Administrador del servidor, seleccione Herramientas y haga clic en

Administración de directivas de grupo.
 3. En el árbol de la consola, haga doble clic en Dominios, haga doble clic en
contoso.com, haga clic en Contoso y, a continuación, haga doble clic en
Servidores de archivos.

4. Haga clic con el botón secundario en FlexibleAccessGPO y haga clic en Editar.

5. Haga doble clic en Configuración del equipo, haga doble clic en Directivas y, a
continuación, haga doble clic en Configuración de Windows.

6. Haga doble clic en Configuración de seguridad, haga doble clic en Configuración

de directiva de auditoría avanzada y, a continuación, haga doble clic en Directivas
de auditoría.

7. Haga doble clic en Acceso a objetos y, a continuación, haga doble clic en Auditar
sistema de archivos.

8. Active la casilla Configurar los siguientes eventos de auditoría, active las casillas
Aciertos y Errores y, a continuación, haga clic en Aceptar.

9. En el panel de navegación, haga doble clic en Auditoría de acceso a objetos

global y, a continuación, haga doble clic en Sistema de archivos.

10. Active la casilla Definir esta configuración de directiva y haga clic en Configurar.

11. En el cuadro Configuración de seguridad avanzada para SACL de archivo global,

haga clic en Agregar; luego, haga clic en Seleccionar una entidad de seguridad,
escriba Todos y haga clic en Aceptar.

12. En el cuadro Entrada de auditoría para SACL de archivo global, seleccione Control
total en el cuadro Permisos.

13. En la sección Agregar una condición:, haga clic en Agregar una condición y, en las
listas desplegables, seleccione [Recurso] [Departamento] [Cualquiera de] [Valor]
[Finanzas].

14. Haga clic en Aceptar tres veces para completar la configuración de los parámetros
de la directiva de auditoría de acceso a objetos global.

15. En el panel de navegación, haga clic en Acceso a objetos y, en el panel de

resultados, haga doble clic en Auditar manipulación de identificadores. Haga clic
en Configurar los siguientes eventos de auditoría, Correcto y Error, haga clic en
Aceptar y, a continuación, cierre el GPO de acceso flexible.
Actualizar la configuración de directiva de
grupo
En este paso se actualiza la configuración de directiva de grupo después de haberla
creado.

Para actualizar la configuración de directiva de grupo

1. Inicie sesión en el servidor de archivos, FILE1 como contoso\Administrador, con la

contraseña pass@word1.

2. Presione la tecla Windows+R y escriba cmd para abrir la ventana del símbolo del
sistema.

７ Nota

Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que

la acción que se muestra es la esperada y, a continuación, haga clic en Sí.

3. Escriba gpupdate /force y presione ENTRAR.

Comprobar la aplicación de la directiva de

acceso a objetos global
Una vez aplicada la configuración de directiva de grupo, puede comprobar si la
configuración de directiva de auditoría se ha aplicado correctamente.

Para comprobar la aplicación de la directiva de acceso a objetos

global
1. Inicie sesión en el equipo cliente, CLIENT1 como Contoso\MReid. Vaya a la carpeta
HYPERLINK "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents y
modifique Word Document 2.

2. Inicie sesión en el servidor de archivos, FILE1 como contoso\administrador. Abra el

Visor de eventos, busque Registros de Windows, seleccione Seguridad y confirme
que las actividades generaron los eventos de auditoría 4656 y 4663 (aunque no
haya establecido SACL de auditoría específicos en los archivos o las carpetas que
creó, modificó y eliminó).
 ） Importante

Se genera un nuevo evento de inicio de sesión en el equipo donde se encuentra el

recurso, en nombre del usuario para el cual se está comprobando el acceso
efectivo. Al analizar los registros de auditoría de seguridad de la actividad de inicio
de sesión de los usuarios para diferenciar entre los eventos de inicio de sesión que
se generan debido al acceso efectivo y aquellos que se generan debido al inicio de
sesión de usuario interactivo en una red, se incluye información de Nivel de
suplantación. Cuando se genera el evento de inicio de sesión debido a un acceso
efectivo, el Nivel de suplantación será Identidad. Un inicio de sesión de usuario
interactivo en la red suele generar un evento de inicio de sesión con Nivel de
suplantación = Suplantación o Delegación.

Consulte también
Escenario: Auditoría de acceso a archivos

Planear la auditoría de acceso a archivos

Control de acceso dinámico: Información general sobre el escenario

Escenario: Asistencia de acceso
denegado
Artículo • 21/12/2022 • Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Los usuarios obtendrán un mensaje de acceso denegado cuando intenten acceder a los
archivos y carpetas compartidos en un servidor de archivos para el que no tienen
permisos. Con frecuencia, los administradores no tienen el contexto apropiado para
solucionar los problemas de acceso, lo que hace más difícil la resolución del problema.

Descripción del escenario

La asistencia para acceso denegado es una nueva característica de Windows Server 2012
, que proporciona las siguientes maneras de solucionar problemas relacionados con el
acceso a archivos y carpetas:

Autoasistencia. Si un usuario puede determinar el problema y solucionarlo para

obtener el acceso solicitado, el impacto para la empresa es bajo y no se necesitan
excepciones especiales en la directiva de acceso central. La asistencia para acceso
denegado proporciona un mensaje de acceso denegado que los administradores
del servidor de archivos pueden personalizar con información específica de sus
organizaciones. Por ejemplo, un administrador puede definir el mensaje para que
los usuarios puedan solicitar acceso al propietario de los datos sin implicar al
administrador del servidor de archivos.

Asistencia del propietario de datos. Puedes definir una lista de distribución para
carpetas compartidas y configurarla para que el propietario de la carpeta reciba
una notificación por correo electrónico cuando un usuario necesite acceso. Si el
propietario de los datos no sabe cómo ayudar al usuario a obtener acceso, puede
reenviar esta información al administrador del servidor de archivos.

Asistencia del administrador del servidor de archivos. Este tipo de asistencia está
disponible cuando el usuario no puede corregir un problema y el propietario de
los datos no puede ayudar. Windows Server 2012 proporciona una interfaz de
usuario donde los administradores del servidor de archivos pueden ver los
permisos efectivos de un usuario en un archivo o carpeta para que sea más fácil
solucionar problemas de acceso.
La asistencia para acceso denegado en Windows Server 2012 proporciona a los
administradores del servidor de archivos los detalles de acceso pertinentes para que
puedan determinar el problema y las herramientas adecuadas para que puedan realizar
cambios de configuración para satisfacer la solicitud de acceso. Por ejemplo, un usuario
podría seguir este proceso para acceder a un archivo al que actualmente no tiene
acceso:

El usuario intenta leer un archivo en la carpeta compartida \\financeshares, pero el

servidor muestra un mensaje de acceso denegado.

Windows Server 2012 muestra la información de asistencia de acceso denegado al

usuario con una opción para solicitar asistencia.

Si el usuario solicita acceso al recurso, el servidor envía al propietario de la carpeta

un correo electrónico con información sobre la solicitud de acceso.

Encontrarás información sobre planeación para configurar la asistencia para acceso

denegado en Planificar la asistencia para acceso denegado .

Encontrarás los pasos para configurar la asistencia para acceso denegado en

Implementar la asistencia para acceso denegado (pasos de demostración).

En este escenario
Este escenario forma parte del escenario de control de acceso dinámico. Para obtener
más información sobre el control de acceso dinámico, consulta:

Control de acceso dinámico: Información general sobre el escenario

Aplicaciones prácticas
La asistencia de acceso denegado en Windows Server 2012 contribuye a los Access
Control dinámicos al ofrecer a los usuarios la capacidad de solicitar acceso a archivos y
carpetas compartidos directamente desde un mensaje de acceso denegado.

Características incluidas en este escenario

En la tabla siguiente, se enumeran las características que forman parte de este escenario
y se describe la manera en que son compatibles con él.

Característica Compatibilidad con este escenario

Característica Compatibilidad con este escenario

File Server La asistencia para acceso denegado se puede configurar en la consola del
Resource Administrador de recursos del servidor de archivos, en el servidor de archivos.
Manager
Overview

Introducción a El Administrador de recursos del servidor de archivos es un servicio de rol de

los servicios de Servicios de archivos y almacenamiento, y está compuesto por un conjunto de
archivos y características que se pueden usar para administrar los servidores de archivos
almacenamiento de tu red.
Deploy Access-Denied Assistance
(Demonstration Steps)
Artículo • 21/12/2022 • Tiempo de lectura: 9 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este tema se explica cómo configurar la asistencia para acceso denegado y cómo
comprobar que funciona correctamente.

En este documento

Paso 1: Configurar la asistencia para acceso denegado

Paso 2: Configurar las notificaciones de correo electrónico

Paso 3: Comprobar que la asistencia para acceso denegado se ha configurado

correctamente

７ Nota

Este tema incluye cmdlets de Windows PowerShell de ejemplo que puede usar para
automatizar algunos de los procedimientos descritos. Para obtener más
información, consulte Uso de Cmdlets .

Paso 1: Configurar la asistencia para acceso

denegado
Puedes configurar la asistencia para acceso denegado en un dominio mediante la
Directiva de grupo, o bien puedes configurar la asistencia individualmente en cada
servidor de archivos mediante la consola del Administrador de recursos del servidor de
archivos. Asimismo, puedes cambiar el mensaje de acceso denegado para una carpeta
compartida específica en un servidor de archivos.

Puedes configurar la asistencia para acceso denegado para el domino mediante la

Directiva de grupo de la siguiente manera:

Realice este paso con Windows PowerShell

Cómo configurar la asistencia para acceso denegado mediante la
Directiva de grupo

1. Abra la Administración de directivas de grupo. En Administrador del servidor, haga

clic en Herramientas y, a continuación, haga clic en Administración de directivas
de grupo.

2. Haz clic con el botón secundario en la Directiva de grupo adecuada y, después, haz
clic en Editar.

3. Haz clic en Configuración del equipo, en Directivas, en Plantillas administrativas,

en Sistema y en Asistencia para acceso denegado.

4. Haz clic con el botón secundario en Personalizar el mensaje de error de acceso

denegado y, después, haz clic en Editar.

5. Seleccione la opción Habilitado.

6. Configure las siguientes opciones:

a. En el cuadro Mostrar el siguiente mensaje a usuarios a los que se deniegue el

acceso, escribe el mensaje que verán los usuarios cuando no se les permita el
acceso a un archivo o carpeta.

Puedes agregar macros al mensaje para insertar texto personalizado. Las

macros incluyen:

[Ruta de acceso del archivo original] La ruta de acceso del archivo

original a la que accedió el usuario.

[Carpeta de la ruta de acceso del archivo original] La carpeta principal de

la ruta de acceso del archivo original a la que accedió el usuario.

[Correo electrónico de admin.] La lista de destinatarios de correos

electrónicos del administrador.

[Correo electrónico del propietario de los datos] La lista de destinatarios

de correos electrónicos del propietario de los datos.

b. Selecciona el cuadro de texto Permitir que los usuarios soliciten asistencia.

c. Deja los demás ajustes de la configuración predeterminada.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el
procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-GPRegistryValue -Name "Name of GPO" -key

"HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName
AllowEmailRequests -Type DWORD -value 1

Set-GPRegistryValue -Name "Name of GPO" -key

"HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName
GenerateLog -Type DWORD -value 1

Set-GPRegistryValue -Name "Name of GPO" -key

"HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName
IncludeDeviceClaims -Type DWORD -value 1

Set-GPRegistryValue -Name "Name of GPO" -key

"HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName
IncludeUserClaims -Type DWORD -value 1

Set-GPRegistryValue -Name "Name of GPO" -key

"HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName
PutAdminOnTo -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key
"HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName
PutDataOwnerOnTo -Type DWORD -value 1

Set-GPRegistryValue -Name "Name of GPO" -key

"HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName
ErrorMessage -Type MultiString -value "Type the text that the user will see
in the error message dialog box."
Set-GPRegistryValue -Name "Name of GPO" -key
"HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName
Enabled -Type DWORD -value 1

También se puede configurar la asistencia para acceso denegado individualmente en

cada servidor de archivos mediante la consola del Administrador de recursos del
servidor de archivos.

Realice este paso con Windows PowerShell

Cómo configurar la asistencia para acceso denegado mediante el

Administrador de recursos del servidor de archivos

1. Abra el Administrador de recursos del servidor de archivos. En el Administrador del

servidor, haz clic en Herramientas y, luego, en Administrador de recursos del
servidor de archivos.

2. Haz clic con el botón secundario en Administrador de recursos del servidor de

archivos (local) y, después, haz clic en Configurar opciones.
 3. Haz clic en la pestaña Asistencia para acceso denegado.

4. Selecciona el cuadro de texto Habilitar asistencia para acceso denegado.

5. En el cuadro Mostrar el siguiente mensaje a usuarios a los que se deniegue el

acceso a una carpeta o archivo, escribe el mensaje que verán los usuarios cuando
no se les permita el acceso a un archivo o carpeta.

Puedes agregar macros al mensaje para insertar texto personalizado. Las macros
incluyen:

[Ruta de acceso del archivo original] La ruta de acceso del archivo original a
la que accedió el usuario.

[Carpeta de la ruta de acceso del archivo original] La carpeta principal de la

ruta de acceso del archivo original a la que accedió el usuario.

[Correo electrónico de admin.] La lista de destinatarios de correos

electrónicos del administrador.

[Correo electrónico del propietario de los datos] La lista de destinatarios de

correos electrónicos del propietario de los datos.

6. Haz clic en Configurar solicitudes de correo electrónico, selecciona el cuadro de

diálogo Permitir que los usuarios soliciten asistencia y haz clic en Aceptar.

7. Haz clic en Vista previa si deseas comprobar cómo verá el usuario el mensaje de
error.

8. Haga clic en OK.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-FSRMAdrSetting -Event "AccessDenied" -DisplayMessage "Type the text that

the user will see in the error message dialog box." -Enabled:$true -
AllowRequests:$true

Después de configurar la asistencia para acceso denegado, debes habilitarla para todos
los tipos de archivos mediante la Directiva de grupo.
Realice este paso con Windows PowerShell

Cómo configurar la asistencia para acceso denegado para todos los

tipos de archivos mediante la Directiva de grupo

1. Abra la Administración de directivas de grupo. En Administrador del servidor, haga

clic en Herramientas y, a continuación, haga clic en Administración de directivas
de grupo.

2. Haz clic con el botón secundario en la Directiva de grupo adecuada y, después, haz
clic en Editar.

3. Haz clic en Configuración del equipo, en Directivas, en Plantillas administrativas,

en Sistema y en Asistencia para acceso denegado.

4. Haz clic con el botón secundario en Habilitar la asistencia para acceso denegado
en cliente para todos los tipos de archivos y, después, haz clic en Editar.

5. Haga clic en Habilitada y, a continuación, haga clic en Aceptar.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-GPRegistryValue -Name "Name of GPO" -key

"HKLM\SOFTWARE\Policies\Microsoft\Windows\Explore" -ValueName
EnableShellExecuteFileStreamCheck -Type DWORD -value 1

También puede especificarse un mensaje de acceso denegado diferente para cada

carpeta compartida en un servidor de archivos mediante la consola del Administrador
de recursos del servidor de archivos.

Realice este paso con Windows PowerShell

Cómo especificar un mensaje de acceso denegado diferente para

cada carpeta compartida mediante el Administrador de recursos
del servidor de archivos
 1. Abra el Administrador de recursos del servidor de archivos. En el Administrador del
servidor, haz clic en Herramientas y, luego, en Administrador de recursos del
servidor de archivos.

2. Expande Administrador de recursos del servidor de archivos (local) y haz clic en

Administración de clasificaciones.

3. Haz clic con el botón secundario en Propiedades de clasificación y, después, haz

clic en Establecer propiedades de administración de carpetas.

4. En el cuadro Propiedad, haz clic en Mensaje de asistencia para acceso denegado

y, después, haz clic en Agregar.

5. Haz clic en Examinar y elige la carpeta que debe tener el mensaje personalizado
para el acceso denegado.

6. En el cuadro Valor, escribe el mensaje que verán los usuarios cuando no puedan
acceder a un recurso dentro de esa carpeta.

Puedes agregar macros al mensaje para insertar texto personalizado. Las macros
incluyen:

[Ruta de acceso del archivo original] La ruta de acceso del archivo original a
la que accedió el usuario.

[Carpeta de la ruta de acceso del archivo original] La carpeta principal de la

ruta de acceso del archivo original a la que accedió el usuario.

[Correo electrónico de admin.] La lista de destinatarios de correos

electrónicos del administrador.

[Correo electrónico del propietario de los datos] La lista de destinatarios de

correos electrónicos del propietario de los datos.

7. Haga clic en Aceptary, a continuación, en Cerrar.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-FSRMMgmtProperty -Namespace "folder path" -Name "AccessDeniedMessage_MS"

-Value "Type the text that the user will see in the error message dialog
box."

Paso 2: Configurar las notificaciones de correo

electrónico
Debes configurar las notificaciones de correo electrónico en cada servidor de archivos
que enviará los mensajes de asistencia para acceso denegado.

Realice este paso con Windows PowerShell

1. Abra el Administrador de recursos del servidor de archivos. En el Administrador del

servidor, haz clic en Herramientas y, luego, en Administrador de recursos del
servidor de archivos.

2. Haz clic con el botón secundario en Administrador de recursos del servidor de

archivos (local) y, después, haz clic en Configurar opciones.

3. Haz clic en la pestaña Notificaciones de correo electrónico.

4. Configure las siguientes opciones:

En el cuadro Nombre del servidor SMTP o dirección IP, escribe el nombre de

la dirección IP del servidor SMTP de tu organización.

En los cuadros Destinatarios de administrador predeterminados y Dirección

de correo electrónico predeterminada "Desde", escriba la dirección de
correo electrónico del administrador del servidor de archivos.

5. Haz clic en Enviar correo electrónico de prueba para asegurarte de que las
notificaciones de correo electrónico están configuradas correctamente.

6. Haga clic en OK.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

set-FSRMSetting -SMTPServer "server1" -AdminEmailAddress

"[email protected]" -FromEmailAddress "[email protected]"

Paso 3: Comprobar que la asistencia para

acceso denegado se ha configurado
correctamente
Puede comprobar que la asistencia de acceso denegada está configurada correctamente
si un usuario que ejecuta Windows 8 intenta acceder a un recurso compartido o a un
archivo de ese recurso compartido al que no tiene acceso. Cuando aparezca el mensaje
de acceso denegado, el usuario debería ver el botón Solicitar asistencia. Después de
hacer clic en el botón Solicitar asistencia, el usuario podrá especificar la razón del acceso
y enviar un correo electrónico al propietario de la carpeta o al administrador del
servidor de archivos. El propietario de la carpeta o el administrador del servidor de
archivos podrán informarte de que han recibido el correo electrónico y de que contiene
los detalles adecuados.

） Importante

Si desea comprobar la asistencia de acceso denegado al tener un usuario que

ejecuta Windows Server 2012 , debe instalar la experiencia de escritorio antes de
conectarse al recurso compartido de archivos.

Vea también
Escenario: Asistencia de acceso denegado

Planear la asistencia para acceso denegado

Control de acceso dinámico: Información general sobre el escenario

Escenario: Cifrado de documentos de
Office basado en la clasificación
Artículo • 21/12/2022 • Tiempo de lectura: 4 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

La protección de la información confidencial se centra principalmente en mitigar el

riesgo para la organización. Diversas normas de cumplimiento, como la HIPAA (Health
Insurance Portability and Accountability Act) o el estándar de seguridad de datos para la
industria de tarjetas de pago (PCI-DSS), dictan el cifrado de la información y hay
numerosos motivos empresariales para cifrar la información empresarial confidencial.
Sin embargo, cifrar la información resulta costoso y podría afectar a la productividad
empresarial. Por lo tanto, las organizaciones tienden a adoptar distintos enfoques y
prioridades para cifrar su información.

Descripción del escenario

Windows Server 2012 proporciona la capacidad de cifrar automáticamente los archivos
confidenciales Microsoft Office, en función de su clasificación. Esto se realiza a través de
tareas de administración de archivos que invocan la protección mediante Active
Directory Rights Management Services (AD RMS) de los documentos confidenciales
unos pocos segundos después de haber identificado el archivo como confidencial en el
servidor de archivos. Esto se realiza mediante las tareas continuas de administración de
archivos en el servidor de archivos.

El cifrado de AD RMS proporciona otra capa de protección para los archivos. Aunque
una persona con acceso a un archivo confidencial lo envíe sin querer por correo
electrónico, el archivo está protegido por el cifrado de AD RMS. Los usuarios que
quieran acceder al archivo deben autenticarse primero en un servidor de AD RMS para
recibir la clave de descifrado. En la ilustración siguiente se muestra este proceso.
Figura 6 Protección de RMS basada en clasificación

La compatibilidad con formatos de archivo que no son de Microsoft está disponible a

través de terceros. Una vez protegido un archivo con el cifrado de AD RMS, las
características de administración de datos como la clasificación basada en búsquedas o
en contenido ya no están disponibles para ese archivo.

En este escenario
La siguiente es información que está disponible para este escenario:

Consideraciones de planificación para el cifrado de documentos de Office

Deploy Encryption of Office Files (Demonstration Steps)

Control de acceso dinámico: Información general sobre el escenario

Roles y características que se incluyen en este

escenario
En la tabla siguiente, se enumeran los roles y las características que forman parte de
este escenario y se describe la manera en que son compatibles con él.

Rol/característica Compatibilidad con este escenario

Rol/característica Compatibilidad con este escenario

Rol Servicio de AD DS proporciona una base de datos distribuida que almacena y administra
dominio de Active información acerca de los recursos de red y datos específicos de las
Directory (AD DS) aplicaciones habilitadas para el uso de directorios. En este escenario, AD DS
en Windows Server 2012 introduce una plataforma de autorización basada
en notificaciones que permite la creación de notificaciones de usuario y
notificaciones de dispositivo, identidad compuesta (notificaciones de usuario
y dispositivo), un nuevo modelo de directivas de acceso central y el uso de
información de clasificación de archivos en decisiones de autorización.

Rol de servicios Servicios de archivos y almacenamiento incluye tecnologías que permiten

de archivos y configurar y administrar uno o más servidores de archivos que proporcionan
almacenamiento ubicaciones centrales en la red para almacenar archivos y compartirlos con
File Server los usuarios. Si los usuarios de la red necesitan tener acceso a los mismos
Resource archivos y aplicaciones, o si la administración centralizada de archivos y
Manager copias de seguridad es importante en su organización, deberá configurar
uno o más equipos como servidor de archivos. Para ello, debe agregar a los
equipos el rol Servicios de archivos y almacenamiento y los servicios de rol
pertinentes. En este escenario, los administradores de servidores de archivo
pueden configurar las tareas de administración de archivos que invocan la
protección mediante AD RMS de los documentos confidenciales unos pocos
segundos después de haber identificado el archivo como confidencial en el
servidor de archivos (tareas continuas de administración de archivos en el
servidor de archivos).

Rol Active AD RMS permite que personas y administradores especifiquen permisos de

Directory Rights acceso a documentos, libros y presentaciones a través de las directivas de
Management Information Rights Management (IRM). Esto ayuda a impedir que personas
Services (AD RMS) no autorizadas impriman, reenvíen o copien la información confidencial.
Después de que ha restringido el permiso para un archivo mediante IRM, se
aplican las restricciones de acceso y uso sin importar dónde se encuentre la
información, ya que el permiso para un archivo se almacena en el archivo de
documento mismo. En este escenario, el cifrado de AD RMS proporciona
otra capa de protección para los archivos. Aunque una persona con acceso a
un archivo confidencial lo envíe sin querer por correo electrónico, el archivo
está protegido por el cifrado de AD RMS. Los usuarios que quieran acceder
al archivo deben autenticarse primero en un servidor de AD RMS para recibir
la clave de descifrado.
Deploy Encryption of Office Files
(Demonstration Steps)
Artículo • 21/12/2022 • Tiempo de lectura: 12 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

El Departamento de Finanzas de Contoso tiene una serie de servidores de archivos que

almacenan sus documentos. Estos documentos pueden ser documentación general o
pueden tener un alto impacto para la empresa (HBI). Por ejemplo, Contoso considera
que todos los documentos que contengan información confidencial tienen un alto
impacto para la empresa. Contoso quiere asegurarse de que toda su documentación
tenga una protección mínima y que su documentación HBI se restrinja a las personas
adecuadas. Para ello, Contoso está explorando mediante la infraestructura de
clasificación de archivos (FCI) y AD RMS que está disponible en Windows Server 2012 .
Con FCI, Contoso clasificará todos los documentos de su servidor de archivos según el
contenido y, después, usará AD RMS para aplicar la directiva de derechos apropiada.

En este escenario, realizará los pasos siguientes:

Tarea Descripción

Habilitar las propiedades Habilita las propiedades de recursos Impacto e Información de

de recursos identificación personal.

Crear reglas de Crea las siguientes reglas de clasificación: Regla de clasificación HBI
clasificación y Regla de clasificación PII.

Usar tareas de Crea una tarea de administración de archivos que use

administración de automáticamente AD RMS para proteger los documentos con
archivos para proteger los información de identificación personal (PII). Solo los miembros del
documentos grupo FinanceAdmin tendrán acceso a los documentos que
automáticamente con contienen PII.
AD RMS

Visualización de los Examina la clasificación de los documentos y observa cómo cambian

resultados cuando cambias el contenido del documento. Comprueba también
cómo se protege el documento con AD RMS.

Comprobar la protección Comprueba que el documento está protegido con AD RMS.

de AD RMS
Paso 1: Habilitar las propiedades de recursos

Para habilitar las propiedades de recursos

1. En el Administrador de Hyper-V, conecta con el servidor ID_AD_DC1. Inicia sesión

en el servidor usando Contoso\Administrador con la contraseña pass@word1.

2. Abre el Centro de administración de Active Directory y haz clic en Vista de árbol.

3. Expande CONTROL DE ACCESO DINÁMICO y selecciona Propiedades de recursos.

4. Desplázate hacia abajo hasta la propiedad Impacto en la columna Nombre para

mostrar. Haz clic con el botón secundario en Impact y, luego, haz clic en Habilitar.

5. Desplázate hacia abajo hasta la propiedad Información de identificación personal

en la columna Nombre para mostrar. Haz clic con el botón secundario en
Personally Identifiable Information y, luego, haz clic en Habilitar.

6. Para publicar las propiedades de recursos en la Lista de recursos global, en el

panel izquierdo, haz clic en Listas de propiedades de recursos y, después, haz
doble clic en Lista de propiedades de recursos global.

7. Haz clic en Agregar, desplázate hacia abajo y haz clic en Impacto para agregarla a
la lista. Haz lo mismo para Información de identificación personal. Haz clic en
Aceptar dos veces para finalizar.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource

Properties,CN=Claims
Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource

Properties,CN=Claims
Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

Paso 2: Crear reglas de clasificación

En este paso se explica cómo crear la regla de clasificación Alto impacto. Esta regla
buscará el contenido de los documentos y, si se encuentra la cadena "Contoso
Confidential", clasificará este documento como de alto impacto empresarial. Esta
clasificación invalidará la clasificación previamente asignada de bajo impacto para la
empresa.

También crearás una regla Alta PII. Esta regla busca en el contenido de los documentos
y, si encuentra un número de la Seguridad Social, clasifica el documento como
contenido de alta PII.

Para crear la regla de clasificación de alto impacto

1. En el Administrador de Hyper-V, conecta con el servidor ID_AD_FILE1. Inicia sesión
en el servidor usando Contoso\Administrador con la contraseña pass@word1.

2. Tienes que actualizar las propiedades de recursos globales desde Active Directory.
Abra Windows PowerShell, escriba Update-FSRMClassificationPropertyDefinition y,
luego, presione ENTRAR. Cierra Windows PowerShell.

3. Abra el Administrador de recursos del servidor de archivos. Para abrir el

Administrador de recursos del servidor de archivos haz clic en Inicio, escribe
administrador de recursos del servidor de archivos y haz clic en Administrador
de recursos del servidor de archivos.

4. En el panel izquierdo del Administrador de recursos del servidor de archivos,

expande Administración de clasificaciones y selecciona Reglas de clasificación.

5. En el panel Acciones, haz clic en Configurar programación de clasificación. En la

pestaña Clasificación automática, selecciona Habilitar programación fija,
selecciona un Día de la semana y, después, activa la casilla Permitir clasificación
continua para archivos nuevos. Haga clic en OK.

6. En el panel Acciones, haz clic en Crear regla de clasificación. Se abrirá el cuadro

de diálogo Crear regla de clasificación.

7. En el cuadro Nombre de regla, escribe Alto impacto para la empresa.

8. En el cuadro Descripción , escriba Determina si el documento tiene un alto

impacto empresarial en función de la presencia de la cadena "Contoso
Confidential"

9. En la pestaña Ámbito, haz clic en Establecer propiedades de administración de

carpetas, selecciona Uso de carpeta, haz clic en Agregar y en Examinar, ve a
D:\Finance Documents como ruta de acceso, haz clic en Aceptar y, después, elige
 un valor de propiedad llamado Archivos de grupo y haz clic en Cerrar. Una vez
establecidas las propiedades de administración, en la pestaña Ámbito de regla,
selecciona Archivos de grupo.

10. Haga clic en la pestaña Clasificación . En Elegir un método para asignar la

propiedad a los archivos, seleccione Clasificador de contenido en la lista
desplegable.

11. En Elija una propiedad para asignar a los archivos, selecciona Impacto en la lista
desplegable.

12. En Especifique un valor, selecciona Alto en la lista desplegable.

13. Haz clic en Configurar, en Parámetros. En el cuadro de diálogo Parámetros de

clasificación, en la lista Tipo de expresión, selecciona Cadena. En el cuadro
Expresión , escribe: Contoso Confidencial, y haz clic en Aceptar.

14. Haga clic en la pestaña Tipo de evaluación . Haga clic en Volver a evaluar los
valores de propiedad existentes, haga clic en Sobrescribir el valor existente y, a
continuación, haga clic en Aceptar para finalizar.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Update-FSRMClassificationPropertyDefinition

$date = Get-Date

$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -

Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;

Set-FsrmClassification -Continuous -schedule

$AutomaticClassificationScheduledTask

New-FSRMClassificationRule -Name "High Business Impact" -Property

"Impact_MS" -Description "Determines if the document has a high business
impact based on the presence of the string 'Contoso Confidential'" -
PropertyValue "3000" -Namespace @("D:\Finance Documents") -
ClassificationMechanism "Content Classifier" -Parameters
@("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

Para crear la regla de clasificación de alta PII

1. En el Administrador de Hyper-V, conecta con el servidor ID_AD_FILE1. Inicia sesión

en el servidor usando Contoso\Administrador con la contraseña pass@word1.
 2. En el escritorio, abre la carpeta Expresiones regulares y, después, abre el
documento de texto llamado RegEx-SSN. Resalte y copie la siguiente cadena de
expresión regular: ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?) (?! 00)\d\d\3(?!
0000)\d{4}$. Esta cadena se usará más adelante en este paso; guárdala en el
portapapeles.

3. Abra el Administrador de recursos del servidor de archivos. Para abrir el

Administrador de recursos del servidor de archivos haz clic en Inicio, escribe
administrador de recursos del servidor de archivos y haz clic en Administrador
de recursos del servidor de archivos.

4. En el panel izquierdo del Administrador de recursos del servidor de archivos,

expande Administración de clasificaciones y selecciona Reglas de clasificación.

5. En el panel Acciones, haz clic en Configurar programación de clasificación. En la

pestaña Clasificación automática, selecciona Habilitar programación fija,
selecciona un Día de la semana y, después, activa la casilla Permitir clasificación
continua para archivos nuevos. Haga clic en Aceptar.

6. En el cuadro Nombre de regla, escribe Alta PII. En el cuadro Descripción, escribe

Determina si el documento tiene una alta PII para la empresa en función de la
presencia de un número de la Seguridad Social.

7. Haz clic en la pestaña Ámbito y activa la casilla Archivos de grupo.

8. Haga clic en la pestaña Clasificación . En Elegir un método para asignar la

propiedad a los archivos, seleccione Clasificador de contenido en la lista
desplegable.

9. En Elija una propiedad para asignar a los archivos, selecciona Información de

identificación personal en la lista desplegable.

10. En Especifique un valor, selecciona Alto en la lista desplegable.

11. Haz clic en Configurar, en Parámetros.

En el panel Parámetros de clasificación, en
la lista Tipo de expresión , selecciona Expresión regular. En el cuadro Expresión ,
pegue el texto del Portapapeles: ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?) (?!
00)\d\d\3(?! 0000)\d{4}$y, a continuación, haga clic en Aceptar.

７ Nota

Esta expresión permitirá números de la Seguridad Social no válidos. Esto nos

permite usar números de la Seguridad Social ficticios en la demostración.
 12. Haga clic en la pestaña Tipo de evaluación . Seleccione Volver a evaluar los
valores de propiedad existentes, Sobrescribir el valor existente y, a continuación,
haga clic en Aceptar para finalizar.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the

document has a high PII based on the presence of a Social Security Number."
-Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance
Documents") -ClassificationMechanism "Content Classifier" -Parameters
@("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([
-]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

Ahora deberías tener dos reglas de clasificación:

Repercusión empresarial alta

Alta PII

Paso 3: Usar tareas de administración de

archivos para proteger los documentos
automáticamente con AD RMS
Ahora que ha creado reglas para clasificar automáticamente documentos en función del
contenido, el siguiente paso es crear una tarea de administración de archivos que use
AD RMS para proteger automáticamente determinados documentos en función de su
clasificación. En este paso, crearás una tarea de administración de archivos que protege
automáticamente todos los documentos con una alta PII. Solo los miembros del grupo
FinanceAdmin tendrán acceso a los documentos que contienen PII.

Para proteger los documentos con AD RMS

1. En el Administrador de Hyper-V, conecta con el servidor ID_AD_FILE1. Inicia sesión
en el servidor usando Contoso\Administrador con la contraseña pass@word1.

2. Abra el Administrador de recursos del servidor de archivos. Para abrir el

Administrador de recursos del servidor de archivos haz clic en Inicio, escribe
 administrador de recursos del servidor de archivos y haz clic en Administrador
de recursos del servidor de archivos.

3. En el panel izquierdo, selecciona Tareas de administración de archivos. En el panel

Acciones, selecciona Crear tarea de administración de archivos.

4. En el campo Nombre de tarea:, escribe Alta PII. En el campo Descripción, escribe

Protección automática con RMS para documentos de alta PII.

5. Haz clic en la pestaña Ámbito y activa la casilla Archivos de grupo.

6. Haga clic en la pestaña Acción . En Tipo, seleccione Cifrado RMS. Haz clic en
Examinar y selecciona la plantilla Contoso Finance Admin Only.

7. Haz clic en la pestaña Condición y haz clic en Agregar. En Propiedad, selecciona

Información de identificación personal. En Operador, seleccionaIgual. En Valor,
selecciona Alto. Haga clic en OK.

8. Haga clic en la pestaña Programación . En la sección Programación , haga clic en

Semanal y, a continuación, seleccione Domingo. Al ejecutar la tarea una vez a la
semana, te aseguras de capturar los documentos que se puedan haber perdido
debido a una interrupción del servicio u otro evento disruptivo.

9. En la sección Operación continua, selecciona Ejecutar continuamente en archivos

nuevos y haz clic en Aceptar. Ahora deberías tener una tarea de administración de
archivos llamada Alta PII.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso

Finance Admin Only'

$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal'

-Value '5000'

$date = get-date

$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')

$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS

protection for high PII documents" -Namespace @('D:\Finance Documents') -
Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition
@($fmjCondition1)

Paso 4: Ver los resultados

Es el momento de echar un vistazo a las nuevas reglas de protección de AD RMS y
clasificación automática en acción. En este paso, examinarás la clasificación de los
documentos y observarás cómo cambian cuando cambias el contenido del documento.

Para ver los resultados

1. En el Administrador de Hyper-V, conecta con el servidor ID_AD_FILE1. Inicia sesión

en el servidor usando Contoso\Administrador con la contraseña pass@word1.

2. En el Explorador de Windows, ve a D:\Finance Documents.

3. Haz clic con el botón derecho en el documento Finance Memo y haz clic en
Propiedades. Haz clic en la pestaña Clasificación y observa que la propiedad
Impacto no tiene ningún valor. Haga clic en Cancelar.

4. Haz clic con el botón derecho en el documento Request for approval to Hire y
selecciona Propiedades.

5. Haz clic en la pestaña Clasificación y observa que la propiedad Información de

identificación personal no tiene ningún valor. Haga clic en Cancelar.

6. Cambia a CLIENT1. Cierra la sesión de todos los usuarios que tengan sesión abierta
y, después, inicia sesión como Contoso\MReid con la contraseña pass@word1.

7. En el escritorio, abre la carpeta compartida Finance Documents.

8. Abre el documento Finance Memo. Cerca de la parte inferior del documento, verás
la palabra Confidential. Cámbiala por: Contoso Confidential. Guarde el
documento y ciérrelo.

9. Abre el documento Request for Approval to Hire. En la sección Social Security#: ,

escribe: 777-77-7777. Guarde el documento y ciérrelo.

７ Nota

Puede que tengas que esperar 30 segundos para que se produzca la

clasificación.

10. Cambia de nuevo a ID_AD_FILE1. En el Explorador de Windows, ve a D:\Finance

Documents.
 11. Haga clic con el botón derecho en el documento Finance Memo y haz clic en
Propiedades. Haga clic en la pestaña Clasificación . Observe que la propiedad
Impacto ahora está establecida en Alta. Haga clic en Cancelar.

12. Haz clic con el botón derecho en el documento Request for Approval to Hire y
selecciona Propiedades.

13. . Haga clic en la pestaña Clasificación . Observe que la propiedad Información de

identificación personal ahora está establecida en Alta. Haga clic en Cancelar.

Paso 5: Comprobar la protección con AD RMS

Para comprobar que el documento está protegido

1. Cambia de nuevo a ID_AD_CLIENT1.

2. Abre el documento Request for approval to Hire.

3. Haz clic en Aceptar para que el documento se conecte con el servidor de AD RMS.

4. Ahora verás que el documento ha sido protegido con AD RMS porque contiene un
número de la Seguridad Social.
Escenario: Comprender los datos
mediante la clasificación
Artículo • 21/12/2022 • Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En la mayoría de las organizaciones ha ido aumentando la dependencia de los datos y

los recursos de almacenamiento. Los administradores de TI se enfrentan al creciente
desafío que supone la supervisión de infraestructuras de almacenamiento cada vez más
grandes y más complejas, al mismo tiempo que se les asigna la responsabilidad de
garantizar que el costo total de la propiedad se mantenga en un nivel razonable. La
administración de recursos de almacenamiento no se limita solo al volumen o la
disponibilidad de datos, sino que implica además cumplir las directivas de la compañía y
saber cómo se consume el almacenamiento para permitir un uso y un cumplimiento
eficaces que mitiguen el riesgo. La infraestructura de clasificación de archivos permite
obtener una idea clara de los datos mediante la automatización de los procesos de
clasificación con el fin de poder administrar los datos de manera más eficaz. La
infraestructura de clasificación de archivos proporciona los siguientes métodos de
clasificación: manual, mediante programación y automática. Este tema se centra en el
método de clasificación automática de archivos.

Descripción del escenario

La infraestructura de clasificación de archivos usa reglas de clasificación para examinar
los archivos y clasificarlos según su contenido. Las propiedades de clasificación se
definen de forma centralizada en Active Directory para que estas definiciones se puedan
compartir en todos los servidores de archivos de la organización. Puedes crear reglas de
clasificación que busquen en los archivos una cadena estándar o una cadena que
coincida con un patrón (expresión regular). Cuando se encuentra un parámetro de
clasificación configurado en un archivo, ese archivo se clasifica como configurado en la
regla de clasificación. Algunos ejemplos de reglas de clasificación son:

Clasificar cualquier archivo que contenga la cadena "Contoso Confidential" como

de alto impacto empresarial

Clasificar cualquier archivo que contenga al menos 10 números de la seguridad

social como archivo que contiene información de identificación personal.
Cuando se clasifica un archivo, puedes usar una tarea de administración de archivos
para realizar una acción en cualquier archivo que esté clasificado de una forma
específica. Las acciones de una tarea de administración de archivos incluyen proteger
los derechos asociados con el archivo, expirar el archivo y ejecutar una acción
personalizada (como publicar información en un servicio web).

Encontrarás información sobre planificación para configurar la clasificación automática

de archivos en Planificar la clasificación automática de archivos .

Puede encontrar los pasos para clasificar automáticamente los archivos en Deploy
Automatic File Classification (Demonstration Steps) (Implementar clasificación
automática de archivos [pasos de demostración]).

En este escenario
Este escenario forma parte del escenario de control de acceso dinámico. Para obtener
más información sobre el control de acceso dinámico, consulta:

Control de acceso dinámico: Información general sobre el escenario

Aplicaciones prácticas
La infraestructura de clasificación de archivos Windows Server 2012 contribuye a la
Access Control dinámica al permitir que los propietarios de datos empresariales
clasifiquen y etiquete fácilmente los datos. La información de clasificación que se
almacena en la directiva de acceso central permite definir directivas de acceso para las
clases de datos que son críticos para la empresa.

Características incluidas en este escenario

En la tabla siguiente, se enumeran las características que forman parte de este escenario
y se describe la manera en que son compatibles con él.

Característica Compatibilidad con este escenario

File Server Resource La infraestructura de clasificación de archivos es una característica

Manager Overview incluida en el Administrador de recursos del servidor de archivos.

Introducción a los servicios Administrador de recursos del servidor de archivos es una

de archivos y característica incluida en el rol de servidor Servicios de archivo.
almacenamiento
Deploy Automatic File Classification
(Demonstration Steps)
Artículo • 21/12/2022 • Tiempo de lectura: 7 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este tema te enseñamos a habilitar propiedades de recurso en Active Directory y a

crear reglas de clasificación en el servidor de archivos para, luego, asignar valores a las
propiedades de recurso de archivos del servidor de archivos. En este ejemplo, crearemos
las siguientes reglas de clasificación:

Regla de clasificación de contenido que busca un conjunto de archivos para la

cadena "Contoso Confidential". Si esa cadena se detecta en un archivo, la
propiedad de recurso Impact se establece en Alta en dicho archivo.

Una regla de clasificación de contenido que busque en un conjunto de archivos

una expresión regular que coincida con un número de la Seguridad Social 10 veces
como mínimo en un archivo. Si se cumple el patrón, el archivo se clasifica como
que tiene información de identificación personal y, como tal, la propiedad de
recurso Personally Identifiable Information se establece en Alta.

En este documento

Paso 1: crear definiciones de propiedad de recurso

Paso 2: crear una regla de clasificación de contenido de cadena

Paso 3: crear una regla de clasificación de contenido de expresión regular

Paso 4: Comprobar que los archivos están clasificados

７ Nota

Este tema incluye cmdlets de Windows PowerShell de ejemplo que puede usar para
automatizar algunos de los procedimientos descritos. Para obtener más
información, consulte Uso de Cmdlets .
Paso 1: crear definiciones de propiedad de
recurso
Las propiedades de recurso Impact y Personally Identifiable Information se habilitan
para que la infraestructura de clasificación de archivos pueda usarlas para etiquetar los
archivos que se analizan en una carpeta compartida de red.

Realice este paso con Windows PowerShell

Para crear definiciones de propiedad de recurso

1. En el controlador de dominio, inicia sesión en el servidor como miembro del grupo

de seguridad Admins. del dominio.

2. Abre el Centro de administración de Active Directory. En Administrador del

servidor, haz clic en Herramientas y, después, en Centro de administración de
Active Directory.

3. Expande Control de acceso dinámico y, luego, haz clic en Propiedades de recurso.

4. Haz clic con el botón secundario en Impact y, luego, haz clic en Habilitar.

5. Haz clic con el botón secundario en Personally Identifiable Information y, luego,

haz clic en Habilitar.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-ADResourceProperty '"Enabled:$true '"Identity:'CN=Impact_MS,CN=Resource

Properties,CN=Claims
Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com'

Set-ADResourceProperty '"Enabled:$true '"Identity:'CN=PII_MS,CN=Resource

Properties,CN=Claims
Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com'

Paso 2: crear una regla de clasificación de

contenido de cadena
Una regla de clasificación de contenido de cadena analiza un archivo en busca de una
cadena específica. Si la cadena se encuentra, se podrá configurar el valor de una
propiedad de recurso. En este ejemplo, examinaremos cada archivo en una carpeta
compartida de red y buscaremos la cadena "Contoso Confidential". Si la hallamos, el
archivo asociado se clasificará como que tiene un gran impacto empresarial.

Realice este paso con Windows PowerShell

Para crear una regla de clasificación de contenido de cadena

1. Inicia sesión en el servidor de archivos como miembro del grupo de seguridad
Administradores.

2. En el símbolo del sistema de Windows PowerShell, escribe Update-

FsrmClassificationPropertyDefinition y presiona ENTRAR. Esto hará que las
definiciones de propiedades creadas en el controlador de dominio se sincronicen
en el servidor de archivos.

3. Abra el Administrador de recursos del servidor de archivos. En el Administrador del

servidor, haz clic en Herramientas y, luego, en Administrador de recursos del
servidor de archivos.

4. Expande Administración de clasificaciones, haz clic con el botón secundario en

Reglas de clasificación y, luego, haz clic en Configurar programación de
clasificación.

5. Activa la casilla Habilitar programación fija y la casilla Permitir clasificación

continua para archivos nuevos, elige el día de la semana en que quieras ejecutar
la clasificación y, luego, haz clic en Aceptar.

6. Haz clic con el botón secundario en Reglas de clasificación y, luego, haz clic en
Crear regla de clasificación.

7. En el cuadro Nombre de regla de la pestaña General, escribe un nombre de regla

como, por ejemplo, Contoso Confidential.

8. En la pestaña Ámbito, haz clic en Agregar y elige las carpetas que deben incluirse
en esta regla (por ejemplo, D:\Finance Documents).

７ Nota

También puedes escoger un nombre dinámico para el ámbito. Para más

información sobre los espacios de nombres dinámicos de las reglas de
 clasificación, consulte Novedades del Administrador de recursos del servidor
de archivos en Windows Server 2012 [redirigido] .

9. Configura lo siguiente en la pestaña Clasificación:

En el cuadro Elija un método para asignar una propiedad a los archivos,

procura que Clasificador de contenido esté seleccionado.

En el cuadro Elija una propiedad para asignar a los archivos, haz clic en
Impact.

En el cuadro Especifique un valor, haz clic en Alta.

10. En el encabezado Parámetros, haz clic en Configurar.

11. En la columna Tipo de expresión, selecciona Cadena.

12. En la columna Expresión, escribe Contoso Confidential y haz clic en Aceptar.

13. En la pestaña Tipo de evaluación, activa la casilla Volver a evaluar los valores de
propiedad existentes, haz clic en Sobrescribir el valor existente y, luego, haz clic
en Aceptar.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

$date = Get-Date

$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -

Weekly @(3, 2, 4, 5,1,6,0) -RunDuration
0;$AutomaticClassificationScheduledTask

Set-FsrmClassification -Continuous -schedule

$AutomaticClassificationScheduledTask

New-FSRMClassificationRule -Name 'Contoso Confidential' -Property

"Impact_MS" -PropertyValue "3000" -Namespace @('D:\Finance Documents') -
ClassificationMechanism "Content Classifier" -Parameters
@("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

Paso 3: crear una regla de clasificación de

contenido de expresión regular
Una regla de clasificación de contenido de expresión regular analiza un archivo en busca
de un patrón que coincida con una expresión regular. Si una cadena coincide con la
expresión regular, se podrá configurar el valor de una propiedad de recurso. En este
ejemplo, analizaremos cada archivo de una carpeta compartida de red en busca de una
cadena que coincida con el patrón de un número de la Seguridad Social (XXX-XX-XXXX).
Si encontramos el patrón, el archivo asociado se clasificará como que tiene información
de identificación personal.

Realice este paso con Windows PowerShell

Para crear una regla de clasificación de contenido de expresión

regular

1. Inicia sesión en el servidor de archivos como miembro del grupo de seguridad

Administradores.

2. En el símbolo del sistema de Windows PowerShell, escribe Update-

FsrmClassificationPropertyDefinition y presiona ENTRAR. Esto hará que las
definiciones de propiedades creadas en el controlador de dominio se sincronicen
en el servidor de archivos.

3. Abra el Administrador de recursos del servidor de archivos. En el Administrador del

servidor, haz clic en Herramientas y, luego, en Administrador de recursos del
servidor de archivos.

4. Haz clic con el botón secundario en Reglas de clasificación y, luego, haz clic en
Crear regla de clasificación.

5. En el cuadro Nombre de regla de la pestaña General, escribe un nombre para la

regla de clasificación como, por ejemplo, PII Rule.

6. En la pestaña Ámbito, haz clic en Agregar y elige las carpetas que deben incluirse
en esta regla (por ejemplo, D:\Finance Documents).

7. Configura lo siguiente en la pestaña Clasificación:

En el cuadro Elija un método para asignar una propiedad a los archivos,

procura que Clasificador de contenido esté seleccionado.

En el cuadro Elija una propiedad para asignar a los archivos, haz clic en
Personally Identifiable Information.

En el cuadro Especifique un valor, haz clic en Alta.

8. En el encabezado Parámetros, haz clic en Configurar.

 9. En la columna Tipo de expresión, selecciona Expresión regular.

10. En la columna Expresión , escriba ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?) (?!

00)\d\d\3(?! 0000)\d{4}$

11. En la columna Mínimo de repeticiones, escribe 10 y haz clic en Aceptar.

12. En la pestaña Tipo de evaluación, activa la casilla Volver a evaluar los valores de
propiedad existentes, haz clic en Sobrescribir el valor existente y, luego, haz clic
en Aceptar.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

New-FSRMClassificationRule -Name "PII Rule" -Property "PII_MS" -

PropertyValue "5000" -Namespace @('D:\Finance Documents') -
ClassificationMechanism "Content Classifier" -Parameters
@("RegularExpressionEx=Min=10;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([
-]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

Paso 4: comprobar que los archivos se han

clasificado correctamente
Para comprobar que los archivos están correctamente clasificados, puedes ver las
propiedades de un archivo que se creó en la carpeta especificada en las reglas de
clasificación.

Para comprobar que los archivos se han clasificado correctamente

1. Ejecuta las reglas de clasificación en el servidor de archivos por medio del

Administrador de recursos del servidor de archivos.

a. Haz clic en Administración de clasificaciones, haz clic con el botón secundario

en Reglas de clasificación y, luego, haz clic en Ejecutar clasificación con todas
las reglas ahora.

b. Haz clic en la opción Esperar a que termine la clasificación y, luego, haz clic en
Aceptar.
 c. Cierra el informe de clasificación automática.

d. Para ello, use Windows PowerShell con el siguiente comando: Start-

FSRMClassification '"RunDuration 0 -Confirm:$false

2. Ve a la carpeta que se especificó en las reglas de clasificación, como D:\Finance

Documents.

3. Haz clic con el botón secundario en un archivo de esa carpeta y, luego, haz clic en
Propiedades.

4. Haz clic en la pestaña Clasificación y confirma que el archivo está bien clasificado.

Vea también
Escenario: Comprender los datos mediante la clasificación

Planear la clasificación automática de archivos

Control de acceso dinámico: Información general sobre el escenario

Escenario: Implementar la retención de
información en servidores de archivos
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Un período de retención es la cantidad de tiempo que se debe conservar un documento

antes de que haya expirado. El período de retención puede ser distinto en función de la
organización. Puede clasificar los archivos de una carpeta como que tengan un período
de retención corto, medio o largo plazo y, a continuación, asignar un período de tiempo
para cada período. Quizás desee conservar un archivo indefinidamente mediante una
retención legal.

Descripción del escenario

La infraestructura de clasificación de archivos y el Administrador de recursos del servidor
de archivos utilizan tareas de administración de archivos y la clasificación de archivos
para aplicar períodos de retención para un conjunto de archivos. Puede asignar un
período de retención en una carpeta y, a continuación, usar una tarea de administración
de archivos para configurar la duración de un período de retención asignado. Cuando
los archivos de la carpeta están a punto de expirar, el propietario del archivo recibe un
correo electrónico de notificación. También puede clasificar un archivo como en espera
legal para que la tarea de administración de archivos no expire el archivo.

Encontrarás más información sobre cómo configurar la retención en Planificar la

retención de información en servidores de archivos.

Puede encontrar los pasos para clasificar los archivos para su retención legal y
configurar un período de retención en Implementar la retención de información en
servidores de archivos (pasos de demostración).

７ Nota

En ese escenario solo se describe cómo clasificar manualmente un documento para

retención legal. Sin embargo, es posible clasificar automáticamente los
documentos para su retención legal. Una manera de hacerlo es crear un clasificador
de Windows PowerShell que compare el propietario del archivo con una lista de
 cuentas de usuario que están en retención legal. Si el propietario del archivo forma
parte de la lista de cuentas de usuario, el archivo se clasifica para retención legal.

En este escenario
Este escenario forma parte del escenario de control de acceso dinámico. Para obtener
más información sobre las Access Control dinámicas, vea:

Control de acceso dinámico: Información general sobre el escenario

Planeación de la retención de
información en servidores de archivos
Artículo • 24/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Una directiva de retención de datos es importante para cualquier organización. Puede

usar la siguiente información para planear cómo conservar la información en su
organización.

Determinar la programación de retención

La determinación de cuándo tiempo deben almacenarse los datos en los servidores de
archivos de su red y el desarrollo de una programación de retención de datos ofrecen
las siguientes ventajas:

Limitar la cantidad de datos que se almacenan, lo que reduce el costo general del
almacenamiento en su organización
Reducir la responsabilidad
Cumplir con las reglamentaciones

Al determinar la programación de retención, debe asegurarse de que la programación

de retención cumple el cumplimiento normativo del sector en el que se encuentra su
organización. Por ejemplo, si su empresa es un proveedor de servicios sanitarios, debe
comprender las reglamentaciones HIPAA.

Identificar archivos por retener

Antes de que pueda implementar su directiva de retención de datos, debe identificar los
datos que están almacenados en cada servidor de archivos. Una vez realizado esto, debe
marcar las carpetas con un período de retención y una fecha de inicio de la retención.
También debe quitar el permiso Elim. secund. de cualquier carpeta que pueda contener
los archivos que se están reteniendo. Esto garantizará que los archivos no se eliminen
accidentalmente.

） Importante
 Las propiedades de clasificación no deben especificarse como fechas. Debe usar el
período de retención para clasificar el archivo. Si el período de retención debe
cambiarse, pueda actualizar el intervalo de dicho período sin tener que clasificar
cada archivo nuevamente.

Consideraciones para múltiples equipos

Hay varias cosas que debe tener en cuenta cuando tiene más de un servidor de archivos
en su organización:

Las directivas de retención de datos generalmente son las mismas en toda la

organización. Por ello, puede volver a usar el mismo conjunto de reglas en
múltiples equipos.
El kit de herramientas para la clasificación de datos usa cmdlets de Windows
PowerShell para importar y exportar las reglas de clasificación. Debe usarlo para
exportar la configuración de un equipo de línea base e importarla a otro equipo
para asegurarse de que la configuración sea la misma.
Debe usar espacios de nombres dinámicos cuando los servidores de origen y
destino usen las mismas letras de unidad desde el almacenamiento en el servidor.
Cuando cree un nuevo recurso compartido de archivos mediante el uso del
Administrador del servidor, puede especificar el espacio de nombres.

Consulte también
Escenario: Implementar la retención de información en servidores de archivos
Implementar la implementación de la retención de información en servidores de
archivos (pasos de demostración)
Control de acceso dinámico: Información general sobre el escenario
Deploy Implementing Retention of
Information on File Servers
(Demonstration Steps)
Artículo • 21/12/2022 • Tiempo de lectura: 6 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Puedes establecer períodos de retención para carpetas e imponer una retención legal a
un archivo mediante la Infraestructura de clasificación de archivos y el Administrador de
recursos del servidor de archivos.

Requisitos previos
En los pasos de este artículo se supone que tiene un servidor SMTP configurado para las
notificaciones de expiración de archivos.

Paso 1: crear definiciones de propiedad de

recurso
En este paso, habilitará las propiedades de recursos Período de retención y
Detectabilidad para que la infraestructura de clasificación de archivos pueda usar estas
propiedades de recurso para etiquetar los archivos que se examinan en una carpeta
compartida de red.

Para crear definiciones de propiedades de recursos:

GUI

1. En el controlador de dominio, inicia sesión en el servidor como miembro del

grupo de seguridad Admins. del dominio.

2. Abre el Centro de administración de Active Directory. En Administrador del

servidor, seleccione Herramientas y, a continuación, seleccione Centro de
administración de Active Directory.

3. Expande Control de acceso dinámico y selecciona Propiedades de recursos.

 4. Haga clic con el botón derecho en Período de retención y seleccione
Habilitar.

5. Haga clic con el botón derecho en Detectabilidad y seleccione Habilitar.

Paso 2: Configurar notificaciones

En este paso, usará la consola del servidor de archivos Resource Manager para
configurar el servidor SMTP, la dirección de correo electrónico predeterminada del
administrador y la dirección de correo electrónico predeterminada desde la que se
envían los informes.

Para configurar las notificaciones:

GUI

1. Inicia sesión en el servidor de archivos como miembro del grupo de seguridad

Administradores.

2. En el símbolo del sistema de Windows PowerShell, escribe Update-

FsrmClassificationPropertyDefinition y presiona ENTRAR. Esto hará que las
definiciones de propiedades creadas en el controlador de dominio se
sincronicen en el servidor de archivos.

3. Abra el Administrador de recursos del servidor de archivos. En Administrador

del servidor, seleccione Herramientas y, a continuación, seleccione Servidor
de Resource Manager.

4. Haga clic con el botón derecho en Servidor Resource Manager archivos

(local) y, a continuación, seleccione Configurar opciones.

5. En la pestaña Notificaciones por correo electrónico, configure los parámetros

siguientes:

En el cuadro Nombre del servidor SMTP o dirección IP, escribe el

nombre del servidor SMTP de la red.

En el cuadro Administradores receptores predeterminados, escribe la

dirección de correo electrónico del administrador que debe recibir la
notificación.
 En el cuadro Dirección de correo electrónico predeterminada " Desde",
escriba la dirección de correo electrónico que se debe usar para enviar
las notificaciones.

6. Seleccione Aceptar.

Paso 3: Crear una tarea de administración de

archivos
En este paso, usará el servidor de archivos Resource Manager consola para crear una
tarea de administración de archivos que expire los archivos con los criterios siguientes:

El archivo no se clasifica como en espera legal.

El archivo está clasificado con un período de retención a largo plazo.
El archivo no se ha modificado en los últimos 10 años.
La tarea se ejecutará el último día del mes.

Para crear la tarea de administración de archivos:

GUI

1. Inicia sesión en el servidor de archivos como miembro del grupo de seguridad

Administradores.

2. Abra el Administrador de recursos del servidor de archivos. En Administrador

del servidor, seleccione Herramientas y, a continuación, seleccione Servidor
de Resource Manager.

3. Haga clic con el botón derecho en Tareas de administración de archivos y

seleccione Crear tarea de administración de archivos.

4. En la pestaña General, en el cuadro Nombre de tarea, escribe un nombre para

la tarea de administración de archivos, como Tarea de retención.

5. En la pestaña Ámbito , seleccione Agregar y elija las carpetas que deben

incluirse en esta regla, como D:\Finance Documents.

6. En la pestaña Acción , en el cuadro Tipo , seleccione Expiración de archivo.

En el cuadro Directorio de expiración, escribe una ruta de acceso a una
carpeta del servidor de archivos local adonde se moverán los archivos
 expirados. Esta carpeta debe tener una lista de control de acceso que solo
conceda acceso a los administradores del servidor de archivos.

7. En la pestaña Notificación, seleccione Agregar.

Activa la casilla Enviar correo electrónico a los siguientes

administradores.

Active la casilla Enviar un correo electrónico a los usuarios con archivos

afectados y, a continuación, seleccione Aceptar.

8. En la pestaña Condición , seleccione Agregar y agregue las siguientes

propiedades:

En la lista Propiedad, seleccione Detectabilidad. En la lista Operador,

seleccione No es igual. En la lista Valor, seleccione Mantener.

En la lista Propiedad , seleccione Período de retención. En la lista

Operador, seleccione Igual. En la lista Valor, seleccione A largo plazo.

9. En la pestaña Condición, activa la casilla Días desde la última modificación en

el archivo y establece el valor en 3650.

10. En la pestaña Programación, seleccione la opción Mensual y, a continuación,

active la casilla Última.

11. Seleccione Aceptar.

Paso 4: Clasificar un archivo manualmente

En este paso, clasificará manualmente un archivo para que esté en espera legal. La
carpeta principal de este archivo se clasificará con un período de retención a largo
plazo.

Para clasificar manualmente un archivo:

1. Inicia sesión en el servidor de archivos como miembro del grupo de seguridad

Administradores.

2. Navega a la carpeta que se configuró en el ámbito de la tarea de administración

de archivos creada en el Paso 3.

3. Haga clic con el botón derecho en la carpeta y seleccione Propiedades.

 4. En la pestaña Clasificación , seleccione Período de retención, seleccione A largo
plazo y, a continuación, seleccione Aceptar.

5. Haga clic con el botón derecho en un archivo dentro de esa carpeta y seleccione
Propiedades.

6. En la pestaña Clasificación, seleccione Detectabilidad, Mantener, Aplicar y, a

continuación, Aceptar.

7. En el servidor de archivos, ejecuta la tarea de administración de archivos mediante

la consola del Administrador de recursos del servidor de archivos. Una vez
completada la tarea de administración de archivos, compruebe la carpeta y
asegúrese de que el archivo no se ha movido al directorio de expiración.

8. Haga clic con el botón derecho en el mismo archivo dentro de esa carpeta y
seleccione Propiedades.

9. En la pestaña Clasificación, seleccione Detectabilidad, No aplicable, Aplicar y

Aceptar.

10. En el servidor de archivos, vuelve a ejecutar la tarea de administración de archivos

mediante la consola del Administrador de recursos del servidor de archivos.
Cuando la tarea de administración de archivos se haya completado, comprueba la
carpeta y asegúrate de que el archivo se ha movido al directorio de expiración.

Consulte también
Escenario: Implementar la retención de información en servidores de archivos

Planear la retención de información en servidores de archivos

Control de acceso dinámico: Información general sobre el escenario

Implementar notificaciones en bosques
Artículo • 21/12/2022 • Tiempo de lectura: 4 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En Windows Server 2012 , un tipo de notificación es una aserción sobre el objeto al que
está asociado. Los tipos de notificación se definen por cada bosque en Active Directory.
Hay muchos escenarios en los que puede ser necesario que una entidad de seguridad
atraviese un límite de confianza para tener acceso a los recursos de un bosque de
confianza. La transformación de notificaciones entre bosques de Windows Server 2012
permite transformar notificaciones de salida y entrada que atraviesan bosques para que
las notificaciones se reconozcan y acepten en los bosques de confianza y de confianza.
Algunos de los escenarios reales para la transformación de notificaciones son:

Los bosques que confían pueden usar la transformación de notificaciones como

una protección frente a la elevación de privilegios mediante el filtrado de las
notificaciones entrantes con valores específicos.

Los bosques que confían también pueden emitir notificaciones para las entidades
de seguridad que llegan a un límite de confianza si el bosque de confianza no
admite ni emite las notificaciones.

Los bosques de confianza pueden usar la transformación de notificaciones para

evitar que determinados tipos de notificaciones y notificaciones con ciertos valores
salgan del bosque que confía.

También puedes usar la transformación de notificaciones para asignar tipos

diferentes de notificaciones entre bosques que confían y de confianza. Esto puede
servir para generalizar el tipo de notificación, el valor de la notificación o ambos
aspectos. Sin esto, tendrás que normalizar los datos entre los bosques antes de
poder usar las notificaciones. Generalizar las notificaciones entre los bosques que
confían y de confianza reduce los costos de TI.

Reglas de transformación de notificaciones

La sintaxis del lenguaje de las reglas de transformación divide una sola regla en dos
partes principales: una serie de instrucciones de condición y la instrucción del problema.
Cada instrucción de condición tiene dos subcomponentes: el identificador de
notificaciones y la condición. La instrucción del problema contiene palabras clave,
delimitadores y una expresión de problema. Opcionalmente, la instrucción de condición
comienza con una variable de identificador de notificación, que representa la
notificación de entrada coincidente. La condición comprueba la expresión. Si la
notificación de entrada no coincide con la condición, el motor de transformación omite
la instrucción del problema y evalúa la siguiente notificación de entrada con la regla de
transformación. Si todas las condiciones coinciden con la notificación de entrada,
procesará la instrucción del problema.

Para obtener información detallada sobre el lenguaje de reglas de notificación, consulta

Claims Transformation Rules Language.

Vinculación de las directivas de transformación

de notificaciones a los bosques
Hay dos componentes implicados en la configuración de directivas de transformación
de notificaciones: los objetos de directiva de transformación de notificaciones y el
enlace de la transformación. Los objetos de directiva residen en el contexto de
nomenclatura de configuración en un bosque y contienen información de asignación
para las notificaciones. El vínculo especifica a qué bosques que confían y de confianza se
aplica la asignación.

Es importante comprender si el bosque es el bosque que confía o de confianza, porque

esto es la base para vincular objetos de directiva de transformación. Por ejemplo, el
bosque de confianza es el bosque que contiene las cuentas de usuario que requieren
acceso. El bosque que confía es el bosque que contiene los recursos a los que quieres
dar acceso a los usuarios. Las notificaciones viajan en la misma dirección que la entidad
de seguridad que requiere acceso. Por ejemplo, si hay una confianza unidireccional
desde el bosque contoso.com al bosque adatum.com, las notificaciones se desplazarán
desde adatum.com hasta contoso.com, lo que permite a los usuarios de adatum.com
tener acceso a los recursos de contoso.com.

De forma predeterminada, un bosque de confianza permite a todas las notificaciones

salientes que pasen y un bosque que confía coloca todas las notificaciones entrantes
que recibe.

En este escenario
Para este escenario está disponible la guía siguiente:

Implementar notificaciones entre bosques (pasos de demostración)

 Lenguaje de reglas de transformación de notificaciones

Roles y características que se incluyen en este

escenario
En la tabla siguiente, se enumeran los roles y las características que forman parte de
este escenario y se describe la manera en que son compatibles con él.

Rol/característica Compatibilidad con este escenario

Active Directory En este escenario, tienes que configurar dos bosques de Active Directory con
Domain Services una confianza bidireccional. Tienes notificaciones en ambos bosques.
También puedes establecer directivas de acceso central en el bosque que
confía en el que residen los recursos.

Rol de servicios En este escenario, se aplica la clasificación de datos a los recursos de los
de archivos y servidores de archivos. La directiva de acceso central se aplica a la carpeta
almacenamiento donde quieres conceder el acceso al usuario. Después de la transformación,
la notificación concede acceso de usuario a los recursos basándose en la
directiva de acceso central que se aplica a la carpeta del servidor de archivos.
Implementación de notificaciones entre
bosques (pasos de demostración)
Artículo • 21/12/2022 • Tiempo de lectura: 6 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este tema, trataremos un escenario básico que explica cómo configurar

transformaciones de notificaciones entre bosques de confianza y confianza. Aprenderá
cómo se pueden crear y vincular los objetos de directiva de transformación de
notificaciones a la confianza en el bosque de confianza y en el bosque de confianza. A
continuación, validará el escenario.

Información general de escenario

Adatum Corporation proporciona servicios financieros a Contoso, Ltd. Cada trimestre,
los contadores de Adatum copian sus hojas de cálculo de cuenta en una carpeta de un
servidor de archivos ubicado en Contoso, Ltd. Hay una confianza bidireccional
configurada desde Contoso a Adatum. Contoso, Ltd. quiere proteger el recurso
compartido para que solo los empleados de Adatum puedan acceder al recurso
compartido remoto.

En este escenario:

1. Configuración de los requisitos previos y el entorno de prueba

2. Configuración de la transformación de notificaciones en un bosque de confianza

(Adatum)

3. Configuración de la transformación de notificaciones en el bosque de confianza

(Contoso)

4. Validación del escenario

Configuración de los requisitos previos y el

entorno de prueba
La configuración de prueba implica configurar dos bosques: Adatum Corporation y
Contoso, Ltd, y tener una confianza bidireccional entre Contoso y Adatum.
"adatum.com" es el bosque de confianza y "contoso.com" es el bosque de confianza.

El escenario de transformación de notificaciones muestra la transformación de una

notificación en el bosque de confianza en una notificación del bosque de confianza.
Para ello, debe configurar un nuevo bosque denominado adatum.com y rellenar el
bosque con un usuario de prueba con un valor de empresa de "Adatum". A
continuación, debe configurar una confianza bidireccional entre contoso.com y
adatum.com.

） Importante

Al configurar los bosques de Contoso y Adatum, debe asegurarse de que ambos

dominios raíz están en el nivel funcional de dominio Windows Server 2012 para
que funcione la transformación de notificaciones.

Debe configurar lo siguiente para el laboratorio. Estos procedimientos se explican con

detalle en el Apéndice B: Configuración del entorno de prueba

Debe implementar los procedimientos siguientes para configurar el laboratorio para

este escenario:

1. Establezca Adatum como bosque de confianza en Contoso.

2. Creación del tipo de notificación "Company" en Contoso

3. Habilitación de la propiedad de recurso "Company" en Contoso

4. Crear la regla de acceso central

5. Crear la directiva de acceso central

6. Publicar la nueva directiva mediante directiva de grupo

7. Crear la carpeta Earnings en el servidor de archivos

8. Establecimiento de la clasificación y aplicación de la directiva de acceso central en

la nueva carpeta

Use la siguiente información para completar este escenario:

Objetos Detalles

Usuarios Jeff Low, Contoso

 Objetos Detalles

Notificaciones de Identificador: ad://ext/Company:ContosoAdatum,

usuario en Adatum y Atributo de origen: company
Contoso
Valores sugeridos: Contoso, Adatum Importante: debe establecer el
identificador en el tipo de notificación "Company" en Contoso y
Adatum para que funcione la transformación de notificaciones.

Regla de acceso central AdatumEmployeeAccessRule

en Contoso

Directiva de acceso Directiva de acceso solo de Adatum

central en Contoso

Directivas de DenyAllExcept Company

transformación de
notificaciones en
Adatum y Contoso

Carpeta de archivos en D:\EARNINGS

Contoso

Configuración de la transformación de
notificaciones en un bosque de confianza
(Adatum)
En este paso, creará una directiva de transformación en Adatum para denegar todas las
notificaciones excepto "Company" para pasar a Contoso.

El módulo de Active Directory para Windows PowerShell proporciona el argumento

DenyAllExcept, que quita todo excepto las notificaciones especificadas en la directiva de
transformación.

Para configurar una transformación de notificaciones, debe crear una directiva de

transformación de notificaciones y vincularla entre los bosques de confianza y de
confianza.

Creación de una directiva de transformación de

notificaciones en Adatum

Para crear una directiva de transformación Adatum para denegar

todas las notificaciones excepto "Company"
 1. Inicie sesión en el controlador de dominio adatum.com como administrador con la
contraseña pass@word1.

2. Abra un símbolo del sistema con privilegios elevados en Windows PowerShell y

escriba lo siguiente:

New-ADClaimTransformPolicy `

-Description:"Claims transformation policy to deny all claims except

Company"`

-Name:"DenyAllClaimsExceptCompanyPolicy" `

-DenyAllExcept:company `

-Server:"adatum.com" `

Establecimiento de un vínculo de transformación de

notificaciones en el objeto de dominio de confianza de
Adatum
En este paso, aplicará la directiva de transformación de notificaciones recién creada en
el objeto de dominio de confianza de Adatum para Contoso.

Para aplicar la directiva de transformación de notificaciones

1. Inicie sesión en el controlador de dominio adatum.com como administrador con la

contraseña pass@word1.

2. Abra un símbolo del sistema con privilegios elevados en Windows PowerShell y

escriba lo siguiente:

Set-ADClaimTransformLink `

-Identity:"contoso.com" `

-Policy:"DenyAllClaimsExceptCompanyPolicy" `

'"TrustRole:Trusted `

Configuración de la transformación de
notificaciones en el bosque de confianza
(Contoso)
En este paso, creará una directiva de transformación de notificaciones en Contoso (el
bosque de confianza) para denegar todas las notificaciones excepto "Company". Debe
crear una directiva de transformación de notificaciones y vincularla a la confianza del
bosque.

Creación de una directiva de transformación de

notificaciones en Contoso

Para crear una directiva de transformación Adatum para denegar

todo excepto "Company"

1. Inicie sesión en el controlador de dominio, contoso.com como administrador con

la contraseña pass@word1.

2. Abra un símbolo del sistema con privilegios elevados en Windows PowerShell y

escriba lo siguiente:

New-ADClaimTransformPolicy `

-Description:"Claims transformation policy to deny all claims except

company" `

-Name:"DenyAllClaimsExceptCompanyPolicy" `

-DenyAllExcept:company `

-Server:"contoso.com" `

Establecimiento de un vínculo de transformación de

notificaciones en el objeto de dominio de confianza de
Contoso
En este paso, aplicará la directiva de transformación de notificaciones recién creada en
el objeto de dominio de confianza contoso.com para que Adatum permita pasar
"Company" a contoso.com. El objeto de dominio de confianza se denomina
adatum.com.

Para establecer la directiva de transformación de notificaciones

 1. Inicie sesión en el controlador de dominio, contoso.com como administrador con
la contraseña pass@word1.

2. Abra un símbolo del sistema con privilegios elevados en Windows PowerShell y

escriba lo siguiente:

Set-ADClaimTransformLink

-Identity:"adatum.com" `

-Policy:"DenyAllClaimsExceptCompanyPolicy" `

-TrustRole:Trusting `

Validación del escenario

En este paso, intentará acceder a la carpeta D:\EARNINGS que se configuró en el
servidor de archivos FILE1 para validar que el usuario tiene acceso a la carpeta
compartida.

Para asegurarse de que el usuario de Adatum pueda acceder a la

carpeta compartida
1. Inicie sesión en el equipo cliente, CLIENT1 como Jeff Low con la contraseña
pass@word1.

2. Vaya a la carpeta \\FILE1.contoso.com\Earnings.

3. Jeff Low debe poder acceder a la carpeta.

Escenarios adicionales para las directivas de

transformación de notificaciones
A continuación se muestra una lista de casos comunes adicionales en la transformación
de notificaciones.

Escenario Directiva
Escenario Directiva

Permitir que todas las Código:

notificaciones que proceden de New-ADClaimTransformPolicy '

Adatum pasen a Contoso Adatum -Description:"Directiva de transformación de notificaciones

para permitir todas las notificaciones" '

-Name:"AllowAllClaimsPolicy" '

-AllowAll '

-Server:"contoso.com" '

Set-ADClaimTransformLink '

-Identity:"adatum.com" '

-Policy:"AllowAllClaimsPolicy" '

-TrustRole:Trusting '

-Server:"contoso.com" '

Denegar todas las notificaciones Código:

que proceden de Adatum para New-ADClaimTransformPolicy '

pasar a Contoso Adatum -Description:"Directiva de transformación de notificaciones

para denegar todas las notificaciones" '

-Name:"DenyAllClaimsPolicy" '

-DenyAll '

-Server:"contoso.com" '

Set-ADClaimTransformLink '

-Identity:"adatum.com" '

-Policy:"DenyAllClaimsPolicy" '

-TrustRole:Trusting '

-Server:"contoso.com"'

Permitir que todas las Código

notificaciones que proceden de - New-ADClaimTransformationPolicy '

Adatum excepto "Company" y -Description:"Directiva de transformación de notificaciones

"Department" pasen a Contoso para permitir todas las notificaciones excepto la empresa y el
Adatum departamento" ' '

-
Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy"
'

-AllowAllExcept:company,department '

-Server:"contoso.com" '

Set-ADClaimTransformLink '

-Identity:"adatum.com" '

-
Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy"
'

-TrustRole:Trusting '

-Server:"contoso.com" '

Vea también
Para obtener una lista de todos los cmdlets de Windows PowerShell que están
disponibles para la transformación de notificaciones, consulte Referencia de
cmdlets de PowerShell de Active Directory.

Para tareas avanzadas que implican la exportación e importación de información

de configuración de DAC entre dos bosques, use la referencia de powerShell de
Control de acceso dinámico

Implementación de notificaciones en bosques

Lenguaje de reglas de transformación de notificaciones

Control de acceso dinámico: Información general sobre el escenario

Lenguaje de reglas de transformación
de notificaciones
Artículo • 21/12/2022 • Tiempo de lectura: 14 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

La característica de transformación de notificaciones entre bosques permite puentes de

notificaciones para Control de acceso dinámico a través de los límites del bosque
estableciendo directivas de transformación de notificaciones en confianzas entre
bosques. El componente principal de todas las directivas es las reglas escritas en el
lenguaje de reglas de transformación de notificaciones. En este tema se proporcionan
detalles sobre este lenguaje y se proporcionan instrucciones sobre la creación de reglas
de transformación de notificaciones.

Los cmdlets de Windows PowerShell para las directivas de transformación en confianzas

entre bosques tienen opciones para establecer directivas sencillas necesarias en
escenarios comunes. Estos cmdlets traducen la entrada del usuario en directivas y reglas
en el lenguaje de reglas de transformación de notificaciones y, a continuación, los
almacenan en Active Directory en el formato prescrito. Para obtener más información
sobre los cmdlets para la transformación de notificaciones, consulte cmdlets de AD DS
para Control de acceso dinámico.

En función de la configuración de notificaciones y de los requisitos colocados en la

confianza entre bosques de Active Directory, es posible que las directivas de
transformación de notificaciones tengan que ser más complejas que las directivas
admitidas por los cmdlets de Windows PowerShell para Active Directory. Para crear
eficazmente estas directivas, es esencial comprender la sintaxis y la semántica del
lenguaje de las reglas de transformación de notificaciones. Este lenguaje de reglas de
transformación de notificaciones ("el lenguaje") de Active Directory es un subconjunto
del lenguaje que usa Servicios de federación de Active Directory (AD FS) con fines
similares y tiene una sintaxis y semántica muy similar. Sin embargo, hay menos
operaciones permitidas y se colocan restricciones de sintaxis adicionales en la versión de
Active Directory del lenguaje.

En este tema se explica brevemente la sintaxis y la semántica del lenguaje de reglas de

transformación de notificaciones en Active Directory y las consideraciones que se deben
tener en cuenta al crear directivas. Proporciona varios conjuntos de reglas de ejemplo
para empezar y ejemplos de sintaxis incorrecta y los mensajes que generan, para
ayudarle a descifrar los mensajes de error al crear las reglas.
Herramientas para crear directivas de
transformación de notificaciones
Windows PowerShell cmdlets para Active Directory: esta es la manera preferida y
recomendada de crear y establecer directivas de transformación de notificaciones. Estos
cmdlets proporcionan modificadores para directivas sencillas y comprueban las reglas
establecidas para directivas más complejas.

LDAP: las directivas de transformación de notificaciones se pueden editar en Active

Directory mediante el Protocolo ligero de acceso a directorios (LDAP). Sin embargo, esto
no se recomienda porque las directivas tienen varios componentes complejos y es
posible que las herramientas que use no validen la directiva antes de escribirla en Active
Directory. Esto puede requerir posteriormente una cantidad considerable de tiempo
para diagnosticar problemas.

Lenguaje de reglas de transformación de

notificaciones de Active Directory

Información general sobre la sintaxis

Esta es una breve descripción de la sintaxis y la semántica del lenguaje:

El conjunto de reglas de transformación de notificaciones consta de cero o más

reglas. Cada regla tiene dos partes activas: Seleccionar lista de condiciones y
acción de regla. Si la lista Seleccionar condición se evalúa como TRUE, se ejecuta
la acción de regla correspondiente.

Seleccionar lista de condiciones tiene cero o más Condiciones de selección. Todas

las condiciones de selección deben evaluarse como TRUE para que la lista
Seleccionar condición se evalúe como TRUE.

Cada condición de selección tiene un conjunto de cero o más condiciones de

coincidencia. Todas las condiciones de coincidencia deben evaluarse como TRUE
para que la condición de selección se evalúe como TRUE. Todas estas condiciones
se evalúan con una sola notificación. Una notificación que coincida con una
condición de selección se puede etiquetar mediante un identificador y hacer
referencia a ella en la acción de regla.

Cada condición coincidente especifica la condición para que coincida con el tipo o
valor o valueType de una notificación mediante operadores de condición
diferentes y literales de cadena.
 Al especificar una condición de coincidencia para un valor, también debe
especificar una condición de coincidencia para un ValueType específico y
viceversa. Estas condiciones deben estar junto entre sí en la sintaxis.

Las condiciones de coincidencia de ValueType solo deben usar literales

ValueType específicos.

Una acción de regla puede copiar una notificación etiquetada con un identificador
o emitir una notificación basada en una notificación etiquetada con un
identificador o literales de cadena especificados.

Regla de ejemplo

En este ejemplo se muestra una regla que se puede usar para traducir el tipo de
notificaciones entre dos bosques, siempre que usen las mismas notificaciones
ValueTypes y tengan las mismas interpretaciones para las notificaciones Valores de este
tipo. La regla tiene una condición coincidente y una instrucción Issue que usa literales
de cadena y una referencia de notificaciones coincidente.

C1: [TYPE=="EmployeeType"]

=> ISSUE (TYPE= "EmpType", VALUE = C1.VALUE, VALUETYPE =

C1.VALUETYPE);

[TYPE=="EmployeeType"] == Select Condition List with one Matching Condition

for claims Type.

ISSUE (TYPE= "EmpType", VALUE = C1.VALUE, VALUETYPE = C1.VALUETYPE) == Rule

Action that issues a claims using string literal and matching claim referred
with the Identifier.

Operación en tiempo de ejecución

Es importante comprender el funcionamiento en tiempo de ejecución de las
transformaciones de notificaciones para crear las reglas de forma eficaz. La operación en
tiempo de ejecución usa tres conjuntos de notificaciones:

1. Conjunto de notificaciones de entrada: conjunto de notificaciones de entrada que

se proporcionan a la operación de transformación de notificaciones.

2. Conjunto de notificaciones de trabajo: notificaciones intermedias que se leen y

escriben en durante la transformación de notificaciones.

3. Conjunto de notificaciones de salida: salida de la operación de transformación de

notificaciones.
Esta es una breve introducción a la operación de transformación de notificaciones en
tiempo de ejecución:

1. Las notificaciones de entrada para la transformación de notificaciones se usan para

inicializar el conjunto de notificaciones de trabajo.

a. Al procesar cada regla, el conjunto de notificaciones de trabajo se usa para las

notificaciones de entrada.

b. La lista de condiciones de selección de una regla coincide con todos los

conjuntos posibles de notificaciones del conjunto de notificaciones de trabajo.

c. Cada conjunto de notificaciones coincidentes se usa para ejecutar la acción en

esa regla.

d. La ejecución de una acción de regla da como resultado una notificación, que se

anexa al conjunto de notificaciones de salida y al conjunto de notificaciones de
trabajo. Por lo tanto, la salida de una regla se usa como entrada para las reglas
posteriores del conjunto de reglas.

2. Las reglas del conjunto de reglas se procesan en orden secuencial a partir de la

primera regla.

3. Cuando se procesa todo el conjunto de reglas, el conjunto de notificaciones de

salida se procesa para quitar notificaciones duplicadas y para otros problemas de
seguridad. Las notificaciones resultantes son la salida del proceso de
transformación de notificaciones.

Es posible escribir transformaciones de notificaciones complejas basadas en el

comportamiento anterior en tiempo de ejecución.

Ejemplo: operación en tiempo de ejecución

En este ejemplo se muestra la operación en tiempo de ejecución de una transformación

de notificaciones que usa dos reglas.

C1:[Type=="EmpType", Value=="FullTime",ValueType=="string"] =>

Issue(Type=="EmployeeType",
Value=="FullTime",ValueType=="string");

[Type=="EmployeeType"] =>

Issue(Type=="AccessType", Value=="Privileged",
ValueType=="string");

Input claims and Initial Evaluation Context:

{(Type= "EmpType"),(Value="FullTime"),(ValueType="String")}

 {(Type= "Organization"),(Value="Marketing"),(ValueType="String")}

After Processing Rule 1:

Evaluation Context:

{(Type= "EmpType"),(Value="FullTime"),(ValueType="String")}

{(Type= "Organization"), (Value="Marketing"),(ValueType="String")}

{(Type= "EmployeeType"),(Value="FullTime"),(ValueType="String")}

Output Context:

{(Type= "EmployeeType"),(Value="FullTime"),(ValueType="String")}

After Processing Rule 2:

Evaluation Context:

{(Type= "EmpType"),(Value="FullTime"),(ValueType="String")}

{(Type= "Organization"),(Value="Marketing"),(ValueType="String")}

{(Type= "EmployeeType"),(Value="FullTime"),(ValueType="String")}

{(Type= "AccessType"),(Value="Privileged"),(ValueType="String")}

Output Context:

{(Type= "EmployeeType"),(Value="FullTime"),(ValueType="String")}

{(Type= "AccessType"),(Value="Privileged"),(ValueType="String")}

Final Output:

{(Type= "EmployeeType"),(Value="FullTime"),(ValueType="String")}

{(Type= "AccessType"),(Value="Privileged"),(ValueType="String")}

Semántica de reglas especiales

A continuación se muestra una sintaxis especial para las reglas:

1. Conjunto de reglas vacío == Sin notificaciones de salida

2. Lista de condiciones de selección vacía == Cada notificación coincide con la lista

Seleccionar condición

Ejemplo: Lista de condiciones de selección vacía

La siguiente regla coincide con todas las notificaciones del conjunto de trabajo.

=> Issue (Type = "UserType", Value = "External", ValueType = "string")

3. Lista de selección de selección de coincidencia vacía == Cada notificación coincide

con la lista Seleccionar condición

Ejemplo: Condiciones de coincidencia vacías

La siguiente regla coincide con todas las notificaciones del conjunto de trabajo.
Esta es la regla básica "Permitir todo" si se usa solo.
 C1:[] => Issule (claim = C1);

Consideraciones sobre la seguridad

Notificaciones que entran en un bosque

Las notificaciones presentadas por entidades de seguridad que están entrantes a un

bosque deben inspeccionarse exhaustivamente para asegurarse de que se permiten o
emiten solo las notificaciones correctas. Las notificaciones incorrectas pueden poner en
peligro la seguridad del bosque y esto debe ser una consideración importante al crear
directivas de transformación para las notificaciones que entran en un bosque.

Active Directory tiene las siguientes características para evitar la configuración incorrecta
de las notificaciones que entran en un bosque:

Si una confianza de bosque no tiene ninguna directiva de transformación de

notificaciones establecida para las notificaciones que entran en un bosque, con
fines de seguridad, Active Directory quita todas las notificaciones de entidad de
seguridad que entran en el bosque.

Si ejecuta el conjunto de reglas en notificaciones que escribe un bosque da como

resultado notificaciones que no están definidas en el bosque, las notificaciones no
definidas se quitan de las notificaciones de salida.

Notificaciones que dejan un bosque

Las notificaciones que dejan un bosque presentan una menor preocupación de

seguridad para el bosque que las notificaciones que entran en el bosque. Las
notificaciones pueden dejar el bosque tal y como está incluso cuando no hay ninguna
directiva de transformación de notificaciones correspondiente en vigor. También es
posible emitir notificaciones que no están definidas en el bosque como parte de la
transformación de notificaciones que dejan el bosque. Esto es para configurar
fácilmente confianzas entre bosques con notificaciones. Un administrador puede
determinar si las notificaciones que entran en el bosque deben transformarse y
configurar la directiva adecuada. Por ejemplo, un administrador podría establecer una
directiva si es necesario ocultar una notificación para evitar la divulgación de
información.

Errores de sintaxis en reglas de transformación de notificaciones

Si una directiva de transformación de notificaciones determinada tiene un conjunto de
reglas que es sintácticamente incorrecto o si hay otros problemas de sintaxis o
almacenamiento, la directiva se considera no válida. Esto se trata de forma diferente a
las condiciones predeterminadas mencionadas anteriormente.

Active Directory no puede determinar la intención en este caso y entra en un modo

seguro para errores, donde no se generan notificaciones de salida en esa relación de
confianza y dirección del recorrido. Se requiere la intervención del administrador para
corregir el problema. Esto podría ocurrir si LDAP se usa para editar la directiva de
transformación de notificaciones. Windows PowerShell cmdlets para Active Directory
tienen validación para evitar la escritura de una directiva con problemas de sintaxis.

Otras consideraciones sobre el lenguaje

1. Hay varias palabras clave o caracteres especiales en este idioma (denominados
terminales). Se presentan en la tabla Terminales de lenguaje más adelante en este
tema. Los mensajes de error usan las etiquetas para estos terminales para la
desambiguación.

2. A veces, los terminales se pueden usar como literales de cadena. Sin embargo, este
uso puede entrar en conflicto con la definición del lenguaje o tener consecuencias
no deseadas. Este tipo de uso no se recomienda.

3. La acción de regla no puede realizar ninguna conversión de tipos en valores de

notificación y un conjunto de reglas que contiene dicha acción de regla se
considera no válido. Esto provocaría un error en tiempo de ejecución y no se
generan notificaciones de salida.

4. Si una acción de regla hace referencia a un identificador que no se usó en la parte

Seleccionar lista de condiciones de la regla, es un uso no válido. Esto provocaría un
error de sintaxis.

Ejemplo: Referencia de identificador incorrecta En la regla siguiente se muestra

un identificador incorrecto usado en la acción de regla.

C1:[] => Issue (claim = C2);

Reglas de transformación de ejemplo

Permitir todas las notificaciones de un tipo determinado
 Tipo exacto

C1:[type=="XYZ"] => Issue (claim = C1);

Uso de Regex

C1: [type =~ "XYZ*"] => Issue (claim = C1);

No permitir un tipo de notificación determinado Tipo exacto

C1:[type != "XYZ"] => Issue (claim=C1);

Uso de Regex

C1:[Type !~ "XYZ?"] => Issue (claim=C1);

Ejemplos de errores del analizador de reglas

Las reglas de transformación de notificaciones se analizan mediante un analizador
personalizado para comprobar si hay errores de sintaxis. Este analizador se ejecuta
mediante cmdlets de Windows PowerShell relacionados antes de almacenar reglas en
Active Directory. Los errores en el análisis de las reglas, incluidos los errores de sintaxis,
se imprimen en la consola. Los controladores de dominio también ejecutan el analizador
antes de usar las reglas para transformar las notificaciones y registran errores en el
registro de eventos (agregue números de registro de eventos).

En esta sección se muestran algunos ejemplos de reglas escritas con sintaxis incorrecta y
los errores de sintaxis correspondientes generados por el analizador.

1. Ejemplo:

c1;[]=>Issue(claim=c1);

 En este ejemplo se usa un punto y coma incorrectamente en lugar de dos puntos.

Mensaje de error:POLICY0002: No se pudieron analizar los datos de la
directiva.Número de línea: 1, Número de columna: 2, Token de error: ;. Línea: 'c1;
[]=>Issue(claim=c1);'.Error del analizador: 'POLICY0030: error de sintaxis, inesperado
';', esperando uno de los siguientes: ':' .'

2. Ejemplo:

c1:[]=>Issue(claim=c2);

En este ejemplo, la etiqueta Identifier de la instrucción de emisión de copia no está

definida.
Mensaje de error: POLICY0011: No hay condiciones en la regla de
notificación que coincidan con la etiqueta de condición especificada en
copyIssuanceStatement: 'c2'.

3. Ejemplo:

c1:[type=="x1", value=="1", valuetype=="bool"]=>Issue(claim=c1)

"bool" no es un terminal en el lenguaje y no es un valueType válido. Los terminales

válidos aparecen en el siguiente mensaje de error.
Mensaje de error:POLICY0002:
No se pudieron analizar los datos de la directiva. Número de línea: 1, Número de
columna: 39, Token de error: "bool". Línea: 'c1:[type=="x1",
value=="1",valuetype=="bool"]=>Issue(claim=c1);'.
Error del analizador:
'POLICY0030: error de sintaxis, 'STRING' inesperado, esperando uno de los siguientes:
'INT64_TYPE' 'UINT64_TYPE' 'STRING_TYPE' 'BOOLEAN_TYPE' 'IDENTIFIER'

4. Ejemplo:

c1:[type=="x1", value==1, valuetype=="boolean"]=>Issue(claim=c1);

El número 1 de este ejemplo no es un token válido en el idioma y este uso no se

permite en una condición coincidente. Debe incluirse entre comillas dobles para
convertirlo en una cadena.
Mensaje de error:POLICY0002: No se pudieron analizar
los datos de la directiva.Número de línea: 1, Número de columna: 23, Token de error:
1. Línea: 'c1:[type=="x1", value==1, valuetype=="bool"]=>Issue(claim=c1);'.Error del
analizador: 'POLICY0029: Entrada inesperada.
 5. Ejemplo:

c1:[type == "x1", value == "1", valuetype == "boolean"] =>

Issue(type = c1.type, value="0", valuetype == "boolean");

En este ejemplo se usa un signo igual doble (==) en lugar de un único signo igual
(=).
Mensaje de error:POLICY0002: No se pudieron analizar los datos de la
directiva.Número de línea: 1, Número de columna: 91, Token de error: ==. Línea: 'c1:
[type=="x1", value="1",valuetype=="boolean"]=>Issue(type=c1.type, value="0",
valuetype=="boolean");'.Error del analizador: 'POLICY0030: error de sintaxis,
inesperado '==', esperando uno de los siguientes: '='

6. Ejemplo:

c1:[type=="x1", value=="boolean", valuetype=="string"] =>

Issue(type=c1.type, value=c1.value, valuetype = "string");

Este ejemplo es sintáctica y semánticamente correcto. Sin embargo, el uso de

"booleano" como valor de cadena está enlazado para causar confusión y debe
evitarse. Como se mencionó anteriormente, el uso de terminales de lenguaje como
valores de notificaciones debe evitarse siempre que sea posible.

Terminales de idioma
En la tabla siguiente se muestra el conjunto completo de cadenas de terminal y los
terminales de lenguaje asociados que se usan en el lenguaje de reglas de
transformación de notificaciones. Estas definiciones usan cadenas UTF-16 que no
distinguen mayúsculas de minúsculas.

String Terminal

"=>" INSINUAR

";" PUNTO Y COMA

":" COLON

"," COMA
 String Terminal

"." PUNTO

"[" O_SQ_BRACKET

"]" C_SQ_BRACKET

"(" O_BRACKET

")" C_BRACKET

"==" EQ

"!=" NEQ

"=~" REGEXP_MATCH

"!~" REGEXP_NOT_MATCH

"=" ASIGNAR

"&&" y

"problema" PROBLEMA

"type" TYPE

"value" VALOR

"valuetype" VALUE_TYPE

"notificación" RECLAMACIÓN

"[_A-Za-z][_A-Za-z0-9]*" IDENTIFIER

"\"[^\"\n]*\"" STRING

"uint64" UINT64_TYPE

"int64" INT64_TYPE

"cadena" STRING_TYPE

"booleano" BOOLEAN_TYPE

Sintaxis del lenguaje

El siguiente lenguaje de reglas de transformación de notificaciones se especifica en
formato ABNF. Esta definición usa los terminales que se especifican en la tabla anterior
además de las producciones de ABNF definidas aquí. Las reglas se deben codificar en
UTF-16 y las comparaciones de cadenas deben tratarse como no distingue mayúsculas
de minúsculas.

Rule_set = ;/*Empty*/

/ Rules

Rules = Rule

/ Rule Rules

Rule = Rule_body

Rule_body = (Conditions IMPLY Rule_action SEMICOLON)

Conditions = ;/*Empty*/

/ Sel_condition_list
Sel_condition_list = Sel_condition

/ (Sel_condition_list AND Sel_condition)

Sel_condition = Sel_condition_body

/ (IDENTIFIER COLON Sel_condition_body)

Sel_condition_body = O_SQ_BRACKET Opt_cond_list C_SQ_BRACKET

Opt_cond_list = /*Empty*/

/ Cond_list

Cond_list = Cond

/ (Cond_list COMMA Cond)

Cond = Value_cond

/ Type_cond

Type_cond = TYPE Cond_oper Literal_expr

Value_cond = (Val_cond COMMA Val_type_cond)

/(Val_type_cond COMMA Val_cond)

Val_cond = VALUE Cond_oper Literal_expr

Val_type_cond = VALUE_TYPE Cond_oper Value_type_literal

claim_prop = TYPE

/ VALUE

Cond_oper = EQ

/ NEQ

/ REGEXP_MATCH

/ REGEXP_NOT_MATCH

Literal_expr = Literal

/ Value_type_literal

Expr = Literal

/ Value_type_expr

/ (IDENTIFIER DOT claim_prop)

Value_type_expr = Value_type_literal

/(IDENTIFIER DOT VALUE_TYPE)

Value_type_literal = INT64_TYPE
/ UINT64_TYPE

/ STRING_TYPE

/ BOOLEAN_TYPE

Literal = STRING

Rule_action = ISSUE O_BRACKET Issue_params C_BRACKET

Issue_params = claim_copy

/ claim_new

claim_copy = CLAIM ASSIGN IDENTIFIER

claim_new = claim_prop_assign_list

claim_prop_assign_list = (claim_value_assign COMMA claim_type_assign)

 /(claim_type_assign COMMA claim_value_assign)

claim_value_assign = (claim_val_assign COMMA claim_val_type_assign)

/(claim_val_type_assign COMMA claim_val_assign)

claim_val_assign = VALUE ASSIGN Expr

claim_val_type_assign = VALUE_TYPE ASSIGN Value_type_expr

Claim_type_assign = TYPE ASSIGN Expr

Anexo A: glosario de control de acceso

dinámico
Artículo • 21/12/2022 • Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

A continuación se muestra la lista de términos y definiciones que se incluyen en el

escenario Access Control dinámico.

Término Definición

Clasificación Clasificación que se produce en función de las propiedades de clasificación

automática que determinan las reglas de clasificación configuradas por un administrador.

CAPID Identificador de directiva de acceso central. Este identificador hace referencia a

una directiva de acceso central específica y se usa para hacer referencia a la
directiva desde el descriptor de seguridad de archivos y carpetas.

Regla de acceso Regla que incluye una condición y una expresión de acceso.
central

Directiva de Directivas que se han escrito y hospedado en Active Directory.

acceso central

Control de Paradigma que utiliza notificaciones para tomar decisiones de control de

acceso basado acceso a los recursos.
en
notificaciones

clasificación Proceso de determinar las propiedades de clasificación de los recursos y

asignar estas propiedades a los metadatos asociados a los recursos. Vea
también REF AutomaticClassification \h \* MERGEFORMAT Automatic
classification, REF InheritedClassification \h \* MERGEFORMAT Inherited
classification y REF ManualClassification \h \* MERGEFORMAT Manual
classification.

Notificación de Notificación asociada al sistema. Con las notificaciones de usuario, se incluye

dispositivo en el token de un usuario que intenta acceder a un recurso.

Lista de control Lista de control de acceso que identifica a los administradores de confianza a
de acceso los que se les permite o deniega el acceso a un recurso protegible. Se puede
discrecional modificar a discreción del propietario del recurso.
(DACL)
Término Definición

Propiedad Propiedades (como etiquetas) que describen un archivo y se asignan a

resource archivos mediante la clasificación automática o la clasificación manual.
Algunos ejemplos son: confidencialidad, Project y período de retención.

File Server Característica del sistema operativo Windows Server que ofrece la
Resource administración de cuotas de carpetas, filtrado de archivos, informes de
Manager almacenamiento, clasificación de archivos y trabajos de administración de
archivos en un servidor de archivos.

Etiquetas y Propiedades y etiquetas que describen una carpeta y que los administradores
propiedades de y propietarios de carpetas asignan manualmente. Estas propiedades asignan
carpeta valores de propiedad predeterminados a los archivos dentro de estas carpetas,
por ejemplo, Secreto o Departamento.

Directiva de Conjunto de reglas y directivas que controla el entorno de trabajo de usuarios

grupo y equipos en un Active Directory trabajo.

Clasificación casi Clasificación automática que se realiza poco después de crear o modificar un
en tiempo real archivo.

Tareas de Administración de archivos tareas que se realizan poco después (se crea o
administración modifica un archivo. Estas tareas se desencadenan mediante la clasificación
de archivos casi Casi en tiempo real.
en tiempo real

Unidad Contenedor Active Directory que representa estructuras lógicas jerárquicas

organizativa dentro de una organización. Es el ámbito más pequeño al que se aplican
(OU) directiva de grupo configuración.

Propiedad Propiedad de clasificación en la que el tiempo de ejecución de autorización

Segura puede confiar para ser una aserción válida sobre el recurso en un momento
dado. En el control de acceso basado en notificaciones, una propiedad segura
que se asigna a un recurso se trata como una notificación de recurso.

Descriptor de Estructura de datos que contiene información de seguridad asociada a un

seguridad recurso protegible, como listas de control de acceso.

Lenguaje de Especificación que describe la información de un descriptor de seguridad

definición del como una cadena de texto.
descriptor de
seguridad

Directiva de Una directiva de acceso central que aún no está en vigor.

almacenamiento
provisional

Lista de control Lista de control de acceso que especifica los tipos de intentos de acceso de
de acceso del determinados administradores de confianza para los que se deben generar
sistema (SACL) registros de auditoría.
 Término Definición

Notificación de Atributos de un usuario que se proporcionan dentro del token de seguridad

usuario del usuario. Algunos ejemplos son: Departamento, Empresa, Project y
Autorización de seguridad. La información del token de usuario de los
sistemas anteriores Windows Server 2012 , como los grupos de seguridad de
los que forma parte el usuario, también se pueden considerar notificaciones
de usuario. Algunas notificaciones de usuario se proporcionan a través de
Active Directory y otras se calculan dinámicamente, como si el usuario inició
sesión con una tarjeta inteligente.

Token de Objeto de datos que identifica un usuario y las notificaciones de usuario y

usuario notificaciones de dispositivo asociadas a ese usuario. Se usa para autorizar el
acceso del usuario a los recursos.

Consulte también
Control de acceso dinámico: Información general sobre el escenario
Apéndice B: Configuración del entorno
de pruebas
Artículo • 21/12/2022 • Tiempo de lectura: 31 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este tema se describen los pasos para crear un laboratorio práctico para probar el
control de acceso dinámico. Las instrucciones deben seguirse secuencialmente porque
hay muchos componentes que tienen dependencias.

Requisitos previos
Requisitos de hardware y de software para SharePoint 2013

Requisitos para configurar el laboratorio de pruebas:

Un servidor host con Windows Server 2008 R2 con SP1 e Hyper-V

Copia de la iso de Windows Server 2012

Copia de la iso de Windows 8

Microsoft Office 2010

Un servidor con Microsoft Exchange Server 2003 o posterior

Necesitas crear las siguientes máquinas virtuales para probar los escenarios de control de
acceso dinámico:

DC1 (controlador de dominio)

DC2 (controlador de dominio)

FILE1 (servidor de archivos y Active Directory Rights Management Services)

SRV1 (servidores POP3 y SMTP)

CLIENT1 (equipo cliente con Microsoft Outlook)

Las contraseñas para las máquinas virtuales deben ser las siguientes:

BUILTIN\Administrador: pass@word1
 Contoso\Administrador: pass@word1

Todas las demás cuentas: pass@word1

Crear las máquinas virtuales del laboratorio de

pruebas

Instalar el rol Hyper-V

Tienes que instalar el rol Hyper-V en un equipo con Windows Server 2008 R2 con SP1.

Para instalar el rol Hyper-V

1. Haz clic en Inicio y, después, en Administrador del servidor.

2. En el área de resumen de los roles de la ventana principal del Administrador del

servidor, haz clic en Agregar roles.

3. En la pantalla Seleccionar roles de servidor, selecciona Hyper-V.

4. En la página Crear redes virtuales, haz clic en uno o varios adaptadores si quieres
que sus conexiones de red estén disponibles para las máquinas virtuales.

5. En la página Confirmar selecciones de instalación, haz clic en Instalar.

6. El equipo debe reiniciarse para finalizar la instalación. Haz clic en Cerrar para
finalizar el asistente y después haz clic en Sí para reiniciar el servidor.

7. Después de reiniciar el servidor, inicia sesión con la misma cuenta que usaste para
instalar el rol. Cuando el Asistente para reanudar la configuración complete la
instalación, haz clic en Cerrar para finalizar el asistente.

Crear una red virtual interna

Ahora crearás una red virtual interna llamada ID_AD_Network.

Creación de una red virtual

1. Abra el administrador de Hyper-V.

2. En el menú Acciones, haz clic en Administrador de redes virtuales.

3. En Crear red virtual, selecciona Interna.

 4. Haga clic en Agregar. Se abre la página Nueva red virtual.

5. Escribe ID_AD_Network como nombre de la nueva red. Revisa las demás

propiedades y modifícalas si es necesario.

6. Haz clic en Aceptar para crear la red virtual y cerrar el Administrador de redes
virtuales o haz clic en Aplicar para crear la red virtual y continuar usando el
Administrador de redes virtuales.

Crear el controlador de dominio

Crea una máquina virtual para usarla como controlador de dominio (DC1). Instale la
máquina virtual con Windows Server 2012 ISO y asígnele el nombre DC1.

Para instalar Active Directory Domain Services

1. Conecta la máquina virtual a ID_AD_Network. Inicia sesión en DC1 como

Administrador con la contraseña pass@word1.

2. En el Administrador del servidor, haga clic en Administrar y en Agregar roles y

características.

3. En la página Antes de comenzar , haga clic en Siguiente.

4. En la página Seleccionar tipo de instalación, haz clic en Instalación basada en

características o en roles y, después, haz clic en Siguiente.

5. En la página Seleccionar servidor de destino, haz clic en Siguiente.

6. En la página Seleccionar roles de servidor, haz clic en Active Directory Domain

Services. En el cuadro de diálogo Asistente para agregar roles y características, haz
clic en Agregar características y, después, en Siguiente.

7. En la página Seleccionar características, haz clic en Siguiente.

8. En la página Active Directory Domain Services, revisa la información y haz clic en

Siguiente.

9. En la página Confirmar selecciones de instalación, haga clic en Instalar. La barra de

progreso de instalación de características en la página Resultados indica que el rol
se está instalando.

10. En la página Resultados, comprueba que la instalación se realizó correctamente y

haz clic en Cerrar. En el Administrador del servidor, haz clic en el icono de
advertencia con una marca de exclamación, en la esquina superior derecha de la
 pantalla, junto a Administrar. En la lista Tareas, haz clic en el vínculo Promover este
servidor a controlador de dominio.

11. En la página Configuración de implementación, haz clic en Agregar un nuevo

bosque, escribe el nombre del dominio raíz, contoso.com y haz clic en Siguiente.

12. En la página Opciones del controlador de dominio, selecciona los niveles

funcionales de dominio y bosque como Windows Server 2012, especifica la
contraseña DSRM pass@word1 y haz clic en Siguiente.

13. En la página Opciones de DNS, haz clic en Siguiente.

14. En la página Opciones adicionales, haz clic en Siguiente.

15. En la página Rutas de acceso, escribe las ubicaciones para la carpeta SYSVOL,
archivos de registro o la base de datos de Active Directory (o acepta las ubicaciones
predeterminadas) y, después, haz clic en Siguiente.

16. En la página Revisar opciones, confirma las selecciones y, después, haz clic en
Siguiente.

17. En la página Comprobación de requisitos previos, confirma que se haya

completado la validación de los requisitos previos y, después, haz clic en Instalar.

18. En la página Resultados, comprueba que el servidor se haya configurado

correctamente como controlador de dominio y haz clic en Cerrar.

19. Reinicia el servidor para completar la instalación de AD DS. (De forma

predeterminada, esto se produce automáticamente).

Crea los siguientes usuarios con el Centro de administración de Active Directory.

Crear usuarios y grupos en DC1

1. Inicia sesión en contoso.com como Administrador. Inicie el Centro de administración

de Active Directory.

2. Crea los siguientes grupos de seguridad:

Nombre del grupo Dirección de correo electrónico

FinanceAdmin [email protected]

FinanceException [email protected]

3. Crea la siguiente unidad organizativa (OU):

 Nombre de OU Computers

FileServerOU FILE1

4. Crea los siguientes usuarios con los atributos indicados:

Usuario Nombre Dirección de correo department Grupo País/región

de electrónico
usuario

Myriam MDelesalle [email protected] Finance US

Delesalle

Miles MReid [email protected] Finance FinanceAdmin US

Reid

Esther EValle [email protected] Operations FinanceException US

Valle

Maira MWenzel [email protected] HR US

Wenzel

Jeff Low JLow [email protected] HR US

Servidor rms [email protected]

RMS

Para obtener más información sobre cómo crear grupos de seguridad, consulte
Crear un nuevo grupo en el sitio web de Windows Server.

Para crear un objeto de directiva de grupo

1. Mantén el cursor en la esquina superior derecha de la pantalla y haz clic en el icono

de búsqueda. En el cuadro de búsqueda, escribe administración de directivas de
grupo y haz clic en Administración de directivas de grupo.

2. Expande Bosque: contoso.com y, después, expande Dominios, navega a

contoso.com, expande (contoso.com) y selecciona FileServerOU. Haga clic con el
botón derecho en Crear un GPO en este dominio y vincularlo aquí.

3. Escribe un nombre descriptivo para el GPO, como FlexibleAccessGPO, y haz clic en

Aceptar.

Para habilitar el control de acceso dinámico para contoso.com

1. Abre la Consola de administración de directivas de grupo, haz clic en contoso.com

y, después, haz doble clic en Controladores de dominio.
 2. Haz clic con el botón derecho en Directiva predeterminada de controladores de
dominio y selecciona Editar.

3. En la ventana del Editor de administración de directivas de grupo, haz doble clic en

Configuración del equipo, haz doble clic en Directivas, haz doble clic en Plantillas
administrativas, haz doble clic en Sistema y, después, haz doble clic en KDC.

4. Haz doble clic en Compatibilidad del KDC con notificaciones, autenticación

compuesta y protección de Kerberos y selecciona la opción junto a Habilitado.
Necesitas habilitar esta opción para usar las directivas de acceso central.

5. Abre un símbolo del sistema con permisos elevados y ejecuta el siguiente comando:

gpupdate /force

Crear el servidor de archivos y el servidor de AD RMS

(FILE1)
1. Compile una máquina virtual con el nombre FILE1 a partir de la Windows Server
2012 ISO.

2. Conecta la máquina virtual a ID_AD_Network.

3. Une la máquina virtual al dominio contoso.com y, después, inicia sesión en FILE1

como contoso\administrador usando la contraseña pass@word1.

Instalar el Administrador de recursos del servidor de archivos

Para instalar el rol Servicios de archivo y el Administrador de recursos

del servidor de archivos

1. En el Administrador del servidor, haz clic en Agregar roles y características.

2. En la página Antes de comenzar , haga clic en Siguiente.

3. En la página Seleccionar tipo de instalación, haz clic en Siguiente.

4. En la página Seleccionar servidor de destino, haz clic en Siguiente.

5. En la página Seleccionar roles de servidor, expande Servicios de archivos y

almacenamiento, activa la casilla junto a Servicios de iSCSI y archivo, expande y
selecciona Administrador de recursos del servidor de archivos.
 En el Asistente para agregar roles y características, haz clic en Agregar
características y, después, en Siguiente.

6. En la página Seleccionar características, haz clic en Siguiente.

7. En la página Confirmar selecciones de instalación, haga clic en Instalar.

8. En la página Progreso de la instalación, haz clic en Cerrar.

Instalar los paquetes de filtros de Microsoft Office en el servidor de

archivos

Debe instalar los paquetes de filtros de Microsoft Office en Windows Server 2012 para
habilitar IFilters para una matriz más amplia de archivos de Office de los que se
proporcionan de forma predeterminada. Windows Server 2012 no tiene ningún IFilters
para Microsoft Office Archivos instalados de forma predeterminada y la infraestructura de
clasificación de archivos usa IFilters para realizar el análisis de contenido.

Para descargar e instalar los IFilters, consulte Paquetes de filtros de Microsoft Office
2010 .

Configurar notificaciones de correo electrónico en FILE1

Al crear cuotas y filtros de archivos, tienes la opción de enviar notificaciones de correo
electrónico a los usuarios cuando estén llegando al límite de su cuota o cuando hayan
intentado guardar archivos que han sido bloqueados. Si quieres notificar de forma
rutinaria a determinados administradores los eventos de cuota y filtrado de archivos,
puedes configurar uno o varios destinatarios predeterminados. Para enviar estas
notificaciones, debes especificar el servidor SMTP que se utilizará para reenviar los
mensajes de correo electrónico.

Para configurar las opciones de correo electrónico en el Administrador

de recursos del servidor de archivos

1. Abra el Administrador de recursos del servidor de archivos. Para abrir el

Administrador de recursos del servidor de archivos haz clic en Inicio, escribe
administrador de recursos del servidor de archivos y haz clic en Administrador de
recursos del servidor de archivos.

2. En la interfaz del Administrador de recursos del servidor de archivos, haz clic con el
botón derecho en Administrador de recursos del servidor de archivos y, después,
haz clic en Configurar opciones. Se abre el cuadro de diálogo Opciones del
Administrador de recursos del servidor de archivos.
 3. En la pestaña Notificaciones de correo electrónico, en el nombre o la dirección IP
del servidor SMTP, escribe el nombre de host o la dirección IP del servidor SMTP
que reenviará las notificaciones de correo electrónico.

4. Si desea notificar periódicamente a determinados administradores de eventos de

cuota o filtrado de archivos, en Destinatarios de administrador predeterminados,
escriba cada dirección de correo electrónico, como [email protected]. Usa el
formato cuenta@dominio y usa punto y coma para separar varias cuentas.

Crear grupos en FILE1

Para crear grupos de seguridad en FILE1

1. Inicie sesión en FILE1 como contoso\administrador, con la contraseña: pass@word1.

2. Agrega NT AUTHORITY\Usuarios autenticados al grupo WinRMRemoteWMIUsers__

.

Crear archivos y carpetas en FILE1

1. Crea un nuevo volumen NTFS en FILE1 y, después, crea la siguiente carpeta:
D:\Finance Documents.

2. Crea los siguientes archivos con los detalles especificados:

Finance Memo.docx: Agrega texto financiero al documento. Por ejemplo, "Las

reglas de negocios sobre quién puede acceder a los documentos financieros
han cambiado. Ahora, solo los miembros del grupo FinanceExpert pueden
acceder a los documentos financieros. Ningún otro departamento o grupo
tiene acceso. Tienes que evaluar el impacto de este cambio antes de
implementarlo en el entorno. Asegúrate de que en el pie de página de todas
las páginas de este documento aparece CONTOSO CONFIDENTIAL.

Request for Approval to Hire.docx: Crea un formulario en este documento

que recopile la información del candidato. El documento debe tener los
siguientes campos: Applicant Name, Social Security number, Job Title,
Proposed Salary, Starting Date, Supervisor name, Department(Nombre del
candidato, N.º de la Seguridad Social, Puesto, Salario propuesto, Fecha de
inicio, Nombre del supervisor, Departamento). Agrega una sección adicional al
documento que tenga un formulario con Supervisor Signature, Approved
Salary, Conformation of Offer y Status of Offer (Firma del supervisor, Salario
 aprobado, Detalle de la oferta y Estado de la oferta).
Habilite la administración
de derechos del documento.

Word Document1.docx: Agrega contenido de prueba a este documento.

Word Document2.docx: Agrega contenido de prueba a este documento.

Workbook1.xlsx

Workbook2.xlsx

Crea una carpeta en el escritorio que se llame Expresiones regulares. Crea un

documento de texto en la carpeta RegEx-SSN. Escriba el siguiente contenido
en el archivo y, a continuación, guarde y cierre el archivo: ^(?! 000)([0-
7]\d{2}|7([0-7]\d|7[012]))([ -]?) (?! 00)\d\d\3(?! 0000)\d{4}$

3. Comparte la carpeta D:\Finance Documents como Finance Documents y permite

que todos tengan acceso de lectura y escritura al recurso compartido.

７ Nota

Las directivas de acceso central no están habilitadas de forma predeterminada en el

volumen C: de arranque o del sistema.

Instalar Active Directory Rights Management Services

Agrega Active Directory Rights Management Services (AD RMS) y todas las características
necesarias a través del Administrador del servidor. Selecciona todos los valores
predeterminados.

Para instalar Active Directory Rights Management Services

1. Inicia sesión en FILE1 como CONTOSO\Administrador o como miembro del grupo

Admins. del dominio.

） Importante

Para instalar el rol de servidor de AD RMS, la cuenta del instalador (en este
caso, CONTOSO\Administrador) tendrá que pertenecer al grupo local
Administradores en el equipo servidor donde se va a instalar AD RMS y al
grupo Administradores de organización en Active Directory.
 2. En el Administrador del servidor, haz clic en Agregar roles y características. Aparece
el Asistente para agregar roles y características.

3. En la pantalla Antes de comenzar, haz clic en Siguiente.

4. En la pantalla Seleccionar tipo de instalación, haz clic en Instalación basada en

características o en roles y, después, haz clic en Siguiente.

5. En la pantalla Seleccionar destinos del servidor, haz clic en Siguiente.

6. En la pantalla Seleccionar roles de servidor, activa la casilla junto a Active Directory

Rights Management Services y, después, haz clic en Siguiente.

7. En ¿Desea agregar características requeridas para Active Directory Rights

Management Services?, haz clic en Agregar características.

8. En la pantalla Seleccionar roles de servidor, haz clic en Siguiente.

9. En la pantalla Seleccionar características para instalar, haz clic en Siguiente.

10. En la pantalla Active Directory Rights Management Services, haz clic en Siguiente.

11. En la pantalla Seleccionar servicios de rol, haz clic en Siguiente.

12. En la pantalla Rol Servidor web (IIS), haz clic en Siguiente.

13. En la pantalla Seleccionar servicios de rol, haz clic en Siguiente.

14. En la pantalla Confirmar selecciones de instalación, haz clic en Instalar.

15. Una vez completada la instalación, en la pantalla Progreso de la instalación, haz clic
en Realizar configuración adicional. Aparece el asistente de configuración de AD
RMS.

16. En la pantalla AD RMS, haz clic en Siguiente.

17. En la pantalla Clúster de AD RMS, selecciona Crear un nuevo clúster raíz de AD

RMS y, después, haz clic en Siguiente.

18. En la pantalla Base de datos de configuración, haz clic en Usar Windows Internal
Database en este servidor y, después, haz clic en Siguiente.

７ Nota

Se recomienda usar Windows Internal Database solo en entornos de prueba

porque no admite más de un servidor en el clúster de AD RMS. Las
implementaciones de producción usan un servidor de base de datos diferente.
19. En la pantalla Cuenta de servicio, en Cuenta de usuario de dominio, haz clic en
Especificar y, después, especifica el nombre de usuario (contoso\rms) y la
contraseña (pass@word1); haz clic en Aceptar y, después, en Siguiente.

20. En la pantalla Modo criptográfico, haz clic en Modo criptográfico 2.

21. En la pantalla Almacenamiento de la clave de clúster, haz clic en Siguiente.

22. En la pantalla Contraseña de la clave de clúster, en los cuadros Contraseña y

Confirmar contraseña, escribe pass@word1 y, después, haz clic en Siguiente.

23. En la pantalla Sitio web del clúster, asegúrate de que Sitio web predeterminado
está seleccionado y, después, haz clic en Siguiente.

24. En la pantalla Dirección de clúster, selecciona la opción Usar una conexión no

cifrada, en el cuadro Nombre de domino completo, escribe FILE1.contoso.com y,
después, haz clic en Siguiente.

25. En la pantalla Nombre del certificado emisor de licencias, acepta el nombre

predeterminado (FILE1) en el cuadro de texto y haz clic en Siguiente.

26. En la pantalla Registro de SCP, selecciona Registrar el SCP ahora y, después, haz clic
en Siguiente.

27. En la pantalla Confirmación, haz clic en Instalar.

28. En la pantalla Resultados, haz clic en Cerrar y, después, haz clic en Cerrar en la
pantalla Progreso de la instalación. Cuando hayas terminado, cierra sesión e inicia
sesión de nuevo como contoso\rms usando la contraseña proporcionada
(pass@word1).

29. Inicia la consola de AD RMS y ve a Plantillas de directiva de permisos.

Para abrir la consola de AD RMS, en el Administrador del servidor, haz clic en

Servidor local en el árbol de consola, haz clic en Herramientas y haz clic en Active
Directory Rights Management Services.

30. Haz clic en la plantilla Crear plantilla de directiva de permisos distribuida, situada
en el panel derecho, haz clic en Agregar y selecciona la siguiente información:

Language (idioma): Inglés EE.UU.

Nombre: Contoso Finance Admin Only

Descripción: Contoso Finance Admin Only

 Haz clic en Agregar y, después, en Siguiente.

31. En la sección Usuarios y derechos, haga clic en Usuarios y derechos, haga clic en
Agregar, escriba [email protected] haga clic en Aceptar.

32. Selecciona Control total y deja seleccionada Conceder al propietario (autor)

derecho de control total sin expiración.

33. Haz clic en las demás pestañas sin realizar cambios y, después, haz clic en Finalizar.
Inicie sesión como CONTOSO\Administrador.

34. Ve a la carpeta C:\inetpub\wwwroot\_wmcs\certification, selecciona el archivo

ServerCertification.asmx y agrega Usuarios autenticados para que tengan permisos
de lectura y escritura en el archivo.

35. Abra Windows PowerShell y ejecute Get-FsrmRmsTemplate . Comprueba que puedes

ver la plantilla RMS que creaste en los pasos anteriores de este procedimiento, con
este comando.

） Importante

Si quieres que tus servidores de archivos cambien inmediatamente para poder

probarlos, tienes que hacer lo siguiente:

1. En el servidor de archivos FILE1, abre un símbolo del sistema con privilegios

elevados y ejecuta los siguientes comandos:

gpupdate /force.
NLTEST /SC_RESET:contoso.com

2. En el controlador de dominio (DC1), replica Active Directory.

Para obtener más información acerca de los pasos para aplicar la replicación de
Active Directory, consulte Replicación de Active Directory

En lugar de usar el Asistente para agregar roles y características en el Administrador del

servidor, también puedes usar Windows PowerShell para instalar y configurar el rol de
servidor de AD RMS tal y como se muestra en el procedimiento siguiente.

Para instalar y configurar un clúster de AD RMS en Windows Server

2012 mediante Windows PowerShell

1. Inicie sesión como CONTOSO\Administrador con la contraseña: pass@word1.

 ） Importante

Para instalar el rol de servidor de AD RMS, la cuenta del instalador (en este
caso, CONTOSO\Administrador) tendrá que pertenecer al grupo local
Administradores en el equipo servidor donde se va a instalar AD RMS y al
grupo Administradores de organización en Active Directory.

2. En el escritorio del servidor, haz clic con el botón derecho en el icono de Windows
PowerShell en la barra de tareas, y selecciona Ejecutar como administrador para
abrir un símbolo del sistema de Windows PowerShell con privilegios administrativos.

3. Para usar los cmdlets del Administrador del servidor para instalar el rol de servidor
de AD RMS, escribe:

Add-WindowsFeature ADRMS '"IncludeAllSubFeature '"IncludeManagementTools

4. Crea la unidad de Windows PowerShell para que represente el servidor de AD RMS

que vas a instalar.

Por ejemplo, para crear una unidad de Windows PowerShell llamada RC para instalar
y configurar el primer servidor de un clúster raíz de AD RMS, escribe:

Import-Module ADRMS

New-PSDrive -PSProvider ADRMSInstall -Name RC -Root RootCluster

5. En los objetos del espacio de nombres de la unidad, establece las propiedades que
representan las opciones de configuración necesarias.

Por ejemplo, para establecer la cuenta de servicio AD RMS, en el símbolo del

sistema de Windows PowerShell, escribe:

$svcacct = Get-Credential

Cuando aparezca el cuadro de diálogo de seguridad de Windows, escribe el nombre

de usuario de la cuenta de servicio de AD RMS CONTOSO\RMS y la contraseña
asignada.
Después, para asignar la cuenta de servicio de AD RMS a la configuración del clúster
de AD RMS, escribe lo siguiente:

Set-ItemProperty -Path RC:\ -Name ServiceAccount -Value $svcacct

Después, para establecer el servidor de AD RMS para que use Windows Internal
Database, en el símbolo del sistema de Windows PowerShell, escribe:

Set-ItemProperty -Path RC:\ClusterDatabase -Name

UseWindowsInternalDatabase -Value $true

Después, para almacenar la contraseña de la clave de clúster de forma segura en

una variable, en el símbolo del sistema de Windows PowerShell, escribe:

$password = Read-Host -AsSecureString -Prompt "Password:"

Escribe la contraseña de la clave de clúster y presiona ENTRAR.

Después, para asignar la contraseña a tu instalación de AD RMS, en el símbolo del

sistema de Windows PowerShell, escribe:

Set-ItemProperty -Path RC:\ClusterKey -Name CentrallyManagedPassword -

Value $password

Después, para establecer la dirección del clúster de AD RMS, en el símbolo del

sistema de Windows PowerShell, escribe:

Set-ItemProperty -Path RC:\ -Name ClusterURL -Value

"http://file1.contoso.com:80"

Después, para asignar el nombre de SLC a tu instalación de AD RMS, en el símbolo

del sistema de Windows PowerShell, escribe:
 Set-ItemProperty -Path RC:\ -Name SLCName -Value "FILE1"

Después, para establecer el punto de conexión de servicio (SCP) al clúster de AD

RMS, en el símbolo del sistema de Windows PowerShell, escribe:

Set-ItemProperty -Path RC:\ -Name RegisterSCP -Value $true

6. Ejecuta el cmdlet Install-ADRMS. Además de instalar el rol de servidor de AD RMS y

de configurar el servidor, este cmdlet también instala otras características que AD
RMS requiere, si es necesario.

Por ejemplo, para cambiar a la unidad de Windows PowerShell llamada RC e instalar

y configurar AD RMS, escribe:

Set-Location RC:\

Install-ADRMS -Path.

Escribe "S" cuando el cmdlet te pida que confirmes si quieres iniciar la instalación.

7. Cierra sesión como CONTOSO\Administrador e inicia sesión como CONTOSO\RMS

usando la contraseña proporcionada ("pass@word1").

） Importante

Para administrar el servidor de AD RMS, la cuenta con la que has iniciado

sesión y que estás usando para administrar el servidor (en este caso,
CONTOSO\RMS) tendrá que pertenecer al grupo local Administradores en el
equipo servidor de AD RMS y al grupo Administradores de organización en
Active Directory.

8. En el escritorio del servidor, haz clic con el botón derecho en el icono de Windows
PowerShell en la barra de tareas, y selecciona Ejecutar como administrador para
abrir un símbolo del sistema de Windows PowerShell con privilegios administrativos.

9. Crea la unidad de Windows PowerShell para que represente el servidor de AD RMS

que vas a configurar.

Por ejemplo, para crear una unidad de Windows PowerShell llamada RC para
configurar el clúster raíz de AD RMS, escribe:
 Import-Module ADRMSAdmin `

New-PSDrive -PSProvider ADRMSAdmin -Name RC -Root http://localhost -Force

-Scope Global

10. Para crear nuevas plantillas de derechos para el administrador financiero de Contoso
y asignarle derechos de usuario con control total en tu instalación de AD RMS, en el
símbolo del sistema de Windows PowerShell, escribe:

New-Item -Path RC:\RightsPolicyTemplate '"LocaleName en-us -DisplayName

"Contoso Finance Admin Only" -Description "Contoso Finance Admin Only" -
UserGroup [email protected] -Right ('FullControl')

11. Para comprobar que puedes ver la nueva plantilla de derechos para el administrador
financiero de Contoso, en el símbolo del sistema de Windows PowerShell:

Get-FsrmRmsTemplate

Revisa el resultado de este cmdlet para confirmar que la plantilla RMS que creaste
en el paso anterior está presente.

Crea el servidor de correo (SRV1)

SRV1 es el servidor de correo SMTP/POP3. Tienes que configurarlo para poder enviar
notificaciones de correo electrónico como parte del escenario de asistencia de acceso
denegado.

Configura Microsoft Exchange Server en este equipo. Para obtener más información,
consulte Cómo instalar Exchange Server .

Crea la máquina virtual cliente (CLIENT1)

Para crear la máquina virtual cliente

1. Conecta CLIENT1 a ID_AD_Network.

2. Instala Microsoft Office 2010.

 3. Inicia sesión como Contoso\Administrador y usa la siguiente información para
configurar Microsoft Outlook.

Tu nombre: Administrador de archivos

Dirección de correo electrónico: [email protected]

Tipo de cuenta: POP3

Servidor de correo entrante: Dirección IP estática de SRV1

Servidor de correo saliente: Dirección IP estática de SRV1

Nombre de usuario: [email protected]

Recordar contraseña: Seleccionar

4. Crea un acceso directo a Outlook en el escritorio de contoso\administrador.

5. Abra Outlook y solucione todos los mensajes "la primera vez que se inician".

6. Elimina los mensajes de prueba que se generaron.

7. Crea un nuevo acceso directo en el escritorio para todos los usuarios de la máquina
virtual cliente que apunte a \\FILE1\Finance Documents.

8. Reinicia cuando sea necesario.

Habilita la asistencia de acceso denegado en la máquina virtual

cliente

1. Abre el Editor del Registro y ve a

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer.

Establece EnableShellExecuteFileStreamCheck en 1.

Valor: DWORD

Configuración del laboratorio para un escenario

de implementación de notificaciones en
bosques

Crea una máquina virtual para DC2

Compile una máquina virtual a partir de la Windows Server 2012 ISO.
 Asigna el nombre DC2 a la máquina virtual.

Conecta la máquina virtual a ID_AD_Network.

） Importante

Para unir máquinas virtuales a un dominio e implementar tipos de notificaciones en

bosques es necesario que las máquinas virtuales puedan resolver los nombres
completos de los dominios relevantes. Para ello, puede que tengas que configurar
manualmente las opciones de DNS en las máquinas virtuales. Para obtener más
información, consulte Configuración de una red virtual.

Todas las imágenes de máquinas virtuales (servidores y clientes) deben

reconfigurarse para que usen una dirección IP estática de la versión 4 (IPv4) y la
configuración de cliente del Sistema de nombres de dominio (DNS). Para obtener
más información, consulte Configurar un cliente DNS con una dirección IP estática.

Configurar un nuevo bosque llamado adatum.com

Para instalar Active Directory Domain Services

1. Conecta la máquina virtual a ID_AD_Network. Inicia sesión en DC2 como

Administrador con la contraseña Pass@word1.

2. En el Administrador del servidor, haga clic en Administrar y en Agregar roles y

características.

3. En la página Antes de comenzar , haga clic en Siguiente.

4. En la página Seleccionar tipo de instalación, haz clic en Instalación basada en

características o en roles y, después, haz clic en Siguiente.

5. En la página Seleccionar servidor de destino, haz clic en Seleccionar un servidor

del grupo de servidores, haz clic en los nombres de servidor donde quieres instalar
Active Directory Domain Services (AD DS) y, después, en Siguiente.

6. En la página Seleccionar roles de servidor, haz clic en Active Directory Domain

Services. En el cuadro de diálogo Asistente para agregar roles y características, haz
clic en Agregar características y, después, en Siguiente.

7. En la página Seleccionar características, haz clic en Siguiente.

8. En la página AD DS, revisa la información y, después, haz clic en Siguiente.

 9. En la página Confirmación, haz clic en Instalar. La barra de progreso de instalación
de características en la página Resultados indica que el rol se está instalando.

10. En la página Resultados, comprueba que la instalación se realizó correctamente y,

después, haz clic en el icono de advertencia con un signo de exclamación en la
esquina superior derecha de la pantalla, junto a Administrar. En la lista Tareas, haz
clic en el vínculo Promover este servidor a controlador de dominio.

） Importante

Si cierras el asistente de instalación en este punto en lugar de hacer clic en

Promover este servidor a controlador de dominio, puedes continuar la
instalación haciendo clic en Tareas en el Administrador del servidor.

11. En la página Configuración de implementación, haz clic en Agregar un nuevo

bosque, escribe el nombre del dominio raíz, adatum.com y haz clic en Siguiente.

12. En la página Opciones del controlador de dominio, selecciona los niveles

funcionales de dominio y bosque como Windows Server 2012, especifica la
contraseña DSRM pass@word1 y haz clic en Siguiente.

13. En la página Opciones de DNS, haz clic en Siguiente.

14. En la página Opciones adicionales, haz clic en Siguiente.

15. En la página Rutas de acceso, escribe las ubicaciones para la carpeta SYSVOL,
archivos de registro o la base de datos de Active Directory (o acepta las ubicaciones
predeterminadas) y, después, haz clic en Siguiente.

16. En la página Revisar opciones, confirma las selecciones y, después, haz clic en
Siguiente.

17. En la página Comprobación de requisitos previos, confirma que se haya

completado la validación de los requisitos previos y, después, haz clic en Instalar.

18. En la página Resultados, comprueba que el servidor se haya configurado

correctamente como controlador de dominio y haz clic en Cerrar.

19. Reinicia el servidor para completar la instalación de AD DS. (De forma

predeterminada, esto se produce automáticamente).

） Importante
 Para asegurarte de que la red está correctamente configurada, después de
configurar ambos bosques, haz lo siguiente:

Inicia sesión en adatum.com como adatum\administrador. Abre una ventana de

símbolo del sistema, escribe nslookup contoso.com y presiona ENTRAR.
Inicia sesión en contoso.com como contoso/administrador. Abre una ventana
de símbolo del sistema, escribe nslookup adatum.com y presiona ENTRAR.

Si estos comandos se ejecutan sin errores, los bosques pueden comunicarse entre sí.
Para obtener más información sobre los errores de nslookup, consulte la sección
sobre solución de problemas en el tema Uso de NSlookup.exe

Establece contoso.com como bosque de confianza para

adatum.com
En este paso, creas una relación de confianza entre el sitio de Adatum Corporation y el
sitio de Contoso, Ltd.

Para establecer contoso.com como bosque de confianza para

Adatum

1. Inicia sesión en DC2 como administrador. En la pantalla Inicio, escribe domain.msc.

2. En el árbol de la consola, haz clic con el botón derecho en adatum.com y, después,

haz clic en Propiedades.

3. En la pestaña Confianzas, haz clic en Nueva confianza y, después, en Siguiente.

4. En la página Nombre de confianza, escribe contoso.com, en el campo de nombre

del Sistema de nombres de dominio (DNS) y, después, haz clic en Siguiente.

5. En la página Tipo de confianza, haz clic en Confianza de bosque y, después, en

Siguiente.

6. En la página Dirección de confianza, haz clic en Bidireccional.

7. En la página Partes de la relación de confianza, haz clic en Ambos, este dominio y

el dominio especificado y, después, haz clic en Siguiente.

8. Siga las instrucciones del asistente.

Crear usuarios adicionales en el bosque Adatum

Crea el usuario Jeff Low con la contraseña pass@word1, y asígnale el atributo Company
con el valor Adatum.

Para crear un usuario con el atributo Company

1. Abre un símbolo del sistema con permisos elevados en Windows PowerShell y pega
el siguiente código:

New-ADUser `

-SamAccountName jlow `

-Name "Jeff Low" `

-UserPrincipalName [email protected] `

-AccountPassword (ConvertTo-SecureString `

-AsPlainText "pass@word1" -Force) `

-Enabled $true `

-PasswordNeverExpires $true `

-Path 'CN=Users,DC=adatum,DC=com' `

-Company Adatum`

Crear el tipo de notificación Company en adataum.com

Para crear un tipo de notificación usando Windows PowerShell

1. Inicia sesión en adatum.com como administrador.

2. Abre un símbolo del sistema con permisos elevados en Windows PowerShell y

escribe el siguiente código:

New-ADClaimType `

-AppliesToClasses:@('user') `

-Description:"Company" `

-DisplayName:"Company" `

-ID:"ad://ext/Company:ContosoAdatum" `

-IsSingleValued:$true `

-Server:"adatum.com" `

-SourceAttribute:Company `

-SuggestedValues:@((New-Object
Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Contoso",
"Contoso", "")), (New-Object
Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Adatum",
"Adatum", ""))) `

Habilitar la propiedad Company en contoso.com

Para habilitar la propiedad Company en contoso.com

1. Inicia sesión en contoso.com como administrador.

2. En Administrador del servidor, haz clic en Herramientas y, después, en Centro de

administración de Active Directory.

3. En el panel izquierdo del Centro de administración de Active Directory, haz clic en

Vista de árbol. En el panel izquierdo, haz clic en Control de acceso dinámico y,
después, haz doble clic en Propiedades de recursos.

4. Selecciona Company en la lista Propiedades de recursos y haz clic con el botón

derecho en Propiedades. En la sección Valores sugeridos , haz clic en Agregar para
agregar los valores sugeridos: Contoso y Adatum y, después, haz clic en Aceptar
dos veces.

5. Selecciona Company en la lista Propiedades de recursos y haz clic con el botón

derecho en Habilitar.

Habilitar el control de acceso dinámico en adatum.com

Para habilitar el control de acceso dinámico para adatum.com

1. Inicia sesión en adatum.com como administrador.

2. Abre la Consola de administración de directivas de grupo, haz clic en adatum.com y,

después, haz doble clic en Controladores de dominio.

3. Haz clic con el botón derecho en Directiva predeterminada de controladores de

dominio y selecciona Editar.

4. En la ventana del Editor de administración de directivas de grupo, haz doble clic en

Configuración del equipo, haz doble clic en Directivas, haz doble clic en Plantillas
administrativas, haz doble clic en Sistema y, después, haz doble clic en KDC.

5. Haz doble clic en Compatibilidad del KDC con notificaciones, autenticación

compuesta y protección de Kerberos y selecciona la opción junto a Habilitado.
Necesitas habilitar esta opción para usar las directivas de acceso central.

6. Abre un símbolo del sistema con permisos elevados y ejecuta el siguiente comando:
 gpupdate /force

Crea el tipo de notificación Company en contoso.com

Para crear un tipo de notificación usando Windows PowerShell

1. Inicia sesión en contoso.com como administrador.

2. Abre un símbolo del sistema con permisos elevados en Windows PowerShell y

escribe el siguiente código:

New-ADClaimType '"SourceTransformPolicy `

'"DisplayName 'Company' `

'"ID 'ad://ext/Company:ContosoAdatum' `

'"IsSingleValued $true `

'"ValueType 'string' `

Crear la regla de acceso central

Para crear una regla de acceso central

1. En el panel izquierdo del Centro de administración de Active Directory, haz clic en

Vista de árbol. En el panel izquierdo, haz clic en Control de acceso dinámico y,
después, haz clic en Reglas de acceso central.

2. Haz clic con el botón derecho en Reglas de acceso central, haz clic en Nueva y,
después, en Regla de acceso central.

3. En el campo Nombre, escribe AdatumEmployeeAccessRule.

4. En la sección Permisos, selecciona la opción Usar los siguientes permisos como

permisos actuales, haz clic en Editar y, después, haz clic en Agregar. Haz clic en el
vínculo Seleccionar una entidad de seguridad, escribe Usuarios autenticados y,
después, haz clic en Aceptar.

5. En el cuadro de diálogo Entrada de permiso para permisos , haga clic en Agregar

una condición y escriba las condiciones siguientes: [Usuario] [Compañía] [Igual a]
[Valor] [Adatum]. Los permisos deben ser Modificar, Leer y ejecutar, Leer, Escribir.

6. Haga clic en OK.

 7. Haz clic en Aceptar tres veces para terminar y volver al Centro de administración de
Active Directory.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de
formato.

New-ADCentralAccessRule `

-CurrentAcl:"O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;FA;;;SY)
(XA;;0x1301bf;;;AU;(@USER.ad://ext/Company:ContosoAdatum == `"Adatum`"))"
`

-Name:"AdatumEmployeeAccessRule" `

-ProposedAcl:$null `

-ProtectedFromAccidentalDeletion:$true `

-Server:"contoso.com" `

Crear la directiva de acceso central

Para crear una directiva de acceso central

1. Inicia sesión en contoso.com como administrador.

2. Abre un símbolo del sistema con permisos elevados en Windows PowerShell y pega
el siguiente código:

New-ADCentralAccessPolicy "Adatum Only Access Policy"

Add-ADCentralAccessPolicyMember "Adatum Only Access Policy" `

-Member "AdatumEmployeeAccessRule" `

Publicar la nueva directiva mediante directiva de grupo

Para aplicar la directiva de acceso central a todos los servidores de

archivos mediante directiva de grupo

1. En la pantalla Inicio, escribe Herramientas administrativas y, en la barra Buscar, haz

clic en Configuración. En los resultados de Configuración, haz clic en Herramientas
 administrativas. Abre la Consola de administración de directivas de grupo de la
carpeta Herramientas administrativas.

 Sugerencia

Si la opción Mostrar herramientas administrativas está deshabilitada, no

aparecerá la carpeta Herramientas administrativas ni su contenido en los
resultados de Configuración.

2. Haga clic con el botón derecho en el dominio contoso.com, haga clic en Crear un
GPO en este dominio y vincularlo aquí.

3. Escribe un nombre descriptivo para el GPO, como AdatumAccessGPO, y haz clic en

Aceptar.

Para aplicar la directiva de acceso central al servidor de archivos

mediante directiva de grupo

1. En la pantalla Inicio, escribe Administración de directivas de grupo en el cuadro

Buscar. Abre Administración de directivas de grupo desde la carpeta Herramientas
administrativas.

 Sugerencia

Si la opción Mostrar herramientas administrativas está deshabilitada, no

aparecerá la carpeta Herramientas administrativas ni su contenido en los
resultados de Configuración.

2. Ve a Contoso y selecciónalo de la siguiente manera: Administración de directivas de

grupo\Bosque: contoso.com\Dominios\contoso.com.

3. Haz clic con el botón derecho en la directiva AdatumAccessGPO y selecciona Editar.

4. En el Editor de administración de directivas de grupo, haz clic en Configuración del

equipo, expande Directivas, expande Configuración de Windows y, después, haz
clic en Configuración de seguridad.

5. Expande Sistema de archivos, haz clic con el botón derecho en Directiva de acceso
central y, después, haz clic en Administrar directivas de acceso central.

6. En el cuadro de diálogo Configuración de directivas de acceso central, haz clic en

Agregar, selecciona Adatum Only Access Policy y, después, haz clic en Aceptar.
 7. Cierre el Editor de administración de directivas de grupo. Ya has agregado la
directiva de acceso central a la directiva de grupo.

Crear la carpeta Earnings en el servidor de archivos

Crea un nuevo volumen NTFS en FILE1 y crea la siguiente carpeta: D:\Earnings.

７ Nota

Las directivas de acceso central no están habilitadas de forma predeterminada en el

volumen C: de arranque o del sistema.

Establecer la clasificación y aplicar la directiva de acceso

central en la carpeta Earnings

Para asignar la directiva de acceso central en el servidor de

archivos

1. En el Administrador de Hyper-V, conecta con el servidor FILE1. Inicia sesión en el

servidor usando Contoso\Administrador con la contraseña pass@word1.

2. Abra un símbolo del sistema con privilegios elevados y escriba: gpupdate /force. Así
te aseguras de que los cambios en la directiva de grupo surtan efecto en el servidor.

3. También tienes que actualizar las propiedades de recursos globales desde Active
Directory. Abra Windows PowerShell, escriba Update-
FSRMClassificationpropertyDefinition y presione ENTRAR. Cierra Windows

PowerShell.

4. Abre el Explorador de Windows y ve a D:\EARNINGS. Haz clic con el botón derecho

en la carpeta Earnings y haz clic en Propiedades.

5. Haga clic en la pestaña Clasificación . Seleccione Empresa y, a continuación,

seleccione Adatum en el campo Valor .

6. Haz clic en Cambiar, selecciona Adatum Only Access Policy en el menú desplegable
y, después, haz clic en Aplicar.

7. Haga clic en la pestaña Seguridad , haga clic en Avanzadas y, a continuación, haga

clic en la pestaña Directiva central . Debería ver la lista
AdatumEmployeeAccessRule . Puedes expandir el elemento para ver todos los
permisos que estableciste cuando creaste la regla en Active Directory.
8. Haz clic en Aceptar para volver al Explorador de Windows.
Configuración del Servicio web de
inscripción de certificados para la
renovación basada en claves de
certificados en un puerto personalizado
Artículo • 21/12/2022 • Tiempo de lectura: 12 minutos

Autores: Jitesh Thakur, Meera Mohideen, Asesores Técnicos con el grupo Windows.
Ingeniero de soporte técnico de Ankit Tyagi con el grupo de Windows

Resumen
En este artículo se proporcionan instrucciones paso a paso para implementar el servicio
web de directiva de inscripción de certificados (CEP) y el servicio web de inscripción de
certificados (CES) en un puerto personalizado distinto de 443 para la renovación basada
en claves de certificado para aprovechar la característica de renovación automática de
CEP y CES.

En este artículo también se explica cómo funciona CEP y CES y se proporcionan

instrucciones de configuración.

７ Nota

El flujo de trabajo que se incluye en este artículo se aplica a un escenario específico.

Es posible que el mismo flujo de trabajo no funcione para una situación diferente.
Sin embargo, los principios siguen siendo los mismos.

Declinación de responsabilidades: esta configuración se crea para un requisito

específico en el que no desea usar el puerto 443 para la comunicación HTTPS
predeterminada para los servidores CEP y CES. Aunque esta configuración es
posible, tiene una compatibilidad limitada. Los servicios de atención al cliente y el
soporte técnico pueden ayudarle mejor si sigue esta guía cuidadosamente usando
una desviación mínima de la configuración del servidor web proporcionada.

Escenario
En este ejemplo, las instrucciones se basan en un entorno que usa la siguiente
configuración:
 Un bosque de Contoso.com que tiene una infraestructura de clave pública (PKI) de
Servicios de certificados de Active Directory (AD CS).

Dos instancias de CEP/CES configuradas en un servidor que se ejecuta en una

cuenta de servicio. Una instancia usa el nombre de usuario y la contraseña para la
inscripción inicial. El otro usa la autenticación basada en certificados para la
renovación basada en claves en modo de renovación únicamente.

Un usuario tiene un grupo de trabajo o un equipo no unido a un dominio para el

que va a inscribir el certificado de equipo mediante las credenciales de nombre de
usuario y contraseña.

La conexión del usuario a CEP y CES a través de HTTPS se produce en un puerto

personalizado como 49999. (Este puerto se selecciona en un intervalo de puertos
dinámicos y no se usa como puerto estático por ningún otro servicio).

Cuando la duración del certificado está cerca de su final, el equipo usa la

renovación basada en claves CES basada en certificados para renovar el certificado
en el mismo canal.

Instrucciones de configuración

Información general
1. Configure la plantilla para la renovación basada en claves.
 2. Como requisito previo, configure un servidor CEP y CES para la autenticación de
nombre de usuario y contraseña.
En este entorno, nos referimos a la instancia
como "CEPCES01".

3. Configure otra instancia de CEP y CES mediante PowerShell para la autenticación

basada en certificados en el mismo servidor. La instancia de CES usará una cuenta
de servicio.

En este entorno, nos referimos a la instancia como "CEPCES02". La cuenta de

servicio que se usa es "cepcessvc".

4. Configure las opciones del lado cliente.

Configuración
En esta sección se proporcionan los pasos para configurar la inscripción inicial.

７ Nota

También puede configurar cualquier cuenta de servicio de usuario, MSA o GMSA

para que CES funcione.

Como requisito previo, debe configurar CEP y CES en un servidor mediante la

autenticación de nombre de usuario y contraseña.

Configuración de la plantilla para la renovación basada en claves

Puede duplicar una plantilla de equipo existente y configurar las siguientes opciones de
la plantilla:

1. En la pestaña Nombre del firmante de la plantilla de certificado, asegúrese de que

las opciones Proporcionar en la solicitud y Usar información del firmante de los
certificados existentes para las opciones de solicitudes de renovación de
inscripción automática están seleccionadas.

 2. Cambie a la pestaña Requisitos de emisión y, a continuación, active la casilla De

aprobación del administrador de certificados de CA .

3. Asigne el permiso Leer e Inscribir a la cuenta de servicio cepcessvc para esta

plantilla.

4. Publique la nueva plantilla en la entidad de certificación.

７ Nota

Asegúrese de que la configuración de compatibilidad de la plantilla está

establecida en Windows Server 2012 R2, ya que hay un problema conocido en el
que las plantillas no están visibles si la compatibilidad está establecida en Windows
Server 2016 o una versión posterior. Para obtener más información, consulte No se
puede seleccionar Windows Server 2016 plantillas de certificado compatibles con
CA de Windows Server 2016 o servidores CEP basados en versiones
posteriores .

Configuración de la instancia de CEPCES01

Paso 1: Instalar la instancia

Para instalar la instancia de CEPCES01, use cualquiera de los métodos siguientes.

Método 1

Consulte los artículos siguientes para obtener instrucciones paso a paso para habilitar
CEP y CES para la autenticación de nombre de usuario y contraseña:

Guía del servicio web de la directiva de inscripción de certificados

Guía del servicio web de inscripción de certificados

７ Nota

Asegúrese de no seleccionar la opción "Habilitar Key-Based Renovación" si

configura instancias CEP y CES de autenticación de nombre de usuario y
contraseña.

Método 2

Puede usar los siguientes cmdlets de PowerShell para instalar las instancias de CEP y
CES:

PowerShell

Import-Module ServerManager

Add-WindowsFeature Adcs-Enroll-Web-Pol

Add-WindowsFeature Adcs-Enroll-Web-Svc

PowerShell

Install-AdcsEnrollmentPolicyWebService -AuthenticationType Username -

SSLCertThumbprint "sslCertThumbPrint"

Este comando instala el servicio web de directiva de inscripción de certificados (CEP)

especificando que se usa un nombre de usuario y una contraseña para la autenticación.

７ Nota

En este comando, <SSLCertThumbPrint> es la huella digital del certificado que se

usará para enlazar IIS.

PowerShell

Install-AdcsEnrollmentWebService -ApplicationPoolIdentity -CAConfig

"CA1.contoso.com\contoso-CA1-CA" -SSLCertThumbprint "sslCertThumbPrint" -
AuthenticationType Username

Este comando instala el servicio web de inscripción de certificados (CES) para usar la
entidad de certificación para un nombre de equipo de CA1.contoso.com y un nombre
común de CA de contoso-CA1-CA. La identidad del CES se especifica como la identidad
predeterminada del grupo de aplicaciones. El tipo de autenticación es username.
SSLCertThumbPrint es la huella digital del certificado que se usará para enlazar IIS.

Paso 2: Comprobación de la consola del Administrador de Internet

Information Services (IIS)

Después de una instalación correcta, espera ver la siguiente pantalla en la consola del
Administrador de Internet Information Services (IIS).

En Sitio web predeterminado, seleccione ADPolicyProvider_CEP_UsernamePassword y

abra Application Configuración. Anote el identificador y el URI.

Puede agregar un nombre descriptivo para la administración.

Configuración de la instancia de CEPCES02

Paso 1: Instale CEP y CES para la renovación basada en claves en el

mismo servidor.

En PowerShell, ejecute el siguiente comando:

PowerShell

Install-AdcsEnrollmentPolicyWebService -AuthenticationType Certificate -

SSLCertThumbprint "sslCertThumbPrint" -KeyBasedRenewal

Este comando instala el servicio web de directiva de inscripción de certificados (CEP) y

especifica que se usa un certificado para la autenticación.

７ Nota
 En este comando, <SSLCertThumbPrint> es la huella digital del certificado que se
usará para enlazar IIS.

La renovación basada en claves permite a los clientes de certificados renovar sus

certificados mediante la clave de su certificado existente para la autenticación. Cuando
se encuentra en modo de renovación basada en claves, el servicio devolverá solo las
plantillas de certificado que se establecen para la renovación basada en claves.

PowerShell

Install-AdcsEnrollmentWebService -CAConfig "CA1.contoso.com\contoso-CA1-CA"

-SSLCertThumbprint "sslCertThumbPrint" -AuthenticationType Certificate -
ServiceAccountName "Contoso\cepcessvc" -ServiceAccountPassword (read-host
"Set user password" -assecurestring) -RenewalOnly -AllowKeyBasedRenewal

Este comando instala el servicio web de inscripción de certificados (CES) para usar la
entidad de certificación para un nombre de equipo de CA1.contoso.com y un nombre
común de CA de contoso-CA1-CA.

En este comando, la identidad del servicio web de inscripción de certificados se

especifica como la cuenta de servicio cepcessvc . El tipo de autenticación es certificate.
SSLCertThumbPrint es la huella digital del certificado que se usará para enlazar IIS.

El cmdlet RenewalOnly permite que CES se ejecute solo en modo de renovación. El

cmdlet AllowKeyBasedRenewal también especifica que el CES aceptará solicitudes de
renovación basadas en claves para el servidor de inscripción. Estos son certificados de
cliente válidos para la autenticación que no se asignan directamente a una entidad de
seguridad.

７ Nota

La cuenta de servicio debe formar parte de IIS_IUSRS grupo en el servidor.

Paso 2: Comprobación de la consola del Administrador de IIS

Después de una instalación correcta, espera ver la siguiente presentación en la consola

del Administrador de IIS.

Seleccione KeyBasedRenewal_ADPolicyProvider_CEP_Certificate en Sitio web

predeterminado y abra Application Configuración. Anote el identificador y el URI.
Puede agregar un nombre descriptivo para la administración.

７ Nota

Si la instancia está instalada en un nuevo servidor, compruebe el identificador para

asegurarse de que el identificador es el mismo que se generó en la instancia de
CEPCES01. Puede copiar y pegar el valor directamente si es diferente.

Completar la configuración de servicios web de inscripción de

certificados

Para poder inscribir el certificado en nombre de la funcionalidad de CEP y CES, debe

configurar la cuenta de equipo del grupo de trabajo en Active Directory y, a
continuación, configurar la delegación restringida en la cuenta de servicio.

Paso 1: Crear una cuenta de equipo del equipo del grupo de

trabajo en Active Directory

Esta cuenta se usará para la autenticación hacia la renovación basada en claves y la

opción "Publicar en Active Directory" en la plantilla de certificado.

７ Nota

No es necesario unir el dominio a la máquina cliente. Esta cuenta entra en la

imagen mientras se realiza la autenticación basada en certificados en KBR para el
servicio dsmapper.
Paso 2: Configurar la cuenta de servicio para la delegación
restringida (S4U2Self )

Ejecute el siguiente comando de PowerShell para habilitar la delegación restringida

(S4U2Self o cualquier protocolo de autenticación):

PowerShell

Get-ADUser -Identity cepcessvc | Set-ADAccountControl -

TrustedToAuthForDelegation $True

Set-ADUser -Identity cepcessvc -Add @{'msDS-

AllowedToDelegateTo'=@('HOST/CA1.contoso.com','RPCSS/CA1.contoso.com')}

７ Nota

En este comando, <cepcessvc> es la cuenta de servicio y <CA1.contoso.com> es la

entidad de certificación.

） Importante

No estamos habilitando la marca RENEWALONBEHALOF en la ENTIDAD de

certificación en esta configuración porque estamos usando la delegación
restringida para hacer el mismo trabajo para nosotros. Esto nos permite evitar
agregar el permiso para la cuenta de servicio a la seguridad de la entidad de
certificación.
Paso 3: Configurar un puerto personalizado en el servidor web de
IIS

1. En la consola del Administrador de IIS, seleccione Sitio web predeterminado.

2. En el panel de acciones, seleccione Editar enlace de sitio.

3. Cambie la configuración de puerto predeterminada de 443 a su puerto

personalizado. En la captura de pantalla de ejemplo se muestra una configuración
de puerto de 49999.

Paso 4: Editar el objeto de servicios de inscripción de CA en Active

Directory

1. En un controlador de dominio, abra adsiedit.msc.

2. Conectar a la partición De configuración y vaya al objeto de servicios de

inscripción de CA:

CN=ENTCA,CN=Enrollment Services,CN=Public Key

Services,CN=Services,CN=Configuration,DC=contoso,DC=com

3. Haga clic con el botón derecho y edite el objeto ca. Cambie el atributo msPKI-
Enrollment-Servers mediante el puerto personalizado con los URI de servidor CEP
y CES que se encontraron en la configuración de la aplicación. Por ejemplo:

140https://cepces.contoso.com:49999/ENTCA_CES_UsernamePassword/service.
svc/CES0

 181https://cepces.contoso.com:49999/ENTCA_CES_Certificate/service.svc/C
ES1

Configuración del equipo cliente

En el equipo cliente, configure las directivas de inscripción y la directiva de inscripción

automática. Para ello, siga estos pasos.

1. Seleccione IniciarEjecutar> y, a continuación, escriba gpedit.msc.

2. Vaya a Configuración> del equipo Windows Configuración>Seguridad

Configuración y, a continuación, haga clic en Directivas de clave pública.

3. Habilite la directiva Cliente de Servicios de certificados: inscripción automática

para que coincida con la configuración de la captura de pantalla siguiente.

4. Habilite el cliente de Servicios de certificados: directiva de inscripción de

certificados.

a. Haga clic en Agregar para agregar la directiva de inscripción y escriba el URI de

CEP con UsernamePassword que editamos en ADSI.

b. En Tipo de autenticación, seleccione Nombre de usuario y contraseña.

 c. Establezca una prioridad de 10 y, a continuación, valide el servidor de directivas.

７ Nota

Asegúrese de que el número de puerto se agrega al URI y se permite en el

firewall.

5. Inscriba el primer certificado para el equipo a través de certlm.msc.

Seleccione la plantilla de KBR e inscriba el certificado.

 6. Vuelva a abrir gpedit.msc . Edite el cliente de Servicios de certificados: directiva

de inscripción de certificados y agregue la directiva de inscripción de renovación
basada en claves:

a. Haga clic en Agregar, escriba el URI de CEP con el certificado que editamos en
ADSI.

b. Establezca una prioridad de 1 y, a continuación, valide el servidor de directivas.

Se le pedirá que se autentique y elija el certificado que hemos inscrito inicialmente.

７ Nota

Asegúrese de que el valor de prioridad de la directiva de inscripción de renovación

basada en claves sea menor que la prioridad de la prioridad de la directiva de
inscripción de contraseñas de nombre de usuario. La primera preferencia se da a la
prioridad más baja.

Prueba de la configuración
Para asegurarse de que la renovación automática funciona, compruebe que la
renovación manual funciona mediante la renovación del certificado con la misma clave
mediante mmc. Además, se le pedirá que seleccione un certificado durante la
renovación. Puede elegir el certificado que inscribimos anteriormente. Se espera la
solicitud.

Abra el almacén de certificados personales del equipo y agregue la vista "certificados

archivados". Para ello, agregue el complemento de cuenta de equipo local a mmc.exe,
resalte Certificados (equipo local) haciendo clic en él, haga clic en ver en la pestaña de
acción de la derecha o en la parte superior de mmc, haga clic en Opciones de vista,
seleccione Certificados archivados y, a continuación, haga clic en Aceptar.

Método 1
Ejecute el siguiente comando:

PowerShell

certreq -machine -q -enroll -cert <thumbprint> renew

Método 2
Avance la hora y la fecha en el equipo cliente a la hora de renovación de la plantilla de
certificado.

Por ejemplo, la plantilla de certificado tiene una configuración de validez de 2 días y una
configuración de renovación de 8 horas configurada. El certificado de ejemplo se emitió
a las 4:00 a.m. el día 18 del mes, expira a las 4:00 a.m. el día 20. El motor de inscripción
automática se desencadena al reiniciar y en cada intervalo de 8 horas
(aproximadamente).

Por lo tanto, si avanzas el tiempo a las 8:10 p.m. en la 19ª desde que nuestra ventana de
renovación se estableció en 8 horas en la plantilla, la ejecución de Certutil -pulse (para
desencadenar el motor AE) inscribe el certificado automáticamente.
Una vez finalizada la prueba, revierta la configuración de hora al valor original y, a
continuación, reinicie el equipo cliente.

７ Nota

La captura de pantalla anterior es un ejemplo para demostrar que el motor de

inscripción automática funciona según lo previsto porque la fecha de ca sigue
estando establecida en la 18. Por lo tanto, sigue emitiendo certificados. En una
situación real, esta gran cantidad de renovaciones no se producirá.

Referencias
Test Lab Guide: Demonstrating Certificate Key-Based Renewal

Servicios web de inscripción de certificados

Install-AdcsEnrollmentPolicyWebService

Install-AdcsEnrollmentWebService

Vea también
Foro de seguridad de Windows Server

Preguntas más frecuentes (P+F) sobre la infraestructura de clave pública (PKI) de los
Servicios de certificados de Active Directory (AD CS)

Biblioteca y referencia de documentación de Windows PKI

Blog de Windows PKI

Configuración de la delegación restringida de Kerberos (solo S4U2Proxy o Kerberos) en

una cuenta de servicio personalizada para páginas de proxy de inscripción web
Servicios de dominio de
Active Directory
Artículo • 13/08/2021 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En esta página encontrarás vínculos a contenido de Servicios de dominio de

Active Directory.

Novedades de Active Directory Domain Services
Introducción a AD DS
Planeación y diseño de AD DS
AD DS Deployment
Operaciones de AD DS
Virtualización de Active Directory Domain Services
Solución de problemas de AD DS
Novedades de Active Directory Domain
Services para Windows Server 2016
Artículo • 21/12/2022 • Tiempo de lectura: 6 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Las siguientes características nuevas de Active Directory Domain Services (AD DS)
mejoran la capacidad de las organizaciones de proteger entornos de Active Directory y
les ayudan a migrar a implementaciones solo en la nube e implementaciones híbridas,
donde algunas aplicaciones y servicios se hospedan en la nube y otros se hospedan en
el entorno local. Estas mejoras incluyen:

Privileged Access Management

Ampliación de las funcionalidades de la nube para Windows 10 dispositivos

mediante Azure Active Directory Join

Conexión de dispositivos unidos a un dominio Azure AD para Windows 10

experiencias

Habilitar Windows Hello para empresas en la organización

Desuso de los niveles funcionales del Servicio de replicación de archivos (FRS)

Windows Server 2003

Administración de acceso con privilegios

La administración de acceso con privilegios (PAM) ayuda a mitigar los problemas de
seguridad de los entornos de Active Directory causados por técnicas de robo de
credenciales como pass-the-hash, phishing de lanza y tipos similares de ataques.
Proporciona una nueva solución de acceso administrativo que se configura mediante
Microsoft Identity Manager (MIM). PAM presenta:

Un nuevo bosque bastión Active Directory, aprovisionado por MIM. El bosque

bastión tiene una confianza especial de PAM con un bosque existente. Proporciona
un nuevo entorno Active Directory que se sabe que está libre de cualquier
actividad malintencionada y aislamiento de un bosque existente para el uso de
cuentas con privilegios.

Nuevos procesos en MIM solicitar privilegios administrativos, junto con nuevos

flujos de trabajo basados en la aprobación de solicitudes.
 Nuevas entidades de seguridad de sombra (grupos) que se aprovisionan en el
bosque bastión MIM respuesta a solicitudes de privilegios administrativos. Las
entidades de seguridad de sombra tienen un atributo que hace referencia al SID
de un grupo administrativo en un bosque existente. Esto permite que el grupo de
sombras acceda a los recursos de un bosque existente sin cambiar ninguna lista de
control de acceso (ACL).

Característica de vínculos que expira, que permite la pertenencia a un grupo de

sombras con límite de tiempo. Un usuario se puede agregar al grupo durante el
tiempo suficiente para realizar una tarea administrativa. La pertenencia con límite
de tiempo se expresa mediante un valor de período de vida (TTL) que se propaga a
la duración de un vale kerberos.

７ Nota

Los vínculos que expiran están disponibles en todos los atributos vinculados.
Pero la relación de atributo vinculado member/memberOf entre un grupo y
un usuario es el único ejemplo en el que una solución completa como PAM
está preconfigurada para usar la característica de vínculos que expiran.

Las mejoras de KDC están integradas en los controladores de dominio de Active

Directory para restringir la duración de los vales kerberos al valor de período de
vida (TTL) más bajo posible en los casos en los que un usuario tiene varias
pertenencias enlazadas a un tiempo en grupos administrativos. Por ejemplo, si se
agrega a un grupo con límite de tiempo A, al iniciar sesión, la duración del vale de
concesión de vales (TGT) de Kerberos es igual al tiempo que queda en el grupo A.
Si también es miembro de otro grupo con límite de tiempo B, que tiene un TTL
menor que el grupo A, la duración del TGT es igual al tiempo que queda en el
grupo B.

Nuevas funcionalidades de supervisión para ayudarle a identificar fácilmente quién

solicitó acceso, qué acceso se concedió y qué actividades se realizaron.

Requisitos para la administración de acceso con

privilegios
Administrador de identidades de Microsoft

Active Directory nivel funcional del bosque Windows Server 2012 R2 o superior.
Azure AD Join
Azure Active Directory Join mejora las experiencias de identidad para clientes
empresariales, empresariales y EDU, con funcionalidades mejoradas para dispositivos
corporativos y personales.

Ventajas:

Disponibilidad de modern Configuración en dispositivos de Windows propiedad

de la empresa. Los servicios de emergencia ya no requieren una cuenta Microsoft
personal: ahora ejecutan las cuentas profesionales existentes de los usuarios para
garantizar el cumplimiento. Los servicios de emergencia funcionarán en equipos
que están unidos a un dominio Windows local y equipos y dispositivos que están
"unidos" a su inquilino de Azure AD ("dominio en la nube"). Esta configuración
incluye lo siguiente:
Itinerancia o personalización, configuración de accesibilidad y credenciales
Copias de seguridad y restauración
Acceso a Microsoft Store cuenta de trabajo
Iconos dinámicos y notificaciones

Acceda a los recursos de la organización en dispositivos móviles (teléfonos,

tabletas) que no se pueden unir a un dominio Windows, independientemente de si
son propiedad de la empresa o BYOD.

Inicio de sesión único en Office 365 otras aplicaciones, sitios web y recursos de la
organización.

En dispositivos BYOD, agregue una cuenta de trabajo (desde un dominio local o

Azure AD) a un dispositivo de propiedad personal y disfrute del inicio de sesión
único para trabajar con recursos, a través de aplicaciones y en la web, de forma
que ayude a garantizar el cumplimiento de nuevas funcionalidades, como el
control condicional de cuentas y la atestación de Estado del dispositivo.

La integración de MDM permite inscribir automáticamente dispositivos en mdm

(Intune o de terceros).

Configure el modo "quiosco" y los dispositivos compartidos para varios usuarios

de su organización.

La experiencia del desarrollador le permite crear aplicaciones que se adaptan a

contextos empresariales y personales con una pila de programación compartida.

La opción De creación de imágenes le permite elegir entre crear imágenes y

permitir a los usuarios configurar dispositivos propiedad de la empresa
 directamente durante la experiencia de primera ejecución.

Para más información, consulte Introducción a la administración de dispositivos en

Azure Active Directory.

Windows Hello para empresas

Windows Hello for Business es un enfoque de autenticación basado en claves para
organizaciones y consumidores que va más allá de las contraseñas. Esta forma de
autenticación se basa en credenciales resistentes a infracciones, robos y suplantación de
identidad .

El usuario inicia sesión en el dispositivo con una información biométrica o de inicio de

sesión de PIN vinculada a un certificado o a un par de claves asimétricas. Los
proveedores de identidades (IDP) validan al usuario mediante la asignación de la clave
pública del usuario a IDLocker y proporcionan información de inicio de sesión a través
de una contraseña de un solo uso (OTP), Teléfono o un mecanismo de notificación
diferente.

Para obtener más información, vea Windows Hello for Business

Desuso de los niveles funcionales del Servicio

de replicación de archivos (FRS) Windows
Server 2003
Aunque el Servicio de replicación de archivos (FRS) y los niveles funcionales de Windows
Server 2003 quedaron en desuso en versiones anteriores de Windows Server, se repite
que el sistema operativo Windows Server 2003 ya no se admite. Como resultado, todos
los controladores de dominio que ejecuten Windows Server 2003 deben quitarse del
dominio. El nivel funcional de dominio y bosque debe elevarse al menos a Windows
Server 2008 para evitar que se agrega al entorno un controlador de dominio que
ejecuta una versión anterior de Windows Server.

En los niveles funcionales de dominio de Windows Server 2008 y superior, se usa la

Replicación del sistema de archivos distribuido (DFS) para replicar el contenido de la
carpeta SYSVOL entre controladores de dominio. Si crea un nuevo dominio en el nivel
funcional de dominio de Windows Server 2008 o superior, Replicación DFS se usa
automáticamente para replicar la carpeta SYSVOL. Si creó el dominio en un nivel
funcional inferior, deberá migrar desde el uso de frs a la replicación DFS para la carpeta
SYSVOL. En el caso de los pasos de migración, puede seguir estos pasos o puede
consultar el conjunto simplificado de pasos en el blog Storage Team File Cabinet
(Archivador de archivos de equipo).

Los niveles funcionales de bosque y dominio de Windows Server 2003 siguen siendo
compatibles, pero las organizaciones deben elevar el nivel funcional a Windows Server
2008 (o superior si es posible) para garantizar la compatibilidad y la compatibilidad con
la replicación SYSVOL en el futuro. Además, hay muchas otras ventajas y características
disponibles en los niveles funcionales superiores. Para obtener más información,
consulte los siguientes recursos:

Descripción de los niveles funcionales de Active Directory Domain Services (AD DS)
Elevar el nivel funcional del dominio
Elevar el nivel funcional del bosque
Introducción a AD DS
Artículo • 13/08/2021 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Active Directory almacena información acerca de los objetos de una red y facilita su

búsqueda y uso por parte de los usuarios y administradores. Active Directory usa un
almacén de datos estructurado como base para una organización jerárquica lógica de la
información del directorio.

Tema Descripción

Introducción a Proporciona información sobre las características básicas de

Active Directory Domain Services AD DS. Incluye conceptos técnicos, vínculos a planeación e
implementación.

Centro de administración de Proporciona información sobre el Centro de administración de

Active Directory Active Directory que incluye características mejoradas para la
experiencia de administración. Estas características facilitan las
tareas de administración de los Servicios de dominio de Active
Directory (AD DS).

Virtualización de Proporciona información general y técnica sobre la

Active Directory Domain Services virtualización de AD DS.

Servicio de hora de Windows Proporciona detalles sobre qué es el servicio de hora de

Windows, la importancia de los protocolos de tiempo y el
funcionamiento del servicio de hora de Windows.
Introducción a
Active Directory Domain Services
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Un directorio es una estructura jerárquica que almacena información sobre objetos en la

red. Un servicio de directorio, como Servicios de dominio de Active Directory (AD DS),
proporciona los métodos para almacenar datos de directorio y poner estos datos a
disposición de los usuarios y administradores de la red. Por ejemplo, AD DS almacena
información acerca de las cuentas de usuario, como nombres, contraseñas, números de
teléfono, etc., y permite que otros usuarios autorizados de la misma red tengan acceso a
dicha información.

Active Directory almacena información acerca de los objetos de una red y facilita su

búsqueda y uso por parte de los usuarios y administradores. Active Directory usa un
almacén de datos estructurado como base para una organización jerárquica lógica de la
información del directorio.

Este almacén de datos, también conocido como directorio, contiene información sobre
los objetos de Active Directory. Estos objetos suelen incluir recursos compartidos, como
servidores, volúmenes, impresoras y cuentas de usuario y equipo de red. Para obtener
más información sobre el almacén de datos de Active Directory, consulte Almacén de
datos de directorio.

La seguridad se integra con Active Directory mediante la autenticación de inicio de

sesión y el control de acceso a los objetos del directorio. Con un único inicio de sesión
de red, los administradores pueden administrar los datos del directorio y la organización
a través de su red, y los usuarios de red autorizados pueden tener acceso a los recursos
en cualquier parte de la red. La administración basada en directiva facilita la
administración de incluso las redes más complejas. Para obtener más información sobre
la seguridad de Active Directory, consulte Introducción a la seguridad.

Active Directory también incluye:

Un conjunto de reglas, el esquema, que define las clases de objetos y atributos

contenidos en el directorio, las restricciones y los límites en las instancias de estos
objetos y el formato de sus nombres. Para obtener más información sobre el
esquema, vea Esquema.
 Catálogo global que contiene información sobre todos los objetos del directorio.
Esto permite a los usuarios y administradores buscar información de directorio,
independientemente del dominio del directorio que contenga realmente los datos.
Para obtener más información sobre el catálogo global, consulte Catálogo global.

Mecanismo de consulta e índice para que los usuarios de red o las aplicaciones
puedan publicar y encontrar objetos y sus propiedades. Para obtener más
información sobre cómo consultar el directorio, vea Buscar en Servicios de
dominio de Active Directory.

Un servicio de replicación que distribuye los datos de directorio a través de una

red. Todos los controladores de dominio de un dominio participan en la
replicación y contienen una copia completa de toda la información de directorio
para su dominio. Cualquier cambio en los datos del directorio se replica en todos
los controladores de dominio del dominio. Para obtener más información sobre la
replicación de Active Directory, consulte Conceptos de replicación de Active
Directory.

Descripción de Active Directory

En esta sección se proporcionan vínculos a conceptos básicos de Active Directory:

Tecnologías de almacenamiento y estructura de Active Directory

Roles de controlador de dominio
Esquema de Active Directory
Descripción de confianzas
Tecnologías de replicación de Active Directory
Tecnologías de búsqueda y publicación de Active Directory
Interoperación con DNS y directiva de grupo
Descripción del esquema

Para obtener una lista detallada de los conceptos de Active Directory, consulte
Descripción de Active Directory.
Centro de administración de Active
Directory
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

El Centro de administración de Active Directory (ADAC) en Windows Server incluye

características mejoradas de la experiencia de administración. Estas características
facilitan las tareas de administración de los Servicios de dominio de Active Directory
(AD DS). Los temas siguientes ofrecen una introducción, así como información detallada
adicional:

Introduction to Active Directory Administrative Center Enhancements (Level 100)

Advanced AD DS Management Using Active Directory Administrative Center (Level

200)
Introduction to Active Directory
Administrative Center Enhancements
(Level 100)
Artículo • 29/09/2022 • Tiempo de lectura: 21 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

El Centro de administración de Active Directory de Windows Server incluye

características de administración para lo siguiente:

Papelera de reciclaje de Active Directory

Directiva de contraseña específica
Visor del historial de Windows PowerShell

Papelera de reciclaje de Active Directory

La eliminación accidental de objetos de Active Directory es algo habitual entre los
usuarios de los Servicios de dominio de Active Directory (AD DS) y Active Directory
Lightweight Directory Services (AD LDS). En versiones anteriores de Windows Server,
antes de Windows Server 2008 R2, se podían recuperar objetos eliminados
accidentalmente en Active Directory, pero las soluciones tenían sus inconvenientes.

En Windows Server 2008, podía usar la característica Copias de seguridad de Windows

Server y el comando de restauración autoritativa de ntdsutil para marcar objetos como
autoritativos para garantizar que los datos restablecidos se replicaban a través del
dominio. El inconveniente de la solución de restauración autoritativa era que debía
realizarse en modo de restauración de servicios de directorio (DSRM). Durante DSRM, el
controlador de dominio que se restauraba debía permanecer sin conexión. Por
consiguiente, era incapaz de atender las solicitudes de los clientes.

En Windows Server 2003 Active Directory y Windows Server 2008 AD DS, podía
recuperar los objetos de Active Directory eliminados a través de la reanimación de
marcadores de exclusión. No obstante, no se recuperaban ni los atributos de valores
vinculados de los objetos reanimados (por ejemplo, la pertenencia a grupos de las
cuentas de usuario) que se quitaron físicamente, ni los atributos de valores no
vinculados que se borraron. Por lo tanto, los administradores no podían confiar en la
reanimación de marcadores de exclusión como solución final ante la eliminación
accidental de objetos. Para obtener más información sobre la reanimación de
marcadores de exclusión, vea Reanimación de objetos de desecho de Active Directory.

La papelera de reciclaje de Active Directory, desde Windows Server 2008 R2, aprovecha
la infraestructura de reanimación de marcadores de exclusión existente y mejora su
capacidad para preservar y recuperar los objetos de Active Directory eliminados
accidentalmente.

Cuando se habilita la papelera de reciclaje de Active Directory, se conservan todos los

atributos de valores vinculados y valores no vinculados de los objetos de Active
Directory eliminados y, asimismo, se restauran los objetos completamente al mismo
estado lógico y coherente en el que se encontraban antes de la eliminación. Por
ejemplo, las cuentas de usuario restauradas recuperan automáticamente todas las
pertenencias a grupos y los derechos de acceso correspondientes que tenían justo antes
de la eliminación, tanto dentro de los dominios como entre ellos. La papelera de
reciclaje de Active Directory funciona en entornos tanto AD DS como AD LDS. Para
obtener una descripción detallada de la Papelera de reciclaje de Active Directory,
consulte Novedades de AD DS: Papelera de reciclaje de Active Directory.

Novedades En Windows Server 2012 y versiones más recientes, la característica Papelera

de reciclaje de Active Directory se ha mejorado con una nueva interfaz gráfica de
usuario para que los usuarios administren y restaure los objetos eliminados. Los
usuarios ahora pueden ubicar visualmente una lista de objetos eliminados y restaurarlos
a sus ubicaciones originales y deseadas.

Si tiene previsto habilitar la Papelera de reciclaje de Active Directory en Windows Server,

tenga en cuenta lo siguiente:

De manera predeterminada, la papelera de reciclaje de Active Directory está

deshabilitada. Para habilitarlo, primero debe elevar el nivel funcional del bosque
del entorno de AD DS o AD LDS para Windows Server 2008 R2 o superior. Esto a
su vez requiere que todos los controladores de dominio del bosque o todos los
servidores que hospedan instancias de los conjuntos de configuración de AD LDS
se ejecuten Windows Server 2008 R2 o superior.

El proceso de habilitar la papelera de reciclaje de Active Directory es irreversible.

Una vez habilitada la papelera de reciclaje de Active Directory en el entorno, no se
puede deshabilitar.

Para administrar la característica Papelera de reciclaje a través de una interfaz de

usuario, debe instalar la versión del Centro de administración de Active Directory
en Windows Server 2012.
 ７ Nota

Puede usar Administrador del servidor para instalar Herramientas de

administración remota del servidor (RSAT) para usar la versión correcta del
Centro de administración de Active Directory para administrar la Papelera de
reciclaje a través de una interfaz de usuario.

Para obtener información sobre cómo instalar RSAT, consulte el artículo

Herramientas de administración remota del servidor.

Procedimiento paso a paso de la papelera de reciclaje de

Active Directory
En los pasos siguientes, usará ADAC para realizar las siguientes tareas de papelera de
reciclaje de Active Directory en Windows Server 2012 :

Paso 1: Elevar el nivel funcional del bosque

Paso 2: Enable Recycle Bin
Paso 3: Crear unidad organizativa, grupo y usuarios de prueba
Paso 4: Restaurar objetos eliminados

７ Nota

Se requiere membresía del grupo Administradores de empresa o permisos

equivalentes para realizar los siguientes pasos.

Paso 1: Elevar el nivel funcional del bosque

En este paso, elevará el nivel funcional del bosque. Primero debe elevar el nivel
funcional en el bosque de destino para que sea Windows Server 2008 R2 como mínimo
antes de habilitar la Papelera de reciclaje de Active Directory.

Para elevar el nivel funcional en el bosque de destino

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en
Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el

dominio de destino apropiado en el cuadro de diálogo Agregar nodos de
navegación y, a continuación, haga clic en Aceptar.
 3. Haga clic en el dominio de destino en el panel de navegación izquierdo, y en el
panel de tareas, haga clic en Elevar el nivel funcional del bosque. Seleccione un
nivel funcional de bosque que sea al menos Windows Server 2008 R2 o superior y,
a continuación, haga clic en Aceptar.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell

Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -

Confirm:$false

Para el argumento -Identity , especifique el nombre de dominio DNS completo.

Paso 2: Enable Recycle Bin

En este paso, permitirá que la papelera de reciclaje restaure los objetos eliminados en
AD DS.

Para habilitar la papelera de reciclaje de Active Directory en ADAC

en el dominio de destino
1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en
Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el

dominio de destino apropiado en el cuadro de diálogo Agregar nodos de
navegación y, a continuación, haga clic en Aceptar.

3. En el panel Tareas, haga clic en Habilitar papelera de reciclaje... en el panel Tareas,

haga clic en Aceptar en el cuadro de mensaje de advertencia y después en
Aceptar para actualizar el mensaje de ADAC.

4. Presione F5 para actualizar ADAC.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
 PowerShell

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional

Features,CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope
ForestOrConfigurationSet -Target 'contoso.com'

Paso 3: Crear unidad organizativa, grupo y usuarios de

prueba
En los siguientes procedimientos, creará dos usuarios de prueba. Después creará un
grupo de prueba y le agregará usuarios. Además, creará un OU.

Para crear usuarios de prueba

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en
Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el

dominio de destino apropiado en el cuadro de diálogo Agregar nodos de
navegación y, a continuación, haga clic en Aceptar.

3. En el panel de tareas, haga clic en Nuevo y, a continuación, en Usuario.

4. Escriba la siguiente información en Cuenta y haga clic en Aceptar:

 Nombre completo: test1
Inicio de sesión SamAccountName de usuario: test1
Contraseña: p@ssword1
Confirmar contraseña: p@ssword1

5. Repita los pasos anteriores para crear un segundo usuario, test2.

Para crear un grupo de prueba y agregarle usuarios

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en
Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el

dominio de destino apropiado en el cuadro de diálogo Agregar nodos de
navegación y, a continuación, haga clic en Aceptar.

3. En el panel de tareas, haga clic en Nuevo y, a continuación, haga clic en Grupo.

4. Escriba la siguiente información en Grupo y haga clic en Aceptar:

Nombre del grupo:group1

5. Haga clic en group1 y después en el panel Tareas, haga clic en Propiedades.

6. Haga clic en Miembros, en Agregar, escriba test1;test2 y, a continuación, haga clic

en Aceptar.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell

Add-ADGroupMember -Identity group1 -Member test1

Para crear una unidad organizativa

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en
Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

2. Haga clic en Administrar, haga clic en Agregar nodos de navegación y seleccione

el dominio de destino adecuado en el cuadro de diálogo Agregar nodos de
 navegación y, a continuación, haga clic en **Aceptar.

3. En el panel de tareas, haga clic en Nuevo y, a continuación, haga clic en Unidad

organizativa.

4. Escriba la siguiente información en Unidad organizativa y haga clic en Aceptar:

NameOU1

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell

1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -

Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -
AsPlainText "p@ssword1" -Force) -Enabled $true}

New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -

GroupScope Global -DisplayName "group1"

New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"

Paso 4: Restaurar objetos eliminados

En los siguientes procedimientos, restaurará los objetos eliminados del contenedor
Deleted Objects a su ubicación original o a una diferente.

Para restaurar los objetos eliminados a su ubicación original

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en
Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el

dominio de destino apropiado en el cuadro de diálogo Agregar nodos de
navegación y, a continuación, haga clic en Aceptar.

3. Seleccione los usuarios test1 y test2, haga clic en Eliminar en el panel Tareas y
después haga clic en Sí para confirmar la eliminación.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí
 pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones
de formato.

PowerShell

Get-ADUser -Filter 'Name -Like "*test*"'|Remove-ADUser -Confirm:$false

4. Navegue al contenedor Deleted Objects, seleccione test2 y test1, y después haga

clic en Restaurar en el panel de tareas.

5. Para confirmar que los objetos se restauraron a su ubicación original, navegue al

dominio de destino y compruebe que se enumeren las cuentas de usuario.

７ Nota

Si navega a las propiedades de las cuentas de usuario test1 y test2, y después

hace clic en Miembro de, verá que su pertenencia al grupo también se
restauró.

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Windows PowerShell comandos equivalentes

PowerShell

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-

ADObject

Para restaurar objetos eliminados a una ubicación diferente

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en
Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el

dominio de destino apropiado en el cuadro de diálogo Agregar nodos de
navegación y, a continuación, haga clic en Aceptar.

3. Seleccione los usuarios test1 y test2, haga clic en Eliminar en el panel Tareas y
después haga clic en Sí para confirmar la eliminación.
 4. Navegue al contenedor Deleted Objects, seleccione test2 y test1, y después haga
clic en Restaurar en el panel de tareas.

5. Seleccione OU1 y haga clic en Aceptar.

6. Para confirmar que los objetos se restauraron a OU1, navegue al dominio de

destino, haga doble clic en OU1 y compruebe que las cuentas de usuario estén
enumeradas.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-

ADObject -TargetPath "OU=OU1,DC=contoso,DC=com"

Directiva de contraseña específica

El sistema operativo Windows Server 2008 proporciona a las organizaciones un modo
de definir diferentes directivas de bloqueo de cuentas y contraseñas para diversos
conjuntos de usuarios del dominio. En los dominios de Active Directory anteriores a
Windows Server 2008, solamente una directiva de bloqueo de cuenta o directiva de
contraseña puede aplicarse a todos los usuarios en el dominio. Estas directivas se
especificaron en la directiva de dominio predeterminado para el dominio. Como
resultado, las organizaciones que querían diferentes configuraciones de bloqueo de
cuentas y contraseñas para diferentes conjuntos de usuarios tenían que crear un filtro
de contraseñas o implementar múltiples dominios. Ambas son opciones costosas.

Puede usar directivas de contraseña específica para especificar múltiples directivas de

contraseña dentro de un único dominio y aplicar diferentes restricciones para directivas
de bloqueo de cuentas y contraseñas a diferentes conjuntos de usuarios de un dominio.
Por ejemplo, puede aplicar configuraciones más estrictas a cuentas privilegiadas y
configuraciones menos estrictas a las cuentas de otros usuarios. En otros casos,
probablemente quieras aplicar una directiva de contraseñas especiales para las cuentas
cuyas contraseñas están sincronizadas con otros orígenes de datos. Para obtener una
descripción detallada de la directiva de contraseña específica, consulte AD DS: directivas
de contraseña muy específicas

Novedades
En Windows Server 2012 y versiones más recientes, la administración de directivas de
contraseñas específica se hace más fácil y visual al proporcionar una interfaz de usuario
para que los administradores de AD DS los administren en ADAC. Los administradores
ahora pueden ver la directiva resultante de un usuario determinado, ver y ordenar todas
las directivas de contraseña dentro de un dominio determinado y administrar
visualmente directivas de contraseña individuales.

Si tiene previsto usar directivas de contraseña específicas en Windows Server 2012,

tenga en cuenta lo siguiente:

Las directivas de contraseña específicas solo se aplican a grupos de seguridad

globales y objetos de usuario (o objetos inetOrgPerson si se usan en lugar de
objetos de usuario). De manera predeterminada, solamente los miembros del
grupo Administradores de dominio pueden establecer directivas de contraseña
específica. No obstante, también puede delegar la capacidad de establecer estas
directivas a otros usuarios. El nivel funcional del dominio debe ser Windows Server
2008 o posterior.

Debe usar el Windows Server 2012 o la versión más reciente del Centro de
administración de Active Directory para administrar directivas de contraseña
específicas a través de una interfaz gráfica de usuario.

７ Nota

Puede usar Administrador del servidor para instalar herramientas de

administración remota del servidor (RSAT) para usar la versión correcta del
Centro de administración de Active Directory para administrar la Papelera de
reciclaje a través de una interfaz de usuario.

Para obtener información sobre cómo instalar RSAT, consulte el artículo

Herramientas de administración remota del servidor.

Procedimiento paso a paso para las directivas de

contraseña específica
En los pasos siguientes, usará el ADAC para realizar las siguientes tareas de directiva de
contraseña específica:

Paso 1: Elevar el nivel funcional del dominio

Paso 2: Crear unidad organizativa, grupo y usuarios de prueba
Paso 3: Crear una directiva de contraseña específica nueva
 Paso 4: Ver un conjunto de directivas resultante para un usuario
Paso 5: Editar una directiva de contraseña específica
Paso 6: Eliminar una directiva de contraseña específica

７ Nota

Para realizar los siguientes pasos, es necesario pertenecer al grupo Administradores

de dominio o tener permisos equivalentes.

Paso 1: Elevar el nivel funcional del dominio

En el procedimiento siguiente, elevará el nivel funcional de dominio del dominio de
destino a Windows Server 2008 o superior. Se requiere un nivel funcional de dominio de
Windows Server 2008 o superior para habilitar directivas de contraseña específicas.

Para elevar el nivel funcional del dominio

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en
Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el

dominio de destino apropiado en el cuadro de diálogo Agregar nodos de
navegación y, a continuación, haga clic en Aceptar.

3. Haga clic en el dominio de destino en el panel de navegación izquierdo, y en el

panel Tareas, haga clic en Elevar el nivel funcional del dominio. Seleccione un
nivel funcional de bosque que sea al menos Windows Server 2008 o superior y, a
continuación, haga clic en Aceptar.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell

Set-ADDomainMode -Identity contoso.com -DomainMode 3

Paso 2: Crear unidad organizativa, grupo y usuarios de prueba

Para crear los usuarios de prueba y el grupo necesarios para este paso, siga los
procedimientos que se encuentran aquí: Paso 3: Crear usuarios de prueba, grupo y
unidad organizativa (no es necesario crear la unidad organizativa para demostrar la
directiva de contraseña específica).

Paso 3: Crear una directiva de contraseña específica nueva

En el siguiente procedimiento, creará una directiva de contraseña específica nueva

usando la UI en el ADAC.

Para crear una directiva de contraseña específica nueva

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en
Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el

dominio de destino apropiado en el cuadro de diálogo Agregar nodos de
navegación y, a continuación, haga clic en Aceptar.

3. En el panel de navegación de ADAC, abra el contenedor System y, a continuación,

haga clic en Password Settings Container.

4. En el panel Tareas, haga clic en Nuevo y, a continuación, haga clic en

Configuración de contraseña.

Complete o edite los campos dentro de la página de propiedades para crear un

nuevo objeto de Configuración de contraseña. Los campos Nombre y
Precedencia son necesarios.
 5. En Se aplica directamente a, en Agregar, escriba grupo1y, a continuación, haga
clic en Aceptar.

Así se asocia el objeto de directiva de contraseña con los miembros del grupo
global que creó para el entorno de prueba.

6. Haga clic en Aceptar para enviar la creación.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell

New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -

LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -
LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -
MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -
PasswordHistoryCount:"24" -Precedence:"1" -
ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true

Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1

Paso 4: Ver un conjunto de directivas resultante para un usuario

En el siguiente procedimiento, verá la configuración de contraseña resultante para un
usuario que es miembro del grupo al que le asignó una directiva de contraseña
específica en el Paso 3: Crear una directiva de contraseña específica.

Para ver un conjunto de directivas resultante para un usuario

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en
Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el

dominio de destino apropiado en el cuadro de diálogo Agregar nodos de
navegación y, a continuación, haga clic en Aceptar.

3. Seleccione un usuario, test1 que pertenezca al grupo group1 con el que asoció una
directiva de contraseña específica en el Paso 3: Crear una directiva de contraseña
específica.

4. Haga clic en Ver configuración de contraseña resultante en el panel Tareas.

5. Examine la directiva de configuración de contraseñas y haga clic en Cancelar.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell

Get-ADUserResultantPasswordPolicy test1

Paso 5: Editar una directiva de contraseña específica

En el siguiente procedimiento, editará la directiva de contraseña específica que creó en

el Paso 3: Crear una directiva de contraseña específica

Para editar una directiva de contraseña específica

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en
Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el

dominio de destino apropiado en el cuadro de diálogo Agregar nodos de
 navegación y, a continuación, haga clic en Aceptar.

3. En el panel de navegación del ADAC, expanda Sistema y haga clic en Contenedor

de configuraciones de contraseña.

4. Seleccione la directiva de contraseña específica que creó en el Paso 3: Crear una

directiva de contraseña específica y haga clic en Propiedades en el panel de
tareas.

5. En Exigir historial de contraseñas, cambie el valor de Número de contraseñas

recordadas a 30.

6. Haga clic en OK.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell

Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"

Paso 6: Eliminar una directiva de contraseña específica

Para eliminar una directiva de contraseña específica

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en
Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el

dominio de destino apropiado en el cuadro de diálogo Agregar nodos de
navegación y, a continuación, haga clic en Aceptar.

3. En el panel de navegación del ADAC, expanda Sistema y haga clic en Contenedor

de configuraciones de contraseña.

4. Seleccione la directiva de contraseña específica que creó en el Paso 3: Crear una

directiva de contraseña específica y haga clic en Propiedades en el panel de
tareas.

5. Desactive la casilla Proteger contra eliminación accidental y haga clic en Aceptar.

 6. Seleccione la directiva de contraseña específica y, en el panel de tarea, haga clic en
Eliminar.

7. Haga clic en Aceptar en el cuadro de diálogo de confirmación.

Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el

procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden
aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell

Set-ADFineGrainedPasswordPolicy -Identity TestPswd -

ProtectedFromAccidentalDeletion $False

Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm

Visor del historial de Windows PowerShell

El ADAC es una herramienta de interfaz de usuario creada sobre Windows PowerShell.
En Windows Server 2012 y versiones más recientes, los administradores de TI pueden
aprovechar ADAC para aprender Windows PowerShell para los cmdlets de Active
Directory mediante el Visor de historial de Windows PowerShell. A medida que las
acciones se ejecutan en la interfaz de usuario, el comando de Windows PowerShell
equivalente se muestra al usuario en el Visor del historial de Windows PowerShell. Esto
permite que los administradores creen scripts automatizados y reduzcan las tareas
repetitivas, y así aumente la productividad de TI. Además, esta característica reduce el
tiempo para aprender Windows PowerShell para Active Directory y aumenta la confianza
de los usuarios en la corrección de sus scripts de automatización.

Al usar el Visor de historial de Windows PowerShell en Windows Server 2012 o versiones

posteriores, tenga en cuenta lo siguiente:

Para usar Windows PowerShell Visor de scripts, debe usar el Windows Server 2012
o la versión más reciente de ADAC.

７ Nota

Puede usar Administrador del servidor para instalar Herramientas de

administración remota del servidor (RSAT) para usar la versión correcta del
Centro de administración de Active Directory para administrar la Papelera de
reciclaje a través de una interfaz de usuario.
 Para obtener información sobre cómo instalar RSAT, consulte el artículo
Herramientas de administración remota del servidor.

Tener un conocimiento básico de Windows PowerShell. Por ejemplo, tiene que

saber cómo canalizar trabajos de Windows PowerShell. Para obtener más
información acerca de cómo canalizar en Windows PowerShell, vea el tema sobre
la canalización en Windows PowerShell.

Procedimiento paso a paso para el Visor del historial de

Windows PowerShell
En el siguiente procedimiento, usará el Visor del historial de Windows PowerShell en el
ADAC para crear un script de Windows PowerShell. Antes de comenzar, quite el usuario
test1 del grupo group1.

Para crear un script mediante el uso del Visor del historial de

PowerShell
1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en
Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el

dominio de destino apropiado en el cuadro de diálogo Agregar nodos de
navegación y, a continuación, haga clic en Aceptar.

3. Expanda el panel Historial de Windows PowerShell en la parte inferior de la

pantalla del ADAC.

4. Seleccione el usuario test1.

5. Haga clic en Agregar para agrupar... en el panel Tareas .

6. Navegue a group1 y haga clic en Aceptar en el cuadro de diálogo.

7. Navegue al panel Historial de Windows PowerShell y ubique el comando que

acaba de generar.

8. Copie el comando y péguelo en el editor deseado para crear su script.

Por ejemplo, puede modificar el comando para agregar un usuario diferente a

group1 o agregar test1 a un grupo diferente.
Consulte también
Advanced AD DS Management Using Active Directory Administrative Center (Level 200)
Advanced AD DS Management Using
Active Directory Administrative Center
(Level 200)
Artículo • 29/09/2022 • Tiempo de lectura: 21 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este tema se describe con detalle el Centro de administración de Active Directory

actualizado, con la nueva papelera de reciclaje de Active Directory, la directiva de
contraseña específica y el Visor del historial de Windows PowerShell, e incluye la
arquitectura, ejemplos de tareas comunes e información sobre solución de problemas.
Para ver una introducción, consulta Introducción a las mejoras del Centro de
administración de Active Directory (Nivel 100).

Arquitectura del Centro de administración de Active Directory

Habilitar y administrar la papelera de reciclaje de Active Directory mediante el
Centro de administración de Active Directory
Configurar y administrar directivas de contraseña específica mediante el Centro de
administración de Active Directory
Usar el Visor del historial de Windows PowerShell del Centro de administración de
Active Directory
Solucionar problemas de administración de AD DS

Arquitectura del Centro de administración de

Active Directory

Archivos ejecutables del Centro de administración de

Active Directory, archivos DLL
Los módulos y la arquitectura subyacente del Centro de administración de Active
Directory no han cambiado con las nuevas funcionalidades de papelera de reciclaje,
FGPP y visor del historial.

Microsoft.ActiveDirectory.Management.UI.dll
Microsoft.ActiveDirectory.Management.UI.resources.dll
Microsoft.ActiveDirectory.Management.dll
 Microsoft.ActiveDirectory.Management.resources.dll
ActiveDirectoryPowerShellResources.dll

A continuación se ilustran la capa de operaciones y de Windows PowerShell subyacentes

de la nueva funcionalidad de papelera de reciclaje:

Habilitar y administrar la papelera de reciclaje

de Active Directory mediante el Centro de
administración de Active Directory

Funcionalidades
El Centro de administración de Active Directory de Windows Server 2012 o
posterior le permite configurar y administrar la Papelera de reciclaje de Active
Directory para cualquier partición de dominio de un bosque. Ya no es necesario
usar Windows PowerShell o Ldp.exe para habilitar la papelera de reciclaje de Active
Directory o restaurar objetos en particiones de dominio.
El Centro de administración de Active Directory tiene criterios de filtrado
avanzados que facilitan la restauración específica en entornos grandes en los que
muchos objetos se eliminan intencionadamente.

Limitaciones
Debido a que el Centro de administración de Active Directory solo puede
administrar particiones de dominio, no puede restaurar objetos eliminados de las
 particiones Configuración, DNS de dominio o DNS de bosque (no puedes eliminar
objetos de la partición Esquema). Para restaurar objetos de particiones que no son
de dominio, use Restore-ADObject.

El Centro de administración de Active Directory no puede restaurar subárboles de

objetos en una sola acción. Por ejemplo, si eliminas una unidad organizativa (OU)
con OU anidadas, usuarios, grupos y equipos, al restaurar la OU de base no se
restauran los objetos secundarios.

７ Nota

La operación de restauración por lotes del Centro de administración de Active

Directory realiza un tipo de "mejor esfuerzo" de los objetos eliminados dentro
de la selección solo para que los elementos primarios se ordenan antes que los
elementos secundarios de la lista de restauración. En casos de pruebas
sencillos, los subárboles de objetos se pueden restaurar en una sola acción.
Pero los casos de esquina, como una selección que contiene árboles parciales,
árboles con algunos de los nodos primarios eliminados que faltan o casos de
error, como omitir los objetos secundarios cuando se produce un error en la
restauración primaria, pueden no funcionar según lo previsto. Por este
motivo, debes restaurar siempre los subárboles de objetos en una acción
diferente después de restaurar los objetos primarios.

La Papelera de reciclaje de Active Directory requiere un nivel funcional de bosque de

Windows Server 2008 R2 y debe ser miembro del grupo Administradores de empresa.
Una vez habilitada, la papelera de reciclaje de Active Directory no se puede deshabilitar.
La papelera de reciclaje de Active Directory aumenta el tamaño de la base de datos de
Active Directory (NTDS.DIT) en todos los controladores de dominio del bosque. El
espacio en disco que usa la papelera de reciclaje continúa aumentando con el tiempo
porque conserva los objetos y todos sus datos de atributos.

Habilitar la papelera de reciclaje de Active Directory

mediante el Centro de administración de Active Directory
Para habilitar la papelera de reciclaje de Active Directory, abre el Centro de
administración de Active Directory y haz clic en el nombre del bosque en el panel de
navegación. En el panel Tareas, haz clic en Habilitar papelera de reciclaje.
El Centro de administración de Active Directory muestra el cuadro de diálogo Habilitar
confirmación de papelera de reciclaje. Este cuadro de diálogo avisa de que la
operación para habilitar la papelera de reciclaje es irreversible. Haz clic en Aceptar para
habilitar la papelera de reciclaje de Active Directory. El Centro de administración de
Active Directory muestra otro cuadro de diálogo para recordarte que la papelera de
reciclaje de Active Directory no será completamente funcional hasta que todos los
controladores de dominio repliquen el cambio de configuración.

） Importante

La opción para habilitar la papelera de reciclaje de Active Directory no está

disponible si:

El nivel funcional del bosque es inferior a Windows Server 2008 R2.

Ya está habilitada.

El cmdlet equivalente de Windows PowerShell de Active Directory es:

PowerShell

Enable-ADOptionalFeature

Para obtener más información sobre cómo usar Windows PowerShell para habilitar la
papelera de reciclaje de Active Directory, consulte la Guía paso a paso de la papelera de
reciclaje de Active Directory.
Administrar la papelera de reciclaje de Active Directory
mediante el Centro de administración de Active Directory
Esta sección usa el ejemplo de un dominio existente llamado corp.contoso.com. Este
dominio organiza los usuarios en una OU primaria llamada UserAccounts. La OU
UserAccounts contiene tres OU secundarias con los nombres de departamento, que a
su vez contienen otras OU, usuarios y grupos.

Almacenamiento y filtrado
La papelera de reciclaje de Active Directory conserva todos los objetos eliminados en el
bosque. Guarda estos objetos según el atributo msDS-deletedObjectLifetime que, de
forma predeterminada, está establecido para que coincida con el atributo
tombstoneLifetime del bosque. En cualquier bosque creado usando Windows Server
2003 SP1 o posterior, el valor de tombstoneLifetime está establecido en 180 días de
forma predeterminada. En los bosques actualizados desde Windows 2000 o instalados
con Windows Server 2003 (sin Service Pack), el atributo tombstoneLifetime
predeterminado NO ESTÁ ESTABLECIDO y, por lo tanto, Windows usa el valor interno
predeterminado de 60 días. Todo esto se puede configurar. Puedes usar el Centro de
administración de Active Directory para restaurar los objetos eliminados de las
particiones de dominio del bosque. Debes continuar usando el cmdlet Restore-
ADObject para restaurar los objetos eliminados de otras particiones, como
Configuración. Al habilitar la papelera de reciclaje de Active Directory el contenedor
Objetos eliminados se hace visible en cada partición de dominio del Centro de
administración de Active Directory.

El contenedor Objetos eliminados muestra todos los objetos restaurables en la

partición de dominio. Los objetos eliminados anteriores a msDS-deletedObjectLifetime
se conocen como objetos reciclados. El Centro de administración de Active Directory no
muestra los objetos reciclados y estos objetos no se pueden restaurar usando el Centro
de administración de Active Directory.

Para obtener una explicación detallada de la arquitectura y las reglas de procesamiento

de la papelera de reciclaje, consulte La papelera de reciclaje de AD: Descripción,
implementación, procedimientos recomendados y solución de problemas.

El Centro de administración de Active Directory limita artificialmente a 20.000 el número

predeterminado de objetos que se devuelven de un contenedor. Puedes aumentar este
límite hasta 100.000 objetos haciendo clic en el menú Administrar y, después, Opciones
de la lista de administración.
Restauración

Filtrado

El Centro de administración de Active Directory ofrece unos criterios y unas opciones de

filtrado eficaces con las que debes familiarizarte antes de que necesites usarlas en una
restauración real. Los dominios eliminan intencionadamente muchos objetos durante su
duración. Con una duración de objeto eliminada probable de 180 días, no puede
restaurar simplemente todos los objetos cuando se produce un accidente.

En lugar de escribir complejos filtros LDAP y convertir valores de UTC en fechas y horas,
usa el menú Filtro avanzado y básico para mostrar solo los objetos relevantes. Si sabes
el día de la eliminación, el nombre de los objetos y otros datos clave, usa esa
información para ayudarte a filtrar. Para activar o desactivar las opciones avanzadas de
filtro, haz clic en el botón de contenido adicional, a la derecha del cuadro de búsqueda.

La operación de restauración admite todas las opciones de criterios de filtrado, igual

que cualquier otra búsqueda. De los filtros integrados, los importantes para restaurar
objetos suelen ser:
 ANR (resolución de nombres ambiguos; no incluido en el menú pero se usa cuando
se escribe en el cuadroFiltro)
Última modificación entre las fechas indicadas
El tipo de objeto es usuario, inetOrgPerson, equipo, grupo o unidad organizativa
Nombre
Al eliminar
Principal último conocido
Tipo
Descripción
City
País o región
department
Id. de empleado
Nombre
Puesto
Apellido
SAMaccountname
Estado o provincia
Número de teléfono
UPN (Nombre principal de usuario)
Código postal

Puedes agregar varios criterios. Por ejemplo, puede encontrar todos los objetos de
usuario eliminados el 24 de septiembre de 2012 de Chicago, Illinois con un puesto de
trabajo de Manager.

También puedes agregar, modificar o reordenar los encabezados de columna para

proporcionar más información a la hora de evaluar qué objetos se van a recuperar.
Para obtener más información sobre la resolución de nombres ambiguos, consulte
Atributos de ANR.

Objeto único

La restauración de objetos eliminados siempre ha sido una operación única. El Centro

de administración de Active Directory facilita esa operación. Para restaurar un objeto
eliminado, como un único usuario:

1. Haz clic en el nombre de dominio en el panel de navegación del Centro de

administración de Active Directory.
2. Haz doble clic en Objetos eliminados en la lista de administración.
3. Haz clic con el botón derecho en el objeto y haz clic en Restaurar, o haz clic en
Restaurar en el panel Tareas.

El objeto se restaura a su ubicación original.

Haga clic en Restaurar a... para cambiar la ubicación de restauración. Esto resulta útil si
el contenedor primario del objeto eliminado también se eliminó, pero no desea
restaurar el elemento primario.

Varios objetos del mismo nivel

Puedes restaurar varios objetos del mismo nivel, como todos los usuarios de una OU.
Mantén presionada la tecla CTRL y haz clic en uno o varios de los objetos eliminados
que quieres restaurar. Haz clic en Restaurar en el panel Tareas. Para seleccionar todos
los objetos mostrados, presiona las teclas CTRL y A, o para seleccionar un intervalo de
objetos, presiona MAYÚS y haz clic.
Varios objetos primarios y secundarios

Es fundamental comprender el proceso de restauración para una restauración de varios

objetos primarios y secundarios porque el Centro de administración de Active Directory
no puede restaurar un árbol anidado de objetos eliminados con una única acción.

1. Restaura el objeto eliminado situado más arriba en un árbol.

2. Restaura los secundarios inmediatos de ese objeto primario.
3. Restaura los secundarios inmediatos de esos objetos primarios.
4. Repite las veces que sea necesario hasta restaurar todos los objetos.

No puedes restaurar un objeto secundario antes de restaurar su primario. Intentar esta

restauración devuelve el siguiente error:

No se puede realizar la operación porque el principal del objeto no se ha instanciado

o se ha eliminado.

El atributo Principal último conocido muestra la relación primaria de cada objeto. El

atributo Principal último conocido cambia de la ubicación eliminada a la ubicación
restaurada cuando se actualiza el Centro de administración de Active Directory después
de restaurar un objeto primario. Por lo tanto, puede restaurar ese objeto secundario
cuando la ubicación de un objeto primario ya no muestra el nombre distintivo del
contenedor de objetos eliminados.

Piensa en un escenario en el que un administrador elimina accidentalmente la OU Sales,

que contiene OU secundarias y usuarios.

En primer lugar, observe el valor del atributo Last Known Parent para todos los usuarios
eliminados y cómo lee OU=Sales\0ADEL:<guid+deleted objects container
distinguished name> ::
Filtra por el nombre ambiguo Sales para devolver la OU eliminada, que puedes
restaurar:

Actualice el Centro de administración de Active Directory para ver el cambio del atributo
Last Known Parent del objeto de usuario eliminado al nombre distintivo de la unidad
organizativa sales restaurada:
Filtra todos los usuarios de Sales. Presiona las teclas CTRL y A para seleccionar todos los
usuarios de Sales eliminados. Haz clic en Restaurar para mover los objetos del
contenedor Objetos eliminados a la OU Sales con sus pertenencias a grupos y atributos
intactos.

Si la OU Sales contenía a su vez OU secundarias, restaurarías primero las OU

secundarias antes de restaurar sus secundarias, y así sucesivamente.

Para restaurar todos los objetos eliminados anidados especificando un contenedor

principal eliminado, consulte el Apéndice B: Restaurar varios objetos eliminados de
Active Directory (script de ejemplo).

El cmdlet de Active Directory Windows PowerShell para restaurar objetos eliminados es:

PowerShell

Restore-adobject

La funcionalidad del cmdlet Restore-ADObject no cambió de Windows Server 2008 R2 a

Windows Server 2012.

Filtrado del lado del servidor

Es posible que, con el tiempo, el contenedor de objetos eliminados acumule más de

20.000 (o incluso 100.000) objetos en organizaciones de tamaño medio y grande, y que
tenga dificultades para mostrarlos todos. Como el mecanismo de filtrado en el Centro
de administración de Active Directory usa el filtrado del lado del cliente, no puede
mostrar estos objetos adicionales. Para evitar esta limitación, sigue estos pasos para
realizar una búsqueda del lado del servidor:

1. Haz clic con el botón derecho en el contenedor Objetos eliminados y haz clic en
Buscar en este nodo.
2. Haz clic en el botón de contenido adicional para exponer el menú +Agregar
criterios y selecciona y agrega Última modificación entre las fechas indicadas. La
hora de Última modificación (el atributo whenChanged) es una aproximación
cercana a la hora de eliminación; en la mayoría de los entornos, es idéntica. Esta
consulta realiza una búsqueda en el lado del servidor.
3. Busca los objetos eliminados que quieres restaurar usando más filtrado y
ordenación, entre otros, en los resultados mostrados, y restáuralos normalmente.

Configurar y administrar directivas de

contraseña específica mediante el Centro de
administración de Active Directory

Configurar directivas de contraseña específica

El Centro de administración de Active Directory permite crear y administrar objetos de
directiva de contraseña específica (FGPP). Windows Server 2008 incorporó la
característica FGPP pero Windows Server 2012 tiene la primera interfaz gráfica de
administración para ella. Las directivas de contraseña específica se aplican en el nivel del
dominio y permiten invalidar la contraseña de dominio única que Windows Server 2003
necesita. Creando diferentes FGPP con diferentes configuraciones, cada usuario o grupo
obtiene diferentes directivas de contraseña en un dominio.

Para obtener más información sobre la directiva de contraseña específica, consulte la

Guía paso a paso para la configuración de directivas de bloqueo de cuenta y contraseña
específica de AD DS (Windows Server 2008 R2).

En el panel de navegación, haz clic en la Vista de árbol, en tu dominio, en Sistema, en

Contenedor de configuraciones de contraseña y, en el panel tareas, haz clic en Nuevo y
Configuración de contraseña.

Administrar directivas de contraseña específica

Al crear una nueva FGPP o editar una existente, se abre el editor Configuración de
contraseña. Aquí puedes configurar todas las directivas de contraseña que quieras,
como harías en Windows Server 2008 o Windows Server 2008 R2, solo que ahora con un
editor creado específicamente para ello.
Rellena todos los campos necesarios (asterisco rojo) y los campos opcionales, y haz clic
en Agregar para establecer los usuarios o grupos que reciben esta directiva. FGPP
invalida la configuración de directiva de dominio predeterminada para las entidades de
seguridad especificadas. En la figura anterior, una directiva extremadamente restrictiva
se aplica solo a la cuenta Administrador integrada, para evitar riesgos. La directiva es
demasiado compleja para que los usuarios estándar la cumplan, pero es perfecta para
cuentas de alto riesgo que usan solo los profesionales de TI.

También se establece la prioridad y a qué usuarios y grupos se aplica la directiva en un

dominio determinado.

Los cmdlets de Active Directory Windows PowerShell para la directiva de contraseña

específica son:

PowerShell
 Add-ADFineGrainedPasswordPolicySubject

Get-ADFineGrainedPasswordPolicy

Get-ADFineGrainedPasswordPolicySubject

New-ADFineGrainedPasswordPolicy

Remove-ADFineGrainedPasswordPolicy

Remove-ADFineGrainedPasswordPolicySubject

Set-ADFineGrainedPasswordPolicy

La funcionalidad del cmdlet para la directiva de contraseña específica no cambió de

Windows Server 2008 R2 a Windows Server 2012. Por comodidad, el siguiente diagrama
ilustra los argumentos asociados para los cmdlets:

El Centro de administración de Active Directory también permite encontrar el conjunto

resultante de FGPP aplicadas para un usuario específico. Haga clic con el botón derecho
en cualquier usuario y haga clic en Ver la configuración de contraseña resultante... para
abrir la página Configuración de contraseña que se aplica a ese usuario a través de una
asignación implícita o explícita:
Al examinar las Propiedades de un usuario o grupo, se muestra la Configuración de
contraseña asociada directamente, que son las FGPP explícitamente asignadas:

La asignación implícita de FGPP no se muestra aquí; para ello, debe usar la opción Ver la
configuración de contraseña resultante... .
Usar el Visor del historial de Windows
PowerShell del Centro de administración de
Active Directory
El futuro de la administración de Windows es Windows PowerShell. Las herramientas
gráficas se distribuyen por capas en un entorno de automatización de tareas, lo que
permite administrar los sistemas distribuidos más complejos de forma coherente y
eficaz. Tienes que comprender cómo funciona Windows PowerShell para aprovechar
todas sus posibilidades y maximizar la inversión en informática.

Ahora, el Centro de administración de Active Directory ofrece un historial completo de

todos los cmdlets de Windows PowerShell que ejecuta y sus argumentos y valores.
Puedes copiar el historial de cmdlets en otro lugar para estudiarlo, o para modificarlo y
reutilizarlo. Puedes crear unas notas de tareas para ayudarte a aislar el resultado de los
comandos del Centro de administración de Active Directory en Windows PowerShell.
También puedes filtrar el historial para buscar puntos de interés.

El objetivo del visor del historial de Windows PowerShell en el Centro de administración

de Active Directory es que aprendas mediante experiencia práctica.

Haz clic en el botón de contenido adicional (flecha) para mostrar el visor del historial de
Windows PowerShell.
Después, crea un usuario o modifica la pertenencia de un grupo. El visor del historial se
actualiza continuamente con una vista contraída de cada cmdlet que el Centro de
administración de Active Directory ejecutó con los argumentos especificados.

Expande cualquier elemento de línea para ver todos los valores proporcionados a los
argumentos del cmdlet:

Haz clic en el menú Iniciar tarea para crear una anotación manual antes de usar el
Centro de administración de Active Directory para crear, modificar o eliminar un objeto.
Escribe lo que estabas haciendo. Cuando hayas terminado con el cambio, selecciona
Finalizar tarea. La nota de tarea agrupa todas las acciones realizadas en una nota
contraíble que puedes usar para obtener más información.

Por ejemplo, para ver los comandos de Windows PowerShell usados para cambiar la
contraseña de un usuario y quitarlo de un grupo:
Al seleccionar la casilla Mostrar todo también se muestran los cmdlets de Windows
PowerShell del verbo Get-* que solo recuperan datos.

El visor del historial muestra los comandos literales ejecutados por el Centro de
administración de Active Directory y quizás observes que algunos cmdlets parecen
ejecutarse innecesariamente. Por ejemplo, puedes crear un nuevo usuario con:

PowerShell

new-aduser

y no necesitas usar:

PowerShell

set-adaccountpassword

enable-adaccount

set-aduser

El diseño del Centro de administración de Active Directory requirió una modularidad y

un uso de código mínimos. Por lo tanto, en lugar de un conjunto de funciones que
crean nuevos usuarios y otras que modifican los usuarios existentes, realiza cada función
mínimamente y, después, las encadena con los cmdlets. Ten esto en cuenta cuando
estudies Active Directory Windows PowerShell. También puedes usarlo como técnica de
aprendizaje, para ver lo simple que resulta usar Windows PowerShell para completar
una sola tarea.

Solucionar problemas de administración de AD

DS

Introducción a la solución de problemas

Debido a que es muy reciente y que no se ha usado en entornos de clientes existentes,
el Centro de administración de Active Directory tiene opciones de solución de
problemas limitadas.

Opciones de solución de problemas

Opciones de registro

El Centro de administración de Active Directory ahora contiene el registro integrado,

como parte de un archivo de configuración de seguimiento. Crea o modifica el siguiente
archivo en la misma carpeta que dsac.exe:

dsac.exe.config

Crea el contenido siguiente:

XML

<appSettings>

<add key="DsacLogLevel" value="Verbose" />

</appSettings>

 <system.diagnostics>

<trace autoflush="false" indentsize="4">

<listeners>

<add name="myListener"

type="System.Diagnostics.TextWriterTraceListener"

initializeData="dsac.trace.log" />

<remove name="Default" />

</listeners>

</trace>

</system.diagnostics>

Los niveles de detalle de DsacLogLevel son None, Error, Warning, Info y Verbose. El
nombre del archivo de salida se puede configurar y se escribe en la misma carpeta que
dsac.exe. El archivo de salida proporciona más información sobre cómo funciona ADAC,
con qué controladores de dominio se puso en contacto, qué comandos de Windows
PowerShell se ejecutaron, cuáles fueron las respuestas y más información.

Por ejemplo, al usar el nivel INFO, que devuelve todos los resultados excepto el detalle
del nivel de seguimiento:

Se inicia DSAC.exe.

Se inicia el registro.

El controlador de dominio solicitó devolver la información inicial del dominio.

[12:42:49][TID 3][Info] Command Id, Action, Command, Time, Elapsed Time

ms (output), Number objects (output)

[12:42:49][TID 3][Info] 1, Invoke, Get-ADDomainController, 2012-04-

16T12:42:49

[12:42:49][TID 3][Info] Get-ADDomainController-Discover:$null-

DomainName:"CORP"-ForceDiscover:$null-Service:ADWS-Writable:$null

El controlador de dominio DC1 volvió del dominio Corp.

Se cargó la unidad virtual PS AD.

[12:42:49][TID 3][Info] 1, Output, Get-ADDomainController, 2012-04-

16T12:42:49, 1

[12:42:49][TID 3][Info] Found the domain controller 'DC1' in the domain

'CORP'.

[12:42:49][TID 3][Info] 2, Invoke, New-PSDrive, 2012-04-16T12:42:49

[12:42:49][TID 3][Info] New-PSDrive-Name:"ADDrive0"-

PSProvider:"ActiveDirectory"-Root:""-Server:"dc1.corp.contoso.com"

 [12:42:49][TID 3][Info] 2, Output, New-PSDrive, 2012-04-16T12:42:49, 1

[12:42:49][TID 3][Info] 3, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49

Se obtiene la información Root DSE del dominio.

[12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com"

[12:42:49][TID 3][Info] 3, Output, Get-ADRootDSE, 2012-04-16T12:42:49,

1

[12:42:49][TID 3][Info] 4, Invoke, Get-ADOptionalFeature, 2012-04-

16T12:42:49

Se obtiene la información de la papelera de reciclaje de AD del dominio.

[12:42:49][TID 3][Info] Get-ADOptionalFeature -LDAPFilter:"(msDS-

OptionalFeatureFlags=1)" -Server:"dc1.corp.contoso.com"

[12:42:49][TID 3][Info] 4, Output, Get-ADOptionalFeature, 2012-04-

16T12:42:49, 1

[12:42:49][TID 3][Info] 5, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49

[12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com"

[12:42:49][TID 3][Info] 5, Output, Get-ADRootDSE, 2012-04-16T12:42:49,

1

[12:42:49][TID 3][Info] 6, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49

[12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com"

[12:42:49][TID 3][Info] 6, Output, Get-ADRootDSE, 2012-04-16T12:42:49,

1

[12:42:49][TID 3][Info] 7, Invoke, Get-ADOptionalFeature, 2012-04-

16T12:42:49

[12:42:49][TID 3][Info] Get-ADOptionalFeature -LDAPFilter:"(msDS-

OptionalFeatureFlags=1)" -Server:"dc1.corp.contoso.com"

[12:42:50][TID 3][Info] 7, Output, Get-ADOptionalFeature, 2012-04-

16T12:42:50, 1

[12:42:50][TID 3][Info] 8, Invoke, Get-ADForest, 2012-04-16T12:42:50

Se obtiene el bosque de AD.

[12:42:50][TID 3][Info] Get-ADForest -Identity:"corp.contoso.com" -

Server:"dc1.corp.contoso.com"

[12:42:50][TID 3][Info] 8, Output, Get-ADForest, 2012-04-16T12:42:50, 1

[12:42:50][TID 3][Info] 9, Invoke, Get-ADObject, 2012-04-16T12:42:50

Se obtiene la información del esquema para los tipos de cifrado admitidos, FGPP,
determinada información del usuario.
 [12:42:50][TID 3][Info] Get-ADObject

-LDAPFilter:"(|(ldapdisplayname=msDS-PhoneticDisplayName)
(ldapdisplayname=msDS-PhoneticCompanyName)(ldapdisplayname=msDS-
PhoneticDepartment)(ldapdisplayname=msDS-PhoneticFirstName)
(ldapdisplayname=msDS-PhoneticLastName)(ldapdisplayname=msDS-
SupportedEncryptionTypes)(ldapdisplayname=msDS-
PasswordSettingsPrecedence))"

-Properties:lDAPDisplayName

-ResultPageSize:"100"

-ResultSetSize:$null

-SearchBase:"CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com"

-SearchScope:"OneLevel"

-Server:"dc1.corp.contoso.com"

[12:42:50][TID 3][Info] 9, Output, Get-ADObject, 2012-04-16T12:42:50, 7

[12:42:50][TID 3][Info] 10, Invoke, Get-ADObject, 2012-04-16T12:42:50

Se obtiene toda la información acerca del objeto de dominio para mostrarla al

administrador que hizo clic en el encabezado del dominio.

[12:42:50][TID 3][Info] Get-ADObject

-IncludeDeletedObjects:$false

-LDAPFilter:"(objectClass=*)"

-
Properties:allowedChildClassesEffective,allowedChildClasses,lastKnownPa
rent,sAMAccountType,systemFlags,userAccountControl,displayName,descript
ion,whenChanged,location,managedBy,memberOf,primaryGroupID,objectSid,ms
DS-User-Account-Control-
Computed,sAMAccountName,lastLogonTimestamp,lastLogoff,mail,accountExpir
es,msDS-PhoneticCompanyName,msDS-PhoneticDepartment,msDS-
PhoneticDisplayName,msDS-PhoneticFirstName,msDS-
PhoneticLastName,pwdLastSet,operatingSystem,operatingSystemServicePack,
operatingSystemVersion,telephoneNumber,physicalDeliveryOfficeName,depar
tment,company,manager,dNSHostName,groupType,c,l,employeeID,givenName,sn
,title,st,postalCode,managedBy,userPrincipalName,isDeleted,msDS-
PasswordSettingsPrecedence

-ResultPageSize:"100"

-ResultSetSize:"20201"

-SearchBase:"DC=corp,DC=contoso,DC=com"

-SearchScope:"Base"

-Server:"dc1.corp.contoso.com"

Cuando se establece el nivel Verbose, también se muestran las pilas de .NET de cada
función, pero no incluyen datos suficientes para que resulten especialmente útiles,
excepto para solucionar problemas de Dsac.exe cuando sufre infracciones de acceso o
bloqueo. Las dos causas probables de este problema son:

El servicio ADWS no se está ejecutando en un controlador de dominio accesible.

 Las comunicaciones de red se bloquean en el servicio ADWS desde el equipo que
ejecuta el Centro de administración de Active Directory.

） Importante

También hay una versión fuera de banda del servicio que se llama Servicio de
administración de la puerta de enlace de Active Directory, que se ejecuta en
Windows Server 2008 SP2 y Windows Server 2003 SP2.

Los errores que se muestran cuando no hay disponibles instancias de Servicios web de
Active Directory son:

Error Operación

"No se pudo conectar a ningún dominio. Actualice o Se muestra al iniciar la aplicación Centro
vuelva a intentarlo cuando la conexión esté de administración de Active Directory.
disponible"

"No se encuentra un servidor disponible en el Se muestra al intentar seleccionar un

<dominio de nombre> de dominio NetBIOS que nodo del dominio en la aplicación Centro
ejecuta el servicio web de Active Directory (ADWS)" de administración de Active Directory.

Para solucionar este problema, sigue estos pasos:

1. Comprueba que el servicio Servicios web de Active Directory se ha iniciado al

menos en un controlador de dominio del dominio (y preferiblemente en todos los
controladores de dominio del bosque). Asegúrate de que está establecido para
iniciarse automáticamente también en todos los controladores de dominio.

2. En el equipo donde se ejecuta el Centro de administración de Active Directory,

comprueba que puedes encontrar un servidor que ejecuta ADWS ejecutando estos
comandos de NLTest.exe:

nltest /dsgetdc:<domain NetBIOS name> /ws /force

nltest /dsgetdc:<domain fully qualified DNS name> /ws /force

Si se producen errores en estas pruebas aunque el servicio ADWS se esté

ejecutando, el problema es de la resolución de nombres o de LDAP, y no de ADWS
o del Centro de administración de Active Directory. Sin embargo, esta prueba
produce el error "1355 0x54B ERROR_NO_SUCH_DOMAIN" si ADWS no se está
ejecutando en ningún controlador de dominio, por lo que debes realizar una doble
comprobación antes de sacar conclusiones.
 3. En el controlador de dominio que devuelve NLTest, vuelca la lista de puertos de
escucha con el comando:

Netstat -anob > ports.txt

Examina el archivo ports.txt y comprueba que el servicio ADWS está escuchando

en el puerto 9389. Ejemplo:

TCP 0.0.0.0:9389 0.0.0.0:0 LISTENING 1828

[Microsoft.ActiveDirectory.WebServices.exe]

TCP [::]:9389 [::]:0 LISTENING 1828

[Microsoft.ActiveDirectory.WebServices.exe]

Si está escuchando, comprueba las reglas de Firewall de Windows y asegúrate de

que permiten el tráfico de entrada en el puerto TCP 9389. De forma
predeterminada, los controladores de dominio habilitan la regla de firewall
"Servicios web de Active Directory (TCP de entrada)". Si no está escuchando,
comprueba de nuevo que el servicio se está ejecutando en este servidor y
reinícialo. Comprueba que no haya otros procesos escuchando en el puerto 9389.

4. Instala NetMon u otra utilidad de captura de red en el equipo donde se ejecuta el

Centro de administración de Active Directory y en el controlador de dominio que
NLTEST devuelve. Recopila capturas de red simultáneas en ambos equipos
mientras inicias el Centro de administración de Active Directory y mira el error
antes de detener las capturas. Comprueba si el cliente puede enviar y recibir desde
el controlador de dominio en el puerto TCP 9389. Si los paquetes se envían pero
no llegan, o llegan y el controlador de dominio responde pero no llegan nunca al
cliente, es problema que haya un firewall entre los equipos en la red que pierda los
paquetes de ese puerto. Este firewall puede ser de software o hardware, y quizás
forme parte de un software de protección de extremos (antivirus) de terceros.

Vea también
Papelera de reciclaje de AD, directivas de contraseña muy específicas e historial de
PowerShell
Virtualización de Active Directory
Domain Services
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este tema se indican los recursos disponibles para usar controladores de dominio
virtualizados.

Introducción a la virtualización de los Servicios de dominio de Active Directory (AD

DS) (nivel 100)

Referencia técnica de controladores de dominio virtualizados (nivel 300)

Guía de pruebas de clonación de controladores de dominio virtualizados para

proveedores de aplicaciones

Compatibilidad de la réplica de Hyper-V con controladores de dominio

virtualizados
Virtualización segura de Servicios de
dominio de Active Directory (AD DS)
Artículo • 13/08/2021 • Tiempo de lectura: 5 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server

A partir de Windows Server 2012, AD DS proporciona una mayor compatibilidad con la

virtualización de controladores de dominio gracias a la introducción de recursos seguros
para virtualización. En este artículo se explica el rol de los USN e id. de invocación en la
replicación del controlador de dominio y se describen algunos posibles problemas que
pueden producirse.

Número de secuencia de actualización e id. de

invocación
Los entornos virtuales presentan desafíos únicos para las cargas de trabajo distribuidas
que dependen de un esquema de replicación basado en reloj lógico. Una replicación de
AD DS, por ejemplo, utiliza un valor que aumenta de forma continua (denominado
número de secuencias actualizadas o USN) y que se asigna a las transacciones en cada
controlador de dominio. Cada instancia de base de datos de un controlador de dominio
recibe, además, una identidad, denominada id. de invocación. El InvocationID, o
identificador de invocación, de un controlador de dominio junto con su USN forman un
identificador exclusivo que se asocia a cada transacción de escritura que se ejecuta en
cada controlador de dominio y debe ser único en el bosque.

La replicación de AD DS utiliza el InvocationID y USN en cada controlador de dominio

para determinar los cambios que es necesario replicar en otros controladores de
dominio. Si se revierte en el tiempo un controlador de dominio sin el conocimiento del
controlador de dominio y se reutiliza un USN para una transacción completamente
distinta, la replicación no convergerá debido a que otros controladores de dominio
detectarán que ya han recibido las actualizaciones asociadas al USN reutilizado en el
contexto de ese id. de invocación.

Por ejemplo, en la siguiente ilustración se muestra la secuencia de eventos que tiene

lugar en Windows Server 2008 R2 y en sistemas operativos anteriores cuando se detecta
una reversión de USN en VDC2, el controlador de dominio de destino que se ejecuta en
una máquina virtual. En esta ilustración, la detección de la reversión de USN se produce
en VDC2 cuando un asociado de replicación detecta que VDC2 envió un valor de
actualización USN que el asociado de replicación ya había visto, lo que indica que la
base de datos de VDC2 se revirtió de manera incorrecta.

Una máquina virtual (VM) facilita a los administradores del hipervisor la reversión al USN
de un controlador de dominio (su reloj lógico); esto es posible, por ejemplo, mediante la
aplicación de una instantánea sin el conocimiento del controlador de dominio. Para
obtener más información acerca de USN y la reversión de USN, incluida otra ilustración
donde se muestran instancias no detectadas de la reversión de USN, consulte USN y
reversión de USN.

A partir de Windows Server 2012, los controladores de dominio virtuales de AD DS

hospedados en plataformas del hipervisor que expongan un identificador denominado
identificador de generación de VM pueden detectar y aplicar las medidas de seguridad
necesarias para proteger el entorno de AD DS si se revierte en el tiempo la máquina
virtual como consecuencia de la aplicación de una instantánea de VM. El diseño de VM-
GenerationID utiliza un mecanismo independiente del proveedor del hipervisor para
exponer este identificador en el espacio de dirección de la máquina virtual invitada, de
modo que cualquier hipervisor que admita VM-GenerationID puede proporcionar una
experiencia de virtualización segura. Los servicios y las aplicaciones que se ejecutan en
la máquina virtual pueden muestrear este identificador para detectar si una máquina
virtual se ha revertido en el tiempo.

Efectos de la reversión de USN

Cuando se producen reversiones de USN, las modificaciones en los objetos y atributos
no se replican desde los controladores de dominio de destino que han detectado los
USN anteriormente.

Dado que estos controladores de dominio de destino creen que están actualizados, no
se notifica ningún error de replicación en los registros de eventos del servicio de
directorio, ni tampoco lo hacen las herramientas de supervisión y diagnóstico.

La reversión de USN puede afectar a la replicación de cualquier objeto o atributo de

cualquier partición. El efecto secundario observado con más frecuencia es que las
cuentas de usuario y las cuentas de equipo que se crean en el controlador de dominio
de reversión no existen en uno o varios asociados de replicación. O bien, las
actualizaciones de contraseña que se originaron en el controlador de dominio de
reversión no existen en los asociados de replicación.

Una reversión de USN puede impedir que se replique cualquier tipo de objeto en
cualquier partición de Active Directory. Estos tipos de objeto incluyen:

Topología y programación de replicación de Active Directory

Existencia de controladores de dominio en el bosque y los roles que estos
controladores de dominio tienen
Existencia de particiones de aplicación y dominio en el bosque
Existencia de grupos de seguridad y sus pertenencias a grupos actuales
Registro de registros de DNS en zonas de DNS integradas de Active Directory

El tamaño de la vulnerabilidad de USN puede representar cientos, miles o incluso

decenas de miles de cambios para los usuarios, equipos, confianzas, contraseñas y
grupos de seguridad. La vulnerabilidad de USN se define por la diferencia entre el
número USN más alto que existía cuando se realizó la copia de seguridad del estado del
sistema restaurada y el número de cambios de origen que se crearon en el controlador
de dominio revertido antes de que se desconectara.

Detección de una reversión de USN

Dado que una reversión de USN es difícil de detectar, un controlador de dominio
registra el evento 2095 cuando un controlador de dominio de origen envía un número
USN confirmado previamente a un controlador de dominio de destino sin un cambio
correspondiente en el identificador de invocación.

Para evitar que las actualizaciones únicas que se originan en Active Directory se creen en
el controlador de dominio restaurado incorrectamente, el servicio de Net Logon se
pausa. Cuando se pausa el servicio de Net Logon, las cuentas de usuario y de equipo no
pueden cambiar la contraseña en un controlador de dominio que no replicará estos
cambios de salida. Del mismo modo, las herramientas de administración de
Active Directory favorecerán un controlador de dominio correcto cuando realicen
actualizaciones en los objetos de Active Directory.

En un controlador de dominio, se registran los mensajes de eventos similares a los

siguientes si se cumplen estas condiciones:

Un controlador de dominio de origen envía un número USN confirmado

previamente a un controlador de dominio de destino.
No hay ningún cambio correspondiente en el identificador de invocación.

Estos eventos se pueden capturar en el registro de eventos del servicio de directorio. Sin
embargo, se pueden sobrescribir antes de que los observe un administrador.

Si sospechas que se ha producido una reversión de USN pero no ves el evento

correspondiente en los registros de eventos, busca la entrada DSA no grabable en el
registro. Esta entrada proporciona pruebas forenses de que se ha producido una
reversión de USN.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

Registry entry: Dsa Not Writable

Value: 0x4

２ Advertencia

Al eliminar o cambiar manualmente el valor de entrada del registro DSA no

grabable, el controlador de dominio de reversión no se admite de forma
permanente. Por lo tanto, estos cambios no se admiten. En concreto, la
modificación del valor elimina el comportamiento de cuarentena agregado por el
código de detección de reversión de USN. Las particiones de Active Directory del
controlador de dominio de reversión serán incoherentes de forma permanente con
los asociados de replicación directa y transitiva del mismo bosque de
Active Directory.

Puedes encontrar más información sobre esta clave del Registro y los pasos de
resolución en el artículo de soporte técnico Error de replicación de Active Directory 8456
o 8457: "El servidor de origen | destino está rechazando actualmente las solicitudes de
replicación" .
Medidas de seguridad basadas en la
virtualización
Durante la instalación del controlador de dominio, AD DS almacena inicialmente el
identificador VM GenerationID como parte del atributo msDS-GenerationID en el objeto
de equipo del controlador de dominio en su base de datos (a menudo denominado
árbol de información de directorios o DIT). El identificador VM GenerationID es objeto
de un seguimiento independiente por parte de un controlador de Windows en la
máquina virtual.

Cuando un administrador restaura la máquina virtual de una instantánea anterior, el

valor actual de VM GenerationID del controlador de la máquina virtual se compara con
un valor en el DIT.

Si los dos valores son distintos, se restablece el invocationID y se descarta el grupo RID
para evitar la reutilización del USN. Si los valores coinciden, la transacción se confirma
del modo habitual.

AD DS también compara el valor actual del VM GenerationID de la máquina virtual con

el valor del DIT cada vez que se reinicia el controlador de dominio y, si es distinto,
restablece el invocationID, descarta el grupo RID y actualiza el DIT con este nuevo valor.
También sincroniza de forma no autoritativa la carpeta SYSVOL para completar la
restauración segura. Esto permite ampliar las medidas de seguridad a la aplicación de
instantáneas en las máquinas virtuales que se apagaron. Estas medidas de seguridad
introducidas en Windows Server 2012 permiten a los administradores de AD DS
beneficiarse de las ventajas únicas derivadas de la implementación y administración de
controladores de dominio en un entorno virtualizado.

En la siguiente ilustración se muestra cómo se aplican las medidas de seguridad de

virtualización cuando se detecta la misma reversión de USN en un controlador de
dominio virtualizado que ejecuta Windows Server 2012 en un hipervisor que admite
VM-GenerationID.
En este caso, cuando el hipervisor detecta un cambio en el valor de VM-GenerationID,
se desencadenan las medidas de seguridad de virtualización, tales como el
restablecimiento del InvocationID en el controlador de dominio virtualizado (de A a B en
el ejemplo anterior) y la actualización del valor de VM-GenerationID guardado en la
máquina virtual para que coincida con el nuevo valor (G2) almacenado por el hipervisor.
Las medidas de seguridad garantizan la convergencia de la replicación en ambos
controladores de dominio.

Con Windows Server 2012, AD DS emplea medidas de seguridad en controladores de

dominio virtuales hospedados en hipervisores compatibles con VM-GenerationID y
garantiza que la aplicación accidental de instantáneas o de otros mecanismos
compatibles con el hipervisor que podrían revertir el estado de una máquina virtual no
deteriore el entorno de AD DS (evitando problemas de replicación tales como una
burbuja de USN u objetos persistentes).
Restaurar un controlador de dominio mediante la aplicación de una instantánea de
máquina virtual no es un mecanismo alternativo recomendable para realizar una copia
de seguridad de un controlador de dominio. Se recomienda seguir usando Copias de
seguridad de Windows Server u otras soluciones de copia de seguridad basadas en VSS
Writer.

Ｕ Precaución

Si un controlador de dominio de un entorno de producción se revierte

accidentalmente a una instantánea, se recomienda consultar a los proveedores de
las aplicaciones y los servicios hospedados en esa máquina virtual acerca de cómo
comprobar el estado de estos programas tras la restauración de la instantánea.

Para obtener más información, consulte Virtualized domain controller safe restore
architecture.

Recuperación de una reversión de USN

Hay dos enfoques para recuperarse de una reversión de USN:

Quitar el controlador de dominio del dominio

Restaurar el estado del sistema a partir de una copia de seguridad correcta

Quitar el controlador de dominio del dominio

1. Quita Active Directory del controlador de dominio para forzar que sea un servidor
independiente.
2. Apaga el servidor de nivel disminuido.
3. En un controlador de dominio correcto, limpia los metadatos del controlador de
dominio degradado.
4. Si el controlador de dominio restaurado incorrectamente hospeda roles de
maestro de operaciones, transfiere estos roles a un controlador de dominio
correcto.
5. Reinicia el servidor de nivel disminuido.
6. Si es necesario, vuelva a instalar Active Directory en el servidor independiente.
7. Si el controlador de dominio era previamente un catálogo global, configura el
controlador de dominio para que sea un catálogo global.
8. Si el controlador de dominio previamente hospedaba roles de maestro de
operaciones, vuelve a transferir los roles de maestro de operaciones al controlador
de dominio.
Restaurar el estado del sistema a partir de una copia de
seguridad correcta
Evalúa si existen copias de seguridad del estado del sistema válidas para este
controlador de dominio. Si se realizó una copia de seguridad válida de estado del
sistema antes de que el controlador de dominio revertido se restaurara incorrectamente,
y la copia de seguridad contiene los cambios recientes que se realizaron en el
controlador de dominio, restaure el estado del sistema desde la copia de seguridad más
reciente.

También puedes usar la instantánea como origen de una copia de seguridad. O bien,
puedes definir la base de datos para que se asigne un nuevo identificador de invocación
mediante el procedimiento de la sección Restaurar un controlador de dominio virtual
cuando no hay disponible una copia de seguridad de los datos del estado del sistema
adecuado

Pasos siguientes
Para obtener más información de solución de problemas sobre los controladores
de dominio virtualizados, consulte Virtualized Domain Controller Troubleshooting.
Información detallada sobre el servicio de hora de Windows (W32Time)
Referencia técnica de controladores de
dominio virtualizados (nivel 300)
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

La referencia técnica de controladores de dominio virtualizados (VDC) contiene los

temas siguientes:

Arquitectura de controladores de dominio virtualizados

Implementación y configuración de controladores de dominio virtualizados

Solucionar problemas de controladores de dominio virtualizados

Apéndice de referencia técnica del controlador de dominio virtualizado

Recursos adicionales del controlador de dominio virtualizado

Arquitectura de controladores de
dominio virtualizados
Artículo • 29/09/2022 • Tiempo de lectura: 17 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este tema se describe la arquitectura de clonación de controles de dominio

virtualizados y la restauración segura. Se mostrarán los procesos de clonación y
restauración segura con diagramas de flujo y, después, podrás ver una explicación
detallada de todos los pasos del proceso.

Arquitectura de clonación de controles de dominio virtualizados

Arquitectura de restauración segura de controladores de dominio virtualizados

Arquitectura de clonación de controles de

dominio virtualizados

Información general
La clonación de controles de dominio virtualizados depende de la plataforma del
hipervisor para exponer un identificador llamado identificador de generación de VM a
fin de detectar la creación de máquinas virtuales. AD DS almacena inicialmente el valor
de este identificador en su base de datos (NTDS.DIT) durante la promoción de
controladores de dominio. Cuando se arranca la máquina virtual, el valor actual del
identificador de generación de VM de esta se compara con el valor de la base de datos.
Si los valores son distintos, el controlador de dominio restaurará el identificador de
invocación y descartará el grupo RID, lo que evita que USN pueda volver a crear
entidades de seguridad duplicadas. El controlador de dominio buscará el archivo
DCCloneConfig.xml en las ubicaciones invocadas en el paso 3 en Procesamiento
detallado de clonación. Si se encuentra el archivo DCCloneConfig.xml, entonces asumirá
que se ha implementado como clon, por lo que iniciará la clonación para aprovisionarse
como controlador de dominio adicional (para ello, vuelve a promocionarse mediante los
contenidos de NTDS.DIT y de SYSVOL copiados desde el medio de origen).

En un entorno mixto, donde algunos hipervisores admiten VM-GenerationID y otros no,

es posible que se implemente por error un medio clonado en un hipervisor que no
admita VM-GenerationID. La presencia del archivo DCCloneConfig.xml indica el intento
administrativo de clonar un controlador de dominio (DC). Por lo tanto, si se encuentra
un archivo DCCloneConfig.xml durante el arranque, pero el host no proporciona ningún
VM-GenerationID, el DC clonado se iniciará en el modo de restauración de servicios de
directorio (DSRM) para que no afecte al resto del entorno. El medio clonado se puede
mover posteriormente a un hipervisor que admita VM-GenerationID y, después, se
puede volver a intentar la clonación.

Si el medio clonado se implementa en un hipervisor que admite VM-GenerationID, pero

no se proporciona el archivo DCCloneConfig.xml, como el DC detecta un cambio de
VM-GenerationID entre su DIT y el de la nueva VM, activará medidas de seguridad para
evitar que se vuelva a usar USN y que se creen SID duplicados. Sin embargo, la
clonación no se iniciará, por lo que el DC secundario continuará ejecutándose con la
misma identidad que el DC de origen. Este DC secundario debe quitarse de la red lo
antes posible para evitar incoherencias en el entorno.

Procesamiento detallado de clonación

En el diagrama siguiente puedes ver la arquitectura de una operación de clonación
inicial y de una operación de reintento de clonación. Estos procesos se explican con más
detalle posteriormente en este tema.

Operación de clonación inicial

Operación de reintento de clonación

En los pasos siguientes se explica el proceso con más detalle:

1. Un controlador de dominio de máquina virtual existente se inicia en un hipervisor

que admite el identificador de generación de VM.

a. Esta VM no tiene ningún valor de identificador de generación de VM existente

establecido en el objeto de equipo de AD DS después de la promoción.

b. Incluso aunque esté vacío, si vuelve a crearse un equipo, este se clonará, ya que
el nuevo identificador de generación de VM no coincidirá.

c. El identificador de generación de VM se establece después del siguiente reinicio

en el DC y no se replica.

2. Después, la máquina virtual lee el identificador de generación de VM

proporcionado por el controlador VMGenerationCounter. Compara los dos
identificadores de generación de VM.

a. Si los identificadores coinciden, quiere decir que no se trata de una máquina

virtual nueva y, por lo tanto, no se realizará la clonación. Si existe un archivo
DCCloneConfig.xml, el controlador de dominio cambiará el nombre del archivo
con una marca de fecha y hora para evitar la clonación. El servidor continuará
con el arranque normal. Así funcionan los reinicios de todos los controladores
de dominio virtuales en Windows Server 2012.
 b. Si los identificadores no coinciden, quiere decir que se trata de una máquina
virtual nueva que contiene un NTDS.DIT de un controlador de dominio anterior
(o que es una instantánea restaurada). Si existe el archivo DCCloneConfig.xml, el
controlador de dominio realizará las operaciones de clonación. En caso
contrario, continuará con las operaciones de restauración de instantánea.
Consulta Arquitectura de restauración segura de controladores de dominio
virtualizados.

c. Si el hipervisor no proporciona ningún identificador de generación de VM para

compararlo, pero existe un archivo DCCloneConfig.xml, el invitado cambiará el
nombre del archivo y, después, se iniciará en el modo DSRM para evitar que se
cree un controlador de dominio duplicado en la red. Si no existe el archivo
DCCloneConfig.xml, el invitado se iniciará en modo normal (con la posibilidad
de que se cree un controlador de dominio duplicado en la red).

3. El servicio NTDS comprueba el nombre del valor DWORD del Registro

VDCisCloning (en
HKEY_Local_Machine\System\CurrentControlSet\Services\Ntds\Parameters).

a. Si no existe, este será un primer intento de clonar la máquina virtual. El invitado

implementa las medidas de seguridad de duplicación de objetos de VDC, que
consisten en la invalidación del grupo RID local y la configuración de un nuevo
identificador de invocación de replicación para el controlador de dominio

b. Si ya se ha establecido en 0x1, este será un intento de clonación de “reintento”

(es decir, cuando no ha podido completarse una operación de clonación
anterior). No se toman las medidas de seguridad de duplicación de objetos de
VDC, ya que deberían haberse ejecutado anteriormente y esto modificaría varias
veces y de manera innecesaria el invitado.

4. Se escribirá el nombre del valor DWORD del Registro IsClone (en

Hkey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters)

5. El servicio NTDS cambia la marca de arranque de invitado para que se inicie en el

modo de reparación de DS para reinicios posteriores.

6. El servicio NTDS intenta leer el archivo DcCloneConfig.xml en una de las tres

ubicaciones aceptadas (directorio de trabajo de DSA, %windir%\NTDS o medios
extraíbles de lectura/escritura, ordenados por letra de unidad, en la raíz de la
unidad).

a. Si el archivo no existe en ninguna ubicación válida, el invitado comprueba que

la dirección IP no esté duplicada. Si la dirección IP no está duplicada, el servidor
 se iniciará en modo normal. Si existe una dirección IP duplicada, el equipo se
iniciará en el modo DSRM para evitar que se cree un controlador de dominio
duplicado en la red.

b. Si el archivo existe en una ubicación válida, el servicio NTDS validará su

configuración. Si el archivo está en blanco (o alguna de las opciones está en
blanco), NTDS configurará valores automáticos para dichas opciones.

c. Si existe el archivo DcCloneConfig.xml, pero este contiene entradas no válidas o

no se puede leer, la clonación dará error y el invitado se iniciará en el modo de
restauración de servicios de directorio (DSRM).

7. El invitado deshabilita el registro automático de DNS para evitar que pueda

modificarse de forma accidental el nombre de equipo y las direcciones IP de
origen.

8. El invitado detiene el servicio de Netlogon para evitar la publicación o respuesta

de solicitudes de AD DS de red por parte de clientes.

9. NTDS comprueba que no haya servicios ni programas instalados que no formen

parte de DefaultDCCloneAllowList.xml o de CustomDCCloneAllowList.xml

a. Si hay instalados servicios o programas que no se especifican en la lista de

permitidos de exclusión predeterminada o en la lista de permitidos de exclusión
personalizada, la clonación no se completará y el invitado se iniciará en el modo
DSRM para evitar que se cree un controlador de dominio duplicado en la red.

b. Si no existen incompatibilidades, se continuará con la clonación.

10. Si se usa el direccionamiento IP automático porque la configuración de red del

archivo DCCloneConfig.xml está en blanco, el invitado habilitará DHCP en los
adaptadores de red para obtener la concesión de dirección IP, el enrutamiento de
red e información de resolución de nombres.

11. El invitado busca y contacta con el controlador de dominio que ejecuta el rol
FSMO del emulador de PDC. Este usa DNS y el protocolo DCLocator. Establece una
conexión RPC e invoca el método IDL_DRSAddCloneDC para clonar el objeto de
equipo del controlador de dominio.

a. Si el objeto de equipo de origen del invitado tiene el permiso extendido de

encabezado de dominio “Permitir a un DC crear un clon de sí mismo”, se
continuará con la clonación.

b. Si el objeto de equipo de origen del invitado no tiene dicho permiso extendido,

la clonación se detendrá y el invitado se iniciará en el modo DSRM para evitar
 que se cree un controlador de dominio duplicado en la red.

12. El nombre de objeto de equipo de AD DS se establece para que coincida con el

nombre especificado en el archivo DCCloneConfig.xml (si existe); en caso contrario,
se genera automáticamente en el PDCE. NTDS crea la opción de NTDS correcta
para el sitio lógico apropiado de Active Directory.

a. En el caso de una clonación de PDC, el invitado cambiará el nombre del equipo

local y se reiniciará. Después del reinicio, pasa por el paso 1 a 10 de nuevo y, a
continuación, va al paso 13.

b. Si esto es una clonación de DC de réplica, no se reiniciará en esta fase.

13. El invitado proporciona la configuración de promoción al servicio de servidor de

roles de DS, que iniciará la promoción.

14. El servicio de servidor de roles de DS detendrá todos los servicios relacionados con
AD DS (NTDS, NTFRS/DFSR, KDC, DNS).

15. El invitado forzará la sincronización de hora de NT5DS (NTP de Windows) con otro
controlador de dominio (en una jerarquía de Servicio de hora de Windows, se
usará el PDCE). El invitado contactará con el PDCE. Se eliminarán todos los vales de
Kerberos existentes.

16. El invitado configura los servicios DFSR o NTFRS para que se ejecuten
automáticamente. El invitado elimina todos los archivos de base de datos DFSR y
NTFRS existentes (valor predeterminado: c:\windows\ntfrs y c:\system volume
information\dfsr\<database_GUID>), con el fin de forzar la sincronización no
autoritativa de SYSVOL cuando se inicie el servicio. El invitado no elimina el
contenido de los archivos de SYSVOL para preinicializar el SYSVOL cuando se inicie
posteriormente la sincronización.

17. Se cambiará el nombre del invitado. El servicio de servidor de roles de DS en el

invitado comenzará la configuración de AD DS (promoción) con el archivo de base
de datos NTDS.DIT existente como origen, en lugar de la base de datos de plantilla
incluida en c:\windows\system32, como suele hacerse en una promoción.

18. El invitado contacta con el propietario del rol FSMO para obtener una nueva
asignación de grupo RID.

19. El proceso de promoción crea un nuevo identificador de invocación y vuelve a

crear el objeto de configuración de NTDS para el controlador de dominio clonado
(independientemente de la clonación, esto forma parte de la promoción de
dominios al usar una base de datos NTDS.DIT existente).
20. NTDS se replica en objetos no encontrados, más nuevos o que tienen una versión
superior de un controlador de dominio asociado. El archivo NTDS.DIT ya contiene
objetos del momento en que el controlador de dominio de origen estaba sin
conexión, y estos se usarán como objetos posibles para reducir la entrada de
tráfico de replicación. Se rellenan las particiones del catálogo global.

21. Se inicia el servicio DFSR o FRS y, como no existe ninguna base de datos, SYSVOL
sincroniza de forma no autoritativa la entrada de un asociado de replicación. Este
proceso reutiliza datos existentes en la carpeta SYSVOL para reducir el tráfico de
replicación en la red.

22. El invitado vuelve a habilitar el registro del cliente DNS ahora que el equipo tiene
un nombre único y está conectado a la red.

23. El invitado ejecuta los módulos SYSPREP especificados por el

DefaultDCCloneAllowList.xml <elemento SysprepInformation> para limpiar las
referencias al nombre de equipo y al SID anterior.

24. Se completa la promoción de la clonación.

a. El invitado elimina la marca de arranque de DSRM para que el siguiente reinicio

se realice en el modo normal.

b. El invitado cambia el nombre del archivo DCCloneConfig.xml (anexa una marca

de fecha y hora) para que no vuelva a leerse en el siguiente arranque.

c. El invitado elimina el valor DWORD del Registro VdcIsCloning en

HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters.

d. El invitado establece en 0x1 el valor DWORD del Registro “VdcCloningDone” en

HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters.
Windows no usa este valor, sino que lo proporciona como un marcador para
terceros.

25. El invitado actualiza el atributo msDS-GenerationID en su propio objeto de

controlador de dominio clonado para que coincida con el identificador de
generación de VM actual del invitado.

26. Se reinicia el invitado. Ahora es un controlador de dominio de publicación normal.

Arquitectura de restauración segura de

controladores de dominio virtualizados
Información general
AD DS depende de la plataforma del hipervisor para exponer un identificador llamado
identificador de generación de VM a fin de detectar la restauración de instantáneas de
máquinas virtuales. AD DS almacena inicialmente el valor de este identificador en su
base de datos (NTDS.DIT) durante la promoción de controladores de dominio. Cuando
un administrador restaura una máquina virtual a partir de una instantánea anterior, el
valor actual del identificador de generación de VM de esta se compara con el valor de la
base de datos. Si los valores son distintos, el controlador de dominio restaurará el
identificador de invocación y descartará el grupo RID, lo que evita que USN pueda
volver a crear entidades de seguridad duplicadas. Existen dos escenarios en los que se
puede producir una restauración segura:

Cuando se inicia un controlador de dominio virtual después de restaurar una

instantánea cuando esta estaba apagada

Cuando se restaura una instantánea en un controlador de dominio virtual en

ejecución

Si el controlador de dominio virtualizado en la instantánea se encuentra en estado

suspendido, en lugar de apagado, tendrás que reiniciar el servicio AD DS para
activar una nueva solicitud de grupo RID. Puedes reiniciar el servicio AD DS
mediante el complemento Servicios o mediante Windows PowerShell (Restart-
Service NTDS -force).

En las secciones siguientes se explica en detalle la restauración segura para cada

escenario.

Procesamiento detallado de restauración segura

En el diagrama de flujo siguiente puedes ver cómo se produce una restauración segura
cuando se inicia un controlador de dominio virtual después de restaurar una instantánea
cuando esta estaba apagada.
 1. Cuando se inicia la máquina virtual después de una restauración de instantánea,
tendrá un nuevo identificador de generación de VM proporcionado por el host del
hipervisor debido a la restauración de la instantánea.

2. El nuevo identificador de generación de la máquina virtual se compara con el

identificador de generación de VM de la base de datos. Como los dos
identificadores no coinciden, usará medidas de seguridad de virtualización
(consulta el paso 3 de la sección anterior). Cuando se termine de aplicar la
restauración, se actualizará el VM-GenerationID establecido en el objeto de equipo
de AD DS para que coincida con el nuevo identificador proporcionado por el host
del hipervisor.

3. El invitado usa medidas de seguridad de virtualización para:

a. Invalidar el grupo RID local.

b. Establecer un nuevo identificador de invocación para la base de datos del

controlador de dominio.

７ Nota

Esta parte de la restauración segura se superpone con el proceso de clonación.

Aunque este proceso trata sobre la restauración segura de un controlador de
dominio virtual después de arrancar una restauración de instantánea, también se
realizan los mismos pasos durante el proceso de clonación.

En el diagrama siguiente se muestra cómo las medidas de seguridad de virtualización

evitan la divergencia inducida por la reversión de USN cuando se restaura una
instantánea en un controlador de dominio virtual en ejecución.
７ Nota

La ilustración anterior se ha simplificado para explicar los conceptos.

1. En la hora T1, el administrador del hipervisor realiza un instantánea del DC1 virtual.
En ese momento, DC1 tiene un valor USN (highestCommittedUsn, en un caso real)
de 100, InvocationId (representado como el identificador en el diagrama anterior)
tiene un valor de A (en un caso real, esto sería el GUID). El valor de savedVMGID es
el VM-GenerationID en el archivo DIT del DC (almacenado para el objeto de
equipo del DC en un atributo llamado msDS-GenerationId). El VMGID es el valor
actual del VM-GenerationID obtenido por el controlador de la máquina virtual.
Este valor es proporcionado por el hipervisor.

2. Posteriormente, en T2, se agregan 100 usuarios a este DC (esto es tan solo un

ejemplo de las actualizaciones que podrían realizarse en este DC entre T1 y T2;
estas actualizaciones podrían ser una combinación de creación de usuarios,
creación de grupos, actualizaciones de contraseña, actualizaciones de atributos,
etc.). En este ejemplo, cada actualización consume un USN único (aunque, en la
práctica, la creación de un usuario podría consumir más de un USN). Antes de
aplicar estas actualizaciones, DC1 comprueba si el valor de VM-GenerationID de la
base de datos (savedVMGID) coincide con el valor actual disponible en el
controlador (VMGID). Coinciden, ya que no se ha realizado ninguna reversión, por
lo que se aplican las actualizaciones y USN sube hasta 200, lo que indica que en la
siguiente actualización se puede usar el USN 201. No se producen cambios en
 InvocationId, savedVMGID o VMGID. Estas actualizaciones se replican en DC2 en el
siguiente ciclo de replicación. DC2 lo actualiza con una marca de agua alta (y
UptoDatenessVector) representada aquí simplemente como DC1(A) @USN = 200.
Es decir, que DC2 conoce todas las actualizaciones de DC1 en el contexto de
InvocationId A hasta USN 200.

3. En T3, se aplica en DC1 la instantánea realizada en T1. DC1 se ha revertido, por lo

que su USN se revierte a 100, lo que indica que podría usar USN a partir del 101
para asociarlos con próximas actualizaciones. Sin embargo, en este punto, el valor
de VMGID sería distinto en hipervisores que admitan el VM-GenerationID.

4. Como consecuencia, cuando DC1 realice una actualización, comprobará si el valor

de VM-GenerationId que contiene su base de datos (savedVMGID) coincide con el
valor del controlador de la máquina virtual (VMGID). En este caso no es el mismo,
por lo que DC1 detecta esto como una reversión y activa las medidas de seguridad
de virtualización; en otras palabras, restablece su InvocationId (Id. = B) y descarta
el grupo RID (que no se muestra en el diagrama anterior). A continuación, guarda
el nuevo valor de VMGID en su base de datos y confirma esas actualizaciones (USN
101 - 250) en el contexto del nuevo InvocationId B. En el siguiente ciclo de
replicación, DC2 no conoce nada de DC1 en el contexto de InvocationId B, por lo
que solicita todo desde DC1 asociado a InvocationID B. Como resultado, las
actualizaciones realizadas en DC1 posteriores a la aplicación de instantánea
convergerán de forma segura. Además, el conjunto de actualizaciones que se
realizó en DC1 en T2 (que se perdieron en DC1 después de restaurar la
instantánea) se volverían a replicar en DC1 en la siguiente replicación programada,
ya que se replicaron a DC2 (como indica la línea de puntos que vuelve a DC1).

Después de que el invitado use las medidas de seguridad de virtualización, NTDS replica
las diferencias del objeto de Active Directory de entrada de forma no autoritativa desde
un controlador de dominio asociado. Como resultado, se actualiza el vector de
actualización del servicio de directorio de destino. Después, el invitado sincroniza
SYSVOL:

Si se usa FRS, el invitado detiene el servicio NTFRS y establece el valor del Registro
BURFLAGS de D2. Después, inicia el servicio NTFRS que, de forma no autoritativa,
realiza una replicación entrante y, siempre que sea posible, vuelve a usar los datos
de SYSVOL no modificados.

Si usa DFSR, el invitado detiene el servicio DFSR y elimina los archivos de base de
datos DFSR (ubicación predeterminada: %systemroot%\system volume
information\dfsr\<database GUID>). Después, inicia el servicio DFSR que, de forma
 no autoritativa, realiza una replicación entrante y, siempre que sea posible, vuelve
a usar los datos de SYSVOL no modificados.

７ Nota

Si el hipervisor no proporciona ningún identificador de generación de VM

para poder compararlo, no admitirá las medidas de seguridad de
virtualización y el invitado funcionará como un controlador de dominio
virtualizado que ejecuta Windows Server 2008 R2 o anterior. El invitado
implementa la protección de cuarentena de reversión de USN si se intenta
iniciar una replicación con unos USN no superiores a los últimos USN
detectados por el DC asociado. Para obtener más información sobre la
protección de cuarentena de la reversión de USN, consulta USN y reversión
de USN
Implementación y configuración de
controladores de dominio virtualizados
Artículo • 29/09/2022 • Tiempo de lectura: 33 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este tema se explica:

Consideraciones sobre la instalación

Incluye los requisitos de la plataforma y otras limitaciones importantes.

Clonación de controladores de dominio virtualizados

Explica en detalle todo el proceso de clonación de controladores de dominio

virtualizados.

Restauración segura de controladores de dominio virtualizados

Explica en detalle las validaciones que se llevan a cabo durante la restauración

segura de controladores de dominio virtualizados.

Consideraciones para la instalación

No existe una instalación de características o rol en especial para los controladores de
dominio (DC) virtualizados; todos los controladores de dominio contienen
automáticamente capacidades de clonación y restauración segura. No puedes eliminar o
deshabilitar dichas capacidades.

El uso de controladores de dominio de Windows Server 2012 requiere un esquema de

AD DS de Windows Server 2012 versión 56 o posterior y un nivel funcional de bosque
igual a Windows Server 2003 nativo o superior.

Tanto los controladores de dominio de escritura como los de solo lectura son
compatibles con todos los aspectos del DC virtualizado, igual que los catálogos globales
y los roles FSMO.

） Importante
 El contenedor de rol FSMO del emulador de PDC debe estar en línea cuando
comience la clonación.

Requisitos de la plataforma
La clonación de controladores de dominio virtualizados requiere lo siguiente:

Un rol FSMO del emulador de PDC hospedado en un DC de Windows Server 2012

Un emulador de PDC disponible durante las operaciones de clonación

La clonación y la restauración segura requieren lo siguiente:

Invitados virtuales de Windows Server 2012

Compatibilidad de la plataforma de host de virtualización con el identificador de

generación de VM (VMGID)

Revisa la siguiente tabla sobre los productos de virtualización para comprobar si son
compatibles con controladores de dominio virtualizados e identificadores de generación
de VM.

Producto de virtualización Compatible con controladores de dominio

virtualizados y VMGID

Servidor Microsoft Windows Server 2012 con Sí

característica Hyper-V

Microsoft Windows Server 2012 Hyper-V Sí

Server

Microsoft Windows 8 con característica cliente Sí

Hyper-V

Windows Server 2008 R2 y Windows Server No

2008

Soluciones de virtualización que no son de Ponte en contacto con el proveedor

Microsoft

Aunque Microsoft es compatible con Windows 7 Virtual PC, Virtual PC 2007, Virtual PC
2004 y Virtual Server 2005, estos no pueden ejecutar invitados de 64 bits ni son
compatibles con identificadores de generación de VM.

Para obtener ayuda sobre productos de virtualización de terceros y conocer el tipo de

soporte técnico que ofrecen para los controladores de dominio virtualizados, ponte en
contacto directamente con el proveedor.

Para obtener más información, revise la directiva de soporte técnico para el Software de
Microsoft que se ejecuta en software de virtualización de hardware que no sea de
Microsoft .

Advertencias importantes
Los controladores de dominio virtualizados no son compatibles con la restauración
segura de lo siguiente:

Archivos VHD y VHDX copiados manualmente sobre archivos VHD existentes

Archivos VHD y VHDX restaurados mediante software de copia de seguridad de

archivos o de discos completos

７ Nota

Archivos VHDX nuevos en Windows Server 2012 Hyper-V.

Ninguna de estas operaciones está contemplada por la semántica VM-GenerationID, por

lo tanto, no cambian el identificador de generación de VM. La restauración de
controladores de dominio mediante estos métodos podría provocar una reversión de
USN, o bien poner en cuarentena el controlador de dominio o introducir objetos
persistentes y la necesidad de realizar operaciones de limpieza profunda en el bosque.

２ Advertencia

La restauración segura de controladores de dominio virtualizados no sustituye a las

copias de seguridad del estado del sistema y la Papelera de reciclaje de AD DS.

Después de restaurar una instantánea, se perderán de forma permanente los deltas

de los cambios previamente no replicados que se originaron en ese controlador de
dominio tras la instantánea. La restauración segura implementa la restauración no
autoritativa automatizada para evitar solo la cuarentena accidental de
controladores de dominio.

Para obtener más información sobre burbujas de USN y objetos persistentes, consulte
Solución de problemas de operaciones de Active Directory que generan el error 8606:
"No se especificaron atributos suficientes para crear un objeto" .
Clonación de controladores de dominio
virtualizados
Existen varias fases y pasos en la clonación de un controlador de dominio virtualizado,
independientemente de si se utilizan herramientas gráficas o Windows PowerShell. En
un nivel alto, las tres fases son las siguientes:

Preparación del entorno

Paso 1: validar que el hipervisor sea compatible con el identificador de generación

de VM y, por lo tanto, la clonación.

Paso 2: Compruebe que el rol del emulador de PDC está hospedado por un
controlador de dominio que ejecuta Windows Server 2012 y que está conectado y
accesible por el controlador de dominio clonado durante la clonación.

Preparar el controlador de dominio de origen

Paso 3: autorizar el controlador de dominio de origen para la clonación.

Paso 4: eliminar los servicios o programas incompatibles o agregarlos al archivo

CustomDCCloneAllowList.xml.

Paso 5: crear el archivo DCCloneConfig.xml

Paso 6: desconectar el controlador de dominio de origen

Crear el controlador de dominio clonado

Paso 7: copiar o exportar la VM de origen y agregar el XML si todavía no se ha

copiado.

Paso 8: crear una máquina virtual nueva desde la copia.

Paso 9: iniciar la máquina virtual nueva para comenzar la clonación.

No existe ninguna diferencia en el procedimiento, independientemente de si se utilizan

herramientas gráficas como la consola de administración de Hyper-V o herramientas de
línea de comandos como Windows PowerShell, por lo que estos pasos se presentan una
sola vez con ambas interfaces. En este tema se aportan ejemplos de Windows
PowerShell para que explores la automatización de un extremo a otro del proceso de
clonación; no son necesarios para ninguno de los pasos. En Windows Server 2012 no se
incluye ninguna herramienta de administración gráfica para controladores de dominio
virtualizados.
En varios puntos de este procedimiento podrás elegir cómo crear el equipo clonado y
cómo agregar los archivos xml; estos pasos se indican en los detalles que aparecen más
abajo. Por lo demás, el proceso no puede alterarse.

En el diagrama siguiente se ilustra el proceso de clonación de controladores de dominio

virtualizados, cuando ya existe el dominio.

Paso 1 - Validar el hipervisor

Consulta la documentación del proveedor para asegurarte de que el controlador de
dominio de origen se esté ejecutando en un hipervisor compatible. Los controladores
de dominio virtualizados son independientes del hipervisor y no necesitan Hyper-V.

Si el hipervisor está Microsoft Hyper-V, asegúrese de que se ejecuta en Windows Server

2012 . Puedes verificarlo utilizando la Administración de dispositivos.

Abre Devmgmt.msc y examina en Dispositivos del sistema los dispositivos y

controladores Microsoft Hyper-V instalados. El dispositivo de sistema específico que se
requiere para controladores de dominio virtualizados es el Contador de generación de
Microsoft Hyper-V (controlador: vmgencounter.sys).

Paso 2 - Comprobar el rol FSMO del PDCE

Antes de intentar clonar un DC, debes asegurarte de que el controlador de dominio que
hospeda el FSMO del emulador del controlador de dominio principal ejecute Windows
Server 2012. El emulador del PDC (PDCE) es necesario por varias razones:

1. El PDCE crea el grupo especial Controladores de dominio clonables y establece su

permiso en la raíz del dominio para permitir que un controlador de dominio se
clone a sí mismo.

2. El controlador de dominio que se clona se pone en contacto directamente con el

PDCE a través del protocolo RPC DRSUAPI, a fin de crear objetos de equipo para el
DC que se clona.

７ Nota
 Windows Server 2012 ha ampliado el protocolo remoto del Servicio de
replicación de directorios (DRS) existente (UUID E3514235-4B06-11D1-AB04-
00C04FC2DCD2) para que incluya un método RPC nuevo
IDL_DRSAddCloneDC (Opnum 28). El método IDL_DRSAddCloneDC crea un
objeto de controlador de dominio nuevo copiando atributos desde un objeto
de controlador de dominio existente.

Los estados de un controlador de dominio se componen de equipo, servidor,

configuración NTDS, FRS, DFSR y objetos de conexión mantenidos para cada
controlador de dominio. Al duplicar un objeto, este método RPC sustituye
todas las referencias al controlador de dominio original por los objetos
correspondientes del controlador de dominio nuevo. El llamador debe
disponer del derecho de acceso de control DS-Clone-Domain-Controller en el
contexto de nomenclatura de dominio.

El uso de este método nuevo siempre requiere el acceso directo al

controlador de dominio del emulador de PDC desde el llamador.

Dado que este método RPC es nuevo, tu software de análisis de red necesita
analizadores actualizados para que incluya campos para el nuevo Opnum 28
en el UUID existente E3514235-4B06-11D1-AB04-00C04FC2DCD2. De lo
contrario, no podrás analizar este tráfico.

Para obtener más información, consulte 4.1.29 IDL_DRSAddCloneDC (Opnum

28).

Esto también significa que, al usar redes no completamente enrutadas, la clonación de

controladores de dominio virtualizados requiere segmentos de red con acceso al PDCE.
Se puede mover un controlador de dominio clonado a una red diferente tras la
clonación (igual que un controlador de dominio físico), siempre y cuando actualices la
información de sitio lógico de AD DS.

） Importante

Al clonar un dominio que contiene un solo controlador de dominio, debes

asegurarte de que el DC de origen vuelva a estar en línea antes de comenzar las
copias de clonación. Un domino de producción debería contener siempre por lo
menos dos controladores de dominio.

Método de usuarios y equipos de Active Directory

 1. Con el complemento Dsa.msc, haz clic con el botón secundario en el dominio y
haz clic en Maestros de operaciones. Toma nota del controlador de dominio
indicado en la pestaña PDC y cierra el cuadro de diálogo.

2. Haz clic con el botón secundario en el objeto de equipo de ese DC y haz clic en
Propiedades; después, valida la información del sistema operativo.

Método de Windows PowerShell

Puedes combinar los siguientes cmdlets de Active Directory del módulo de Windows
PowerShell para regresar a la versión del emulador de PDC:

Get-adddomaincontroller

Get-adcomputer

Si no se proporciona el dominio, estos cmdlets dan por supuesto que se trata del
dominio del equipo donde se ejecutan.

El siguiente comando devuelve información del PDCE y del sistema operativo:

get-adcomputer(Get-ADDomainController -Discover -Service "PrimaryDC").name -

property * | format-list dnshostname,operatingsystem,operatingsystemversion

El ejemplo incluido a continuación muestra cómo especificar el nombre de dominio y

cómo filtrar las propiedades devueltas antes de la canalización de Windows PowerShell:

Paso 3 - Autorizar un DC de origen

El controlador de dominio de origen debe tener el derecho de acceso de control (CAR)
Permitir a un DC crear un clon de sí mismo en el encabezado NC del dominio. De
manera predeterminada, el grupo conocido Controladores de dominio clonables tiene
este permiso y no contiene miembros. El PDCE crea este grupo cuando ese rol FSMO se
transfiere a un controlador de dominio de Windows Server 2012.

Método del Centro de administración de Active Directory

1. Inicia Dsac.exe, navega al DC de origen y abre la página de detalles.

2. En la sección Miembro de, agrega el grupo Controladores de dominio clonables

de ese dominio.

Método de Windows PowerShell

Puedes combinar los siguientes cmdlets de Active Directory del módulo de Windows
PowerShell get-adcomputer y add-adgroupmember para agregar un controlador de
dominio al grupo Controladores de dominio clonables:

Get-adcomputer <dc name> | %{add-adgroupmember "cloneable domain

controllers" $_.samaccountname}

Por ejemplo, esto agrega el servidor DC1 al grupo, sin necesidad de especificar el
nombre distintivo del miembro del grupo:

Volver a generar los permisos predeterminados

Si eliminas este permiso del encabezado del dominio, la clonación genera un error.
Puedes recrear el permiso a través del Centro de administración de Active Directory o
de Windows PowerShell.

Método del Centro de administración de Active Directory

1. Abre el Centro de administración de Active Directory, haz clic con el botón

secundario en el encabezado del dominio y haz clic en Propiedades; en la pestaña
Extensiones, haz clic en Seguridad y en Opciones avanzadas. Haz clic en Solo este
objeto.
 2. Haz clic en Agregar y, en Escriba el nombre del objeto que desea seleccionar,
escribe el nombre del grupo Controladores de dominio clonables.

3. En Permisos, haz clic en Permitir a un DC crear un clon de sí mismo y, después,

haz clic en Aceptar.

７ Nota

También puedes eliminar el permiso predeterminado y agregar controladores de

dominio individuales. Sin embargo, esto podría causar problemas continuos de
mantenimiento en caso de que los administradores nuevos no sepan que se ha
realizado esta personalización. La modificación de la configuración predeterminada
no aumenta la seguridad y está desaconsejada.

Método de Windows PowerShell

Usa los siguientes comandos en un símbolo de sistema con permisos de administrador

en la consola de Windows PowerShell. Estos comandos detectan el nombre de dominio
y vuelven a agregar los permisos predeterminados:

import-module activedirectory

cd ad:

$domainNC = get-addomain

$dcgroup = get-adgroup "Cloneable Domain Controllers"

$sid1 = (get-adgroup $dcgroup).sid

$acl = get-acl $domainNC

$objectguid = new-object Guid 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e

$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule

$sid1,"ExtendedRight","Allow",$objectguid

$acl.AddAccessRule($ace1)

set-acl -aclobject $acl $domainNC

cd c:

También puedes ejecutar el ejemplo FixVDCPermissions.ps1 en una consola de Windows

PowerShell, cuando la consola se inicia como un administrador con permisos elevados
en un controlador de dominio en el dominio afectado. De manera automática, establece
los permisos. El ejemplo está ubicado en el apéndice de este módulo.

Paso 4 - Eliminar las aplicaciones o servicios

incompatibles (si no utilizan
CustomDCCloneAllowList.xml)
Todos los programas o servicios que previamente devolvió Get-
ADDCCloningExcludedApplicationList (y no agregados a CustomDCCloneAllowList.xml)
deben eliminarse antes de la clonación. El método recomendado consiste en desinstalar
la aplicación o el servicio.

２ Advertencia

Todos los programas o servicios incompatibles que no se hayan desinstalado o que

se hayan agregado a CustomDCCloneAllowList.xml impiden la clonación.

Utiliza el cmdlet Get-AdComputerServiceAccount para localizar todas las Cuentas de

servicio administradas (MSA) independientes en el dominio y para comprobar si el
equipo utiliza alguna. Si hay alguna MSA instalada, utiliza el cmdlet Uninstall-
ADServiceAccount para eliminar la cuenta de servicio instalada localmente. Cuando
acabes de desconectar el controlador de dominio de origen en el paso 6, puedes volver
a agregar la MSA mediante Install-ADServiceAccount cuando el servidor vuelva a estar
en línea. Para obtener más información, consulte Uninstall-ADServiceAccount.

） Importante

Las MSA independientes (lanzadas por primera vez en Windows Server 2008 R2)
han sido sustituidas en Windows Server 2012 por las MSA de grupo. Las MSA de
grupo son compatibles con la clonación.

Paso 5 - Crear DCCloneConfig.xml

El archivo DcCloneConfig.xml es necesario para clonar controladores de dominio. Sus
contenidos permiten especificar detalles únicos, como el nuevo nombre del equipo y la
dirección IP.

El archivo CustomDCCloneAllowList.xml es opcional, a menos que instales aplicaciones o

servicios de Windows potencialmente incompatibles en el controlador de dominio de
origen. Los archivos requieren una nomenclatura, un formateo y una colocación
precisos; de lo contrario, la clonación generará un error.

Por esta razón, debes utilizar siempre los cmdlets de Windows PowerShell para crear los
archivos XML y colocarlos en la ubicación correcta.

Generar con New-ADDCCloneConfigFile

El módulo de Active Directory de Windows PowerShell contiene un cmdlet nuevo en
Windows Server 2012:

New-ADDCCloneConfigFile

Ejecuta el cmdlet en el controlador de dominio de origen propuesto que pretendes

clonar. El cmdlet es compatible con varios argumentos y, cuando se utiliza, prueba
siempre el equipo y el entorno en el que se ejecuta, a menos que especifiques el
argumento -offline.

ActiveDirectory Argumentos Explicación

Cmdlet

New- <no se ha Cree un archivo DcCloneConfig.xml vacío en el

ADDCCloneConfigFile especificado ningún Directorio de trabajo de DSA (valor
argumento> predeterminado: %systemroot%\ntds)

- Especifica el nombre del equipo del DC que se

CloneComputerName clona. Tipo de datos String.

-Path Especifica la carpeta para crear el archivo

DcCloneConfig.xml. Si no se especifica, escriba
en el Directorio de trabajo de DSA (valor
predeterminado: %systemroot%\ntds). Tipo de
datos String.

-SiteName Especifica el nombre del sitio lógico de AD al

que unirse durante la creación de la cuenta de
equipo clonada. Tipo de datos String.

-IPv4Address Especifica la dirección IPv4 estática del equipo

clonado. Tipo de datos String.

-IPv4SubnetMask Especifica la máscara de subred de IPv4 estática

del equipo clonado. Tipo de datos String.

-IPv4DefaultGateway Especifica la dirección de puerta de enlace

predeterminada de IPv4 estática del equipo
clonado. Tipo de datos String.

-IPv4DNSResolver Especifica las entradas DNS de IPv4 estática del

equipo clonado en una lista separada por
comas. Tipo de datos de matriz. Pueden
proporcionarse hasta cuatro entradas.
 ActiveDirectory Argumentos Explicación

Cmdlet

- Especifica la dirección IPv4 estática del servidor

PreferredWINSServer WINS principal. Tipo de datos String.

- Especifica la dirección IPv4 estática del servidor

AlternateWINSServer WINS secundario. Tipo de datos String.

-IPv6DNSResolver Especifica las entradas DNS de IPv6 estática del

equipo clonado en una lista separada por
comas. No hay manera de establecer
información de IPv6 estática en la clonación de
controladores de dominio virtualizados. Tipo de
datos de matriz.

-Offline No realiza las pruebas de validación y

sobrescribe cualquier archivo dccloneconfig.xml
existente. No tiene parámetros.

-Static Requerido si se especifican argumentos de IP

estática IPv4SubnetMask, IPv4SubnetMask o
IPv4DefaultGateway. No tiene parámetros.

Pruebas realizadas si se ejecuta en modo en línea:

El emulador de PDC es Windows Server 2012 o posterior

El controlador de dominio de origen es miembro del grupo Controladores de

dominio clonables

El controlador de dominio de origen no incluye aplicaciones o servicios excluidos

El controlador de dominio de origen no contiene ya un archivo DcCloneConfig.xml

en la ruta de acceso especificada
Paso 6 - Desconectar el controlador de dominio de origen
No puedes copiar un DC de origen que se esté ejecutando; debes cerrarlo
correctamente. No clones un controlador de dominio detenido debido a un error de
alimentación.

Método gráfico

Usa el botón de apagado dentro del DC que se está ejecutando o el botón de apagado
del Administrador de Hyper-V.
Método de Windows PowerShell

Puedes apagar una máquina virtual utilizando uno de los siguientes cmdlets:

Stop-computer

Stop-vm

Stop-computer es un cmdlet que permite apagar equipos independientemente de la

virtualización, y es análogo a la utilidad heredada Shutdown.exe. Stop-vm es un cmdlet
nuevo en el módulo de Windows PowerShell de Hyper-V de Windows Server 2012, y es
equivalente a las opciones de energía del Administrador de Hyper-V. Este último resulta
útil en entornos de laboratorio, donde un controlador de dominio suele funcionar en
una red virtualizada privada.
Paso 7 - Copiar discos
En la fase de copia, es necesario tomar una decisión administrativa:

Copiar los discos manualmente, sin Hyper-V

Exportar la VM utilizando Hyper-V

Exportar los discos combinados utilizando Hyper-V

Deben copiarse todos los discos de la máquina virtual, no solo la unidad de sistema. Si
el controlador de dominio de origen usa discos de diferenciación y planeas mover tu
controlador de dominio clonado a otro host de Hyper-V, debes exportar.

Se recomienda copiar los discos manualmente si el controlador de dominio de origen

tiene una sola unidad. Se recomienda exportar/importar en el caso de las VM con más
de una unidad u otras personalizaciones complejas de hardware virtualizado, como
varios NIC.

Si copias los archivos manualmente, elimina todas las instantáneas anteriores a la copia.
Si exportas la VM, elimina las instantáneas anteriores a la exportación o elimínalas de la
nueva VM tras la importación.

２ Advertencia

Las instantáneas son discos de diferenciación que pueden devolver un controlador

de dominio a un estado previo. Si deseabas clonar un controlador de dominio y
después restaurar su instantánea previa a la clonación, acabarías con controladores
de dominio duplicados en el bosque. Las instantáneas previas no tienen ningún
valor en un controlador de dominio recién clonado.

Copiar discos manualmente

Método de Administrador de Hyper-V

Usa el complemento Administrador de Hyper-V para determinar qué discos están

asociados al controlador de dominio de origen. Usa la opción Inspeccionar para validar
si el controlador de dominio utiliza discos de diferenciación (para lo que también debes
copiar el disco principal).
Para eliminar las instantáneas, selecciona una VM y elimina el subárbol de instantáneas.

Después ya puedes copiar manualmente los archivos VHD o VHDX mediante el

Explorador de Windows, Xcopy.exe o Robocopy.exe. No hace falta realizar ningún paso
especial. Es recomendable cambiar los nombres de los archivos, incluso aunque los
muevas a otra carpeta.

７ Nota

Si estás copiando entre equipos host en una LAN (1 Gbit o más), la opción
Xcopy.exe /J copia los archivos VHD/VHDX considerablemente más rápido que
cualquier otra herramienta, pero utiliza mucho más ancho de banda.

Método de Windows PowerShell

Para determinar los discos que utilizan Windows PowerShell, usa los Módulos de Hyper-
V:

Get-vmidecontroller

Get-vmscsicontroller

Get-vmfibrechannelhba

Get-vmharddiskdrive

Por ejemplo, puedes devolver todos los discos duros IDE desde una VM llamada DC2
con la siguiente muestra:

Si la ruta de acceso del disco señala a un archivo AVHD o AVHDX, es una instantánea.
Para eliminar las instantáneas asociadas a un disco y combinar el VHD o VHDX real, usa
cmdlets:

Get-VMSnapshot

Remove-VMSnapshot

Por ejemplo, para eliminar todas las instantáneas de una VM llamada DC2-
SOURCECLONE:

Para copiar los archivos con Windows PowerShell, utiliza el cmdlet siguiente:
 Copy-Item

Combínalo con cmdlets de VM en canalización para facilitar la automatización. La

canalización es un canal que se utiliza entre varios cmdlets para pasar datos. Por
ejemplo, para copiar la unidad de un controlador de dominio de origen sin conexión
llamado DC2-SOURCECLONE en un nuevo disco llamado c:\temp\copy.vhd sin
necesidad de saber la ruta de acceso exacta a la unidad del sistema:

Get-VMIdeController dc2-sourceclone | Get-VMHardDiskDrive | select-Object

{copy-item -path $_.path -destination c:\temp\copy.vhd}

） Importante

No puedes utilizar discos de paso a través con la clonación, ya que no usan un

archivo de disco virtual, sino un disco duro real.

７ Nota

Para obtener más información sobre las operaciones de Windows PowerShell con
canalizaciones, consulta Canalizar y la canalización de Windows PowerShell.

Exportar la VM

Otra alternativa a copiar los discos consiste en exportar toda la VM de Hyper-V como
copia. Al exportar automáticamente, se crea una carpeta con nombre para la VM que
contiene la información de configuración y todos los discos.
Método de Administrador de Hyper-V

Para exportar una VM con el Administrador de Hyper-V:

1. Haz clic con el botón secundario en el controlador de dominio de origen y haz clic
en Exportar.

2. Selecciona una carpeta existente como contenedor para la exportación.

3. Espera a que la columna Estado deje de mostrar el mensaje Exportando.

Método de Windows PowerShell

Para exportar una VM con el módulo de Windows PowerShell de Hyper-V, usa el cmdlet:

Export-vm

Por ejemplo, para exportar una VM llamada DC2-SOURCECLONE a una carpeta llamada
C:\VM:

７ Nota

Hyper-V de Windows Server 2012 es compatible con nuevas capacidades de

exportación e importación que no se incluyen en esta explicación. Revisa TechNet
 para obtener más información.

Exportar discos combinados utilizando Hyper-V

La última opción es usar las opciones de combinación y conversión de discos dentro de
Hyper-V. Estas opciones te permiten copiar una estructura de disco existente (también
cuando se incluyen archivos de instantánea AVHD/AVHDX) en un solo disco nuevo. Al
igual que la copia de disco manual, está dirigida principalmente a máquinas virtuales
más sencillas que utilizan una sola unidad, como C:\. Su única ventaja es que, a
diferencia de la copia manual, no te obliga a eliminar primero las instantáneas. Esta
operación es por fuerza más lenta que simplemente eliminar las instantáneas y copiar
los discos.

Método de Administrador de Hyper-V

Para crear un disco combinado utilizando el Administrador de Hyper-V:

1. Haga clic en Editar disco.

2. Busca el disco secundario más bajo. Por ejemplo, si usas un disco de

diferenciación, el disco secundario es el elemento secundario más bajo. Si la
máquina virtual tiene una instantánea (o varias), la instantánea seleccionada
actualmente es el disco secundario más bajo.

3. Selecciona la opción Combinar para crear un solo disco a partir de toda la

estructura principal-secundario.

4. Selecciona un nuevo disco duro virtual y escribe una ruta de acceso. De este modo,
se reconcilian los archivos VHD/VHDX existentes en una sola unidad portátil nueva
que no corre el riesgo de restaurar instantáneas anteriores.

Método de Windows PowerShell

Para crear un disco combinado desde un conjunto complejo de elementos principales

utilizando el módulo de Windows PowerShell de Hyper-V, usa el cmdlet:

Convert-vm

Por ejemplo, para exportar toda la cadena de instantáneas de disco de una VM (esta vez
sin incluir discos de diferenciación) y un disco principal en un solo disco nuevo llamado
DC4-CLONED.VHDX:

Agregar XML al disco del sistema sin conexión

Si copiaste Dccloneconfig.xml en el DC de origen en ejecución, ahora debes copiar el

archivo dccloneconfig.xml actualizado en el disco del sistema copiado/exportado sin
conexión. En función de las aplicaciones instaladas que se detectaron antes con Get-
ADDCCloningExcludedApplicationList, también podrías tener que copiar el archivo
CustomDCCloneAllowList.xml en el disco.

Las siguientes ubicaciones pueden contener el archivo DcCloneConfig.xml:

1. Directorio de trabajo de DSA

2. %windir%\NTDS

3. Medios extraíbles de lectura/escritura según el orden de la letra de unidad, en la

raíz de la unidad

Estas rutas de acceso no son configurables. Una vez comenzada la clonación, esta
comprueba dichas ubicaciones en ese orden específico y utiliza el primer archivo
DcCloneConfig.xml que encuentra, independientemente de los demás contenidos de la
carpeta.

Las siguientes ubicaciones pueden contener el archivo CustomDCCloneAllowList.xml:

1. HKey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters

AllowListFolder (REG_SZ)

2. Directorio de trabajo de DSA

3. %windir%\NTDS

4. Medios extraíbles de lectura/escritura según el orden de la letra de unidad, en la

raíz de la unidad

Puedes ejecutar New-ADDCCloneConfigFile con el argumento -offline (lo que también

se conoce como modo sin conexión) para crear el archivo DcCloneConfig.xml y
colocarlo en una ubicación correcta. Los siguientes ejemplos muestran cómo ejecutar
New-ADDCCloneConfigFile en el modo sin conexión.

Para crear un controlador de dominio clonado denominado CloneDC1 en modo sin

conexión, en un sitio denominado "REDMOND" con dirección IPv4 estática, escriba:

New-ADDCCloneConfigFile -Offline -CloneComputerName CloneDC1 -SiteName

REDMOND -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask
"255.255.0.0" -IPv4DefaultGateway "10.0.0.1" -Static -Path F:\Windows\NTDS

Para crear un controlador de dominio clonado denominado Clone2 en el modo sin

conexión con una configuración de IPv4 estática e IPv6 estática, escriba:

New-ADDCCloneConfigFile -Offline -IPv4Address "10.0.0.2" -IPv4DNSResolver

"10.0.0.1" -IPv4SubnetMask "255.255.0.0" -Static -IPv6DNSResolver
"2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone2" -
PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" -Path
F:\Windows\NTDS

Para crear un controlador de dominio clonado en el modo sin conexión con una
configuración de IPv4 estática e IPv6 dinámica, y especificar varios servidores DNS en la
configuración de resolución DNS, escriba:

New-ADDCCloneConfigFile -Offline -IPv4Address "10.0.0.10" -IPv4SubnetMask

"255.255.0.0" -IPv4DefaultGateway "10.0.0.1" -IPv4DNSResolver @(
"10.0.0.1","10.0.0.2" ) -Static -IPv6DNSResolver
"2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -Path F:\Windows\NTDS

Para crear un controlador de dominio clonado denominado Clone1 en el modo sin

conexión con una configuración de IPv4 dinámica e IPv6 estática, escriba:

New-ADDCCloneConfigFile -Offline -Static -IPv6DNSResolver

"2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone1" -
PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" -SiteName
"REDMOND" -Path F:\Windows\NTDS

Para crear un controlador de dominio clonado en el modo sin conexión con una
configuración de IPv4 dinámica e IPv6 dinámica, escriba:
 New-ADDCCloneConfigFile -Offline -IPv4DNSResolver "10.0.0.1" -
IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -Path F:\Windows\NTDS

Método del Explorador de Windows

Actualmente, Windows Server 2012 ofrece una opción gráfica para montar archivos VHD
y VHDX. Esto requiere la instalación de la característica Experiencia de escritorio en
Windows Server 2012.

1. Haz clic en el archivo VHD/VHDX recién copiado que contiene la unidad de

sistema del DC de origen o la carpeta de ubicación del Directorio de trabajo de
DSA y, después, haz clic en Montar, en el menú Herramientas de imagen de disco.

2. En la unidad ya montada, copia los archivos XML en una ubicación válida. Es

posible que se te pida algún tipo de permiso para acceder a la carpeta.

3. Haz clic en la unidad montada y, después, haz clic en Expulsar en el menú

Herramientas de disco.
Método de Windows PowerShell

También puedes montar el disco sin conexión y copiar el archivo XML utilizando los
cmdlets de Windows PowerShell:

mount-vhd

get-disk

get-partition

get-volume

 Add-PartitionAccessPath

Copy-Item

Esto te permite controlar el proceso por completo. Por ejemplo, es posible montar la
unidad con una letra de unidad específica, copiar el archivo y desmontar la unidad.

mount-vhd <disk path> -passthru -nodriveletter | get-disk | get -partition |

get-volume | get-partition | where {$_.partition number -eq 2} | Add-
PartitionAccessPath -accesspath <drive letter>

copy-item <xml file path><destination path>\dccloneconfig.xml

dismount-vhd <disk path>

Por ejemplo:

También puedes usar el nuevo cmdlet Mount-DiskImage para montar un archivo VHD
(o ISO).

Paso 8 - Crear la nueva máquina virtual

El paso final de la configuración, antes de iniciar el proceso de clonación, consiste en
crear una nueva VM que utilice los discos desde el controlador de dominio de origen
copiado. En función de lo que elegiste en la fase de copia de discos, tienes dos
opciones:

1. Asociar una nueva VM al disco copiado

2. Importar la VM exportada

Asociar una nueva VM a los discos copiados

Si copiaste el disco del sistema manualmente, debes crear una nueva máquina
utilizando el disco copiado. El hipervisor establece automáticamente el identificador de
generación de VM cuando se crea una nueva VM; no hace falta cambiar la configuración
en la VM o en el host de Hyper-V.

Método de Administrador de Hyper-V

1. Cree una nueva máquina virtual.

2. Especifica el nombre de la VM, la memoria y la red.

3. En la página Conectar disco duro virtual, especifica el disco del sistema copiado.

4. Completa el asistente para crear la VM.

Si hubiera varios discos, adaptadores de red u otras personalizaciones, configúralos

antes de iniciar el controlador de dominio. El método de "exportar-importar" para
copiar discos está recomendado para VM complejas.

Método de Windows PowerShell

Puedes usar el módulo de Windows PowerShell de Hyper-V para automatizar la creación

de VM en Windows Server 2012, utilizando el siguiente cmdlet:

New-VM

Por ejemplo, en este caso se crea la VM DC4-CLONEDFROMDC2, para lo que se usa 1

GB de RAM, se arranca desde el archivo c:\vm\dc4-systemdrive-clonedfromdc2.vhd y se
utiliza la red virtual 10.0:
Import VM
Si previamente exportaste tu VM, ahora debes importarla como copia. De este modo, se
utiliza el XML exportado para recrear el equipo con la configuración, los controladores,
las redes y los ajustes de memoria anteriores.

Si planeas crear copias adicionales desde la misma VM exportada, haz tantas copias de
la VM exportada como sean necesarias. A continuación, utiliza Importar para cada copia.

） Importante

Es importante usar la opción Copiar, ya que si exportas se conserva toda la

información de origen, mientras que si importas el servidor con Mover o Sin mover
se produce una colisión de información si se hace en el mismo servidor host de
Hyper-V.

Método de Administrador de Hyper-V

Para importar utilizando el complemento Administrador de Hyper-V:

1. Haz clic en Importar máquina virtual.

2. En la página Buscar carpeta, selecciona el archivo de definición de la VM

exportada utilizando el botón Examinar.

3. En la página Seleccionar máquina virtual, haz clic en el equipo de origen.

4. En la página Elegir tipo de importación, haz clic en Copiar la máquina virtual

(crear un identificador exclusivo nuevo) y, después, en Finalizar.

5. Cambia el nombre de la VM importada si la estás importando al mismo host de

Hyper-V; tendrá el mismo nombre que el controlador de dominio de origen
 exportado.

Recuerda eliminar todas las instantáneas importadas utilizando el complemento

Administrador de Hyper-V:
 ２ Advertencia

Es muy importante que elimines todas las instantáneas importadas; si se aplican,

devolverían el controlador de dominio clonado al estado de un DC anterior
(probablemente activo), lo que provocaría un error de replicación, información de
IP duplicada y otras interrupciones.

Método de Windows PowerShell

Puedes usar el módulo de Windows PowerShell de Hyper-V para automatizar la

importación de VM en Windows Server 2012, utilizando los siguientes cmdlets:

Import-VM

Rename-VM

Por ejemplo, en este caso, la VM exportada DC2-CLONED se importa utilizando el

archivo XML determinado automáticamente y se le cambia de nombre de inmediato a
DC5-CLONEDFROMDC2, que será su nuevo nombre de VM:
Recuerda eliminar todas las instantáneas importadas utilizando los siguientes cmdlets:

Get-VMSnapshot

Remove-VMSnapshot

Por ejemplo:

２ Advertencia

Asegúrate de que, al importar el equipo, las direcciones MAC estáticas no se

asignaron al controlador de dominio de origen. Si se clona un equipo de origen
con una MAC estática, los equipos copiados no enviarán ni recibirán tráfico de red
correctamente. Establece una nueva dirección MAC exclusiva, estática o dinámica, si
este es el caso. Puedes ver si una VM utiliza direcciones MAC estáticas con el
comando:

Get-VM -VMNametest-vm | Get-VMNetworkAdapter | fl \*

Paso 9 - Clonar la nueva máquina virtual

Si lo deseas, antes de empezar a clonar, puedes reiniciar el controlador de dominio de
origen de clonación sin conexión. A pesar de todo, asegúrate de que el emulador de
PDC esté en línea.

Para comenzar la clonación, basta con que inicies la nueva máquina virtual. El proceso
empieza de forma de forma automática, y el controlador de dominio se reinicia
automáticamente una vez finalizada la clonación.

） Importante

No se recomienda mantener los controladores de dominio apagados durante

mucho tiempo; además, si el clon se une al mismo sitio que su DC de origen, la
topología de replicación inicial dentro de los sitios y entre los sitios podría tardar
más en generarse si el controlador de dominio de origen está sin conexión.
Si usas Windows PowerShell para iniciar una VM, el cmdlet nuevo del módulo de Hyper-
V es:

Start-VM

Por ejemplo:

Cuando el equipo se reinicie una vez finalizada la clonación, será un controlador de

dominio y podrás iniciar sesión de la manera habitual para confirmar que funciona
normalmente. Si se produce algún error, el servidor se configura para iniciarse en el
modo de restauración de servicios de directorio para investigarlo.

Medidas de seguridad de virtualización

A diferencia de lo que sucede en la clonación de controladores de dominio
virtualizados, no hay pasos para configurar las medidas de seguridad de virtualización
de Windows Server 2012. La característica funciona sin necesidad de intervención,
siempre y cuando cumplas unas simples condiciones:

El hipervisor es compatible con el identificador de generación de VM.

Hay un controlador de dominio asociado válido desde el que un controlador de

dominio restaurado puede replicar cambios de forma no autoritativa.

Validar el hipervisor
Consulta la documentación del proveedor para asegurarte de que el controlador de
dominio de origen se esté ejecutando en un hipervisor compatible. Los controladores
de dominio virtualizados son independientes del hipervisor y no necesitan Hyper-V.

Consulta en la anterior sección Requisitos de la plataforma la compatibilidad conocida

con el identificador de generación de VM.

Si deseas migrar varias VM desde un hipervisor de origen a un hipervisor de destino

diferente, las medidas de seguridad de virtualización podrían activarse o no, en función
de si los hipervisores son compatibles con el identificador de generación de VM, como
se explica en la tabla siguiente.

Hipervisor de Hipervisor de Resultado

origen destino

Compatible con No compatible Las medidas de seguridad no se activan (si hay un

el identificador con el archivo DCCloneConfigFile.xml, el DC arrancará en
de generación de identificador de DSRM)
VM generación de
VM

No compatible Compatible con Las medidas de seguridad se activan

con el el identificador de
identificador de generación de
generación de VM
VM

Compatible con Compatible con Las medidas de seguridad no se activan porque la

el identificador el identificador de definición de la VM no ha cambiado, lo que significa que
de generación de generación de el identificador de generación de VM sigue siendo el
VM VM mismo

Validar la topología de replicación

Las medidas de seguridad de virtualización inician la replicación entrante no autoritativa
para el delta de la replicación de Active Directory, así como para la resincronización no
autoritativa de todos los contenidos SYSVOL. De este modo, se garantiza que el
controlador de dominio regrese de una instantánea con una funcionalidad completa y
que sea coherente con el resto del entorno.

Esta nueva capacidad conlleva varios requisitos y limitaciones:

Un controlador de dominio restaurado debe ser capaz de ponerse en contacto con

un DC de escritura

No debe realizarse la restauración simultánea de todos los controladores de

dominio de un dominio

Se perderán para siempre todos los cambios originados en un controlador de

dominio restaurado que todavía no se hayan replicado hacia fuera desde que se
tomó la instantánea

Aunque la sección de solución de problemas contempla estas situaciones, los detalles

mencionados a continuación te ayudan a asegurarte de que no crees una topología que
pueda causar problemas.
Disponibilidad del controlador de dominio de escritura
Si un controlador de dominio se restaura, debe tener conectividad con un controlador
de dominio de escritura, ya que un controlador de dominio de solo lectura no puede
enviar el delta de actualizaciones. Probablemente la topología ya sea correcta para esto,
debido a que un controlador de dominio de escritura siempre necesita un asociado de
escritura. Sin embargo, si todos los controladores de dominio de escritura se restauran
simultáneamente, ninguno de ellos encontrará un origen válido. Lo mismo sucede si los
controladores de dominio de escritura se encuentran sin conexión por tareas de
mantenimiento o son inaccesibles a través de la red por cualquier otra razón.

Restauración simultánea

No restaures todos los controladores de dominio de un mismo dominio al mismo

tiempo. Si todas las instantáneas se restauran al mismo tiempo, la replicación de Active
Directory funcionará con normalidad, pero la replicación de SYSVOL se detendrá. La
arquitectura de restauración de FRS y DFSR obliga a establecer su instancia de réplica en
un modo de sincronización no autoritativa. Si todos los controladores de dominio se
restauran al mismo tiempo, y si cada controlador de dominio se marca como no
autoritativo para SYSVOL, todos intentarán sincronizar directivas de grupo y scripts
desde un asociado autoritativo; sin embargo, en ese momento, todos los asociados son
no autoritativos.

） Importante

Si todos los controladores de dominio se restauran al mismo tiempo, consulta los

siguientes artículos para establecer como autoritativo un controlador de dominio
(generalmente, el emulador de PDC), de modo que los demás controladores de
dominio puedan volver a funcionar con normalidad:

Uso de la clave del Registro BurFlags para reinicializar conjuntos de réplicas del
Servicio de replicación de archivos

Cómo forzar una sincronización autoritativa y no autoritativa para SYSVOL

replicado mediante DFSR (como "D4/D2" para FRS)

２ Advertencia

No ejecutes todos los controladores de dominio de un bosque o dominio en el

mismo host de hipervisor. De este modo, se introduce un único punto de error que
inutiliza AD DS, Exchange, SQL y otras operaciones empresariales cada vez que el
 hipervisor está sin conexión. Esto es igual que utilizar un solo controlador de
dominio para todo un dominio o bosque. La existencia de varios controladores de
dominio en varias plataformas ayuda a ofrecer redundancia y tolerancia a errores.

Replicación tras las instantáneas

No restaures las instantáneas hasta que se hayan replicado hacia fuera todos los
cambios que se originaron localmente desde la creación de la instantánea. Todos los
cambios que se produzcan se perderán para siempre si no los recibieron mediante
replicación otros controladores de dominio.

Usa Repadmin.exe para ver todos los cambios salientes no replicados entre un
controlador de dominio y sus asociados:

1. Devuelve los nombres del DC del asociado y los GUID del objeto DSA con:

Repadmin.exe /showrepl <DC Name of the partner> /repsto

2. Devuelve la replicación entrante pendiente del controlador de dominio del

asociado al controlador de dominio que se debe restaurar:

Repadmin.exe /showchanges < Name of partner DC><DSA Object GUID of the

domain controller being restored><naming context to compare>

Otra opción, solo para ver el número de cambios sin replicar:

Repadmin.exe /showchanges <Name of partner DC><DSA Object GUID of the domain

controller being restored><naming context to compare> /statistics

Por ejemplo, (con el resultado modificado para facilitar la lectura y las entradas
importantes en cursiva), aquí puedes ver los asociados de replicación de DC4:

C:\>repadmin.exe /showrepl dc4.corp.contoso.com /repsto

Default-First-Site-Name\DC4

DSA Options: IS_GC

 Site Options: (none)

DSA object GUID: 5d083398-4bd3-48a4-a80d-fb2ebafb984f

DSA invocationID: 730fafec-b6d4-4911-88f2-5b64e48fc2f1

==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============

DC=corp,DC=contoso,DC=com

Default-First-Site-Name\DC3 via RPC

DSA object GUID: f62978a8-fcf7-40b5-ac00-40aa9c4f5ad3

Last attempt @ 2011-11-11 15:04:12 was successful.

Default-First-Site-Name\DC2 via RPC

DSA object GUID: 3019137e-d223-4b62-baaa-e241a0c46a11

Last attempt @ 2011-11-11 15:04:15 was successful.

Ahora sabes que está replicando con DC2 y DC3. A continuación, se muestra la lista de
cambios que DC2 afirma todavía no haber recibido de DC4, donde verás que hay un
grupo nuevo:

C:\>repadmin /showchanges dc2.corp.contoso.com 5d083398-4bd3-48a4-a80d-

fb2ebafb984f dc=corp,dc=contoso,dc=com

==== SOURCE DSA: (null) ====

Objects returned: 1

(0) add CN=newgroup4,CN=Users,DC=corp,DC=contoso,DC=com

1> parentGUID: 55fc995a-04f4-4774-b076-d6a48ac1af99

1> objectGUID: 96b848a2-df1d-433c-a645-956cfbf44086

2> objectClass: top; group

1> instanceType: 0x4 = ( WRITE )

1> whenCreated: 11/11/2011 3:03:57 PM Eastern Standard Time

En este caso, probarías el otro asociado para asegurarte de que todavía no se ha

replicado.

Si no te importa qué objetos no se han replicado y solo deseas saber si hay objetos
pendientes, también puedes utilizar la opción /statistics:

C:\>repadmin /showchanges dc2.corp.contoso.com 5d083398-4bd3-48a4-a80d-

fb2ebafb984f dc=corp,dc=contoso,dc=com /statistics

***********************************************

********* Grand total *************************

Packets: 1

Objects: 1Object Additions: 1Object Modifications: 0Object

Deletions: 0Object Moves: 0Attributes: 12Values:
13

 ） Importante

Prueba todos los asociados de escritura si ves algún error o replicación pendiente.
Siempre que haya por lo menos uno convergente, lo más seguro suele ser restaurar
la instantánea, ya que la replicación transitiva acaba reconciliando los demás
servidores.

Asegúrate de tomar nota de los errores de la replicación que muestre

/showchanges y no sigas adelante antes de solucionarlos.

Cmdlets de instantáneas de Windows PowerShell

Los siguientes cmdlets del módulo de Hyper-V de Windows PowerShell proporcionan
funciones de instantánea en Windows Server 2012:

Checkpoint-VM

Export-VMSnapshot

Get-VMSnapshot

Remove-VMSnapshot

Rename-VMSnapshot

Restore-VMSnapshot

Install a new Active Directory forest

using Azure CLI (Instalación de un
nuevo bosque de Active Directory en la
CLI de Azure)
Artículo • 21/12/2022 • Tiempo de lectura: 10 minutos

AD DS se puede ejecutar en una máquina virtual (VM) de Azure de la misma manera

que se ejecuta en muchas instancias locales. Este artículo le guiará a través de la
implementación de un nuevo bosque de AD DS, en dos nuevos controladores de
dominio, en un conjunto de disponibilidad de Azure mediante el Azure Portal y la CLI de
Azure. Muchos clientes encuentran esta guía útil al crear un laboratorio o preparar la
implementación de controladores de dominio en Azure.

Componentes
Un grupo de recursos en el que se va a colocar todo.
Una Virtual Network de Azure, una subred, un grupo de seguridad de red y una
regla para permitir el acceso RDP a las máquinas virtuales.
Un conjunto de disponibilidad de máquina virtual de Azure para colocar dos
controladores de dominio de Servicios de dominio de Active Directory (AD DS).
Dos máquinas virtuales de Azure para ejecutar AD DS y DNS.

Elementos que no están cubiertos

Creación de una conexión VPN de sitio a sitio desde una ubicación local
Protección del tráfico de red en Azure
Diseño de la topología de sitio
Planeación de la selección de ubicación de roles maestros de operaciones
Implementación de Azure AD Connect para sincronizar identidades con Azure AD

Compilación del entorno de prueba

Usamos el Azure Portal y la CLI de Azure para crear el entorno.

La CLI de Azure se usa para crear y administrar recursos de Azure desde la línea de
comandos o en scripts. En este tutorial se detalla el uso de la CLI de Azure para
implementar máquinas virtuales que ejecutan Windows Server 2019. Una vez
completada la implementación, nos conectamos a los servidores e instalamos AD DS.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Uso de la CLI de Azure

El siguiente script automatiza el proceso de creación de dos máquinas virtuales de
Windows Server 2019, con el fin de crear controladores de dominio para un nuevo
bosque de Active Directory en Azure. Un administrador puede modificar las variables
siguientes para satisfacer sus necesidades y, a continuación, completarse como una
operación. El script crea el grupo de recursos necesario, el grupo de seguridad de red
con una regla de tráfico para Escritorio remoto, red virtual y subred y grupo de
disponibilidad. Cada una de las máquinas virtuales se compila con un disco de datos de
20 GB con almacenamiento en caché deshabilitado para que se instale AD DS.

El siguiente script se puede ejecutar directamente desde el Azure Portal. Si decide

instalar y usar la CLI localmente, para esta guía de inicio rápido es preciso que ejecute la
CLI de Azure versión 2.0.4 o posterior. Ejecute az --version para encontrar la versión. Si
necesita instalarla o actualizarla, consulte Instalación de la CLI de Azure 2.0.

Nombre de la Propósito
variable

AdminUsername Nombre de usuario que se va a configurar en cada máquina virtual como

administrador local.

AdminPassword Contraseña de texto no cifrado que se va a configurar en cada máquina

virtual como contraseña de administrador local.

ResourceGroupName Nombre que se va a usar para el grupo de recursos. No debe duplicar un

nombre existente.

Location Nombre de ubicación de Azure en el que desea realizar la

implementación. Enumere las regiones admitidas para la suscripción
actual mediante az account list-locations .

VNetName Nombre para asignar la red virtual de Azure No debe duplicar un nombre
existente.

VNetAddress Ámbito de IP que se va a usar para las redes de Azure. No debe duplicar
un intervalo existente.

SubnetName Nombre para asignar la subred IP. No debe duplicar un nombre existente.

SubnetAddress Dirección de subred de los controladores de dominio. Debe ser una

subred dentro de la red virtual.
 Nombre de la Propósito
variable

AvailabilitySet Nombre del conjunto de disponibilidad al que se unirán las máquinas

virtuales del controlador de dominio.

VMSize Tamaño de máquina virtual de Azure estándar disponible en la ubicación

para la implementación.

DataDiskSize Tamaño en GB para el disco de datos donde se instala AD DS.

DomainController1 Nombre del primer controlador de dominio.

DC1IP Dirección IP del primer controlador de dominio.

DomainController2 Nombre del segundo controlador de dominio.

DC2IP Dirección IP del segundo controlador de dominio.

Azure CLI

#Update based on your organizational requirements

Location=westus2

ResourceGroupName=ADonAzureVMs

NetworkSecurityGroup=NSG-DomainControllers

VNetName=VNet-AzureVMsWestUS2

VNetAddress=10.10.0.0/16

SubnetName=Subnet-AzureDCsWestUS2

SubnetAddress=10.10.10.0/24

AvailabilitySet=DomainControllers

VMSize=Standard_DS1_v2

DataDiskSize=20

AdminUsername=azureuser

AdminPassword=ChangeMe123456

DomainController1=AZDC01

DC1IP=10.10.10.11

DomainController2=AZDC02

DC2IP=10.10.10.12

# Create a resource group.

az group create --name $ResourceGroupName \

--location $Location

# Create a network security group

az network nsg create --name $NetworkSecurityGroup \

--resource-group $ResourceGroupName \

--location $Location

# Create a network security group rule for port 3389.

az network nsg rule create --name PermitRDP \

--nsg-name $NetworkSecurityGroup \

--priority 1000 \

--resource-group $ResourceGroupName \

 --access Allow \

--source-address-prefixes "*" \

--source-port-ranges "*" \

--direction Inbound \

--destination-port-ranges 3389

# Create a virtual network.

az network vnet create --name $VNetName \

--resource-group $ResourceGroupName \

--address-prefixes $VNetAddress \

--location $Location \

# Create a subnet

az network vnet subnet create --address-prefix $SubnetAddress \

--name $SubnetName \

--resource-group $ResourceGroupName \

--vnet-name $VNetName \

--network-security-group $NetworkSecurityGroup

# Create an availability set.

az vm availability-set create --name $AvailabilitySet \

--resource-group $ResourceGroupName \

--location $Location

# Create two virtual machines.

az vm create \

--resource-group $ResourceGroupName \

--availability-set $AvailabilitySet \

--name $DomainController1 \

--size $VMSize \

--image Win2019Datacenter \

--admin-username $AdminUsername \

--admin-password $AdminPassword \

--data-disk-sizes-gb $DataDiskSize \

--data-disk-caching None \

--nsg $NetworkSecurityGroup \

--private-ip-address $DC1IP \

--no-wait

az vm create \

--resource-group $ResourceGroupName \

--availability-set $AvailabilitySet \

--name $DomainController2 \

--size $VMSize \

--image Win2019Datacenter \

--admin-username $AdminUsername \

--admin-password $AdminPassword \

--data-disk-sizes-gb $DataDiskSize \

--data-disk-caching None \

--nsg $NetworkSecurityGroup \

--private-ip-address $DC2IP

DNS y Active Directory

Si las máquinas virtuales de Azure creadas como parte de este proceso serán una
extensión de una infraestructura de Active Directory local existente, la configuración de
DNS de la red virtual debe cambiarse para incluir los servidores DNS locales antes de la
implementación. Este paso es importante para permitir que los controladores de
dominio recién creados en Azure resuelvan los recursos locales y permitan que se
produzca la replicación. Puede encontrar más información sobre DNS, Azure y cómo
configurar las opciones en la sección Resolución de nombres que usa su propio servidor
DNS.

Después de promover los nuevos controladores de dominio en Azure, tendrán que

establecerse en los servidores DNS principal y secundario de la red virtual, y los
servidores DNS locales se degradarán a terciarios y posteriores. Hasta que se reinicien,
las máquinas virtuales seguirán usando la configuración de DNS que consideran actual.
Puede encontrar más información sobre cómo cambiar los servidores DNS en el artículo
Creación, cambio o eliminación de una red virtual.

Puede encontrar información sobre cómo extender una red local a Azure en el artículo
Creación de una conexión VPN de sitio a sitio.

Configuración de las máquinas virtuales e

instalación de Servicios de dominio de Active
Directory
Una vez completado el script, vaya al Azure Portal y, después, a Máquinas virtuales.

Configuración del primer controlador de dominio

Conéctese a AZDC01 con las credenciales proporcionadas en el script.

Inicialice y dé formato al disco de datos como F:

Abra el menú Inicio y vaya a Administración de equipos.
Vaya a Administraciónde discosde almacenamiento>.
Inicialización del disco como MBR
Cree un nuevo volumen simple y asigne la letra de unidad F: puede
proporcionar una etiqueta volumen si lo desea.
Instalación de Servicios de dominio de Active Directory mediante Administrador
del servidor
Promover el controlador de dominio como el primero en un nuevo bosque
 Deje activado el servidor del Sistema de nombres de dominio (DNS) y el
Catálogo global (GC) en la página Opciones del controlador de dominio.
Especificar una contraseña del modo de restauración de servicios de directorio
según los requisitos de la organización
Cambie las rutas de acceso de C: para que apunten a la unidad F: que creamos
cuando se le solicite su ubicación.
Revise las selecciones realizadas en el asistente y elija Siguiente.

７ Nota

La comprobación de requisitos previos le avisará de que el adaptador de red físico

no tiene asignadas direcciones IP estáticas, puede omitir esto de forma segura, ya
que se asignan direcciones IP estáticas en la red virtual de Azure.

Elija Instalar.

Cuando el asistente complete el proceso de instalación, se reiniciará la máquina virtual.

Cuando la máquina virtual haya terminado de reiniciarse, vuelva a iniciar sesión con las
credenciales usadas antes, pero esta vez como miembro del dominio que creó.

７ Nota

El primer inicio de sesión después de la promoción a un controlador de dominio

puede tardar más de lo normal y esto es correcto. Toma una taza de té, café, agua
u otra bebida que prefieras.

Las redes virtuales de Azure ahora admiten IPv6 , pero en caso de que quiera establecer
las máquinas virtuales para que prefieran IPv4 a través de IPv6, puede encontrar
información sobre cómo completar esta tarea en el artículo de KB Guía para configurar
IPv6 en Windows para usuarios avanzados .

Configurar el DNS
Después de promover el primer servidor en Azure, los servidores deberán establecerse
en los servidores DNS principal y secundario de la red virtual, y los servidores DNS
locales se degradarán a terciarios y posteriores. Puede encontrar más información sobre
cómo cambiar los servidores DNS en el artículo Creación, cambio o eliminación de una
red virtual.
Configuración del segundo controlador de dominio
Conéctese a AZDC02 con las credenciales proporcionadas en el script.

Inicialice y dé formato al disco de datos como F:

Abra el menú Inicio y vaya a Administración de equipos.
Vaya a Administración de discos de almacenamiento>.
Inicialización del disco como MBR
Cree un nuevo volumen simple y asigne la letra de unidad F: (puede
proporcionar una etiqueta de volumen si lo desea)
Instalación de Servicios de dominio de Active Directory mediante Administrador
del servidor
Promover el controlador de dominio
Agregar un controlador de dominio a un dominio existente: CONTOSO.com
Proporcionar credenciales para realizar la operación
Cambie las rutas de acceso de C: para que apunten a la unidad F: que creamos
cuando se le solicite su ubicación
Asegúrese de que el servidor del Sistema de nombres de dominio (DNS) y el
catálogo global (GC) estén activados en la página Opciones del controlador de
dominio.
Especificar una contraseña del modo de restauración de servicios de directorio
en función de los requisitos de la organización
Revise las selecciones realizadas en el asistente y elija Siguiente.

７ Nota

La comprobación de requisitos previos le advertirá de que el adaptador de red

físico no tiene asignadas direcciones IP estáticas. Puede omitir esto de forma
segura, ya que las direcciones IP estáticas se asignan en la red virtual de Azure.

Elija Instalar.

Cuando el asistente complete el proceso de instalación, la máquina virtual se reinicia.

Cuando la máquina virtual haya completado el reinicio, vuelva a iniciar sesión con las
credenciales usadas antes, pero esta vez como miembro del dominio de CONTOSO.com

Las redes virtuales de Azure ahora admiten IPv6, pero en caso de que quiera establecer
las máquinas virtuales para que prefieran IPv4 a través de IPv6, puede encontrar
información sobre cómo completar esta tarea en el artículo de KB Guía para configurar
IPv6 en Windows para usuarios avanzados .
Encapsulado
En este momento, el entorno tiene un par de controladores de dominio y hemos
configurado la red virtual de Azure para que se puedan agregar servidores adicionales al
entorno. Las tareas posteriores a la instalación para Servicios de dominio de Active
Directory, como la configuración de sitios y servicios, la auditoría, la copia de seguridad
y la protección de la cuenta de administrador integrada, deben completarse en este
momento.

Eliminación del entorno

Para quitar el entorno, cuando haya completado las pruebas, se puede eliminar el grupo
de recursos que hemos creado anteriormente. En este paso se quitan todos los
componentes que forman parte de ese grupo de recursos.

Eliminación mediante Azure Portal

En el Azure Portal, vaya a Grupos de recursos y elija el grupo de recursos que creamos
(en este ejemplo ADonAzureVMs) y seleccione Eliminar grupo de recursos. El proceso
solicita confirmación antes de eliminar todos los recursos contenidos dentro del grupo
de recursos.

Eliminación mediante la CLI de Azure

En la CLI de Azure, ejecute el siguiente comando:

Azure CLI

az group delete --name ADonAzureVMs

Pasos siguientes
Virtualización segura de Servicios de dominio de Active Directory (AD DS)
Azure AD Connect
Copia de seguridad y recuperación
Conectividad VPN de sitio a sitio
Supervisión
Seguridad y directivas
Mantenimiento y actualizaciones
Virtualización de controladores de
dominio mediante Hyper-V
Artículo • 21/12/2022 • Tiempo de lectura: 45 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Este tema se actualizará para que las instrucciones sean aplicables a Windows Server
2016. Windows Server 2012 presenta muchas mejoras para controladores de dominio
virtualizados (CONTROLADORES de dominio), incluidas las medidas de seguridad para
evitar la reversión de USN en controladores de dominio virtuales y la capacidad de
clonar controladores de dominio virtuales. Para obtener más información sobre estas
mejoras, vea Introducción a la virtualización de Active Directory Domain Services (AD
DS) (nivel 100).

Hyper-V consolida distintos roles de servidor en un único equipo físico. En esta guía se
describen los controladores de dominio en ejecución como sistemas operativos
invitados de 32 o 64 bits.

Planear la virtualización de controladores de

dominio
En esta sección se tratan los requisitos de hardware para el servidor de Hyper-v, cómo
evitar puntos únicos de error, seleccionar el tipo de configuración adecuado para los
servidores y máquinas virtuales de Hyper-V, y las decisiones de seguridad y
rendimiento.

Requisitos de Hyper-V
Para instalar y usar el rol de Hyper-V, debe tener lo siguiente:

Un procesador x64
Hyper-V está disponible en versiones basadas en x64 de Windows Server 2008
o posterior.
Virtualización asistida por hardware
Esta característica está disponible en procesadores que incluyen una opción de
virtualización; concretamente, Intel Virtualization Technology (Intel VT) o AMD
Virtualization (AMD-V).
Protección de ejecución de datos de hardware (DEP)
 La DEP por hardware debe estar disponible y habilitada. Concretamente, debes
habilitar el bit XD de Intel (bit ejecutar deshabilitado) o el bit NX de AMD (bit no
ejecutar).

Evitar la creación de puntos de concentración

de errores
Cuando planee la implementación del controlador de dominio virtual, debe intentar
evitar la creación de puntos de concentración de errores. Para evitar la inclusión de
posibles puntos de concentración de errores, implemente la redundancia del sistema.
Por ejemplo, considere las siguientes recomendaciones, teniendo en cuenta la
posibilidad de un aumento de los costos de administración:

1. Ejecute al menos dos controladores de dominio virtualizados por dominio en

distintos host de virtualización, lo que reduce el riesgo de perder todos los
controladores de dominio en caso de que uno de los host de virtualización genere
un error.
2. Al igual que se recomienda para otras tecnologías, diversifique el hardware donde
se ejecutan los controladores de dominio; por ejemplo, use distintas CPU, placas
base, adaptadores de red u otro tipo de hardware. La diversificación del hardware
limita la posibilidad de daños derivados de un funcionamiento incorrecto
específico de la configuración de un proveedor, un controlador, o un componente
o tipo único de hardware.
3. Si es posible, deberían ejecutarse controladores de dominio en el hardware
ubicado en distintas regiones de todo el mundo. Esto ayuda a reducir la
repercusión de un desastre o error que afecta a un sitio donde se hospedan
controladores de dominio.
4. Mantenga controladores de dominio físicos en cada uno de los dominios. De esta
forma, se evita el riesgo de que un funcionamiento incorrecto de la plataforma de
virtualización afecte a todos los sistemas host que usan dicha plataforma.

Consideraciones sobre la seguridad

El equipo host en el cual se ejecutan los controladores de dominio virtuales debe
administrarse con el mismo cuidado que un controlador de dominio grabable, aunque
este equipo sea solo un equipo unido a dominio o a un grupo de trabajo. Ésta es una
consideración de seguridad importante. Un host administrado incorrectamente es
vulnerable a un ataque de elevación de privilegios, que se produce cuando un usuario
malintencionado obtiene acceso y privilegios de sistema no autorizados ni asignados de
forma legítima. Un usuario malintencionado puede usar este tipo de ataque para poner
en riesgo todas las máquinas virtuales, dominios y bosques que aloja el equipo.

Asegúrese de tener en cuenta las siguientes consideraciones de seguridad al planificar la

virtualización de controladores de dominio:

El administrador local de un equipo que aloja controladores de dominio virtuales y

grabables debe tener credenciales equivalentes a las del administrador de dominio
predeterminado de todos los dominios y bosques a los que pertenecen estos
controladores de dominio.
La configuración recomendada para evitar problemas de seguridad y rendimiento
es un host que ejecuta una instalación Server Core de Windows Server 2008 o
posterior, sin aplicaciones que no sean Hyper-V. Esta configuración limita el
número de aplicaciones y servicios instalados en el servidor, lo que debería dar
lugar a un mayor rendimiento y a menos aplicaciones y servicios que podrían
aprovecharse malintencionadamente para atacar el equipo o la red. El efecto de
este tipo de configuración se conoce como una superficie de ataque reducida. En
una sucursal u otras ubicaciones que no se puedan asegurar de forma satisfactoria,
se recomienda un controlador de dominio de sólo lectura (RODC). Si existe otra
red de administración independiente, se recomienda que el host se conecte sólo a
la red de administración.
Puede usar Bitlocker con los controladores de dominio, ya que Windows Server
2016 puede usar la característica de TPM virtual para proporcionar también el
material de clave de invitado para desbloquear el volumen del sistema.
El tejido protegido y las máquinas virtuales blindadas pueden proporcionar
controles adicionales para proteger los controladores de dominio.

Para obtener información acerca de los RODC, vea Read-Only Domain Controller
Planning and Deployment Guide.

Para obtener más información sobre cómo proteger los controladores de dominio,
consulte Guía de procedimientos recomendados para proteger instalaciones de Active
Directory.

Límites de seguridad para diferentes

configuraciones de host e invitado
El uso de máquinas virtuales permite tener varias configuraciones diferentes de
controladores de dominio. Se debe prestar mucha atención a la forma en que las
máquinas virtuales influyen sobre los límites y confianzas de la topología
Active Directory. En la siguiente tabla se describen las posibles configuraciones de un
controlador de dominio y host de Active Directory (servidor Hyper-V) y sus equipos
invitados (máquinas virtuales que se ejecutan en el servidor Hyper-V).

Máquina Configuración 1 Configuration 2

administrador de flujos de Equipo miembro o grupo de Equipo miembro o grupo de

trabajo trabajo trabajo

Invitado Controlador de dominio Equipo miembro o grupo de

trabajo

El administrador del equipo host tiene el mismo acceso que el administrador de

dominio a los invitados del controlador de dominio grabable y debe ser tratado
como tal. En el caso de un RODC invitado, el administrador del equipo host tiene
el mismo acceso que un administrador local en el RODC invitado.
Un controlador de dominio en una máquina virtual tiene derechos administrativos
en el host si este está unido al mismo dominio. Hay una oportunidad para que un
usuario malintencionado ponga en peligro todas las máquinas virtuales si el
usuario malintencionado obtiene primero acceso a la máquina virtual 1. Esto se
conoce como vector de ataque. Si existen controladores de dominio para varios
dominios o bosques, estos deben tener administración centralizada, en la cual el
administrador de un dominio es de confianza en todos los dominios.
La posibilidad de ataque desde la máquina virtual 1 existe aunque la máquina
virtual 1 esté instalada como un RODC. Aunque el administrador de un RODC no
tenga derechos de administrador de dominio explícitos, el RODC se puede usar
para enviar directivas al equipo host. Estas directivas deberían incluir scripts de
inicio. Si esta operación se realiza satisfactoriamente, el equipo host puede estar
en peligro y se puede usar para poner en peligro a las demás máquinas virtuales
del equipo host.

Seguridad de archivos VHD

El archivo VHD de un controlador de dominio virtual es equivalente al disco duro físico
de un controlador de dominio físico. Como tal, se debe proteger con el mismo cuidado
que se aplica a la seguridad del disco duro de un controlador de dominio físico.
Asegúrese de que solo los administradores confiables y de confianza tengan permiso de
acceso a los archivos VHD del controlador de dominio.

RODC
Una ventaja de los RODC es la posibilidad de colocarlos en ubicaciones donde la
seguridad física no puede garantizarse, como por ejemplo en sucursales. Puede usar el
cifrado de unidad BitLocker de Windows para proteger los propios archivos VHD (no los
sistemas de archivos que contiene) de estar en peligro en el host a través del robo del
disco físico.

Rendimiento
Con la nueva arquitectura microkernel de 64 bits, el rendimiento de Hyper-V aumenta
de forma significativa en comparación con las plataformas de virtualización anteriores.
Para obtener el mejor rendimiento de host, el host debe ser una instalación Server Core
de Windows Server 2008 o posterior, y no debe tener roles de servidor distintos de
Hyper-V instalados.

El rendimiento de las máquinas virtuales depende específicamente de la carga de

trabajo . Para garantizar un rendimiento satisfactorio de Active Directory, pruebe las
topologías siguientes. Evalúe la carga de trabajo actual durante un período de tiempo
con una herramienta como el Monitor de confiabilidad y rendimiento (Perfmon.msc) o el
kit de herramientas microsoft Assessment and Planning (MAP). La herramienta MAP
también puede ser útil si desea extraer un inventario de todos los servidores y roles de
servidor existentes en la red.

Para hacerse una idea general del rendimiento de los controladores de dominio
virtualizados, se realizaron las siguientes pruebas de rendimiento con la Herramienta de
pruebas de rendimiento de Active Directory (ADTest.exe).

Las pruebas del protocolo ligero de acceso a directorios (LDAP) se ejecutaron en un

controlador de dominio físico con ADTest.exe y, a continuación, en una máquina virtual
alojada en un servidor idéntico al controlador de dominio físico. Se usó un solo
procesador lógico para el equipo físico y un solo procesador virtual para la máquina
virtual para alcanzar con facilidad el 100 por 100 de uso de la CPU. En la tabla siguiente,
la letra y el número entre paréntesis después de cada prueba indican la prueba
específica en ADTest.exe. Como se muestra en estos datos, el rendimiento del
controlador de dominio virtualizado era del 88 al 98 % del rendimiento del controlador
de dominio físico.

Medición Prueba virtuales Las Delta

físicas máquinas

Búsquedas/seg. Buscar nombre común en el alcance 11508 10276 -10.71%

base (L1)

Búsquedas/seg. Buscar un conjunto de atributos en el 10123 9005 -11.04%

alcance base (L2)

Búsquedas/seg. Buscar todos los atributos en el alcance 1284 1242 -3.27%

base (L3)

Búsquedas/seg. Buscar nombre común en el alcance de 8613 7904 -8.23%

subárbol (L6)

Enlaces Realizar enlaces rápidos (B1) 1438 1374 -4.45%

correctos/seg.

Enlaces Realizar enlaces simples (B2) 611 550 -9.98%

correctos/seg.

Enlaces Usar NTLM para realizar enlaces (B5) 1068 1056 -1.12%
correctos/seg.

lógicas/s Escribir varios atributos (W2) 6467 5885 -9.00%

Para garantizar un rendimiento satisfactorio, se instalaron componentes de integración

(IC) para permitir al sistema operativo invitado usar "Enlightenments" o controladores
sintéticos con reconocimiento del hipervisor. Durante el proceso de instalación, puede
que sea necesario usar controladores emulados de electrónica integrada de unidades
(IDE) o de adaptador de red. En entornos de producción, debe reemplazar estos
controladores emulados con controladores sintéticos para aumentar el rendimiento.

Al supervisar el rendimiento de las máquinas virtuales con Monitor de confiabilidad y

rendimiento de Windows (Perfmon.msc), dentro de la máquina virtual la información de
la CPU no será del todo exacta como resultado de la forma en que la CPU virtual está
programada en el procesador físico. Cuando desee obtener información de la CPU para
una máquina virtual que se ejecuta en un servidor Hyper-V, use los contadores del
Procesador lógico del hipervisor Hyper-V en la partición de host.

Para obtener más información sobre el ajuste del rendimiento de AD DS y Hyper-V,

consulte Directrices de optimización del rendimiento para Windows Server 2016.
Asimismo, no planifique usar un VHD de disco de diferenciación en una máquina virtual
configurada como controlador de dominio, puesto que el VHD de disco de
diferenciación puede reducir el rendimiento. Para obtener más información sobre los
tipos de disco de Hyper-V, incluidos los discos de diferenciación, consulte Asistente para
nuevo disco duro virtual.

Para obtener información adicional sobre AD DS en entornos de hospedaje virtual,

consulte Aspectos que se deben tener en cuenta al hospedar controladores de dominio
de Active Directory en entornos de hospedaje virtual en Microsoft Knowledge Base.

Consideraciones de implementación para

controladores de dominio virtualizados
Hay varias prácticas comunes de máquina virtual que debe evitar al implementar
controladores de dominio y consideraciones especiales para la sincronización y el
almacenamiento de tiempo.

Prácticas de implementación de virtualización

que hay que evitar
Las plataformas de virtualización, tales como Hyper-V, ofrecen una serie de
características útiles que facilitan la administración, el mantenimiento, la realización de
copias de seguridad y la migración de equipos. Sin embargo, no se deben usar las
siguientes características y prácticas de implementación comunes para controladores de
dominio virtuales:

Para garantizar la durabilidad de las escrituras de Active Directory, no implemente

los archivos de base de datos de un controlador de dominio virtual (la base de
datos de Active Directory (NTDS). DIT), registros y SYSVOL) en discos IDE virtuales.
En su lugar, cree un segundo VHD conectado a un controlador SCSI virtual y
asegúrese de que la base de datos, los registros y SYSVOL se colocan en el disco
SCSI de la máquina virtual durante la instalación del controlador de dominio.

No implemente discos duros virtuales (VHD) de disco de diferenciación en una

máquina virtual que se vaya a configurar como controlador de dominio. Esto hace
que sea mucho más fácil poder volver a una versión anterior, además de disminuir
el rendimiento. Para obtener más información sobre los tipos de disco duro virtual,
vea Asistente para nuevo disco duro virtual.
 No implemente nuevos dominios y bosques de Active Directory en una copia de
un sistema operativo Windows Server que no se preparó por primera vez mediante
la herramienta de preparación del sistema (Sysprep). Para obtener más información
sobre cómo ejecutar Sysprep, consulte Introducción a Sysprep (preparación del
sistema).

２ Advertencia

No se admite la ejecución de Sysprep en un controlador de dominio.

Para evitar una situación de posible reversión en el número de secuencias

actualizadas (USN), no se deben usar copias de un archivo de VHD que represente
un controlador de dominio ya implementado para implementar más controladores
de dominio. Para obtener más información acerca de la reversión de USN, vea USN
y reversión de USN.
Windows Server 2012 y versiones posteriores permiten a los administradores
clonar imágenes de controlador de dominio si están preparadas correctamente
cuando quieren implementar controladores de dominio adicionales.

No use la característica de exportación de Hyper-V para exportar máquinas

virtuales que ejecutan un controlador de dominio.
Con Windows Server 2012 y versiones posteriores, una exportación e
importación de un invitado virtual de controlador de dominio se controla como
una restauración no autoritativa, ya que detecta un cambio del identificador de
generación y no está configurado para la clonación.
Asegúrese de que ya no usa el invitado que exportó.
Puede usar la replicación de Hyper-V para mantener una segunda copia
inactiva de un controlador de dominio. Si inicia la imagen replicada, también
debe realizar una limpieza adecuada, por el mismo motivo que no usar el
origen después de exportar una imagen de invitado de CONTROLADOR de
dominio.

Migración de máquinas físicas a virtuales

System Center Virtual Machine Manager (VMM) 2008 permite una administración
unificada de máquinas físicas y virtuales. Además, permite la capacidad de migrar una
máquina física a una virtual. Este proceso se conoce como conversión de una máquina
física a una virtual (conversión P2V). Durante el proceso de conversión de P2V, la nueva
máquina virtual y el controlador de dominio físico que se está migrando no deben
ejecutarse al mismo tiempo, para evitar una situación de reversión de USN como se
describe en USN y reversión de USN.

Se debe realizar la conversión P2V en modo sin conexión para que los datos del
directorio sean coherentes cuando el controlador de dominio se vuelva a activar. La
opción de modo sin conexión se ofrece y recomienda en el Asistente para convertir el
servidor físico. Para obtener una descripción de la diferencia entre el modo en línea y el
modo sin conexión, consulte P2V: Convertir equipos físicos en máquinas virtuales en
VMM. Durante la conversión P2V, la máquina virtual no debe estar conectada a la red. El
adaptador de red de la máquina virtual solo debe habilitarse una vez completado y
comprobado el proceso de conversión de P2V. En este punto, la máquina de origen
física estará desactivada. No conecte nuevamente la máquina de origen física a la red
hasta que reformatee el disco duro.

７ Nota

Hay opciones más seguras para crear nuevos controladores de dominio virtuales
que no ejecutan los riesgos de crear una reversión de USN. Puede configurar un
nuevo controlador de dominio virtual mediante la promoción normal, la promoción
desde Install from Media (IfM) y también mediante la clonación del controlador de
dominio, si ya tiene al menos un controlador de dominio virtual.
Esto también
ayuda a evitar problemas con problemas relacionados con el hardware o los
problemas relacionados con la plataforma P2V que pueden surgir invitados
virtuales convertidos.

２ Advertencia

Para evitar problemas con la replicación de Active Directory, debe asegurarse de

que solamente exista en la red concreta y en un momento específico una instancia
(física o virtual) de un controlador de dominio determinado.
Puede reducir la
probabilidad de que el clon antiguo sea un problema:

Cuando se ejecute el nuevo controlador de dominio virtual, cambie la

contraseña de la cuenta de equipo dos veces con: netdom resetpwd /Server:
<domain-controller> ...
Exporte e importe el nuevo invitado virtual para forzar que se convierta en un
nuevo identificador de generación y, por tanto, un identificador de invocación
de base de datos.
Usar la migración P2V para crear entornos de
prueba
Se puede usar la migración P2V por mediante VMM para crear entornos de prueba. Se
pueden migrar controladores de dominio de producción desde máquinas físicas hasta
máquinas virtuales para crear un entorno de prueba sin desactivar de manera
permanente los controladores de dominio de producción. Sin embargo, el entorno de
prueba debe estar en una red diferente del entorno de producción si van a existir dos
instancias del mismo controlador de dominio. Es necesario tener mucho cuidado al crear
entornos de prueba con la migración P2V para evitar reversiones de USN que puedan
afectar a los entornos de producción y prueba. A continuación se muestra un método
que se puede usar para la creación de entornos de prueba con P2V.

Se migra un controlador de dominio en producción desde cada dominio a una máquina

virtual de prueba que usa P2V, según las pautas establecidas en la sección Migración de
máquinas físicas a virtuales. Las máquinas físicas de producción y las máquinas virtuales
de prueba deben estar en redes diferentes cuando se vuelvan a conectar. Para evitar
reversiones de USN en el entorno de prueba, todos los controladores de dominio que
se van a migrar desde máquinas físicas a máquinas virtuales deben estar desconectados.
(Para realizar este procedimiento, detenga el servicio ntds o reinicie el equipo en modo
de restauración de servicios de directorio [DSRM].) Una vez que los controladores de
dominio estén desactivados, no se deben incluir actualizaciones nuevas en el entorno.
Los equipos deben permanecer desconectados durante la migración de P2V; ninguno
de los equipos debe volver a conectarse hasta que todos los equipos se hayan migrado
completamente. Para más información sobre la reversión de USN, consulte Reversión de
USN y USN.

Los controladores de dominio de prueba posteriores deben promocionarse como

réplicas en el entorno de prueba.

Servicio de hora
En el caso de las máquinas virtuales configuradas como controladores de dominio, se
recomienda deshabilitar la sincronización de hora entre el sistema host y el sistema
operativo invitado que actúa como controlador de dominio. Esto permite que el
controlador de dominio invitado sincronice la hora de la jerarquía de dominios.

Para deshabilitar el proveedor de sincronización de hora de Hyper-V, apague la máquina

virtual y desactive la casilla Sincronización de hora en Integration Services.
 ７ Nota

Esta guía se ha actualizado recientemente para reflejar la recomendación actual

para sincronizar la hora del controlador de dominio invitado solo desde la jerarquía
de dominios, en lugar de la recomendación anterior para deshabilitar parcialmente
la sincronización de hora entre el sistema host y el controlador de dominio
invitado.

Almacenamiento
Para optimizar el rendimiento de la máquina virtual del controlador de dominio y
garantizar la durabilidad de las escrituras de Active Directory, use las siguientes
recomendaciones para almacenar archivos de sistema operativo, Active Directory y VHD:

Almacenamiento de invitados. Almacene el archivo de base de datos de

Active Directory (Ntds.dit), los archivos de registro y los archivos SYSVOL en un
disco virtual separado de los archivos del sistema operativo. Cree un segundo VHD
conectado a un controlador SCSI virtual y almacene la base de datos, los registros
y SYSVOL en el disco SCSI virtual de la máquina virtual. Los discos SCSI virtuales
proporcionan un mayor rendimiento en comparación con el IDE virtual y admiten
el acceso a unidades forzadas (FUA). FUA garantiza que el sistema operativo
escribe y lee datos directamente desde el medio omitiendo todos y todos los
mecanismos de almacenamiento en caché.

７ Nota

Si planea usar Bitlocker para el invitado de controlador de dominio virtual,

debe asegurarse de que los volúmenes adicionales están configurados para
"desbloqueo automático".
Puede encontrar más información sobre cómo
configurar el desbloqueo automático en Enable-BitLockerAutoUnlock.

Almacenamiento host de archivos VHD. Recomendaciones: las recomendaciones

de almacenamiento de host abordan el almacenamiento de archivos VHD. Para
lograr un rendimiento máximo, no almacene los archivos VHD en un disco que se
use con frecuencia para otros servicios o aplicaciones, como el disco del sistema
en el que está instalado el sistema operativo Windows del host. Almacene cada
archivo VHD en una partición distinta del sistema operativo del host y en cualquier
otro archivo VHD. La configuración ideal sería almacenar cada archivo VHD en una
unidad física distinta.
 El sistema de disco físico del host también debe cumplir al menos uno de los
siguientes criterios para cumplir los requisitos de integridad de datos de carga de
trabajo virtualizada:
El sistema usa discos de clase servidor (SCSI, Canal de fibra).
El sistema se asegura de que los discos están conectados a un adaptador de
bus host (HBA) de almacenamiento en caché con respaldo de batería.
El sistema usa un controlador de almacenamiento (por ejemplo, un sistema
RAID) como dispositivo de almacenamiento.
El sistema se asegura de que la alimentación en el disco esté protegida por una
fuente de alimentación ininterrumpida (UPS).
El sistema se asegura de que la característica de almacenamiento en caché de
escritura del disco está deshabilitada.

VHD fijo frente a discos de paso a través. Existen muchas maneras de configurar
el almacenamiento para máquinas virtuales. Cuando se usan archivos VHD, los
VHD de tamaño fijo son más eficientes que los VHD dinámicos, porque la memoria
para los VHD de tamaño fijo se asigna cuando se crean dichos discos. Los discos
de paso a través, que las máquinas virtuales pueden usar para tener acceso a
medios de almacenamiento físicos, consiguen incluso un mayor rendimiento. Este
tipo de discos son esencialmente discos físicos o números de unidad lógica (LUN)
conectados a una máquina virtual. Los discos de paso a través no son compatibles
con la característica de instantánea. Por lo tanto, los discos de paso a través son la
configuración de disco duro preferida debido a que el uso de instantáneas con
controladores de dominio no es recomendable.

Para reducir la posibilidad de daños en los datos de Active Directory, use controladores
SCSI virtuales:

Use unidades físicas SCSI (en contraposición a las unidades IDE/ATA) en los
servidores Hyper-V que hospeden controladores de dominio virtuales. Si no se
pueden usar unidades SCSI, asegúrese de que la memoria caché de escritura esté
deshabilitada en las unidades ATA/IDE que hospedan controladores de dominio
virtuales. Para obtener más información, vea Id. de evento 1539 : integridad de la
base de datos.
Para garantizar la durabilidad de las escrituras de Active Directory, la base de
datos, los registros y SYSVOL de Active Directory deben colocarse en un disco SCSI
virtual. Los discos SCSI virtuales admiten el acceso a unidades forzadas (FUA). FUA
garantiza que el sistema operativo escribe y lee datos directamente desde el
medio omitiendo todos y todos los mecanismos de almacenamiento en caché.
Consideraciones operativas de controladores
de dominio virtualizados
Los controladores de dominio que se ejecutan en máquinas virtuales tienen
restricciones operativas que no se aplican a los controladores de dominio que se
ejecutan en equipos físicos. Cuando use un controlador de dominio virtualizado, hay
algunas prácticas y características del software de virtualización que no debe usar:

No pause, detenga ni almacene el estado guardado de un controlador de dominio

en una máquina virtual por períodos de tiempo superiores a la duración del
marcador de exclusión del bosque y, a continuación, reanude a partir del estado
pausado o almacenado. Si hace esto, puede afectar a la replicación. Para obtener
información sobre cómo determinar la duración de las piedras de exclusión para el
bosque, consulte Determinar la duración del marcador de exclusión para el
bosque.
No copie ni clone discos duros virtuales (VHD). Incluso con las medidas de
seguridad establecidas para la máquina virtual invitada, los VHD individuales
todavía se pueden copiar y provocar la reversión de USN.
No tome ni use una instantánea de un controlador de dominio virtual.
Técnicamente se admite con Windows Server 2012 y versiones más recientes, no es
un reemplazo de una buena estrategia de copia de seguridad. Hay algunas razones
para tomar instantáneas de controlador de dominio o restaurar las instantáneas.
No use un disco VHD de diferenciación en una máquina virtual que esté
configurada como un controlador de dominio, ya que facilita demasiado la
reversión a una versión anterior y, además, disminuye el rendimiento.
No use la característica Exportar en una máquina virtual que ejecute un
controlador de dominio.
No restaure un controlador de dominio ni intente revertir el contenido de una base
de datos de Active Directory por ningún otro medio que no sea usar una copia de
seguridad compatible. Para obtener más información, vea Consideraciones de
copia de seguridad y restauración para controladores de dominio virtualizados.

Todas estas recomendaciones se efectúan a fin de ayudarlo a evitar la posibilidad de una

reversión del número de secuencia de actualización (USN). Para obtener más
información acerca de la reversión de USN, vea USN y reversión de USN.

Consideraciones sobre la copia de seguridad y

restauración de controladores de dominio
virtualizados
Realizar copias de seguridad de los controladores de dominio es un requisito crítico en
cualquier entorno. Las copias de seguridad protegen de posibles pérdidas de datos en
caso de se produzca un error en el controlador de dominio o un error administrativo. Si
se produjera, sería necesario revertir el estado del controlador de dominio a un punto
en el tiempo anterior al error. El método admitido para la restauración de un
controlador de dominio a un estado correcto es usar una aplicación de copia de
seguridad compatible con Active Directory, como Copias de seguridad de Windows
Server, para restaurar una copia de seguridad de estado del sistema que se originó
desde la instalación actual del controlador de dominio. Para obtener más información
sobre el uso de Copias de seguridad de Windows Server con Active Directory Domain
Services (AD DS), consulte la Guía paso a paso de copia de seguridad y recuperación de
AD DS.

Con la tecnología de máquina virtual, algunos requisitos de las operaciones de

restauración de Active Directory tienen una especial relevancia. Por ejemplo, si se
restaura un controlador de dominio usando una copia del archivo VHD (disco duro
virtual), se omite el paso crítico de actualizar la versión de la base de datos de un
controlador de dominio después de restaurarla. La replicación continuará con números
de seguimiento inapropiados, lo que dará como resultado una base de datos
incoherente entre réplicas del controlador de dominio. En la mayoría de casos, el
sistema de replicación no detecta este problema y no se informa de ningún error, a
pesar de las incoherencias entre controladores de dominio.

Hay una manera admitida de realizar copias de seguridad y restauración de un

controlador de dominio virtualizado:

1. Ejecutar Copias de seguridad de Windows Server en el sistema operativo invitado.

Con Windows Server 2012 y los hosts e invitados de Hyper-V más recientes, puede
realizar copias de seguridad compatibles de controladores de dominio mediante
instantáneas, exportación e importación de máquinas virtuales invitadas y también
replicación de Hyper-V. Sin embargo, todos ellos no son una buena opción para crear
un historial de copia de seguridad adecuado, con la ligera excepción de la exportación
de máquinas virtuales invitadas.

Con Windows Server 2016 Hyper-V hay compatibilidad con "instantáneas de

producción" donde el servidor de Hyper-V desencadena una copia de seguridad basada
en VSS del invitado y cuando el invitado se realiza con la instantánea, el host captura los
VHD y los almacena en la ubicación de copia de seguridad.

Aunque esto funciona con Windows Server 2012 y versiones posteriores, hay una
incompatibilidad con Bitlocker:
 Al realizar una instantánea de VSS, AD quiere realizar una tarea posterior a la
instantánea para marcar la base de datos como procedente de una copia de
seguridad o, en el caso de preparar un origen IFM para RODC, quite las
credenciales de la base de datos.
Cuando Hyper-V monta el volumen con instantáneas para esta tarea, no hay
ninguna instalación que desbloquee el volumen para el acceso sin cifrar. Por lo
tanto, el motor de base de datos de AD produce un error al acceder a la base de
datos y, finalmente, se produce un error en la instantánea.

７ Nota

El proyecto de máquina virtual blindada mencionado anteriormente tiene una

copia de seguridad controlada por host de Hyper-V como un objetivo que no es
objetivo para la máxima protección de datos de la máquina virtual invitada.

Procedimientos que se deben evitar al realizar

copias de seguridad y restauraciones
Tal como se ha mencionado anteriormente, los controladores de dominio que se
ejecutan en máquinas virtuales tienen restricciones que no se aplican a los
controladores de dominio que se ejecutan en máquinas físicas. Cuando se realiza la
copia de seguridad o la restauración de un controlador de dominio virtual, existen
algunos procedimientos y ciertas características del software de virtualización que no se
deberían usar:

No copie ni clone archivos VHD de controladores de dominio en lugar de realizar

copias de seguridad periódicas. Si se copia o clona el archivo VHD, se vuelve
obsoleto. Después, si el disco duro virtual se inicia en modo normal, encontrará
una reversión de USN. Debería realizar operaciones de copia de seguridad
adecuadas y que sean compatibles con los Servicios de dominio de
Active Directory (AD DS), como las de la característica Copias de seguridad de
Windows Server.
No use la característica Instantánea como una copia de seguridad para restaurar
una máquina virtual que se configuró como controlador de dominio. Los
problemas se producirán con la replicación al revertir la máquina virtual a un
estado anterior con Windows Server 2008 R2 y versiones anteriores. Para obtener
más información, vea USN y reversión de USN. A pesar de que usar una
instantánea para restaurar un controlador de dominio de solo lectura (RODC) no
 provocará problemas de replicación, no se recomienda usar este método de
restauración.

Restaurar un controlador de dominio virtual

Para restaurar un controlador de dominio cuando se produce un error, debe realizar de
forma periódica copias de seguridad del estado del sistema. El estado del sistema
incluye archivos de datos y registro de Active Directory, el Registro, el volumen del
sistema (carpeta SYSVOL) y diversos elementos del sistema operativo. Este requisito es
el mismo para los controladores de dominio físicos y virtuales. Los procedimientos de
restauración del estado del sistema que realizan las aplicaciones de copia de seguridad
compatibles con Active Directory están diseñados para garantizar la coherencia de las
bases de datos de Active Directory locales y replicadas después de un proceso de
restauración, incluida la notificación a los asociados de replicación de los
restablecimientos de los indicadores de invocación. Sin embargo, el uso de entornos de
hospedaje virtuales y de aplicaciones de creación de imágenes de disco o de sistema
operativo permite a los administradores omitir las comprobaciones y validaciones que
normalmente se producen cuando se restaura el estado del sistema de un controlador
de dominio.

Cuando sucede un error en una máquina virtual de controlador de dominio y no se

produce una reversión del número de secuencia de actualización (USN), existen dos
situaciones admitidas para la restauración de la máquina virtual:

Si existe una copia de seguridad válida de los datos del estado del sistema anterior
al error, puede restaurar el estado del sistema mediante la opción de restauración
de la utilidad de copia de seguridad que usó para crear la copia de seguridad. La
copia de seguridad de los datos de estado del sistema se debe haber creado con
una utilidad de copia de seguridad compatible con Active Directory dentro del
intervalo de duración del marcador de exclusión que, de forma predeterminada, no
es superior a 180 días. Debería realizar una copia de seguridad de los
controladores de dominio al menos una vez cada mitad de la duración del
marcador de exclusión. Para obtener instrucciones sobre cómo determinar la
duración específica de la piedra de exclusión para el bosque, consulte Determinar
la duración del marcador de exclusión para el bosque.
Si hay disponible una copia de trabajo del archivo VHD, pero no hay disponible
ninguna copia de seguridad del estado del sistema, puede quitar la máquina
virtual existente. Restaure la máquina virtual existente con una copia anterior del
VHD, pero asegúrese de iniciarlo en Modo de restauración de servicios de
directorio (DSRM) y configurar el Registro correctamente, tal como se describe en
 la siguiente sección. A continuación, reinicie el controlador de dominio en modo
normal.

Use el proceso que se muestra en la siguiente ilustración para determinar la mejor

forma de restaurar el controlador de dominio virtualizado.

Para los RODC, el proceso de restauración y las decisiones son más fáciles.
Restaurar la copia de seguridad del estado del
sistema de un controlador de dominio virtual
Si existe una copia de seguridad válida del estado del sistema para la máquina virtual
del controlador de dominio, puede restaurar de forma segura la copia de seguridad
siguiendo el proceso de restauración que prescribe la herramienta de copia de
seguridad que se usó para realizar una copia de seguridad del archivo VHD.

） Importante

Para restaurar correctamente el controlador de dominio, debe iniciarlo en DSRM.

No debe permitir que el controlador de dominio se inicie en modo normal. Si
pierde la oportunidad de escribir DSRM durante el inicio del sistema, desactive la
máquina virtual del controlador de dominio para que pueda iniciarse
completamente en modo normal. Es importante iniciar el controlador de dominio
en DSRM porque iniciar un controlador de dominio en modo normal incrementa
 sus USN, incluso aunque el controlador de dominio esté desconectado de la red.
Para obtener más información acerca de la reversión de USN, vea USN y reversión
de USN.

Para restaurar la copia de seguridad del estado

del sistema de un controlador de dominio
virtual
1. Inicie la máquina virtual del controlador de dominio y presione F5 para acceder a
la pantalla administrador de arranque de Windows. Si se le solicita que escriba
credenciales de conexión, haga clic inmediatamente en el botón Pausa de la
máquina virtual para que no continúe iniciándose. A continuación, escriba las
credenciales de conexión y haga clic en el botón Reproducir de la máquina virtual.
Haga clic dentro de la ventana de la máquina virtual y, a continuación, presione F5.

Si no ve la pantalla del Administrador de arranque de Windows y el controlador de

dominio empieza a iniciarse en el modo normal, apague la máquina virtual para
impedir que se complete el inicio. Repita este paso todas las veces que sea
necesario hasta que pueda obtener acceso a la pantalla del Administrador de
arranque de Windows. No se puede tener acceso al DSRM desde el menú
Recuperación de errores de Windows. Por lo tanto, si aparece el menú
Recuperación de errores de Windows, apague la máquina virtual y vuelva a
intentarlo.

2. En la pantalla del Administrador de arranque de Windows, presione F8 para

obtener acceso a las opciones de arranque avanzadas.

3. En la pantalla Opciones de arranque avanzadas, seleccione Modo de restauración

de servicios de directorio y, a continuación, presione ENTRAR. Esto inicia el
controlador de dominio en DSRM.

4. Use el método de restauración adecuado para la herramienta que se usó para

crear la copia de seguridad del estado del sistema. Si usó Copias de seguridad de
Windows Server, consulte Realizar una restauración no autenticada de AD DS.

Restaurar un controlador de dominio virtual

cuando no hay disponible una copia de
seguridad de los datos del estado del sistema
adecuado
Si no dispone de una copia de seguridad de datos del estado del sistema que sea
anterior al error de la máquina virtual, puede usar un archivo VHD previo para restaurar
un controlador de dominio que se ejecute en una máquina virtual. Si es posible, realice
una copia del archivo VHD de forma que, si se experimenta algún problema durante el
proceso o no se realiza alguno de los pasos, puede volver a intentarlo con el archivo
VHD copiado.

） Importante

No debe considerar el uso del siguiente procedimiento para reemplazar la

realización de copias de seguridad planeadas y programadas asiduamente.
Microsoft no admite las restauraciones realizadas mediante el siguiente
procedimiento, que debería usarse exclusivamente cuando no exista otra
alternativa.
No use este procedimiento si alguna máquina virtual ha iniciado en modo
normal la copia del VHD que está a punto de restaurar.

Para restaurar una versión anterior de un VHD

de controlador de dominio virtual sin una copia
de seguridad de datos del estado del sistema
1. Use el VHD anterior para iniciar el controlador de dominio virtual en DSRM, tal
como se describe en la sección anterior. No permita que el controlador de dominio
se inicie en modo normal. Si se pierde la pantalla del Administrador de arranque
de Windows y el controlador de dominio empieza a iniciarse en el modo normal,
apague la máquina virtual para impedir que se complete el inicio. Vea la sección
anterior para obtener instrucciones detalladas para iniciar el DSRM.

2. Abra el Editor del Registro. Para abrir el Editor del Registro, haga clic en Inicio, en
Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar. Si aparece el
cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se
muestra es la esperada y, a continuación, haga clic en Sí. En el Editor del Registro,
expanda la siguiente ruta de acceso:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
Busque un valor llamado DSA Previous Restore Count. Si el valor está, anote el
 valor de configuración. Si el valor no está, el valor es igual al valor predeterminado,
que es cero. No agregue un valor si no ve uno allí.

3. Haga clic con el botón secundario en la clave Parameters, haga clic en Nuevo y, a
continuación, haga clic en Valor de DWORD (32 bits).

4. Escriba el nuevo nombre Base de datos restaurada desde una copia de seguridad
y, a continuación, presione ENTRAR.

5. Haga doble clic en el valor que acaba de crear para abrir el cuadro de diálogo
Editar valor de DWORD (32 bits) y, a continuación, escriba 1 en el cuadro
Información del valor. La opción Base de datos restaurada a partir de la entrada
de copia de seguridad está disponible en controladores de dominio que ejecutan
Windows 2000 Server con Service Pack 4 (SP4), Windows Server 2003 con las
actualizaciones que se incluyen en Detección y recuperación de una reversión de
USN en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 en
Microsoft Knowledge Base instalado, y Windows Server 2008.

6. Reinicie el controlador de dominio en modo normal.

7. Cuando se reinicie el controlador de dominio, abra el Visor de eventos. Para abrir

el Visor de eventos, haga clic en Inicio, en Panel de control, haga doble clic en
Herramientas administrativas y, a continuación, haga doble clic en Visor de
eventos.

8. Expanda Registros de servicios y aplicaciones y, a continuación, haga clic en el

registro Servicios de directorio. Asegúrese de que aparezcan eventos en el panel
de detalles.

9. Haga clic con el botón secundario en el registro Servicios de directorio y, a

continuación, haga clic en Buscar. En Buscar, escriba 1109 y haga clic en Buscar
siguiente.

10. Debería ver al menos una entrada con identificador de evento 1109. Si no ve esta
entrada, continúe con el siguiente paso. En caso contrario, haga doble clic en la
entrada y, a continuación, revise el texto que confirma que se realizó la
actualización al identificador de invocación:

Active Directory has been restored from backup media, or has been
configured to host an application partition.

The invocationID attribute for this directory server has been changed.

The highest update sequence number at the time the backup was created
is <time>

 InvocationID attribute (old value):<Previous InvocationID value>

InvocationID attribute (new value):<New InvocationID value>

Update sequence number:<USN>

The InvocationID is changed when a directory server is restored from

backup media or is configured to host a writeable application directory
partition.

11. Cierre el Visor de eventos.

12. Use el Editor del Registro para comprobar que el valor en DSA Previous Restore
Count es igual al del valor anterior más uno. Si no es el valor correcto y no puede
encontrar una entrada para el id. de evento 1109 en el Visor de eventos,
compruebe que los Service Pack del controlador de dominio están actualizados.
No se puede volver a intentar este procedimiento en el mismo VHD. Puede
intentarlo de nuevo con una copia del VHD o con otro VHD distinto que no se
haya iniciado en modo normal; para ello, vuelva a empezar en el paso 1.

13. Cierre el Editor del Registro.

Reversión de USN y USN

En esta sección se describen los problemas de replicación que pueden producirse como
resultado de una restauración incorrecta de la base de datos de Active Directory con
una versión anterior de una máquina virtual. Para más información sobre el proceso de
replicación de Active Directory, consulte Conceptos de replicación de Active Directory.

Números de secuencias actualizadas (USN)

Servicios de dominio de Active Directory (AD DS) usa números de secuencias
actualizadas (USN) para hacer un seguimiento de la replicación de datos entre
controladores de dominio. Cada vez que se realiza un cambio en los datos del
directorio, el USN se incrementa para indicar que esto ocurrió.

Para cada partición de directorio que almacena un controlador de dominio de destino,

se usan USN para realizar un seguimiento de la actualización de origen más reciente
que un controlador de dominio introdujo en su base de datos, así como el estado de
cada otro controlador de dominio que almacena una réplica de la partición de
directorio. Cuando los controladores de dominio replican los cambios entre sí, consultan
a sus asociados de replicación los cambios con USN que son mayores que el USN del
último cambio que el controlador de dominio recibió de cada asociado.
Las dos tablas de metadatos de replicación siguientes contienen USN. Los controladores
de dominio de origen y de destino usan estos valores para filtrar las actualizaciones que
requiere el controlador de dominio de destino.

1. Vector de actualización: tabla que mantiene el controlador de dominio de destino

para realizar el seguimiento de las actualizaciones de origen que se reciben de
todos los controladores de dominio de origen. Cuando un controlador de dominio
de destino solicita cambios para una partición del directorio, proporciona su vector
de actualización al controlador de dominio de origen. A continuación, el
controlador de dominio de origen usa este valor para filtrar las actualizaciones que
envía al controlador de dominio de destino. El controlador de dominio de origen
envía su vector actualizado al destino al finalizar un ciclo de replicación correcto
para asegurarse de que el controlador de dominio de destino sabe que se ha
sincronizado con todas las actualizaciones de origen de los controladores de
dominio y las actualizaciones se encuentran en el mismo nivel que el origen.
2. Marca de agua alta: valor que el controlador de dominio de destino mantiene para
realizar un seguimiento de los cambios más recientes que ha recibido de un
controlador de dominio de origen específico para una partición específica. La
marca de agua alta impide que el controlador de dominio de origen envíe los
cambios que el controlador de dominio de destino ya ha recibido de él.

Identidad de la base de datos del directorio

Además de los USN, los controladores de dominio hacen un seguimiento de la base de
datos del directorio de los asociados de replicación de origen. La identidad de la base
de datos del directorio que se ejecuta en el servidor se mantiene separada de la
identidad del propio objeto de servidor. La identidad de la base de datos del directorio
en cada controlador de dominio se almacena en el atributo invocationID del objeto
NTDS Settings, que se encuentra en la siguiente ruta de acceso al protocolo ligero de
acceso a directorios (LDAP): cn=NTDS Settings, cn=ServerName, cn=Servers,
cn=SiteName, cn=Sites, cn=Configuration, dc=ForestRootDomain. La identidad del
objeto de servidor se almacena en el atributo objectGUID del objeto de configuración
NTDS. La identidad del objeto de servidor no cambia nunca. Sin embargo, la identidad
de la base de datos de directorio cambia cuando se produce un procedimiento de
restauración de estado del sistema en el servidor o cuando se agrega una partición de
directorio de aplicación y, a continuación, se quita y se vuelve a agregar más adelante
del servidor. (otro escenario: cuando una instancia de HyperV desencadena sus
escritores vsS en una partición que contiene el VHD de un controlador de dominio
virtual, el invitado a su vez desencadena sus propios escritores vsS (el mismo
mecanismo usado por la copia de seguridad o restauración anterior) lo que da lugar a
otro medio por el que se restablece el identificador de invocación).
En consecuencia, invocationID relaciona de manera efectiva un conjunto de
actualizaciones en un controlador de dominio con una versión específica de la base de
datos del directorio. El vector de actualización y las tablas de marcas de agua altas usan
el identificador de invocación y el GUID de CONTROLADOR de dominio
respectivamente para que los controladores de dominio sepan de qué copia de la base
de datos de Active Directory viene la información de replicación.

El atributo invocationID es un valor de identificador único global (GUID) que se ve cerca

de la parte superior de los resultados que se obtienen al ejecutar el comando
repadmin /showrepl. El siguiente texto es un ejemplo del resultado que se obtiene al
ejecutar el comando:

Repadmin: running command /showrepl against full DC local host

Default-First-Site-Name\VDC1

DSA Options: IS_GC

DSA object GUID: 966651f3-a544-461f-9f2c-c30c91d17818

DSA invocationID: b0d9208b-8eb6-4205-863d-d50801b325a9

Cuando AD DS se restaura correctamente en un controlador de dominio, se restablece

el identificador de invocación . Como resultado de este cambio, experimentará un
aumento del tráfico de replicación: la duración de la cual es relativa al tamaño de la
partición que se va a replicar.

Por ejemplo, supongamos que VDC1 y DC2 son dos controladores de dominio del
mismo dominio. En la siguiente ilustración se muestra cómo percibe DC2 a VDC1
cuando el valor invocationID se restablece en una restauración correcta.
Reversión de USN
La reversión de USN ocurre cuando se ignoran las actualizaciones normales de los USN
y un controlador de dominio intenta usar un USN menor que el de la última
actualización. Se detectará la reversión de USN y se detendrá la replicación antes de que
se cree la divergencia en el bosque, en la mayoría de los casos.

Una reversión de USN puede tener varias causas, por ejemplo, cuando se usan los
archivos de un disco duro virtual (VHD) antiguo o se realiza una conversión de física a
virtual (conversión FaV) sin asegurarse de que la máquina física permanezca sin
conexión de forma permanente después de la conversión. Para asegurar que no ocurra
una reversión de USN, se deben tomar las siguientes precauciones:

Cuando no se ejecuta Windows Server 2012 o una versión más reciente, no tome
ni use una instantánea de una máquina virtual de controlador de dominio.
No copiar el archivo VHD del controlador de dominio.
Cuando no ejecute Windows Server 2012 o una versión más reciente, no exporte la
máquina virtual que ejecuta un controlador de dominio.
No restaurar un controlador de dominio ni intentar revertir el contenido de una
base de datos de Active Directory de ninguna otra manera que no sea mediante
una solución de copia de seguridad compatible, como Copias de seguridad de
Windows Server.
En algunos casos, es posible que no se detecte la reversión de USN. En otros, podría
ocasionar otros errores de replicación. Si esto ocurre, es necesario identificar la
gravedad del problema y solucionarlo a tiempo. Para obtener información sobre cómo
quitar objetos persistentes que pueden producirse como resultado de la reversión de
USN, vea Objetos de Active Directory obsoletos generar el identificador de evento 1988
en Windows Server 2003 en Microsoft Knowledge Base.

Detectar una reversión de USN

En la mayoría de los casos, se logra detectar las reversiones de USN que se realizan sin
restablecer invocationID causadas por procedimientos de restauración incorrectos.
Windows Server 2008 proporciona protección contra replicaciones incorrectas después
de que se realice una operación de restauración incorrecta de un controlador de
dominio. Esta protección se activa cuando una operación de restauración incorrecta da
como resultado USN más bajos que representan los cambios que los asociados de
replicación ya recibieron.

En Windows Server 2008 y Windows Server 2003 SP1, cuando un controlador de

dominio de destino solicita cambios mediante un USN usado previamente, el
controlador de dominio de destino interpreta que la respuesta del asociado de
replicación de origen significa que los metadatos de replicación no están actualizados.
Esto indica que la base de datos de Active Directory del controlador de dominio de
origen se ha revertido a un estado anterior. Por ejemplo, el archivo VHD de una
máquina virtual se revirtió a una versión anterior. En este caso, el controlador de
dominio de destino inicia las siguientes medidas de cuarentena en el controlador de
dominio que se considera que se restauró incorrectamente:

AD DS pausa el servicio de Net Logon, lo que evita que las cuentas de usuario y de
equipo cambien las contraseñas. Esto impide que se pierdan los cambios en caso
de que ocurran después de una restauración incorrecta.
AD DS deshabilita la replicación de entrada y de salida de Active Directory.
AD DS genera el identificador de evento 2095 en el registro de eventos del
Servicio de directorio para indicar la condición.

En la siguiente ilustración se muestra la secuencia de eventos que tiene lugar cuando se

detecta una reversión de USN en VDC2, el controlador de dominio de destino que se
ejecuta en una máquina virtual. En esta ilustración, la detección de la reversión de USN
se produce en VDC2 cuando un asociado de replicación detecta que VDC2 ha enviado
un valor USN actualizado que el controlador de dominio de destino ha visto
anteriormente, lo que indica que la base de datos de VDC2 se ha revertido
incorrectamente.
Si el registro de eventos del Servicio de directorio notifica el identificador de evento
2095, siga estos pasos inmediatamente.

Para resolver el identificador de evento 2095

1. Aísle la máquina virtual que registró el error de la red.

2. Intente determinar si se originaron cambios en ese controlador de dominio y se

propagaron a otros controladores de dominio. Si el evento fue resultado de iniciar
una instantánea o una copia de una máquina virtual, intente determinar la hora en
la que ocurrió la reversión de USN. Luego puede comprobar los asociados de
replicación de ese controlador de dominio para determinar si la replicación ocurrió
después de eso.

Para ello puede usar la herramienta Repadmin. Para obtener información sobre
cómo usar Repadmin, consulte Supervisión y solución de problemas de replicación
de Active Directory mediante Repadmin. Si no puede determinarlo usted mismo,
póngase en contacto con el soporte técnico de Microsoft para obtener ayuda.
 3. Disminuya el nivel del controlador de dominio de manera forzosa. Esto implica
limpiar los metadatos del controlador de dominio y aprovechar los roles de
maestro de operaciones (también conocidos como operaciones maestras únicas
flexibles o FSMO). Para obtener más información, vea la sección "Recuperación de
la reversión de USN" de Cómo detectar y recuperar una reversión de USN en
Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 en
Microsoft Knowledge Base.

4. Quite todos los archivos VHD anteriores del controlador de dominio.

Reversión de USN no detectada

Es posible que la reversión de USN no se detecte en una de estas dos situaciones:

1. El archivo VHD está asociado a máquinas virtuales diferentes que se ejecutan en

varias ubicaciones al mismo tiempo.
2. El USN del controlador de dominio que se restauró aumentó más que el último
USN que recibió el otro controlador de dominio.

En el primer caso, es posible que se repliquen otros controladores de dominio con

cualquiera de las máquinas virtuales y que los cambios se realicen en cualquiera de ellas,
sin replicarse a la otra. Esta divergencia del bosque es difícil de detectar y ocasiona
respuestas impredecibles del directorio. Esto puede ocurrir después de la migración FaV
si la máquina física y la virtual se ejecutan en la misma red. También podría suceder
cuando se crean varios controladores de dominio desde el mismo controlador de
dominio físico y, a continuación, se ejecutan en la misma red.

En el segundo caso, un intervalo de USN se aplica a dos conjuntos de cambios distintos.

Esto puede ocurrir durante largos períodos sin que se detecte. Cuando se modifica un
objeto que se creó durante ese período, se detecta un objeto persistente y se notifica
como identificador de evento 1988 en el Visor de eventos. En la siguiente ilustración se
muestra cómo es posible que no se detecte la reversión de USN en la situación descrita.
Controladores de dominio de solo lectura
Los RODC son controladores de dominio que hospedan copias de solo lectura de las
particiones en una base de datos de Active Directory. Los RODC evitan la mayoría de los
problemas de la reversión de USN porque no replican ningún cambio a otros
controladores de dominio. Sin embargo, si un RODC se replica desde un controlador de
dominio grabable afectado por la reversión de USN, el RODC también se verá afectado.

No se recomienda restaurar un RODC con una instantánea. Para restaurar un RODC, use
una aplicación de copia de seguridad compatible con Active Directory. Además, de la
misma manera que con los controladores de dominio grabables, se debe tener cuidado
para no permitir que un RODC permanezca desconectado por un tiempo mayor que la
duración del marcador de exclusión. De lo contrario, podrían aparecer objetos
persistentes en el RODC.

Para obtener más información sobre los RODC, consulte la Guía de implementación y
planeamiento de controladores de dominio de solo lectura.
Solucionar problemas de controladores
de dominio virtualizados
Artículo • 21/12/2022 • Tiempo de lectura: 117 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este tema se proporciona la metodología detallada para solucionar problemas de la

característica de controlador de dominio virtualizado.

Solucionar problemas de clonación de controladores de dominio virtualizados

Solucionar problemas de restauración segura de controladores de dominio

virtualizados

Introducción
La mejor manera de mejorar tus habilidades para solucionar problemas es crear un
laboratorio de pruebas y examinar rigurosamente los escenarios de trabajo normales. Si
encuentras errores, te resultarán más obvios y más fáciles de comprender porque
conocerás bien cómo funciona la promoción de controladores de dominio. Esto también
te permite desarrollar habilidades de análisis y análisis de red. Esto es aplicable a todas las
tecnologías de sistemas distribuidos, no solo a la implementación de controladores de
dominio virtualizados.

Los elementos fundamentales para una solución avanzada de los problemas de

configuración de controladores de dominio son:

1. Análisis lineal combinado con atención exhaustiva a los detalles.

2. Comprender los análisis de captura de red.

3. Comprender los registros integrados.

El primero y el segundo quedan fuera del ámbito de este tema, pero el tercero se puede
explicar con más detalle. La solución de problemas de controladores de dominio
virtualizados requiere un método lógico y lineal. La clave es enfocar el problema usando
los datos proporcionados y recurrir a análisis y herramientas complejos cuando hayas
agotado los registros y resultados proporcionados.
Solucionar problemas de clonación de
controladores de dominio virtualizados
En estas secciones se tratan los siguientes temas:

Herramientas para solucionar problemas

Opciones de registro

Metodología general para solucionar problemas de clonación de controladores de

dominio

Server Core y el registro de eventos

Solucionar problemas específicos

La estrategia para solucionar problemas de clonación de controladores de dominio

virtualizados sigue este formato general:
Herramientas para la solución de problemas

Opciones de registro
Los registros integrados son la herramienta más importante para solucionar problemas de
clonación de controladores de dominio. Todos estos registros están habilitados y
configurados para ofrecer el máximo nivel de detalle de forma predeterminada.

operación Log

Clonación - Visor de eventos\Windows logs\System

- Visor de eventos\Registros de aplicaciones y servicios\Servicio de directorio

- %systemroot%\debug\dcpromo.log

Promoción - %systemroot%\debug\dcpromo.log

- Visor de eventos\Registros de aplicaciones y servicios\Servicio de directorio

- Visor de eventos\Windows logs\System

- Visor de eventos\Registros de aplicaciones y servicios\Servicio de replicación de

archivos

- Visor de eventos\Registros de aplicaciones y servicios\Replicación DFS

Herramientas y comandos para solucionar problemas de

configuración de controladores de dominio
Para solucionar problemas que no se explican con los registros, usa las herramientas
siguientes como punto de partida:

Dcdiag.exe

Repadmin.exe

Monitor de red 3.4

Metodología general para solucionar problemas de

clonación de controladores de dominio
1. ¿La máquina virtual arranca en Modo de reparación de servicios de directorio
(DSRM)? Esto indica que es necesario solucionar algún problema. Para iniciar sesión
en DSRM, usa la cuenta .\Administrator y especifica la contraseña de DSRM.

a. Examina el archivo Dcpromo.log.

i. ¿Los pasos iniciales de la clonación se realizaron correctamente pero se

produjo un error en la promoción del controlador de dominio?
 ii. ¿Los errores indican que hay problemas con el controlador de dominio local o
con el entorno de AD DS, por ejemplo, errores devueltos por el emulador de
PDC?

b. Examina los registros de eventos de Sistema y Servicios de directorio, así como

dccloneconfig.xml y CustomDCCloneAllowList.xml.

i. ¿Una aplicación incompatible necesita estar en la lista de permitidos

CustomDCCloneAllowList.xml?

ii. ¿La dirección IP o el nombre del equipo que figuran en el archivo

dccloneconfig.xml están duplicados o no son válidos?

iii. ¿El sitio de Active Directory que figura en el archivo dccloneconfig.xml no es

válido?

iv. ¿La dirección IP no está establecida en el archivo dccloningconfig.xml y no hay

ningún servidor DHCP disponible?

v. ¿El emulador de PDC está conectado y disponible a través del protocolo RPC?

vi. ¿El controlador de dominio es miembro del grupo Controladores de dominio

clonables? ¿El permiso Permitir al controlador de dominio crear un clon de sí
mismo está establecido en la raíz del dominio para ese grupo?

vii. ¿El archivo Dccloneconfig.xml contiene errores de sintaxis que impiden realizar
un análisis correctamente?

viii. ¿El hipervisor es compatible?

ix. ¿Se produjo un error en la promoción del controlador de dominio después de

que la clonación comenzara correctamente?

x. ¿Se superó el número máximo de nombres de controlador de dominio

generados automáticamente (9999)?

xi. ¿La dirección MAC está duplicada?

2. ¿El nombre de host del clon es el mismo que el DC de origen?

a. ¿Hay un archivo Dccloneconfig.xml en una de las ubicaciones permitidas?

3. ¿La máquina virtual arranca en modo normal y la clonación se completa, pero el

controlador de dominio no funciona correctamente?

a. Comprueba primero si el nombre de host ha cambiado en el clon. Si el nombre

de host es diferente, la clonación se ha completado al menos parcialmente.
 b. ¿El controlador de dominio tiene una dirección IP duplicada para el controlador
de dominio de origen en el archivo dccloneconfig.xml, pero el controlador de
dominio de origen estaba desconectado durante la clonación?

c. Si el controlador de dominio se publicita, trata el problema como un problema

normal posterior a la promoción que tendrías sin clonación.

d. Si el controlador de dominio no se publicita, busca errores posteriores a la

promoción en los registros de eventos de Servicio de directorio, Sistema,
Aplicación, Replicación de archivos y Replicación DFS.

Deshabilitar el arranque en modo DSRM

Después de arrancar en modo DSRM debido a un error, diagnostica su causa y, si el
archivo dcpromo.log no indica que no se pudo reintentar la clonación, corrige la causa y
restablece el indicador DSRM. Un clon con error no vuelve al modo normal por sí mismo
en el siguiente arranque; debes quitar el indicador de arranque en Modo de restauración
de servicios de directorio para volver a intentar la clonación de nuevo. Todos estos pasos
requieren la ejecución como administrador con permisos elevados.

Quitar DSRM con Msconfig.exe

Para desactivar el arranque DSRM usando una GUI, usa la herramienta Configuración del
sistema:

1. Ejecuta msconfig.exe

2. En la pestaña Arranque, en Opciones de arranque, desactiva Arranque a prueba de

errores (ya está activada con la opción Reparar Active Directory habilitada).

3. Haz clic en Aceptar y reinicia cuando se te pida.

Quitar DSRM con Bcdedit.exe

Para desactivar el arranque DSRM desde la línea de comandos, usa el editor del almacén
de datos de la configuración de arranque:

1. Abre un símbolo el sistema CMD y ejecuta:

Bcdedit.exe /deletevalue safeboot

2. Reinicia el equipo con:

 Shutdown.exe /t /0 /r

７ Nota

Bcdedit.exe también funciona en una consola de Windows PowerShell. En ella, los

comandos son:

Bcdedit.exe /deletevalue safeboot

Restart-computer

Server Core y el registro de eventos

Los registros de eventos contienen mucha información útil sobre las operaciones de
clonación de controladores de dominio virtualizados. De forma predeterminada, la
instalación de un equipo de Windows Server 2012 es una instalación Server Core, lo que
significa que no hay una interfaz gráfica y, por lo tanto, no hay manera de ejecutar el
complemento Visor de eventos local.

Para revisar los registros de eventos en un servidor que ejecuta una instalación Server
Core:

Ejecuta localmente la herramienta Wevtutil.exe

Ejecuta localmente el cmdlet de PowerShell Get-WinEvent

Si ha habilitado las reglas de firewall avanzadas de Windows para los grupos

"Administración remota de registros de eventos" (o puertos equivalentes) para
permitir la comunicación entrante, puede administrar el registro de eventos de
forma remota mediante Eventvwr.exe, wevtutil.exe o Get-Winevent. Esto se puede
hacer en la instalación Server Core mediante NETSH.exe, con la directiva de grupo o
con el nuevo cmdlet Set-NetFirewallRule en Windows PowerShell 3.0.

２ Advertencia

No intentes volver a agregar el shell gráfico al equipo mientras esté en DSRM. La pila
de servicio de Windows (CBS) no puede funcionar correctamente en modo seguro o
DSRM. Los intentos de agregar características o roles mientras se está en modo
DSRM no se completarán y dejarán el equipo en un estado inestable hasta que se
arranque normalmente. Como un clon de un controlador de dominio virtualizado en
DSRM no puede arrancar normalmente, y no se debe arrancar normalmente en la
 mayoría de los casos, es imposible agregar el shell gráfico de forma segura. No se
permite hacerlo y podría dejar el servidor inservible.

Solucionar problemas específicos

Events

Todos los eventos de clonación de controladores de dominio virtualizados se escriben en

el registro de eventos de Servicios de directorio de la máquina virtual del controlador de
dominio clonado. Los registros de eventos de Aplicación, Servicio de replicación de
archivos y Replicación DFS pueden contener también información útil para solucionar
problemas de clonación. Los errores durante la llamada de RPC al emulador de PDC
pueden estar disponibles en el registro de eventos del emulador de PDC.

A continuación se indican los eventos específicos de clonación de Windows Server 2012

en el registro de eventos de Servicios de directorio, con notas y soluciones
recomendadas.

Registro de eventos de Servicios de directorio

Eventos Descripción

Identificador 2160
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje ComputerNAME >local< ha encontrado un archivo de configuración de clonación

de controladores de dominio virtual.

El archivo de configuración de clonación de controladores de dominio virtuales se

encuentra en: %1

La existencia del archivo de configuración de clonación de controladores de

dominio virtuales indica que el controlador de dominio virtual local es un clon de
otro controlador de dominio virtual. ComputerNAME<> se iniciará para clonarse a sí
mismo.

Notas y Este es un evento de procedimiento correcto y solo es un problema si es imprevisto.

resolución Busca el archivo dcclconeconfig.xml en el directorio de trabajo de DSA,
%systemroot%\ntds, y en el directorio raíz de todos los discos locales o extraíbles.

Eventos Descripción
Eventos Descripción

Identificador 2161
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje ComputerNAME >local< no encontró el archivo de configuración de clonación del

controlador de dominio virtual. La máquina local no es un controlador de dominio
clonado.

Notas y Este es un evento de procedimiento correcto y solo es un problema si es imprevisto.

resolución Busca el archivo dcclconeconfig.xml en el directorio de trabajo de DSA,
%systemroot%\ntds, y en el directorio raíz de todos los discos locales o extraíbles.

Eventos Descripción

Identificador 2162
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje Error de clonación del controlador de dominio virtual.

Comprueba los eventos registrados en los registros de eventos del sistema y
%systemroot%\debug\dcpromo.log para obtener más información sobre los errores
correspondientes al intento de clonación del controlador de dominio virtual.

Código de error: %1

Notas y Sigue las instrucciones del mensaje; este error es un CatchAll.

resolución

Eventos Descripción

Identificador 2163
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje Se inició el servicio DsRoleSvc para clonar el controlador de dominio virtual local.

Notas y Este es un evento de procedimiento correcto y solo es un problema si es imprevisto.

resolución Busca el archivo dcclconeconfig.xml en el directorio de trabajo de DSA,
%systemroot%\ntds, y en el directorio raíz de todos los discos locales o extraíbles.
Eventos Descripción

Identificador 2164
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje <COMPUTERNAME> no pudo iniciar el servicio DsRoleSvc para clonar el controlador

de dominio virtual local.

Notas y Examina la configuración del servicio Servidor de roles de DS (DsRoleSvc) y

resolución asegúrate de que el tipo de inicio es manual. Comprueba que ningún programa de
terceros esté impidiendo el inicio del servicio.

Eventos Descripción

Identificador 2165
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje <COMPUTERNAME> no pudo iniciar un subproceso durante la clonación del

controlador de dominio virtual local.

Código de error:%1

Mensaje de error:%2

Nombre de subproceso:%3

Notas y Ponte en contacto con el soporte técnico de Microsoft.

resolución

Eventos Descripción

Identificador 2166
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje <COMPUTERNAME> necesita el servicio RPCSS para iniciar el reinicio en DSRM.

Error en la espera de RPCSS para inicializar en un estado de ejecución.

Código de error:%1
Eventos Descripción

Notas y Examina el registro de eventos de Sistema y la configuración del servicio Servidor

resolución RPC (Rpcss).

Eventos Descripción

Identificador 2168
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje Microsoft-Windows-ActiveDirectory_DomainService
El controlador de dominio se está ejecutando en un hipervisor admitido. Se
detectó el identificador de generación de VM.

Valor actual del identificador de generación de VM: %1

Notas y Este es un evento de procedimiento correcto y solo es un problema si es

resolución imprevisto.

Eventos Descripción

Identificador 2169
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje No se detectó un identificador de generación de VM. El controlador de dominio

está hospedado en una máquina física, una versión de nivel inferior de Hyper-V, o
un hipervisor que no es compatible con el identificador de generación de VM.
Datos adicionales

Código de error devuelto al comprobar el identificador de generación de VM:%1

Notas y Este es un evento de procedimiento correcto si el objetivo no es la clonación. De lo

resolución contrario, examina el registro de eventos de Sistema y revisa la documentación de
soporte técnico del hipervisor.

Eventos Descripción

Identificador 2170
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Advertencia
Eventos Descripción

Mensaje Se detectó un cambio de id. de generación.

Id. de generación almacenado en caché en DS (valor antiguo):%1

Id. de generación actualmente en VM (valor nuevo):%2

El cambio de id. de generación se produce después de la aplicación de una

instantánea de máquina virtual, después de una operación de importación de
máquina virtual o después de una operación de migración en vivo.
<COMPUTERNAME> creará un nuevo identificador de invocación para recuperar el
controlador de dominio. Los controladores de dominio virtualizados no deben
restaurarse con instantáneas de máquina virtual. El método admitido para restaurar
o revertir el contenido de una base de datos de Active Directory Domain Services
consiste en restaurar una copia de seguridad del estado del sistema realizada con
una aplicación de copia de seguridad compatible con Active Directory Domain
Services.

Notas y Este es un evento de procedimiento correcto si el objetivo es la clonación. De lo

resolución contrario, examina el registro de eventos de Sistema.

Eventos Descripción

Identificador 2171
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje No se detectó ningún cambio de identificador de generación.

Id. de generación almacenado en caché en DS (valor antiguo):%1

Id. de generación actualmente en VM (valor nuevo):%2

Notas y Este es un evento de procedimiento correcto si el objetivo no es la clonación, y

resolución debería verse cada vez que se reinicia un controlador de dominio. De lo contrario,
examina el registro de eventos de Sistema.

Eventos Descripción

Identificador 2172
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo
Eventos Descripción

Mensaje Se leyó el atributo msDS-GenerationId del objeto de equipo del controlador de

dominio.
Valor de atributo de msDS-GenerationId:%1

Notas y Este es un evento de procedimiento correcto si el objetivo es la clonación. De lo

resolución contrario, examina el registro de eventos de Sistema.

Eventos Descripción

Identificador 2173
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje No se puede leer el atributo msDS-GenerationId del objeto de equipo del

controlador de dominio. Esto puede deberse a un error de transacción de la base de
datos o a que no existe el identificador de generación en la base de datos local. El
atributo msDS-GenerationId no existe durante el primer reinicio después de
ejecutar dcpromo o el controlador de dominio no es un controlador de dominio
virtual.
Datos adicionales

Código de error:%1

Notas y Este es un evento de procedimiento correcto si el objetivo es la clonación y es el

resolución primer reinicio de la VM una vez completada la clonación. Se puede pasar por alto
en controladores de dominio no virtuales. De lo contrario, examina el registro de
eventos de Sistema.

Eventos Descripción

Identificador 2174
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje El controlador de dominio no es un clon de controlador de dominio virtual ni una

instantánea de un controlador de dominio virtual restaurado.

Notas y Este es un evento de procedimiento correcto si el objetivo no es la clonación. De lo

resolución contrario, examina el registro de eventos de Sistema.

Eventos Descripción
Eventos Descripción

Identificador 2175
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje Hay un archivo de configuración de clonación del controlador de dominio virtual en

una plataforma no admitida.

Notas y Esto sucede cuando se encuentra un archivo dccloneconfig.xml pero no un id. de

resolución generación de máquina virtual, por ejemplo, cuando se encuentra un archivo
dccloneconfig.xml en un equipo físico o en un hipervisor que no admite un id. de
generación de máquina virtual.

Eventos Descripción

Identificador 2176
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje Se cambió el nombre del archivo de configuración del clon de controlador de

dominio virtual.
Datos adicionales

Nombre de archivo anterior:%1

Nombre de archivo nuevo:%2

Notas y Se espera un cambio de nombre al arrancar una copia de seguridad de una VM de

resolución origen, porque el identificador de generación de VM no ha cambiado. Esto impide
que el controlador de dominio de origen intente clonarse.

Eventos Descripción

Identificador 2177
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error
Eventos Descripción

Mensaje Error al cambiar el nombre del archivo de configuración de clonación del

controlador de dominio virtual.
Datos adicionales

Nombre de archivo:%1

Código de error:%2 %3

Notas y Se espera un intento de cambio de nombre al arrancar una copia de seguridad de

resolución una VM de origen, porque el identificador de generación de VM no ha cambiado.
Esto impide que el controlador de dominio de origen intente clonarse. Cambia el
nombre del archivo manualmente e investiga los productos de terceros instalados
que pudieran impedir el cambio de nombre.

Eventos Descripción

Identificador 2178
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje Se detectó el archivo de configuración del clon de controlador de dominio virtual,

pero no se cambió el identificador de generación de VM. El controlador de dominio
local es el controlador de dominio de origen del clon. Cambie el nombre del archivo
de configuración del clon.

Notas y Es previsible cuando se arranca una copia de seguridad de una VM de origen,

resolución porque el identificador de generación de VM no ha cambiado. Esto impide que el
controlador de dominio de origen intente clonarse.

Eventos Descripción

Identificador 2179
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje El atributo msDS-GenerationId del objeto de equipo del controlador de dominio

se estableció en el parámetro siguiente:
Atributo GenerationID:%1

Notas y Este es un evento de procedimiento correcto y solo es un problema si es

resolución imprevisto.
Eventos Descripción

Identificador 2180
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Advertencia

Mensaje No se pudo establecer el atributo msDS-GenerationId del objeto de equipo del

controlador de dominio.
Datos adicionales

Código de error:%1

Notas y Examina el registro de eventos de Sistema y Dcpromo.log. Busca el error específico

resolución en MS TechNet, MS Knowledgebase y en los blogs de MS para determinar su
significado habitual y, después, soluciona los problemas en función de esos
resultados.

Eventos Descripción

Identificador del 2182

evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje Evento interno: se le ha pedido al servicio de directorio que clone un DSA

remoto:

Notas y resolución Este es un evento de procedimiento correcto y solo es un problema si es

imprevisto.

Eventos Descripción

Identificador 2183
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo
Eventos Descripción

Mensaje Evento interno: <COMPUTERNAME> completó la solicitud para clonar el agente

del sistema de directorio remoto.

Nombre de DC original:%3

Nombre de DC clonado solicitado:%4

Sitio de DC clonado solicitado:%5

Datos adicionales

Valor del error:%1 %2

Notas y Este es un evento de procedimiento correcto y solo es un problema si es

resolución imprevisto.

Eventos Descripción

Identificador 2184
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje <COMPUTERNAME> no pudo crear una cuenta de controlador de dominio para el

controlador de dominio clonado.

Nombre de DC original: %1

Número permitido de DC clonados:%2

Límite en el número de cuentas de controlador de dominio que se pueden generar

mediante la clonación <de COMPUTERNAMEwas> superado.

Notas y Un único nombre de controlador de dominio de origen solo se puede generar

resolución automáticamente 9999 veces si los controladores de dominio no se reducen de
nivel, de acuerdo con la convención de nombres. Use el <elemento
computername> del XML para generar un nuevo nombre único o clonar a partir de
un controlador de dominio con nombre diferente.

Eventos Descripción

Identificador 2191
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService
Eventos Descripción

Gravedad Informativo

Mensaje <COMPUTERNAME> establece el siguiente valor del Registro para deshabilitar las
actualizaciones de DNS.

Clave del Registro:%1

Valor del Registro: %2

Datos del valor del Registro: %3

Durante el proceso de clonación, la máquina local podría tener durante un corto

período de tiempo el mismo nombre de equipo que la máquina de origen clonada.
Los registros A y AAAA de DNS están deshabilitados durante este período para que
los clientes no puedan enviar solicitudes a la máquina local que se está clonando. El
proceso de clonación habilitará las actualizaciones de DNS de nuevo una vez que
finalice la clonación.

Notas y Este es un evento de procedimiento correcto y solo es un problema si es imprevisto.

resolución

Eventos Descripción

Identificador 2192
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje <COMPUTERNAME> no pudo establecer el siguiente valor del Registro para

deshabilitar las actualizaciones de DNS.

Clave del Registro:%1

Valor del Registro: %2

Datos del valor del Registro: %3

Código de error: % 4

Mensaje de error: %5

Durante el proceso de clonación, la máquina local podría tener durante un corto

período de tiempo el mismo nombre de equipo que la máquina de origen clonada.
Los registros A y AAAA de DNS están deshabilitados durante este período para que
los clientes no puedan enviar solicitudes a la máquina local que se está clonando.

Notas y Examina los registros de eventos de aplicación y del sistema. Investiga aplicaciones
resolución de terceros que pudieran estar bloqueando las actualizaciones del Registro.
Eventos Descripción

Identificador 2193
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje <COMPUTERNAME> establece el siguiente valor del Registro para habilitar las
actualizaciones de DNS.

Clave del Registro:%1

Valor del Registro: %2

Datos del valor del Registro: %3

Durante el proceso de clonación, la máquina local podría tener durante un corto

período de tiempo el mismo nombre de equipo que la máquina de origen clonada.
Los registros A y AAAA de DNS están deshabilitados durante este período para que
los clientes no puedan enviar solicitudes a la máquina local que se está clonando.

Notas y Este es un evento de procedimiento correcto y solo es un problema si es imprevisto.

resolución

Eventos Descripción

Identificador 2194
del evento

-- --

Gravedad Error

Mensaje <COMPUTERNAME> no pudo establecer el siguiente valor del Registro para

habilitar las actualizaciones de DNS.

Clave del Registro:%1

Valor del Registro: %2

Datos del valor del Registro: %3

Código de error: % 4

Mensaje de error: %5

Durante el proceso de clonación, la máquina local podría tener durante un corto

período de tiempo el mismo nombre de equipo que la máquina de origen clonada.
Los registros A y AAAA de DNS están deshabilitados durante este período para que
los clientes no puedan enviar solicitudes a la máquina local que se está clonando.
Eventos Descripción

Notas y Examina los registros de eventos de aplicación y del sistema. Investiga aplicaciones
resolución de terceros que pudieran estar bloqueando las actualizaciones del Registro.

Eventos Descripción

Identificador 2195
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje No se pudo establecer el modo de arranque de DSRM.

Código de error:%1

Mensaje de error:%2

Cuando se produzca un error de clonación del controlador de dominio virtual o

cuando aparezca el archivo de configuración de clonación del controlador de
dominio virtual en un hipervisor no admitido, la máquina local se reiniciará en
DSRM para solucionar los problemas. Error al establecer el arranque de DSRM.

Notas y Examina los registros de eventos de aplicación y del sistema. Investiga aplicaciones
resolución de terceros que pudieran estar bloqueando las actualizaciones del Registro.

Eventos Descripción

Identificador 2196
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje No se pudo establecer el privilegio de apagado.

Código de error:%1

Mensaje de error:%2

Cuando se produzca un error de clonación del controlador de dominio virtual o

cuando aparezca el archivo de configuración de clonación del controlador de
dominio virtual en un hipervisor no admitido, la máquina local se reiniciará en
DSRM para solucionar los problemas. Error al habilitar el privilegio de apagado.

Notas y Examina los registros de eventos de aplicación y del sistema. Investiga aplicaciones
resolución de terceros que pudieran estar bloqueando el uso de privilegios.

Eventos Descripción
Eventos Descripción

Identificador 2197
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje No se pudo iniciar el apagado del sistema.

Código de error:%1

Mensaje de error:%2

Cuando se produzca un error de clonación del controlador de dominio virtual o

cuando aparezca el archivo de configuración de clonación del controlador de
dominio virtual en un hipervisor no admitido, la máquina local se reiniciará en
DSRM para solucionar los problemas. Error al iniciar el apagado del sistema.

Notas y Examina los registros de eventos de aplicación y del sistema. Investiga aplicaciones
resolución de terceros que pudieran estar bloqueando el uso de privilegios.

Eventos Descripción

Identificador 2198
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje <COMPUTERNAME> no pudo crear o modificar el siguiente objeto dc clonado.

Datos adicionales:

Objeto:

%1

Valor del error: %2

%3

Notas y Busca el error específico en MS TechNet, MS Knowledgebase y en los blogs de MS

resolución para determinar su significado habitual y, después, soluciona los problemas en
función de esos resultados.

Eventos Descripción

Identificador 2199
del evento
Eventos Descripción

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje <COMPUTERNAME> no pudo crear el siguiente objeto dc clonado porque el objeto

ya existe.

Datos adicionales:

Controlador de dominio de origen:

%1

Objeto:

%2

Notas y Comprueba que el archivo dccloneconfig.xml no especifique un controlador de

resolución dominio existente o no se hayan usado copias del archivo dccloneconfig.xml en
varios clones sin editar el nombre. Si aún no se prevé ningún conflicto, determina
qué administrador lo promovió y ponte en contacto con él para determinar si el
controlador de dominio existente debe disminuirse de nivel, si se deben limpiar los
metadatos del controlador de dominio existente o si el clon debe usar un nombre
diferente.

Eventos Descripción

Identificador 2203
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje Error en la última clonación del controlador de dominio virtual. Este es el primer
reinicio desde entonces, por lo que debería ser un reintento de la clonación. Sin
embargo, no existe un archivo de configuración del clon del controlador de
dominio virtual ni se ha detectado un cambio de identificador de generación de
máquina virtual. Arranque en DSRM.
Error en la última clonación del controlador de dominio virtual:%1

El archivo de configuración de clonación del controlador de dominio virtual

existen:%2

Se ha detectado un cambio de identificación de generación de máquina virtual:%3

Notas y Es previsible si ya se había producido un error en la clonación, debido a un archivo

resolución dccloneconfig.xml que falta o no es válido.

Eventos Descripción
Eventos Descripción

Id. de 2210
evento

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Message <COMPUTERNAME> no pudo crear objetos para el controlador de dominio clonado.

Datos adicionales:

Id. de clon: %6

Nombre del controlador de dominio clonado: %1

Bucle de reintentos: %2

Valor de excepción: %3

Valor del error: %4

DSID: %5

Notas y Revisa los registros de eventos de Sistema y Servicios de directorio, así como
resolución dcpromo.log, para obtener más información sobre el motivo del error de la clonación.

Eventos Descripción

Id. de evento 2211

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Message <COMPUTERNAME> ha creado objetos para clonar el controlador de dominio.

Datos adicionales:

Id. de clon: %3

Nombre del controlador de dominio clonado: %1

Bucle de reintentos: %2

Notas y Este es un evento de procedimiento correcto y solo es un problema si es

resolución imprevisto.

Eventos Descripción

Id. de evento 2212

Source Microsoft-Windows-ActiveDirectory_DomainService
Eventos Descripción

Gravedad Informativo

Message <COMPUTERNAME> comenzó a crear objetos para el controlador de dominio

clonado.
Datos adicionales:

Id. de clon: %1

Nombre del clon: %2

Sitio del clon: %3

RODC del clon: %4

Notas y Este es un evento de procedimiento correcto y solo es un problema si es

resolución imprevisto.

Eventos Descripción

Id. de evento 2213

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Message <COMPUTERNAME> creó un nuevo objeto KrbTgt para Read-Only clonación de

controladores de dominio.
Datos adicionales:

Id. de clon: %1

GUID del nuevo objeto KrbTgt: %2

Notas y Este es un evento de procedimiento correcto y solo es un problema si es

resolución imprevisto.

Eventos Descripción

Id. de evento 2214

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo
Eventos Descripción

Message <COMPUTERNAME> creará un objeto de equipo para el controlador de dominio

clonado.
Datos adicionales:

Id. de clon: %1

Controlador de dominio original: %2

Controlador de dominio clonado: %3

Notas y Este es un evento de procedimiento correcto y solo es un problema si es

resolución imprevisto.

Eventos Descripción

Id. de evento 2215

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Message <COMPUTERNAME> agregará el controlador de dominio clonado en el

siguiente sitio.
Datos adicionales:

Id. de clon: %1

Sitio: %2

Notas y Este es un evento de procedimiento correcto y solo es un problema si es

resolución imprevisto.

Eventos Descripción

Id. de evento 2216

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Message <COMPUTERNAME> creará un contenedor de servidores para el controlador de

dominio clonado.
Datos adicionales:

Id. de clon: %1

Contenedor de servidores: %2
Eventos Descripción

Notas y Este es un evento de procedimiento correcto y solo es un problema si es

resolución imprevisto.

Eventos Descripción

Id. de evento 2217

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Message <COMPUTERNAME> creará un objeto de servidor para el controlador de

dominio clonado.
Datos adicionales:

Id. de clon: %1

Objeto de servidor: %2

Notas y Este es un evento de procedimiento correcto y solo es un problema si es

resolución imprevisto.

Eventos Descripción

Id. de evento 2218

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Message <COMPUTERNAME> creará un objeto NTDS Configuración para el controlador de

dominio clonado.
Datos adicionales:

Id. de clon: %1

Objeto: %2

Notas y Este es un evento de procedimiento correcto y solo es un problema si es

resolución imprevisto.

Eventos Descripción

Id. de evento 2219

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo
Eventos Descripción

Message <COMPUTERNAME> creará objetos de conexión para el controlador de dominio

Read-Only clonado.
Datos adicionales:

Id. de clon: %1

Notas y Este es un evento de procedimiento correcto y solo es un problema si es

resolución imprevisto.

Eventos Descripción

Id. de evento 2220

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Message <COMPUTERNAME> creará objetos SYSVOL para el clon Read-Only controlador

de dominio.
Datos adicionales:

Id. de clon: %1

Notas y Este es un evento de procedimiento correcto y solo es un problema si es

resolución imprevisto.

Eventos Descripción

Id. de 2221
evento

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Message <COMPUTERNAME> no pudo generar una contraseña aleatoria para el controlador de

dominio clonado.
Datos adicionales:

Id. de clon: %1

Nombre del controlador de dominio clonado: %2

Error: %3 %4

Notas y Examina el registro de eventos de Sistema para obtener más información sobre el
resolución motivo por el que no se pudo crear la contraseña de la cuenta de la máquina.

Eventos Descripción
Eventos Descripción

Id. de 2222
evento

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Message <COMPUTERNAME> no pudo establecer la contraseña para el controlador de dominio

clonado.
Datos adicionales:

Id. de clon: %1

Nombre del controlador de dominio clonado: %2

Error: %3 %4

Notas y Examina el registro de eventos de Sistema para obtener más información sobre el
resolución motivo por el que no se pudo establecer la contraseña de la cuenta de la máquina.

Eventos Descripción

Id. de 2223
evento

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Message <COMPUTERNAME> estableció correctamente la contraseña de la cuenta de equipo

para el controlador de dominio clonado.
Datos adicionales:

Id. de clon: %1

Nombre del controlador de dominio clonado: %2

Número total de reintentos: %3

Notas y Este es un evento de procedimiento correcto y solo es un problema si es imprevisto.

resolución

Eventos Descripción

Id. de 2224
evento

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error
Eventos Descripción

Message Error de clonación del controlador de dominio virtual. En el equipo clonado existen las
siguientes %1 cuentas de servicio administradas:
%2

Para que la clonación se realice correctamente, deben quitarse todas las cuentas de
servicio administradas. Para ello, usa el cmdlet de PowerShell Remove-
ADComputerServiceAccount.

Notas y Es previsible cuando se usan MSA independientes (no MSA de grupo). No sigas el
resolución consejo del evento de quitar la cuenta; está escrito incorrectamente. Use Uninstall-
AdServiceAccount : https://technet.microsoft.com/library/hh852310.

MSA independientes: se lanzaron por primera vez en Windows Server 2008 R2 y se

reemplazaron en Windows Server 2012 con MSA de grupo (gMSA). Las GMSA admiten
la clonación.

Eventos Descripción

Id. de 2225
evento

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Message Los secretos en caché de la siguiente entidad de seguridad se han quitado

correctamente del controlador de dominio local:
%1

Después de clonar un controlador de dominio de solo lectura, los secretos

previamente guardados en caché en el controlador de dominio de solo lectura origen
de la clonación se quitarán del controlador de dominio clonado.

Notas y Este es un evento de procedimiento correcto y solo es un problema si es imprevisto.

resolución

Eventos Descripción

Id. de 2226
evento

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error
Eventos Descripción

Message Error al quitar los secretos en caché de la siguiente entidad de seguridad del
controlador de dominio local:
%1

Error: %2 (%3)

Después de clonar un controlador de dominio de solo lectura, los secretos

previamente guardados en caché del controlador de dominio de solo lectura origen de
la clonación deben eliminarse del clon para reducir el riesgo de que un atacante pueda
obtener esas credenciales del clon robado o comprometido. Si la entidad de seguridad
es una cuenta con muchos privilegios y debería estar protegida frente a estas
amenazas, use la operación de rootDSE rODCPurgeAccount para borrar manualmente
sus secretos en el controlador de dominio local.

Notas y Examina los registros de eventos de Sistema y Servicios de directorio para obtener más
resolución información.

Eventos Descripción

Id. de 2227
evento

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Message Se produjo una excepción al intentar quitar los secretos en caché del controlador de
dominio local.
Datos adicionales:

Valor de excepción: %1

Valor del error: %2

DSID: %3

Después de clonar un controlador de dominio de solo lectura, los secretos

previamente guardados en caché del controlador de dominio de solo lectura origen de
la clonación deben eliminarse del clon para reducir el riesgo de que un atacante pueda
obtener esas credenciales del clon robado o comprometido. Si alguna de las entidades
de seguridad es una cuenta con muchos privilegios y debería estar protegida frente a
estas amenazas, usa la operación de rootDSE rODCPurgeAccount para borrar
manualmente sus secretos en el controlador de dominio local.

Notas y Examina los registros de eventos de Sistema y Servicios de directorio para obtener más
resolución información.
Eventos Descripción

Id. de 2228
evento

Source Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Message El id. de generación de la máquina virtual en la base de datos de Active Directory de

este controlador de dominio difiere del valor actual de esta máquina virtual. Sin
embargo, no se pudo encontrar un archivo de configuración del clon del controlador
de dominio virtual (DCCloneConfig.xml), por lo que no se intentó la clonación del
controlador de dominio. Si tu intención era realizar una operación de este tipo,
asegúrate de que se proporcione un DCCloneConfig.xml en cualquiera de las
ubicaciones admitidas. Asimismo, la dirección IP de este controlador de dominio está
en conflicto con la dirección IP de otro controlador de dominio. Para evitar que haya
interrupciones en el servicio, el controlador de dominio se ha configurado para
arrancar en DSRM.
Datos adicionales:

Dirección IP duplicada: %1

Notas y Este mecanismo de protección detiene los controladores de dominio duplicados

resolución cuando es posible (no lo hará cuando se usa DHCP, por ejemplo). Agrega un archivo
DcCloneConfig.xml válido, quita el indicador DSRM y vuelve a intentar la clonación.

Eventos Descripción

Id. de 29218
evento

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Error

Message Error de clonación del controlador de dominio virtual. La operación de clonación no se

pudo completar y el controlador de dominio clonado se reinició en modo de
restauración de servicios de directorio (DSRM).
Comprueba los eventos anteriormente registrados y
%systemroot%\debug\dcpromo.log para obtener más información sobre los errores
correspondientes al intento de clonación del controlador de dominio virtual y si esta
imagen clonada puede volver a usarse o no.

Si una o más entradas de registro indican que el proceso de clonación no se puede

recuperar, la imagen debe destruirse de forma segura. Si los registros indican que el
proceso de clonación puede volver a intentarse, soluciona los errores, borra la bandera
de inicio de DSRM y reinicia de forma normal. Tras el reinicio, volverá a intentarse la
operación de clonación.
Eventos Descripción

Notas y Revisa los registros de eventos de Sistema y Servicios de directorio, así como
resolución dcpromo.log, para obtener más información sobre el motivo del error de la clonación.

Eventos Descripción

Id. de evento 29219

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Informativo

Message La clonación del controlador de dominio virtual se realizó correctamente.

Notas y Este es un evento de procedimiento correcto y solo es un problema si es

resolución imprevisto.

Eventos Descripción

Id. de 29248
evento

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Error

Message La clonación del controlador de dominio virtual no pudo obtener la notificación de

Winlogon. El código de error devuelto es %1 (%2).
Para obtener más información acerca del error, busca en
%systemroot%\debug\dcpromo.log errores correspondientes al intento de clonación
del controlador de dominio virtual.

Notas y Ponte en contacto con el soporte técnico de Microsoft.

resolución

Eventos Descripción

Id. de 29249
evento

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Error
Eventos Descripción

Message La clonación de controlador de dominio virtual no pudo analizar el archivo de

configuración de controlador de dominio virtual.
El código HRESULT devuelto es %1.

El archivo de configuración es:%2

Soluciona los errores en el archivo de configuración y vuelve a intentar la operación de

clonación.

Para obtener más información sobre este error, consulta

%systemroot%\debug\dcpromo.log.

Notas y Comprueba si el archivo dclconeconfig.xml contiene errores de sintaxis usando un

resolución editor XML y el archivo de esquema DCCloneConfigSchema.xsd.

Eventos Descripción

Id. de 29250
evento

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Error
Eventos Descripción

Message Error de clonación del controlador de dominio virtual. Hay software o tareas actualmente
habilitados en el controlador de dominio virtual clonado que no están presentes en la lista
de aplicaciones permitidas para la clonación del controlador de dominio virtual.
A continuación se indican las entradas que faltan:

%2

%1 (si hay) se usó como la lista de inclusión definida.

No se puede completar la operación de clonación si hay aplicaciones instaladas que no

pueden clonarse.

Ejecuta el cmdlet Get-ADDCCloningExcludedApplicationList de Active Directory PowerShell

para comprobar cuáles son las aplicaciones que están instaladas en el equipo clonado,
pero que no se incluyen en la lista de aplicaciones permitidas, y agrégalas a dicha lista si
son compatibles con la clonación del controlador de dominio virtual. Si alguna de estas
aplicaciones no es compatible con la clonación del controlador de dominio virtual,
desinstálala antes de volver a intentar la operación de clonación.

El proceso de clonación del controlador de dominio virtual busca el archivo con la lista de
aplicaciones permitidas, CustomDCCloneAllowList.xml, en el siguiente orden; se utiliza el
primer archivo que se encuentra y se omiten los demás:

1. Nombre del valor del Registro:

HKey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters\AllowListFolder

2. El mismo directorio donde reside la carpeta directorio de trabajo de DSA

3. %windir%\NTDS

4. Medios de lectura y escritura extraíbles en orden de letra de unidad en la raíz de la

unidad

Notas y Sigue las instrucciones del mensaje.

resolución

Eventos Descripción

Id. de 29251
evento

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Error
Eventos Descripción

Message La clonación del controlador de dominio virtual no pudo restablecer las direcciones IP
de la máquina clonada.
El código de error devuelto es %1 (%2).

Puede que este error se deba a un error de configuración en las secciones de

configuración de red en el archivo de configuración del controlador de dominio virtual.

Consulta %systemroot%\debug\dcpromo.log para obtener más información acerca de

los errores correspondientes al restablecimiento de direcciones IP durante los intentos
de clonación de controladores de dominio virtual.

Puede encontrar detalles sobre cómo restablecer las direcciones IP de la máquina

clonada en https://go.microsoft.com/fwlink/?LinkId=208030

Notas y Comprueba que información de las direcciones IP establecida en dccloneconfig.xml sea

resolución válida y no duplique la máquina de origen original.

Eventos Descripción

Id. de 29253
evento

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Error

Message Error de clonación del controlador de dominio virtual. El controlador de dominio

clonado no pudo encontrar el maestro de operaciones del controlador de dominio
principal (PDC) en el dominio principal del equipo clonado de la máquina clonada.
El código de error devuelto es %1 (%2).

Comprueba que el controlador de dominio principal en el dominio principal de la

máquina clonada esté asignado a un controlador de dominio activo, esté en línea y sea
operativo. Comprueba que la máquina clonada tenga conectividad LDAP/RPC al
controlador de dominio principal en los puertos y protocolos necesarios.

Notas y Comprueba que se haya establecido la información sobre DNS e IP del controlador de
resolución dominio clonado. Use Dcdiag.exe /test:locatorcheck para validar si el PDCE está en
línea, use Nltest.exe /server:<PDCE> /dclist:<domain> para la RPC válida, obtenga una
captura de red de la PDCE mientras se produce un error en la clonación y analice el
tráfico.

Eventos Descripción

Id. de 29254
evento
Eventos Descripción

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Error

Message La clonación del controlador de dominio virtual no pudo enlazar con el controlador de
dominio principal %1.
El código de error devuelto es %2 (%3).

Comprueba que el controlador de dominio principal %1 esté en línea y sea operativo.

Comprueba que la máquina clonada tenga conectividad LDAP/RPC al controlador de
dominio principal en los puertos y protocolos necesarios.

Notas y Comprueba que se haya establecido la información sobre DNS e IP del controlador de
resolución dominio clonado. Use Dcdiag.exe /test:locatorcheck para validar si el PDCE está en
línea, use Nltest.exe /server:<PDCE> /dclist:<domain> para la RPC válida, obtenga una
captura de red de la PDCE mientras se produce un error en la clonación y analice el
tráfico.

Eventos Descripción

Id. de 29255
evento

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Error

Message Error de clonación del controlador de dominio virtual.

Un intento de crear objetos en el controlador de dominio principal %1 necesario para
clonar la imagen devolvió el error %2 (%3).

Comprueba que el controlador de dominio clonado tiene privilegios para clonarse a sí

mismo. Comprueba los eventos relacionados en el registro de eventos de Servicios de
directorio en el controlador de dominio principal %1.

Notas y Busca el error específico en MS TechNet, MS Knowledgebase y en los blogs de MS para

resolución determinar su significado habitual y, después, soluciona los problemas en función de
esos resultados.

Eventos Descripción

Id. de 29256
evento

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Error
Eventos Descripción

Message Error al intentar establecer la marca de arranque en el Modo de restauración de

servicios de directorio %1.
Consulta %systemroot%\debug\dcpromo.log para obtener más información sobre los
errores.

Notas y Examina el registro de Servicios de directorio y dcpromo.log para obtener más

resolución información. Examina los registros de eventos de aplicación y del sistema. Investiga
aplicaciones de terceros que pudieran estar bloqueando el uso de privilegios.

Eventos Descripción

Id. de 29257
evento

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Error

Message Se ha realizado la clonación del controlador de dominio virtual. Error al intentar

reiniciar el equipo. Código de error %1.
Reinicia el equipo para finalizar la operación de clonación.

Notas y Examina los registros de eventos de aplicación y del sistema. Investiga aplicaciones de
resolución terceros que pudieran estar bloqueando el uso de privilegios.

Eventos Descripción

Id. de 29264
evento

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Error

Message Error al intentar borrar la marca de arranque en el Modo de restauración de servicios

de directorio. Código de error: %1.
Consulta %systemroot%\debug\dcpromo.log para obtener más información sobre los
errores.

Notas y Examina el registro de Servicios de directorio y dcpromo.log para obtener más

resolución información. Examina los registros de eventos de aplicación y del sistema. Investiga
aplicaciones de terceros que pudieran estar bloqueando el uso de privilegios.

Eventos Descripción

Id. de 29265
evento
Eventos Descripción

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Informativo

Message La clonación del controlador de dominio virtual se realizó correctamente. Se ha

cambiado el nombre del archivo de configuración de clonación del controlador de
dominio virtual %1 a %2.

Notas y N/D. Este es un evento de procedimiento correcto.

resolución

Eventos Descripción

Id. de 29266
evento

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Error

Message La clonación del controlador de dominio virtual se realizó correctamente. Error al

intentar cambiar el nombre del archivo de configuración de clonación del controlador
de dominio virtual %1. Código de error: %2 (%3).

Notas y Cambia manualmente el nombre del archivo dccloneconfig.xml.

resolución

Eventos Descripción

Id. de 29267
evento

Source Microsoft-Windows-DirectoryServices-DSROLE-Server

Gravedad Error

Message Error del controlador de dominio virtual al comprobar la lista de aplicaciones con
permiso para clonar el controlador de dominio virtual.
El código de error devuelto es %1 (%2).

La causa podría ser un error de sintaxis en el archivo de lista de permitidos para clonar
(el archivo que se está comprobando actualmente es: %3). Para obtener más
información sobre este error, consulta %systemroot%\debug\dcpromo.log.

Notas y Sigue las instrucciones del evento.

resolución

mensajes de error
No hay errores interactivos directos para la clonación incorrecta de controladores de
dominio virtualizados; toda la información sobre la clonación se registra en los registros
de Sistema y de Servicios de directorio, y la promoción de controladores de dominio se
registra en dcpromo.log. Sin embargo, si el servidor arranca en el modo de restauración
de DS, investiga inmediatamente porque se ha producido un error de promoción o de
clonación.

El registro dcpromo.log es el primer lugar donde se comprueban los errores de clonación.

Según el error indicado, puede ser necesario revisar después los registros de Sistema y de
Servicios de directorio para continuar el diagnóstico.

Problemas conocidos y escenarios de soporte

Los siguientes son problemas habituales que se observan durante el proceso de

desarrollo de Windows Server 2012. Todos ellos son problemas debidos al diseño, y
tienen una solución válida o una técnica más apropiada para evitar que se produzcan.
Algunos podrían resolverse en versiones posteriores de Windows Server 2012.

Problema Error de clonación, DSRM

Síntomas El clon arranca en el modo de restauración de servicios de directorio.

Solución Valida todos los pasos seguidos en las secciones Implementar un controlador de
y notas dominio virtualizado y Metodología general para solucionar problemas de clonación de
controladores de dominio

Descrito en KB 2742844.

Problema Concesiones de IP adicionales al usar DHCP para clonar

Síntomas Después de clonar correctamente un controlador de dominio y de usar DHCP, el primer

arranque del clon toma una concesión de DHCP. Después, cuando se cambia el nombre
del servidor y se reinicia como un controlador de dominio, toma una segunda
concesión de DHCP. La primera dirección IP no se libera y termina con una concesión
"fantasma".

Solución Elimina manualmente la concesión de la dirección no utilizada en DHCP o deja que

y notas expire normalmente. Descrito en KB 2742836.

Problema Error de clonación en DSRM después de un retraso muy largo

Síntomas La clonación parece pausarse en "Clonación del controlador de dominio completada al

X%" de 8 a 15 minutos. Después, se produce un error de clonación y arranca en DSRM.
Problema Error de clonación en DSRM después de un retraso muy largo

Solución El equipo clonado no puede obtener una dirección IP dinámica de DHCP o SLAAC, o
y notas está usando una dirección IP duplicada, o no encuentra el PDC. Los múltiples reintentos
que realiza la clonación provocan el retraso. Resuelve el problema de red para permitir
la clonación.
Descrito en KB 2742844.

Problema La clonación no vuelve a crear todos los nombres de entidad de seguridad de

servicio

Síntomas Si un conjunto de nombres de entidad de seguridad de servicio (SPN) en tres partes

incluye un nombre NetBIOS con un puerto y otro nombre NetBIOS idéntico salvo que
sin puerto, la entrada sin puerto no se vuelve a crear con el nuevo nombre de equipo.
Por ejemplo:

customspn/DC1:200/app1 INVALID USE OF SYMBOLS se vuelve a crear con el nuevo

nombre de equipo

customspn/DC1/app1 INVALID USE OF SYMBOLS no se vuelve a crear con el nuevo

nombre de equipo

Los nombres completos se vuelven a crear así como los SPN que no tienen tres partes,
independientemente de los puertos. Por ejemplo, estos se vuelven a crear
correctamente en el clon:

customspn/DC1:202 INVALID USE OF SYMBOLS se vuelve a crear

customspn/DC1 INVALID USE OF SYMBOLS se vuelve a crear

customspn/DC1.corp.contoso.com:202 INVALID USE OF SYMBOLS este es el nombre que

se ha vuelto a crear

customspn/DC1.corp.contoso.com INVALID USE OF SYMBOLS se vuelve a crear

Solución Esta es una limitación del proceso de cambio de nombre de los controladores de
y notas dominio en Windows, no solo en la clonación. La lógica de cambio de nombre no trata
los SPN con tres partes en ningún escenario. La mayoría de los servicios incluidos en
Windows no se ven afectados, porque vuelven a crear los SPN que faltan según sea
necesario. Otras aplicaciones pueden necesitar que se especifique manualmente el SPN
para solucionar el problema.
Descrito en KB 2742874.

Problema Error de clonación, arranca en DSRM, errores de red generales

Síntomas El clon arranca en el modo de reparación de servicios de directorio. Hay errores de red
generales.
Problema Error de clonación, arranca en DSRM, errores de red generales

Solución Asegúrate de que el controlador de dominio de origen no haya asignado una dirección
y notas MAC estática duplicada al nuevo clon; para ver si una máquina virtual usa direcciones
MAC estáticas, ejecuta este comando en el host del hipervisor tanto para la máquina
virtual de origen como para la clonada:
Get-VM -VMName test-vm | Get-VMNetworkAdapter | fl *

Cambia la dirección MAC por una dirección estática única o cambia para usar
direcciones MAC dinámicas.

Descrito en KB 2742844

Problema Error de clonación, arranca en DSRM como duplicado del controlador de dominio de
origen

Síntomas Un nuevo clon arranca sin clonación. El archivo dccloneconfig.xml no cambia de

nombre y el servidor se inicia en el modo de restauración de DS. El registro de eventos
de Servicios de directorio muestra el error 2164.
<COMPUTERNAME> no pudo iniciar el servicio DsRoleSvc para clonar el controlador de
dominio virtual local.

Solución Examina la configuración del servicio Servidor de roles de DS (DsRoleSvc) y asegúrate

y notas de que el tipo de inicio es Manual. Comprueba que ningún programa de terceros esté
impidiendo el inicio del servicio.
Para obtener más información sobre cómo reclamar este controlador de dominio
secundario y, al mismo tiempo, asegurarte de que se producen la replicación de salida
de las actualizaciones, consulta el artículo 2742970 de Microsoft KB.

Problema Error de clonación, arranca en DSRM, error 8610

Síntomas El clon arranca en el modo de restauración de servicios de directorio. Dcpromo.log

muestra el error 8610 (que es ERROR_DS_ROLE_NOT_VERIFIED 8610 o 0x21A2)

Solución Se producirá si el PDC se puede detectar pero no ha realizado una replicación

y notas suficiente para poder asumir el rol. Por ejemplo, si la clonación empieza y otro
administrador mueve el rol FSMO del PDCE a un nuevo controlador de dominio.
Descrito en KB 2742916.

Problema Error de clonación, arranca en DSRM, errores de red generales

Síntomas El clon arranca en el modo de restauración de servicios de directorio. Hay errores de

red generales.
Problema Error de clonación, arranca en DSRM, errores de red generales

Solución Asegúrate de que el controlador de dominio de origen no haya asignado una dirección
y notas MAC estática duplicada al nuevo clon; para ver si una máquina virtual usa direcciones
MAC estáticas, ejecuta este comando en el host de Hyper-V tanto para la máquina
virtual de origen como para la clonada:
Get-VM -VMName test-vm | Get-VMNetworkAdapter | fl *

Cambia la dirección MAC por una dirección estática única o cambia para usar
direcciones MAC dinámicas.

Descrito en KB 2742844.

Problema Error de clonación, arranca en DSRM

Síntomas El clon arranca en el modo de reparación de servicios de directorio.

Solución y Asegúrate de que dccloneconfig.xml contiene la definición del esquema (consulta

notas sampledccloneconfig.xml, línea 2):
<d3c:DCCloneConfig xmlns:d3c="uri:microsoft.com:schemas:DCCloneConfig">

Descrito en KB 2742844

Problema Error al iniciar sesión en DSRM porque no hay disponibles servidores de inicio de
sesión.

Síntomas El clon arranca en el modo de reparación de servicios de directorio. Intentas iniciar

sesión y recibes el error:
Actualmente no hay servidores de inicio de sesión disponibles para atender la
solicitud de inicio de sesión.

Solución Asegúrate de iniciar sesión con la cuenta de administrador de DSRM y no con la cuenta
y notas de dominio. Usa la flecha izquierda y escribe un nombre de usuario de:
.\administrator

Descrito en KB 2742908.

Problema El origen del clon se inicia en DSRM, error

Síntomas Durante la clonación, se produce el error 8437 "Create clone DC objects on PDC failed"
(Error al crear objetos de controlador de dominio en el PDC) (0x20f5)

Solución Se estableció un nombre de equipo duplicado en DCCloneConfig.xml como

y notas controlador de dominio de origen o un controlador de dominio existente. El nombre
del equipo también tiene que tener el formato de nombre de equipo NetBIOS (15
caracteres o menos, no un nombre completo).
Corrige el archivo dccloneconfig.xml estableciendo un nombre válido, único.

Descrito en KB 2742959.
 Problema Error de New-addccloneconfigfile, "el índice estaba fuera del intervalo"

Síntomas Al ejecutar el cmdlet new-addccloneconfigfile, recibes el error:

El índice estaba fuera del intervalo. Debe ser un valor no negativo e inferior al tamaño
de la colección.

Solución Debes ejecutar el cmdlet en una consola de Windows PowerShell con privilegios
y notas elevados de administrador. Este error está causado por la no pertenencia al grupo de
administradores local del equipo.
Descrito en KB 2742927.

Problema Error de clonación, controlador de dominio duplicado

Síntomas El clon arranca sin clonar, duplica un controlador de dominio de origen existente

Solución El equipo se copió y se inició, pero no contiene ningún archivo DcCloneConfig.xml en

y notas ninguna de las ubicaciones admitidas, y no tenía ninguna dirección IP duplicada con el
controlador de dominio de origen. El controlador de dominio debe quitarse
correctamente para evitar la pérdida de datos.
Descrito en KB 2742970.

Problema New-ADDCCloneConfigFile genera un error y notifica que el servidor no está

operativo cuando comprueba si el controlador de dominio de origen es miembro del
grupo de controladores de dominio clonables si un GC no está disponible.

Síntomas Al ejecutar New-ADDCCloneConfigFile para crear un archivo dccloneconfig.xml, recibes

el error:
Código: el servidor no está operativo

Solución Comprueba la conectividad con un GC desde el servidor donde ejecutas New-

y notas ADDCCloneConfigFile y comprueba que la pertenencia del controlador de dominio de
origen al grupo de controladores de dominio clonable se ha replicado en ese GC.
Ejecuta el siguiente comando como un medio de limpiar la memoria caché del servicio
de ubicación del controlador de dominio en los casos en los que un GC o un
controlador de dominio se haya desconectado recientemente:

Código: nltest /dsgetdc: /GC /FORCE

Solución avanzada de problemas

El objetivo de este módulo es enseñar la solución avanzada de problemas usando
registros de trabajo como muestras, con algunas explicaciones de lo que ocurrió. Si
comprendes cómo funciona correctamente un controlador de dominio virtualizado, los
errores de tu entorno te resultarán más obvios. Estos registros se presentan por origen,
con los eventos previstos (aunque sean advertencias y errores) relativos a un controlador
de dominio dentro de cada registro, en orden ascendente.
Clonar un controlador de dominio
En este ejemplo, el controlador de dominio clonado usa DHCP para obtener una dirección
IP, replica SYSVOL usando FRS o DFSR (consulta el registro correspondiente cuando sea
necesario), es un catálogo global y usa un archivo dccloneconfig.xml en blanco.

Registro de eventos de Servicios de directorio

El registro de Servicios de directorio contiene la mayoría de la información operativa

basada en eventos relativa a la clonación. El hipervisor cambia el id. de generación de VM
y el servicio NTDS lo anota; después, invalida el grupo de RID y cambia el id. de
invocación. Se establece el nuevo id. de generación de VM y el servidor replica los datos
de Active Directory de entrada. El servicio DFSR se detiene y se elimina su base de datos,
que hospeda SYSVOL, lo que obliga a una sincronización de entrada no autoritativa. Se
ajusta la marca de límite superior de USN.

Identificador Origen Mensaje

del evento

2160 ActiveDirectory_DomainService Active Directory Domain Services local encontró un

archivo de configuración de clonación de controladores
de dominio virtuales.
El archivo de configuración de clonación de controladores
de dominio virtuales se encuentra en:

<ruta de acceso>\DCCloneConfig.xml

La existencia del archivo de configuración de clonación de

controladores de dominio virtuales indica que el
controlador de dominio virtual local es un clon de otro
controlador de dominio virtual. Active Directory Domain
Services empezará a clonarse a sí mismo.
Identificador Origen Mensaje
del evento

2191 ActiveDirectory_DomainService Active Directory Domain Services establecieron el valor

del Registro siguiente para deshabilitar las actualizaciones
de DNS.
Claves del Registro:

SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor del Registro:

UseDynamicDns

Datos del valor del Registro:

Durante el proceso de clonación, la máquina local podría

tener durante un corto período de tiempo el mismo
nombre de equipo que la máquina de origen clonada. Los
registros A y AAAA de DNS están deshabilitados durante
este período para que los clientes no puedan enviar
solicitudes a la máquina local que se está clonando. El
proceso de clonación habilitará las actualizaciones de
DNS de nuevo una vez que finalice la clonación.

2191 ActiveDirectory_DomainService Active Directory Domain Services establecieron el valor

del Registro siguiente para deshabilitar las actualizaciones
de DNS.
Claves del Registro:

SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

Valor del Registro:

RegistrationEnabled

Datos del valor del Registro:

Durante el proceso de clonación, la máquina local podría

tener durante un corto período de tiempo el mismo
nombre de equipo que la máquina de origen clonada. Los
registros A y AAAA de DNS están deshabilitados durante
este período para que los clientes no puedan enviar
solicitudes a la máquina local que se está clonando. El
proceso de clonación habilitará las actualizaciones de
DNS de nuevo una vez que finalice la clonación.

"Information 2/7/2012 3:12:49 PM Microsoft-Windows-

ActiveDirectory_DomainService 2191 Internal
Identificador Origen Mensaje
del evento

Configuration" Servicios de dominio de Active Directory

establezca el siguiente valor del Registro para deshabilitar
las actualizaciones de DNS.

Claves del Registro:

SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Valor del Registro:

DisableDynamicUpdate

Datos del valor del Registro:

Durante el proceso de clonación, la máquina local podría

tener durante un corto período de tiempo el mismo
nombre de equipo que la máquina de origen clonada. Los
registros A y AAAA de DNS están deshabilitados durante
este período para que los clientes no puedan enviar
solicitudes a la máquina local que se está clonando. El
proceso de clonación habilitará las actualizaciones de
DNS de nuevo una vez que finalice la clonación.

2172 ActiveDirectory_DomainService Se leyó el atributo msDS-GenerationId del objeto de

equipo del controlador de dominio.
Valor de atributo msDS-GenerationId:

<Número>
Identificador Origen Mensaje
del evento

2170 ActiveDirectory_DomainService Se detectó un cambio de id. de generación.

Id. de generación almacenado en caché en DS (valor
antiguo):

<Número>

Id. de generación actualmente en VM (valor nuevo):

<Número>

El cambio de id. de generación se produce después de la

aplicación de una instantánea de máquina virtual, después
de una operación de importación de máquina virtual o
después de una operación de migración en vivo. Active
Directory Domain Services creará un nuevo id. de
invocación para recuperar el controlador de dominio. Los
controladores de dominio virtualizados no deben
restaurarse con instantáneas de máquina virtual. El
método admitido para restaurar o revertir el contenido de
una base de datos de Active Directory Domain Services
consiste en restaurar una copia de seguridad del estado
del sistema realizada con una aplicación de copia de
seguridad compatible con Active Directory Domain
Services.
Identificador Origen Mensaje
del evento

1109 ActiveDirectory_DomainService El atributo invocationID de este servidor de directorio ha

cambiado. El número de secuencia de actualización mayor
en el momento de crear la copia de seguridad es el
siguiente:
Atributo invocationID (valor anterior):

<GUID>

Atributo invocationID (valor nuevo):

<GUID>

Número de secuencias actualizadas:

<Número>

El atributo invocationID cambia cuando un servidor de

directorio se restaura desde medios de copia de
seguridad, se configura para hospedar una partición de
directorio de aplicaciones de escritura, se reanuda
después de aplicar una instantánea de máquina virtual,
después de una operación de importación de máquina
virtual o después de una operación de migración en vivo.
Los controladores de dominio virtualizados no deben
restaurarse con instantáneas de máquina virtual. El
método admitido para restaurar o revertir el contenido de
una base de datos de Active Directory Domain Services
consiste en restaurar una copia de seguridad del estado
del sistema realizada con una aplicación de copia de
seguridad compatible con Active Directory Domain
Services.

1000 ActiveDirectory_DomainService Inicio de los Servicios de dominio de Active Directory de

Microsoft completado.

1394 ActiveDirectory_DomainService Se solucionaron todos los problemas que impedían la

actualización de la base de datos de Active Directory
Domain Services. Las nuevas actualizaciones de la base de
datos de Active Directory Domain Services se están
realizando correctamente. Se reinició el servicio de Net
Logon.

2163 ActiveDirectory_DomainService Se inició el servicio DsRoleSvc para clonar el controlador

de dominio virtual local.
Identificador Origen Mensaje
del evento

326 NTDS ISAM NTDS (536) NTDSA: el motor de base de datos adjuntó
una base de datos (1, C:\Windows\NTDS\ntds.dit).
(Tiempo=0 segundos)
Secuencia temporal interna: [1] 0,000, [2] 0,000, [3] 0,000,
[4] 0,000, [5] 0,000, [6] 0,016, [7] 0,000, [8] 0,000, [9] 0,000,
[10] 0,000, [11] 0,000, [12] 0,000.

Caché guardada: 1

103 NTDS ISAM NTDS (536) NTDSA: el motor de base de datos detuvo la
instancia (0).
Apagado sucio: 0

Secuencia temporal interna: [1] 0,000, [2] 0,000, [3] 0,000,

[4] 0,000, [5] 0,032, [6] 0,000, [7] 0,000, [8] 0,000, [9] 0,031,
[10] 0,000, [11] 0,000, [12] 0,000, [13] 0,000, [14] 0,000,
[15] 0,000.

102 NTDS ISAM NTDS (536) NTDSA: el motor de base de datos

(6.02.8225.0000) inicia una nueva instancia (0).

105 NTDS ISAM NTDS (536) NTDSA: el motor de base de datos inició una
nueva instancia (0). (Tiempo=0 segundos)
Secuencia temporal interna: [1] 0,016, [2] 0,000, [3] 0,015,
[4] 0,078, [5] 0,000, [6] 0,000, [7] 0,000, [8] 0,000, [9] 0,046,
[10] 0,000, [11] 0,000.

1004 ActiveDirectory_DomainService Active Directory Domain Services se cerró correctamente.

102 NTDS ISAM NTDS (536) NTDSA: el motor de base de datos

(6.02.8225.0000) inicia una nueva instancia (0).

326 NTDS ISAM NTDS (536) NTDSA: el motor de base de datos adjuntó
una base de datos (1, C:\Windows\NTDS\ntds.dit).
(Tiempo=0 segundos)
Secuencia temporal interna: [1] 0,000, [2] 0,015, [3] 0,016,
[4] 0,000, [5] 0,031, [6] 0,000, [7] 0,000, [8] 0,000, [9] 0,000,
[10] 0,000, [11] 0,000, [12] 0,000.

Caché guardada: 1

105 NTDS ISAM NTDS (536) NTDSA: el motor de base de datos inició una
nueva instancia (0). (Tiempo=1 segundos)
Secuencia temporal interna: [1] 0,031, [2] 0,000, [3] 0,000,
[4] 0,391, [5] 0,000, [6] 0,000, [7] 0,000, [8] 0,000, [9] 0,031,
[10] 0,000, [11] 0,000.
Identificador Origen Mensaje
del evento

1109 ActiveDirectory_DomainService El atributo invocationID de este servidor de directorio ha

cambiado. El número de secuencia de actualización mayor
en el momento de crear la copia de seguridad es el
siguiente:
Atributo invocationID (valor anterior):

<GUID>

Atributo invocationID (valor nuevo):

<GUID>

Número de secuencias actualizadas:

<Número>

El atributo invocationID cambia cuando un servidor de

directorio se restaura desde medios de copia de
seguridad, se configura para hospedar una partición de
directorio de aplicaciones de escritura, se reanuda
después de aplicar una instantánea de máquina virtual,
después de una operación de importación de máquina
virtual o después de una operación de migración en vivo.
Los controladores de dominio virtualizados no deben
restaurarse con instantáneas de máquina virtual. El
método admitido para restaurar o revertir el contenido de
una base de datos de Active Directory Domain Services
consiste en restaurar una copia de seguridad del estado
del sistema realizada con una aplicación de copia de
seguridad compatible con Active Directory Domain
Services.

1168 ActiveDirectory_DomainService Error interno: se ha producido un error de Servicios de

dominio de Active Directory.
Datos adicionales

Valor del error (decimal):

Valor del error (hexadecimal):

Id. interno:

7011658
Identificador Origen Mensaje
del evento

1110 ActiveDirectory_DomainService La promoción de este controlador de dominio a catálogo

global se retrasará en el intervalo indicado.
Intervalo (minutos):

Este retraso es necesario para que las particiones de

directorio requeridas puedan prepararse antes de que se
anuncie el catálogo global. En el Registro, puedes
especificar el número de segundos que el agente de
sistema de directorio esperará antes de ascender el
controlador de dominio local a catálogo global. Para
obtener más información acerca del valor del Registro
correspondiente al anuncio de retardo del catálogo
global, consulta la Guía de sistemas distribuidos del Kit de
recursos.

103 NTDS ISAM NTDS (536) NTDSA: el motor de base de datos detuvo la
instancia (0).
Apagado sucio: 0

Secuencia temporal interna: [1] 0,000, [2] 0,000, [3] 0,000,

[4] 0,000, [5] 0,047, [6] 0,000, [7] 0,000, [8] 0,000, [9] 0,016,
[10] 0,000, [11] 0,000, [12] 0,000, [13] 0,000, [14] 0,000,
[15] 0,000.

1004 ActiveDirectory_DomainService Active Directory Domain Services se cerró correctamente.

1539 ActiveDirectory_DomainService Active Directory Domain Services no pudieron deshabilitar

la memoria caché de escritura en disco por software en el
siguiente disco duro.
Disco duro:

c:

Pueden perderse datos si se producen errores del sistema.

2179 ActiveDirectory_DomainService El atributo msDS-GenerationId del objeto de equipo del

controlador de dominio se estableció en el parámetro
siguiente:
Atributo GenerationID:

<Número>
Identificador Origen Mensaje
del evento

2173 ActiveDirectory_DomainService No se puede leer el atributo msDS-GenerationId del

objeto de equipo del controlador de dominio. Esto puede
deberse a un error de transacción de la base de datos o a
que no existe el identificador de generación en la base de
datos local. El atributo msDS-GenerationId no existe
durante el primer reinicio después de ejecutar dcpromo o
el controlador de dominio no es un controlador de
dominio virtual.
Datos adicionales

Código de error:

1000 ActiveDirectory_DomainService Inicio de los Servicios de dominio de Active Directory de

Microsoft completado, versión 6.2.8225.0.

1394 ActiveDirectory_DomainService Se solucionaron todos los problemas que impedían la

actualización de la base de datos de Active Directory
Domain Services. Las nuevas actualizaciones de la base de
datos de Active Directory Domain Services se están
realizando correctamente. Se reinició el servicio de Net
Logon.

1128 ActiveDirectory_DomainService 1128, Comprobador de coherencia de la información, "Se

creó una conexión de replicación desde el siguiente
servicio de directorio de origen al servicio de directorio
local.
Servicio de directorio de origen:

CN=NTDS Configuración,DN<> del controlador de

dominio

Servicio de directorio local:

CN=NTDS Configuración, <DN> del controlador de

dominio

Datos adicionales

Código de motivo:

0x2

ID interno de punto de creación:

f0a025d
 Identificador Origen Mensaje
del evento

1999 ActiveDirectory_DomainService El servicio de directorio de origen ha optimizado el

número de secuencia de actualización (USN) presentado
por el servicio de directorio de destino. Los servicios de
directorio de destino y de origen tienen un asociado de
replicación en común. El servicio de directorio de destino
está actualizado con el asociado de replicación común y
el servicio de directorio de origen se instaló utilizando una
copia de seguridad de este asociado.
Id. de servicio de directorio de destino:

<GUID> (<FQDN>)

Id. de servicio de directorio común:

<GUID>

USN de la propiedad común:

<Número>

Como resultado, el vector de actualización del servicio de

directorio de destino se ha configurado de la siguiente
forma.

USN del objeto anterior:

USN de la propiedad anterior:

GUID de la base de datos:

<GUID>

USN de objeto:

<Número>

USN de la propiedad:

<Número>

Registro de eventos del sistema

Las siguientes indicaciones sobre las operaciones de clonación están en el registro de

eventos de Sistema. Cuando el hipervisor indica al equipo invitado que fue clonado o
restaurado a partir de una instantánea, el controlador de dominio invalida
inmediatamente su grupo de RID para evitar duplicar las entidades de seguridad más
adelante. A medida que continúa la clonación, aparecen varios mensajes y operaciones
previstos, la mayoría relativos al inicio y detención de servicios, y algunos errores
causados por este motivo. Una vez completada, el registro de eventos de Sistema anota
que la clonación se realizó correctamente.

Identificador Origen Mensaje

del evento

16654 Directory- Se invalidó un grupo de identificadores de cuenta (RID). Esto

Services-SAM puede suceder en los siguientes casos previstos:
1. Se restaura un controlador de dominio a partir de la copia de
seguridad.

2. Un controlador de dominio que se ejecuta en una máquina

virtual se restaura a partir de la instantánea.

3. Un administrador ha invalidado manualmente el grupo

7036 Administrador de El servicio Active Directory Domain Services entró en estado de

control de ejecución.
servicios

7036 Administrador de El servicio Centro de distribución de claves Kerberos entró en

control de estado de ejecución.
servicios

3096 Netlogon No se puede encontrar el controlador de dominio principal

para este dominio.

7036 Administrador de El servicio Administrador de cuentas de servicio entró en

control de estado de ejecución.
servicios

7036 Administrador de El servicio Servidor entró en estado de ejecución.

control de
servicios

7036 Administrador de El servicio Netlogon entró en estado de ejecución.

control de
servicios

7036 Administrador de El servicio Servicios web de Active Directory entró en estado de

control de ejecución.
servicios

7036 Administrador de El servicio Replicación DFS entró en estado de ejecución.

control de
servicios
Identificador Origen Mensaje
del evento

7036 Administrador de El servicio Servicio de replicación de archivos entró en estado

control de de ejecución.
servicios

14533 Microsoft- DFS terminó de generar todos los espacios de nombres.

Windows-DfsSvc

14531 Microsoft- El servidor DFS terminó de inicializarse.

Windows-DfsSvc

7036 Administrador de El servicio Espacio de nombres DFS entró en estado de

control de ejecución.
servicios

7023 Administrador de El servicio Mensajería entre sitios se cerró con el siguiente

control de error:
servicios El servidor especificado no puede ejecutar la operación
solicitada.

7036 Administrador de El servicio Mensajería entre sitios entró en estado de

control de detención.
servicios

5806 Netlogon Las actualizaciones dinámicas se han deshabilitado

manualmente en este controlador de dominio.
ACCIÓN DEL USUARIO

Vuelve a configurar este controlador de dominio para utilizar

actualizaciones dinámicas de DNS o agrega manualmente los
registros DNS desde el archivo
'%SystemRoot%\System32\Config\Netlogon.dns' a la base de
datos DNS.

16651 Directory- Error al solicitar un nuevo grupo de identificadores de cuenta.

Services-SAM Se seguirá intentando hasta que la solicitud se realice
correctamente. Error:
Error en la operación FSMO solicitada. No se puede poner en
contacto con el titular de FSMO actual.

7036 Administrador de El servicio Servidor DNS entró en estado de ejecución.

control de
servicios

7036 Administrador de El servicio Servidor de roles de DNS entró en estado de

control de ejecución.
servicios
Identificador Origen Mensaje
del evento

7036 Administrador de El servicio Netlogon entró en estado de detención.

control de
servicios

7036 Administrador de El servicio Servicio de replicación de archivos entró en estado

control de de detención.
servicios

7036 Administrador de El servicio Centro de distribución de claves Kerberos entró en

control de estado de detención.
servicios

7036 Administrador de El servicio Servidor DNS entró en estado de detención.

control de
servicios

7036 Administrador de El servicio Active Directory Domain Services entró en estado de

control de detención.
servicios

7036 Administrador de El servicio Netlogon entró en estado de ejecución.

control de
servicios

7040 Administrador de El tipo de inicio del servicio Active Directory Domain Services
control de se cambió de inicio automático a deshabilitado.
servicios

7036 Administrador de El servicio Netlogon entró en estado de detención.

control de
servicios

7036 Administrador de El servicio Servicio de replicación de archivos entró en estado

control de de ejecución.
servicios

29219 DirectoryServices- La clonación del controlador de dominio virtual se realizó

DSROLE-Server correctamente.

29223 DirectoryServices- Este servidor es ahora un controlador de dominio.

DSROLE-Server

29265 DirectoryServices- La clonación del controlador de dominio virtual se realizó

DSROLE-Server correctamente. Se ha cambiado el nombre del archivo de
configuración de clonación del controlador de dominio virtual
C:\Windows\NTDS\DCCloneConfig.xml a
C:\Windows\NTDS\DCCloneConfig.20120207-151533.xml.
 Identificador Origen Mensaje
del evento

1074 User32 El proceso C:\Windows\system32\lsass.exe (DC2) ha iniciado el

reinicio del equipo DC2 en nombre del usuario NT
AUTHORITY\SYSTEM por el siguiente motivo: Sistema
operativo: Reconfiguración (planeado)
Código de motivo: 0x80020004

Tipo de apagado: reiniciar

Comentario: "

DCPROMO.LOG

El registro Dcpromo.log contiene la parte real de la promoción de la clonación que el

registro de eventos de Servicios de directorio no describe. Como el registro no
proporciona el mismo nivel de explicación que las entradas del registro de eventos, esta
sección del módulo contiene anotaciones adicionales.

En el proceso de promoción, la clonación comienza, se limpia la configuración actual del

controlador de dominio y se vuelve a promocionar usando la base de datos de AD
existente (de forma muy similar a una promoción de IFM); después, el controlador de
dominio replica los deltas de cambio de entrada de AD y SYSVOL, y la clonación finaliza.

７ Nota

En este módulo, el registro ha sido modificado y se ha quitado la columna de fecha

para facilitar su lectura.

Para obtener más información sobre dcpromo.log, consulta Conocimiento y solución

de problemas de la administración simplificada de AD DS en Windows Server 2012.

https://go.microsoft.com/fwlink/p/?LinkId=237244

Inicia la promoción basada en clon.

Establece el indicador del modo de restauración de servicios de directorio para que

el servidor no arranque la copia de seguridad normalmente y no provoque conflictos
de nombres o del servicio de directorio.

Actualiza el registro de eventos de Servicios de directorio.

15:14:01 [INFO] vDC Cloneing: Setting Boot into DSRM flag succeeded.

15:14:01 [WARNING] Cannot get user Token for Format Message: 1725l

15:14:01 [INFO] vDC Cloning: Created vDCCloningUpdate event.

15:14:01 [INFO] vDC Cloning: Created vDCCloningComplete event.

Detén el servicio NetLogon para que el controlador de dominio no se publicite.

15:14:01 [INFO] Stopping service NETLOGON

15:14:01 [INFO] ControlService(STOP) on NETLOGON returned 1(gle=0)

15:14:01 [INFO] DsRolepWaitForService: waiting for NETLOGON to enter one of 7

states

15:14:01 [INFO] DsRolepWaitForService: QueryServiceStatus on NETLOGON returned

1 (gle=0), SvcStatus.dwCS=3

15:14:02 [INFO] DsRolepWaitForService: QueryServiceStatus on NETLOGON returned

1 (gle=0), SvcStatus.dwCS=1

15:14:02 [INFO] DsRolepWaitForService: exiting because NETLOGON entered

STOPPED state

15:14:02 [INFO] DsRolepWaitForService(for any end state) on NETLOGON service

returned 0

15:14:02 [INFO] ControlService(STOP) on NETLOGON returned 0(gle=1062)

15:14:02 [INFO] Exiting service-stop loop after service NETLOGON entered

STOPPED state

15:14:02 [INFO] StopService on NETLOGON returned 0

15:14:02 [INFO] Configuring service NETLOGON to 1 returned 0

15:14:02 [INFO] Updating service status to 4

15:14:02 [INFO] vDC Cloning: Set vDCCloningUpdate event.

Examina el archivo dccloneconfig.xml y busca personalizaciones especificadas por el

administrador.

En este caso de muestra, es un archivo en blanco por lo que toda la configuración se

genera automáticamente y se requiere direccionamiento IP automático de la red.

15:14:02 [INFO] vDC Cloning: Clone config file

C:\Windows\NTDS\DCCloneConfig.xml is considered to be a blank file (containing
0 bytes)

15:14:02 [INFO] vDC Cloning: Parsing clone config file

C:\Windows\NTDS\DCCloneConfig.xml returned HRESULT 0x0

Comprueba que no haya instalados servicios o programas que no formen parte de

DefaultDCCloneAllowList.xml o CustomDCCloneAllowList.xml
15:14:02 [INFO] vDC Cloning: Checking allowed list:

15:14:03 [INFO] vDC Cloning: Completed checking allowed list:

15:14:03 [INFO] vDC Cloning: Set vDCCloningUpdate event.

Habilita DHCP en los adaptadores de red, porque el administrador no especificó la

información de IP.

15:14:03 [INFO] vDC Cloning: Enable DHCP:

15:14:03 [INFO] WMI Instance: Win32_NetworkAdapterConfiguration.Index=12

15:14:03 [INFO] Method: EnableDHCP

15:14:03 [INFO] HRESULT code: 0x0 (0)

15:14:03 [INFO] Return Value: 0x0 (0)

15:14:03 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:14:03 [INFO] vDC Cloning: Set vDCCloningUpdate event.

Busca el emulador de PDC.

Establece el sitio del clon (en este caso se genera automáticamente).

Establece el nombre del clon (en este caso se genera automáticamente).

15:14:03 [INFO] vDC Cloning: Found PDC. Name: DC1.root.fabrikam.com

15:14:04 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:14:04 [INFO] vDC Cloning: Winlogon UI Notification #1: Domain Controller

cloning is at 5% completion...

15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #2: Domain Controller

cloning is at 10% completion...

15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:14:05 [INFO] Site of the cloned DC: Default-First-Site-Name

Crea el nuevo objeto de equipo clonado.

Cambia el nombre del clon para que coincida con el nuevo nombre.

15:14:05 [INFO] vDC Cloning: Clone DC objects are created on PDC.

15:14:05 [INFO] Name of the cloned DC: DC2-CL0001

15:14:05 [INFO] DsRolepSetRegStringValue on

System\CurrentControlSet\Services\NTDS\Parameters\CloneMachineName to DC2-
CL0001 returned 0

15:14:05 [INFO] vDC Cloning: Save CloneMachineName in registry: 0x0 (0)

 Proporciona la configuración de la promoción de acuerdo con el archivo

dccloneconfig.xml anterior o con las reglas de generación automática.

15:14:05 [INFO] vDC Cloning: Promotion parameters setting:

15:14:05 [INFO] DNS Domain Name: root.fabrikam.com

15:14:05 [INFO] Replica Partner: \\DC1.root.fabrikam.com

15:14:05 [INFO] Site Name: Default-First-Site-Name

15:14:05 [INFO] DS Database Path: C:\Windows\NTDS

15:14:05 [INFO] DS Log Path: C:\Windows\NTDS

15:14:05 [INFO] SysVol Root Path: C:\Windows\SYSVOL

15:14:05 [INFO] Account: root.fabrikam.com\DC2-CL0001$

15:14:05 [INFO] Options: DSROLE_DC_CLONING (0x800400)

Inicia la promoción.

15:14:05 [INFO] Promote DC as a clone

15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #3: Domain Controller

cloning is at 15% completion...

15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #4: Domain Controller

cloning is at 16% completion...

15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:14:05 [INFO] Validate supplied paths

15:14:05 [INFO] Validating path C:\Windows\NTDS.

15:14:05 [INFO] Path is a directory

15:14:05 [INFO] Path is on a fixed disk drive.

15:14:05 [INFO] Validating path C:\Windows\NTDS.

15:14:05 [INFO] Path is a directory

15:14:05 [INFO] Path is on a fixed disk drive.

15:14:05 [INFO] Validating path C:\Windows\SYSVOL.

15:14:05 [INFO] Path is on a fixed disk drive.

15:14:05 [INFO] Path is on an NTFS volume

15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #5: Domain Controller

cloning is at 17% completion...

15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:14:05 [INFO] Start the worker task

15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #6: Domain Controller

cloning is at 20% completion...

15:14:05 [INFO] Request for promotion returning 0

15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #7: Domain Controller

cloning is at 21% completion...

15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event.

Detén y configura todos los servicios relacionados con AD DS (NTDS, NTFRS/DFSR,

KDC, DNS).
７ Nota

En este escenario, es previsible que el servicio DNS tarde mucho tiempo, porque usa
zonas integradas de AD que ya no estaban disponibles incluso antes de que se
detuviera el servicio NTDS. Consulta los eventos DNS que se describen más adelante
en esta sección del módulo.

15:14:15 [INFO] Stopping service NTDS

15:14:15 [INFO] Stopping service NtFrs

15:14:15 [INFO] ControlService(STOP) on NtFrs returned 1(gle=0)

15:14:15 [INFO] DsRolepWaitForService: waiting for NtFrs to enter one of 7

states

15:14:15 [INFO] DsRolepWaitForService: QueryServiceStatus on NtFrs returned 1

(gle=0), SvcStatus.dwCS=3

15:14:16 [INFO] DsRolepWaitForService: QueryServiceStatus on NtFrs returned 1

(gle=0), SvcStatus.dwCS=1

15:14:16 [INFO] DsRolepWaitForService: exiting because NtFrs entered STOPPED

state

15:14:16 [INFO] DsRolepWaitForService(for any end state) on NtFrs service

returned 0

15:14:16 [INFO] ControlService(STOP) on NtFrs returned 0(gle=1062)

15:14:16 [INFO] Exiting service-stop loop after service NtFrs entered STOPPED
state

15:14:16 [INFO] StopService on NtFrs returned 0

15:14:16 [INFO] Configuring service NtFrs to 1 returned 0

15:14:16 [INFO] Stopping service Kdc

15:14:16 [INFO] ControlService(STOP) on Kdc returned 1(gle=0)

15:14:16 [INFO] DsRolepWaitForService: waiting for Kdc to enter one of 7

states

15:14:16 [INFO] DsRolepWaitForService: QueryServiceStatus on Kdc returned 1

(gle=0), SvcStatus.dwCS=3

15:14:17 [INFO] DsRolepWaitForService: QueryServiceStatus on Kdc returned 1

(gle=0), SvcStatus.dwCS=1

15:14:17 [INFO] DsRolepWaitForService: exiting because Kdc entered STOPPED

state

15:14:17 [INFO] DsRolepWaitForService(for any end state) on Kdc service

returned 0

15:14:17 [INFO] ControlService(STOP) on Kdc returned 0(gle=1062)

15:14:17 [INFO] Exiting service-stop loop after service Kdc entered STOPPED
state

15:14:17 [INFO] StopService on Kdc returned 0

15:14:17 [INFO] Configuring service Kdc to 1 returned 0

15:14:17 [INFO] Stopping service DNS

15:14:17 [INFO] ControlService(STOP) on DNS returned 1(gle=0)

15:14:17 [INFO] DsRolepWaitForService: waiting for DNS to enter one of 7

states

15:14:17 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:18 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:19 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:20 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:21 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:22 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:23 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:24 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:25 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:26 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:27 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:28 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:29 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:30 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:31 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:32 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:33 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:34 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:35 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:36 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:37 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:38 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:39 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:40 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:41 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:42 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:43 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:44 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:45 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:46 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:47 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:48 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:49 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:50 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:51 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:52 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:53 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:54 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:55 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:56 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:57 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:58 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:14:59 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=3

15:15:00 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1

(gle=0), SvcStatus.dwCS=1

15:15:00 [INFO] DsRolepWaitForService: exiting because DNS entered STOPPED

state

15:15:00 [INFO] DsRolepWaitForService(for any end state) on DNS service

returned 0

15:15:00 [INFO] ControlService(STOP) on DNS returned 0(gle=1062)

15:15:00 [INFO] Exiting service-stop loop after service DNS entered STOPPED
state

15:15:00 [INFO] StopService on DNS returned 0

15:15:00 [INFO] Configuring service DNS to 1 returned 0

15:15:00 [INFO] ControlService(STOP) on NTDS returned 1(gle=1062)

15:15:00 [INFO] DsRolepWaitForService: waiting for NTDS to enter one of 7

states

15:15:00 [INFO] DsRolepWaitForService: QueryServiceStatus on NTDS returned 1

(gle=0), SvcStatus.dwCS=3

15:15:01 [INFO] DsRolepWaitForService: QueryServiceStatus on NTDS returned 1

(gle=0), SvcStatus.dwCS=1

15:15:01 [INFO] DsRolepWaitForService: exiting because NTDS entered STOPPED

state

15:15:01 [INFO] DsRolepWaitForService(for any end state) on NTDS service

returned 0

15:15:01 [INFO] ControlService(STOP) on NTDS returned 0(gle=1062)

15:15:01 [INFO] Exiting service-stop loop after service NTDS entered STOPPED
state

15:15:01 [INFO] StopService on NTDS returned 0

15:15:01 [INFO] Configuring service NTDS to 1 returned 0

15:15:01 [INFO] Configuring service NTDS

15:15:01 [INFO] Configuring service NTDS to 64 returned 0

15:15:01 [INFO] vDC Cloning: Winlogon UI Notification #8: Domain Controller

cloning is at 22% completion...

15:15:01 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:15:01 [INFO] vDC Cloning: Winlogon UI Notification #9: Domain Controller

cloning is at 25% completion...

15:15:01 [INFO] vDC Cloning: Set vDCCloningUpdate event.

Aplica una sincronización temporal NT5DS (NTP) con otro controlador de dominio
(normalmente el PDCE).

15:15:02 [INFO] Forcing time sync

Ponte en contacto con un controlador de dominio que contenga la cuenta del

controlador de dominio de origen del clon.

Limpia los vales de Kerberos existentes.

15:15:02 [INFO] Searching for a domain controller for the domain

root.fabrikam.com that contains the account DC2$

15:15:02 [INFO] Located domain controller DC1.root.fabrikam.com for domain

root.fabrikam.com

15:15:02 [INFO] vDC Cloning: Winlogon UI Notification #10: Domain Controller

cloning is at 26% completion...

15:15:02 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:15:02 [INFO] Directing kerberos authentication to DC1.root.fabrikam.com

returns 0

15:15:02 [INFO] DsRolepFlushKerberosTicketCache() successfully flushed the

Kerberos ticket cache

15:15:02 [INFO] vDC Cloning: Winlogon UI Notification #11: Domain Controller

cloning is at 27% completion...

15:15:02 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:15:02 [INFO] Using site Default-First-Site-Name for server

\\DC1.root.fabrikam.com

15:15:02 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:15:02 [INFO] vDC Cloning: Set vDCCloningUpdate event.

Detén el servicio NetLogon y establece su tipo de inicio.

15:15:02 [INFO] Stopping service NETLOGON

15:15:02 [INFO] Stopping service NETLOGON

15:15:02 [INFO] vDC Cloning: Winlogon UI Notification #12: Domain Controller

cloning is at 29% completion...

15:15:02 [INFO] ControlService(STOP) on NETLOGON returned 1(gle=0)

15:15:02 [INFO] DsRolepWaitForService: waiting for NETLOGON to enter one of 7

states

15:15:02 [INFO] DsRolepWaitForService: QueryServiceStatus on NETLOGON returned

1 (gle=0), SvcStatus.dwCS=3

15:15:03 [INFO] DsRolepWaitForService: QueryServiceStatus on NETLOGON returned

1 (gle=0), SvcStatus.dwCS=1

15:15:03 [INFO] DsRolepWaitForService: exiting because NETLOGON entered

STOPPED state

15:15:03 [INFO] DsRolepWaitForService(for any end state) on NETLOGON service

returned 0

15:15:03 [INFO] ControlService(STOP) on NETLOGON returned 0(gle=1062)

15:15:03 [INFO] Exiting service-stop loop after service NETLOGON entered

STOPPED state

15:15:03 [INFO] StopService on NETLOGON returned 0

15:15:03 [INFO] Configuring service NETLOGON to 1 returned 0

15:15:03 [INFO] Stopped NETLOGON

15:15:03 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:15:03 [INFO] vDC Cloning: Winlogon UI Notification #13: Domain Controller

cloning is at 30% completion...

Configura los servicios DFSR/NTFRS para que se ejecuten automáticamente.

Elimina sus archivos de base de datos existentes para aplicar una sincronización no
autoritativa de SYSVOL la próxima vez que se inicie el servicio.

15:15:03 [INFO] Configuring service DFSR

15:15:03 [INFO] Configuring service DFSR to 256 returned 0

15:15:03 [INFO] Configuring service NTFRS

15:15:03 [INFO] Configuring service NTFRS to 256 returned 0

15:15:03 [INFO] Removing DFSR Database files for SysVol

15:15:03 [INFO] Removing FRS Database files in C:\Windows\ntfrs\jet

15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edb.log

15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edbres00001.jrs

15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edbres00002.jrs

15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edbtmp.log

15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\ntfrs.jdb

15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\sys\edb.chk

15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\temp\tmp.edb

15:15:04 [INFO] Created system volume path

15:15:04 [INFO] Configuring service DFSR

15:15:04 [INFO] Configuring service DFSR to 128 returned 0

15:15:04 [INFO] Configuring service NTFRS

15:15:04 [INFO] Configuring service NTFRS to 128 returned 0

15:15:04 [INFO] vDC Cloning: Winlogon UI Notification #14: Domain Controller

cloning is at 40% completion...

15:15:04 [INFO] vDC Cloning: Set vDCCloningUpdate event.

Inicia el proceso de promoción usando el archivo de base de datos NTDS existente.

Ponte en contacto con el maestro RID.

７ Nota

El servicio AD DS no está realmente instalado aquí; esta es una instrumentación

heredada del registro.

15:15:04 [INFO] Installing the Directory Service

15:15:04 [INFO] Calling NtdsInstall for root.fabrikam.com

15:15:04 [INFO] Starting Active Directory Domain Services installation

15:15:04 [INFO] Validating user supplied options

15:15:04 [INFO] Determining a site in which to install

15:15:04 [INFO] Examining an existing forest...

15:15:04 [INFO] Starting a replication cycle between DC1.root.fabrikam.com and

the RID operations master (2008r2-01.root.fabrikam.com), so that the new
replica will be able to create users, groups, and computer objects...

15:15:04 [INFO] Configuring the local computer to host Active Directory Domain
Services

15:15:04 [INFO] EVENTLOG (Warning): NTDS General / Service Control : 1539

Active Directory Domain Services could not disable the software-based disk
write cache on the following hard disk.

Hard disk:

c:

Data might be lost during system failures.

15:15:10 [INFO] EVENTLOG (Informational): NTDS General / Internal Processing :

2041

Duplicate event log entries were suppressed.

See the previous event log entry for details. An entry is considered a
duplicate if

the event code and all of its insertion parameters are identical. The time
period for

this run of duplicates is from the time of the previous event to the time of
this event.

Event Code:

80000603

Number of duplicate entries:

15:15:10 [INFO] EVENTLOG (Informational): NTDS General / Internal

Configuration : 2121

This Active Directory Domain Services server is disabling the Recycle Bin.
Deleted objects may not be undeleted at this time.

Cambia el id. de invocación que existía en la base de datos de equipos de origen.

Crea un nuevo objeto Configuración NTDS para este clon.

Replica los deltas de objeto de AD del controlador de dominio del asociado.

７ Nota
Aunque todos los objetos se muestran como replicados, se trata solo de los
metadatos necesarios para agregar las actualizaciones. Todos los objetos que no han
cambiado en la base de datos de NTDS clonada ya existen y no es necesario volver a
replicarlos, igual que cuando se usa la promoción basada en IFM.

15:15:10 [INFO] EVENTLOG (Informational): NTDS Replication / Replication :

1109

The invocationID attribute for this directory server has been changed. The
highest update sequence number at the time the backup was created is as
follows:

InvocationID attribute (old value):

24e7b22f-4706-402d-9b4f-f2690f730b40

InvocationID attribute (new value):

f74cefb2-89c2-442c-b1ba-3234b0ed62f8

Update sequence number:

20520

The invocationID is changed when a directory server is restored from backup

media, is configured to host a writeable application directory partition, has
been resumed after a virtual machine snapshot has been applied, after a
virtual machine import operation, or after a live migration operation.
Virtualized domain controllers should not be restored using virtual machine
snapshots. The supported method to restore or rollback the content of an
Active Directory Domain Services database is to restore a system state backup
made with an Active Directory Domain Services-aware backup application.

15:15:10 [INFO] EVENTLOG (Error): NTDS General / Internal Processing : 1168

Internal error: An Active Directory Domain Services error has occurred.

Additional Data

Error value (decimal):

Error value (hexadecimal):

Internal ID:

7011658

15:15:11 [INFO] Creating the NTDS Settings object for this Active Directory
Domain Controller on the remote AD DC DC1.root.fabrikam.com...

15:15:11 [INFO] Replicating the schema directory partition

15:15:11 [INFO] Replicated the schema container.

15:15:12 [INFO] Active Directory Domain Services updated the schema cache.

15:15:12 [INFO] Replicating the configuration directory partition

15:15:12 [INFO] Replicating data CN=Configuration,DC=root,DC=fabrikam,DC=com:

Received 2612 out of approximately 2612 objects and 94 out of approximately 94
distinguished name (DN) values...
15:15:12 [INFO] Replicated the configuration container.

15:15:13 [INFO] Replicating critical domain information...

15:15:13 [INFO] Replicating data DC=root,DC=fabrikam,DC=com: Received 109 out

of approximately 109 objects and 35 out of approximately 35 distinguished name
(DN) values...

15:15:13 [INFO] Replicated the critical objects in the domain container.

Rellena las particiones de GC según sea necesario con las actualizaciones que faltan.
 Completa la parte de AD DS crítica de la promoción.

15:15:13 [INFO] EVENTLOG (Informational): NTDS General / Global Catalog : 1110

Promotion of this domain controller to a global catalog will be delayed for

the following interval.

Interval (minutes):

This delay is necessary so that the required directory partitions can be

prepared before the global catalog is advertised. In the registry, you can
specify the number of seconds that the directory system agent will wait before
promoting the local domain controller to a global catalog. For more
information about the Global Catalog Delay Advertisement registry value, see
the Resource Kit Distributed Systems Guide.

15:15:14 [INFO] EVENTLOG (Informational): NTDS General / Service Control :

1000

Microsoft Active Directory Domain Services startup complete, version

6.2.8225.0

15:15:15 [INFO] Creating new domain users, groups, and computer objects

15:15:16 [INFO] Completing Active Directory Domain Services installation

15:15:16 [INFO] NtdsInstall for root.fabrikam.com returned 0

15:15:16 [INFO] DsRolepInstallDs returned 0

15:15:16 [INFO] Installed Directory Service

Completa la replicación de entrada de SYSVOL.

15:15:16 [INFO] vDC Cloning: Winlogon UI Notification #15: Domain Controller

cloning is at 60% completion...

15:15:16 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:15:18 [INFO] Completed system volume replication

15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #16: Domain Controller

cloning is at 70% completion...

15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:15:18 [INFO] SetProductType to 2 [LanmanNT] returned 0

15:15:18 [INFO] Set the product type

15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #17: Domain Controller

cloning is at 71% completion...

15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #18: Domain Controller

cloning is at 72% completion...

15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:15:18 [INFO] Set the system volume path for NETLOGON

15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #19: Domain Controller

cloning is at 73% completion...

15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:15:18 [INFO] Replicating non critical information

15:15:18 [INFO] User specified to not replicate non-critical data

15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #20: Domain Controller

cloning is at 80% completion...

15:15:18 [INFO] Stopped the DS

15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event.

15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #21: Domain Controller

cloning is at 90% completion...

15:15:18 [INFO] Configuring service NTDS

15:15:18 [INFO] Configuring service NTDS to 16 returned 0

Habilita el registro de DNS de cliente.

15:15:18 [INFO] vDC Cloning: Set DisableDynamicUpdate reg value to 0 to enable

dynamic update records registration.

15:15:18 [INFO] vDC Cloning: Set UseDynamicDns reg value to 1 to enable

dynamic update records registration.

15:15:18 [INFO] vDC Cloning: Set RegistrationEnabled reg value to 1 to enable

dynamic update records registration.

Ejecute los módulos SYSPREP especificados por el DefaultDCCloneAllowList.xml

<elemento SysprepInformation> .

15:15:18 [INFO] vDC Cloning: Running sysprep providers.

15:15:32 [INFO] vDC Cloning: Completed running sysprep providers.

La promoción de la clonación se ha completado.

Quita el indicador de arranque DSRM para que el servidor arranque normalmente la

próxima vez.

Cambia el nombre de dccloneconfig.xml para que no se vuelva a leer en el próximo

arranque.

Reinicia el equipo.

15:15:32 [INFO] The attempted domain controller operation has completed

15:15:32 [INFO] Updating service status to 4

15:15:32 [INFO] DsRolepSetOperationDone returned 0

15:15:32 [INFO] vDC Cloning: Set vDCCloningComplete event.

15:15:32 [INFO] vDC Cloneing: Clearing Boot into DSRM flag succeeded.

15:15:32 [INFO] vDC Cloning: Winlogon UI Notification #22: Cloning Domain

Controller succeeded. Now rebooting...

15:15:33 [INFO] vDC Cloning: Renamed vDC clone configuration file.

15:15:33 [INFO] vDC Cloning: The old name is:

C:\Windows\NTDS\DCCloneConfig.xml
15:15:33 [INFO] vDC Cloning: The new name is:
C:\Windows\NTDS\DCCloneConfig.20120207-151533.xml

 15:15:34 [INFO] vDC Cloning: Release Ipv4 on interface 'Wired Ethernet

Connection 2', result=0.

15:15:34 [INFO] vDC Cloning: Release Ipv6 on interface 'Wired Ethernet

Connection 2', result=0.

15:15:34 [INFO] Rebooting machine

Registro de eventos de Servicios web de Active Directory

Durante la clonación, la base de datos NTDS.DIT suele estar sin conexión durante largos
períodos. El servicio ADWS registra al menos un evento para esto. Una vez completa la
clonación, el servicio ADWS se inicia, anota que aún no hay un certificado de equipo
válido (podría haberlo o no según si tu entorno implementa un PKI de Microsoft con
inscripción automática o no) y, después, inicia la instancia del nuevo controlador de
dominio.

Identificador Origen Mensaje

del evento

1202 Eventos Este equipo hospeda ahora la instancia de directorio especificada, pero
de Servicios web de Active Directory no pudo atenderla. Servicios web de
instancias Active Directory reintentará esta operación periódicamente.
de ADWS Instancia de directorio: NTDS

Puerto LDAP de instancia de directorio: 389

Puerto SSL de instancia de directorio: 636

1000 Eventos Se está iniciando Servicios web de Active Directory

de
instancias
de ADWS

1008 Eventos Servicios web de Active Directory redujo correctamente sus privilegios
de de seguridad
instancias
de ADWS

1100 Eventos Los valores especificados en la <sección appsettings> del archivo de

de configuración de los servicios web de Active Directory se han cargado
instancias sin errores.
de ADWS

1400 Eventos Servicios web de Active Directory no encontró ningún certificado de

de servidor con el nombre de certificado especificado. Se requiere un
instancias certificado para usar conexiones SSL/TLS. Para usar conexiones SSL/TLS,
de ADWS comprueba que haya un certificado de autenticación de servidor válido
de una entidad de certificación (CA) de confianza instalado en el
equipo.
Nombre del certificado: <FQDN> del servidor
 Identificador Origen Mensaje
del evento

1100 Eventos Los valores especificados en la <sección appsettings> del archivo de

de configuración de los servicios web de Active Directory se han cargado
instancias sin errores.
de ADWS

1200 Eventos Servicios web de Active Directory está atendiendo a la instancia de

de directorio especificada.
instancias Instancia de directorio: NTDS
de ADWS
Puerto LDAP de instancia de directorio: 389

Puerto SSL de instancia de directorio: 636

Registro de eventos del servidor DNS

El servicio DNS experimentará breves interrupciones previstas durante la clonación,

porque el servicio DNS sigue ejecutándose mientras la base de datos de AD DS está sin
conexión. Esto sucede si se usa DSN integrado en Active Directory, pero no si se usa DSN
principal o secundario estándar. Estos errores se registran varias veces. Una vez completa
la clonación, DNS vuelve a conectarse normalmente.

Identificador Origen Mensaje

del evento

4013 DNS- El servidor DNS está esperando a que Active Directory Domain Services
Server- (AD DS) señalen que se ha completado la sincronización inicial del
Service directorio. El servicio del servidor DNS no puede iniciarse hasta que se
haya completado la sincronización inicial porque es posible que todavía
no se hayan replicado en este controlador de dominio algunos datos de
DNS críticos. Si los eventos del registro de eventos de AD DS indican que
hay un problema con la resolución de nombres DNS, puede agregar la
dirección IP de otro servidor DNS para este dominio a la lista de
servidores DNS en las propiedades de protocolo de Internet de este
equipo. Este evento se registrará cada dos minutos hasta que AD DS haya
señalado que la sincronización inicial se ha completado correctamente.

4015 DNS- El servidor DNS encontró un error crítico en Active Directory. Comprueba
Server- que Active Directory esté funcionado correctamente. La información de
Service depuración de error extendida (puede estar vacía) es """". Los datos del
evento contienen el error.

4000 DNS- El servidor DNS no pudo abrir Active Directory. Este servidor DNS está
Server- configurado para obtener y usar información del directorio para esta zona
Service y no puede cargarla sin él. Comprueba que Active Directory esté
funcionando correctamente y vuelve a cargar la zona. Los datos del
evento son el código de error.
 Identificador Origen Mensaje
del evento

4013 DNS- El servidor DNS está esperando a que Active Directory Domain Services
Server- (AD DS) señalen que se ha completado la sincronización inicial del
Service directorio. El servicio del servidor DNS no puede iniciarse hasta que se
haya completado la sincronización inicial porque es posible que todavía
no se hayan replicado en este controlador de dominio algunos datos de
DNS críticos. Si los eventos del registro de eventos de AD DS indican que
hay un problema con la resolución de nombres DNS, puede agregar la
dirección IP de otro servidor DNS para este dominio a la lista de
servidores DNS en las propiedades de protocolo de Internet de este
equipo. Este evento se registrará cada dos minutos hasta que AD DS haya
señalado que la sincronización inicial se ha completado correctamente.

2 DNS- El servidor DNS se ha iniciado.

Server-
Service

4 DNS- El servidor DNS completó la carga de zonas en segundo plano. Todas las
Server- zonas están disponibles para actualizaciones de DNS y transferencias de
Service zona según lo permitido por su configuración de zona individual.

Registro de eventos del Servicio de replicación de archivos

El Servicio de replicación de archivos realiza una sincronización no autoritativa de un

asociado durante la clonación. Para ello, la clonación elimina los archivos de base de
datos de NTFRS y deja el contenido de SYSVOL intacto, para usarlo como datos previos a
la inicialización. Se esperan dos intentos de sincronización.

Identificador Origen Mensaje

del evento

13562 NtFrs El siguiente resumen muestra las advertencias y errores que el Servicio de
replicación de archivos encuentra mientras sondea DC2.root.fabrikam.com
del controlador de dominio para buscar información sobre la
configuración del conjunto de réplicas de FRS.
No se pudo enlazar con un controlador de dominio. Se volverá a intentar
en el próximo ciclo de sondeo.

13502 NtFrs El Servicio de replicación de archivos se está deteniendo.

Identificador Origen Mensaje
del evento

13565 NtFrs El Servicio de réplica de archivos está inicializando el volumen del sistema
con datos de otro controlador de dominio. El equipo DC2 no se puede
convertir en un controlador de dominio hasta que este proceso se haya
completado. El volumen del sistema será entonces compartido como
SYSVOL.
Para comprobar el recurso compartido SYSVOL, en el símbolo del sistema,
escribe:

net share

Cuando el Servicio de réplica de archivos complete el proceso de

inicialización, aparecerá el recurso compartido SYSVOL.

La inicialización del volumen de sistema puede tardar un poco. El tiempo

depende de la cantidad de datos en el volumen de sistema, la
disponibilidad de otros controladores de dominio, y el intervalo de
replicación entre controladores de dominio.

13501 NtFrs El Servicio de replicación de archivos se está iniciando.

13502 NtFrs El Servicio de replicación de archivos se está deteniendo.

13503 NtFrs El Servicio de replicación de archivos se ha detenido.

13565 NtFrs El Servicio de réplica de archivos está inicializando el volumen del sistema
con datos de otro controlador de dominio. El equipo DC2 no se puede
convertir en un controlador de dominio hasta que este proceso se haya
completado. El volumen del sistema será entonces compartido como
SYSVOL.
Para comprobar el recurso compartido SYSVOL, en el símbolo del sistema,
escribe:

net share

Cuando el Servicio de réplica de archivos complete el proceso de

inicialización, aparecerá el recurso compartido SYSVOL.

La inicialización del volumen de sistema puede tardar un poco. El tiempo

depende de la cantidad de datos en el volumen de sistema, la
disponibilidad de otros controladores de dominio, y el intervalo de
replicación entre controladores de dominio.

13501 NtFrs El Servicio de replicación de archivos se está iniciando.

Identificador Origen Mensaje
del evento

13553 NtFrs El servicio de replicación de archivos agregó correctamente este equipo al

conjunto de replicas siguientes:
"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

La información relacionada con este evento se muestra a continuación:

El nombre DNS del equipo es <el FQDN> del controlador de dominio.

El nombre del miembro del conjunto de réplicas es <controlador de>

dominio

La ruta de acceso raíz del conjunto de réplicas es <path>

La ruta de acceso del directorio de almacenamiento provisional de réplica

es <la ruta de acceso>

La ruta de acceso del directorio de trabajo de réplica es <la ruta de

acceso>

13520 NtFrs El servicio de replicación de archivos movió los archivos preexistentes en

<la ruta> de acceso a <path>\NtFrs_PreExisting___See_EventLog.

El servicio de replicación de archivos puede eliminar los archivos de <la

ruta de acceso>\NtFrs_PreExisting___See_EventLog en cualquier momento.
Los archivos se pueden guardar de la eliminación copiandolos fuera de la
ruta de< acceso>\NtFrs_PreExisting___See_EventLog. Si los copias en
c:\windows\sysvol\domain, pueden aparecer conflictos con los nombres
de archivos que ya existen en otro replicador.

En algunos casos, el servicio de replicación de archivos puede copiar un

archivo de <path>\NtFrs_PreExisting___See_EventLog en <la ruta> de
acceso en lugar de replicar el archivo de algún otro asociado de
replicación.

El espacio se puede recuperar en cualquier momento eliminando los

archivos en <path>\NtFrs_PreExisting___See_EventLog".
 Identificador Origen Mensaje
del evento

13508 NtFrs El servicio de replicación de archivos tiene problemas para habilitar la

replicación del FQDN> del< controlador de dominio en <el controlador>
de dominio para la <ruta de acceso> mediante .

FQDN> del controlador de dominio del nombre< DNS. FRS continuará

reintentando.

A continuación observarás algunas de las razones por las que aparecerá

esta advertencia.

[1] FRS no puede resolver correctamente el FQDN> del controlador de

dominio del nombre< DNS desde este equipo.

[2] FRS no se ejecuta en <el FQDN> del controlador de dominio.

[3] La información de topología de esta replicación en Active Directory

aún no ha sido replicada a todos los controladores de dominio.

Este mensaje de registro de eventos aparecerá una sola vez para cada
conexión. Una vez que se haya resuelto el problema volverás a ver otro
mensaje de registro de eventos que indica que la conexión se ha
establecido.

13509 NtFrs El servicio de replicación de archivos ha habilitado la replicación del

FQDN> del< controlador de dominio al <controlador> de dominio para la<
ruta> de acceso después de reintentos repetidos.

13516 NtFrs El servicio de replicación de archivos ya no impide que el controlador> de

dominio del equipo< se convierta en un controlador de dominio. Se ha
inicializado correctamente el volumen de sistema y se ha notificado al
servicio de Net Logon de que dicho volumen está preparado para
compartirse como SYSVOL.

Escribe "net share" para comprobar el recurso compartido SYSVOL.

Registro de eventos de Replicación DFS

Los servicios DFSR realizan una sincronización no autoritativa de un asociado durante la

clonación. Para ello, la clonación elimina los archivos de base de datos de DFSR y deja el
contenido de SYSVOL intacto, para usarlo como datos previos a la inicialización. Se
esperan dos intentos de sincronización.

Identificador Origen Mensaje

del evento

1004 DFSR El servicio de replicación DFS se ha iniciado.

Identificador Origen Mensaje
del evento

1314 DFSR El servicio de replicación DFS configuró correctamente los archivos de

registro de depuración.
Información adicional:

Ruta de acceso del archivo de registro de depuración: C:\Windows\debug

6102 DFSR El servicio de replicación DFS registró correctamente el proveedor WMI

1206 DFSR El servicio de replicación DFS pudo establecer contacto con el controlador
de dominio DC2.corp.contoso.com para tener acceso a la información de
configuración.

1210 DFSR El servicio de replicación DFS estableció una escucha RPC para las
solicitudes de replicación entrantes.
Información adicional:

Puerto: 0"

4614 DFSR El servicio de replicación DFS inicializó SYSVOL en la ruta local

C:\Windows\SYSVOL\domain y está esperando realizar la replicación
inicial. La carpeta replicada permanecerá en el estado inicial de
sincronización hasta que se replique con el asociado. Si el servidor se
estaba ascendiendo a un controlador de dominio, el controlador de
dominio no se anunciará ni funcionará como tal hasta que este problema
se resuelva. Esto puede suceder si el asociado especificado también está
en el estado inicial de sincronización, o si se detectaron infracciones de
uso compartido en este servidor o en el asociado de sincronización. Si
este evento se presentó durante la migración de SYSVOL del servicio
Replicación de archivos (FRS) a la Replicación DFS, los cambios no se
replicarán a menos que este problema se resuelva. Esto puede provocar
que la carpeta SYSVOL en este servidor deje de estar sincronizada con los
demás controladores de dominio.
Información adicional:

Nombre de carpeta replicada: recurso compartido SYSVOL

Id. de carpeta replicada: <GUID>

Nombre del grupo de replicación: volumen del sistema de dominio

Id. de grupo de replicación: <GUID>

Id. de miembro: <GUID>

Solo lectura: 0
 Identificador Origen Mensaje
del evento

4604 DFSR El servicio Replicación DFS inicializó correctamente la carpeta replicada

SYSVOL en la ruta local C:\Windows\SYSVOL\domain. Este miembro
completó la sincronización inicial de SYSVOL con el asociado
dc1.corp.contoso.com. Para comprobar la presencia de una carpeta
SYSVOL, abre una ventana del símbolo del sistema y escribe ""net share"".
Información adicional:

Nombre de carpeta replicada: recurso compartido SYSVOL

Id. de carpeta replicada: <GUID>

Nombre del grupo de replicación: volumen del sistema de dominio

Id. de grupo de replicación: <GUID>

Id. de miembro: <GUID>

Asociado de sincronización: <FQDN> del controlador de dominio

Solucionar problemas de restauración segura de

controladores de dominio virtualizados

Herramientas para la solución de problemas

Opciones de registro

Los registros integrados son la herramienta más importante para solucionar problemas de
restauración segura de instantáneas. Todos estos registros están habilitados y
configurados para ofrecer el máximo nivel de detalle de forma predeterminada.

operación Log

Creación de - Visor de eventos\Registros de aplicaciones y

instantáneas servicios\Microsoft\Windows\Hyper-V-Worker
 operación Log

Restauración de - Visor de eventos\Registros de aplicaciones y servicios\Servicio de

instantáneas directorio

- Visor de eventos\Windows logs\System

- Visor de eventos\registros de Windows\Aplicación

- Visor de eventos\Registros de aplicaciones y servicios\Servicio de

replicación de archivos

- Visor de eventos\Registros de aplicaciones y servicios\Replicación DFS

- Visor de eventos\Registros de aplicaciones y servicios\DNS

- Visor de eventos\Registros de aplicaciones y

servicios\Microsoft\Windows\Hyper-V-Worker

Herramientas y comandos para solucionar problemas de

configuración de controladores de dominio

Para solucionar problemas que no se explican con los registros, usa las herramientas
siguientes como punto de partida:

Dcdiag.exe

Repadmin.exe

Monitor de red 3.4

Metodología general para solucionar problemas de restauración

segura de controladores de dominio

1. ¿La restauración segura de instantáneas era previsible pero tiene problemas?

a. Examina el registro de eventos de servicios de directorio.

i. ¿Hay errores de restauración de instantáneas?

ii. ¿Hay errores de replicación de AD?

b. Examina el registro de eventos del sistema.

i. ¿Hay errores de comunicación?

ii. ¿Hay errores de AD?

2. ¿La restauración segura de instantáneas no era previsible?

a. Examina los registros de auditoría del hipervisor para determinar quién o qué
causó la reversión.
 b. Ponte en contacto con todos los administradores del hipervisor y pregúntales
quién revirtió la máquina virtual sin notificarlo.

3. ¿El servidor está implementando protección de la reversión de USN y no se está

restaurando de forma segura?

a. Busca en el registro de eventos de servicios de directorio si hay un hipervisor o

servicios de integración no compatibles.

b. Examina el sistema operativo y comprueba que se está ejecutando Windows

Server 2012.

Solucionar problemas específicos

Events
Todos los eventos de restauración segura de instantáneas de controladores de dominio
virtualizados se escriben en el registro de eventos de Servicios de directorio de la
máquina virtual del controlador de dominio restaurado. Los registros de eventos de
Aplicación, Sistema, Servicio de replicación de archivos y Replicación DFS pueden
contener también información útil para solucionar problemas de clonación.

Los siguientes son eventos específicos de la restauración segura de Windows Server 2012
en el registro de eventos de Servicios de directorio.

Eventos Descripción

Identificador 2170
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Advertencia
Eventos Descripción

Mensaje Se detectó un cambio de id. de generación.

Id. de generación almacenado en caché en DS (valor antiguo):%1

Id. de generación actualmente en VM (valor nuevo):%2

El cambio de id. de generación se produce después de la aplicación de una

instantánea de máquina virtual, después de una operación de importación de
máquina virtual o después de una operación de migración en vivo.
<COMPUTERNAME> creará un nuevo identificador de invocación para recuperar el
controlador de dominio. Los controladores de dominio virtualizados no deben
restaurarse con instantáneas de máquina virtual. El método admitido para restaurar
o revertir el contenido de una base de datos de Active Directory Domain Services
consiste en restaurar una copia de seguridad del estado del sistema realizada con
una aplicación de copia de seguridad compatible con Active Directory Domain
Services.

Notas y Este es un evento de procedimiento correcto si la instantánea era previsible. Si no lo

resolución es, examina el registro de eventos de Hyper-V-Worker o ponte en contacto con el
administrador del hipervisor.

Eventos Descripción

Identificador 2174
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje El controlador de dominio no es un clon de controlador de dominio virtual ni una

instantánea de un controlador de dominio virtual restaurado.

Notas y Evento previsible cuando se inician controladores de dominio físicos o

resolución controladores de dominio virtualizados no restaurados a partir de la instantánea.

Eventos Descripción

Identificador 2181
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje La transacción se anuló debido a que una máquina virtual se revirtió a un estado
anterior. Esto se produce después de la aplicación de una instantánea de máquina
virtual, después de una operación de importación de máquina virtual o después de
una operación de migración en vivo.
Eventos Descripción

Notas y Es previsible cuando se restaura una instantánea. Las transacciones rastrean los
resolución cambios de identificadores de generación de máquina virtual.

Evento Descripción

Identificador 2185
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje <COMPUTERNAME> detuvo el servicio FRS o DFSR usado para replicar la carpeta
SYSVOL.

Nombre del servicio:%1

Active Directory detectó que la máquina virtual que hospeda el controlador de

dominio se revirtió a un estado anterior. <COMPUTERNAME> debe inicializar una
restauración no autoritativa en la réplica SYSVOL local. Para ello, se debe detener el
servicio de replicación FRS o DFSR que se usa para replicar la carpeta SYSVOL y, a
continuación, iniciarlo con los valores y las claves del Registro adecuados para
desencadenar la restauración. Se registrará el evento 2187 cuando el servicio FRS o
DFSR se reinicie.

Notas y Es previsible cuando se restaura una instantánea. Todos los datos de SYSVOL de
resolución este controlador de dominio se reemplazan con una copia de un controlador de
dominio del asociado.

Evento Descripción

Identificador 2186
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error
Evento Descripción

Mensaje <COMPUTERNAME> no pudo detener el servicio FRS o DFSR usado para replicar la
carpeta SYSVOL.

Nombre del servicio:%1

Código de error: %2

Mensaje de error: %3

Active Directory detectó que la máquina virtual que hospeda el controlador de

dominio se revirtió a un estado anterior. <COMPUTERNAME> debe inicializar una
restauración no autoritativa en la réplica SYSVOL local. Para ello, se debe detener el
servicio de replicación FRS o DFSR que se usa para replicar la carpeta SYSVOL y, a
continuación, iniciarlo con los valores y las claves del Registro adecuados para
desencadenar la restauración. <COMPUTERNAME> no pudo detener el servicio en
ejecución actual y no puede completar la restauración no autoritativa. Ejecuta una
restauración no autoritativa manualmente.

Notas y Examina los registros de eventos de Sistema, FRS y DFSR para obtener más
resolución información.

Evento Descripción

Identificador 2187
del evento

Gravedad Informativo

Mensaje <COMPUTERNAME> inició el servicio FRS o DFSR usado para replicar la carpeta
SYSVOL.

Nombre del servicio:%1

Active Directory detectó que la máquina virtual que hospeda el controlador de

dominio se revirtió a un estado anterior. <COMPUTERNAME> necesitaba inicializar
una restauración no autoritativa en la réplica SYSVOL local. Para ello, se tuvo que
detener el servicio FRS o DFSR que se usa para replicar la carpeta SYSVOL y, a
continuación, iniciarlo con los valores y las claves del Registro adecuados para
desencadenar la restauración.

Notas y Es previsible cuando se restaura una instantánea. Todos los datos de SYSVOL de
resolución este controlador de dominio se reemplazan con una copia de un controlador de
dominio del asociado.

Evento Descripción

Identificador 2188
del evento
Evento Descripción

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje <COMPUTERNAME> no pudo iniciar el servicio FRS o DFSR usado para replicar la
carpeta SYSVOL.

Nombre del servicio:%1

Código de error: %2

Mensaje de error: %3

Active Directory detectó que la máquina virtual que hospeda el controlador de

dominio se revirtió a un estado anterior. <COMPUTERNAME> debe inicializar una
restauración no autoritativa en la réplica SYSVOL local. Para DFSR, se debe detener
el servicio DFSR, eliminar las bases de datos de DFSR y reiniciar el servicio. Una vez
reiniciado, DFSR volverá a generar las bases de datos e iniciará la sincronización
inicial. <COMPUTERNAME> no pudo iniciar el servicio FRS o DFSR usado para
replicar la carpeta SYSVOL y no puede completar la restauración no autoritativa.
Ejecuta una restauración no autoritativa manualmente y reinicia el servicio.

Notas y Examina los registros de eventos de Sistema, FRS y DFSR para obtener más
resolución información.

Evento Descripción

Identificador 2189
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje <COMPUTERNAME> establece los siguientes valores del Registro para inicializar la
réplica SYSVOL durante una restauración no autoritativa:

Clave del Registro:%1

Valor del Registro: %2

Datos del valor del Registro: %3

Active Directory detectó que la máquina virtual que hospeda el controlador de

dominio se revirtió a un estado anterior. <COMPUTERNAME> debe inicializar una
restauración no autoritativa en la réplica SYSVOL local. Para ello, hay que detener el
servicio FRS o DFSR usado para replicar la carpeta SYSVOL e iniciarlo con las claves
y los valores del Registro adecuados para desencadenar la restauración.
Evento Descripción

Notas y Es previsible cuando se restaura una instantánea. Todos los datos de SYSVOL de
resolución este controlador de dominio se reemplazan con una copia de un controlador de
dominio del asociado.

Evento Descripción

Identificador 2190
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje <COMPUTERNAME> no pudo establecer los siguientes valores del Registro para
inicializar la réplica SYSVOL durante una restauración no autoritativa:

Clave del Registro:%1

Valor del Registro: %2

Datos del valor del Registro: %3

Código de error: % 4

Mensaje de error: %5

Active Directory detectó que la máquina virtual que hospeda el rol de controlador
de dominio se revirtió a un estado anterior. <COMPUTERNAME> debe inicializar
una restauración no autoritativa en la réplica SYSVOL local. Para ello, hay que
detener el servicio FRS o DFSR usado para replicar la carpeta SYSVOL e iniciarlo con
las claves y los valores del Registro adecuados para desencadenar la restauración.
<COMPUTERNAME> no pudo establecer los valores del Registro anteriores y no
puede completar la restauración no autoritativa. Ejecuta una restauración no
autoritativa manualmente.

Notas y Examina los registros de eventos de aplicación y del sistema. Investiga aplicaciones
resolución de terceros que pudieran estar bloqueando las actualizaciones del Registro.

Evento Descripción

Identificador 2200
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo
Evento Descripción

Mensaje Active Directory detectó que la máquina virtual que hospeda el controlador de
dominio se revirtió a un estado anterior. <COMPUTERNAME> inicializa la replicación
para que el controlador de dominio sea actual. Se registrará el evento 2201 cuando
la replicación finalice.

Notas y Es previsible cuando se restaura una instantánea. Marca el comienzo de una

resolución replicación de AD de entrada.

Evento Descripción

Identificador 2201
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje Active Directory detectó que la máquina virtual que hospeda el controlador de
dominio se revirtió a un estado anterior. <COMPUTERNAME> ha finalizado la
replicación para que el controlador de dominio sea actual.

Notas y Es previsible cuando se restaura una instantánea. Marca el final de una replicación
resolución de AD de entrada.

Evento Descripción

Identificador 2202
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje Active Directory detectó que la máquina virtual que hospeda el controlador de
dominio se revirtió a un estado anterior. <ComputerNAME> no pudo realizar la
replicación para actualizar el controlador de dominio. El controlador de dominio se
actualizará después de la próxima replicación periódica.

Notas y Examina el registro de eventos de Servicios de directorio y Sistema. Usa

resolución repadmin.exe para intentar forzar la replicación y anota los posibles errores.

Evento Descripción

Identificador 2204
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService
Evento Descripción

Gravedad Informativo

Mensaje <COMPUTERNAME> ha detectado un cambio de identificador de generación de

máquinas virtuales. El cambio significa que el controlador de dominio virtual se
revirtió a un estado anterior. <COMPUTERNAME> realizará las siguientes
operaciones para proteger el controlador de dominio revertido frente a posibles
divergencias de datos y para proteger la creación de entidades de seguridad con
SID duplicados:

Crear un id. de invocación

Invalidar el grupo RID actual

La propiedad de los roles FSMO se validará en la próxima replicación de entrada.

Durante este intervalo, si el controlador de dominio tuvo un rol FSMO, dicho rol no
estará disponible.

Inicia la operación de restauración del servicio de replicación de SYSVOL.

Inicia la replicación para actualizar el controlador de dominio revertido al estado

más actual.

Solicite un nuevo grupo RID.

Notas y Es previsible cuando se restaura una instantánea. Esto explica todas las operaciones
resolución de restablecimiento que se producen como parte del proceso de restauración
segura.

Evento Descripción

Identificador 2205
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje <COMPUTERNAME> invalidó el grupo de RID actual después de que el controlador

de dominio virtual se revierta al estado anterior.

Notas y Es previsible cuando se restaura una instantánea. El grupo de RID local debe
resolución destruirse porque el controlador de dominio ha viajado en el tiempo y puede que
ya se hayan emitido.

Evento Descripción

Identificador 2206
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService
Evento Descripción

Gravedad ERROR

Mensaje <COMPUTERNAME> no pudo invalidar el grupo de RID actual después de que el

controlador de dominio virtual se revierta al estado anterior.

Datos adicionales:

Código de error: %1

Valor del error: %2

Notas y Examina el registro de eventos de Servicios de directorio y Sistema. Comprueba que

resolución el maestro RID está conectado y es accesible desde este servidor usando Dcdiag.exe
/test:ridmanager

Evento Descripción

Identificador 2207
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad ERROR

Mensaje <COMPUTERNAME> no se pudo restaurar después de que el controlador de

dominio virtual se revierta al estado anterior. Se necesitó reiniciar en DSRM.
Comprueba los eventos anteriores para obtener más información.

Notas y Examina el registro de eventos de Servicios de directorio y Sistema.

resolución

Evento Descripción

Identificador 2208
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Informativo

Mensaje <COMPUTERNAME> eliminó las bases de datos DFSR para inicializar la réplica
SYSVOL durante una restauración no autoritativa.

Notas y Es previsible cuando se restaura una instantánea. Esto garantiza que DFSR realiza
resolución una sincronización no autoritativa desde un controlador de dominio asociado. Ten
en cuenta que todas las demás carpetas replicadas de DFSR que estén en el mismo
volumen que SYSVOL también se sincronizarán de forma autoritativa (no se
recomienda que los controladores de dominio hospeden conjuntos de DFSR
personalizados en el mismo volumen que SYSVOL).
 Evento Descripción

Identificador 2209
del evento

Origen Microsoft-Windows-ActiveDirectory_DomainService

Gravedad Error

Mensaje <COMPUTERNAME> no pudo eliminar bases de datos DFSR.

Datos adicionales:

Código de error: %1

Valor del error: %2

Active Directory detectó que la máquina virtual que hospeda el controlador de

dominio se revirtió a un estado anterior. <COMPUTERNAME> debe inicializar una
restauración no autoritativa en la réplica SYSVOL local. Para DFSR, se debe detener
el servicio DFSR, eliminar las bases de datos de DFSR y reiniciar el servicio. Una vez
reiniciado, DFSR volverá a generar las bases de datos e iniciará la sincronización
inicial.

Notas y Examina el registro de eventos de DFSR.

resolución

mensajes de error

No hay errores interactivos directos en caso de error de la restauración segura de

instantáneas de controladores de dominio virtualizados en los registros de eventos de
Servicios de directorio. Los errores críticos de replicación o de publicación de servidores
se manifiestan como síntomas en otros lugares.

Problemas conocidos y escenarios de soporte

La metodología general para solucionar problemas del controlador de dominio Caja

fuerte restauración suele ser adecuada para solucionar la mayoría de los problemas.

Problema No se pueden crear entidades de seguridad nuevas en un controlador de dominio

recientemente restaurado.

Síntomas Después de restaurar una instantánea, se producirá un error al intentar crear una
entidad de seguridad nueva (usuario, equipo, grupo) en el controlador de dominio con:
Error 0x2010

El servicio de directorios no puede asignar un identificador relativo.

 Problema No se pueden crear entidades de seguridad nuevas en un controlador de dominio
recientemente restaurado.

Solución Este problema se debe a que el conocimiento que el equipo restaurado tiene del rol
y notas FSMO de maestro RID está obsoleto. Si el rol se movió a este o a otro controlador de
dominio después de tomar una instantánea y de restaurarla después, el controlador de
dominio restaurado no tendrá conocimiento del maestro RID hasta que finalice la
replicación.
Para resolver el problema, deja que termine la replicación de AD de entrada en el
controlador de dominio restaurado. Si sigue sin funcionar, comprueba que todos los
controladores de dominio tengan el mismo conocimiento correcto de qué controlador
de dominio hospeda el maestro RID.

Problema Los controladores de dominio restaurados no comparten SYSVOL, no se publicitan.

Síntomas Después de restaurar una instantánea, uno o varios controladores de dominio no se

publicitan, no comparten sysvol y no tienen contenido de SYSVOL actualizado.

Solución Los asociados precedentes en la cadena del controlador de dominio no tienen una
y notas réplica de SYSVOL en funcionamiento que se esté replicando correctamente con DFSR
o FRS. Este problema no está relacionado con la restauración segura, pero es probable
que se manifeste como un problema de restauración segura, ya que el cliente no sabía
que el otro problema de replicación afectaba a los controladores de dominio no
restaurados.

Solución avanzada de problemas

El objetivo de este módulo es enseñar la solución avanzada de problemas usando
registros de trabajo como muestras, con algunas explicaciones de lo que ocurrió. Si
comprendes cómo funciona correctamente un controlador de dominio virtualizado, los
errores de tu entorno te resultarán más obvios. Estos registros se presentan por origen,
con los eventos previstos relativos a un controlador de dominio dentro de cada registro,
en orden ascendente.

Restaurar un controlador de dominio que replica SYSVOL mediante

DFSR

Registro de eventos de Servicios de directorio

El registro de Servicios de directorio contiene la mayoría de la información operativa

relativa a la restauración segura. El hipervisor cambia el id. de generación de VM y el
servicio NTDS lo anota; después, invalida el grupo de RID y cambia el id. de invocación. Se
establece el nuevo id. de generación de VM y los servidores replican los datos de AD de
entrada. El servicio DFSR se detiene y se elimina su base de datos, que hospeda SYSVOL,
lo que obliga a una sincronización de entrada no autoritativa. Se ajusta la marca de límite
superior de USN.

Identificador Origen Mensaje

del evento

2170 ActiveDirectory_DomainService Se detectó un cambio de id. de generación.

Id. de generación almacenado en caché en DS
(valor antiguo):

<number>

Id. de generación actualmente en VM (valor

nuevo):

<number>

El cambio de id. de generación se produce

después de la aplicación de una instantánea de
máquina virtual, después de una operación de
importación de máquina virtual o después de una
operación de migración en vivo. Active Directory
Domain Services creará un nuevo id. de
invocación para recuperar el controlador de
dominio. Los controladores de dominio
virtualizados no deben restaurarse con
instantáneas de máquina virtual. El método
admitido para restaurar o revertir el contenido de
una base de datos de Active Directory Domain
Services consiste en restaurar una copia de
seguridad del estado del sistema realizada con
una aplicación de copia de seguridad compatible
con Active Directory Domain Services.

2181 ActiveDirectory_DomainService La transacción se anuló debido a que una

máquina virtual se revirtió a un estado anterior.
Esto se produce después de la aplicación de una
instantánea de máquina virtual, después de una
operación de importación de máquina virtual o
después de una operación de migración en vivo.
Identificador Origen Mensaje
del evento

2204 ActiveDirectory_DomainService Active Directory Domain Services detectaron un

cambio de id. de generación de la máquina virtual.
El cambio significa que el controlador de dominio
virtual se revirtió a un estado anterior. Servicios de
dominio de Active Directory realizará las
siguientes operaciones para proteger el
controlador de dominio revertido frente a
posibles divergencias de datos y para proteger la
creación de entidades de seguridad con SID
duplicados:
Crear un id. de invocación

Invalidar el grupo RID actual

La propiedad de los roles FSMO se validará en la

próxima replicación de entrada. Durante este
intervalo, si el controlador de dominio tuvo un rol
FSMO, dicho rol no estará disponible.

Inicia la operación de restauración del servicio de

replicación de SYSVOL.

Inicia la replicación para actualizar el controlador

de dominio revertido al estado más actual.

Solicite un nuevo grupo RID.

2181 ActiveDirectory_DomainService La transacción se anuló debido a que una

máquina virtual se revirtió a un estado anterior.
Esto se produce después de la aplicación de una
instantánea de máquina virtual, después de una
operación de importación de máquina virtual o
después de una operación de migración en vivo.
Identificador Origen Mensaje
del evento

1109 ActiveDirectory_DomainService El atributo invocationID de este servidor de

directorio ha cambiado. El número de secuencia
de actualización mayor en el momento de crear la
copia de seguridad es el siguiente:
Atributo invocationID (valor anterior):

<GUID>

Atributo invocationID (valor nuevo):

<GUID>

Número de secuencias actualizadas:

<number>

El atributo invocationID cambia cuando un

servidor de directorio se restaura desde medios
de copia de seguridad, se configura para
hospedar una partición de directorio de
aplicaciones de escritura, se reanuda después de
aplicar una instantánea de máquina virtual,
después de una operación de importación de
máquina virtual o después de una operación de
migración en vivo. Los controladores de dominio
virtualizados no deben restaurarse con
instantáneas de máquina virtual. El método
admitido para restaurar o revertir el contenido de
una base de datos de Active Directory Domain
Services consiste en restaurar una copia de
seguridad del estado del sistema realizada con
una aplicación de copia de seguridad compatible
con Active Directory Domain Services.

2179 ActiveDirectory_DomainService El atributo msDS-GenerationId del objeto de

equipo del controlador de dominio se estableció
en el parámetro siguiente:
Atributo GenerationID:

<number>

2200 ActiveDirectory_DomainService Active Directory detectó que la máquina virtual

que hospeda el controlador de dominio se revirtió
a un estado anterior. Active Directory Domain
Services inicializan una replicación para actualizar
el controlador de dominio. Se registrará el evento
2201 cuando la replicación finalice.
Identificador Origen Mensaje
del evento

2201 ActiveDirectory_DomainService Active Directory detectó que la máquina virtual

que hospeda el controlador de dominio se revirtió
a un estado anterior. Active Directory Domain
Services finalizaron la replicación para actualizar el
controlador de dominio.

2185 ActiveDirectory_DomainService Active Directory Domain Services detuvieron el

servicio FRS o DFSR usado para replicar la carpeta
SYSVOL.
Nombre de servicio:

DFSR

Active Directory detectó que la máquina virtual

que hospeda el controlador de dominio se revirtió
a un estado anterior. Active Directory Domain
Services deben inicializar una restauración no
autoritativa en la réplica de SYSVOL local. Para
ello, se debe detener el servicio de replicación FRS
o DFSR que se usa para replicar la carpeta SYSVOL
y, a continuación, iniciarlo con los valores y las
claves del Registro adecuados para desencadenar
la restauración. Se registrará el evento 2187
cuando el servicio FRS o DFSR se reinicie.

2208 ActiveDirectory_DomainService Active Directory Domain Services eliminaron las

bases de datos de DFSR para inicializar la réplica
de SYSVOL durante una restauración no
autoritativa.
Active Directory detectó que la máquina virtual
que hospeda el controlador de dominio se revirtió
a un estado anterior. Active Directory Domain
Services deben inicializar una restauración no
autoritativa en la réplica de SYSVOL local. Para
DFSR, se debe detener el servicio DFSR, eliminar
las bases de datos de DFSR y reiniciar el servicio.
Al reiniciar DFSR, se volverán a generar las bases
de datos y se iniciará la sincronización inicial. "
Identificador Origen Mensaje
del evento

2187 ActiveDirectory_DomainService Active Directory Domain Services iniciaron el

servicio FRS o DFSR usado para replicar la carpeta
SYSVOL.
Nombre de servicio:

DFSR

Active Directory detectó que la máquina virtual

que hospeda el controlador de dominio se revirtió
a un estado anterior. Active Directory Domain
Services tuvieron que inicializar una restauración
no autoritativa en la réplica de SYSVOL local. Para
ello, se tuvo que detener el servicio FRS o DFSR
que se usa para replicar la carpeta SYSVOL y, a
continuación, iniciarlo con los valores y las claves
del Registro adecuados para desencadenar la
restauración. "
Identificador Origen Mensaje
del evento

1587 ActiveDirectory_DomainService Este servicio de directorio se ha restaurado o se

ha configurado para hospedar una partición de
aplicación. Como resultado, su identidad de
replicación ha cambiado. Un asociado ha
solicitado cambios de replicación usando nuestra
identidad antigua. Se ha ajustado el número de
secuencia de inicio.
El servicio de directorio de destino que
corresponde al siguiente GUID del objeto ha
solicitado cambios, empezando por un USN que
precede al USN donde se restauró el servicio de
directorio local desde el medio de copia de
seguridad.

GUID del objeto:

<GUID> (<FQDN del controlador> de dominio

asociado)

USN en el momento de la restauración:

<number>

Como resultado, el vector de actualización del

servicio de directorio de destino se ha
configurado de la siguiente forma.

GUID de la base de datos anterior:

<GUID>

USN del objeto anterior:

<number>

USN de la propiedad anterior:

<number>

GUID de la nueva base de datos:

<GUID>

USN del nuevo objeto:

<number>

USN de nueva propiedad:

 <number>
Identificador Origen Mensaje
del evento

Registro de eventos del sistema

El registro de eventos de Sistema anota la hora del equipo en que se conecta de nuevo
una máquina virtual y se sincroniza con la hora del host. El grupo RID se invalida y se
reinician los servicios DFSR o FRS.

Identificador Origen Mensaje

del evento

1 Kernel-General ¿La hora del sistema ha cambiado a ?< ahora> desde la

fecha y> hora de< la instantánea.

Motivo del cambio: una aplicación o componente del sistema

cambió la hora.

16654 Directory-Services- Se invalidó un grupo de identificadores de cuenta (RID). Esto

SAM puede suceder en los siguientes casos previstos:
1. Se restaura un controlador de dominio a partir de la copia
de seguridad.

2. Un controlador de dominio que se ejecuta en una máquina

virtual se restaura a partir de la instantánea.

3. Un administrador ha invalidado manualmente el grupo.

Consulte https://go.microsoft.com/fwlink/?LinkId=226247
para obtener más información.

7036 Administrador de El servicio Replicación DFS entró en estado de detención.

control de servicios

7036 Administrador de El servicio Replicación DFS entró en estado de ejecución.

control de servicios

Registro de eventos de aplicación

El registro de eventos de Aplicación anota la detención e inicio de la base de datos de

DFSR.

Identificador Origen Mensaje

del evento
 Identificador Origen Mensaje
del evento

103 ESENT DFSR (1360) \\.\C:\System Volume

Information\DFSR\database_<GUID>\dfsr.db: El motor de base de datos
detuvo la instancia (0).

Apagado sucio: 0

Secuencia temporal interna: [1] 0,000, [2] 0,000, [3] 0,000, [4] 0,000, [5]
0,141, [6] 0,000, [7] 0,000, [8] 0,000, [9] 0,000, [10] 0,000, [11] 0,016, [12]
0,000, [13] 0.000, [14] 0.000, [15] 0.000.

102 ESENT DFSR (532) \\.\C:\System Volume

Information\DFSR\database_<GUID>\dfsr.db: El motor de base de datos
(6.02.8189.0000) inicia una nueva instancia (0).

105 ESENT DFSR (532) \\.\C:\System Volume

Information\DFSR\database_<GUID>\dfsr.db: El motor de base de datos
inició una nueva instancia (0). (Tiempo=0 segundos)

Secuencia temporal interna: [1] 0,000, [2] 0,000, [3] 0,000, [4] 0,000, [5]
0,000, [6] 0,000, [7] 0,000, [8] 0,000, [9] 0,031, [10] 0,000, [11] 0,000.

DFSR (532) \\.\C:\System Volume

Information\DFSR\databaseGUID<>\dfsr.db: El motor de base de datos creó
una nueva base de datos (1, \\.\C:\System Volume
Information\DFSR\databaseGUID<>\dfsr.db). (Tiempo=0 segundos)

Secuencia temporal interna: [1] 0,000, [2] 0,000, [3] 0,016, [4] 0,062, [5]
0,000, [6] 0,016, [7] 0,000, [8] 0,000, [9] 0,015, [10] 0,000, [11] 0,000.

Registro de eventos de Replicación DFS

El servicio DFSR se detiene y se elimina la base de datos que hospeda SYSVOL, lo que
obliga a una sincronización de entrada no autoritativa.

Identificador Origen Mensaje

del evento

1006 DFSR El servicio de replicación DFS se está deteniendo.

1008 DFSR El servicio de replicación DFS se ha detenido.

1002 DFSR El servicio de replicación DFS se está iniciando.

1004 DFSR El servicio de replicación DFS se ha iniciado.

Identificador Origen Mensaje
del evento

1314 DFSR El servicio de replicación DFS configuró correctamente los archivos de

registro de depuración.
Información adicional:

Ruta de acceso del archivo de registro de depuración: C:\Windows\debug

6102 DFSR El servicio de replicación DFS registró correctamente el proveedor WMI.

1206 DFSR El servicio replicación DFS se ha contactado correctamente con el FQDN>

del controlador de dominio del controlador< de dominio para acceder a la
información de configuración.

1210 DFSR El servicio de replicación DFS estableció una escucha RPC para las
solicitudes de replicación entrantes.
Información adicional:

Puerto: 0

4614 DFSR El servicio de replicación DFS inicializó SYSVOL en la ruta local

C:\Windows\SYSVOL\domain y está esperando realizar la replicación
inicial. La carpeta replicada permanecerá en el estado inicial de
sincronización hasta que se replique con el asociado. Si el servidor se
estaba ascendiendo a un controlador de dominio, el controlador de
dominio no se anunciará ni funcionará como tal hasta que este problema
se resuelva. Esto puede suceder si el asociado especificado también está
en el estado inicial de sincronización, o si se detectaron infracciones de
uso compartido en este servidor o en el asociado de sincronización. Si
este evento se presentó durante la migración de SYSVOL del servicio
Replicación de archivos (FRS) a la Replicación DFS, los cambios no se
replicarán a menos que este problema se resuelva. Esto puede provocar
que la carpeta SYSVOL en este servidor deje de estar sincronizada con los
demás controladores de dominio.
Información adicional:

Nombre de carpeta replicada: recurso compartido SYSVOL

Id. de carpeta replicada: <GUID>

Nombre del grupo de replicación: volumen del sistema de dominio

Id. de grupo de replicación: <GUID>

Id. de miembro: <GUID>

Solo lectura: 0
 Identificador Origen Mensaje
del evento

4604 DFSR El servicio Replicación DFS inicializó correctamente la carpeta replicada

SYSVOL en la ruta local C:\Windows\SYSVOL\domain. Este miembro
completó la sincronización inicial de SYSVOL con el asociado
dc1.corp.contoso.com. Para comprobar la presencia de una carpeta
SYSVOL, abre una ventana del símbolo del sistema y escribe "net share".
Información adicional:

Nombre de carpeta replicada: recurso compartido SYSVOL

Id. de carpeta replicada: <GUID>

Nombre del grupo de replicación: volumen del sistema de dominio

Id. de grupo de replicación: <GUID>

Id. de miembro: <GUID>

Asociado de sincronización: <FQDN> del controlador de dominio del

asociado

Restaurar un controlador de dominio que replica SYSVOL mediante

FSR

En este caso, se usa el registro de eventos de Replicación de archivos en lugar del registro
de eventos de DFSR. El registro de eventos de Aplicación también escribe diferentes
eventos relativos a FRS. Por lo demás, los mensajes de los registros de eventos de
Servicios de directorio y de Sistema por lo general son los mismos, y en el mismo orden
que se han descrito.

Registro de eventos del Servicio de replicación de archivos

El servicio FRS se ha detenido y reiniciado con un valor D2 BURFLAGS para sincronizar

SYSVOL de forma no autoritativa.

Identificador Origen Mensaje

del evento

13502 NTFRS El Servicio de replicación de archivos se está deteniendo.

13503 NTFRS El Servicio de replicación de archivos se ha detenido.

13501 NTFRS El Servicio de replicación de archivos se está iniciando.

Identificador Origen Mensaje
del evento

13512 NTFRS El Servicio de replicación de archivos ha detectado una caché de escritura

en disco habilitada en la unidad que contiene el directorio
c:\windows\ntfrs\jet en el equipo DC4. Es posible que el Servicio de
replicación de archivos no se recupere cuando se interrumpa la conexión a
la unidad o se pierdan actualizaciones críticas.

13565 NTFRS El Servicio de réplica de archivos está inicializando el volumen del sistema
con datos de otro controlador de dominio. El equipo DC4 no se puede
convertir en un controlador de dominio hasta que este proceso se haya
completado. El volumen del sistema será entonces compartido como
SYSVOL.
Para comprobar el recurso compartido SYSVOL, en el símbolo del sistema,
escribe:

net share

Cuando el Servicio de réplica de archivos complete el proceso de

inicialización, aparecerá el recurso compartido SYSVOL.

La inicialización del volumen de sistema puede tardar un poco. El tiempo

depende de la cantidad de datos en el volumen de sistema, la
disponibilidad de otros controladores de dominio, y el intervalo de
replicación entre controladores de dominio.

13520 NTFRS El servicio de replicación de archivos movió los archivos preexistentes en

<la ruta> de acceso a <path>\NtFrs_PreExisting___See_EventLog.

El servicio de replicación de archivos puede eliminar los archivos de

<path>\NtFrs_PreExisting___See_EventLog en cualquier momento. Los
archivos se pueden guardar de la eliminación copiandolos fuera de la ruta
de< acceso>\NtFrs_PreExisting___See_EventLog. Copiar los archivos en <la
ruta> de acceso puede provocar conflictos de nombres si los archivos ya
existen en algún otro asociado de replicación.

En algunos casos, el servicio de replicación de archivos puede copiar un

archivo de <path>\NtFrs_PreExisting___See_EventLog en <la ruta> de
acceso en lugar de replicar el archivo de algún otro asociado de
replicación.

El espacio se puede recuperar en cualquier momento eliminando los

archivos en <path>\NtFrs_PreExisting___See_EventLog.
 Identificador Origen Mensaje
del evento

13553 NTFRS El servicio de replicación de archivos agregó correctamente este equipo al

conjunto de replicas siguientes:
"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

La información relacionada con este evento se muestra a continuación:

El nombre DNS del equipo es "<FQDN> del controlador de dominio"

El nombre del miembro del conjunto de réplicas es "<nombre> del

controlador de dominio".

La ruta de acceso raíz del conjunto de réplicas es "<path>"

La ruta de acceso del directorio de almacenamiento provisional de réplica

es "<path> "

La ruta de acceso del directorio de trabajo de réplica es "<path>"

13554 NTFRS El servicio de replicación de archivos agregó correctamente las conexiones

mostradas a continuación en el conjunto de la réplica:
"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

Entrante de "<FQDN> del controlador de dominio asociado"

Salida a "<FQDN> del controlador de dominio asociado"

Puede aparecer más información en mensajes posteriores del registro de

eventos.

13516 NTFRS El servicio de replicación de archivos ya no impide que el equipo DC4 sea
un controlador de dominio. Se ha inicializado correctamente el volumen
de sistema y se ha notificado al servicio de Net Logon de que dicho
volumen está preparado para compartirse como SYSVOL.
Escribe "net share" para comprobar el recurso compartido SYSVOL.

Registro de eventos de aplicación

La base de datos de FRS se detiene y se inicia, y se limpia debido a la operación D2

BURFLAGS.

Identificador Origen Mensaje

del evento
Identificador Origen Mensaje
del evento

327 ESENT ntfrs (1424) El motor de la base de datos separó una base de datos (1,
c:\windows\ntfrs\jet\ntfrs.jdb). (Tiempo=0 segundos)
Secuencia temporal interna: [1] 0,000, [2] 0,015, [3] 0,000, [4] 0,000, [5]
0,000, [6] 0,516, [7] 0,000, [8] 0,000, [9] 0,000, [10] 0,000, [11] 0,063, [12]
0,000.

Caché reanimada: 0

103 ESENT ntfrs (1424) El motor de base de datos detuvo la instancia (0).
Apagado sucio: 0

Secuencia temporal interna: [1] 0,000, [2] 0,000, [3] 0,000, [4] 0,000, [5]
0,000, [6] 0,000, [7] 0,000, [8] 0,000, [9] 0,031, [10] 0,000, [11] 0,016, [12]
0,000, [13] 0,000, [14] 0,047, [15] 0,000.

102 ESENT ntfrs (3000) El motor de base de datos (6.02.8189.0000) está iniciando una
nueva instancia (0).

105 ESENT ntfrs (3000) El motor de base de datos inició una nueva instancia (0).
(Tiempo=0 segundos)
Secuencia temporal interna: [1] 0,000, [2] 0,000, [3] 0,000, [4] 0,000, [5]
0,000, [6] 0,000, [7] 0,000, [8] 0,000, [9] 0,062, [10] 0,000, [11] 0,141.

103 ESENT ntfrs (3000) El motor de base de datos detuvo la instancia (0).
Apagado sucio: 0

Secuencia temporal interna: [1] 0,000, [2] 0,000, [3] 0,000, [4] 0,000, [5]
0,000, [6] 0,000, [7] 0,000, [8] 0,000, [9] 0,000, [10] 0,000, [11] 0,000, [12]
0,000, [13] 0,015, [14] 0,000, [15] 0,000.

102 ESENT ntfrs (3000) El motor de base de datos (6.02.8189.0000) está iniciando una
nueva instancia (0).

105 ESENT ntfrs (3000) El motor de base de datos inició una nueva instancia (0).
(Tiempo=0 segundos)
Secuencia temporal interna: [1] 0,000, [2] 0,000, [3] 0,000, [4] 0,000, [5]
0,000, [6] 0,000, [7] 0,000, [8] 0,000, [9] 0,078, [10] 0,000, [11] 0,109.

325 ESENT ntfrs (3000) El motor de base de datos creó una nueva base de datos (1,
c:\windows\ntfrs\jet\ntfrs.jdb). (Tiempo=0 segundos)
Secuencia temporal interna: [1] 0,000, [2] 0,000, [3] 0,016, [4] 0,016, [5]
0,000, [6] 0,015, [7] 0,000, [8] 0,000, [9] 0,078, [10] 0,016, [11] 0,000.
Identificador Origen Mensaje
del evento

103 ESENT ntfrs (3000) El motor de base de datos detuvo la instancia (0).
Apagado sucio: 0

Secuencia temporal interna: [1] 0,000, [2] 0,000, [3] 0,000, [4] 0,000, [5]
0,078, [6] 0,000, [7] 0,000, [8] 0,000, [9] 0,125, [10] 0,016, [11] 0,000, [12]
0,000, [13] 0,000, [14] 0,000, [15] 0,000.

102 ESENT ntfrs (3000) El motor de base de datos (6.02.8189.0000) está iniciando una
nueva instancia (0).

105 ESENT ntfrs (3000) El motor de base de datos inició una nueva instancia (0).
(Tiempo=0 segundos)
Secuencia temporal interna: [1] 0,016, [2] 0,000, [3] 0,000, [4] 0,094, [5]
0,000, [6] 0,000, [7] 0,000, [8] 0,000, [9] 0,032, [10] 0,000, [11] 0,000.

326 ESENT ntfrs (3000) El motor de la base de datos adjuntó una base de datos (1,
c:\windows\ntfrs\jet\ntfrs.jdb). (Tiempo=0 segundos)
Secuencia temporal interna: [1] 0,000, [2] 0,015, [3] 0,000, [4] 0,000, [5]
0,016, [6] 0,015, [7] 0,000, [8] 0,000, [9] 0,000, [10] 0,000, [11] 0,000, [12]
0,000.

Caché guardada: 1
Apéndice de la referencia técnica de
controladores de dominio virtualizados
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este tema se explica:

Terminología

FixVDCPermissions.ps1

Terminología
Instantánea : el estado de una máquina virtual en un momento dado. Depende de
la cadena de instantáneas anteriores tomadas, en el hardware y en la plataforma
de virtualización.

Clonar : copia completa e independiente de una máquina virtual. Depende del

hardware virtual (hipervisor).

Clonación completa : un clon completo es una copia independiente de una

máquina virtual que no comparte recursos con la máquina virtual primaria después
de la operación de clonación. El funcionamiento continuo de un clon completo es
completamente independiente de la máquina virtual primaria.

Disco de diferenciación : copia de una máquina virtual que comparte discos

virtuales con la máquina virtual primaria de forma continua. Esto suele ahorrar
espacio en disco y permite que varias máquinas virtuales usen la misma instalación
de software.

Copia de máquina virtual: copia del sistema de archivos de todos los archivos y
carpetas relacionados de una máquina virtual.

Copia de archivos VHD : copia del VHD de una máquina virtual

Identificador de generación de vm: entero de 128 bits que el hipervisor ha dado a

la máquina virtual. Este identificador se almacena en memoria y se restablece cada
vez que se aplica una instantánea. El diseño usa un mecanismo independiente del
hipervisor para mostrar el identificador de VM-Generation en la máquina virtual. La
 implementación de Hyper-V expone el identificador en la tabla ACPI de la máquina
virtual.

Import/Export: una característica de Hyper-V que permite al usuario guardar toda

la máquina virtual (archivos de máquina virtual, VHD y la configuración de la
máquina). A continuación, permite a los usuarios usar ese conjunto de archivos
para volver a poner la máquina en la misma máquina que la misma máquina
virtual (restauración), en un equipo diferente que la misma máquina virtual (mover)
o en una nueva máquina virtual (copia).

FixVDCPermissions.ps1

# Unsigned script, requires use of set-executionpolicy remotesigned -force

# You must run the Windows PowerShell console as an elevated administrator

# Load Active Directory Windows PowerShell Module and switch to AD DS drive

import-module activedirectory

cd ad:

## Get Domain NC

$domainNC = get-addomain

## Get groups and obtain their SIDs

$dcgroup = get-adgroup "Cloneable Domain Controllers"

$sid1 = (get-adgroup $dcgroup).sid

## Get the DACL of the domain

$acl = get-acl $domainNC

## The following object specific ACE grants extended right 'Allow a DC to

create a clone of itself' for the CDC group to the Domain NC

## 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e is the schemaIDGuid for 'DS-Clone-

Domain-Controller"

$objectguid = new-object Guid 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e

$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule

$sid1,"ExtendedRight","Allow",$objectguid

## Add the ACE in the ACL and set the ACL on the object

$acl.AddAccessRule($ace1)

set-acl -aclobject $acl $domainNC

write-host "Done writing new VDC permissions."

cd c:

Recursos adicionales de controladores

de dominio virtualizados
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Virtualización de AD DS (mejoras seguras de clonación y virtualización)

Referencia técnica del modelo de replicación de Active Directory

Ejecución de controladores de dominio en Hyper-V (comportamientos de

Windows Server 2008 R2)

Protección contra reversión de USN y USN (Windows Server 2008 R2)

Administración de Active Directory con Windows PowerShell (Windows Server

2008 R2)

Hyper-V en Windows Server 2012

Pregunte al equipo de servicios de Directory (Blog del soporte técnico comercial

oficial de Microsoft)
Guía de pruebas de clonación de
controladores de dominio virtualizados
para proveedores de aplicaciones
Artículo • 29/09/2022 • Tiempo de lectura: 6 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este tema se explica qué deben tener en cuenta los proveedores de aplicaciones para
asegurarse de que su aplicación sigue funcionando según lo previsto una vez
completado el proceso de clonación del controlador de dominio virtualizado (DC). Trata
los aspectos del proceso de clonación que interesan a los proveedores de aplicaciones y
escenarios que pueden garantizar pruebas adicionales. A los proveedores de
aplicaciones que han validado que su aplicación funciona en controladores de dominio
virtualizados que se han clonado se les recomienda que enumen el nombre de la
aplicación en el contenido de Community en la parte inferior de este tema, junto con un
vínculo al sitio web de la organización donde los usuarios pueden obtener más
información sobre la validación.

Introducción a la clonación de dc virtualizado

El proceso de clonación de controladores de dominio virtualizados se describe en
detalle en Introducción a la virtualización de Servicios de dominio de Active Directory
(AD DS) (nivel 100) y Referencia técnica del controlador de dominio virtualizado (nivel
300). Desde la perspectiva de un proveedor de aplicaciones, estas son algunas
consideraciones que se deben tener en cuenta al evaluar el impacto de la clonación en
la aplicación:

El equipo original no se destruye. Permanece en la red e interactúa con los clientes.

A diferencia de un cambio de nombre en el que se quitan los registros DNS del
equipo original, los registros originales del controlador de dominio de origen
permanecen.

Durante el proceso de clonación, el nuevo equipo se ejecuta inicialmente durante

un breve período de tiempo bajo la identidad del equipo antiguo hasta que se
inicia el proceso de clonación y realiza los cambios necesarios. Las aplicaciones
que crean registros sobre el host deben asegurarse de que el equipo clonado no
sobrescriba los registros sobre el host original durante el proceso de clonación.
 La clonación es una funcionalidad de implementación específica solo para
controladores de dominio virtualizados, no una extensión de uso general para
clonar otros roles de servidor. Algunos roles de servidor no se admiten
específicamente para la clonación:

Protocolo de configuración dinámica de host (DHCP)

Active Directory Certificate Services (AD CS)

Active Directory Lightweight Directory Services (AD LDS)

Como parte del proceso de clonación, se copia toda la máquina virtual que
representa el controlador de dominio original, por lo que también se copia
cualquier estado de aplicación en esa máquina virtual. Compruebe que la
aplicación se adapta a este cambio de estado del host local en el controlador de
dominio clonado, o si se requiere alguna intervención, como un reinicio del
servicio.

Como parte de la clonación, el nuevo controlador de dominio obtiene una nueva

identidad de máquina y se aprovisiona a sí mismo como un controlador de
dominio de réplica en la topología. Valide si la aplicación depende de la identidad
de la máquina, como su nombre, cuenta, SID, y así sucesivamente. ¿Se adapta
automáticamente al cambio de identidad de la máquina en el clon? Si esa
aplicación almacena en caché los datos, asegúrese de que no se basan en los
datos de identidad de la máquina que se pueden almacenar en caché.

¿Qué es interesante para los proveedores de

aplicaciones?

CustomDCCloneAllowList.xml
Un controlador de dominio que ejecuta la aplicación o el servicio no se puede clonar
hasta que la aplicación o el servicio sea:

Se ha agregado al archivo CustomDCCloneAllowList.xml mediante el cmdlet Get-

ADDCCloningExcludedApplicationList Windows PowerShell.

-O bien-

Se ha quitado del controlador de dominio.

La primera vez que el usuario ejecuta el cmdlet Get-

ADDCCloningExcludedApplicationList, devuelve una lista de servicios y aplicaciones que
se ejecutan en el controlador de dominio, pero no están en la lista predeterminada de
servicios y aplicaciones que se admiten para la clonación. De forma predeterminada, el
servicio o la aplicación no aparecerán en la lista. Para agregar el servicio o la aplicación a
la lista de aplicaciones y servicios que se pueden clonar de forma segura, el usuario
vuelve Get-ADDCCloningExcludedApplicationList ejecutar un cmdlet con la opción -
GenerateXML para agregarlo al archivo CustomDCCloneAllowList.xml. Para obtener más
información, vea Paso 2: Ejecutar Get-ADDCCloningExcludedApplicationList cmdlet.

Interacciones del sistema distribuido

Normalmente, los servicios aislados en el equipo local pasan o no al participar en la
clonación. Los servicios distribuidos deben preocuparse por tener dos instancias del
equipo host en la red simultáneamente durante un breve período de tiempo. Esto
puede manifestarse como una instancia de servicio que intenta extraer información de
un sistema asociado en el que el clon se ha registrado como el nuevo proveedor de la
identidad. O ambas instancias del servicio pueden insertar información en la base AD DS
datos al mismo tiempo con resultados diferentes. Por ejemplo, no es determinista con
qué equipo se comunicará cuando dos equipos que tengan el servicio Windows Testing
Technologies (WTT) estén en la red con el controlador de dominio.

Para el servicio servidor DNS distribuido, el proceso de clonación evita cuidadosamente

sobrescribir los registros DNS del controlador de dominio de origen cuando el
controlador de dominio clonado comienza con una nueva dirección IP.

No debe confiar en el equipo para quitar toda la identidad anterior hasta el final de la
clonación. Después de promover el nuevo controlador de dominio dentro del nuevo
contexto, seleccione Sysprep providers are run to clean up the additional state of the
computer (Los proveedores de Sysprep se ejecutan para limpiar el estado adicional del
equipo). Por ejemplo, es en este momento cuando se quitan los certificados antiguos
del equipo y se cambian los secretos criptografía a los que el equipo puede acceder.

El mayor factor que varía el tiempo de la clonación es cuántos objetos hay que replicar
desde el PDC. Los medios más antiguos aumentan el tiempo necesario para completar
la clonación.

Dado que el servicio o la aplicación son desconocidos, se deja en ejecución. El proceso

de clonación no cambia el estado de los servicios que no Windows datos.

Además, el nuevo equipo tiene una dirección IP diferente a la del equipo original. Estos
comportamientos pueden producir efectos secundarios en el servicio o la aplicación en
función de cómo se comporte el servicio o la aplicación en este entorno.
Escenarios adicionales sugeridos para pruebas

Error de clonación
Los proveedores de servicios deben probar este escenario porque, cuando se produce
un error en la clonación, el equipo arranca en el modo de reparación de servicios de
directorio (DSRM), una forma de Caja fuerte virtual. En este momento, el equipo no ha
completado la clonación. Es posible que algún estado haya cambiado y que algún
estado permanezca desde el controlador de dominio original. Pruebe este escenario
para comprender qué impacto puede tener en la aplicación.

Para inducir un error de clonación, intente clonar un controlador de dominio sin

concederle permiso para clonarse. En este caso, el equipo solo habrá cambiado las
direcciones IP y seguirá teniendo la mayoría de su estado desde el controlador de
dominio original. Para obtener más información sobre cómo conceder permiso para
clonar un controlador de dominio, vea Paso 1: Conceder al controlador de dominio
virtualizado de origen el permiso que se va a clonar.

Clonación del emulador de PDC

Los proveedores de servicios y aplicaciones deben probar este escenario porque hay un
reinicio adicional cuando se clona el emulador de PDC. Además, la mayoría de la
clonación se realiza bajo una identidad temporal para permitir que el nuevo clon
interactúe con el emulador de PDC durante el proceso de clonación.

Escritura frente a controladores de dominio de solo

lectura
Los proveedores de servicios y aplicaciones deben probar la clonación con el mismo
tipo de controlador de dominio (es decir, en un controlador de dominio de solo lectura
o grabable) en el que está previsto que se ejecute el servicio.
Compatibilidad de la réplica de Hyper-V
con controladores de dominio
virtualizados
Artículo • 29/09/2022 • Tiempo de lectura: 7 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este tema se explica la compatibilidad para usar Réplica de Hyper-V con objeto de
replicar una máquina virtual (VM) que se ejecuta como un controlador de dominio (DC).
Réplica de Hyper-V es una nueva capacidad de Hyper-V incluida a partir de Windows
Server 2012 que proporciona un mecanismo integrado de replicación en el nivel de una
VM.

Las VM seleccionadas se replican asincrónicamente desde un host de Hyper-V principal

con un host de Hyper-V de réplica mediante vínculos LAN o WAN. Una vez completada
la replicación inicial, los cambios posteriores se replican según el intervalo que el
administrador haya definido.

La conmutación por error puede ser planeada o no planeada. Una conmutación por
error planeada debe iniciarla un administrador en la VM principal, y todos los cambios
que no se hayan replicado se copian en la VM de réplica para no perder datos, mientras
que una conmutación por error no planeada se inicia en la VM de réplica como
respuesta a un error inesperado que ha tenido lugar en la VM principal. En este caso sí
se pueden perder datos, ya que no existe la posibilidad de transmitir los cambios en la
VM principal que no hayan podido replicarse aún.

Para obtener información adicional sobre la Réplica de Hyper-V, consulte Introducción a

Réplica de Hyper-V y Implementar la réplica de Hyper-V.

７ Nota

Réplica de Hyper-V solo se puede ejecutar en Windows Server Hyper-V, y no en la

versión de Hyper-V que se ejecuta en Windows 8.

Windows Server 2012 o controladores de

dominio más recientes necesarios
Windows Server 2012 Hyper-V introdujo VM-GenerationID (VMGenID). VMGenID
constituye una forma por parte del hipervisor de comunicarse con el SO invitado
cuando han tenido lugar cambios reseñables. Por ejemplo, el hipervisor se puede
comunicar con un DC virtualizado donde ha tenido lugar una restauración desde una
instantánea (tecnología de restauración de instantánea de Hyper-V, no restauración de
copia de seguridad). AD DS en Windows Server 2012 y versiones más recientes es
consciente de la tecnología de máquina virtual VMGenID y la usa para detectar cuándo
se realizan las operaciones del hipervisor, como la restauración de instantáneas, lo que
le permite protegerse mejor.

７ Nota

Solo AD DS en Windows Server 2012 controladores de dominio o versiones más

recientes proporcionan estas medidas de seguridad resultantes de VMGenID; Los
controladores de dominio que ejecutan todas las versiones anteriores de Windows
Server están sujetos a problemas como la reversión de USN que puede producirse
cuando se restaura un controlador de dominio virtualizado mediante un
mecanismo no admitido, como la restauración de instantáneas. Para obtener más
información sobre estas medidas de seguridad y cuándo se desencadenan,
consulte Arquitectura de controlador de dominio virtualizado.

Cuando se produce una conmutación por error de réplica de Hyper-V (planeada o no

planeada), el controlador de dominio virtualizado detecta un restablecimiento de
VMGenID, lo que desencadena las características de seguridad mencionadas
anteriormente. Tras esto, Active Directory prosigue con su funcionamiento habitual. La
VM de réplica se ejecuta como la VM principal.

７ Nota

Ahora que hay dos instancias de la misma identidad de DC, existe la posibilidad de
que tanto la instancia principal como la replicada se ejecuten. Si bien Réplica de
Hyper-V está dotado de mecanismos de control para garantizar que las VM
principal y de réplica no se ejecutan al mismo tiempo, esto puede suceder si se
produce un error en el vínculo entre ambas después de la replicación de la VM. En
el improbable caso de que esto ocurra, los controles de dominio virtualizados que
ejecutan Windows Server 2012 cuentan con medidas de seguridad para proteger
AD DS, pero no así los controles de dominio virtualizados que ejecutan versiones
anteriores de Windows Server.
Al utilizar la réplica de Hyper-V, asegúrese de seguir las prácticas recomendadas para
ejecutar controladores de dominio virtuales en Hyper-V. Este artículo incluye
recomendaciones para, por ejemplo, almacenar archivos de Active Directory en discos
SCSI virtuales, lo que constituye una mayor garantía de durabilidad de los datos.

Escenarios admitidos y no admitidos

Solo se admiten las máquinas virtuales que ejecutan Windows Server 2012 o versiones
más recientes para la conmutación por error no planeada y para probar la conmutación
por error. Incluso para la conmutación por error planeada, se recomienda Windows
Server 2012 o posterior para el controlador de dominio virtualizado con el fin de mitigar
los riesgos en caso de que un administrador inicie accidentalmente la máquina virtual
principal y la máquina virtual replicada al mismo tiempo.

Las VM que ejecutan versiones anteriores de Windows Server se pueden usar en las
conmutaciones por error planeadas, pero no en las no planeadas, dadas las
probabilidades de que se produzca una reversión de USN. Para obtener más
información acerca de la reversión de USN, vea USN y reversión de USN.

７ Nota

No existen requisitos de nivel funcional de dominio o bosque, sino únicamente

requisitos de sistema operativo para los controladores de dominio que se ejecutan
como VM y que se replican mediante Réplica de Hyper-V. Las VM se pueden
implementar en un bosque que contenga otros controladores de dominio físicos o
virtuales donde se ejecute una versión anterior de Windows Server y que pueden o
no replicarse a través de Réplica de Hyper-V.

Esta afirmación de compatibilidad se sustenta en diversas pruebas que se han realizado

en un bosque con un solo dominio, si bien también se admiten configuraciones de
bosque multidominio. En dichas pruebas, los controladores de dominio virtualizados
DC1 y DC2 son asociados de replicación de Active Directory hospedados en el mismo
sitio y en un servidor que ejecuta Hyper-V en Windows Server 2012. Réplica de Hyper-V
está habilitado en el invitado de VM. El servidor Réplica está hospedado en un centro de
datos alejado geográficamente. Para poder entender mejor los procesos del caso de
prueba que vamos a explicar a continuación, haremos referencia a la VM que ejecuta el
servidor Réplica como DC2-Rec (aunque su nombre sea de facto el mismo que el de la
VM original).

Windows Server 2012

En la siguiente tabla se detalla la compatibilidad de los controladores de dominio
virtualizados que ejecutan Windows Server 2012, así como los casos de prueba.

Conmutación por error planeada Conmutación por error no

planeada

Compatible Compatible

Caso de prueba: El caso de prueba es el mismo

- DC1 y DC2 se ejecutan Windows Server 2012. que el de una conmutación por
error planeada, salvo por las
- DC2 se apaga y se realiza una conmutación por error en DC2- siguientes excepciones:
Rec. La conmutación por error se puede planear o no planear. : las actualizaciones de AD
recibidas en DC2 pero aún no
- Después de que se inicie DC2-Rec, comprueba si el valor de
replicadas por AD en un
VMGenID que tiene en su base de datos es el mismo que el
asociado de replicación antes
valor del controlador de máquina virtual guardado por el
de que se pierda el evento de
servidor réplica de Hyper-V.
conmutación por error.
- Como resultado, DC2-Rec desencadena medidas de seguridad
- Las actualizaciones de AD
de virtualización; es decir, restablece su InvocationID, descarta
recibidas en DC2 después del
su grupo de RID y establece un requisito de sincronización
momento del punto de
inicial antes de asumir un rol maestro de operaciones. Para
recuperación replicado por AD
obtener más información sobre el requisito de sincronización
a DC1 se replicarán desde DC1
inicial, consulta .
de nuevo a DC2-Rec.
- DC2-Rec luego guarda el nuevo valor de VMGenID en su base
de datos y confirma las actualizaciones posteriores en el
contexto del nuevo InvocationID.

- Como resultado del restablecimiento de InvocationID, DC1

convergerá en todos los cambios de AD introducidos por DC2-
Rec incluso si se revierte en el tiempo, lo que significa que las
actualizaciones de AD realizadas en DC2-Rec después de que la
conmutación por error convergerá de forma segura.

Windows Server 2008 R2 y versiones anteriores

En la siguiente tabla se refleja la compatibilidad de los controladores de dominio
virtualizados que ejecutan Windows Server 2008 R2 y versiones anteriores.

Conmutación por error planeada Conmutación por error no

planeada
Conmutación por error planeada Conmutación por error no
planeada

Compatible, pero no recomendable, ya que los No compatible

controladores de dominio que ejecutan estas versiones de Nota: La conmutación por error no
Windows Server no admiten VMGenID y carecen de planeada se admitiría cuando la
medidas de seguridad de virtualización asociadas. Esto reversión de USN no es un riesgo,
supone un riesgo de reversión de USN. Para obtener más como un único controlador de
información, vea USN y reversión de USN. dominio en el bosque (una
configuración que no se
recomienda).

Caso de prueba: N/D

- DC1 y DC2 se ejecutan Windows Server 2008 R2.

- DC2 se apaga y se realiza una conmutación por error

planeada en DC2-Rec. Todos los datos de DC2 se replican
en DC2-Rec antes de que se complete el apagado.

- Después de que se inicie DC2-Rec, reanuda la replicación

con DC1 con el mismo identificador de invocación que
DC2.
Servicio de hora de Windows
Artículo • 29/09/2022 • Tiempo de lectura: 7 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2, Windows Server 2012, Windows 10 o versiones
posteriores

En esta guía

Dónde encontrar la información de configuración del servicio de hora de Windows

¿Qué es el servicio de hora de Windows?
Importancia de los protocolos de hora
Funcionamiento del servicio Hora de Windows
Configuración y herramientas del servicio Hora de Windows

７ Nota

En Windows Server 2003 y Microsoft Windows 2000 Server, el servicio de directorio

se denomina Servicio de directorio de Active Directory. En Windows Server 2008 R2
y Windows Server 2008, el servicio de directorio se denomina Servicios de dominio
de Active Directory (AD DS). El resto de este tema hace referencia a AD DS, pero la
información también corresponde a Servicios de dominio de Active Directory en
Windows Server 2016.

El servicio de hora de Windows, también conocido como W32Time, sincroniza la fecha y

la hora de todos los equipos que se ejecutan en un dominio de AD DS. La sincronización
de la hora es fundamental para el funcionamiento correcto de muchos servicios de
Windows y aplicaciones de línea de negocio. El servicio de hora de Windows usa el
protocolo de tiempo de redes (NTP) para sincronizar los relojes de los equipos de la red,
de modo que se pueda asignar un valor de reloj exacto, o una marca de tiempo, a las
solicitudes de validación de red y de acceso a recursos. El servicio integra los
proveedores de NTP y de hora, lo que lo convierte en un servicio de hora confiable y
escalable para los administradores de empresa.

） Importante

Antes de Windows Server 2016, el servicio W32Time no estaba diseñado para

satisfacer las necesidades de las aplicaciones sujetas a limitaciones temporales. Sin
embargo, las actualizaciones de Windows Server 2016 ahora permiten implementar
 una solución con una precisión de 1 ms en el dominio. Consulte Windows límite de
tiempo preciso y soporte técnico de 2016para configurar el servicio de hora de
Windows para entornos de alta precisión para obtener más información.

Dónde encontrar la información de

configuración del servicio de hora de Windows
En esta guía no se analiza la configuración del servicio de hora de Windows. Hay varios
temas diferentes en Microsoft TechNet y en Microsoft Knowledge Base que sí explican
los procedimientos para configurar el servicio de hora de Windows. Si necesitas
información de configuración, los temas siguientes te ayudarán a ubicar la información
adecuada.

Para configurar el servicio de hora de Windows para el emulador del controlador

de dominio principal (PDC) raíz del bosque, consulta:

Configuración del servicio de hora de Windows en el emulador de PDC del

dominio raíz del bosque

Configuración de un origen de la hora para el bosque

En el artículo 816042 de Microsoft Knowledge Base, Cómo configurar un

servidor horario autoritativo en Windows Server, que describe los valores de
configuración de los equipos que ejecutan Windows Server 2008 R2, Windows
Server 2008, Windows Server 2003 y Windows Server 2003 R2.

Para configurar el servicio de hora de Windows en cualquier cliente o servidor

miembro del dominio, o incluso en controladores de dominio que no estén
configurados como el emulador de PDC de la raíz del bosque, consulta
Configuración de un equipo cliente para la sincronización automática de hora del
dominio.

２ Advertencia

Es posible que algunas aplicaciones requieran que sus equipos tengan

servicios de hora de alta precisión. En ese caso, puedes optar por configurar
un origen de hora manual, pero ten en cuenta que el servicio de la hora de
Windows no se diseñó para funcionar como origen de hora de alta precisión.
Asegúrate de conocer las limitaciones de compatibilidad para los entornos de
hora de alta precisión, como se describe en el artículo 939322 de Microsoft
 Knowledge Base, Límite de compatibilidad para configurar el servicio de
hora de Windows para entornos de alta precisión.

Para configurar el servicio de hora de Windows en equipos cliente o servidor

basados en Windows que estén configurados como miembros del grupo de
trabajo en lugar de miembros del dominio, consulta Configuración de un origen
de la hora manual para un equipo cliente seleccionado.

Para configurar el servicio de hora de Windows en un equipo host que ejecuta un

entorno virtual, consulta el artículo 816042 de Microsoft Knowledge Base, Cómo
configurar un servidor horario autoritativo en Windows Server. Si trabajas con un
producto de virtualización que no es de Microsoft, asegúrate de consultar la
documentación del proveedor de ese producto.

Para configurar el servicio de hora de Windows en un controlador de dominio que

se ejecuta en una máquina virtual, se recomienda deshabilitar parcialmente la
sincronización de hora entre el sistema host y el sistema operativo invitado que
funciona como controlador de dominio. Esto permite que el controlador de
dominio invitado sincronice la hora de la jerarquía de dominios, pero evita que
tenga un sesgo horario si se restaura a partir de un estado guardado. Para obtener
más información, consulta el artículo 976924 de Microsoft Knowledge Base, Recibir
servicio de hora de Windows de los identificadores de sucesos 24, 29 y 38 en un
controlador de dominio virtualizado que se ejecuta en un servidor basado en
Windows Server 2008 con Hyper-V y Consideraciones de implementación para
controladores de dominio virtualizados.

Para configurar el servicio de hora de Windows en un controlador de dominio que

funciona como emulador PDC raíz del bosque que también ejecuta un equipo
virtual, sigue las mismas instrucciones que para un equipo físico, tal como se
describe en Configuración del servicio de hora de Windows en el emulador de PDC
del dominio raíz del bosque.

Para configurar el servicio de hora de Windows en un servidor miembro que se

ejecuta como equipo virtual, usa la jerarquía de hora del dominio, tal y como se
describe en Configuración de un equipo cliente para la sincronización automática
de hora del dominio.

¿Qué es el servicio de hora de Windows?

El servicio de hora de Windows (W32Time) proporciona sincronización del reloj de red
para los equipos sin necesidad de una extensa configuración.
El servicio de hora de Windows es esencial para el correcto funcionamiento de la
autenticación Kerberos, versión 5, y, por tanto, para la autenticación basada en AD DS.
Cualquier aplicación que reconozca Kerberos, incluida la mayoría de los servicios de
seguridad, se basa en la sincronización de la hora entre los equipos que participan en la
solicitud de autenticación. Los controladores de dominio de AD DS también deben tener
los relojes sincronizados para asegurar que la replicación de los datos sea precisa.

El servicio de hora de Windows se implementa en una biblioteca de vínculos dinámicos

denominada W32Time.dll. W32Time.dll se instala de forma predeterminada en la
carpeta %Systemroot%\System32 durante la instalación y configuración del sistema
operativo.

W32Time.dll se desarrolló originalmente para que Windows 2000 Server admitiera una
especificación del protocolo de autenticación de Kerberos V5 que requería la
sincronización de los relojes de una red. A partir de Windows Server 2003, W32Time.dll
proporcionó mayor precisión en la sincronización del reloj de red en comparación con el
sistema operativo Windows 2000 Server y, además, admitía una variedad de dispositivos
de hardware y protocolos de hora de red por medio de proveedores de hora. Aunque
originalmente se diseñó para proporcionar sincronización de reloj para la autenticación
de Kerberos, muchas aplicaciones actuales usan marcas de tiempo para garantizar la
coherencia transaccional, registrar la hora de eventos importantes y demás información
crítica sujeta a limitaciones temporales. Estas aplicaciones se benefician de la
sincronización de la hora entre los equipos que proporciona el servicio de hora de
Windows.

Importancia de los protocolos de hora

Los protocolos de hora se comunican entre dos equipos para intercambiar información
de hora y, luego, usan esa información para sincronizar sus relojes. Con el protocolo de
hora del servicio de hora de Windows, un cliente solicita información de hora a un
servidor y sincroniza su reloj en función de la información recibida.

El servicio de hora de Windows usa NTP para ayudar a sincronizar la hora a través de
una red. NTP es un protocolo de hora de Internet que incluye los algoritmos de
sincronización necesarios para sincronizar los relojes. NTP es un protocolo de hora más
preciso que el Protocolo simple de tiempo de redes (SNTP) que se usa en algunas
versiones de Windows; sin embargo, W32Time sigue admitiendo SNTP para habilitar la
compatibilidad con versiones anteriores con equipos que ejecutan servicios de hora
basados en SNTP, como Windows 2000.

Consulte también
Funcionamiento del servicio Hora de WindowsConfiguración y herramientas del servicio
Hora de WindowsArtículo de Microsoft Knowledge Base 902229
Planeación y diseño de AD DS
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Al implementar Windows Server Active Directory Domain Services (AD DS) en su

entorno, puede aprovechar las ventajas del modelo administrativo centralizado y
delegado y la funcionalidad de inicio de sesión único (SSO) que AD DS. Después de
identificar las tareas de implementación y el entorno actual de su organización, puede
crear la estrategia de implementación de AD DS que satisfaga las necesidades de su
organización.

Acerca de esta guía

En esta guía se proporcionan recomendaciones para ayudarle a desarrollar una
estrategia de implementación AD DS basada en los requisitos de su organización y en el
diseño concreto que desea crear. Esta guía está pensada para especialistas en
infraestructuras o arquitectos de sistemas. Antes de leer esta guía, debe tener una
buena comprensión de cómo funciona AD DS en un nivel funcional. También debe tener
una buena comprensión de los requisitos organizativos que se reflejarán en su
estrategia de AD DS implementación.

En esta guía se describen los conjuntos de tareas para varios puntos iniciales posibles de
una Windows Server 2008 AD DS implementación. La guía le ayudará a decidir qué
estrategia de implementación es la más adecuada para su entorno.

Aunque las estrategias que se presentan en esta guía son adecuadas para casi todas las
implementaciones de sistema operativo de servidor, se han probado y validado
específicamente para entornos que contienen menos de 100 000 usuarios y menos de
1000 sitios, con conexiones de red de un mínimo de 28,8 kilobits por segundo (Kbps). Si
su entorno no cumple estos criterios, considere la posibilidad de usar una empresa de
consultoría que tenga experiencia en AD DS en entornos más complejos.

Para obtener más información sobre cómo probar el AD DS de implementación,

consulte el artículo Prueba y comprobación del proceso de implementación.

En esta guía
Descripción del diseño de AD DS
Determinación del diseño de AD DS y requisitos de implementación

Asignación de requisitos a una estrategia de implementación de AD DS

Diseño de la estructura lógica para Windows Server 2008 AD DS

Diseñar la topología de sitio para Windows Server 2008 AD DS

Habilitación de características avanzadas para AD DS

Evaluación de ejemplos de estrategia de implementación de AD DS

Apéndice A: Revisión de términos clave de AD DS

Descripción del diseño de AD LDS
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Las organizaciones pueden usar Active Directory Domain Services (AD DS) en Windows
Server para simplificar la administración de usuarios y recursos a la vez que crean
infraestructuras escalables, seguras y fáciles de administrar. Puede usar AD DS para
administrar la infraestructura de red, incluidas sucursales, Microsoft Exchange Server y
varios entornos de bosque.

Un AD DS de implementación implica tres fases: una fase de diseño, una fase de

implementación y una fase de operaciones. Durante la fase de diseño, el equipo de
diseño crea un diseño para la estructura lógica de AD DS que se adapte mejor a las
necesidades de cada división de la organización que usará el servicio de directorio. Una
vez aprobado el diseño, el equipo de implementación prueba el diseño en un entorno
de laboratorio y, a continuación, implementa el diseño en el entorno de producción.
Dado que las pruebas las realiza el equipo de implementación y pueden afectar a la fase
de diseño, es una actividad provisional que se superpone tanto al diseño como a la
implementación. Una vez completada la implementación, el equipo de operaciones es
responsable de mantener el servicio de directorio.

Aunque las estrategias de diseño e implementación de Windows Server AD DS que se

presentan en esta guía se basan en pruebas exhaustivas de laboratorio y programa
piloto y una implementación correcta en entornos de cliente, es posible que tenga que
personalizar el diseño y la implementación de AD DS para adaptarse mejor a entornos
específicos y complejos.

Para obtener más información sobre la implementación de AD DS en un entorno

de sucursal, vea la Guía de planeamiento del controlador de dominio de solo
lectura (RODC Office).
Para obtener más información sobre la implementación de AD DS en un entorno
Exchange, consulte el artículo Active Directory en Exchange Server organizaciones.
Para obtener más información sobre la implementación de AD DS en un entorno
de varios bosques, vea el artículo Multiple Forest Considerations in Windows 2000
and Windows Server 2003 (Varias consideraciones de bosque en Windows 2000 y
Windows Server 2003).
Determinación del diseño de AD DS y
requisitos de implementación
Artículo • 24/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Realizar una evaluación de alto nivel del entorno actual e identificar correctamente las
tareas de implementación de Active Directory Domain Services (AD DS) es esencial para
el éxito de la estrategia de implementación de AD DS.

La AD DS de implementación depende de la configuración de red existente. Por

ejemplo, si su organización ejecuta actualmente Windows Server 2003, puede actualizar
el sistema operativo a Windows Server 2008. El proceso de implementación puede
implicar la reestructuración de dominios existentes, ya sea dentro de Active Directory
bosque o entre Active Directory bosques. Es posible que tenga que reestructurar los
dominios existentes después de implementar Windows Server 2008 AD DS después de
cambios organizativos o adquisiciones corporativas.

Requisitos de diseño de AD DS

Requisitos de implementación de AD DS

Requisitos de diseño de AD DS
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Diseño de la estructura lógica de Active

Directory
Antes de implementar Windows Server 2008 Servicios de dominio de Active Directory
(AD DS), debe planear y diseñar la estructura lógica de AD DS para su entorno. La
estructura lógica de AD DS determina cómo se organizan los objetos de directorio y
proporciona un método eficaz para administrar las cuentas de red y los recursos
compartidos. Al diseñar la estructura lógica de AD DS, se define una parte significativa
de la infraestructura de red de la organización.

Para diseñar la estructura lógica de AD DS, determine el número de bosques que

requiere su organización y, a continuación, cree diseños para dominios, infraestructura
del sistema de nombres de dominio (DNS) y unidades organizativas (UO). En la
ilustración siguiente se muestra el proceso para diseñar la estructura lógica.

Para obtener más información, vea Diseñar la estructura lógica para Windows Server
2008 AD DS.
Diseño de la topología de sitio
Después de diseñar la estructura lógica para la infraestructura de AD DS, debe diseñar la
topología de sitio para la red. La topología del sitio es una representación lógica de la
red física. Contiene información sobre la ubicación de los sitios de AD DS, los
controladores de dominio de AD DS dentro de cada sitio y los vínculos de sitio y los
puentes de vínculos de sitio que admiten la replicación de AD DS entre sitios. En la
ilustración siguiente se muestra el proceso de diseño de topología de sitio.

Para obtener más información, vea Diseñar la topología de sitio para Windows Server
2008 AD DS.

Planeamiento de la capacidad del controlador

de dominio
Para garantizar un rendimiento eficaz de AD DS, debe determinar el número adecuado
de controladores de dominio para cada sitio y comprobar que cumplen los requisitos de
hardware para Windows Server 2008 . Un planeamiento cuidadoso de la capacidad para
los controladores de dominio garantiza que no subestime los requisitos de hardware, lo
que puede provocar un rendimiento deficiente del controlador de dominio y el tiempo
de respuesta de la aplicación. En la ilustración siguiente se muestra el proceso de
planeamiento de la capacidad del controlador de dominio.
Habilitación de características avanzadas de AD
DS de Windows Server 2008
Puede usar Windows Server 2008 AD DS para introducir características avanzadas en su
entorno mediante la elevación del nivel funcional de dominio o bosque. Puede elevar el
nivel funcional a Windows Server 2008 cuando todos los controladores de dominio del
dominio o bosque se ejecutan Windows Server 2008 .

Para obtener más información, consulte Habilitación de características avanzadas para

AD DS.
Requisitos de implementación de AD DS
Artículo • 21/12/2022 • Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

La estructura del entorno existente determina la estrategia para implementar Windows

Server 2008 Servicios de dominio de Active Directory (AD DS). Si va a crear un entorno
de AD DS y no tiene una estructura de dominio existente, complete el diseño de AD DS
antes de empezar a crear el entorno de AD DS. A continuación, puede implementar un
nuevo dominio raíz del bosque e implementar el resto de la estructura de dominios
según el diseño.

Además, como parte de la implementación de AD DS, puede decidir actualizar y

reestructurar el entorno. Por ejemplo, si su organización tiene una estructura de
dominio de Windows 2000 existente, puede realizar una actualización local de algunos
dominios y reestructurar otros. Además, puede decidir reducir la complejidad de su
entorno mediante la reestructuración de dominios entre bosques o dominios de
reestructuración dentro de un bosque después de implementar AD DS.

Implementación de un dominio raíz de bosque

de Windows Server 2008
El dominio raíz del bosque proporciona la base para la infraestructura de bosque de AD
DS. Para implementar AD DS, primero debe implementar un dominio raíz del bosque.
Para ello, debe revisar el diseño de AD DS; configure el servicio DNS para el dominio raíz
del bosque; cree el dominio raíz del bosque, que consta de implementar controladores
de dominio raíz del bosque, configurar la topología de sitio para el dominio raíz del
bosque y configurar roles maestros de operaciones (también conocidos como
operaciones maestras únicas flexibles o FSMO); y elevan los niveles funcionales de
bosque y dominio. En la ilustración siguiente se muestra el proceso general de
implementación de un dominio raíz del bosque.
Para obtener más información, consulte Implementación de un dominio raíz de bosque
de Windows Server 2008.

Implementación de dominios regionales de

Windows Server 2008
Después de completar la implementación del dominio raíz del bosque, está listo para
implementar los nuevos dominios regionales de Windows Server 2008 especificados por
el diseño. Para ello, debe implementar controladores de dominio para cada dominio
regional. En la ilustración siguiente se muestra el proceso de implementación de
dominios regionales.
Para obtener más información, vea Deploying Windows Server 2008 Regional Domains
(Implementación de dominios regionales de Windows Server 2008).

Actualización de dominios de Active Directory

a Windows Server 2008
Actualizar los dominios de Windows 2000 o Windows Server 2003 a Windows Server
2008 es una manera eficaz y sencilla de aprovechar las características y funcionalidades
adicionales de Windows Server 2008. Puede actualizar dominios para mantener la
configuración actual de red y dominio, a la vez que mejora la seguridad, la escalabilidad
y la capacidad de administración de la infraestructura de red. La actualización de
Windows 2000 o Windows Server 2003 a Windows Server 2008 requiere una
configuración de red mínima. La actualización también tiene poco impacto en las
operaciones de usuario. Para obtener más información, vea Actualizar dominios de
Active Directory a Windows Server 2008 y Windows Dominios de AD DS de AD DS de
Windows Server 2008 R2.

Reestructuración de dominios de AD DS
Al reestructurar dominios entre bosques de Windows Server 2008 (reestructuración
interforestal), puede reducir el número de dominios de su entorno y, por tanto, reducir
la complejidad administrativa y la sobrecarga. Al migrar objetos entre bosques como
parte de este proceso de reestructuración, existen simultáneamente tanto el dominio de
origen como los entornos de dominio de destino. Esto permite revertir al entorno de
origen durante la migración, si es necesario.

Al reestructurar Windows dominios de Server 2008 dentro de un bosque de Windows

Server 2008 (reestructuración intraforest), puede consolidar la estructura de dominio y,
por tanto, reducir la complejidad administrativa y la sobrecarga. Al reestructurar
dominios dentro de un bosque, las cuentas migradas ya no existen en el dominio de
origen.

Para obtener más información sobre cómo usar la herramienta de migración de Active
Directory (ADMT) versión 3.1 (ADMT v3.1) para reestructurar dominios, vea Guía de
ADMT: Migración y reestructuración de dominios de Active Directory.
Asignación de requisitos a una
estrategia de implementación de AD DS
Artículo • 24/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Una vez que termine de revisar e identificar los requisitos de diseño e implementación
de Active Directory Domain Services (AD DS) y determine cuáles de ellos están
relacionados con su implementación específica, puede asignar esos requisitos a una
estrategia de implementación de AD DS específica.

Use la tabla siguiente para determinar qué estrategia de AD DS de implementación se

asigna a la combinación adecuada de requisitos de diseño AD DS implementación para
su organización. ("Sí" significa que es necesario un requisito específico para la estrategia
de implementación; "No" significa que no es necesario un requisito específico para la
estrategia de implementación).

En esta tabla solo se hace referencia a las tres estrategias AD DS implementación

principales, tal y como se describe en esta guía:

Implementación de AD DS en una nueva organización

Implementación de AD DS en una organización de Windows Server 2003

Implementación de AD DS en una organización de Windows 2000

Sin embargo, puede crear una estrategia de implementación de AD DS híbrida o

personalizada mediante cualquier combinación de los requisitos de diseño e
implementación de AD DS para satisfacer las necesidades de su organización.

AD DS de Implementación de AD DS Implementación de Implementación de

diseño e en una nueva organización AD DS en una AD DS en una
implementación organización de organización de
Windows Windows 2000
Server 2003

Diseño de la Sí Sí Sí
estructura lógica
para Windows
Server 2008 AD
DS
AD DS de Implementación de AD DS Implementación de Implementación de
diseño e en una nueva organización AD DS en una AD DS en una
implementación organización de organización de
Windows Windows 2000
Server 2003

Diseñar la Sí Sí Sí
topología de
sitio para
Windows Server
2008 AD DS

Planear la Sí Sí Sí
capacidad del
controlador de
dominio

Implementación Sí No No
de un dominio
raíz Windows
bosque de
Windows Server
2008

Implementación Sí Sí Sí
de Windows
Server 2008
Regional
Domains

Habilitación de Sí Sí, pero todos los Sí, pero todos los

características controladores de controladores de
avanzadas para dominio del entorno dominio del entorno
AD DS deben ejecutar deben ejecutar
Windows Server Windows Server
2008 antes de 2008 antes de
establecer el nivel establecer el nivel
funcional de dominio funcional de dominio
o bosque en o bosque en
Windows Server Windows Server
2008. 2008.

Actualización de No Sí Sí
Active Directory
a Windows
Server 2008 y
Windows Server
2008 R2 AD DS
AD DS de Implementación de AD DS Implementación de Implementación de
diseño e en una nueva organización AD DS en una AD DS en una
implementación organización de organización de
Windows Windows 2000
Server 2003

Guía de ADMT: Sí, si desea migrar un dominio Sí, si desea combinar Sí, si desea combinar
Migración y piloto a su entorno de con otra con otra
Active Directory producción, combinar con organización y organización y
dominios otra organización y consolidar consolidar las dos consolidar las dos
las dos infraestructuras de infraestructuras de TI infraestructuras de TI
tecnologías de la información o consolidar los o consolidar los
(TI) o consolidar los dominios dominios de dominios de
de recursos y cuentas que recursos y cuentas recursos y cuentas
actualizó en vigor desde que actualizó en su que actualizó en su
entornos de Windows 2000 o lugar desde entornos lugar desde entornos
Windows Server 2003. de Windows 2000 o de Windows 2000 o
Windows Server Windows Server
2003. 2003.

Guía de ADMT: No Sí, si necesita reducir Sí, si necesita reducir

Migración y el número de el número de
Active Directory dominios, reducir el dominios, reducir el
dominios tráfico de replicación tráfico de replicación
y la cantidad de y la cantidad de
administración administración
necesaria de usuarios necesaria de usuarios
y grupos, o y grupos, o
simplificar la simplificar la
administración de administración de
directiva de grupo. directiva de grupo.
Implementación de AD DS en una nueva
organización
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Preparar exhaustivamente el diseño de Servicios de dominio de Active Directory (AD DS)

es esencial para una implementación rentable. Si el entorno de red funciona
actualmente sin un servicio de directorio, complete un diseño completo de la estructura
lógica de AD DS antes de implementar AD DS. A continuación, puede implementar un
nuevo dominio raíz del bosque e implementar el resto de la estructura de dominios
según el diseño.

En la ilustración siguiente se muestran los pasos para implementar Windows Server

2008 AD DS en un entorno de red que funciona actualmente sin un servicio de
directorio.

Para obtener una lista de tareas detalladas que puede usar para planear e implementar
AD DS en una nueva organización, vea Lista de comprobación: Implementación de AD
DS en una nueva organización.
Implementación de AD DS en una
organización de Windows Server 2003
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Si su organización está ejecutando actualmente Windows Server 2003 Active Directory,

puede implementar Windows Server 2008 Servicios de dominio de Active Directory (AD
DS) realizando una actualización local de algunos o todos los sistemas operativos de los
controladores de dominio para Windows Server 2008 o mediante la introducción de
controladores de dominio que ejecutan Windows Server 2008 en su entorno.

Para poder agregar un controlador de dominio que ejecute Windows Server 2008 a un
dominio de Active Directory de Windows Server 2003 existente, debe ejecutar adprep,
una herramienta de línea de comandos. Adprep amplía el esquema de AD DS, actualiza
los descriptores de seguridad predeterminados de los objetos seleccionados y agrega
nuevos objetos de directorio según sea necesario para algunas aplicaciones. Adprep
está disponible en el disco de instalación de Windows Server 2008
(\sources\adprep\adprep.exe). Para obtener más información, consulte Adprep.

En la ilustración siguiente se muestran los pasos para implementar Windows Server

2008 AD DS en un entorno de red que se ejecuta actualmente Windows Server 2003
Active Directory.
 ７ Nota

Si desea establecer el nivel funcional de dominio o bosque en Windows Server

2008, todos los controladores de dominio del entorno deben ejecutar el sistema
operativo Windows Server 2008.

La consolidación de dominios de recursos y dominios de cuenta que se actualizan desde

un entorno de Windows Server 2003 como parte de la implementación de Windows
Server 2008 AD DS puede requerir la reestructuración del dominio interforest o
intraforest. La reestructuración de dominios de AD DS entre bosques le ayuda a reducir
la complejidad de la representación de la organización en AD DS y ayuda a reducir los
costos administrativos asociados. La reestructuración de dominios de AD DS dentro de
un bosque le ayuda a reducir la sobrecarga administrativa de su organización al reducir
el tráfico de replicación, reducir la cantidad de administración de usuarios y grupos que
se requiere y simplificar la administración de directiva de grupo. Para obtener más
información, vea Guía de ADMT: Migración y reestructuración de dominios de Active
Directory.

Para obtener una lista de tareas detalladas que puede usar para planear e implementar
AD DS en una organización que ejecuta Windows Server 2003 Active Directory, consulte
Lista de comprobación: Implementación de AD DS en una organización de Windows
Server 2003.
Implementación de AD DS en una
organización de Windows 2000
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Si su organización está ejecutando actualmente Windows Active Directory 2000, puede

implementar Windows Server 2008 Servicios de dominio de Active Directory (AD DS)
realizando una actualización local de algunos o todos los sistemas operativos de los
controladores de dominio para Windows Server 2008 o mediante la introducción de
controladores de dominio que ejecutan Windows Server 2008 en su entorno.

Para poder agregar un controlador de dominio que ejecute Windows Server 2008 a un
dominio de Active Directory de Windows 2000 existente, debe ejecutar adprep, una
herramienta de línea de comandos. Adprep amplía el esquema de AD DS, actualiza los
descriptores de seguridad predeterminados de los objetos seleccionados y agrega
nuevos objetos de directorio según sea necesario para algunas aplicaciones. Adprep
está disponible en el disco de instalación de Windows Server 2008
(\sources\adprep\adprep.exe). Para obtener más información, consulte Adprep.

７ Nota

Si desea realizar una actualización local de un controlador de dominio de AD DS

existente Windows 2000 a Windows Server 2008, primero debe actualizar el
servidor a Windows Server 2003 y, a continuación, actualizarlo a Windows Server
2008 .

En la ilustración siguiente se muestran los pasos para implementar Windows Server

2008 AD DS en un entorno de red que se ejecuta actualmente Windows Active Directory
2000.
 ７ Nota

Si desea establecer el nivel funcional de dominio o bosque en Windows Server

2008, todos los controladores de dominio del entorno deben ejecutar el sistema
operativo Windows Server 2008.

La consolidación de dominios de recursos y cuentas que se actualizan desde un entorno

de Windows 2000 como parte de la implementación de Windows Server 2008 AD DS
puede requerir la reestructuración de dominios interforestales o intraforestes. La
reestructuración de dominios de AD DS entre bosques le ayuda a reducir la complejidad
de la organización y los costos administrativos asociados. La reestructuración de
dominios de AD DS dentro de un bosque le ayuda a reducir la sobrecarga administrativa
de su organización al reducir el tráfico de replicación, reducir la cantidad de
administración de usuarios y grupos que se requiere y simplificar la administración de
directiva de grupo. Para obtener más información, vea Guía de ADMT: Migración y
reestructuración de dominios de Active Directory.

Para obtener una lista de tareas detalladas que puede usar para planear e implementar
AD DS en una organización que se está ejecutando actualmente Windows 2000 Active
Directory, consulte Lista de comprobación: Implementación de AD DS en una
organización de Windows 2000.
Diseño de la estructura lógica
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Active Directory Domain Services (AD DS) permite a las organizaciones crear una
infraestructura escalable, segura y fácil de administrar para la administración de usuarios
y recursos. También les permite admitir aplicaciones habilitadas para directorios.

Una estructura lógica de Active Directory bien diseñada proporciona las siguientes
ventajas:

Administración simplificada de redes basadas Windows microsoft que contienen

un gran número de objetos

Una estructura de dominio consolidada y menores costos de administración

La capacidad de delegar el control administrativo sobre los recursos, según

corresponda

Impacto reducido en el ancho de banda de red

Uso compartido de recursos simplificado

Rendimiento óptimo de la búsqueda

Costo total de propiedad bajo

Una estructura lógica de Active Directory bien diseñada facilita la integración eficaz de
tales características como directiva de grupo; bloqueo de escritorio; distribución de
software; y la administración de usuarios, grupos, estaciones de trabajo y servidores en
el sistema. Además, una estructura lógica cuidadosamente diseñada facilita la
integración de aplicaciones y servicios de Microsoft y que no son de Microsoft, como
Microsoft Exchange Server, infraestructura de clave pública (PKI) y un sistema de
archivos distribuido basado en dominio (DFS).

Al diseñar una estructura Active Directory lógica antes de implementar AD DS, puede
optimizar el proceso de implementación para aprovechar mejor las Active Directory
características. Para diseñar la estructura lógica Active Directory, el equipo de diseño
identifica primero los requisitos de su organización y, en función de esta información,
decide dónde colocar los límites del bosque y del dominio. A continuación, el equipo de
diseño decide cómo configurar el entorno del Sistema de nombres de dominio (DNS)
para satisfacer las necesidades del bosque. Por último, el equipo de diseño identifica la
estructura de unidad organizativa (OU) necesaria para delegar la administración de los
recursos de la organización.

En esta guía
Descripción del modelo Active Directory lógico

Determinación de los participantes en el proyecto de implementación

Crear un diseño de bosque

Crear un diseño de dominios

Creación de un diseño de infraestructura de DNS

Creación de diseño de unidad organizativa

Apéndice A: Inventario de DNS

Descripción del modelo lógico de Active
Directory
Artículo • 29/09/2022 • Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

El diseño de la estructura lógica para Active Directory Domain Services (AD DS) implica
definir las relaciones entre los contenedores del directorio. Estas relaciones pueden
basarse en requisitos administrativos, como la delegación de autoridad, o pueden
definirse mediante requisitos operativos, como la necesidad de controlar la replicación.

Antes de diseñar la Active Directory lógica, es importante comprender el modelo Active

Directory lógico. AD DS es una base de datos distribuida que almacena y administra
información sobre los recursos de red, así como datos específicos de la aplicación de
aplicaciones habilitadas para directorios. AD DS permite a los administradores organizar
los elementos de una red (por ejemplo, usuarios, equipos y dispositivos) en una
estructura de contención jerárquica. El contenedor de nivel superior es el bosque.
Dentro de los bosques hay dominios y dentro de los dominios hay unidades
organizativas (unidades organizativas). Esto se denomina modelo lógico porque es
independiente de los aspectos físicos de la implementación, como el número de
controladores de dominio necesarios dentro de cada dominio y topología de red.

Bosque de Active Directory

Un bosque es una colección de uno o varios dominios Active Directory que comparten
una estructura lógica común, un esquema de directorio (definiciones de clase y
atributo), una configuración de directorio (información de replicación y sitio) y un
catálogo global (funcionalidades de búsqueda en todo el bosque). Los dominios del
mismo bosque se vinculan automáticamente con relaciones de confianza transitivas y de
dos vías.

Dominio de Active Directory

Un dominio es una partición en un Active Directory de datos. La creación de particiones
de datos permite a las organizaciones replicar datos solo en el lugar donde se necesitan.
De esta manera, el directorio se puede escalar globalmente a través de una red que
tenga un ancho de banda disponible limitado. Además, el dominio admite varias otras
funciones principales relacionadas con la administración, entre las que se incluyen:

Identidad de usuario en toda la red. Los dominios permiten crear identidades de

usuario una vez y hacer referencia a estas en cualquier equipo unido al bosque en
el que se encuentra el dominio. Los controladores de dominio que son un dominio
se usan para almacenar cuentas de usuario y credenciales de usuario (como
contraseñas o certificados) de forma segura.

Autenticación. Los controladores de dominio proporcionan servicios de

autenticación para los usuarios y proporcionan datos de autorización adicionales,
como las pertenencias a grupos de usuarios, que se pueden usar para controlar el
acceso a los recursos de la red.

Relaciones de confianza. Los dominios pueden extender los servicios de

autenticación a los usuarios de dominios fuera de su propio bosque mediante
confianzas.

Replicación. El dominio define una partición del directorio que contiene datos
suficientes para proporcionar servicios de dominio y, a continuación, los replica
entre los controladores de dominio. De esta manera, todos los controladores de
dominio son del mismo nivel en un dominio y se administran como una unidad.

Active Directory unidades organizativas

Las cpu se pueden usar para formar una jerarquía de contenedores dentro de un
dominio. Las cpu se usan para agrupar objetos con fines administrativos, como la
aplicación de directiva de grupo o la delegación de autoridad. El control (sobre una
unidad organizativa y los objetos que contiene) viene determinado por las listas de
control de acceso (ACL) en la unidad organizativa y en los objetos de la unidad
organizativa. Para facilitar la administración de un gran número de objetos, AD DS
admite el concepto de delegación de autoridad. Mediante la delegación, los
propietarios pueden transferir un control administrativo total o limitado sobre los
objetos a otros usuarios o grupos. La delegación es importante porque ayuda a
distribuir la administración de un gran número de objetos entre varias personas de
confianza para realizar tareas de administración.
Determinación de los participantes en el
proyecto de implementación
Artículo • 29/09/2022 • Tiempo de lectura: 18 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

El primer paso para establecer un proyecto de implementación para Dominio de Active

Directory Service (AD DS) es establecer los equipos de proyecto de diseño e
implementación que serán responsables de administrar la fase de diseño y la fase de
implementación del ciclo de proyecto Active Directory. Además, debe identificar a los
usuarios y grupos que serán responsables de poseer y mantener el directorio una vez
completada la implementación.

Definición de roles específicos del proyecto

Establecimiento de propietarios y administradores

Creación de equipos de proyecto

Definición de roles específicos del proyecto

Un paso importante para establecer los equipos del proyecto es identificar a las
personas que van a tener roles específicos del proyecto. Entre ellos se incluyen el
patrocinador ejecutivo, el arquitecto del proyecto y el administrador de proyectos. Estas
personas son responsables de ejecutar el proyecto Active Directory implementación.

Después de designar al arquitecto del proyecto y al administrador de proyectos, estos

individuos establecen canales de comunicación en toda la organización, compilan
programaciones de proyectos e identifican a las personas que serán miembros de los
equipos del proyecto, empezando por los distintos propietarios.

Patrocinador ejecutivo
La implementación de una infraestructura como AD DS puede tener un impacto amplio
en una organización. Por esta razón, es importante tener un patrocinador ejecutivo que
comprenda el valor empresarial de la implementación, admita el proyecto en el nivel
ejecutivo y pueda ayudar a resolver conflictos en toda la organización.
Project arquitecto
Cada Active Directory proyecto de implementación requiere un arquitecto de proyectos
para administrar Active Directory proceso de toma de decisiones de diseño e
implementación. El arquitecto proporciona experiencia técnica para ayudar con el
proceso de diseño e implementación de AD DS.

７ Nota

Si ningún personal existente de su organización tiene experiencia en el diseño de

directorios, puede que desee contratar a un consultor externo que sea un experto
en diseño Active Directory implementación.

Entre las responsabilidades del arquitecto Active Directory proyecto se incluyen las
siguientes:

Propietario del diseño Active Directory de datos

Descripción y grabación de la lógica de las decisiones clave de diseño

Asegurarse de que el diseño satisface las necesidades empresariales de la

organización

Establecimiento del consenso entre los equipos de diseño, implementación y

operaciones

Descripción de las necesidades de AD DS aplicaciones integradas

El diseño Active Directory final debe reflejar una combinación de objetivos

empresariales y decisiones técnicas. Por lo tanto, el arquitecto del proyecto debe revisar
las decisiones de diseño para asegurarse de que se alinean con los objetivos
empresariales.

Jefe de proyecto
El administrador de proyectos facilita la cooperación entre las unidades de negocio y
entre los grupos de administración de tecnología. Idealmente, el administrador de
proyectos de implementación de Active Directory es alguien de la organización que está
familiarizado con las directivas operativas del grupo de TI y los requisitos de diseño de
los grupos que se están preparando para implementar AD DS. El administrador de
proyectos supervisa todo el proyecto de implementación, empezando por el diseño y
continuando con la implementación, y se asegura de que el proyecto permanece según
la programación y dentro del presupuesto. Entre las responsabilidades del
administrador de proyectos se incluyen las siguientes:

Proporcionar un planeamiento básico del proyecto, como la programación y el

presupuesto

Impulsar el progreso en el proyecto Active Directory de diseño e implementación

Asegurarse de que las personas adecuadas participan en cada parte del proceso
de diseño

Servir como único punto de contacto para el proyecto de Active Directory

implementación

Establecimiento de la comunicación entre los equipos de diseño, implementación y

operaciones

Establecimiento y mantenimiento de la comunicación con el patrocinador ejecutivo

a lo largo del proyecto de implementación

Establecimiento de propietarios y
administradores
En un proyecto de implementación de Active Directory, los propietarios son
responsables por parte de la administración para asegurarse de que las tareas de
implementación se completan y de que las especificaciones de diseño de Active
Directory satisfacen las necesidades de la organización. Los propietarios no tienen
necesariamente acceso a la infraestructura de directorio ni manipularla directamente.
Los administradores son los responsables de completar las tareas de implementación
necesarias. Los administradores tienen el acceso a la red y los permisos necesarios para
manipular el directorio y su infraestructura.

El rol del propietario es estratégico y de administración. Los propietarios son

responsables de comunicar a los administradores las tareas necesarias para la
implementación del diseño Active Directory, como la creación de nuevos controladores
de dominio dentro del bosque. Los administradores son responsables de implementar el
diseño en la red según las especificaciones de diseño.

En organizaciones grandes, distintos individuos rellenan los roles de propietario y

administrador. sin embargo, en algunas organizaciones pequeñas, el mismo individuo
podría actuar como propietario y administrador.
Propietarios de servicios y datos
La AD DS diariamente implica dos tipos de propietarios:

Propietarios de servicios que son responsables de planear y mantener a largo

plazo la infraestructura de Active Directory y de garantizar que el directorio sigue
funcionando y que se mantienen los objetivos establecidos en los contratos de
nivel de servicio.
Propietarios de datos responsables del mantenimiento de la información
almacenada en el directorio. Esto incluye la administración y administración de
cuentas de usuario y equipo de recursos locales, como servidores miembros y
estaciones de trabajo.

Es importante identificar los propietarios de Active Directory y los propietarios de datos

de forma temprana para que puedan participar en la mayor parte del proceso de diseño
posible. Dado que el servicio y los propietarios de datos son responsables del
mantenimiento a largo plazo del directorio una vez finalizado el proyecto de
implementación, es importante que estas personas proporcionen información sobre las
necesidades de la organización y que estén familiarizados con cómo y por qué se toman
determinadas decisiones de diseño. Los propietarios del servicio incluyen el propietario
del bosque, Dominio de Active Directory propietario del sistema de nomenclatura (DNS)
y el propietario de la topología del sitio. Los propietarios de datos incluyen propietarios
de unidades organizativas (OU).

Administradores de servicios y datos

El funcionamiento de AD DS dos tipos de administradores: administradores de servicios
y administradores de datos. Los administradores de servicios implementan las
decisiones de directiva tomadas por los propietarios del servicio y controlan las tareas
diarias asociadas al mantenimiento del servicio de directorio y la infraestructura. Esto
incluye la administración de los controladores de dominio que hospedan el servicio de
directorio, la administración de otros servicios de red como DNS necesarios para AD DS,
el control de la configuración de la configuración de todo el bosque y la garantía de que
el directorio siempre está disponible.

Los administradores de servicios también son responsables de completar las tareas de

implementación de Active Directory continuas que son necesarias una vez completado
el proceso de implementación Windows Server 2008 Active Directory inicial. Por
ejemplo, a medida que aumentan las demandas en el directorio, los administradores de
servicios crean controladores de dominio adicionales y establecen o quitan confianzas
entre dominios, según sea necesario. Por esta razón, el Active Directory de
implementación debe incluir administradores de servicios.
Debe tener cuidado de asignar roles de administrador de servicios solo a personas de
confianza de la organización. Dado que estas personas tienen la capacidad de modificar
los archivos del sistema en controladores de dominio, pueden cambiar el
comportamiento de AD DS. Debe asegurarse de que los administradores de servicios de
su organización son personas que están familiarizados con las directivas operativas y de
seguridad que se aplican en la red y que comprenden la necesidad de aplicar esas
directivas.

Los administradores de datos son usuarios de un dominio que son responsables tanto
del mantenimiento de los datos almacenados en AD DS como de las cuentas de usuario
y grupo como del mantenimiento de los equipos que son miembros de su dominio. Los
administradores de datos controlan subconjuntos de objetos dentro del directorio y no
tienen control sobre la instalación o configuración del servicio de directorio.

Las cuentas de administrador de datos no se proporcionan de forma predeterminada.

Después de que el equipo de diseño determine cómo se van a administrar los recursos
para la organización, los propietarios de dominio deben crear cuentas de administrador
de datos y delegar los permisos adecuados en función del conjunto de objetos de los
que deben ser responsables los administradores.

Es mejor limitar el número de administradores de servicios de su organización al

número mínimo necesario para asegurarse de que la infraestructura sigue funcionando.
Los administradores de datos pueden completar la mayor parte del trabajo
administrativo. Los administradores de servicios requieren un conjunto de aptitudes
mucho más amplio, ya que son responsables de mantener el directorio y la
infraestructura que lo admite. Los administradores de datos solo requieren las aptitudes
necesarias para administrar su parte del directorio. Dividir las asignaciones de trabajo de
esta manera da como resultado un ahorro de costos para la organización, ya que solo es
necesario entrenar a un pequeño número de administradores para operar y mantener
todo el directorio y su infraestructura.

Por ejemplo, un administrador de servicios debe comprender cómo agregar un dominio

a un bosque. Esto incluye cómo instalar el software para convertir un servidor en un
controlador de dominio y cómo manipular el entorno DNS para que el controlador de
dominio se pueda combinar sin problemas en el entorno Active Directory dominio. Un
administrador de datos solo necesita saber cómo administrar los datos específicos de
los que son responsables, como la creación de nuevas cuentas de usuario para los
nuevos empleados de su departamento.

La implementación AD DS requiere coordinación y comunicación entre muchos grupos

diferentes implicados en el funcionamiento de la infraestructura de red. Estos grupos
deben designar a los propietarios de servicios y datos responsables de representar a los
distintos grupos durante el proceso de diseño e implementación.

Una vez completado el proyecto de implementación, estos propietarios de servicios y

datos seguirán siendo responsables de la parte de la infraestructura administrada por su
grupo. En un Active Directory, estos propietarios son el propietario del bosque, el DNS
para AD DS propietario, el propietario de la topología de sitio y el propietario de la
unidad organizativa. Los roles de estos propietarios de servicios y datos se explican en
las secciones siguientes.

Propietario del bosque

El propietario del bosque suele ser un administrador sénior de tecnologías de la
información (TI) de la organización que es responsable del proceso de implementación
de Active Directory y que, en última instancia, es responsable de mantener la entrega de
servicios dentro del bosque una vez completada la implementación. El propietario del
bosque asigna a los usuarios para que rellenen los demás roles de propiedad mediante
la identificación del personal clave dentro de la organización que puede aportar la
información necesaria sobre la infraestructura de red y las necesidades administrativas.
El propietario del bosque es responsable de lo siguiente:

Implementación del dominio raíz del bosque para crear el bosque

Implementación del primer controlador de dominio en cada dominio para crear los
dominios necesarios para el bosque

Pertenencias a los grupos de administradores de servicios en todos los dominios

del bosque

Creación del diseño de la estructura de unidad organizativa para cada dominio del
bosque

Delegación de autoridad administrativa a propietarios de unidades organizativas

Cambios en el esquema

Cambios en las opciones de configuración de todo el bosque

Implementación de determinadas directiva de grupo de directivas, incluidas las

directivas de cuenta de usuario de dominio, como la contraseña y la directiva de
bloqueo de cuentas específicas

Configuración de directivas empresariales que se aplica a los controladores de

dominio
 Cualquier otra configuración directiva de grupo que se aplique en el nivel de
dominio

El propietario del bosque tiene autoridad sobre todo el bosque. Es responsabilidad del
propietario del bosque establecer directiva de grupo directivas empresariales y
seleccionar las personas que son administradores de servicios. El propietario del bosque
es un propietario del servicio.

DNS para AD DS propietario

El DNS para AD DS propietario es un individuo que tiene un conocimiento exhaustivo de
la infraestructura DNS existente y del espacio de nombres existente de la organización.

El DNS para AD DS propietario es responsable de lo siguiente:

Servir como intermediario entre el equipo de diseño y el grupo de TI que posee

actualmente la infraestructura DNS

Proporcionar la información sobre el espacio de nombres DNS existente de la

organización para ayudar en la creación del nuevo espacio de nombres Active
Directory.

Trabajar con el equipo de implementación para asegurarse de que la nueva

infraestructura DNS se implementa según las especificaciones del equipo de
diseño y que funciona correctamente

Administración del DNS para AD DS, incluidos el servicio servidor DNS y los datos
DNS

El DNS de AD DS propietario es un propietario del servicio.

Propietario de la topología de sitio

El propietario de la topología de sitio está familiarizado con la estructura física de la red

de la organización, incluida la asignación de subredes individuales, enrutadores y áreas
de red que están conectadas mediante vínculos lentos. El propietario de la topología de
sitio es responsable de lo siguiente:

Descripción de la topología de red física y cómo afecta a AD DS

Descripción de cómo la Active Directory implementación afectará a la red

Determinar los Active Directory lógicos que deben crearse

 Actualización de objetos de sitio para controladores de dominio cuando se agrega,
modifica o quita una subred

Creación de vínculos de sitio, puentes de vínculos de sitio y objetos de conexión

manual

El propietario de la topología de sitio es un propietario del servicio.

Propietario de la unidad organizativa

El propietario de la unidad organizativa es responsable de administrar los datos
almacenados en el directorio. Esta persona debe estar familiarizada con las directivas
operativas y de seguridad que existen en la red. Los propietarios de unidades
organizativas solo pueden realizar aquellas tareas que los administradores de servicios
les hayan delegado y solo pueden realizar esas tareas en las unidades organizativas a las
que están asignados. Entre las tareas que se pueden asignar al propietario de la unidad
organizativa se incluyen las siguientes:

Realizar todas las tareas de administración de cuentas dentro de su unidad

organizativa asignada

Administración de estaciones de trabajo y servidores miembros que son miembros

de su unidad organizativa asignada

Delegación de autoridad a administradores locales dentro de su unidad

organizativa asignada

El propietario de la unidad organizativa es un propietario de datos.

Creación de equipos de proyecto

Active Directory equipos de proyecto son grupos temporales que son responsables de
completar Active Directory tareas de diseño e implementación. Una vez Active Directory
proyecto de implementación completa, los propietarios asumen la responsabilidad del
directorio y los equipos del proyecto pueden disolverse.

El tamaño de los equipos del proyecto varía según el tamaño de la organización. En

organizaciones pequeñas, una sola persona puede cubrir varias áreas de
responsabilidad en un equipo del proyecto y participar en más de una fase de la
implementación. Las organizaciones de gran tamaño pueden requerir equipos más
grandes con distintos individuos o incluso equipos diferentes que abarcan las distintas
áreas de responsabilidad. El tamaño de los equipos no es importante siempre que se
asignen todas las áreas de responsabilidad y se cumplen los objetivos de diseño de la
organización.

Identificación de posibles propietarios de bosques

Identifique los grupos de la organización que poseen y controlan los recursos
necesarios para proporcionar servicios de directorio a los usuarios de la red. Estos
grupos se consideran posibles propietarios de bosques.

La separación del servicio y la administración de datos en AD DS permite que el grupo

de TI de infraestructura (o grupos) de una organización administre el servicio de
directorio, mientras que los administradores locales de cada grupo administran los
datos que pertenecen a sus propios grupos. Los posibles propietarios de bosques tienen
la autoridad necesaria sobre la infraestructura de red para implementar y admitir AD DS.

En el caso de las organizaciones que tienen un grupo de TI de infraestructura

centralizada, el grupo de TI suele ser el propietario del bosque y, por tanto, el
propietario potencial del bosque para cualquier implementación futura. Las
organizaciones que incluyen una serie de grupos de TI de infraestructura
independientes tienen varios propietarios de bosques potenciales. Si su organización ya
tiene una infraestructura Active Directory, los propietarios de bosques actuales también
son posibles propietarios de bosques para las nuevas implementaciones.

Seleccione uno de los posibles propietarios de bosques para que actúe como
propietario del bosque para cada bosque que esté considerando para la
implementación. Estos posibles propietarios de bosques son responsables de trabajar
con el equipo de diseño para determinar si realmente se implementará su bosque o si
un curso de acción alternativo (por ejemplo, unirse a otro bosque existente) es un mejor
uso de los recursos disponibles y sigue a la hora de satisfacer sus necesidades. El
propietario del bosque (o propietarios) de su organización son miembros del equipo
Active Directory de diseño.

Establecimiento de un equipo de diseño

El Active Directory de diseño es responsable de recopilar toda la información necesaria
para tomar decisiones sobre el diseño Active Directory estructura lógica.

Entre las responsabilidades del equipo de diseño se incluyen las siguientes:

Determinar cuántos bosques y dominios son necesarios y cuáles son las relaciones
entre los bosques y los dominios
 Trabajar con propietarios de datos para asegurarse de que el diseño cumple sus
requisitos administrativos y de seguridad

Trabajar con los administradores de red actuales para asegurarse de que la

infraestructura de red actual admite el diseño y de que el diseño no afectará
negativamente a las aplicaciones existentes implementadas en la red.

Trabajo con representantes del grupo de seguridad de la organización para

asegurarse de que el diseño cumple las directivas de seguridad establecidas

Diseño de estructuras de unidad organizativa que permitan niveles adecuados de

protección y la delegación adecuada de autoridad a los propietarios de datos

Trabajar con el equipo de implementación para probar el diseño en un entorno de

laboratorio para asegurarse de que funciona según lo planeado y modificar el
diseño según sea necesario para solucionar los problemas que se produzcan

Crear un diseño de topología de sitio que cumpla los requisitos de replicación del
bosque al tiempo que se evita la sobrecarga del ancho de banda disponible. Para
obtener más información sobre el diseño de la topología de sitio, vea Diseño de la
topología de sitio para Windows Server 2008 AD DS.

Trabajar con el equipo de implementación para asegurarse de que el diseño se

implementa correctamente

El equipo de diseño incluye los siguientes miembros:

Posibles propietarios de bosques

Project arquitecto

Jefe de proyecto

Personas responsables de establecer y mantener directivas de seguridad en la red

Durante el proceso de diseño de la estructura lógica, el equipo de diseño identifica a los

demás propietarios. Estas personas deben empezar a participar en el proceso de diseño
en cuanto se identifican. Una vez que el proyecto de implementación se entrega al
equipo de implementación, el equipo de diseño es responsable de supervisar el proceso
de implementación para asegurarse de que el diseño se implementa correctamente. El
equipo de diseño también realiza cambios en el diseño en función de los comentarios
de las pruebas.

Establecimiento de un equipo de implementación

El Active Directory de implementación es responsable de probar e implementar el
diseño Active Directory estructura lógica. Esto implica las siguientes tareas:

Establecimiento de un entorno de prueba que emula suficientemente el entorno

de producción

Probar el diseño mediante la implementación del bosque propuesto y la estructura

de dominio en un entorno de laboratorio para comprobar que cumple los
objetivos de cada propietario del rol

Desarrollo y prueba de cualquier escenario de migración propuesto por el diseño

en un entorno de laboratorio

Asegurarse de que cada propietario cierra sesión en el proceso de pruebas para

asegurarse de que se están probando las características de diseño correctas

Prueba de la operación de implementación en un entorno piloto

Una vez completadas las tareas de diseño y prueba, el equipo de implementación

realiza las siguientes tareas:

Crea los bosques y dominios según el diseño de Active Directory estructura lógica

Crea los sitios y los objetos de vínculo de sitio según sea necesario en función del
diseño de la topología de sitio.

Garantiza que la infraestructura DNS está configurada para admitir AD DS y que

los nuevos espacios de nombres están integrados en el espacio de nombres
existente de la organización.

El Active Directory de implementación incluye los siguientes miembros:

Propietario del bosque

DNS para AD DS propietario

Propietario de la topología de sitio

Propietarios de unidades organizativas

El equipo de implementación trabaja con los administradores de servicios y datos

durante la fase de implementación para asegurarse de que los miembros del equipo de
operaciones están familiarizados con el nuevo diseño. Esto ayuda a garantizar una
transición sin problemas de propiedad cuando se completa la operación de
implementación. Al finalizar el proceso de implementación, la responsabilidad de
mantener el nuevo entorno Active Directory pasa al equipo de operaciones.
Documentación de los equipos de diseño e
implementación
Documente los nombres y la información de contacto de las personas que participarán
en el diseño y la implementación de AD DS. Identifique quién será responsable de cada
rol en los equipos de diseño e implementación. Inicialmente, esta lista incluye los
posibles propietarios de bosques, el administrador de proyectos y el arquitecto del
proyecto. Al determinar el número de bosques que va a implementar, es posible que
tenga que crear nuevos equipos de diseño para bosques adicionales. Tenga en cuenta
que deberá actualizar la documentación a medida que cambien las pertenencias al
equipo y a medida que identifique los distintos propietarios Active Directory durante el
proceso de diseño. Para que una hoja de cálculo le ayude a documentar los equipos de
diseño e implementación de cada bosque, descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids for
Windows Server 2003 Deployment Kit y abra "Información del equipo de diseño e
implementación" (DSSLOGI_1.doc).
Crear un diseño de bosque
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

La creación de un diseño de bosque implica identificar primero los grupos de la

organización que tienen los recursos disponibles para hospedar un bosque Active
Directory y, a continuación, definir los requisitos de diseño del bosque. Por último, debe
determinar el número de bosques que necesita para satisfacer las necesidades de su
organización.

Después de asignar todos los requisitos de diseño a los modelos de bosque y

seleccionar el modelo de bosque que satisfaga las necesidades de su organización,
documente el diseño de bosque propuesto. Incluya en la documentación el nombre del
grupo para el que está diseñado el bosque, la información de contacto del propietario
del bosque, el tipo de bosque para cada bosque que incluya y los requisitos que cada
bosque está diseñado para cumplir. Esta documentación ayudará al equipo de diseño a
garantizar que todas las personas adecuadas participan en el proceso de diseño y a
aclarar el ámbito del proyecto de implementación.

Para que una hoja de cálculo le ayude a documentar el diseño de bosque propuesto,
descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip
desde Ayuda para trabajos para el Kit de implementación de Windows Server 2003 y
abra "Diseño de bosque" (DSSLOGI_3.doc).

En esta sección
Identificar los requisitos de diseño de bosque

Determinar el número de bosques necesarios

Identificar los requisitos de diseño de
bosque
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Para crear un diseño de bosque para su organización, debe identificar los requisitos
empresariales que debe satisfacer la estructura de directorios. Esto implica determinar
cuánta autonomía necesitan los grupos de la organización para administrar sus recursos
de red y si cada grupo necesita o no aislar sus recursos en la red de otros grupos.

Active Directory Domain Services (AD DS) le permite diseñar una infraestructura de
directorios que se adapta a varios grupos dentro de una organización que tienen
requisitos de administración únicos y para lograr la independencia estructural y
operativa entre grupos según sea necesario.

Los grupos de la organización pueden tener algunos de los siguientes tipos de

requisitos:

Requisitos de la estructura organizativa. Las partes de una organización pueden

participar en una infraestructura compartida para ahorrar costos, pero requieren la
capacidad de funcionar independientemente del resto de la organización. Por
ejemplo, un grupo de investigación dentro de una organización grande podría
necesitar mantener el control sobre todos sus propios datos de investigación.

Requisitos operativos. Una parte de una organización puede colocar restricciones

únicas en la configuración, disponibilidad o seguridad del servicio de directorio, o
bien usar aplicaciones que coloquen restricciones únicas en el directorio. Por
ejemplo, las unidades de negocio individuales de una organización pueden
implementar aplicaciones habilitadas para directorios que modifiquen el esquema
de directorio que no implementan otras unidades de negocio. Dado que el
esquema de directorio se comparte entre todos los dominios del bosque, la
creación de varios bosques es una solución para este escenario. Otros ejemplos se
encuentran en las siguientes organizaciones y escenarios:

Organizaciones civiles

Escenarios de hospedaje
 Organizaciones que mantienen un directorio que está disponible tanto interna
como externamente (por ejemplo, aquellas a las que los usuarios pueden
acceder públicamente en Internet)

Requisitos legales. Algunas organizaciones tienen requisitos legales para funcionar

de una manera específica, por ejemplo, restringir el acceso a cierta información, tal
como se especifica en un contrato empresarial. Algunas organizaciones tienen
requisitos de seguridad para operar en redes internas aisladas. Si no se cumplen
estos requisitos, puede producirse la pérdida del contrato y, posiblemente, una
acción legal.

Parte de la identificación de los requisitos de diseño del bosque implica identificar el

grado en que los grupos de la organización pueden confiar en los posibles propietarios
de bosques y sus administradores de servicios, así como identificar los requisitos de
autonomía y aislamiento de cada grupo de la organización.

El equipo de diseño debe documentar los requisitos de aislamiento y autonomía para la

administración de servicios y datos para cada grupo de la organización que pretende
usar AD DS. El equipo también debe tener en cuenta las áreas de conectividad limitada
que podrían afectar a la implementación de AD DS.

El equipo de diseño debe documentar los requisitos de aislamiento y autonomía para la

administración de servicios y datos para cada grupo de la organización que pretende
usar AD DS. El equipo también debe tener en cuenta las áreas de conectividad limitada
que podrían afectar a la implementación de AD DS. Para que una hoja de cálculo le
ayude a documentar las regiones que ha identificado, descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip desde Ayuda
para trabajos para el Kit de implementación de Windows Server 2003 y abra
"Requisitos de diseño de bosque" (DSSLOGI_2.doc).

En esta sección
Ámbito de autoridad del administrador de servicios

Autonomía frente a aislamiento

Ámbito de autoridad del administrador
de servicios
Artículo • 24/09/2022 • Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Si decide participar en un bosque Active Directory, debe confiar en el propietario del

bosque y en los administradores de servicios. Los propietarios del bosque son
responsables de seleccionar y administrar los administradores de servicios. Por lo tanto,
cuando confía en un propietario de bosque, también confía en los administradores de
servicios que administra el propietario del bosque. Estos administradores de servicios
tienen acceso a todos los recursos del bosque. Antes de tomar la decisión de participar
en un bosque, es importante comprender que el propietario del bosque y los
administradores de servicios tendrán acceso total a los datos. No se puede impedir este
acceso.

Todos los administradores de servicios de un bosque tienen control total sobre todos
los datos y servicios en todos los equipos del bosque. Los administradores de servicios
tienen la capacidad de hacer lo siguiente:

Corregir errores en listas de control de acceso (ACL) de objetos. Esto permite al

administrador de servicios leer, modificar o eliminar objetos independientemente
de las ACL establecidas en esos objetos.

Modifique el software del sistema en un controlador de dominio para omitir las

comprobaciones de seguridad normales. Esto permite al administrador de servicios
ver o manipular cualquier objeto del dominio, independientemente de la ACL del
objeto.

Use la directiva de seguridad Grupos restringidos para conceder a cualquier

usuario o grupo acceso administrativo a cualquier equipo unido al dominio. De
esta manera, los administradores de servicios pueden obtener el control de
cualquier equipo unido al dominio independientemente de las intenciones del
propietario del equipo.

Restablecer contraseñas o cambiar la pertenencia a grupos para los usuarios.

Obtenga acceso a otros dominios del bosque modificando el software del sistema
en un controlador de dominio. Los administradores de servicios pueden afectar al
funcionamiento de cualquier dominio del bosque, ver o manipular los datos de
 configuración del bosque, ver o manipular los datos almacenados en cualquier
dominio y ver o manipular los datos almacenados en cualquier equipo unido al
bosque.

Por esta razón, los grupos que almacenan datos en unidades organizativas (UO) en el
bosque y que unen equipos a un bosque deben confiar en los administradores de
servicios. Para que un grupo se una a un bosque, debe elegir confiar en todos los
administradores de servicios del bosque. Esto implica garantizar que:

El propietario del bosque puede ser de confianza para actuar en interés del grupo
y no tiene razón para actuar de forma malintencionada contra el grupo.

El propietario del bosque restringe adecuadamente el acceso físico a los

controladores de dominio. Los controladores de dominio dentro de un bosque no
se pueden aislar entre sí. Es posible que un atacante que tiene acceso físico a un
único controlador de dominio realice cambios sin conexión en la base de datos del
directorio y, al hacerlo, interfiera con el funcionamiento de cualquier dominio del
bosque, vea o manipule los datos almacenados en cualquier lugar del bosque y
vea o manipule los datos almacenados en cualquier equipo unido al bosque. Por
esta razón, el acceso físico a los controladores de dominio debe restringirse al
personal de confianza.

Comprende y acepta el riesgo potencial de que los administradores de servicios de

confianza puedan ser coaccionados para poner en peligro la seguridad del
sistema.

Algunos grupos pueden determinar que las ventajas colaborativas y de ahorro de costos
de participar en una infraestructura compartida superan los riesgos que los
administradores de servicios van a usar incorrectamente o se les va a convertir en un
uso incorrecto de su autoridad. Estos grupos pueden compartir un bosque y usar us
para delegar autoridad. Sin embargo, es posible que otros grupos no acepten este
riesgo porque las consecuencias de un riesgo en la seguridad son demasiado graves.
Estos grupos requieren bosques independientes.
Autonomía frente a aislamiento
Artículo • 21/12/2022 • Tiempo de lectura: 6 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Puede diseñar la estructura Active Directory lógica para lograr una de las siguientes
opciones:

Autonomía. Implica un control independiente pero no exclusivo de un recurso.

Cuando se logra la autonomía, los administradores tienen la autoridad para
administrar los recursos de forma independiente. Sin embargo, existen
administradores con mayor autoridad que también tienen control sobre esos
recursos y pueden quitar el control si es necesario. Puede diseñar la estructura
Active Directory lógica para lograr los siguientes tipos de autonomía:

Autonomía del servicio. Este tipo de autonomía implica el control sobre la

administración total o parcial del servicio.

Autonomía de los datos. Este tipo de autonomía implica el control sobre todos
o parte de los datos almacenados en el directorio o en equipos miembros
unidos al directorio.

Aislamiento. Implica un control independiente y exclusivo de un recurso. Cuando

se logra el aislamiento, los administradores tienen la autoridad para administrar un
recurso de forma independiente y ningún otro administrador puede quitar el
control del recurso. Puede diseñar la estructura Active Directory lógica para lograr
los siguientes tipos de aislamiento:

Aislamiento del servicio. Impide que los administradores (distintos de los que
están designados específicamente para controlar la administración de servicios)
controle o interfiera con la administración del servicio.

Aislamiento de los datos. Impide que los administradores (distintos de los que
están designados específicamente para controlar o ver datos) controlen o
consulten un subconjunto de datos en el directorio o en equipos miembros
unidos al directorio.

Los administradores que solo requieren autonomía aceptan que otros administradores
que tengan la misma o mayor autoridad administrativa tengan el mismo o mayor
control sobre el servicio o la administración de datos. Los administradores que
requieren aislamiento tienen control exclusivo sobre el servicio o la administración de
datos. La creación de un diseño para lograr la autonomía suele ser menos costosa que
crear un diseño para lograr el aislamiento.

En Active Directory Domain Services (AD DS), los administradores pueden delegar la
administración de servicios y la administración de datos para lograr la autonomía o el
aislamiento entre organizaciones. La combinación de los requisitos de administración de
servicios, administración de datos, autonomía y aislamiento de una organización afecta
a Active Directory contenedores que se usan para delegar la administración.

Requisitos de aislamiento y autonomía

El número de bosques que necesita implementar se basa en los requisitos de autonomía
y aislamiento de cada grupo dentro de su organización. Para identificar los requisitos de
diseño del bosque, debe identificar los requisitos de autonomía y aislamiento de todos
los grupos de su organización. En concreto, debe identificar la necesidad de aislamiento
de datos, autonomía de datos, aislamiento de servicio y autonomía del servicio. También
debe identificar áreas de conectividad limitada en su organización.

Aislamiento de datos
El aislamiento de datos implica un control exclusivo sobre los datos por parte del grupo
u organización que posee los datos. Es importante tener en cuenta que los
administradores de servicios tienen la capacidad de tomar el control de un recurso de
los administradores de datos. Y los administradores de datos no tienen la capacidad de
impedir que los administradores de servicios accedan a los recursos que controlan. Por
lo tanto, no puede lograr el aislamiento de datos cuando otro grupo dentro de la
organización es responsable de la administración del servicio. Si un grupo requiere
aislamiento de datos, ese grupo también debe asumir la responsabilidad de la
administración del servicio.

Dado que los datos almacenados en AD DS y en equipos unidos a AD DS no se pueden

aislar de los administradores de servicios, la única manera de que un grupo de una
organización logre un aislamiento de datos completo es crear un bosque independiente
para los datos. Las organizaciones para las que las consecuencias de un ataque por
software malintencionado o por un administrador de servicios coerciados son
sustanciales podrían optar por crear un bosque independiente para lograr el aislamiento
de datos. Normalmente, los requisitos legales crean una necesidad de este tipo de
aislamiento de datos. Por ejemplo:

Una institución financiera está requerida por ley para limitar el acceso a los datos
que pertenecen a clientes de una jurisdicción determinada a usuarios, equipos y
 administradores ubicados en esa jurisdicción. Aunque la institución confía en los
administradores de servicios que trabajan fuera del área protegida, si se infringe la
limitación de acceso, la institución ya no podrá hacer negocios en esa jurisdicción.
Por lo tanto, la institución financiera debe aislar los datos de los administradores
de servicios fuera de esa jurisdicción. Tenga en cuenta que el cifrado no siempre es
una alternativa a esta solución. Es posible que el cifrado no proteja los datos de los
administradores de servicios.

La ley exige a un contratista de defensa que limite el acceso a los datos del
proyecto a un conjunto de usuarios especificado. Aunque el contratista confía en
los administradores de servicios que controlan los sistemas informáticos
relacionados con otros proyectos, una infracción de esta limitación de acceso hará
que el contratista pierda el negocio.

７ Nota

Si tiene un requisito de aislamiento de datos, debe decidir si necesita aislar los

datos de los administradores de servicios o de los administradores de datos y
los usuarios normales. Si el requisito de aislamiento se basa en el aislamiento
de los administradores de datos y los usuarios normales, puede usar listas de
control de acceso (ACL) para aislar los datos. Para los fines de este proceso de
diseño, el aislamiento de los administradores de datos y los usuarios normales
no se considera un requisito de aislamiento de datos.

Autonomía de los datos

La autonomía de los datos implica la capacidad de un grupo u organización de
administrar sus propios datos, incluida la toma de decisiones administrativas sobre los
datos y la realización de las tareas administrativas necesarias sin necesidad de la
aprobación de otra autoridad.

La autonomía de los datos no impide que los administradores de servicios del bosque
accedan a los datos. Por ejemplo, un grupo de investigación dentro de una organización
grande puede ser capaz de administrar sus propios datos específicos del proyecto, pero
no es necesario proteger los datos de otros administradores del bosque.

Aislamiento del servicio

El aislamiento del servicio implica el control exclusivo de Active Directory infraestructura.
Los grupos que requieren aislamiento de servicio requieren que ningún administrador
fuera del grupo pueda interferir con el funcionamiento del servicio de directorio.

Normalmente, los requisitos operativos o legales crean una necesidad de aislamiento

del servicio. Por ejemplo:

Una empresa de fabricación tiene una aplicación crítica que controla el equipo en
la fábrica. No se puede permitir que las interrupciones en el servicio en otras
partes de la red de la organización interfieran con el funcionamiento de la fábrica.

Una empresa de hospedaje proporciona servicio a varios clientes. Cada cliente

requiere aislamiento de servicio para que cualquier interrupción del servicio que
afecte a un cliente no afecte a los demás clientes.

Autonomía del servicio

La autonomía del servicio implica la capacidad de administrar la infraestructura sin
necesidad de un control exclusivo. por ejemplo, cuando un grupo quiere realizar
cambios en la infraestructura (como agregar o quitar dominios, modificar el espacio de
nombres del Sistema de nombres de dominio (DNS) o modificar el esquema) sin la
aprobación del propietario del bosque.

La autonomía del servicio puede ser necesaria dentro de una organización para un
grupo que quiera poder controlar el nivel de servicio de AD DS (agregando y quitando
controladores de dominio, según sea necesario) o para un grupo que necesita poder
instalar aplicaciones habilitadas para directorios que requieren extensiones de esquema.

Conectividad limitada
Si un grupo de su organización posee redes separadas por dispositivos que restringen o
limitan la conectividad entre redes (como firewalls y dispositivos nat), esto puede afectar
al diseño del bosque. Al identificar los requisitos de diseño del bosque, asegúrese de
tener en cuenta las ubicaciones en las que tiene conectividad de red limitada. Esta
información es necesaria para permitirle tomar decisiones sobre el diseño del bosque.
Determinar el número de bosques
necesarios
Artículo • 29/09/2022 • Tiempo de lectura: 4 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Para determinar el número de bosques que debe implementar, debe identificar y

evaluar cuidadosamente los requisitos de aislamiento y autonomía de cada grupo de la
organización y asignar esos requisitos a los modelos de diseño de bosque adecuados.

Al determinar el número de bosques que se implementarán para su organización, tenga

en cuenta lo siguiente:

Los requisitos de aislamiento limitan las opciones de diseño. Por lo tanto, si

identifica los requisitos de aislamiento, asegúrese de que los grupos realmente
requieren aislamiento de datos y que la autonomía de los datos no es suficiente
para sus necesidades. Asegúrese de que los distintos grupos de su organización
entiendan claramente los conceptos de aislamiento y autonomía.

Negociar el diseño puede ser un proceso largo. Puede ser difícil para los grupos
llegar a un acuerdo sobre la propiedad y los usos de los recursos disponibles.
Asegúrese de que permite tiempo suficiente para que los grupos de su
organización realicen la investigación adecuada para identificar sus necesidades.
Establezca fechas límite firmes para las decisiones de diseño y obtenga el
consenso de todas las partes sobre las fechas límite establecidas.

Determinar el número de bosques que se implementarán implica equilibrar los

costos con las ventajas. Un modelo de bosque único es la opción más rentable y
requiere la menor cantidad de sobrecarga administrativa. Aunque un grupo de la
organización puede preferir las operaciones de servicio autónomo, puede ser más
rentable que la organización se suscriba a la entrega de servicios desde un grupo
de tecnologías de la información (TI) centralizados y de confianza. Esto permite al
grupo poseer la administración de datos sin crear los costos agregados de la
administración de servicios. El equilibrio de costos con las ventajas puede requerir
la intervención del patrocinador ejecutivo.

Un solo bosque es la configuración más fácil de administrar. Permite la máxima

colaboración dentro del entorno porque:
 Todos los objetos de un solo bosque se enumeran en el catálogo global. Por lo
tanto, no se requiere ninguna sincronización entre bosques.

No es necesaria la administración de una infraestructura duplicada.

No se recomienda la copropiedad de un solo bosque por parte de dos

organizaciones de TI independientes y autónomas. En el futuro, los objetivos de
los dos grupos de IT podrían cambiar, de modo que ya no puedan aceptar el
control compartido.

No se recomienda externalizar la administración de servicios a más de un asociado

externo. Las organizaciones multinacionales que tienen grupos en distintos países
o regiones pueden optar por externalizar la administración de servicios a un
asociado externo diferente para cada país o región. Dado que varios asociados
externos no se pueden aislar entre sí, las acciones de un asociado pueden afectar
al servicio del otro, lo que dificulta que los asociados sean responsables de sus
contratos de nivel de servicio.

Solo debe existir una instancia de Active Directory dominio en cualquier momento.
Microsoft no admite la clonación, división o copia de controladores de dominio de
un dominio en un intento de establecer una segunda instancia del mismo dominio.
Para obtener más información sobre esta limitación, consulte la sección siguiente.

Limitaciones de la reestructuración
Cuando una empresa adquiere otra empresa, unidad de negocio o línea de productos,
es posible que la empresa de compra también quiera adquirir los recursos de TI
correspondientes del vendedor. En concreto, es posible que el comprador quiera
adquirir algunos o todos los controladores de dominio que hospedan las cuentas de
usuario, las cuentas de equipo y los grupos de seguridad que corresponden a los
recursos empresariales que se van a adquirir. Los únicos métodos admitidos para que el
comprador adquiera los recursos de TI que se almacenan en el bosque de Active
Directory del vendedor son los siguientes:

1. Adquiera la única instancia del bosque, incluidos todos los controladores de

dominio y los datos de directorio en todo el bosque del vendedor.

2. Migre los datos de directorio necesarios del bosque o dominios del vendedor a
uno o varios de los dominios del comprador. El destino de esta migración podría
ser un bosque completamente nuevo o uno o varios dominios existentes que ya
están implementados en el bosque del comprador.

Esta limitación de compatibilidad existe porque:

 A cada dominio de Active Directory se le asigna una identidad única durante la
creación del bosque. La copia de controladores de dominio de un dominio original
a un dominio clonado pone en peligro la seguridad de los dominios y del bosque.
Entre las amenazas al dominio original y al dominio clonado se incluyen las
siguientes:

Uso compartido de contraseñas que se pueden usar para obtener acceso a los
recursos

Información sobre grupos y cuentas de usuario con privilegios

Asignación de direcciones IP a nombres de equipo

Adiciones, eliminaciones y modificaciones de la información de directorio si los

controladores de dominio de un dominio clonado establecen alguna vez
conectividad de red con controladores de dominio del dominio original

Los dominios clonados comparten una identidad de seguridad común; Por lo

tanto, no se pueden establecer relaciones de confianza entre ellas, incluso si se ha
cambiado el nombre de uno o ambos dominios.

En esta sección
Modelos de diseño de bosque

Asignación de requisitos de diseño a modelos de diseño de bosque

Uso del modelo de bosque de dominio organizativo

Modelos de diseño de bosque
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Puede aplicar uno de los tres modelos de diseño de bosque siguientes en el entorno de
Active Directory:

Modelo de bosque organizativo

Modelo de bosque de recursos

Modelo de bosque de acceso restringido

Es probable que tenga que usar una combinación de estos modelos para satisfacer las
necesidades de todos los distintos grupos de su organización.

Modelo de bosque organizativo

En el modelo de bosque organizativo, las cuentas de usuario y los recursos se incluyen
en el bosque y se administran de forma independiente. El bosque organizativo se puede
usar para proporcionar autonomía del servicio, aislamiento de servicio o aislamiento de
datos, si el bosque está configurado para impedir el acceso a cualquier persona que
esté fuera del bosque.

Si los usuarios de un bosque organizativo necesitan acceder a los recursos de otros

bosques (o al contrario), se pueden establecer relaciones de confianza entre un bosque
organizativo y otros bosques. Esto permite a los administradores conceder acceso a los
recursos del otro bosque. En la ilustración siguiente se muestra el modelo de bosque
organizativo.
Cada diseño de Active Directory incluye al menos un bosque organizativo.

Modelo de bosque de recursos

En el modelo de bosque de recursos, se usa un bosque independiente para administrar
recursos. Los bosques de recursos no contienen cuentas de usuario distintas de las
necesarias para la administración del servicio y las necesarias para proporcionar acceso
alternativo a los recursos de ese bosque, si las cuentas de usuario del bosque
organizativo dejan de estar disponibles. Las confianzas de bosque se establecen para
que los usuarios de otros bosques puedan acceder a los recursos contenidos en el
bosque de recursos. En la ilustración siguiente se muestra el modelo de bosque de
recursos.
Los bosques de recursos proporcionan aislamiento de servicio que se usa para proteger
las áreas de la red que necesitan mantener un estado de alta disponibilidad. Por
ejemplo, si su empresa incluye una instalación de fabricación que necesita seguir
funcionando cuando hay problemas en el resto de la red, puede crear un bosque de
recursos independiente para el grupo de fabricación.

Modelo de bosque de acceso restringido

En el modelo de bosque de acceso restringido, se crea un bosque independiente para
contener cuentas de usuario y datos que deben aislarse del resto de la organización. Los
bosques de acceso restringido proporcionan aislamiento de datos en situaciones en las
que las consecuencias de poner en peligro los datos del proyecto son graves. En la
ilustración siguiente se muestra un modelo de bosque de acceso restringido.
No se puede conceder acceso a los usuarios de otros bosques a los datos restringidos
porque no existe confianza. En este modelo, los usuarios tienen una cuenta en un
bosque organizativo para el acceso a recursos generales de la organización y una
cuenta de usuario independiente en el bosque de acceso restringido para acceder a los
datos clasificados. Estos usuarios deben tener dos estaciones de trabajo independientes,
una conectada al bosque organizativo y la otra conectada al bosque de acceso
restringido. Esto protege contra la posibilidad de que un administrador de servicios de
un bosque pueda obtener acceso a una estación de trabajo en el bosque restringido.

En casos extremos, el bosque de acceso restringido podría mantenerse en una red física
independiente. Las organizaciones que trabajan en proyectos gubernamentales
clasificados a veces mantienen bosques de acceso restringido en redes independientes
para cumplir los requisitos de seguridad.
Asignación de requisitos de diseño a
modelos de diseño de bosque
Artículo • 29/09/2022 • Tiempo de lectura: 15 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

La mayoría de los grupos de la organización pueden compartir un único bosque

organizativo administrado por un único grupo de tecnologías de la información (TI) y
que contiene las cuentas de usuario y los recursos de todos los grupos que comparten
el bosque. Este bosque compartido, denominado bosque organizativo inicial, es la base
del modelo de diseño de bosque para la organización.

Dado que el bosque organizativo inicial puede hospedar varios grupos en la

organización, el propietario del bosque debe establecer acuerdos de nivel de servicio
con cada grupo para que todas las partes entiendan lo que se espera de ellos. Esto
protege a los grupos individuales y al propietario del bosque mediante el
establecimiento de expectativas de servicio acordados.

Si no todos los grupos de la organización pueden compartir un único bosque

organizativo, debe expandir el diseño del bosque para satisfacer las necesidades de los
distintos grupos. Esto implica identificar los requisitos de diseño que se aplican a los
grupos en función de sus necesidades de autonomía y aislamiento, y si tienen o no una
red de conectividad limitada y, a continuación, identificar el modelo de bosque que
puede usar para adaptarse a esos requisitos. En la tabla siguiente se enumeran los
escenarios del modelo de diseño de bosques en función de los factores de autonomía,
aislamiento y conectividad. Después de identificar el escenario de diseño de bosque que
mejor se adapte a sus requisitos, determine si necesita tomar alguna decisión adicional
para cumplir las especificaciones de diseño.

７ Nota

Si un factor aparece como N/A, no es una consideración porque otros requisitos

también se adapta a ese factor.

Escenario Conectividad Aislamiento Autonomía Aislamiento Autonomía

limitada de datos de los del servicio del
datos servicio
Escenario Conectividad Aislamiento Autonomía Aislamiento Autonomía
limitada de datos de los del servicio del
datos servicio

Escenario 1: Unión a No No Sí No No
un bosque existente
para la autonomía de
los datos

Escenario 2: Uso de No No N/D No Sí

un bosque
organizativo o un
dominio para la
autonomía del
servicio

Escenario 3: Uso de No No N/D Sí N/D

un bosque
organizativo o un
bosque de recursos
para el aislamiento
del servicio

Escenario 4: Usar un N/D Sí N/D N/D N/D

bosque organizativo
o un bosque de
acceso restringido
para el aislamiento
de datos

Escenario 5: Uso de Sí No N/D No No

un bosque
organizativo o
reconfiguración del
firewall para una
conectividad limitada

Escenario 6: Uso de Sí No N/D No Sí

un bosque o dominio
organizativo y
reconfiguración del
firewall para la
autonomía del
servicio con
conectividad limitada
 Escenario Conectividad Aislamiento Autonomía Aislamiento Autonomía
limitada de datos de los del servicio del
datos servicio

Escenario 7: Uso de Sí No N/D Sí N/D

un bosque de
recursos y
reconfiguración del
firewall para el
aislamiento del
servicio con
conectividad limitada

Escenario 1: Unión a un bosque existente para

la autonomía de los datos
Puede cumplir un requisito de autonomía de datos simplemente hospedando el grupo
en unidades organizativas (UO) en un bosque organizativo existente. Delegue el control
sobre las cpu a los administradores de datos de ese grupo para lograr la autonomía de
los datos. Para obtener más información sobre cómo delegar el control mediante
unidades organizativas, vea Crear un diseño de unidad organizativa.

Escenario 2: Uso de un bosque organizativo o

un dominio para la autonomía del servicio
Si un grupo de su organización identifica la autonomía del servicio como requisito, se
recomienda que primero replantee este requisito. Lograr la autonomía del servicio crea
más sobrecarga de administración y costos adicionales para la organización. Asegúrese
de que el requisito de autonomía del servicio no es simplemente por comodidad y que
puede justificar los costos implicados en el cumplimiento de este requisito.

Puede cumplir un requisito de autonomía del servicio mediante una de las siguientes
acciones:

Crear un bosque organizativo. Coloque los usuarios, grupos y equipos del grupo
que requiere autonomía de servicio en un bosque organizativo independiente.
Asigne un individuo de ese grupo para que sea el propietario del bosque. Si el
grupo necesita acceder o compartir recursos con otros bosques de la organización,
puede establecer una confianza entre su bosque organizativo y los demás
bosques.
 Uso de dominios organizativos. Coloque los usuarios, grupos y equipos en un
dominio independiente en un bosque organizativo existente. Este modelo solo
proporciona autonomía de servicio de nivel de dominio y no para la autonomía de
servicio completa, el aislamiento del servicio o el aislamiento de datos.

Para obtener más información sobre el uso de dominios organizativos, consulte Uso del
modelo de bosque de dominio organizativo.

Escenario 3: Uso de un bosque organizativo o

un bosque de recursos para el aislamiento del
servicio
Puede cumplir un requisito de aislamiento de servicio mediante una de las siguientes
acciones:

Uso de un bosque organizativo. Coloque los usuarios, grupos y equipos del grupo
que requiere aislamiento de servicio en un bosque organizativo independiente.
Asigne un individuo de ese grupo para que sea el propietario del bosque. Si el
grupo necesita acceder o compartir recursos con otros bosques de la organización,
puede establecer una confianza entre su bosque organizativo y los demás
bosques. Sin embargo, no se recomienda este enfoque porque el acceso a los
recursos a través de grupos universales está muy restringido en escenarios de
confianza de bosque.

Uso de un bosque de recursos. Coloque los recursos y las cuentas de servicio en

un bosque de recursos independiente, manteniendo las cuentas de usuario en un
bosque organizativo existente. Si es necesario, se pueden crear cuentas
alternativas en el bosque de recursos para acceder a los recursos del bosque de
recursos si el bosque organizativo deja de estar disponible. Las cuentas alternativas
deben tener la autoridad necesaria para iniciar sesión en el bosque de recursos y
mantener el control de los recursos hasta que el bosque organizativo vuelva a
estar en línea.

Establezca una confianza entre el recurso y los bosques de la organización, para

que los usuarios puedan acceder a los recursos del bosque mientras usan sus
cuentas de usuario normales. Esta configuración permite la administración
centralizada de cuentas de usuario, al tiempo que permite a los usuarios volver a
cuentas alternativas en el bosque de recursos si el bosque organizativo deja de
estar disponible.

Entre las consideraciones para el aislamiento del servicio se incluyen las siguientes:
 Los bosques creados para el aislamiento de servicios pueden confiar en dominios
de otros bosques, pero no deben incluir usuarios de otros bosques en sus grupos
de administradores de servicios. Si los usuarios de otros bosques se incluyen en
grupos administrativos en el bosque aislado, la seguridad del bosque aislado
puede verse comprometida porque los administradores de servicios del bosque no
tienen control exclusivo.

Siempre que los controladores de dominio sean accesibles en una red, están
sujetos a ataques (como ataques por denegación de servicio) desde software
malintencionado en esa red. Puede hacer lo siguiente para protegerse frente a la
posibilidad de un ataque:

Los controladores de dominio de host solo se encuentran en redes que se

consideran seguras.

Limite el acceso a la red o a las redes que hospedan los controladores de

dominio.

El aislamiento del servicio requiere la creación de un bosque adicional. Evalúe si el

costo de mantener la infraestructura para admitir el bosque adicional supera los
costos asociados a la pérdida de acceso a los recursos debido a que un bosque
organizativo no está disponible.

Escenario 4: Usar un bosque organizativo o un

bosque de acceso restringido para el
aislamiento de datos
Puede lograr el aislamiento de datos mediante una de las siguientes acciones:

Uso de un bosque organizativo. Coloque los usuarios, grupos y equipos del grupo
que requiere aislamiento de datos en un bosque organizativo independiente.
Asigne un individuo de ese grupo para que sea el propietario del bosque. Si el
grupo necesita acceder o compartir recursos con otros bosques de la organización,
establezca una confianza entre el bosque organizativo y los demás bosques. Solo
los usuarios que requieren acceso a la información clasificada existen en el nuevo
bosque organizativo. Los usuarios tienen una cuenta que usan para acceder tanto
a los datos clasificados en su propio bosque como a los datos sin clasificar de
otros bosques mediante relaciones de confianza.

Uso de un bosque de acceso restringido. Se trata de un bosque independiente que

contiene los datos restringidos y las cuentas de usuario que se usan para acceder a
 los datos. Las cuentas de usuario independientes se mantienen en los bosques
organizativos existentes que se usan para acceder a los recursos sin restricciones
de la red. No se crean relaciones de confianza entre el bosque de acceso
restringido y otros bosques de la empresa. Puede restringir aún más el bosque
implementando el bosque en una red física independiente para que no pueda
conectarse a otros bosques. Si implementa el bosque en una red independiente,
los usuarios deben tener dos estaciones de trabajo: una para acceder al bosque
restringido y otra para acceder a las áreas no restringidas de la red.

Entre las consideraciones para crear bosques para el aislamiento de datos se incluyen
las siguientes:

Los bosques organizativos creados para el aislamiento de datos pueden confiar en

dominios de otros bosques, pero los usuarios de otros bosques no deben incluirse
en ninguno de los siguientes elementos:

Grupos responsables de la administración de servicios o grupos que pueden

administrar la pertenencia de grupos de administradores de servicios

Grupos que tienen control administrativo sobre equipos que almacenan datos
protegidos

Grupos que tienen acceso a datos o grupos protegidos que son responsables
de la administración de objetos de usuario o objetos de grupo que tienen
acceso a datos protegidos

Si los usuarios de otro bosque se incluyen en cualquiera de estos grupos, un

riesgo del otro bosque podría poner en peligro el bosque aislado y la
divulgación de datos protegidos.

Se pueden configurar otros bosques para confiar en el bosque organizativo creado

para el aislamiento de datos, de modo que los usuarios del bosque aislado puedan
acceder a los recursos de otros bosques. Sin embargo, los usuarios del bosque
aislado nunca deben iniciar sesión interactivamente en estaciones de trabajo del
bosque de confianza. El equipo del bosque de confianza puede verse
comprometido potencialmente por software malintencionado y se puede usar para
capturar las credenciales de inicio de sesión del usuario.

７ Nota

Para evitar que los servidores de un bosque de confianza suplante a los

usuarios del bosque aislado y, a continuación, accedan a los recursos del
bosque aislado, el propietario del bosque puede deshabilitar la autenticación
 delegada o usar la característica de delegación restringida. Para obtener más
información sobre la autenticación delegada y la delegación restringida, vea
Delegación de la autenticación.

Es posible que tenga que establecer un firewall entre el bosque organizativo y los
demás bosques de la organización para limitar el acceso de los usuarios a la
información fuera de su bosque.

Aunque la creación de un bosque independiente permite el aislamiento de datos,

siempre y cuando los controladores de dominio del bosque aislado y los equipos
que hospedan información protegida sean accesibles en una red, están sujetos a
ataques iniciados desde equipos de esa red. Las organizaciones que deciden que
el riesgo de ataque es demasiado alto o que la consecuencia de un ataque o una
infracción de seguridad es demasiado grande necesitan limitar el acceso a la red o
a las redes que hospedan los controladores de dominio y los equipos que
hospedan datos protegidos. La limitación del acceso se puede realizar mediante
tecnologías como firewalls y seguridad del protocolo de Internet (IPsec). En casos
extremos, las organizaciones podrían optar por mantener los datos protegidos en
una red independiente que no tenga conexión física a ninguna otra red de la
organización.

７ Nota

Si existe conectividad de red entre un bosque de acceso restringido y otra

red, existe la posibilidad de que los datos del área restringida se transmitan a
la otra red.

Escenario 5: Uso de un bosque organizativo o

reconfiguración del firewall para una
conectividad limitada
Para cumplir un requisito de conectividad limitado, puede realizar una de las siguientes
acciones:

Coloque los usuarios en un bosque organizativo existente y, a continuación, abra

el firewall lo suficiente como para permitir que Active Directory tráfico pase a
través de .
 Usar un bosque organizativo. Coloque los usuarios, grupos y equipos del grupo
para el que la conectividad está limitada en un bosque organizativo independiente.
Asigne un individuo de ese grupo para que sea el propietario del bosque. El
bosque organizativo proporciona un entorno independiente en el otro lado del
firewall. El bosque incluye cuentas de usuario y recursos que se administran dentro
del bosque, por lo que los usuarios no necesitan pasar por el firewall para realizar
sus tareas diarias. Es posible que determinados usuarios o aplicaciones tengan
necesidades especiales que requieran la capacidad de pasar a través del firewall
para ponerse en contacto con otros bosques. Puede abordar estas necesidades
individualmente abriendo las interfaces adecuadas en el firewall, incluidas las
necesarias para que las confianzas funcionen.

Para obtener más información sobre cómo configurar firewalls para su uso con Active
Directory Domain Services (AD DS), consulte Active Directory en Redes segmentadas por
firewalls .

Escenario 6: Uso de un bosque o dominio

organizativo y reconfiguración del firewall para
la autonomía del servicio con conectividad
limitada
Si un grupo de su organización identifica la autonomía del servicio como requisito, se
recomienda que primero replantee este requisito. Lograr la autonomía del servicio crea
más sobrecarga de administración y costos adicionales para la organización. Asegúrese
de que el requisito de autonomía del servicio no es simplemente por comodidad y que
puede justificar los costos implicados en el cumplimiento de este requisito.

Si la conectividad limitada es un problema y tiene un requisito de autonomía del

servicio, puede realizar una de las siguientes acciones:

Usar un bosque organizativo. Coloque los usuarios, grupos y equipos del grupo
que requiere autonomía de servicio en un bosque organizativo independiente.
Asigne un individuo de ese grupo para que sea el propietario del bosque. El
bosque organizativo proporciona un entorno independiente en el otro lado del
firewall. El bosque incluye cuentas de usuario y recursos que se administran dentro
del bosque, por lo que los usuarios no necesitan pasar por el firewall para realizar
sus tareas diarias. Es posible que determinados usuarios o aplicaciones tengan
necesidades especiales que requieran la capacidad de pasar a través del firewall
para ponerse en contacto con otros bosques. Puede abordar estas necesidades
 individualmente abriendo las interfaces adecuadas en el firewall, incluidas las
necesarias para que las confianzas funcionen.

Coloque los usuarios, grupos y equipos en un dominio independiente en un

bosque organizativo existente. Este modelo solo proporciona autonomía de
servicio de nivel de dominio y no para la autonomía de servicio completa, el
aislamiento del servicio o el aislamiento de datos. Otros grupos del bosque deben
confiar en los administradores de servicios del nuevo dominio en el mismo grado
en que confían en el propietario del bosque. Por este motivo, no se recomienda
este enfoque. Para obtener más información sobre el uso de dominios
organizativos, consulte Uso del modelo de bosque de dominio organizativo.

También debe abrir el firewall lo suficiente como para permitir que pase Active Directory
tráfico. Para obtener más información sobre cómo configurar firewalls para su uso AD
DS, consulte Active Directory en Redes segmentadas por firewalls .

Escenario 7: Uso de un bosque de recursos y

reconfiguración del firewall para el aislamiento
del servicio con conectividad limitada
Si la conectividad limitada es un problema y tiene un requisito de aislamiento de
servicio, puede realizar una de las siguientes acciones:

Usar un bosque organizativo. Coloque los usuarios, grupos y equipos del grupo
que requiere aislamiento de servicio en un bosque organizativo independiente.
Asigne un individuo de ese grupo para que sea el propietario del bosque. El
bosque organizativo proporciona un entorno independiente en el otro lado del
firewall. El bosque incluye cuentas de usuario y recursos que se administran dentro
del bosque, por lo que los usuarios no necesitan pasar por el firewall para realizar
sus tareas diarias. Es posible que determinados usuarios o aplicaciones tengan
necesidades especiales que requieran la capacidad de pasar a través del firewall
para ponerse en contacto con otros bosques. Puede abordar estas necesidades
individualmente abriendo las interfaces adecuadas en el firewall, incluidas las
necesarias para que las confianzas funcionen.

Use un bosque de recursos. Coloque los recursos y las cuentas de servicio en un

bosque de recursos independiente, manteniendo las cuentas de usuario en un
bosque organizativo existente. Es posible que sea necesario crear algunas cuentas
de usuario alternativas en el bosque de recursos para mantener el acceso al
bosque de recursos si el bosque organizativo deja de estar disponible. Las cuentas
alternativas deben tener la autoridad necesaria para iniciar sesión en el bosque de
 recursos y mantener el control de los recursos hasta que el bosque organizativo
vuelva a estar en línea.

Establezca una confianza entre el recurso y los bosques de la organización, para

que los usuarios puedan acceder a los recursos del bosque mientras usan sus
cuentas de usuario normales. Esta configuración permite la administración
centralizada de cuentas de usuario, al tiempo que permite a los usuarios volver a
cuentas alternativas en el bosque de recursos si el bosque organizativo deja de
estar disponible.

Entre las consideraciones para el aislamiento del servicio se incluyen las siguientes:

Los bosques creados para el aislamiento de servicios pueden confiar en dominios

de otros bosques, pero no deben incluir usuarios de otros bosques en sus grupos
de administradores de servicios. Si los usuarios de otros bosques se incluyen en
grupos administrativos en el bosque aislado, la seguridad del bosque aislado
puede verse comprometida porque los administradores de servicios del bosque no
tienen control exclusivo.

Siempre que los controladores de dominio sean accesibles en una red, están
sujetos a ataques (como ataques por denegación de servicio) desde equipos de
esa red. Puede hacer lo siguiente para protegerse frente a la posibilidad de un
ataque:

Los controladores de dominio de host solo se encuentran en redes que se

consideran seguras.

Limite el acceso a la red o a las redes que hospedan los controladores de

dominio.

El aislamiento del servicio requiere la creación de un bosque adicional. Evalúe si el

costo de mantener la infraestructura para admitir el bosque adicional supera los
costos asociados a la pérdida de acceso a los recursos debido a que un bosque
organizativo no está disponible.

Es posible que determinados usuarios o aplicaciones tengan necesidades

especiales que requieran la capacidad de pasar a través del firewall para ponerse
en contacto con otros bosques. Puede abordar estas necesidades individualmente
abriendo las interfaces adecuadas en el firewall, incluidas las necesarias para que
las confianzas funcionen.

Para obtener más información sobre cómo configurar firewalls para su uso AD DS,
consulte Active Directory en Redes segmentadas por firewalls .
Uso del modelo de bosque de dominio
organizativo
Artículo • 29/09/2022 • Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En el modelo de bosque de dominio organizativo, varios grupos autónomos poseen

cada uno un dominio dentro de un bosque. Cada grupo controla la administración de
servicios de nivel de dominio, lo que les permite administrar determinados aspectos de
la administración de servicios de forma autónoma, mientras que el propietario del
bosque controla la administración del servicio de nivel de bosque.

En la ilustración siguiente se muestra un modelo de bosque de dominio organizativo.

Autonomía del servicio de nivel de dominio

El modelo de bosque de dominio organizativo permite la delegación de autoridad para
la administración de servicios de nivel de dominio. En la tabla siguiente se enumeran los
tipos de administración de servicios que se pueden controlar en el nivel de dominio.
 Tipo de Tareas asociadas
administración de
servicios

Administración de - Creación y eliminación de controladores de dominio

operaciones de - Supervisión del funcionamiento de los controladores de dominio

controlador de - Administración de servicios que se ejecutan en controladores de

dominio dominio

- Copia de seguridad y restauración del directorio

Configuración de las - Creación de directivas de cuenta de usuario de dominio y dominio,

opciones de todo el como directivas de bloqueo de cuentas, Kerberos y contraseña

dominio - Creación y aplicación de directiva de grupo en todo el dominio

Delegación de la - Creación de unidades organizativas (UNIDADES organizativas) y

administración de nivel delegación de administración

de datos - Reparación de problemas en la estructura de la unidad organizativa

que los propietarios de unidades organizativas no tienen derechos de
acceso suficientes para corregir

Administración de - Establecimiento de relaciones de confianza con dominios fuera del

confianzas externas bosque

Otros tipos de administración de servicios, como la administración de topologías de

esquema o replicación, son responsabilidad del propietario del bosque.

Propietario del dominio

En un modelo de bosque de dominio organizativo, los propietarios de dominio son
responsables de las tareas de administración de servicios de nivel de dominio. Los
propietarios de dominio tienen autoridad sobre todo el dominio, así como el acceso a
todos los demás dominios del bosque. Por este motivo, los propietarios de dominio
deben ser personas de confianza seleccionadas por el propietario del bosque.

Delegue la administración del servicio de nivel de dominio a un propietario de dominio,

si se cumplen las condiciones siguientes:

Todos los grupos que participan en el bosque confían en el nuevo propietario del
dominio y las prácticas de administración de servicios del nuevo dominio.

El nuevo propietario del dominio confía en el propietario del bosque y en todos

los demás propietarios de dominio.

Todos los propietarios de dominio del bosque acuerdan que el nuevo propietario
del dominio tiene directivas y prácticas de selección y administración del
administrador de servicios que son iguales o más estrictas que las suyas propias.
 Todos los propietarios de dominio del bosque aceptan que los controladores de
dominio administrados por el nuevo propietario de dominio en el nuevo dominio
estén físicamente seguros.

Tenga en cuenta que si un propietario del bosque delega la administración de servicios

de nivel de dominio a un propietario de dominio, es posible que otros grupos decidan
no unirse a ese bosque si no confían en ese propietario del dominio.

Todos los propietarios de dominio deben tener en cuenta que, si alguna de estas
condiciones cambia en el futuro, podría ser necesario mover los dominios de la
organización a una implementación de varios bosques.

７ Nota

Otra manera de minimizar los riesgos de seguridad en un dominio de Active

Directory de Windows Server 2008 consiste en emplear la separación de roles de
administrador, lo que requiere la implementación de un controlador de dominio de
solo lectura (RODC) en la infraestructura de Active Directory. Un RODC es un nuevo
tipo de controlador de dominio en el sistema operativo Windows Server 2008 que
hospeda particiones de solo lectura de la base de datos de Active Directory. Antes
de la publicación de Windows Server 2008, cualquier trabajo de mantenimiento del
servidor en un controlador de dominio debía ser realizado por un administrador de
dominio. En Windows Server 2008, puede delegar permisos administrativos locales
para un RODC a cualquier usuario de dominio sin concederle ningún derecho
administrativo para el dominio u otros controladores de dominio. Esto permite al
usuario delegado iniciar sesión en un RODC y realizar trabajos de mantenimiento,
como actualizar un controlador, en el servidor. Sin embargo, este usuario delegado
no puede iniciar sesión en ningún otro controlador de dominio ni realizar ninguna
otra tarea administrativa en el dominio. De este modo, cualquier usuario de
confianza puede delegar la capacidad de administrar eficazmente el RODC sin
poner en peligro la seguridad del resto del dominio. Para obtener más información
sobre los RODC, vea AD DS: Read-Only controladores de dominio.
Crear un diseño de dominios
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

El propietario del bosque es responsable de crear un diseño de dominio para el bosque.

La creación de un diseño de dominio implica examinar los requisitos de replicación y la
capacidad existente de la infraestructura de red y, a continuación, crear una estructura
de dominio que permita que Active Directory Domain Services (AD DS) funcione de la
manera más eficaz. Los dominios se usan para crear particiones del directorio de modo
que la información del directorio se pueda distribuir y administrar de forma eficaz en
toda la empresa. El objetivo del diseño de dominio es maximizar la eficacia de la
topología de replicación de Active Directory al tiempo que se garantiza que la
replicación no usa demasiado ancho de banda de red disponible y no interfiere con el
funcionamiento diario de la red.

En esta sección
Revisión de los modelos de dominio

Determinar el número de dominios necesarios

Determinar si se deben actualizar los dominios existentes o implementar nuevos

dominios

Asignar nombres de dominio

Seleccionar el dominio raíz del bosque

Revisión de los modelos de dominio
Artículo • 29/09/2022 • Tiempo de lectura: 4 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Los siguientes factores afectan al modelo de diseño de dominio que seleccione:

Cantidad de capacidad disponible en la red que está dispuesto a asignar a Active

Directory Domain Services (AD DS). El objetivo es seleccionar un modelo que
proporciona una replicación eficaz de la información con un impacto mínimo en el
ancho de banda de red disponible.

Número de usuarios de la organización. Si su organización incluye un gran número

de usuarios, la implementación de más de un dominio le permite particionar los
datos y le proporciona más control sobre la cantidad de tráfico de replicación que
pasará a través de una conexión de red determinada. Esto permite controlar dónde
se replican los datos y reducir la carga creada por el tráfico de replicación en
vínculos lentos de la red.

El diseño de dominio más sencillo es un dominio único. En un diseño de dominio único,

toda la información se replica en todos los controladores de dominio. Sin embargo, si es
necesario, puede implementar dominios regionales adicionales. Esto puede ocurrir si
partes de la infraestructura de red están conectadas mediante vínculos lentos y el
propietario del bosque desea asegurarse de que el tráfico de replicación no supere la
capacidad asignada a AD DS.

Es mejor minimizar el número de dominios que se implementan en el bosque. Esto

reduce la complejidad general de la implementación y, como resultado, reduce el costo
total de propiedad. En la tabla siguiente se enumeran los costos administrativos
asociados con la adición de dominios regionales.

Coste Implicaciones

Administración de varios Cada dominio tiene sus propios grupos de administradores de

grupos de administradores servicios que deben administrarse de forma independiente. La
de servicios pertenencia de estos grupos de administradores de servicios
debe controlarse cuidadosamente.

Mantener la coherencia entre directiva de grupo configuración que se debe aplicar en todo el
directiva de grupo que son bosque debe aplicarse por separado a cada dominio individual
comunes a varios dominios del bosque.
 Coste Implicaciones

Mantener la coherencia entre La configuración de control de acceso y auditoría que se debe

la configuración de control aplicar en el bosque debe aplicarse por separado a cada dominio
de acceso y auditoría común individual del bosque.
a varios dominios

Mayor probabilidad de que Mayor es el número de dominios, mayor es la probabilidad de

los objetos se muevan entre que los usuarios necesiten pasar de un dominio a otro. Este
dominios movimiento puede afectar potencialmente a los usuarios finales.

７ Nota

Windows directivas de bloqueo de cuentas y contraseñas específicas del servidor

también pueden afectar al modelo de diseño de dominio que seleccione. Antes de
esta versión de Windows Server 2008, solo podía aplicar una directiva de bloqueo
de cuenta y contraseña, que se especifica en la directiva de dominio
predeterminada del dominio, a todos los usuarios del dominio. Como resultado, si
quisiera una configuración de bloqueo de cuenta y contraseña diferente para
distintos conjuntos de usuarios, tenía que crear un filtro de contraseña o
implementar varios dominios. Ahora puede usar directivas de contraseñas
específicas para especificar varias directivas de contraseña y aplicar diferentes
restricciones de contraseñas y directivas de bloqueo de cuentas a diferentes
conjuntos de usuarios dentro de un solo dominio. Para más información sobre las
directivas de bloqueo de cuentas y contraseñas específicas, consulte el artículo AD
DS Fine-Grained Guía paso a paso de la directiva de bloqueo de cuentas y
contraseñas.

Modelo de dominio único

Un modelo de dominio único es el más fácil de administrar y el menos costoso de
mantener. Consta de un bosque que contiene un único dominio. Este dominio es el
dominio raíz del bosque y contiene todas las cuentas de usuario y grupo del bosque.

Un modelo de bosque de dominio único reduce la complejidad administrativa al

proporcionar las siguientes ventajas:

Cualquier controlador de dominio puede autenticar a cualquier usuario del

bosque.

Todos los controladores de dominio pueden ser catálogos globales, por lo que no
es necesario planear la selección de ubicación del servidor de catálogo global.
En un único bosque de dominio, todos los datos de directorio se replican en todas las
ubicaciones geográficas que hospedan controladores de dominio. Aunque este modelo
es el más fácil de administrar, también crea el mayor tráfico de replicación de los dos
modelos de dominio. La creación de particiones del directorio en varios dominios limita
la replicación de objetos en regiones geográficas específicas, pero genera una mayor
sobrecarga administrativa.

Modelo de dominio regional

Todos los datos de objeto dentro de un dominio se replican en todos los controladores
de dominio de ese dominio. Por este motivo, si el bosque incluye un gran número de
usuarios que se distribuyen entre diferentes ubicaciones geográficas conectadas por
una red de área extensa (WAN), es posible que tenga que implementar dominios
regionales para reducir el tráfico de replicación a través de los vínculos WAN. Los
dominios regionales basados geográficamente se pueden organizar según la
conectividad WAN de red.

El modelo de dominio regional le permite mantener un entorno estable con el tiempo.

Base las regiones que se usan para definir dominios en el modelo en elementos
estables, como límites continentales. Los dominios basados en otros factores, como los
grupos de la organización, pueden cambiar con frecuencia y es posible que necesite
reestructurar el entorno.

El modelo de dominio regional consta de un dominio raíz de bosque y uno o varios

dominios regionales. La creación de un diseño de modelo de dominio regional implica
identificar qué dominio es el dominio raíz del bosque y determinar el número de
dominios adicionales necesarios para satisfacer los requisitos de replicación. Si su
organización incluye grupos que requieren aislamiento de datos o aislamiento de
servicio de otros grupos de la organización, cree un bosque independiente para estos
grupos. Los dominios no proporcionan aislamiento de datos ni aislamiento de servicio.
Determinar el número de dominios
necesarios
Artículo • 29/09/2022 • Tiempo de lectura: 10 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Cada bosque comienza con un solo dominio. El número máximo de usuarios que puede
contener un único bosque de dominio se basa en el vínculo más lento que debe dar
cabida a la replicación entre controladores de dominio y el ancho de banda disponible
que desea asignar a Active Directory Domain Services (AD DS). En la tabla siguiente se
muestra el número máximo recomendado de usuarios que un dominio puede contener
en función de un único bosque de dominio, la velocidad del vínculo más lento y el
porcentaje de ancho de banda que desea reservar para la replicación. Esta información
se aplica a los bosques que contienen un máximo de 100 000 usuarios y que tienen una
conectividad de 28,8 kilobits por segundo (Kbps) o superior. Para obtener
recomendaciones que se aplican a bosques que contienen más de 100 000 usuarios o
conectividad de menos de 28,8 Kbps, consulte a un diseñador de Active Directory
experiencia. Los valores de la tabla siguiente se basan en el tráfico de replicación
generado en un entorno que tiene las siguientes características:

Los nuevos usuarios se unen al bosque a una velocidad del 20 % al año.

Los usuarios abandonan el bosque a una velocidad del 15 % al año.
Cada usuario es miembro de cinco grupos globales y cinco grupos universales.
La proporción entre usuarios y equipos es 1:1.
Active Directory sistema de nombres de dominio (DNS) integrado.
Se usa la búsqueda de DNS.

７ Nota

Las cifras enumeradas en la tabla siguiente son aproximaciones. La cantidad de

tráfico de replicación depende en gran medida del número de cambios realizados
en el directorio en un período de tiempo determinado. Confirme que la red puede
acomodar el tráfico de replicación mediante la prueba de la cantidad estimada y la
tasa de cambios en el diseño en un laboratorio antes de implementar los dominios.
 Vínculo más lento Número máximo de Número máximo de Número máximo de
que conecta un usuarios si hay usuarios si hay usuarios si hay
controlador de disponible un 1 % de disponible un ancho disponible un ancho
dominio (Kbps) ancho de banda de banda del 5 %. de banda del 10 %.

28,8 10 000 25 000 40.000

32 10 000 25 000 50.000

56 10 000 50.000 100 000

64 10 000 50.000 100 000

128 25 000 100 000 100 000

256 50.000 100 000 100 000

512 80 000 100 000 100 000

1500 100 000 100 000 100 000

Para usar esta tabla:

1. En la columna Vínculo más lento que conecta un controlador de dominio, busque

el valor que coincida con la velocidad del vínculo más lento a través del cual AD DS
replicará en el dominio.

2. En la fila que corresponde a la velocidad de vínculo más lenta, busque la columna

que representa el porcentaje de ancho de banda que desea asignar a AD DS. El
valor de esa ubicación es el número máximo de usuarios que puede contener el
dominio de un solo bosque de dominio.

Si determina que el número total de usuarios del bosque es menor que el número
máximo de usuarios que puede contener el dominio, puede usar un solo dominio.
Asegúrese de adaptarse al crecimiento futuro planeado cuando realice esta
determinación. Si determina que el número total de usuarios del bosque es mayor que
el número máximo de usuarios que puede contener el dominio, debe reservar un
porcentaje mayor de ancho de banda para la replicación, aumentar la velocidad del
vínculo o dividir la organización en dominios regionales.

Dividir la organización en dominios regionales

Si no puede dar cabida a todos los usuarios en un solo dominio, debe seleccionar el
modelo de dominio regional. Divida su organización en regiones de una manera que
tenga sentido para su organización y la red existente. Por ejemplo, puede crear regiones
basadas en límites continentales.
Tenga en cuenta que, dado que necesita crear un dominio Active Directory para cada
región que establezca, se recomienda minimizar el número de regiones que defina para
AD DS. Aunque es posible incluir un número ilimitado de dominios en un bosque, para
la manejabilidad se recomienda que un bosque no incluya más de 10 dominios. Debe
establecer el equilibrio adecuado entre optimizar el ancho de banda de replicación y
minimizar la complejidad administrativa al dividir la organización en dominios
regionales.

En primer lugar, determine el número máximo de usuarios que puede hospedar el

bosque. Base esta opción en el vínculo más lento del bosque en el que se replicarán los
controladores de dominio y la cantidad media de ancho de banda que desea asignar a
Active Directory replicación. En la tabla siguiente se muestra el número máximo
recomendado de usuarios que puede contener un bosque. Esto se basa en la velocidad
del vínculo más lento y el porcentaje de ancho de banda que desea reservar para la
replicación. Esta información se aplica a los bosques que contienen un máximo de 100
000 usuarios y que tienen una conectividad de 28,8 Kbps o superior. Los valores de la
tabla siguiente se basan en las suposiciones siguientes:

Todos los controladores de dominio son servidores de catálogo global.

Los nuevos usuarios se unen al bosque a una velocidad del 20 % al año.
Los usuarios abandonan el bosque a una velocidad del 15 % al año.
Los usuarios son miembros de cinco grupos globales y cinco grupos universales.
La proporción entre usuarios y equipos es 1:1.
Active Directory dns integrado.
Se usa la búsqueda de DNS.

７ Nota

Las cifras enumeradas en la tabla siguiente son aproximaciones. La cantidad de

tráfico de replicación depende en gran medida del número de cambios realizados
en el directorio en un período de tiempo determinado. Confirme que la red puede
acomodar el tráfico de replicación mediante la prueba de la cantidad estimada y la
tasa de cambios en el diseño en un laboratorio antes de implementar los dominios.

Vínculo más lento Número máximo de Número máximo de Número máximo de

que conecta un usuarios si hay usuarios si hay usuarios si hay
controlador de disponible un 1 % de disponible un ancho disponible un ancho
dominio (Kbps) ancho de banda de banda del 5 %. de banda del 10 %.

28,8 10 000 50.000 75 000

32 10 000 50.000 75 000

 Vínculo más lento Número máximo de Número máximo de Número máximo de
que conecta un usuarios si hay usuarios si hay usuarios si hay
controlador de disponible un 1 % de disponible un ancho disponible un ancho
dominio (Kbps) ancho de banda de banda del 5 %. de banda del 10 %.

56 10 000 75 000 100 000

64 25 000 75 000 100 000

128 50.000 100 000 100 000

256 75 000 100 000 100 000

512 100 000 100 000 100 000

1500 100 000 100 000 100 000

Para usar esta tabla:

1. En la columna Vínculo más lento que conecta un controlador de dominio, busque

el valor que coincida con la velocidad del vínculo más lento a través del cual AD DS
replicará en el bosque.

2. En la fila que corresponde a la velocidad de vínculo más lenta, busque la columna

que representa el porcentaje de ancho de banda que desea asignar a AD DS. El
valor de esa ubicación es el número máximo de usuarios que el bosque puede
hospedar.

Si el número máximo de usuarios que el bosque puede hospedar es mayor que el

número de usuarios que necesita hospedar, un único bosque funcionará para su diseño.
Si necesita hospedar más usuarios que el número máximo que identificó, debe
aumentar la velocidad mínima del vínculo, asignar un mayor porcentaje de ancho de
banda para AD DS o implementar bosques adicionales.

Si determina que un único bosque alojará el número de usuarios que necesita hospedar,
el siguiente paso es determinar el número máximo de usuarios que cada región puede
admitir en función del vínculo más lento ubicado en esa región. Divida el bosque en
regiones que tenga sentido para usted. Asegúrese de basar su decisión en algo que no
es probable que cambie. Por ejemplo, use continentes en lugar de regiones de ventas.
Estas regiones serán la base de la estructura de dominio cuando haya identificado el
número máximo de usuarios.

Determine el número de usuarios que deben hospedarse en cada región y, a

continuación, compruebe que no superan el máximo permitido en función de la
velocidad de vínculo más lenta y el ancho de banda asignado a AD DS en esa región. En
la tabla siguiente se muestra el número máximo recomendado de usuarios que puede
contener un dominio regional. Se basa en la velocidad del vínculo más lento y el
porcentaje de ancho de banda que desea reservar para la replicación. Esta información
se aplica a los bosques que contienen un máximo de 100 000 usuarios y que tienen una
conectividad de 28,8 Kbps o superior. Los valores de la tabla siguiente se basan en las
suposiciones siguientes:

Todos los controladores de dominio son servidores de catálogo global.

Los nuevos usuarios se unen al bosque a una velocidad del 20 % al año.
Los usuarios abandonan el bosque a una velocidad del 15 % al año.
Los usuarios son miembros de cinco grupos globales y cinco grupos universales.
La proporción entre usuarios y equipos es 1:1.
Active Directory dns integrado.
Se usa la búsqueda de DNS.

７ Nota

Las cifras enumeradas en la tabla siguiente son aproximaciones. La cantidad de

tráfico de replicación depende en gran medida del número de cambios realizados
en el directorio en un período de tiempo determinado. Confirme que la red puede
acomodar el tráfico de replicación mediante la prueba de la cantidad estimada y la
tasa de cambios en el diseño en un laboratorio antes de implementar los dominios.

Vínculo más lento Número máximo de Número máximo de Número máximo de

que conecta un usuarios si hay usuarios si hay usuarios si hay
controlador de disponible un 1 % de disponible un ancho disponible un ancho
dominio (Kbps) ancho de banda de banda del 5 %. de banda del 10 %.

28,8 10 000 18 000 40.000

32 10 000 20.000 50.000

56 10 000 40.000 100 000

64 10 000 50.000 100 000

128 15,000 100 000 100 000

256 30,000 100 000 100 000

512 80 000 100 000 100 000

1500 100 000 100 000 100 000

Para usar esta tabla:

 1. En la columna Vínculo más lento que conecta un controlador de dominio, busque
el valor que coincida con la velocidad del vínculo más lento en el que AD DS
replicará en su región.

2. En la fila que corresponde a la velocidad de vínculo más lenta, busque la columna

que representa el porcentaje de ancho de banda que desea asignar a AD DS. Ese
valor representa el número máximo de usuarios que la región puede hospedar.

Evalúe cada región propuesta y determine si el número máximo de usuarios de cada

región es menor que el número máximo recomendado de usuarios que puede contener
un dominio. Si determina que la región puede hospedar el número de usuarios que
necesita, puede crear un dominio para esa región. Si determina que no puede hospedar
tantos usuarios, considere la posibilidad de dividir el diseño en regiones más pequeñas
y volver a calcular el número máximo de usuarios que se pueden hospedar en cada
región. Las otras alternativas son asignar más ancho de banda o aumentar la velocidad
del vínculo.

Aunque el número total de usuarios que puede colocar en un dominio en un bosque de

varios dominios es menor que el número de usuarios del dominio en un único bosque
de dominio, el número total de usuarios del bosque de varios dominios puede ser
mayor. El menor número de usuarios por dominio en un bosque de varios dominios se
adapta a la sobrecarga de replicación adicional creada al mantener el catálogo global en
ese entorno. Para obtener recomendaciones que se aplican a bosques que contienen
más de 100 000 usuarios o conectividad de menos de 28,8 Kbps, consulte a un
diseñador de Active Directory experiencia.

Documentación de las regiones identificadas

Después de dividir la organización en dominios regionales, documente las regiones que
desea representar y el número de usuarios que existirán en cada región. Además, tenga
en cuenta la velocidad de los vínculos más lentos de cada región que usará para Active
Directory replicación. Esta información se usa para determinar si se requieren dominios
o bosques adicionales.

Para que una hoja de cálculo le ayude a documentar las regiones que ha identificado,
descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip del
Kit de implementación de Job Aids for Windows Server 2003 y abra "Identifying
Regions" (Identificar regiones) (DSSLOGI_4.doc).
Determinar si se deben actualizar los
dominios existentes o implementar
nuevos dominios
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Cada dominio del diseño será un dominio nuevo o un dominio actualizado existente.
Los usuarios de dominios existentes que no actualice deben moverse a dominios
nuevos.

Mover cuentas entre dominios puede afectar a los usuarios finales. Antes de decidir si
trasladar usuarios a un nuevo dominio o actualizar dominios existentes, evalúe las
ventajas administrativas a largo plazo de un nuevo dominio AD DS frente al costo de
mover usuarios al dominio.

Para obtener más información sobre cómo actualizar dominios de Active Directory a
Windows Server 2008, vea Actualización de dominios de Active Directory a Windows
Server 2008 y Windows Server 2008 R2 AD DS Domains.

Para obtener más información sobre la AD DS dentro y entre bosques, vea Guía de
ADMT: Migración y Active Directory dominios.

Para que una hoja de cálculo le ayude a documentar los planes de los dominios nuevos
y actualizados, descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip desde Ayuda
para trabajos para el Kit de implementación de Windows Server 2003 y abra
"Planeamiento de dominios" (DSSLOGI_5.doc).
Asignar nombres de dominio
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Debe asignar un nombre a cada dominio del plan. Active Directory Domain Services (AD
DS) tienen dos tipos de nombres: nombres del sistema de nombres de dominio (DNS) y
nombres NetBIOS. En general, ambos nombres son visibles para los usuarios finales. Los
nombres DNS de Active Directory incluyen dos partes, un prefijo y un sufijo. Al crear
nombres de dominio, determine primero el prefijo DNS. Esta es la primera etiqueta en el
nombre DNS del dominio. El sufijo se determina al seleccionar el nombre del dominio
raíz del bosque. En la tabla siguiente se enumeran las reglas de nomenclatura de prefijo
para los nombres DNS.

Regla Explicación

Seleccione un prefijo que no Evite nombres como una línea de producto o un sistema
sea probable que esté operativo que puedan cambiar en el futuro. Se recomienda usar
obsoleto. nombres geográficos.

Seleccione un prefijo que A-Z, a-z, 0-9 y (-), pero no completamente numérico.
incluya solo caracteres
estándar de Internet.

Incluya 15 caracteres o menos Si elige una longitud de prefijo de 15 caracteres o menos, el

en el prefijo. nombre NetBIOS es el mismo que el prefijo.

Para obtener más información, vea Convenciones de nomenclatura en Active Directory

para equipos, dominios, sitios y adicionales .

７ Nota

Aunque Dcpromo.exe en Windows Server 2008 y Windows Server 2003 le permite

crear un nombre de dominio DNS de etiqueta única, no debe usar un nombre DNS
de etiqueta única para un dominio por varias razones. En Windows Server 2008 R2,
Dcpromo.exe no permite crear un nombre DNS de etiqueta única para un dominio.
Para obtener más información, consulte Implementación y operación de Active
Directory que se configuran mediante nombres DNS de etiqueta única .

Si el nombre NetBIOS actual del dominio no es adecuado para representar la región o

no cumple las reglas de nomenclatura de prefijo, seleccione un nuevo prefijo. En este
caso, el nombre NetBIOS del dominio es diferente del prefijo DNS del dominio.

Para cada nuevo dominio que implemente, seleccione un prefijo que sea adecuado para
la región y que cumpla las reglas de nomenclatura de prefijos. Se recomienda que el
nombre NetBIOS del dominio sea el mismo que el prefijo DNS.

Documente el prefijo DNS y los nombres NetBIOS que seleccione para cada dominio del
bosque. Puede agregar la información de nombres DNS y NetBIOS a la hoja de cálculo
"Domain Planning" que creó para documentar el plan de dominios nuevos y
actualizados. Para abrirlo, descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip ayuda de
trabajo para el Kit de implementación de Windows Server 2003 y abra "Domain
Planning" (planeamiento de dominios) (DSSLOGI_5.doc).
Seleccionar el dominio raíz del bosque
Artículo • 29/09/2022 • Tiempo de lectura: 7 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

El primer dominio que se implementa en un Active Directory se denomina dominio raíz

del bosque. Este dominio sigue siendo el dominio raíz del bosque durante el ciclo de
vida de la AD DS implementación.

El dominio raíz del bosque contiene los Enterprise administradores y administradores de

esquema. Estos grupos de administradores de servicios se usan para administrar
operaciones de nivel de bosque, como la adición y eliminación de dominios y la
implementación de cambios en el esquema.

La selección del dominio raíz del bosque implica determinar si uno de los dominios
Active Directory del diseño de dominio puede funcionar como dominio raíz del bosque
o si necesita implementar un dominio raíz de bosque dedicado.

Para obtener información sobre cómo implementar un dominio raíz de bosque, vea
Implementación de un dominio raíz de bosque Windows Server 2008.

Elección de un dominio raíz de bosque regional

o dedicado
Si va a aplicar un modelo de dominio único, el dominio único funciona como dominio
raíz del bosque. Si va a aplicar un modelo de varios dominios, puede elegir implementar
un dominio raíz de bosque dedicado o seleccionar un dominio regional para que
funcione como dominio raíz del bosque.

Dominio raíz de bosque dedicado

Un dominio raíz de bosque dedicado es un dominio que se crea específicamente para
funcionar como raíz del bosque. No contiene ninguna cuenta de usuario que no sea las
cuentas de administrador de servicios para el dominio raíz del bosque. Además, no
representa ninguna región geográfica en la estructura de dominio. Todos los demás
dominios del bosque son elementos secundarios del dominio raíz del bosque dedicado.

El uso de una raíz de bosque dedicada proporciona las siguientes ventajas:

 Separación operativa de los administradores de servicios de bosque de los
administradores de servicios de dominio. En un único entorno de dominio, los
miembros de los grupos Administradores de dominio y Administradores
integrados pueden usar herramientas y procedimientos estándar para hacerse
miembros de los grupos administradores de Enterprise y administradores de
esquema. En un bosque que usa un dominio raíz de bosque dedicado, los
miembros de los grupos Administradores de dominio y Administradores
integrados de los dominios regionales no pueden hacerse miembros de los grupos
de administradores de servicios de nivel de bosque mediante herramientas y
procedimientos estándar.
Protección frente a cambios operativos en otros dominios. Un dominio raíz de
bosque dedicado no representa una región geográfica determinada en la
estructura del dominio. Por esta razón, no se ve afectado por reorganizaciones u
otros cambios que tienen como resultado el cambio de nombre o la
reestructuración de dominios.
Actúa como una raíz neutra para que ningún país o región parezca estar
subordinado a otra región. Es posible que algunas organizaciones prefieran evitar
la apariencia de que un país o región está subordinado a otro país o región del
espacio de nombres. Cuando se usa un dominio raíz de bosque dedicado, todos
los dominios regionales pueden ser del mismo nivel en la jerarquía de dominios.

En un entorno de varios dominios regionales en el que se usa una raíz de bosque

dedicada, la replicación del dominio raíz del bosque tiene un impacto mínimo en la
infraestructura de red. Esto se debe a que la raíz del bosque solo hospeda las cuentas
de administrador del servicio. La mayoría de las cuentas de usuario del bosque y otros
datos específicos del dominio se almacenan en los dominios regionales.

Una desventaja del uso de un dominio raíz de bosque dedicado es que crea una
sobrecarga de administración adicional para admitir el dominio adicional.

Dominio regional como dominio raíz de bosque

Si decide no implementar un dominio raíz de bosque dedicado, debe seleccionar un
dominio regional para que funcione como dominio raíz del bosque. Este dominio es el
dominio primario de todos los demás dominios regionales y será el primer dominio que
implemente. El dominio raíz del bosque contiene cuentas de usuario y se administra de
la misma manera que los demás dominios regionales. La principal diferencia es que
también incluye los grupos Enterprise administradores y administradores de esquema.

La ventaja de seleccionar un dominio regional para que funcione como dominio raíz del
bosque es que no crea la sobrecarga de administración adicional que se crea al
mantener un dominio adicional. Seleccione un dominio regional adecuado para que sea
la raíz del bosque, como el dominio que representa la oficina central o la región que
tiene las conexiones de red más rápidas. Si es difícil para su organización seleccionar un
dominio regional para que sea el dominio raíz del bosque, puede optar por usar un
modelo raíz de bosque dedicado en su lugar.

Asignación del nombre de dominio raíz del

bosque
El nombre de dominio raíz del bosque también es el nombre del bosque. El nombre raíz
del bosque es un nombre del sistema de nombres de dominio (DNS) que consta de un
prefijo y un sufijo en forma de prefix.suffix. Por ejemplo, una organización podría tener
el nombre raíz del bosque corp.contoso.com. En este ejemplo, corp es el prefijo y
contoso.com es el sufijo.

Seleccione el sufijo de una lista de nombres existentes en la red. Para el prefijo,

seleccione un nuevo nombre que no se haya usado anteriormente en la red. Al adjuntar
un nuevo prefijo a un sufijo existente, se crea un espacio de nombres único. La creación
de un nuevo espacio de nombres para Active Directory Domain Services (AD DS)
garantiza que no es necesario modificar ninguna infraestructura DNS existente para dar
cabida a AD DS.

Selección de un sufijo
Para seleccionar un sufijo para el dominio raíz del bosque:

1. Póngase en contacto con el propietario de DNS de la organización para obtener

una lista de sufijos DNS registrados que se usan en la red que hospedará AD DS.
Tenga en cuenta que los sufijos usados en la red interna pueden ser diferentes de
los que se usan externamente. Por ejemplo, una organización podría usar
contosopharma.com en Internet y contoso.com en la red corporativa interna.

2. Consulte al propietario de DNS para seleccionar un sufijo para usarlo con AD DS. Si
no existe ningún sufijo adecuado, registre un nuevo nombre con una entidad de
nomenclatura de Internet.

Se recomienda usar nombres DNS registrados con una entidad de Internet en el espacio
de nombres Active Directory de nombres. Solo se garantiza que los nombres registrados
sean únicos globalmente. Si más adelante otra organización registra el mismo nombre
de dominio DNS (o si su organización se combina con, adquiere o adquiere otra
empresa que usa el mismo nombre DNS), las dos infraestructuras no pueden interactuar
entre sí.
 Ｕ Precaución

No use nombres DNS de etiqueta única. Para obtener más información, consulte
Implementación y operación de Active Directory que se configuran mediante
nombres DNS de etiqueta única . Además, no se recomienda usar sufijos no
registrados, como .local.

Selección de un prefijo
Si eligió un sufijo registrado que ya está en uso en la red, seleccione un prefijo para el
nombre de dominio raíz del bosque mediante las reglas de prefijo de la tabla siguiente.
Agregue un prefijo que no esté actualmente en uso para crear un nuevo nombre
subordinado. Por ejemplo, si el nombre raíz DNS es contoso.com, puede crear el
nombre de dominio raíz del bosque de Active Directory concorp.contoso.com si el
espacio de nombres concorp.contoso.com aún no está en uso en la red. Esta nueva
rama del espacio de nombres se dedicará a AD DS y se puede integrar fácilmente con la
implementación de DNS existente.

Si seleccionó un dominio regional para que funcione como dominio raíz de bosque, es
posible que tenga que seleccionar un nuevo prefijo para el dominio. Dado que el
nombre de dominio raíz del bosque afecta a todos los demás nombres de dominio del
bosque, es posible que un nombre basado en regional no sea adecuado. Si usa un sufijo
nuevo que no está actualmente en uso en la red, puede usarlo como nombre de
dominio raíz del bosque sin elegir un prefijo adicional.

En la tabla siguiente se enumeran las reglas para seleccionar un prefijo para un nombre
DNS registrado.

Regla Explicación

Seleccione un prefijo que no Evite nombres como una línea de producto o un sistema operativo
sea probable que esté que puedan cambiar en el futuro. Se recomienda usar nombres
obsoleto. genéricos como corp o ds.

Seleccione un prefijo que A-Z, a-z, 0-9 y (-), pero no completamente numérico.
incluya solo caracteres
estándar de Internet.

Incluya 15 caracteres o Si elige una longitud de prefijo de 15 caracteres o menos, el

menos en el prefijo. nombre NetBIOS es el mismo que el prefijo.

Es importante que el propietario de DNS de Active Directory trabaje con el propietario

dns de la organización para obtener la propiedad del nombre que se usará para el
espacio de nombres Active Directory dns. Para obtener más información sobre cómo
diseñar una infraestructura DNS para admitir AD DS, consulte Creación de un diseño de
infraestructura dns.

Documentación del nombre de dominio raíz

del bosque
Documente el prefijo y sufijo DNS que seleccione para el dominio raíz del bosque. En
este punto, identifique qué dominio será la raíz del bosque. Puede agregar la
información del nombre de dominio raíz del bosque a la hoja de cálculo "Planeamiento
del dominio" que creó para documentar el plan de dominios nuevos y actualizados y los
nombres de dominio. Para abrirlo, descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip ayuda de
trabajo para el Kit de implementación de Windows Server 2003 y abra "Domain
Planning" (planeamiento de dominios) (DSSLOGI_5.doc).
Creación de un diseño de
infraestructura de DNS
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Después de crear el Active Directory y los diseños de dominio, debe diseñar una
infraestructura del Sistema de nombres de dominio (DNS) para admitir la Active
Directory lógica. DNS permite a los usuarios usar nombres descriptivos que son fáciles
de recordar para conectarse a equipos y otros recursos en redes IP. Active Directory
Domain Services (AD DS) en Windows Server 2008 requiere DNS.

El proceso de diseño de DNS para admitir AD DS varía en función de si su organización

ya tiene un servicio de servidor DNS existente o si va a implementar un nuevo servicio
de servidor DNS:

Si ya tiene una infraestructura DNS existente, debe integrar el espacio de nombres

Active Directory en ese entorno. Para obtener más información, consulte
Integración de AD DS en una infraestructura DNS existente.
Si no tiene una infraestructura DNS, debe diseñar e implementar una nueva
infraestructura DNS para admitir AD DS. Para más información, consulte
Implementación del sistema de nombres de dominio (DNS).

Si su organización tiene una infraestructura DNS existente, debe asegurarse de que

comprende cómo interactuará la infraestructura DNS con el espacio de nombres Active
Directory dns. Para que una hoja de cálculo le ayude a documentar el diseño de la
infraestructura DNS existente, descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip desde Ayuda
para trabajos para el Kit de implementación de Windows Server 2003 y abra
"Inventario de DNS" (DSSLOGI_8.doc).

７ Nota

Además de las direcciones IP de la versión 4 (IPv4), Windows Server también

admite direcciones IP de la versión 6 (IPv6). Para obtener una hoja de cálculo que le
ayude a enumerar las direcciones IPv6 mientras documenta el método de
resolución de nombres recursiva de la estructura DNS actual, vea Apéndice A:
Inventario de DNS.
Antes de diseñar la infraestructura DNS para admitir AD DS, puede resultar útil leer
sobre la jerarquía DNS, el proceso de resolución de nombres DNS y cómo DNS admite
AD DS. Para más información sobre la jerarquía DNS y el proceso de resolución de
nombres, consulte la Referencia técnica de DNS. Para obtener más información sobre
cómo DNS admite AD DS, consulte La compatibilidad de DNS con Active Directory
Technical Reference.

En esta sección
Revisar los conceptos de DNS
DNS y AD DS
DNS para el rol de propietario de AD DS
Integrar AD DS en una infraestructura de DNS existente
Revisar los conceptos de DNS
Artículo • 29/09/2022 • Tiempo de lectura: 6 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

El Sistema de nombres de dominio (DNS) es una base de datos distribuida que

representa un espacio de nombres. El espacio de nombres contiene toda la información
necesaria para que cualquier cliente busque cualquier nombre. Cualquier servidor DNS
puede responder a consultas sobre cualquier nombre dentro de su espacio de nombres.
Un servidor DNS responde a las consultas de una de las maneras siguientes:

Si la respuesta está en su memoria caché, responde a la consulta de la memoria

caché.
Si la respuesta está en una zona hospedada por el servidor DNS, responde a la
consulta de su zona. Una zona es una parte del árbol DNS almacenado en un
servidor DNS. Cuando un servidor DNS hospeda una zona, es autoritativo para los
nombres de esa zona (es decir, el servidor DNS puede responder a las consultas de
cualquier nombre de la zona). Por ejemplo, un servidor que hospeda la zona
contoso.com puede responder a las consultas de cualquier nombre de
contoso.com.
Si el servidor no puede responder a la consulta desde su caché o zonas, consulta a
otros servidores para obtener la respuesta.

Es importante comprender las características principales de DNS, como la delegación, la

resolución de nombres recursiva y las zonas DNS integradas en Active Directory, ya que
tienen un impacto directo en el diseño de la estructura lógica de Active Directory.

Para obtener más información sobre DNS y Servicios de dominio de Active Directory
(AD DS), consulte DNS y AD DS.

Delegación
Para que un servidor DNS responda a consultas sobre cualquier nombre, debe tener una
ruta de acceso directa o indirecta a cada zona del espacio de nombres. Estas rutas de
acceso se crean mediante delegación. Una delegación es un registro de una zona
primaria que enumera un servidor de nombres que es autoritativo para la zona en el
siguiente nivel de la jerarquía. Las delegaciones permiten que los servidores de una
zona hagan referencia a los clientes a los servidores de otras zonas. En la ilustración
siguiente se muestra un ejemplo de delegación.
El servidor raíz DNS hospeda la zona raíz representada como un punto ( . ). La zona raíz
contiene una delegación a una zona en el siguiente nivel de la jerarquía, la zona com. La
delegación de la zona raíz indica al servidor raíz DNS que, para buscar la zona com,
debe ponerse en contacto con el servidor Com. Del mismo modo, la delegación de la
zona com indica al servidor Com que, para encontrar la zona de contoso.com, debe
ponerse en contacto con el servidor Contoso.

７ Nota

Una delegación usa dos tipos de registros. El registro de recursos del servidor de
nombres (NS) proporciona el nombre de un servidor autoritativo. Los registros de
recursos host (A) y host (AAAA) proporcionan direcciones IP versión 4 (IPv4) e IP
versión 6 (IPv6) de un servidor autoritativo.

Este sistema de zonas y delegaciones crea un árbol jerárquico que representa el espacio
de nombres DNS. Cada zona representa una capa de la jerarquía y cada delegación
representa una rama del árbol.

Mediante el uso de la jerarquía de zonas y delegaciones, un servidor raíz DNS puede

encontrar cualquier nombre en el espacio de nombres DNS. La zona raíz incluye
delegaciones que conducen directa o indirectamente a todas las demás zonas de la
jerarquía. Cualquier servidor que pueda consultar el servidor raíz DNS puede usar la
información de las delegaciones para buscar cualquier nombre en el espacio de
nombres.
Resolución de nombres recursiva
La resolución de nombres recursiva es el proceso por el que un servidor DNS usa la
jerarquía de zonas y delegaciones para responder a las consultas para las que no es
autoritativa.

En algunas configuraciones, los servidores DNS incluyen sugerencias raíz (es decir, una
lista de nombres y direcciones IP) que les permiten consultar los servidores raíz DNS. En
otras configuraciones, los servidores reenvían todas las consultas que no pueden
responder a otro servidor. Las sugerencias de reenvío y raíz son ambos métodos que los
servidores DNS pueden usar para resolver las consultas para las que no son
autoritativas.

Resolución de nombres mediante sugerencias raíz

Las sugerencias raíz permiten que cualquier servidor DNS busque los servidores raíz dns.
Después de que un servidor DNS busque el servidor raíz DNS, puede resolver cualquier
consulta para ese espacio de nombres. En la ilustración siguiente se describe cómo DNS
resuelve un nombre mediante sugerencias raíz.

En este ejemplo, se producen los siguientes eventos:

1. Un cliente envía una consulta recursiva a un servidor DNS para solicitar la dirección
IP que corresponde al nombre ftp.contoso.com. Una consulta recursiva indica que
 el cliente quiere una respuesta definitiva a su consulta. La respuesta a la consulta
recursiva debe ser una dirección válida o un mensaje que indique que no se
encuentra la dirección.
2. Dado que el servidor DNS no es autoritativo para el nombre y no tiene la
respuesta en su caché, el servidor DNS usa sugerencias raíz para buscar la
dirección IP del servidor raíz DNS.
3. El servidor DNS usa una consulta iterativa para pedir al servidor raíz DNS que
resuelva el nombre ftp.contoso.com. Una consulta iterativa indica que el servidor
aceptará una referencia a otro servidor en lugar de una respuesta definitiva a la
consulta. Dado que el nombre ftp.contoso.com termina con la etiqueta com, el
servidor raíz DNS devuelve una referencia al servidor Com que hospeda la zona
com.
4. El servidor DNS usa una consulta iterativa para pedir al servidor Com que resuelva
el nombre ftp.contoso.com. Dado que el nombre ftp.contoso.com termina con el
nombre contoso.com, el servidor Com devuelve una referencia al servidor Contoso
que hospeda la zona contoso.com.
5. El servidor DNS usa una consulta iterativa para pedir al servidor Contoso que
resuelva el nombre ftp.contoso.com. El servidor de Contoso busca la respuesta en
sus datos de zona y, a continuación, devuelve la respuesta al servidor.
6. A continuación, el servidor devuelve el resultado al cliente.

Resolución de nombres mediante el reenvío

El reenvío permite enrutar la resolución de nombres a través de servidores específicos
en lugar de usar sugerencias raíz. En la ilustración siguiente se describe cómo DNS
resuelve un nombre mediante el reenvío.
En este ejemplo, se producen los siguientes eventos:

1. Un cliente consulta un servidor DNS para el nombre ftp.contoso.com.

2. El servidor DNS reenvía la consulta a otro servidor DNS, conocido como
reenviador.
3. Dado que el reenviador no es autoritativo para el nombre y no tiene la respuesta
en su caché, usa sugerencias raíz para buscar la dirección IP del servidor raíz DNS.
4. El reenviador usa una consulta iterativa para pedir al servidor raíz DNS que
resuelva el nombre ftp.contoso.com. Dado que el nombre ftp.contoso.com termina
con el nombre com, el servidor raíz DNS devuelve una referencia al servidor Com
que hospeda la zona com.
5. El reenviador usa una consulta iterativa para pedir al servidor Com que resuelva el
nombre ftp.contoso.com. Dado que el nombre ftp.contoso.com termina con el
nombre contoso.com, el servidor Com devuelve una referencia al servidor Contoso
que hospeda la zona contoso.com.
6. El reenviador usa una consulta iterativa para pedir al servidor contoso que resuelva
el nombre ftp.contoso.com. El servidor de Contoso busca la respuesta en sus
archivos de zona y, a continuación, devuelve la respuesta al servidor.
7. A continuación, el reenviador devuelve el resultado al servidor DNS original.
8. A continuación, el servidor DNS original devuelve el resultado al cliente.
DNS y AD DS
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Active Directory Domain Services (AD DS) usa los servicios de resolución de nombres del
Sistema de nombres de dominio (DNS) para que los clientes puedan localizar
controladores de dominio y para que los controladores de dominio que hospedan el
servicio de directorio se comuniquen entre sí.

AD DS permite una integración sencilla del espacio de nombres Active Directory en un

espacio de nombres DNS existente. Características como Active Directory zonas DNS
integradas facilitan la implementación de DNS al eliminar la necesidad de configurar
zonas secundarias y, a continuación, configurar las transferencias de zona.

Para obtener información sobre cómo DNS admite AD DS, consulte la sección
Compatibilidad con DNS Active Directory Technical Reference.

７ Nota

Si implementa un espacio de nombres separado en el que el nombre de dominio

AD DS difiere del sufijo DNS principal que usan los clientes, la integración de AD
DS con DNS es más compleja. Para obtener más información, vea Espacio de
nombres separado.

En esta sección
Ubicación del controlador de dominio
Zonas DNS integradas de Active Directory
Nomenclatura de equipos
Espacio de nombres separado
Ubicación del controlador de dominio
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Los clientes usan el Sistema de nombres de dominio (DNS) para buscar controladores
de dominio para completar operaciones como el procesamiento de solicitudes de inicio
de sesión o la búsqueda de recursos publicados en el directorio. Los controladores de
dominio registran una variedad de registros en DNS para ayudar a los clientes y otros
equipos a localizarlos. Estos registros se conocen colectivamente como registros de
localizador.

Los controladores de dominio también usan DNS para buscar otros controladores de
dominio y realizar tareas como la replicación. El proceso por el que los controladores de
dominio ubican otros controladores de dominio es el mismo que el proceso por el que
los clientes ubican controladores de dominio.
Zonas DNS integradas de Active
Directory
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Los servidores del Sistema de nombres de dominio (DNS) que se ejecutan en

controladores de dominio pueden almacenar sus zonas en Servicios de dominio de
Active Directory (AD DS). De este modo, no es necesario configurar una topología de
replicación DNS independiente que use transferencias de zona DNS normales, ya que
todos los datos de zona se replican automáticamente mediante la replicación Active
Directory zona. Esto simplifica el proceso de implementación de DNS y proporciona las
siguientes ventajas:

Se crean varios maestros para la replicación DNS. Por lo tanto, cualquier

controlador de dominio del dominio que ejecuta el servicio servidor DNS puede
escribir actualizaciones en las zonas DNS integradas en Active Directory para el
nombre de dominio para el que son autoritativas. No se necesita una topología de
transferencia de zona DNS independiente.

Se admiten actualizaciones dinámicas seguras. Las actualizaciones dinámicas

seguras permiten a un administrador controlar qué equipos actualizan qué
nombres y evitar que equipos no autorizados sobrescriban los nombres existentes
en DNS.

Active Directory DNS integrado en Windows Server 2008 almacena datos de zona en
particiones de directorio de aplicación. (No hay ningún cambio de comportamiento de
la integración de DNS basada en Windows Server 2003 con Active Directory). Las
siguientes particiones de directorio de aplicación específicas de DNS se crean durante
AD DS instalación:

Una partición de directorio de aplicación para todo el bosque, denominada

ForestDnsZones

Particiones de directorio de aplicación para todo el dominio para cada dominio del
bosque, denominadas DomainDnsZones

Para obtener más información sobre cómo AD DS información de DNS en particiones de

aplicación, consulte la Referencia técnica de DNS.
７ Nota

Se recomienda instalar DNS al ejecutar el Asistente para instalación de Servicios de

dominio de Active Directory (Dcpromo.exe). Si lo hace, el asistente crea
automáticamente la delegación de zona DNS. Para obtener más información, vea
Deploying a Windows Server 2008 Forest Root Domain.
Nomenclatura de equipos
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Cuando un equipo que ejecuta Windows 2000, Windows XP, Windows Server 2003,
Windows Server 2008 o Windows Vista se une a un dominio, el equipo se asigna un
nombre de forma predeterminada. El nombre que se asigna a sí mismo consta del
nombre de host del equipo (es decir, nombre de equipo en propiedades del sistema) y
el nombre del sistema de nombres de dominio (DNS) del dominio Active Directory al
que se ha unido el equipo (es decir, sufijo DNS principal en propiedades del sistema). La
concatenación del nombre de host y el nombre DNS del dominio se conoce como
nombre de dominio completo (FQDN). Por ejemplo, si un equipo con el nombre de host
Server1 se une al dominio corp.contoso.com, el FQDN del equipo se
server1.corp.contoso.com.

Si un equipo ya tiene un nombre de dominio DNS diferente que se escribió

estáticamente en una zona DNS o se registró mediante un servicio de servidor
dns/protocolo de configuración dinámica de host (DHCP) integrado, el FQDN del
equipo es distinto del nombre que se registró anteriormente. Se puede hacer referencia
al equipo por cualquier nombre.

Para obtener más información sobre las convenciones de nomenclatura en Active

Directory Domain Services (AD DS), vea Convenciones de nomenclatura en Active
Directory para equipos, dominios, sitios y ús.
Espacio de nombres separado
Artículo • 29/09/2022 • Tiempo de lectura: 8 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Un espacio de nombres separado se produce cuando uno o varios equipos miembros

del dominio tienen un sufijo principal del Servicio de nombres de dominio (DNS) que no
coincide con el nombre DNS del dominio de Active Directory del que son miembros los
equipos. Por ejemplo, un equipo miembro que usa un sufijo DNS principal de
corp.fabrikam.com en un dominio de Active Directory denominado
na.corp.fabrikam.com usa un espacio de nombres separado.

Un espacio de nombres separado es más complejo administrar, mantener y solucionar

problemas que un espacio de nombres contiguo. En un espacio de nombres contiguo, el
sufijo DNS principal coincide con el nombre de dominio de Active Directory. Las
aplicaciones de red escritas para suponer que el espacio de nombres de Active Directory
es idéntico al sufijo DNS principal para todos los equipos miembros del dominio no
funcionan correctamente en un espacio de nombres separado.

Compatibilidad con espacios de nombres

separados
Los equipos miembros del dominio, incluidos los controladores de dominio, pueden
funcionar en un espacio de nombres separado. Los equipos miembros del dominio
pueden registrar su registro de recursos de host (A) y el registro de recursos del host de
ip 6 (IPv6) (AAAA) en un espacio de nombres DNS separado. Cuando los equipos
miembros del dominio registran sus registros de recursos de esta manera, los
controladores de dominio siguen registrando registros de recursos de servicio globales
y específicos del sitio (SRV) en la zona DNS idénticas al nombre de dominio de Active
Directory.

Por ejemplo, suponga que un controlador de dominio para el dominio de Active

Directory denominado na.corp.fabrikam.com que usa un sufijo DNS principal de
corp.fabrikam.com registra registros de recursos de host (A) e IPv6 (AAAA) en la zona
DNS de corp.fabrikam.com. El controlador de dominio sigue registrando registros de
recursos de servicio globales y específicos del sitio (SRV) en
_msdcs.na.corp.fabrikam.com y na.corp.fabrikam.com zonas DNS, lo que hace posible la
ubicación del servicio.
 ） Importante

Aunque los sistemas operativos Windows pueden admitir un espacio de nombres

separado, las aplicaciones escritas para suponer que el sufijo DNS principal es el
mismo que el sufijo de dominio de Active Directory puede no funcionar en este
entorno. Por este motivo, debe probar cuidadosamente todas las aplicaciones y sus
respectivos sistemas operativos antes de implementar un espacio de nombres
separado.

Un espacio de nombres separado debe funcionar (y se admite) en las situaciones

siguientes:

Cuando un bosque con varios dominios de Active Directory usa un único espacio
de nombres DNS, que también se conoce como una zona DNS.

Un ejemplo de esto es una empresa que usa dominios regionales con nombres
como na.corp.fabrikam.com, sa.corp.fabrikam.com y asia.corp.fabrikam.com y usa
un único espacio de nombres DNS, como corp.fabrikam.com.

Cuando un único dominio de Active Directory se divide en espacios de nombres

DNS independientes

Un ejemplo de esto es una empresa con un dominio de Active Directory de

corp.contoso.com que usa zonas DNS como hr.corp.contoso.com,
production.corp.contoso.com y it.corp.contoso.com.

Un espacio de nombres separado no funciona correctamente (y no se admite) en las

situaciones siguientes:

Un sufijo separado usado por los miembros del dominio coincide con un nombre
de dominio de Active Directory en este u otro bosque. Esto interrumpe el
enrutamiento de nombre-sufijo de Kerberos.

El mismo sufijo separado se usa en otro bosque. Esto evita el enrutamiento de

estos sufijos de forma única entre bosques.

Cuando un servidor de entidad de certificación (CA) miembro de dominio cambia

su nombre de dominio completo (FQDN) para que ya no use el mismo sufijo DNS
principal que usan los controladores de dominio del dominio al que pertenece el
servidor de CA. En este caso, es posible que tenga problemas para validar los
certificados emitidos por el servidor de CA, en función de los nombres DNS que se
usen en los puntos de distribución de CRL. Pero si coloca un servidor de CA en un
espacio de nombres independiente estable, funciona correctamente y se admite.
Consideraciones para espacios de nombres
separados
Las consideraciones siguientes pueden ayudarle a decidir si debe usar un espacio de
nombres separado.

Compatibilidad de aplicaciones
Como se mencionó anteriormente, un espacio de nombres separado puede causar
problemas para las aplicaciones y servicios que se escriben para suponer que un sufijo
DNS principal del equipo es idéntico al nombre del nombre de dominio del que es
miembro. Antes de implementar un espacio de nombres separado, debe comprobar si
las aplicaciones tienen problemas de compatibilidad. Además, asegúrese de comprobar
la compatibilidad de todas las aplicaciones que use al realizar el análisis. Esto incluye
aplicaciones de Microsoft y de otros desarrolladores de software.

Ventajas de los espacios de nombres separados

El uso de un espacio de nombres separado puede tener las siguientes ventajas:

Dado que el sufijo DNS principal de un equipo puede indicar información

diferente, puede administrar el espacio de nombres DNS por separado del nombre
de dominio de Active Directory.

Puede separar el espacio de nombres DNS en función de la estructura empresarial

o la ubicación geográfica. Por ejemplo, puede separar el espacio de nombres en
función de los nombres de unidad de negocio o la ubicación física, como el
continente, el país o la región o la creación.

Desventajas de los espacios de nombres separados

El uso de un espacio de nombres separado puede tener las siguientes desventajas:

Debe crear y administrar zonas DNS independientes para cada dominio de Active
Directory del bosque que tenga equipos miembros que usen un espacio de
nombres separado. (Es decir, requiere una configuración adicional y más
compleja).

Debe realizar pasos manuales para modificar y administrar el atributo de Active

Directory que permite a los miembros del dominio usar los sufijos DNS principales
especificados.
 Para optimizar la resolución de nombres, debe realizar pasos manuales para
modificar y mantener la directiva de grupo para configurar equipos miembros con
sufijos DNS principales alternativos.

７ Nota

El Servicio de nombres de Internet de Windows (WINS) se puede usar para

compensar esta desventaja al resolver nombres de etiqueta única. Para obtener
más información sobre WINS, consulte la Referencia técnica de WINS.

Cuando el entorno requiere varios sufijos DNS principales, debe configurar el

orden de búsqueda del sufijo DNS para todos los dominios de Active Directory del
bosque correctamente.

Para establecer el orden de búsqueda de sufijos DNS, puede usar objetos de

directiva de grupo o parámetros de servicio de servidor del Protocolo de
configuración dinámica de host (DHCP). También puede modificar el registro.

Debe probar cuidadosamente todas las aplicaciones en busca de problemas de

compatibilidad.

Para obtener más información sobre los pasos que puede seguir para solucionar estas
desventajas, vea Crear un espacio de nombres disjoint.

Planeación de una transición de espacio de nombres

Antes de modificar un espacio de nombres, revise las consideraciones siguientes, que se
aplican a las transiciones de espacios de nombres contiguos a espacios de nombres
separados (o al inverso):

Los nombres de entidad de seguridad de servicio (SPN) configurados

manualmente ya no pueden coincidir con nombres DNS después de un cambio de
espacio de nombres. Esto puede provocar errores de autenticación.

Para obtener más información, consulte Error en los inicios de sesión de servicio
debido a que los SPN se establecen incorrectamente.

Si usa equipos basados en Windows Server 2003 con delegación restringida,

esos equipos pueden requerir que edite manualmente el atributo msDS-
AllowedToDelegateTo en Active Directory. Para obtener más información, vea el
atributo ms-DS-Allowed-To-Delegate-To.
 Si desea delegar permisos para modificar los SPN a los administradores
subordinados, consulte Delegación de autoridad para modificar SPN.

Si usa el Protocolo ligero de acceso a directorios (LDAP) a través de capa de

sockets seguros (SSL) (conocido como LDAPS) con una ENTIDAD de certificación
en una implementación que tenga controladores de dominio configurados en un
espacio de nombres separado, debe usar el nombre de dominio de Active
Directory adecuado y el sufijo DNS principal al configurar los certificados LDAPS.

Para obtener más información sobre los requisitos de certificado del controlador
de dominio, consulte el artículo 321051 en Microsoft Knowledge Base, Cómo
habilitar LDAP a través de SSL con una entidad de certificación de terceros .

７ Nota

Los controladores de dominio que usan certificados para LDAPS pueden

requerir que vuelva a implementar sus certificados. Al hacerlo, es posible que
los controladores de dominio no seleccionen un certificado adecuado hasta
que se reinicien. Para obtener más información sobre la autenticación ligera
del Protocolo de acceso a directorios (LDAP) sobre la autenticación de capa
de sockets seguros (SSL) (LDAPS) para Windows Server 2003, consulte el
artículo 938703 en Microsoft Knowledge Base, Cómo solucionar problemas
de conexión LDAP a través de SSL .

Planeación de implementaciones de espacios de nombres

separados
Tome las siguientes precauciones si implementa equipos en un entorno que tiene un
espacio de nombres separado:

1. Notifique a todos los proveedores de software con los que hace negocios que
deben probar y admitir un espacio de nombres separado. Pídales que comprueben
que admiten sus aplicaciones en entornos que usan espacios de nombres
separados.

2. Pruebe todas las versiones de los sistemas operativos y las aplicaciones en

entornos de laboratorio de espacios de nombres separados. Cuando lo haga, siga
estas recomendaciones:

a. Resuelva todos los problemas de software antes de implementar el software en

su entorno.
 b. Cuando sea posible, participe en pruebas beta de sistemas operativos y
aplicaciones que planea implementar en espacios de nombres separados.

3. Asegúrese de que los administradores y el personal del departamento de soporte

técnico conozcan el espacio de nombres separado y su impacto.

4. Cree un plan que le permita pasar de un espacio de nombres separado a un

espacio de nombres contiguo, si es necesario.

5. Evangelice la importancia de la compatibilidad de espacios de nombres separados

con proveedores de aplicaciones y sistemas operativos.
DNS para el rol de propietario de AD DS
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

El AD DS DNS de un propietario del bosque es una persona (o grupo de personas) que

es responsable de supervisar la implementación del DNS para la infraestructura de AD
DS y de asegurarse de que (si es necesario) los nombres de dominio se registran con las
autoridades de Internet adecuadas. El propietario del bosque asigna un sistema de
nombres de dominio (DNS) Active Directory Domain Services (AD DS) para el bosque.

El DNS para AD DS propietario es responsable del DNS para AD DS diseño del bosque.
Si su organización está trabajando actualmente en un servicio servidor DNS, el
diseñador DNS para el servicio servidor DNS existente funciona con el propietario de
DNS para AD DS para delegar el nombre DNS raíz del bosque en servidores DNS que se
ejecutan en controladores de dominio.

El propietario de DNS para AD DS para el bosque también mantiene contacto con el

grupo protocolo de configuración dinámica de host (DHCP) y el grupo DNS de la
organización y coordina los planes de los propietarios DNS individuales de cada
dominio del bosque (si los hay) con estos grupos. El propietario de DNS del bosque
garantiza que los grupos DHCP y DNS estén implicados en el proceso de diseño de DNS
para AD DS de modo que cada grupo sea consciente del plan de diseño dns y pueda
proporcionar una entrada pronto.
Integrar AD DS en una infraestructura
de DNS existente
Artículo • 29/09/2022 • Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Si su organización ya tiene un servicio de servidor del Sistema de nombres de dominio

(DNS), el propietario de DNS para Active Directory Domain Services (AD DS) debe
trabajar con el propietario de DNS para que la organización integre AD DS en la
infraestructura existente. Esto implica la creación de un servidor DNS y una
configuración de cliente DNS.

Creación de una configuración de servidor DNS

Al integrar AD DS con un espacio de nombres DNS existente, se recomienda hacer lo
siguiente:

Instale el servicio servidor DNS en cada controlador de dominio del bosque. Esto
proporciona tolerancia a errores si uno de los servidores DNS no está disponible.
De esta manera, los controladores de dominio no necesitan depender de otros
servidores DNS para la resolución de nombres. Esto también simplifica el entorno
de administración porque todos los controladores de dominio tienen una
configuración uniforme.

Configure el Active Directory de dominio raíz del bosque para hospedar la zona
DNS del Active Directory bosque.

Configure los controladores de dominio de cada dominio regional para hospedar

las zonas DNS correspondientes a sus Active Directory dominio.

Configure la zona que contiene los Active Directory localizador de todo el bosque
(es decir, el _msdcs. forestname zone) para replicar en cada servidor DNS del
bosque mediante la partición de directorio de aplicación DNS de todo el bosque.

７ Nota

Cuando el servicio servidor DNS se instala con el Asistente para instalación de

Active Directory Domain Services (se recomienda esta opción), todas las
 tareas anteriores se realizan automáticamente. Para obtener más información,
vea Deploying a Windows Server 2008 Forest Root Domain.

７ Nota

AD DS registros de localizador de todo el bosque para permitir que los

asociados de replicación se encuentren entre sí y para permitir que los
clientes encuentren servidores de catálogo global. AD DS almacena los
registros de localizador de todo el bosque en el _msdcs. zona forestname .
Dado que la información de la zona debe estar ampliamente disponible, esta
zona se replica en todos los servidores DNS del bosque mediante la partición
del directorio de la aplicación DNS en todo el bosque.

La estructura DNS existente permanece intacta. No es necesario mover ningún servidor

o zona. Solo tiene que crear una delegación a las Active Directory DNS integradas desde
la jerarquía DNS existente.

Creación de la configuración de cliente DNS

Para configurar DNS en equipos cliente, el DNS para AD DS propietario debe especificar
el esquema de nomenclatura del equipo y cómo buscarán los clientes servidores DNS.
En la tabla siguiente se enumeran las configuraciones recomendadas para estos
elementos de diseño.

Elemento de Configuración
diseño

Nomenclatura Use la nomenclatura predeterminada. Cuando un equipo basado en Windows

de equipos 2000, Windows XP, Windows Server 2003, Windows Server 2008 o Windows Vista
se une a un dominio, el equipo se asigna a sí mismo un nombre de dominio
completo (FQDN) que consta del nombre de host del equipo y el nombre del
dominio Active Directory.

Configuración Configure los equipos cliente para que apunten a cualquier servidor DNS de la
de la red.
resolución de
cliente

７ Nota

Active Directory y controladores de dominio pueden registrar dinámicamente sus

nombres DNS incluso si no apuntan al servidor DNS autoritativo para sus nombres.
Un equipo podría tener un nombre DNS existente diferente si la organización registró
estáticamente el equipo en DNS o si la organización implementó previamente una
solución de Protocolo de configuración dinámica de host (DHCP) integrada. Si los
equipos cliente ya tienen un nombre DNS registrado, cuando el dominio al que están
unidos se actualiza a Windows Server 2008 AD DS, tendrán dos nombres diferentes:

El nombre DNS existente

Nuevo nombre de dominio completo (FQDN)

Los clientes todavía se pueden encontrar por cualquier nombre. Cualquier solución DNS,
DHCP o DNS/DHCP integrada existente se deja intacta. Los nuevos nombres principales
se crean automáticamente y se actualizan mediante una actualización dinámica. Se
limpian automáticamente mediante la búsqueda.

Si desea aprovechar la autenticación Kerberos al conectarse a un servidor que ejecuta

Windows 2000, Windows Server 2003 o Windows Server 2008 , debe asegurarse de que
el cliente se conecta al servidor mediante el nombre principal.
Anexo A: inventario de DNS
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Puede usar las tablas siguientes para ayudarle a documentar el método recursivo de
resolución de nombres de la estructura del Sistema de nombres de dominio (DNS)
actual como parte del diseño de la estructura lógica para Windows Server Active
Directory Domain Services (AD DS).

Sugerencias de raíz
Nombre Dirección IPv4 Dirección IPv6

Reenvío
Nombre Dirección IPv4 Dirección IPv6 Ubicación física
Creación de diseño de unidad
organizativa
Artículo • 29/09/2022 • Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Los propietarios de bosques son responsables de crear diseños de unidad organizativa

(OU) para sus dominios. La creación de un diseño de unidad organizativa implica
diseñar la estructura de la unidad organizativa, asignar el rol de propietario de la unidad
organizativa y crear unidades organizativas de recursos y cuentas.

Inicialmente, diseñe la estructura de la unidad organizativa para habilitar la delegación

de administración. Una vez completado el diseño de la unidad organizativa, puede crear
estructuras de unidad organizativa adicionales para la aplicación de directiva de grupo a
los usuarios y equipos y limitar la visibilidad de los objetos. Para obtener más
información, vea Diseño de una directiva de grupo infraestructura.

Rol propietario de la unidad organizativa

El propietario del bosque designa un propietario de unidad organizativa para cada
unidad organizativa que diseñe para el dominio. Los propietarios de unidades
organizativas son administradores de datos que controlan un subárbol de objetos Active
Directory Domain Services (AD DS). Los propietarios de unidades organizativas pueden
controlar cómo se delega la administración y cómo se aplica la directiva a los objetos
dentro de su unidad organizativa. También pueden crear nuevos subárboles y delegar la
administración de adicionales dentro de esos subárboles.

Dado que los propietarios de unidades organizativas no poseen ni controlan el

funcionamiento del servicio de directorio, puede separar la propiedad y la
administración del servicio de directorio de la propiedad y la administración de objetos,
lo que reduce el número de administradores de servicios que tienen altos niveles de
acceso.

Las cpu proporcionan autonomía administrativa y los medios para controlar la

visibilidad de los objetos en el directorio. Las cpu proporcionan aislamiento de otros
administradores de datos, pero no proporcionan aislamiento a los administradores de
servicios. Aunque los propietarios de unidades organizativas tienen control sobre un
subárbol de objetos, el propietario del bosque conserva el control total sobre todos los
subárboles. Esto permite al propietario del bosque corregir errores, como un error en
una lista de control de acceso (ACL) y reclamar subárboles delegados cuando finalizan
los administradores de datos.

US de cuenta y utiles de recursos

Las cpu de la cuenta contienen objetos de usuario, grupo y equipo. Los propietarios de
bosques deben crear una estructura de unidad organizativa para administrar estos
objetos y, a continuación, delegar el control de la estructura al propietario de la unidad
organizativa. Si va a implementar un nuevo dominio AD DS, cree una unidad
organizativa de cuenta para el dominio para que pueda delegar el control de las cuentas
en el dominio.

Las cpu de recursos contienen recursos y las cuentas responsables de administrar esos
recursos. El propietario del bosque también es responsable de crear una estructura de
unidad organizativa para administrar estos recursos y de delegar el control de esa
estructura al propietario de la unidad organizativa. Cree utiles de recursos según sea
necesario en función de los requisitos de cada grupo de la organización para la
autonomía en la administración de datos y equipos.

Documentación del diseño de la unidad

organizativa para cada dominio
Ensamblar un equipo para diseñar la estructura de unidad organizativa que se usa para
delegar el control sobre los recursos dentro del bosque. El propietario del bosque
puede estar implicado en el proceso de diseño y debe aprobar el diseño de la unidad
organizativa. También puede implicar al menos a un administrador de servicios para
asegurarse de que el diseño es válido. Otros participantes del equipo de diseño pueden
incluir los administradores de datos que trabajarán en las unidades organizativas y los
propietarios de unidades organizativas que serán responsables de administrarlas.

Es importante documentar el diseño de la unidad organizativa. Enumera los nombres de

las cpu que planea crear. Y, para cada unidad organizativa, documente el tipo de unidad
organizativa, el propietario de la unidad organizativa, la unidad organizativa primaria (si
procede) y el origen de esa unidad organizativa.

Para que una hoja de cálculo le ayude a documentar el diseño de la unidad organizativa,
descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip
desde Ayuda para trabajos para el Kit de implementación de Windows Server 2003 y
abra "Identificación de unidades organizativas para cada dominio" (DSSLOGI_9.doc).
En esta sección
Revisar los conceptos de diseño de unidad organizativa

Delegar la administración mediante objetos de unidad organizativa

Revisar los conceptos de diseño de
unidad organizativa
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

La estructura de unidad organizativa (OU) de un dominio incluye lo siguiente:

Diagrama de la jerarquía de unidades organizativas

Una lista de cpu

Para cada unidad organizativa:

El propósito de la unidad organizativa

Lista de usuarios o grupos que tienen control sobre la unidad organizativa o los
objetos de la unidad organizativa

El tipo de control que los usuarios y grupos tienen sobre los objetos de la
unidad organizativa

La jerarquía de unidades organizativas no necesita reflejar la jerarquía de departamento

de la organización o el grupo. Las cpu se crean para un propósito específico, como la
delegación de administración, la aplicación de directiva de grupo o para limitar la
visibilidad de los objetos.

Puede diseñar la estructura de la unidad organizativa para delegar la administración en

individuos o grupos dentro de la organización que requieren la autonomía para
administrar sus propios recursos y datos. Las cpu representan los límites administrativos
y le permiten controlar el ámbito de autoridad de los administradores de datos.

Por ejemplo, puede crear una unidad organizativa denominada ResourceOU y usarla
para almacenar todas las cuentas de equipo que pertenecen al archivo y los servidores
de impresión administrados por un grupo. A continuación, puede configurar la
seguridad en la unidad organizativa para que solo los administradores de datos del
grupo tengan acceso a la unidad organizativa. Esto evita que los administradores de
datos de otros grupos manipule las cuentas de servidor de archivos e impresión.

Puede refinar aún más la estructura de la unidad organizativa mediante la creación de

subárboles de unidades organizativas para fines específicos, como la aplicación de
directiva de grupo o para limitar la visibilidad de los objetos protegidos para que solo
determinados usuarios puedan verlos. Por ejemplo, si necesita aplicar directiva de grupo
a un grupo seleccionado de usuarios o recursos, puede agregar esos usuarios o recursos
a una unidad organizativa y, a continuación, aplicar directiva de grupo a esa unidad
organizativa. También puede usar la jerarquía de unidades organizativas para habilitar la
delegación adicional del control administrativo.

Aunque no hay ningún límite técnico en el número de niveles de la estructura de la

unidad organizativa, para la capacidad de administración se recomienda limitar la
estructura de la unidad organizativa a una profundidad de no más de 10 niveles. No hay
ningún límite técnico para el número de cpu en cada nivel. Tenga en cuenta que las
aplicaciones habilitadas para Active Directory Domain Services (AD DS) pueden tener
restricciones en el número de caracteres usados en el nombre distintivo (es decir, la ruta
de acceso completa del Protocolo ligero de acceso a directorios (LDAP) al objeto en el
directorio) o en la profundidad de la unidad organizativa dentro de la jerarquía.

La estructura de unidad organizativa AD DS no está diseñada para ser visible para los
usuarios finales. La estructura de la unidad organizativa es una herramienta
administrativa para los administradores de servicios y para los administradores de datos,
y es fácil de cambiar. Siga revisando y actualizando el diseño de la estructura de la
unidad organizativa para reflejar los cambios en la estructura administrativa y para
admitir la administración basada en directivas.
Delegar la administración mediante
objetos de unidad organizativa
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Puede usar unidades organizativas (OU) para delegar la administración de objetos,

como usuarios o equipos, dentro de la unidad organizativa a un individuo o grupo
designado. Para delegar la administración mediante una unidad organizativa, coloque el
individuo o grupo al que va a delegar derechos administrativos en un grupo, coloque el
conjunto de objetos que se van a controlar en una unidad organizativa y, a
continuación, delegue las tareas administrativas de la unidad organizativa en ese grupo.

Active Directory Domain Services (AD DS) permite controlar las tareas administrativas
que se pueden delegar en un nivel muy detallado. Por ejemplo, puede asignar un grupo
para tener control total de todos los objetos de una unidad organizativa. asigne a otro
grupo los derechos solo para crear, eliminar y administrar cuentas de usuario en la
unidad organizativa. y, a continuación, asigne a un tercer grupo el derecho solo para
restablecer las contraseñas de cuenta de usuario. Puede hacer que estos permisos se
puedan heredar para que se apliquen a las unidades organizativas que se colocan en
subárboles de la unidad organizativa original.

Las cpu y los contenedores predeterminados se crean durante la instalación de AD DS y

los controlan los administradores de servicios. Es mejor si los administradores de
servicios siguen controlando estos contenedores. Si necesita delegar el control sobre los
objetos en el directorio, cree adicionales adicionales y coloque los objetos en estas
adicionales. Delegue el control sobre estas cpu a los administradores de datos
adecuados. Esto permite delegar el control sobre los objetos del directorio sin cambiar
el control predeterminado que se proporciona a los administradores de servicios.

El propietario del bosque determina el nivel de autoridad que se delega en un

propietario de unidad organizativa. Esto puede abarcar desde la capacidad de crear y
manipular objetos dentro de la unidad organizativa hasta que solo se permite controlar
un único atributo de un único tipo de objeto en la unidad organizativa. Conceder a un
usuario la capacidad de crear un objeto en la unidad organizativa concede
implícitamente a ese usuario la capacidad de manipular cualquier atributo de cualquier
objeto creado por el usuario. Además, si el objeto que se crea es un contenedor, el
usuario tiene implícitamente la capacidad de crear y manipular cualquier objeto que se
coloque en el contenedor.
En esta sección
Delegar la administración de unidades organizativas y contenedores
predeterminados

Delegar la administración de unidades organizativas de cuentas y unidades

organizativas de recursos
Delegar la administración de unidades
organizativas y contenedores
predeterminados
Artículo • 29/09/2022 • Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Cada dominio de Active Directory contiene un conjunto estándar de contenedores y

unidades organizativas (UO) que se crean durante la instalación de Servicios de dominio
de Active Directory (AD DS). Entre ellas, figuran:

Contenedor de dominio, que actúa como contenedor raíz a la jerarquía

Contenedor integrado, que contiene las cuentas de administrador de servicios

predeterminadas

Contenedor de usuarios, que es la ubicación predeterminada para las nuevas

cuentas de usuario y grupos creados en el dominio

Contenedor de equipos, que es la ubicación predeterminada para las nuevas

cuentas de equipo creadas en el dominio

Unidad organizativa controladores de dominio, que es la ubicación

predeterminada de las cuentas de equipo para las cuentas de equipo de
controladores de dominio.

El propietario del bosque controla estos contenedores y unidades organizativas

predeterminados.

Contenedor de dominio
El contenedor de dominios es el contenedor raíz de la jerarquía de un dominio. Los
cambios en las directivas o en la lista de control de acceso (ACL) de este contenedor
pueden tener un impacto en todo el dominio. No delegar el control de este contenedor;
los administradores de servicios deben controlarlo.

Contenedores de usuarios y equipos

Al realizar una actualización de dominio local desde Windows Server 2003 a Windows
Server 2008, los usuarios y equipos existentes se colocan automáticamente en los
usuarios y los contenedores de equipos. Si va a crear un nuevo dominio de Active
Directory, los contenedores de usuarios y equipos son las ubicaciones predeterminadas
para todas las cuentas de usuario nuevas y las cuentas de equipo que no son de
controlador de dominio en el dominio.

） Importante

Si necesita delegar el control sobre usuarios o equipos, no modifique la

configuración predeterminada en los contenedores de usuarios y equipos. En su
lugar, cree nuevas UNIDADES organizativas (según sea necesario) y mueva los
objetos de usuario y equipo de sus contenedores predeterminados y a las nuevas
UNIDADES organizativas. Delegue el control sobre las nuevas UNIDADES
organizativas, según sea necesario. Se recomienda no modificar quién controla los
contenedores predeterminados.

Además, no se puede aplicar directiva de grupo configuración a los contenedores de

usuarios y equipos predeterminados. Para aplicar directiva de grupo a usuarios y
equipos, cree nuevas unidades organizativas y mueva los objetos de usuario y equipo a
esas unidades organizativas. Aplique la configuración de directiva de grupo a las nuevas
unidades organizativas.

Opcionalmente, puede redirigir la creación de objetos que se colocan en los

contenedores predeterminados que se colocarán en contenedores de su elección.

Usuarios y grupos conocidos y cuentas

integradas
De forma predeterminada, se crean varios usuarios y grupos conocidos y cuentas
integradas en un nuevo dominio. Se recomienda que la administración de estas cuentas
permanezca bajo el control de los administradores de servicios. No delegue la
administración de estas cuentas a una persona que no sea administrador de servicios.
En la tabla siguiente se enumeran los usuarios y grupos conocidos y las cuentas
integradas que deben permanecer bajo el control de los administradores de servicios.

Usuarios y grupos conocidos Cuentas integradas

 Usuarios y grupos conocidos Cuentas integradas

Publicadores de certificados Administrador

Controladores de dominio Invitado

Propietarios del creador de directivas de grupo Invitados

KRBTGT Operadores de cuentas

Invitados del dominio Administradores

Administrador Operadores de copias de seguridad

Administradores de dominio Creadores de confianza de bosque de entrada

Administradores de esquemas (solo dominio Operadores de impresión

raíz del bosque)
Acceso compatible con versiones anteriores de
administradores de Enterprise (solo dominio Windows 2000
raíz del bosque)
Operadores de servidores
Usuarios del dominio
Usuarios

Unidad organizativa del controlador de

dominio
Cuando se agregan controladores de dominio al dominio, sus objetos de equipo se
agregan automáticamente a la unidad organizativa del controlador de dominio. Esta
unidad organizativa tiene un conjunto predeterminado de directivas aplicadas. Para
asegurarse de que estas directivas se aplican uniformemente a todos los controladores
de dominio, se recomienda no mover los objetos de equipo de los controladores de
dominio fuera de esta unidad organizativa. Si no se aplican las directivas
predeterminadas, un controlador de dominio no funciona correctamente.

De forma predeterminada, los administradores de servicios controlan esta unidad

organizativa. No delegue el control de esta unidad organizativa a usuarios distintos de
los administradores de servicios.
Delegar la administración de unidades
organizativas de cuentas y unidades
organizativas de recursos
Artículo • 21/12/2022 • Tiempo de lectura: 5 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Las unidades organizativas (UO) de la cuenta contienen objetos de usuario, grupo y

equipo. Las unidades organizativas de recursos contienen recursos y las cuentas que son
responsables de administrar esos recursos. El propietario del bosque es responsable de
crear una estructura de unidad organizativa para administrar estos objetos y recursos y
delegar el control de esa estructura al propietario de la unidad organizativa.

Delegación de la administración de unidades

organizativas de cuenta
Delegue una estructura de unidad organizativa de cuenta a los administradores de
datos si necesitan crear y modificar objetos de usuario, grupo y equipo. La estructura de
la unidad organizativa de la cuenta es un subárbol de unidades organizativas para cada
tipo de cuenta que se debe controlar de forma independiente. Por ejemplo, el
propietario de la unidad organizativa puede delegar un control específico a varios
administradores de datos sobre unidades organizativas secundarias en una unidad
organizativa de cuenta para usuarios, equipos, grupos y cuentas de servicio.

En la ilustración siguiente se muestra un ejemplo de una estructura organizativa de

cuenta.
En la tabla siguiente se enumeran y describen las posibles unidades organizativas
secundarias que puede crear en una estructura de unidad organizativa de la cuenta.

OU Propósito

Usuarios Contiene cuentas de usuario para el personal no administrativo.

Cuentas de Algunos servicios que requieren acceso a los recursos de red se ejecutan como
servicio cuentas de usuario. Esta unidad organizativa se crea para separar las cuentas
de usuario de servicio de las cuentas de usuario contenidas en la unidad
organizativa de los usuarios. Además, colocar los diferentes tipos de cuentas
de usuario en unidades organizativas independientes permite administrarlas
según sus requisitos administrativos específicos.

Computers Contiene cuentas para equipos distintos de controladores de dominio.

Grupos Contiene grupos de todos los tipos excepto los grupos administrativos, que se
administran por separado.
 OU Propósito

Administradores Contiene cuentas de usuario y grupo para los administradores de datos en la

estructura de unidades organizativas de la cuenta para permitir que se
administren por separado de los usuarios normales. Habilite la auditoría de
esta unidad organizativa para que pueda realizar un seguimiento de los
cambios en los usuarios y grupos administrativos.

En la ilustración siguiente se muestra un ejemplo de un diseño de grupo administrativo

para una estructura de unidad organizativa de cuenta.

A los grupos que administran las UNIDADES organizativas secundarias solo se les
concede control total sobre la clase específica de objetos que son responsables de
administrar.

Los tipos de grupos que se usan para delegar el control dentro de una estructura de
unidad organizativa se basan en dónde se encuentran las cuentas en relación con la
estructura de la unidad organizativa que se va a administrar. Si las cuentas de usuario
administrador y la estructura de unidades organizativas existen en un solo dominio, los
grupos que cree para su uso para la delegación deben ser grupos globales. Si su
organización tiene un departamento que administra sus propias cuentas de usuario y
existe en más de una región geográfica, es posible que tenga un grupo de
administradores de datos responsables de administrar unidades organizativas de cuenta
en más de un dominio. Si todas las cuentas de los administradores de datos existen en
un solo dominio y tiene estructuras de unidad organizativa en varios dominios a los que
necesita delegar el control, haga que esas cuentas administrativas sean miembros de
grupos globales y deleguen el control de las estructuras de unidad organizativa de cada
dominio a esos grupos globales. Si las cuentas de administradores de datos a las que
delega el control de una estructura de unidad organizativa proceden de varios
dominios, debe usar un grupo universal. Los grupos universales pueden contener
usuarios de dominios diferentes y, por lo tanto, se pueden usar para delegar el control
en varios dominios.

Delegación de la administración de unidades

organizativas de recursos
Las unidades organizativas de recursos se usan para administrar el acceso a los recursos.
El propietario de la unidad organizativa del recurso crea cuentas de equipo para
servidores que están unidos al dominio que incluyen recursos como recursos
compartidos de archivos, bases de datos e impresoras. El propietario de la unidad
organizativa del recurso también crea grupos para controlar el acceso a esos recursos.

En la ilustración siguiente se muestran las dos ubicaciones posibles para la unidad

organizativa del recurso.

La unidad organizativa del recurso se puede encontrar en la raíz del dominio o como
una unidad organizativa secundaria de la unidad organizativa de la cuenta
correspondiente en la jerarquía administrativa de la unidad organizativa. Las UNIDADES
organizativas de recursos no tienen unidades organizativas secundarias estándar. Los
equipos y grupos se colocan directamente en la unidad organizativa del recurso.

El propietario de la unidad organizativa del recurso posee los objetos dentro de la

unidad organizativa, pero no posee el propio contenedor de unidades organizativas. Los
propietarios de unidades organizativas de recursos solo administran objetos de equipo
y grupo; no pueden crear otras clases de objetos dentro de la unidad organizativa y no
pueden crear unidades organizativas secundarias.

７ Nota

El creador o propietario de un objeto tiene la capacidad de establecer la lista de

control de acceso (ACL) en el objeto, independientemente de los permisos
heredados del contenedor primario. Si un propietario de la unidad organizativa del
recurso puede restablecer la ACL en una unidad organizativa, ese propietario
puede crear cualquier clase de objeto en la unidad organizativa, incluidos los
usuarios. Por este motivo, los propietarios de unidades organizativas de recursos
no pueden crear unidades organizativas.

Para cada unidad organizativa de recursos del dominio, cree un grupo global para
representar a los administradores de datos responsables de administrar el contenido de
la unidad organizativa. Este grupo tiene control total sobre el grupo y los objetos de
equipo en la unidad organizativa, pero no sobre el propio contenedor de unidades
organizativas.

En la ilustración siguiente se muestra el diseño del grupo administrativo para una

unidad organizativa de recursos.
Colocar las cuentas de equipo en una unidad organizativa de recursos proporciona al
propietario de la unidad organizativa el control sobre los objetos de cuenta, pero no
hace que el propietario de la unidad organizativa sea un administrador de los equipos.
En un dominio de Active Directory, el grupo Administradores de dominio se coloca, de
forma predeterminada, en el grupo Administradores locales en todos los equipos. Es
decir, los administradores de servicios tienen control sobre esos equipos. Si los
propietarios de unidades organizativas de recursos requieren control administrativo
sobre los equipos de sus unidades organizativas, el propietario del bosque puede
aplicar un directiva de grupo grupos restringidos para que el propietario de la unidad
organizativa del recurso sea miembro del grupo Administradores en los equipos de esa
unidad organizativa.
Búsqueda de recursos adicionales para
el diseño de la estructura lógica
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Puede encontrar recursos adicionales para el diseño de la estructura lógica en la

siguiente documentación sobre Active Directory Domain Services (AD DS):

Para obtener más información sobre cómo diseñar la topología de sitio, vea Diseño
de la topología de sitio para Windows Server 2008 AD DS.

Para que las hojas de cálculo le ayuden a documentar el bosque propuesto, el

dominio, la infraestructura del Sistema de nombres de dominio (DNS) y el diseño
de unidades organizativas (OU), descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip del Kit de
implementación de Ayudas al trabajo para Windows Server 2003 .

Para obtener más información sobre la autenticación delegada y la delegación

restringida, consulte Delegación de la autenticación.

Para obtener más información sobre cómo configurar firewalls para su uso con AD
DS, consulte Active Directory en redes segmentadas por firewalls.

Para obtener más información sobre cómo actualizar dominios de Active Directory
a Windows Server 2008, consulte Actualización de dominios de Active Directory a
dominios de Windows Server 2008 y Windows Server 2008 R2 AD DS.

Para obtener más información sobre la reestructuración de dominios de AD DS

dentro y entre bosques, vea Guía de ADMT: Migración y reestructuración de
dominios de Active Directory.

Para obtener más información sobre la implementación de un dominio raíz de

bosque, vea Deploying a Windows Server 2008 Forest Root Domain.

Para obtener más información sobre la implementación de DNS, consulte

Implementación del sistema de nombres de dominio (DNS).

Para obtener más información sobre la jerarquía DNS y el proceso de resolución de

nombres, consulte la Referencia técnica de DNS.
Para obtener más información sobre cómo DNS admite AD DS, consulte la
Referencia técnica de compatibilidad con DNS para Active Directory.

Para obtener más información sobre WINS, consulte la Referencia técnica de WINS.

Para obtener más información sobre cómo crear un espacio de nombres separado,
vea Crear un espacio de nombres separado.

Para obtener más información acerca de cómo establecer nombres de entidad de

seguridad de servicio (SPN), consulte Service Logons Fail Due to Incorrectamente
Set SPNs.

Para obtener más información sobre cómo delegar permisos para modificar SPN a
administradores subordinados, consulte Delegación de autoridad para modificar
SPN.

Para obtener más información sobre los requisitos de certificados de controlador

de dominio, consulte el artículo 321051 en Microsoft Knowledge Base, Habilitación
de LDAP a través de SSL con una entidad de certificación de terceros .

Para obtener más información sobre la autenticación del Protocolo ligero de

acceso a directorios (LDAP) sobre la autenticación de Capa de sockets seguros
(SSL) (LDAPS) para Windows Server 2003, consulte el artículo 938703 en Microsoft
Knowledge Base, Cómo solucionar problemas de conexión LDAP a través de SSL .

Para obtener más información sobre la infraestructura de directivas de grupo,

consulte Diseño de una infraestructura de directivas de grupo.

Para obtener más información sobre los controladores de dominio de solo lectura
(RODC), consulte AD DS: Read-Only controladores de dominio.

Para obtener más información sobre las directivas específicas de bloqueo de

cuentas y contraseñas, consulte la Guía paso a paso de la directiva de bloqueo de
cuentas y contraseñas de AD DS Fine-Grained.

Para obtener más información sobre las convenciones de nomenclatura en AD DS,

consulte el artículo 909264 en Microsoft Knowledge Base, convenciones de
nomenclatura en Active Directory para equipos, dominios, sitios y UNIDADES
organizativas .
Diseño de la topología de sitio
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Una topología de sitio de servicio de directorio es una representación lógica de la red

física. El diseño de una topología de sitio para Active Directory Domain Services (AD DS)
implica planear la colocación y el diseño de sitios, subredes, vínculos de sitio y puentes
de vínculos de sitio para garantizar un enrutamiento eficaz del tráfico de consulta y
replicación.

El diseño de una topología de sitio ayuda a enrutar de forma eficaz las consultas de
cliente y Active Directory de replicación. Una topología de sitio bien diseñada ayuda a
su organización a lograr las siguientes ventajas:

Minimice el costo de replicar Active Directory datos.

Minimice los esfuerzos administrativos necesarios para mantener la topología de

sitio.

Programar la replicación que permite que las ubicaciones con vínculos de red
lentos o de acceso telefónico repliquen los Active Directory durante las horas de
menos actividad.

Optimice la capacidad de los equipos cliente para localizar los recursos más
cercanos, como controladores de dominio y Sistema de archivos distribuido (DFS).
Esto ayuda a reducir el tráfico de red a través de vínculos de red de área extensa
(WAN) lenta, mejorar los procesos de inicio de sesión y cierre de sesión, y acelerar
las operaciones de descarga de archivos.

Antes de empezar a diseñar la topología de sitio, debe comprender la estructura de red

física. Además, primero debe diseñar la estructura lógica Active Directory, incluida la
jerarquía administrativa, el plan de bosque y el plan de dominio para cada bosque.
También debe completar el diseño de la infraestructura del Sistema de nombres de
dominio (DNS) para AD DS. Para obtener más información sobre el diseño de Active
Directory estructura lógica y la infraestructura DNS, vea Diseño de la estructura lógica
para Windows Server 2008 AD DS.

Después de completar el diseño de la topología de sitio, debe comprobar que los

controladores de dominio cumplen los requisitos de hardware para Windows Server
2008 Standard , Windows Server 2008 Enterprise y Windows Server 2008 Datacenter .
En esta guía
Descripción de la topología de sitio de Active Directory

Recopilar información de red

Planear la ubicación del controlador de dominio

Crear un diseño de sitio

Crear un diseño de vínculo de sitio

Crear un diseño de puente de vínculos a sitios

Búsqueda de recursos adicionales para Windows server 2008 Active Directory site
topology design
Descripción de la topología de sitio de
Active Directory
Artículo • 24/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

La topología de sitio afecta significativamente al rendimiento de la red y a la capacidad

de los usuarios de acceder a los recursos de red. Antes de empezar a diseñar la
topología de sitio, familiarícese con las funciones de los sitios de Windows Server 2008 ,
las diferentes topologías de red que las organizaciones usan normalmente, el rol del
propietario de la topología de sitio y algunos conceptos de replicación de Active
Directory.

En esta sección
Funciones del sitio

Rol de propietario de topología de sitio

Conceptos de replicación de Active Directory

Funciones del sitio
Artículo • 29/09/2022 • Tiempo de lectura: 4 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Windows Server 2008 usa la información del sitio para muchos propósitos, como la
replicación de enrutamiento, la afinidad de cliente, la replicación del volumen del
sistema (SYSVOL), los espacios de nombres Sistema de archivos distribuido (DFSN) y la
ubicación del servicio.

Replicación de enrutamiento
Active Directory Domain Services (AD DS) usa un método multimaster, de
almacenamiento y reenvío de replicación. Un controlador de dominio comunica los
cambios de directorio a un segundo controlador de dominio, que luego se comunica
con un tercero, y así sucesivamente, hasta que todos los controladores de dominio han
recibido el cambio. Para lograr el mejor equilibrio entre reducir la latencia de replicación
y reducir el tráfico, la topología de sitio controla la replicación Active Directory mediante
la distinción entre la replicación que se produce dentro de un sitio y la replicación que
se produce entre sitios.

Dentro de los sitios, la replicación está optimizada para la velocidad, las actualizaciones
de datos desencadenan la replicación y los datos se envían sin la sobrecarga requerida
por la compresión de datos. Por el contrario, la replicación entre sitios se comprime para
minimizar el costo de transmisión a través de vínculos de red de área extensa (WAN).
Cuando se produce la replicación entre sitios, un solo controlador de dominio por
dominio en cada sitio recopila y almacena los cambios de directorio y los comunica a un
controlador de dominio de otro sitio a una hora programada.

Afinidad del cliente

Los controladores de dominio usan la información del sitio para informar Active
Directory los controladores de dominio presentes en el sitio más cercano como cliente.
Por ejemplo, considere un cliente del sitio de Seattle que no conoce su afiliación al sitio
y se pone en contacto con un controlador de dominio del sitio de Atlanta. En función de
la dirección IP del cliente, el controlador de dominio de Atlanta determina de qué sitio
es realmente el cliente y envía la información del sitio al cliente. El controlador de
dominio también informa al cliente si el controlador de dominio elegido es el más
cercano a él. El cliente almacena en caché la información del sitio proporcionada por el
controlador de dominio en Atlanta, consulta el registro de recursos del servicio
específico del sitio (SRV) (un registro de recursos del Sistema de nombres de dominio
(DNS) que se usa para buscar controladores de dominio para AD DS) y, por tanto,
encuentra un controlador de dominio dentro del mismo sitio.

Al buscar un controlador de dominio en el mismo sitio, el cliente evita las

comunicaciones a través de vínculos WAN. Si no hay controladores de dominio ubicados
en el sitio cliente, un controlador de dominio que tenga las conexiones de costo más
bajo en relación con otros sitios conectados se anuncia a sí mismo (registra un registro
de recursos de servicio específico del sitio (SRV) en DNS) en el sitio que no tiene un
controlador de dominio. Los controladores de dominio que se publican en DNS son los
del sitio más cercano, tal como se define en la topología del sitio. Este proceso garantiza
que cada sitio tiene un controlador de dominio preferido para la autenticación.

Para obtener más información sobre el proceso de localización de un controlador de

dominio, vea recopilación Active Directory dominio.

Replicación SYSVOL
SYSVOL es una colección de carpetas del sistema de archivos que existe en cada
controlador de dominio de un dominio. Las carpetas SYSVOL proporcionan una
ubicación Active Directory predeterminada para los archivos que se deben replicar en
un dominio, incluidos los objetos de directiva de grupo (GPO), los scripts de inicio y
apagado, y los scripts de inicio y cierre de sesión. Windows Server 2008 puede usar el
Servicio de replicación de archivos (FRS) o la Replicación de Sistema de archivos
distribuido (DFSR) para replicar los cambios realizados en las carpetas SYSVOL desde un
controlador de dominio a otros controladores de dominio. FRS y DFSR replican estos
cambios según la programación que cree durante el diseño de la topología del sitio.

DFSN
DFSN usa la información del sitio para dirigir un cliente al servidor que hospeda los
datos solicitados dentro del sitio. Si DFSN no encuentra una copia de los datos en el
mismo sitio que el cliente, DFSN usa la información del sitio en AD DS para determinar
qué servidor de archivos que tiene datos compartidos DFSN es el más cercano al cliente.

Ubicación del servicio

Al publicar servicios como servicios de archivos e impresión en AD DS, permite que los
clientes de Active Directory busquen el servicio solicitado en el mismo sitio o en el más
cercano. Los servicios de impresión usan el atributo de ubicación almacenado en AD DS
para permitir que los usuarios busquen impresoras por ubicación sin conocer su
ubicación precisa. Para obtener más información sobre el diseño e implementación de
servidores de impresión, vea Diseño e implementación de servidores de impresión.
Rol de propietario de topología de sitio
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

El administrador que administra la topología de sitio se conoce como propietario de la

topología de sitio. El propietario de la topología de sitio entiende las condiciones de la
red entre sitios y tiene autoridad para cambiar la configuración en Active Directory
Domain Services (AD DS) para implementar cambios en la topología del sitio. Los
cambios en la topología de sitio afectan a los cambios en la topología de replicación.
Las responsabilidades del propietario de la topología del sitio incluyen:

Controlar los cambios en la topología de sitio si cambia la conectividad de red.

Obtener y mantener información sobre las conexiones de red y los enrutadores del
grupo de red. El propietario de la topología de sitio debe mantener una lista de
direcciones de subred, máscaras de subred y la ubicación a la que pertenece cada
una de ellas. El propietario de la topología de sitio también debe comprender los
problemas de velocidad y capacidad de red que afectan a la topología de sitio
para establecer eficazmente los costos de los vínculos de sitio.

Mover Active Directory de servidor que representan controladores de dominio

entre sitios si la dirección IP de un controlador de dominio cambia a una subred
diferente en un sitio diferente, o si la propia subred está asignada a un sitio
diferente. En cualquier caso, el propietario de la topología de sitio debe mover
manualmente el objeto Active Directory servidor del controlador de dominio al
nuevo sitio.
Conceptos de replicación de Active
Directory
Artículo • 21/12/2022 • Tiempo de lectura: 12 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Antes de diseñar la topología de sitio, familiarícese con algunos de los Active Directory
de replicación.

Objeto de conexión

KCC

Funcionalidad de conmutación por error

Subred

Sitio

Vínculo al sitio

Puente de vínculo de sitio

Transitividad de vínculos de sitio

Servidor del catálogo global

Almacenamiento en caché de pertenencia a grupos universal

Connection (objeto)
Un objeto de conexión es un Active Directory que representa una conexión de
replicación desde un controlador de dominio de origen a un controlador de dominio de
destino. Un controlador de dominio es miembro de un único sitio y se representa en el
sitio mediante un objeto de servidor Active Directory Domain Services (AD DS). Cada
objeto de servidor tiene un objeto NTDS Configuración que representa el controlador
de dominio de replicación en el sitio.

El objeto de conexión es un elemento secundario del objeto NTDS Configuración en el

servidor de destino. Para que la replicación se produzca entre dos controladores de
dominio, el objeto de servidor de uno debe tener un objeto de conexión que represente
la replicación entrante desde el otro. Todas las conexiones de replicación de un
controlador de dominio se almacenan como objetos de conexión en el Configuración
NTDS. El objeto de conexión identifica el servidor de origen de replicación, contiene una
programación de replicación y especifica un transporte de replicación.

Knowledge Consistency Checker (KCC) crea objetos de conexión automáticamente, pero

también se pueden crear manualmente. Los objetos de conexión creados por KCC
aparecen en el complemento Active Directory Sites and Services > como generados
automáticamente y se consideran adecuados en condiciones de funcionamiento
normales. Los objetos de conexión creados por un administrador se crean
manualmente. Un objeto de conexión creado manualmente se identifica mediante el
nombre asignado por el administrador cuando se creó. Al modificar un objeto de
conexión> generado automáticamente, se convierte en un objeto de conexión
modificado administrativamente y el objeto aparece en forma de GUID. El KCC no realiza
cambios en los objetos de conexión manuales o modificados.

KCC
KCC es un proceso integrado que se ejecuta en todos los controladores de dominio y
genera la topología de replicación para Active Directory bosque. El KCC crea topologías
de replicación independientes en función de si la replicación se produce dentro de un
sitio (dentro del sitio) o entre sitios (entre sitios). El KCC también ajusta dinámicamente
la topología para dar cabida a la adición de nuevos controladores de dominio, la
eliminación de controladores de dominio existentes, el movimiento de controladores de
dominio hacia y desde sitios, el cambio de costos y programaciones, y controladores de
dominio que no están disponibles temporalmente o en un estado de error.

Dentro de un sitio, las conexiones entre controladores de dominio grabables siempre se

organizan en un anillo bidireccional, con conexiones de acceso directo adicionales para
reducir la latencia en sitios grandes. Por otro lado, la topología entre sitios es una capa
de árboles de expansión, lo que significa que existe una conexión entre sitios entre dos
sitios cualquiera para cada partición de directorio y, por lo general, no contiene
conexiones de acceso directo. Para obtener más información sobre cómo abarcar
árboles y Active Directory de replicación, consulte Active Directory De referencia técnica
de la topología de replicación (https://go.microsoft.com/fwlink/?LinkID=93578).

En cada controlador de dominio, el KCC crea rutas de replicación mediante la creación

de objetos de conexión entrante un vía que definen las conexiones de otros
controladores de dominio. En el caso de los controladores de dominio del mismo sitio,
el KCC crea objetos de conexión automáticamente sin intervención administrativa.
Cuando tiene más de un sitio, configura vínculos de sitio entre sitios y un único KCC en
cada sitio también crea automáticamente conexiones entre sitios.

Mejoras de KCC para Windows RODC de Server 2008

Hay una serie de mejoras de KCC para dar cabida al controlador de dominio de solo
lectura (RODC) recién disponible en Windows Server 2008. Un escenario de
implementación típico para RODC es la sucursal. La topología de replicación de Active
Directory que se implementa más comúnmente en este escenario se basa en un diseño
de concentrador y radio, donde los controladores de dominio de rama de varios sitios
se replican con un pequeño número de servidores de cabeza de puente en un sitio de
concentrador.

Una de las ventajas de implementar RODC en este escenario es la replicación

unidireccional. No es necesario que los servidores bridgehead se repliquen desde el
RODC, lo que reduce el uso de la red y la administración.

Sin embargo, un desafío administrativo resaltado por la topología en radio de

concentrador en versiones anteriores del sistema operativo Windows Server es que,
después de agregar un nuevo controlador de dominio de puente en el centro, no hay
ningún mecanismo automático para redistribuir las conexiones de replicación entre los
controladores de dominio de rama y los controladores de dominio del centro para
aprovechar el nuevo controlador de dominio del centro.

Para Windows RODC de Server 2008, el funcionamiento normal de KCC proporciona

cierto reequilibrio. La nueva funcionalidad está habilitada de forma predeterminada.
Puede deshabilitarlo agregando la siguiente clave del Registro establecida en el RODC:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

"Random RANDOM RANDOM Loadbalancing Allowed"1 = Enabled (default), 0 =

Disabled

Para obtener más información sobre cómo funcionan estas mejoras de KCC, vea
Planning and Deploying Active Directory Domain Services for Branch Offices ()
(Planeamiento e implementación de Active Directory Domain Services para sucursales
(https://go.microsoft.com/fwlink/?LinkId=107114).

Funcionalidad de conmutación por error

Los sitios garantizan que la replicación se enruta en torno a errores de red y
controladores de dominio sin conexión. El KCC se ejecuta a intervalos especificados para
ajustar la topología de replicación para los cambios que se producen en AD DS, como
cuando se agregan nuevos controladores de dominio y se crean nuevos sitios. El KCC
revisa el estado de replicación de las conexiones existentes para determinar si alguna
conexión no funciona. Si una conexión no funciona debido a un controlador de dominio
con errores, KCC crea automáticamente conexiones temporales a otros asociados de
replicación (si están disponibles) para asegurarse de que se produce la replicación. Si
todos los controladores de dominio de un sitio no están disponibles, KCC crea
automáticamente conexiones de replicación entre controladores de dominio de otro
sitio.

Subred
Una subred es un segmento de una red TCP/IP a la que se asigna un conjunto de
direcciones IP lógicas. Las subredes agrupan los equipos de una manera que identifica
su proximidad física en la red. Los objetos de subred AD DS identifican las direcciones
de red que se usan para asignar equipos a sitios.

Sitio
Los sitios Active Directory que representan una o varias subredes TCP/IP con conexiones
de red altamente confiables y rápidas. La información del sitio permite a los
administradores configurar Active Directory y replicación para optimizar el uso de la red
física. Los objetos de sitio están asociados a un conjunto de subredes y cada
controlador de dominio de un bosque está asociado a un sitio Active Directory según su
dirección IP. Los sitios pueden hospedar controladores de dominio de más de un
dominio y un dominio se puede representar en más de un sitio.

Vínculo al sitio
Los vínculos de sitio Active Directory objetos que representan rutas de acceso lógicas
que el KCC usa para establecer una conexión para Active Directory replicación. Un
objeto de vínculo de sitio representa un conjunto de sitios que se pueden comunicar a
un costo uniforme a través de un transporte entre sitios especificado.

Todos los sitios contenidos en el vínculo del sitio se consideran conectados por medio
del mismo tipo de red. Los sitios deben vincularse manualmente a otros sitios mediante
vínculos de sitio para que los controladores de dominio de un sitio puedan replicar los
cambios de directorio de los controladores de dominio de otro sitio. Dado que los
vínculos de sitio no se corresponden con la ruta de acceso real que toman los paquetes
de red en la red física durante la replicación, no es necesario crear vínculos de sitio
redundantes para mejorar la eficacia de Active Directory replicación.

Cuando dos sitios están conectados mediante un vínculo de sitio, el sistema de

replicación crea automáticamente conexiones entre controladores de dominio
específicos de cada sitio que se denominan servidores de puente. En Windows Server
2008, todos los controladores de dominio de un sitio que hospedan la misma partición
de directorio son candidatos para seleccionarse como servidores de puente. Las
conexiones de replicación creadas por KCC se distribuyen aleatoriamente entre todos
los servidores de puente de puente candidatos de un sitio para compartir la carga de
trabajo de replicación. De forma predeterminada, el proceso de selección aleatoria tiene
lugar solo una vez, cuando los objetos de conexión se agregan por primera vez al sitio.

Puente de vínculo de sitio

Un puente de vínculo de sitio es un Active Directory que representa un conjunto de
vínculos de sitio, todos cuyos sitios pueden comunicarse mediante un transporte
común. Los puentes de vínculo de sitio permiten que los controladores de dominio que
no están conectados directamente mediante un vínculo de comunicación se repliquen
entre sí. Normalmente, un puente de vínculo de sitio se corresponde con un enrutador
(o un conjunto de enrutadores) en una red IP.

De forma predeterminada, KCC puede formar una ruta transitiva a través de todos los
vínculos de sitio que tienen algunos sitios en común. Si este comportamiento está
deshabilitado, cada vínculo de sitio representa su propia red aislada y distinta. Los
conjuntos de vínculos de sitio que se pueden tratar como una sola ruta se expresan a
través de un puente de vínculo de sitio. Cada puente representa un entorno de
comunicación aislado para el tráfico de red.

Los puentes de vínculos de sitio son un mecanismo para representar lógicamente la

conectividad física transitiva entre sitios. Un puente de vínculo de sitio permite a KCC
usar cualquier combinación de los vínculos de sitio incluidos para determinar la ruta
menos costosa para interconectar las particiones de directorio que se mantienen en
esos sitios. El puente de vínculo de sitio no proporciona conectividad real a los
controladores de dominio. Si se quita el puente de vínculo de sitio, la replicación a
través de los vínculos de sitio combinados continuará hasta que KCC quite los vínculos.

Los puentes de vínculo de sitio solo son necesarios si un sitio contiene un controlador
de dominio que hospeda una partición de directorio que no está hospedada en un
controlador de dominio en un sitio adyacente, pero un controlador de dominio que
hospeda esa partición de directorio se encuentra en uno o varios sitios del bosque. Los
sitios adyacentes se definen como dos o más sitios incluidos en un único vínculo de
sitio.

Un puente de vínculo de sitio crea una conexión lógica entre dos vínculos de sitio, lo
que proporciona una ruta de acceso transitiva entre dos sitios desconectados mediante
un sitio provisional. Para los fines del generador de topologías entre sitios (ISTG), el
puente implica conectividad física mediante el sitio provisional. El puente no implica que
un controlador de dominio del sitio provisional proporcione la ruta de acceso de
replicación. Sin embargo, este sería el caso si el sitio provisional contenía un controlador
de dominio que hospedaba la partición de directorio que se va a replicar, en cuyo caso
no se requiere un puente de vínculo de sitio.

Se agrega el costo de cada vínculo de sitio, lo que crea un costo sumado para la ruta de
acceso resultante. El puente de vínculo de sitio se usaría si el sitio provisional no
contiene un controlador de dominio que hospeda la partición de directorio y no existe
un vínculo de menor costo. Si el sitio provisional contenía un controlador de dominio
que hospeda la partición de directorio, dos sitios desconectados configurarían las
conexiones de replicación al controlador de dominio provisional y no usarían el puente.

Transitividad de vínculos de sitio

De forma predeterminada, todos los vínculos de sitio son transitivos o "puentes".
Cuando los vínculos de sitio se une y las programaciones se superponen, el KCC crea
conexiones de replicación que determinan los asociados de replicación del controlador
de dominio entre sitios, donde los sitios no están conectados directamente mediante
vínculos de sitio, pero están conectados transitivamente a través de un conjunto de
sitios comunes. Esto significa que puede conectar cualquier sitio a cualquier otro sitio a
través de una combinación de vínculos de sitio.

En general, para una red totalmente enrutada, no es necesario crear ningún puente de
vínculo de sitio a menos que desee controlar el flujo de cambios de replicación. Si la red
no está totalmente enrutada, se deben crear puentes de vínculo de sitio para evitar
intentos de replicación imposibles. Todos los vínculos de sitio de un transporte
específico pertenecen implícitamente a un único puente de vínculo de sitio para ese
transporte. El puente predeterminado para los vínculos de sitio se produce
automáticamente y ningún objeto Active Directory representa ese puente. La
configuración Puente de todos los vínculos de sitio, que se encuentra en las
propiedades de los contenedores de transporte entre sitios IP y Protocolo simple de
transferencia de correo (SMTP), implementa el puente automático de vínculos de sitio.

７ Nota
 La replicación SMTP no se admite en versiones futuras de AD DS; Por lo tanto, no
se recomienda crear objetos de vínculos de sitio en el contenedor SMTP.

Servidor del catálogo global

Un servidor de catálogo global es un controlador de dominio que almacena información
sobre todos los objetos del bosque, de modo que las aplicaciones pueden buscar AD DS
sin hacer referencia a controladores de dominio específicos que almacenan los datos
solicitados. Al igual que todos los controladores de dominio, un servidor de catálogo
global almacena réplicas con escritura completa de las particiones de directorio de
esquema y configuración y una réplica completa y grabable de la partición de directorio
de dominio para el dominio que hospeda. Además, un servidor de catálogo global
almacena una réplica parcial de solo lectura de todos los demás dominios del bosque.
Las réplicas de dominio parciales y de solo lectura contienen todos los objetos del
dominio, pero solo un subconjunto de los atributos (los atributos que se usan con más
frecuencia para buscar el objeto).

Caché de pertenencia al grupo universal

El almacenamiento en caché de pertenencia a grupos universal permite al controlador
de dominio almacenar en caché la información de pertenencia a grupos universal para
los usuarios. Puede habilitar controladores de dominio que ejecutan Windows Server
2008 para almacenar en caché las pertenencias a grupos universales mediante el
complemento Active Directory Sites and Services.

La habilitación del almacenamiento en caché de pertenencia a grupos universal elimina

la necesidad de un servidor de catálogo global en cada sitio de un dominio, lo que
minimiza el uso del ancho de banda de red porque un controlador de dominio no
necesita replicar todos los objetos ubicados en el bosque. También reduce los tiempos
de inicio de sesión porque los controladores de dominio de autenticación no siempre
necesitan acceder a un catálogo global para obtener información de pertenencia a
grupos universal. Para obtener más información sobre cuándo usar el almacenamiento
en caché de pertenencia a grupos universal, vea Planning Global Catalog Server
Placement.
Recopilar información de red
Artículo • 21/12/2022 • Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

El primer paso para diseñar una topología de sitio eficaz en Active Directory Domain
Services (AD DS) es consultar al grupo de redes de su organización para recopilar
información y comunicarse con ellos con regularidad sobre la topología de red física.

Creación de un mapa de ubicación

Cree un mapa de ubicación que represente la infraestructura de red física de su
organización. En el mapa de ubicación, identifique las ubicaciones geográficas que
contienen grupos de equipos con conectividad interna de 10 megabits por segundo
(Mbps) o superior (velocidad de red de área local (LAN) o superior).

Enumeración de vínculos de comunicación y

ancho de banda disponible
Después de crear un mapa de ubicación, documente el tipo de vínculo de comunicación,
su velocidad de vínculo y el ancho de banda disponible entre cada ubicación. Obtenga
una topología de red de área extensa (WAN) del grupo de redes. Para obtener una lista
de los tipos de circuito WAN comunes y sus anchos de banda, consulte la sección
"Determinación del costo" en Creación de un diseño de vínculos de sitio. Necesitará esta
información para crear vínculos de sitio más adelante en el proceso de diseño de
topología de sitio.

Ancho de banda hace referencia a la cantidad de datos que puede transmitir a través de
un canal de comunicación en un período de tiempo determinado. Ancho de banda
disponible hace referencia a la cantidad de ancho de banda realmente disponible para
su uso por AD DS. Puede obtener información de ancho de banda disponible del grupo
de redes o puede analizar el tráfico en cada vínculo mediante un analizador de
protocolos como Monitor de red. Para obtener información sobre la instalación Monitor
de red, consulte el artículo Supervisión del tráfico de red.

Documente cada ubicación y las demás ubicaciones que están vinculadas a ella.
Además, registre el tipo de vínculo de comunicación y su ancho de banda disponible.
Para obtener una hoja de cálculo que le ayude a enumerar los vínculos de comunicación
y el ancho de banda disponible, consulte Ayuda para trabajos para el Kit de
implementación de Windows Server 2003 , descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra
"Ubicaciones geográficas y vínculos de comunicación" (DSSTOPO_1.doc).

Enumeración de subredes IP dentro de cada

ubicación
Después de documentar los vínculos de comunicación y el ancho de banda disponible
entre cada ubicación, registre las subredes IP dentro de cada ubicación. Si aún no
conoce la máscara de subred y la dirección IP dentro de cada ubicación, consulte el
grupo de redes.

AD DS asocia una estación de trabajo a un sitio comparando la dirección IP de la

estación de trabajo con las subredes asociadas a cada sitio. A medida que agrega
controladores de dominio a un dominio, AD DS también examina sus direcciones IP y
los coloca en el sitio más adecuado.

Para obtener una hoja de cálculo que le ayude a enumerar las subredes IP dentro de
cada ubicación, consulte Job Aids for Windows Server 2003 Deployment Kit (Ayuda de
trabajo para el kit de implementación de Windows Server 2003), descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra
"Ubicaciones y subredes" (DSSTOPO_2.doc).

７ Nota

Además de las direcciones IP de la versión 4 (IPv4), Windows Server también

admite prefijos de subred ip versión 6 (IPv6). Para obtener una hoja de cálculo que
le ayude a enumerar los prefijos de subred IPv6, consulte Apéndice A: Ubicaciones
y prefijos de subred.

Enumeración de dominios y número de

usuarios para cada ubicación
El número de usuarios para cada dominio regional representado en una ubicación es
uno de los factores que determinan la ubicación de los controladores de dominio
regionales y los servidores de catálogo global, que es el siguiente paso en el proceso de
diseño de la topología del sitio. Por ejemplo, planee colocar un controlador de dominio
regional en una ubicación que contenga más de 100 usuarios de dominio regional para
que puedan seguir iniciando sesión en el dominio si se produce un error en el vínculo
WAN.

Registre las ubicaciones, los dominios que se representan en cada ubicación y el número
de usuarios para cada dominio representado en cada ubicación. Para obtener una hoja
de cálculo que le ayude a enumerar los dominios y el número de usuarios representados
en cada ubicación, consulte Ayuda para trabajos para el Kit de implementación de
Windows Server 2003 , descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra
"Dominios y usuarios en cada ubicación" (DSSTOPO_3.doc).
Planear la ubicación del controlador de
dominio
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Después de recopilar toda la información de red que se usará para diseñar la topología
de sitio, planee dónde desea colocar controladores de dominio, incluidos los
controladores de dominio raíz del bosque, los controladores de dominio regionales, los
titulares de roles maestros de operaciones y los servidores de catálogo global.

En Windows Server 2008, también puede aprovechar los controladores de dominio de

solo lectura (RODC). Un RODC es un tipo de controlador de dominio nuevo que
hospeda particiones de sólo lectura de la base de datos de Active Directory. Excepto las
contraseñas de cuenta, un RODC contiene todos los Active Directory y atributos que
contiene un controlador de dominio que se puede escribir. Sin embargo, no se pueden
realizar cambios en la base de datos almacenada en el RODC. Los cambios deben
realizarse en un controlador de dominio grabable y, a continuación, replicarse de nuevo
en el RODC.

Un RODC está diseñado principalmente para implementarse en entornos remotos o de

sucursales, que normalmente tienen relativamente pocos usuarios, una seguridad física
deficiente, un ancho de banda de red relativamente bajo en un sitio del centro y
personal con un conocimiento limitado de la tecnología de la información (TI). La
implementación de RODC da como resultado una mayor seguridad y un acceso más
eficaz a los recursos de red. Para obtener más información sobre las características rodc,
vea AD DS: Read-Only controladores de dominio. Para obtener información sobre cómo
implementar un RODC, consulte la Guía paso a paso de controladores de dominio de
solo lectura.

７ Nota

En esta guía no se explica cómo determinar el número adecuado de controladores

de dominio y los requisitos de hardware del controlador de dominio para cada
dominio representado en cada sitio.

En esta sección
Planear la ubicación del controlador de dominio de raíz del bosque

Planear la selección de ubicación del controlador de dominio regional

Planear la ubicación del servidor de catálogo global

Planear la ubicación del rol de maestro de operaciones

Planear la ubicación del controlador de
dominio de raíz del bosque
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Los controladores de dominio raíz del bosque son necesarios para crear rutas de acceso
de confianza para los clientes que necesitan acceder a recursos en dominios distintos de
los suyos propios. Coloque los controladores de dominio raíz del bosque en ubicaciones
del centro y en ubicaciones que hospedan centros de datos. Si los usuarios de una
ubicación determinada necesitan acceder a recursos de otros dominios de la misma
ubicación y la disponibilidad de red entre el centro de datos y la ubicación del usuario
no es confiable, puede agregar un controlador de dominio raíz de bosque en la
ubicación o crear una relación de confianza de acceso directo entre los dos dominios. Es
más rentable crear una relación de confianza de acceso directo entre los dominios a
menos que tenga otras razones para colocar un controlador de dominio raíz de bosque
en esa ubicación.

Las confianzas de acceso directo ayudan a optimizar las solicitudes de autenticación

realizadas desde usuarios ubicados en cualquiera de los dominios. Para obtener más
información sobre las confianzas de acceso directo entre dominios, vea el artículo
Descripción de cuándo crear una relación de confianza de acceso directo.

Para obtener una hoja de cálculo que le ayude a documentar la ubicación del
controlador de dominio raíz del bosque, consulte Job Aids for Windows Server 2003
Deployment Kit (Ayuda de trabajo para el kit de implementación de Windows Server
2003), descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra
"Selección de ubicación del controlador de dominio" (DSSTOPO_4.doc).

Tendrá que hacer referencia a esta información al crear el dominio raíz del bosque. Para
obtener más información sobre cómo implementar el dominio raíz del bosque, vea
Deploying a Windows Server 2008 Forest Root Domain.
Planificación de la ubicación del
controlador de dominio regional
Artículo • 29/09/2022 • Tiempo de lectura: 7 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Para garantizar la rentabilidad, planee colocar los controladores de dominio regionales

más adecuados. En primer lugar, revise la hoja de cálculo "Ubicaciones geográficas y
vínculos de comunicación" (DSSTOPO_1.doc) usada en Recopilar información de red
para determinar si una ubicación es un centro.

Planee colocar controladores de dominio regionales para cada dominio representado en

cada ubicación central. Después de colocar controladores de dominio regionales en
todas las ubicaciones de concentrador, evalúe la necesidad de colocar controladores de
dominio regionales en ubicaciones satélite. La eliminación de controladores de dominio
regionales innecesarios de ubicaciones satélite reduce los costos de soporte técnico
necesarios para mantener una infraestructura de servidor remoto.

Además, asegúrese de la seguridad física de los controladores de dominio en

ubicaciones de concentrador y satélite para que el personal no autorizado no pueda
acceder a ellos. No coloque controladores de dominio grabables en ubicaciones de
concentrador y satélite en las que no pueda garantizar la seguridad física del
controlador de dominio. Una persona que tiene acceso físico a un controlador de
dominio grabable puede atacar el sistema mediante:

Para acceder a discos físicos, inicie un sistema operativo alternativo en un

controlador de dominio.
Quitar (y posiblemente reemplazar) discos físicos en un controlador de dominio.
Obtener y manipular una copia de una copia de seguridad del estado del sistema
del controlador de dominio.

Agregue controladores de dominio regionales grabables solo a ubicaciones en las que

pueda garantizar su seguridad física.

En ubicaciones con seguridad física inadecuada, la implementación de un controlador

de dominio de solo lectura (RODC) es la solución recomendada. Excepto para las
contraseñas de cuenta, un RODC contiene todos los objetos y atributos de Active
Directory que contiene un controlador de dominio grabable. Sin embargo, no se
pueden realizar cambios en la base de datos almacenada en el RODC. Los cambios se
deben realizar en un controlador de dominio grabable y, a continuación, volver a
replicarse en el RODC.

Para autenticar los inicios de sesión de cliente y el acceso a servidores de archivos

locales, la mayoría de las organizaciones colocan controladores de dominio regionales
para todos los dominios regionales representados en una ubicación determinada. Sin
embargo, debe tener en cuenta muchas variables al evaluar si una ubicación empresarial
requiere que sus clientes tengan autenticación local o que los clientes puedan confiar en
la autenticación y la consulta a través de un vínculo de red de área extensa (WAN). En la
ilustración siguiente se muestra cómo determinar si se deben colocar controladores de
dominio en ubicaciones satélite.

Disponibilidad de conocimientos técnicos in

situ
Los controladores de dominio deben administrarse continuamente por varias razones.
Coloque un controlador de dominio regional solo en ubicaciones que incluyan personal
que pueda administrar el controlador de dominio o asegúrese de que el controlador de
dominio se pueda administrar de forma remota.
En entornos de sucursales con poca seguridad física y personal con poco conocimiento
de tecnología de la información, la implementación de un RODC suele ser la solución
recomendada. Los permisos administrativos locales para un RODC se pueden delegar a
cualquier usuario de dominio sin concederle ningún derecho de usuario para el dominio
u otros controladores de dominio. Esto permite a un usuario de rama local iniciar sesión
en un RODC y realizar trabajos de mantenimiento en el servidor, como actualizar un
controlador. Sin embargo, el usuario de la rama no puede iniciar sesión en ningún otro
controlador de dominio ni realizar ninguna otra tarea administrativa en el dominio. De
este modo, el usuario de la rama puede delegar la capacidad de administrar
eficazmente el RODC en la sucursal sin poner en peligro la seguridad del resto del
dominio o del bosque.

Disponibilidad de vínculos WAN

Los vínculos WAN que experimentan interrupciones frecuentes pueden provocar una
pérdida significativa de productividad a los usuarios si la ubicación no incluye un
controlador de dominio que pueda autenticar a los usuarios. Si la disponibilidad del
vínculo WAN no es del 100 % y los sitios remotos no pueden tolerar una interrupción
del servicio, coloque un controlador de dominio regional en ubicaciones donde los
usuarios requieran la capacidad de iniciar sesión o intercambiar el acceso al servidor
cuando el vínculo WAN esté inactivo.

Disponibilidad de autenticación
Ciertas organizaciones, como los bancos, requieren que los usuarios se autentiquen en
todo momento. Coloque un controlador de dominio regional en una ubicación donde la
disponibilidad del vínculo WAN no sea del 100 por ciento, pero los usuarios requieren
autenticación en todo momento.

Rendimiento de inicio de sesión a través de

vínculos WAN
Si la disponibilidad del vínculo WAN es muy confiable, colocar un controlador de
dominio en la ubicación depende de los requisitos de rendimiento de inicio de sesión a
través del vínculo WAN. Los factores que influyen en el rendimiento del inicio de sesión
en la WAN incluyen velocidad de vínculo y ancho de banda disponible, número de
usuarios y perfiles de uso, y la cantidad de tráfico de red de inicio de sesión frente al
tráfico de replicación.
Velocidad del vínculo WAN y uso del ancho de banda
Las actividades de un solo usuario pueden congestán un vínculo WAN lento. Coloque un
controlador de dominio en una ubicación si el rendimiento de inicio de sesión a través
del vínculo WAN es inaceptable.

El porcentaje medio de uso del ancho de banda indica cómo se congeste un vínculo de
red. Si un vínculo de red tiene un uso medio de ancho de banda mayor que un valor
aceptable, coloque un controlador de dominio en esa ubicación.

Número de usuarios y perfiles de uso

El número de usuarios y sus perfiles de uso en una ubicación determinada puede ayudar
a determinar si necesita colocar controladores de dominio regionales en esa ubicación.
Para evitar la pérdida de productividad si se produce un error en un vínculo WAN,
coloque un controlador de dominio regional en una ubicación que tenga 100 o más
usuarios.

Los perfiles de uso indican cómo usan los usuarios los recursos de red. No es necesario
colocar un controlador de dominio en una ubicación que contenga solo unos pocos
usuarios que no accedan con frecuencia a los recursos de red.

Tráfico de red de inicio de sesión frente al tráfico de

replicación
Si un controlador de dominio no está disponible en la misma ubicación que el cliente de
Active Directory, el cliente crea tráfico de inicio de sesión en la red. La cantidad de
tráfico de red de inicio de sesión que se crea en la red física se ve afectada por varios
factores, incluidas las pertenencias a grupos; número y tamaño de directiva de grupo
objetos (GPO); scripts de inicio de sesión y características como carpetas sin conexión,
redireccionamiento de carpetas y perfiles móviles.

Por otro lado, un controlador de dominio que se coloca en una ubicación determinada
genera tráfico de replicación en la red. La frecuencia y la cantidad de actualizaciones
realizadas en las particiones hospedadas en los controladores de dominio influyen en la
cantidad de tráfico de replicación que se crea en la red. Los diferentes tipos de
actualizaciones que se pueden realizar en las particiones hospedadas en los
controladores de dominio incluyen agregar o cambiar usuarios y atributos de usuario,
cambiar contraseñas y agregar o cambiar grupos globales, impresoras o volúmenes.

Para determinar si necesita colocar un controlador de dominio regional en una

ubicación, compare el costo del tráfico de inicio de sesión creado por una ubicación sin
un controlador de dominio frente al costo del tráfico de replicación creado colocando
un controlador de dominio en la ubicación.

Por ejemplo, considere una red que tenga sucursales conectadas a través de vínculos
lentos a la sede central y en la que se puedan agregar fácilmente controladores de
dominio. Si el tráfico de búsqueda de directorios y de inicio de sesión diario de algunos
usuarios remotos del sitio provoca más tráfico de red que la replicación de todos los
datos de la empresa en la rama, considere la posibilidad de agregar un controlador de
dominio a la rama.

Si reducir el costo de mantener controladores de dominio es más importante que el

tráfico de red, centralice los controladores de dominio para ese dominio y no coloque
ningún controlador de dominio regional en la ubicación o considere la posibilidad de
colocar rodC en la ubicación.

Para obtener una hoja de cálculo que le ayude a documentar la ubicación de los
controladores de dominio regionales y el número de usuarios para cada dominio
representado en cada ubicación, vea Ayudas para trabajos para Windows Kit de
implementación de Server 2003 , descargar
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abrir
"Ubicación del controlador de dominio" (DSSTOPO_4.doc).

Tendrá que hacer referencia a la información sobre las ubicaciones en las que necesita
colocar controladores de dominio regionales al implementar dominios regionales. Para
obtener más información sobre la implementación de dominios regionales, vea
Deploying Windows Server 2008 Regional Domains(Implementación de dominios
regionales de Windows Server 2008).
Planear la ubicación del servidor de
catálogo global
Artículo • 29/09/2022 • Tiempo de lectura: 5 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

La colocación global del catálogo requiere planeación, excepto si tiene un bosque de un

solo dominio. En un bosque de un solo dominio, configure todos los controladores de
dominio como servidores de catálogo global. Dado que cada controlador de dominio
almacena la única partición de directorio de dominio en el bosque, la configuración de
cada controlador de dominio como servidor de catálogo global no requiere ningún uso
adicional del espacio en disco, el uso de CPU ni el tráfico de replicación. En un bosque
de un solo dominio, todos los controladores de dominio actúan como servidores de
catálogos globales virtuales; es decir, todos pueden responder a cualquier solicitud de
autenticación o servicio. Esta condición especial para bosques de dominio único es por
diseño. Las solicitudes de autenticación no requieren ponerse en contacto con un
servidor de catálogo global como cuando hay varios dominios y un usuario puede ser
miembro de un grupo universal que exista en un dominio diferente. Sin embargo, solo
los controladores de dominio designados como servidores de catálogo global pueden
responder a consultas de catálogo global en el puerto de catálogo global 3268. Para
simplificar la administración en este escenario y garantizar respuestas coherentes, la
designación de todos los controladores de dominio como servidores de catálogo global
elimina la preocupación por la que los controladores de dominio pueden responder a
las consultas de catálogo globales. En concreto, cada vez que un usuario usa
Start\Search\For People o Find Printers o expande Grupos universales, estas solicitudes
solo van al catálogo global.

En bosques de varios dominios, los servidores de catálogo global facilitan las solicitudes
de inicio de sesión de usuario y las búsquedas en todo el bosque. En la ilustración
siguiente se muestra cómo determinar qué ubicaciones requieren servidores de
catálogo global.
En la mayoría de los casos, se recomienda incluir el catálogo global al instalar nuevos
controladores de dominio. Se aplican las excepciones siguientes:

Ancho de banda limitado: en sitios remotos, si el vínculo de red de área extensa

(WAN) entre el sitio remoto y el sitio concentrador está limitado, puede usar el
almacenamiento en caché de pertenencia a grupos universales en el sitio remoto
para adaptarse a las necesidades de inicio de sesión de los usuarios del sitio.
Incompatibilidad del rol maestro de operaciones de infraestructura: no coloque el
catálogo global en un controlador de dominio que hospede el rol maestro de
operaciones de infraestructura en el dominio a menos que todos los controladores
de dominio del dominio sean servidores de catálogo global o el bosque tenga solo
un dominio.

Adición de servidores de catálogo globales en

función de los requisitos de la aplicación
Ciertas aplicaciones, como Microsoft Exchange, Message Queuing (también conocido
como MSMQ), y las aplicaciones que usan DCOM no ofrecen una respuesta adecuada a
través de vínculos WAN latentes y, por lo tanto, necesitan una infraestructura de
catálogo global de alta disponibilidad para proporcionar una latencia de consulta baja.
Determine si las aplicaciones que tienen un rendimiento deficiente en un vínculo WAN
lento se ejecutan en ubicaciones o si las ubicaciones requieren Microsoft Exchange
Server. Si las ubicaciones incluyen aplicaciones que no ofrecen una respuesta adecuada
a través de un vínculo WAN, debe colocar un servidor de catálogo global en la ubicación
para reducir la latencia de las consultas.

７ Nota

Los controladores de dominio de solo lectura (RODC) se pueden promover

correctamente al estado del servidor de catálogo global. Sin embargo,
determinadas aplicaciones habilitadas para directorios no pueden admitir un RODC
como servidor de catálogo global. Por ejemplo, ninguna versión de Microsoft
Exchange Server usa RODC. Sin embargo, Microsoft Exchange Server funciona en
entornos que incluyen RODC, siempre y cuando haya controladores de dominio
grabables disponibles. Exchange Server 2007 omite eficazmente los RODC.
Exchange Server 2003 también omite los RODC en condiciones predeterminadas en
las que los componentes de Exchange detectan automáticamente los controladores
de dominio disponibles. No se realizaron cambios en Exchange Server 2003 para
que sea consciente de los servidores de directorios de solo lectura. Por lo tanto,
intentar forzar Exchange Server servicios y herramientas de administración de 2003
para usar RODC puede dar lugar a un comportamiento impredecible.

Adición de servidores de catálogo global para

un gran número de usuarios
Coloque servidores de catálogo global en todas las ubicaciones que contengan más de
100 usuarios para reducir la congestión de los vínculos WAN de red y para evitar la
pérdida de productividad en caso de error de vínculo WAN.

Uso del ancho de banda de alta disponibilidad

No es necesario colocar un catálogo global en una ubicación que no incluya
aplicaciones que requieran un servidor de catálogo global, incluya menos de 100
usuarios y también esté conectada a otra ubicación que incluya un servidor de catálogo
global mediante un vínculo WAN que esté disponible para Servicios de dominio de
Active Directory (AD DS). En este caso, los usuarios pueden acceder al servidor de
catálogo global a través del vínculo WAN.
Los usuarios móviles deben ponerse en contacto con los servidores de catálogo global
siempre que inicien sesión por primera vez en cualquier ubicación. Si el tiempo de inicio
de sesión a través del vínculo WAN es inaceptable, coloque un catálogo global en una
ubicación visitada por un gran número de usuarios móviles.

Habilitación del almacenamiento en caché de

pertenencia a grupos universales
En el caso de las ubicaciones que incluyen menos de 100 usuarios y que no incluyen un
gran número de usuarios o aplicaciones móviles que requieren un servidor de catálogo
global, puede implementar controladores de dominio que ejecutan Windows Server
2008 y habilitar el almacenamiento en caché de pertenencia a grupos universales.
Asegúrese de que los servidores de catálogo global no son más de un salto de
replicación del controlador de dominio en el que está habilitado el almacenamiento en
caché de pertenencia a grupos universales para que se pueda actualizar la información
del grupo universal en la memoria caché. Para obtener información sobre cómo
funciona el almacenamiento en caché de grupos universales, consulte el artículo
Funcionamiento del catálogo global.

Para obtener una hoja de cálculo que le ayude a documentar dónde planea colocar
servidores de catálogos globales y controladores de dominio con el almacenamiento en
caché de grupos universales habilitado, vea Ayudas al trabajo para Windows Server 2003
Deployment Kit , descargar
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abrir
ubicación del controlador de dominio (DSSTOPO_4.doc). Consulte la información sobre
las ubicaciones en las que necesita colocar servidores de catálogo global al implementar
el dominio raíz del bosque y los dominios regionales.
Planear la ubicación del rol de maestro
de operaciones
Artículo • 29/09/2022 • Tiempo de lectura: 8 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Active Directory Domain Services (AD DS) admite la replicación multimaster de datos de
directorio, lo que significa que cualquier controlador de dominio puede aceptar cambios
de directorio y replicar los cambios en todos los demás controladores de dominio. Sin
embargo, ciertos cambios, como las modificaciones del esquema, no son prácticos para
realizarse de forma multimaster. Por este motivo, determinados controladores de
dominio, conocidos como maestros de operaciones, tienen roles responsables de
aceptar solicitudes para determinados cambios específicos.

７ Nota

Los titulares de roles maestros de operaciones deben ser capaces de escribir

información en la base de Active Directory datos. Debido a la naturaleza de solo
lectura de la base de datos Active Directory en un controlador de dominio de solo
lectura (RODC), los RODC no pueden actuar como titulares de roles maestros de
operaciones.

Existen tres roles maestros de operaciones (también conocidos como operaciones

maestras únicas flexibles o FSMO) en cada dominio:

El maestro de operaciones del emulador del controlador de dominio principal

(PDC) procesa todas las actualizaciones de contraseñas.

El maestro de operaciones de identificador relativo (RID) mantiene el grupo de RID

global para el dominio y asigna grupos de RID locales a todos los controladores de
dominio para asegurarse de que todas las entidades de seguridad creadas en el
dominio tienen un identificador único.

El maestro de operaciones de infraestructura para un dominio determinado

mantiene una lista de las entidades de seguridad de otros dominios que son
miembros de grupos dentro de su dominio.

Además de los tres roles maestros de operaciones de nivel de dominio, existen dos roles
maestros de operaciones en cada bosque:
 El maestro de operaciones de esquema rige los cambios en el esquema.
El maestro de operaciones de nomenclatura de dominio agrega y quita dominios y
otras particiones de directorio (por ejemplo, particiones de aplicación del Sistema
de nombres de dominio (DNS) hacia y desde el bosque.

Coloque los controladores de dominio que hospedan estos roles maestros de

operaciones en áreas donde la confiabilidad de la red es alta y asegúrese de que el
emulador de PDC y el maestro rid estén disponibles de forma coherente.

Los titulares de roles maestros de operaciones se asignan automáticamente cuando se

crea el primer controlador de dominio de un dominio determinado. Los dos roles de
nivel de bosque (maestro de esquema y maestro de nomenclatura de dominio) se
asignan al primer controlador de dominio creado en un bosque. Además, los tres roles
de nivel de dominio (maestro rid, maestro de infraestructura y emulador de PDC) se
asignan al primer controlador de dominio creado en un dominio.

７ Nota

Las asignaciones de titulares de roles maestros de operaciones automáticas solo se

realizan cuando se crea un nuevo dominio y cuando se degrada un titular de roles
actual. Todos los demás cambios en los propietarios de roles deben iniciarse por un
administrador.

Estas asignaciones de roles maestros de operaciones automáticas pueden provocar un

uso muy elevado de CPU en el primer controlador de dominio creado en el bosque o en
el dominio. Para evitar esto, asigne (transfiera) roles maestros de operaciones a varios
controladores de dominio del bosque o dominio. Coloque los controladores de dominio
que hospedan los roles maestros de operaciones en áreas en las que la red es confiable
y donde todos los demás controladores de dominio del bosque pueden acceder a los
maestros de operaciones.

También debe designar maestros de operaciones en espera (alternativos) para todos los
roles maestros de operaciones. Los maestros de operaciones en espera son
controladores de dominio a los que puede transferir los roles maestros de operaciones
en caso de que se presente un error en los titulares de roles originales. Asegúrese de
que los maestros de operaciones en espera son asociados de replicación directa de los
maestros de operaciones reales.

Planeamiento de la selección de ubicación del

emulador de PDC
El emulador de PDC procesa los cambios de contraseña de cliente. Solo un controlador
de dominio actúa como emulador de PDC en cada dominio del bosque.

Incluso si todos los controladores de dominio se actualizan Windows Windows 2000,

Windows Server 2003 y Windows Server 2008, y el dominio funciona en el nivel
funcional nativo de Windows 2000, el emulador de PDC recibe la replicación preferente
de los cambios de contraseña realizados por otros controladores de dominio del
dominio. Si se cambió recientemente una contraseña, ese cambio tarda tiempo en
replicarse en todos los controladores de dominio del dominio. Si se produce un error en
la autenticación de inicio de sesión en otro controlador de dominio debido a una
contraseña incorrecta, dicho controlador reenvía la solicitud de autenticación al
emulador de PDC antes de decidir si acepta o rechaza el intento de inicio de sesión.

Coloque el emulador de PDC en una ubicación que contenga un gran número de

usuarios de ese dominio para las operaciones de reenvío de contraseñas si es necesario.
Además, asegúrese de que la ubicación está bien conectada a otras ubicaciones para
minimizar la latencia de replicación.

Para obtener una hoja de cálculo que le ayude a documentar la información sobre
dónde planea colocar emuladores de PDC y el número de usuarios para cada dominio
representado en cada ubicación, consulte Ayuda para trabajos para el Kit de
implementación de Windows Server 2003 , descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra Selección
de ubicación del controlador de dominio (DSSTOPO_4.doc).

Debe consultar la información sobre las ubicaciones en las que debe colocar
emuladores de PDC al implementar dominios regionales. Para obtener más información
sobre la implementación de dominios regionales, vea Implementación Windows
Dominios regionales de Server 2008.

Requisitos para la selección de ubicación del

maestro de infraestructura
El maestro de infraestructura actualiza los nombres de las entidades de seguridad de
otros dominios que se agregan a grupos en su propio dominio. Por ejemplo, si un
usuario de un dominio es miembro de un grupo de un segundo dominio y el nombre
del usuario cambia en el primer dominio, no se notifica al segundo dominio que el
nombre del usuario debe actualizarse en la lista de pertenencia del grupo. Dado que los
controladores de dominio de un dominio no replican entidades de seguridad en
controladores de dominio de otro dominio, el segundo dominio nunca es consciente del
cambio en ausencia del maestro de infraestructura.
El maestro de infraestructura supervisa constantemente las pertenencias a grupos y
busca entidades de seguridad de otros dominios. Si encuentra una, comprueba con el
dominio de la entidad de seguridad para comprobar que la información está
actualizada. Si la información no está actualizada, el maestro de infraestructura realiza la
actualización y, a continuación, replica el cambio en los demás controladores de
dominio de su dominio.

Se aplican dos excepciones a esta regla. En primer lugar, si todos los controladores de
dominio son servidores de catálogo global, el controlador de dominio que hospeda el
rol maestro de infraestructura es insignificante porque los catálogos globales replican la
información actualizada independientemente del dominio al que pertenezcan. En
segundo lugar, si el bosque tiene solo un dominio, el controlador de dominio que
hospeda el rol maestro de infraestructura es insignificante porque las entidades de
seguridad de otros dominios no existen.

No coloque el maestro de infraestructura en un controlador de dominio que también

sea un servidor de catálogo global. Si el maestro de infraestructura y el catálogo global
están en el mismo controlador de dominio, el maestro de infraestructura no funcionará.
El maestro de infraestructura nunca encontrará datos que no están actualizados; por lo
tanto, nunca replicará ningún cambio en los demás controladores de dominio del
dominio.

Ubicación del maestro de operaciones para

redes con conectividad limitada
Tenga en cuenta que si su entorno tiene una ubicación central o un sitio central en el
que puede colocar los titulares de roles maestros de operaciones, ciertas operaciones de
controlador de dominio que dependen de la disponibilidad de esos titulares de roles
maestros de operaciones podrían verse afectadas.

Por ejemplo, supongamos que una organización crea sitios A, B, C y D. Existen vínculos
de sitio entre A y B, entre B y C, y entre C y D. La conectividad de red refleja
exactamente la conectividad de red de los vínculos de sitios. En este ejemplo, todos los
roles maestros de operaciones se colocan en el sitio A y la opción Puente de todos los
vínculos de sitio no está seleccionada.

Aunque esta configuración da como resultado una replicación correcta entre todos los
sitios, las funciones de rol maestro de operaciones tienen las siguientes limitaciones:

Los controladores de dominio de los sitios C y D no pueden acceder al emulador

de PDC en el sitio A para actualizar una contraseña o comprobar si hay una
contraseña que se haya actualizado recientemente.
 Los controladores de dominio de los sitios C y D no pueden acceder al maestro rid
del sitio A para obtener un grupo de RID inicial después de la instalación de Active
Directory y para actualizar los grupos de RID a medida que se agotan.
Los controladores de dominio de los sitios C y D no pueden agregar ni quitar
particiones de directorio, DNS o aplicaciones personalizadas.
Los controladores de dominio de los sitios C y D no pueden realizar cambios de
esquema.

Para obtener una hoja de cálculo que le ayude a planear la colocación de roles maestros
de operaciones, vea Ayuda para trabajos para el Kit de implementación de Windows
Server 2003 , descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra Selección
de ubicación del controlador de dominio (DSSTOPO_4.doc).

Tendrá que hacer referencia a esta información al crear el dominio raíz del bosque y los
dominios regionales. Para obtener más información sobre cómo implementar el
dominio raíz del bosque, vea Deploying a Deploying a Windows Server 2008 Forest Root
Domain. Para obtener más información sobre la implementación de dominios
regionales, vea Implementación Windows Dominios regionales de Server 2008.

Pasos siguientes
Puede encontrar información adicional sobre la selección de ubicación de roles de
FSMO en el tema de soporte técnico Selección de ubicación y optimización de FSMO
Active Directory controladores de dominio
Crear un diseño de sitio
Artículo • 29/09/2022 • Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

La creación de un diseño de sitio implica decidir qué ubicaciones se convertirán en

sitios, crear objetos de sitio, crear objetos de subred y asociar las subredes a sitios.

Decidir qué ubicaciones se convertirán en sitios

Decida para qué ubicaciones crear sitios de la siguiente manera:

Cree sitios para todas las ubicaciones en las que planea colocar controladores de
dominio. Consulte la información documentada en la hoja de cálculo "Selección de
ubicación del controlador de dominio" (DSSTOPO_4.doc) para identificar las
ubicaciones que incluyen controladores de dominio.
Cree sitios para esas ubicaciones que incluyen servidores que ejecutan aplicaciones
que requieren que se cree un sitio. Determinadas aplicaciones, como Sistema de
archivos distribuido espacios de nombres (DFSN), usan objetos de sitio para buscar
los servidores más cercanos a los clientes.

７ Nota

Si su organización tiene varias redes cercanas con conexiones rápidas y confiables,

puede incluir todas las subredes de esas redes en un único Active Directory sitio.
Por ejemplo, si la latencia de red de retorno de ida y vuelta entre dos servidores de
subredes diferentes es de 10 ms o menos, puede incluir ambas subredes en el
mismo Active Directory sitio. Si la latencia de red entre las dos ubicaciones es
superior a 10 ms, no debe incluir las subredes en un único Active Directory sitio.
Incluso cuando la latencia es de 10 ms o menos, puede optar por implementar
sitios independientes si desea segmentar el tráfico entre sitios para Active Directory
aplicaciones basadas en aplicaciones.

Si un sitio no es necesario para una ubicación, agregue la subred de la ubicación a

un sitio para el que la ubicación tenga la velocidad máxima de red de área extensa
(WAN) y el ancho de banda disponible.
Documente las ubicaciones que se convertirán en sitios y las direcciones de red y las
máscaras de subred dentro de cada ubicación. Para obtener una hoja de cálculo que le
ayude a documentar sitios, consulte Job Aids for Windows Server 2003 Deployment
Kit (Ayuda de trabajo para el kit de implementación de Windows Server 2003),
descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y
abra "Asociar subredes con sitios" (DSSTOPO_6.doc).

Creación de un diseño de objeto de sitio

Para cada ubicación en la que haya decidido crear sitios, planee crear objetos de sitio en
Active Directory Domain Services (AD DS). Ubicaciones de documentos que se
convertirán en sitios en la hoja de cálculo "Asociar subredes con sitios".

Para obtener más información sobre cómo crear objetos de sitio, vea el artículo
Creación de un sitio.

Creación de un diseño de objeto de subred

Para cada subred IP y máscara de subred asociada a cada ubicación, planee crear
objetos de subred en AD DS que representen todas las direcciones IP dentro del sitio.

Al crear un Active Directory de subred, la información sobre la subred IP de red y la

máscara de subred se traduce automáticamente en el formato de notación de longitud
de prefijo de red dirección IP<>/<longitud de prefijo>. Por ejemplo, la dirección IP de
red versión 4 (IPv4) 172.16.4.0 con una máscara de subred 255.255.252.0 aparece como
172.16.4.0/22. Además de las direcciones IPv4, Windows Server 2008 también admite
prefijos de subred ip versión 6 (IPv6), por ejemplo, 3FFE:FFFF:0:C000::/64. Para obtener
más información sobre las subredes IP de cada ubicación, vea la hoja de cálculo
"Ubicaciones y subredes" (DSSTOPO_2.doc) en Recopilación de información de red y
Apéndice A: Ubicaciones y prefijos de subred.

Asocie cada objeto de subred a un objeto de sitio haciendo referencia a la hoja de

cálculo "Asociar subredes con sitios" (DSSTOPO_6.doc) de la sección "Decidir qué
ubicaciones se convertirán en sitios" para determinar qué subred se va a asociar con qué
sitio. Documente el Active Directory de subred asociado a cada ubicación en la hoja de
cálculo "Asociar subredes con sitios" (DSSTOPO_6.doc).

Para más información sobre cómo crear objetos de subred, consulte el artículo Creación
de una subred.
Crear un diseño de vínculo de sitio
Artículo • 21/12/2022 • Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Cree un diseño de vínculo de sitio para conectar los sitios con vínculos de sitio. Los
vínculos de sitio reflejan la conectividad entre sitios y el método que se usa para
transferir el tráfico de replicación. Debe conectar sitios con vínculos de sitio para que los
controladores de dominio de cada sitio puedan replicar Active Directory cambios.

Conexión de sitios con vínculos a sitios

Para conectar sitios con vínculos de sitio, identifique los sitios miembro que desea
conectar con el vínculo de sitio, cree un objeto de vínculo de sitio en el contenedor de
transportes de Inter-Site correspondiente y, a continuación, asigne el nombre vínculo al
sitio. Después de crear el vínculo de sitio, puede continuar para establecer las
propiedades del vínculo de sitio.

Al crear vínculos de sitio, asegúrese de que todos los sitios se incluyen en un vínculo de
sitio. Además, asegúrese de que todos los sitios están conectados entre sí a través de
otros vínculos de sitio para que los cambios se puedan replicar desde controladores de
dominio de cualquier sitio a todos los demás sitios. Si no lo hace, se genera un mensaje
de error en el registro del servicio de directorio en Visor de eventos que indica que la
topología del sitio no está conectada.

Cada vez que agregue sitios a un vínculo de sitio recién creado, determine si el sitio que
se va a agregar es miembro de otros vínculos de sitio y cambie la pertenencia al vínculo
de sitio del sitio si es necesario. Por ejemplo, si hace que un sitio sea miembro de
Default-First-Site-Link al crear inicialmente el sitio, asegúrese de quitar el sitio del
vínculo Default-First-Site-Link después de agregar el sitio a un nuevo sitio. Si no quita el
sitio de Default-First-Site-Link, knowledge Consistency Checker (KCC) toma decisiones
de enrutamiento en función de la pertenencia de ambos vínculos de sitio, lo que puede
dar lugar a un enrutamiento incorrecto.

Para identificar los sitios miembro que desea conectar con un vínculo de sitio, use la
lista de ubicaciones y ubicaciones vinculadas que registró en la hoja de cálculo
"Ubicaciones geográficas y vínculos de comunicación" (DSSTOPO_1.doc). Si varios sitios
tienen la misma conectividad y disponibilidad entre sí, puede conectarlos con el mismo
vínculo de sitio.
El Inter-Site transports proporciona los medios para asignar vínculos de sitio al
transporte que usa el vínculo. Cuando se crea un objeto de vínculo de sitio, se crea en el
contenedor IP, que asocia el vínculo de sitio con la llamada a procedimiento remoto
(RPC) a través del transporte IP, o en el contenedor protocolo simple de transferencia de
correo (SMTP), que asocia el vínculo de sitio con el transporte SMTP.

７ Nota

La replicación SMTP no se admite en versiones futuras de Active Directory Domain

Services (AD DS); Por lo tanto, no se recomienda crear objetos de vínculos de sitio
en el contenedor SMTP.

Al crear un objeto de vínculo de sitio en el contenedor transports de Inter-Site

respectivo, AD DS usa RPC a través de IP para transferir la replicación entre sitios y entre
sitios entre controladores de dominio. Para mantener los datos seguros mientras están
en tránsito, la replicación de RPC a través de IP usa el protocolo de autenticación
Kerberos y el cifrado de datos.

Cuando una conexión IP directa no está disponible, puede configurar la replicación

entre sitios para que use SMTP. Sin embargo, la funcionalidad de replicación SMTP es
limitada y requiere una entidad de certificación (CA) empresarial. SMTP solo puede
replicar la configuración, el esquema y las particiones del directorio de la aplicación y no
admite la replicación de particiones de directorio de dominio.

Para asignar un nombre a los vínculos de sitio, use un esquema de nomenclatura

coherente, como name_of_site1-name_of_site2. Registre la lista de sitios, sitios
vinculados y los nombres de los vínculos de sitio que conectan estos sitios en una hoja
de cálculo. Para obtener una hoja de cálculo que le ayude a registrar los nombres de
sitio y los nombres de vínculos de sitio asociados, vea Job Aids for Windows Server 2003
Deployment Kit (Ayuda de trabajo para el kit de implementación de Windows Server
2003), descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra "Sitios y
vínculos de sitio asociados" (DSSTOPO_5.doc).

En esta guía
Establecer las propiedades de vínculo de sitio
Establecer las propiedades de vínculo de
sitio
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

La replicación entre sitios se produce según las propiedades de los objetos de conexión.
Cuando knowledge Consistency Checker (KCC) crea objetos de conexión, deriva la
programación de replicación de las propiedades de los objetos de vínculo de sitio. Cada
objeto de vínculo de sitio representa la conexión de red de área extensa (WAN) entre
dos o más sitios.

El establecimiento de las propiedades del objeto de vínculo de sitio incluye los pasos
siguientes:

Determinar el costo asociado a esa ruta de replicación. El KCC usa el costo para
determinar la ruta menos costosa para la replicación entre dos sitios que replican
la misma partición de directorio.

Determinar la programación que define las horas durante las que puede
producirse la replicación entre sitios.

Determinar el intervalo de replicación que define la frecuencia con la que se debe

producir la replicación durante las horas en que se permite la replicación, tal como
se define en la programación.

En esta guía
Determinar el costo

Determinar la programación

Determinar el intervalo
Determinar el costo
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Los valores de costo se asignan a vínculos de sitio para favorecer conexiones

económicas en lugar de conexiones costosas. Ciertas aplicaciones y servicios, como el
localizador de controladores de dominio (DCLocator) y los espacios de nombres Sistema
de archivos distribuido (DFSN), también usan información de costos para localizar los
recursos más cercanos. El costo del vínculo de sitio se puede usar para determinar qué
controlador de dominio se contacta con los clientes de un sitio si el controlador de
dominio para el dominio especificado no existe en ese sitio. El cliente se pone en
contacto con el controlador de dominio mediante el vínculo de sitio que tiene asignado
el costo más bajo.

Se recomienda definir el valor de costo en todo el sitio. El costo normalmente se basa

no solo en el ancho de banda total del vínculo, sino también en la disponibilidad, la
latencia y el costo monetario del vínculo.

Para determinar los costos que se colocarán en los vínculos de sitio, documente la
velocidad de conexión de cada vínculo de sitio. Consulte la hoja de cálculo "Ubicaciones
geográficas y vínculos de comunicación" (DSSTOPO_1.doc) en Recopilación de
información de red para obtener información sobre la velocidad de conexión que
identificó.

En la tabla siguiente se enumeran las velocidades de los distintos tipos de redes.

Tipo de red Velocidad

Muy lento 56 kilobits por segundo (Kbps)

Lenta 64 Kbps

Red digital de servicios 64 Kbps o 128 Kbps

integrados (RDSI)

Retransmisión de fotogramas Velocidad variable, normalmente entre 56 Kbps y 1,5 megabits

por segundo (Mbps)

T1 1,5 Mbps

T3 45 MBps
 Tipo de red Velocidad

10Baset 10 Mbps

Modo de transferencia Velocidad variable, normalmente entre 155 Mbps y 622 Mbps
asincrónica (ATM)

100Baset 100 Mbps

Gigabit Ethernet 1 gigabit por segundo (Gbps)

Use la tabla siguiente para calcular el costo de cada vínculo de sitio en función de la
velocidad de vínculo de red de área extensa (WAN). Para la velocidad del vínculo WAN
que no aparece en la tabla, puede calcular un factor de costo relativo dividiendo 1024
por el logaritmo del ancho de banda disponible, como se mide en Kbps.

Ancho de banda disponible (Kbps) Coste

9,6 1,042

19.2 798

38.4 644

56 586

64 567

128 486

256 425

512 378

1024 340

2 048 309

4 096 283

Estos costos no reflejan las diferencias de confiabilidad entre los vínculos de red.
Establezca mayores costos en los vínculos de red propensos a errores para que no tenga
que confiar en esos vínculos para la replicación. Al establecer mayores costos de vínculo
de sitio, puede controlar la conmutación por error de replicación cuando se produce un
error en un vínculo de sitio.
Permitir que los clientes busquen el
controlador de dominio más próximo
siguiente
Artículo • 29/09/2022 • Tiempo de lectura: 4 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Si tiene un controlador de dominio que se ejecuta Windows Server 2008 o versiones

posteriores, puede hacer posible que los equipos cliente que ejecuten Windows Vista o
versiones posteriores o Windows Server 2008 o versiones posteriores para localizar
controladores de dominio de forma más eficaz habilitando la opción Try Next Closest
Site directiva de grupo. Esta configuración mejora el localizador de controladores de
dominio (localizador de controlador de dominio) ayudando a simplificar el tráfico de
red, especialmente en grandes empresas que tienen muchas sucursales y sitios.

Esta nueva configuración puede afectar a la forma en que se configuran los costos del
vínculo del sitio, ya que afecta al orden en el que se encuentran los controladores de
dominio. En el caso de las empresas que tienen muchos sitios concentradores y
sucursales, puede reducir significativamente el tráfico de Active Directory en la red
asegurándose de que los clientes conmutan por error al siguiente sitio concentrador
más cercano cuando no encuentran un controlador de dominio en el sitio concentrador
más cercano.

Como procedimiento recomendado general, debe simplificar la topología del sitio y los
costos de vínculo de sitio tanto como sea posible si habilita la configuración Probar
siguiente sitio más cercano . En empresas con muchos sitios concentradores, esto
puede simplificar los planes que realice para controlar situaciones en las que los clientes
de un sitio necesitan conmutar por error a un controlador de dominio en otro sitio.

De forma predeterminada, la opción Try Next Closest Site (Probar siguiente sitio más
cercano ) no está habilitada. Cuando la configuración no está habilitada, DC Locator usa
el siguiente algoritmo para buscar un controlador de dominio:

Intente buscar un controlador de dominio en el mismo sitio.

Si no hay ningún controlador de dominio disponible en el mismo sitio, intente
encontrar cualquier controlador de dominio en el dominio.

７ Nota
 Este es el mismo algoritmo que el localizador de controladores de dominio usado
en versiones anteriores de Active Directory. Para obtener más información, consulte
el artículo Cómo funciona la compatibilidad con DNS para Active Directory.

Si habilita la configuración Try Next Closest Site (Probar siguiente sitio más cercano ),
DC Locator usa el siguiente algoritmo para buscar un controlador de dominio:

Intente buscar un controlador de dominio en el mismo sitio.

Si no hay ningún controlador de dominio disponible en el mismo sitio, intente
buscar un controlador de dominio en el siguiente sitio más cercano. Un sitio está
más cerca si tiene un costo de vínculo de sitio menor que otro sitio con un costo
de vínculo de sitio más alto.
Si no hay ningún controlador de dominio disponible en el siguiente sitio más
cercano, intente encontrar cualquier controlador de dominio en el dominio.

La configuración Probar siguiente sitio más cercano funciona en coordinación con la

cobertura automática del sitio. Por ejemplo, si el siguiente sitio más cercano no tiene
ningún controlador de dominio, DC Locator intenta encontrar el controlador de dominio
que realiza la cobertura automática del sitio para ese sitio.

De forma predeterminada, DC Locator no tiene en cuenta ningún sitio que contenga un

controlador de dominio de solo lectura (RODC) cuando determina el siguiente sitio más
cercano. Además, cuando el cliente obtiene una respuesta de un controlador de
dominio que ejecuta una versión anterior a Windows Server 2008, el comportamiento
del localizador de controladores de dominio es el mismo que cuando la configuración
no está habilitada.

Por ejemplo, supongamos que una topología de sitio tiene cuatro sitios con los valores
de vínculo de sitio en la ilustración siguiente. En este ejemplo, todos los controladores
de dominio son controladores de dominio grabables que se ejecutan Windows Server
2008 o versiones posteriores.
Cuando la opción Try Next Closest Site directiva de grupo está habilitada en este
ejemplo, si un equipo cliente de Site_B intenta localizar un controlador de dominio,
primero intenta encontrar un controlador de dominio en su propia Site_B. Si ninguno
está disponible en Site_B, intenta encontrar un controlador de dominio en Site_A.

Si la configuración no está habilitada, el cliente intenta encontrar un controlador de

dominio en Site_A, Site_C o Site_D si no hay ningún controlador de dominio disponible
en Site_B.

７ Nota

La configuración Probar siguiente sitio más cercano funciona en coordinación con

la cobertura automática del sitio. Por ejemplo, si el siguiente sitio más cercano no
tiene ningún controlador de dominio, DC Locator intenta encontrar el controlador
de dominio que realiza la cobertura automática del sitio para ese sitio.

Para aplicar la configuración Probar siguiente sitio más cercano, puede crear un objeto
de directiva de grupo (GPO) y vincularlo al objeto adecuado para su organización, o
bien puede modificar la directiva de dominio predeterminada para que afecte a todos
los clientes que ejecutan Windows Vista o versiones más recientes y Windows Server
2008 o posteriores en el dominio. Para obtener más información sobre cómo establecer
la configuración Probar siguiente sitio más cercano , vea Habilitar clientes para buscar
un controlador de dominio en el siguiente sitio más cercano.
Determinar la programación
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Puede controlar la disponibilidad de vínculos de sitio estableciendo una programación

para los vínculos de sitio. Cuando la replicación entre dos sitios atraviesa varios vínculos
de sitio, la intersección de las programaciones de replicación en todos los vínculos
pertinentes determina la programación de conexión entre los dos sitios.

Para planear la configuración de la programación de vínculos de sitio, cree dos

programaciones superpuestas entre vínculos de sitio que contengan controladores de
dominio que se repliquen directamente entre sí. Use la programación predeterminada
(100 % disponible) en esos vínculos a menos que desee bloquear el tráfico de
replicación durante las horas punta. Al bloquear la replicación, se da prioridad a otro
tráfico, pero también se aumenta la latencia de replicación.

Los controladores de dominio almacenan la hora en hora universal coordinada (UTC). La

configuración de hora en las programaciones de objetos de vínculo de sitio se ajusta a
la hora local del sitio y del equipo en el que se establece la programación. Cuando un
controlador de dominio se pone en contacto con un equipo que se encuentra en un
sitio y una zona horaria diferentes, la programación del controlador de dominio muestra
la configuración de hora según la hora local del sitio del equipo.
Determinar el intervalo
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Debe establecer la propiedad intervalo de replicación de vínculos de sitio para indicar la

frecuencia con la que desea que se produzca la replicación durante los momentos en
que la programación permite la replicación. Por ejemplo, si la programación permite la
replicación entre las 02:00 y las 04:00 horas y el intervalo de replicación se establece
durante 30 minutos, la replicación puede producirse hasta cuatro veces durante la hora
programada. El intervalo de replicación predeterminado es de 180 minutos o 3 horas. El
intervalo mínimo es de 15 minutos.

Tenga en cuenta los criterios siguientes para determinar la frecuencia con la que se
produce la replicación dentro de la ventana de programación:

Un intervalo pequeño reduce la latencia, pero aumenta la cantidad de tráfico de

red de área extensa (WAN).

Para mantener actualizadas las particiones de directorio de dominio, se prefiere

una latencia baja.

Con una estrategia de replicación de almacenamiento y reenvío, es difícil determinar

cuánto tiempo puede tardar una actualización de directorio en replicarse en cada
controlador de dominio. Para proporcionar una estimación conservadora de la latencia
máxima, realice estas tareas:

Cree una tabla de todos los sitios de la red, como se muestra en el ejemplo
siguiente:

Sitios Seattle Boston Los Angeles Nueva York Washington, D.C.

Seattle 0,25

Boston 0,25

Los Angeles 0,25

Nueva York 0,25

Washington, D.C. 0,25

Se calcula que una latencia en el peor de los casos dentro de un sitio es de 15
minutos.

A partir de la programación de replicación, determine la latencia máxima de

replicación que es posible en cualquier vínculo de sitio que conecte dos sitios
centrales.

Por ejemplo, si la replicación se produce entre Seattle y Nueva York cada tres
horas, el retraso máximo para la replicación entre estos sitios es de tres horas. Si el
retraso de replicación entre Nueva York y Seattle es el retraso programado más
largo entre todos los sitios del centro, la latencia máxima entre todos los centros
es de tres horas.

Para cada sitio de concentrador, cree una tabla de las latencias máximas entre el
sitio del centro y cualquiera de sus sitios satélite.

Por ejemplo, si la replicación se produce entre Nueva York y Washington, D.C.,

cada cuatro horas y se trata del retraso de replicación más largo entre Nueva York
y cualquiera de sus sitios satélite, la latencia máxima entre Nueva York y sus
satélites es de cuatro horas.

Combine estas latencias máximas para determinar la latencia máxima de toda la

red.

Por ejemplo, si la latencia máxima entre Seattle y su sitio satélite en Los Ángeles es
de un día, la latencia máxima de replicación para este conjunto de vínculos
(Washington, D.C.-New York-Seattle-Los Ángeles) es de 31 horas, es decir, 4
(Washington, D.C.-Nueva York) + 3 (Nueva York-Seattle) + 24 (Seattle-Los
Ángeles), como se muestra en la tabla siguiente.

Sitios Seattle Boston Los Angeles Nueva York Washington, D.C.

Seattle 0,25 4+3 24,00 3.00 4+3

Boston 0,25 4+3+24 4,00 4,00

Los Angeles 0,25 24 + 3 24+3+4

Nueva York 0,25 4,00

Washington, D.C. 0,25

Crear un diseño de puente vínculo de
sitio
Artículo • 16/02/2023 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Un puente de vínculo de sitio conecta dos o más vínculos de sitio y permite la

transitividad entre vínculos de sitio. Cada vínculo de sitio de un puente debe tener un
sitio en común con otro vínculo de sitio en el puente. El Comprobador de coherencia de
conocimiento (KCC) usa la información de cada vínculo de sitio para calcular el costo de
replicación entre sitios de un vínculo de sitio y sitios en los otros vínculos de sitio del
puente. Sin la presencia de un sitio común entre vínculos de sitio, el KCC tampoco
puede establecer conexiones directas entre controladores de dominio en los sitios
conectados por el mismo puente de vínculo de sitio.

De forma predeterminada, todos los vínculos de sitio son transitivos. Se recomienda

mantener la transitividad habilitada sin cambiar el valor predeterminado de Puente de
todos los vínculos de sitio (habilitado de forma predeterminada). Sin embargo, deberá
deshabilitar Bridge all site links (Puente de todos los vínculos de sitio ) y completar un
diseño de puente de vínculo de sitio si:

La red IP no se enruta por completo. Al deshabilitar Puente de todos los vínculos

de sitio, todos los vínculos de sitio se consideran no transaccionales y puede crear
y configurar objetos de puente de vínculo de sitio para modelar el
comportamiento de enrutamiento real de la red.
Debe controlar el flujo de replicación de los cambios realizados en Servicios de
dominio de Active Directory (AD DS). Al deshabilitar Bridge all site links for the site
link IP transport and configuring a site link bridge, the site link bridge se convierte
en el equivalente de una red separada. Todos los vínculos de sitio dentro del
puente de vínculo de sitio pueden enrutar transitivamente, pero no se enrutan
fuera del puente de vínculo del sitio.

Para obtener más información sobre cómo usar el complemento Sitios y servicios de
Active Directory para deshabilitar la configuración Puente de todos los vínculos de sitio
, consulte el artículo Habilitar o deshabilitar puentes de vínculos de sitio.

Control del flujo de replicación de AD DS

Dos escenarios en los que necesita un diseño de puente de vínculo de sitio para
controlar el flujo de replicación incluyen controlar la conmutación por error de
replicación y controlar la replicación a través de un firewall.

Control de la conmutación por error de replicación

Si su organización tiene una topología de red en estrella tipo hub-and-spoke, por lo
general no desea que los sitios satélite creen conexiones de replicación a otros sitios
satélite si se produce un error en todos los controladores de dominio del sitio
concentrador. En estos escenarios, debe deshabilitar Puente de todos los vínculos de
sitio y crear puentes de vínculo de sitio para que las conexiones de replicación se creen
entre el sitio satélite y otro sitio concentrador que esté a solo uno o dos saltos del sitio
satélite.

Control de la replicación a través de un firewall

Si dos controladores de dominio que representan el mismo dominio en dos sitios
diferentes se permiten específicamente para comunicarse entre sí solo a través de un
firewall, puede deshabilitar Puente todos los vínculos de sitio y crear puentes de
vínculo de sitio para sitios en el mismo lado del firewall. Por lo tanto, si la red está
separada por firewalls, se recomienda deshabilitar la transitividad de los vínculos de sitio
y crear puentes de vínculo de sitio para la red en un lado del firewall.
Búsqueda de recursos adicionales para
el diseño de la topología de sitio de
Active Directory para Windows Server
2008
Artículo • 26/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Puede encontrar la siguiente documentación sobre Active Directory Domain Services

(AD DS) en los sitios web de TechCenter de Windows Server 2003 y Windows Server
2008:

Para obtener más información sobre el proceso de búsqueda de un controlador de

dominio, vea Active Directory Collection.

Para obtener más información sobre el diseño e implementación de servidores de

impresión, vea Diseño e implementación de servidores de impresión.

Para obtener más información sobre cómo abarcar árboles y Active Directory
topología de replicación, vea Active Directory Replication Topology Technical
Reference (Referencia técnica de la topología de replicación).

Para obtener más información sobre el uso de Adlb.exe y la administración de

entornos que tienen 100 o más sitios de rama, vea Revisión de Bridgehead Server
Load-Balancing Improvements with Windows Server 2008 RODC (Revisión de las
mejoras de Bridgehead Server Load-Balancing con rodc de Windows Server 2008).

Para obtener información sobre cómo instalar Monitor de red, consulte

Supervisión del tráfico de red.

Para obtener hojas de cálculo que le ayuden a documentar el diseño de la

topología de sitio de Windows Server 2008 AD DS, consulte Job Aids for Windows
Server 2003 Deployment Kit (Ayuda para trabajos para el kit de implementación de
Windows Server 2003 ).

Para obtener más información sobre las confianzas de acceso directo entre
dominios, vea Descripción de cuándo crear una relación de confianza de acceso
directo.
Para obtener más información sobre cómo implementar el dominio raíz del
bosque, vea Implementación de un dominio raíz de bosque Windows Server 2008.

Para obtener más información sobre cómo proteger los controladores de dominio,
vea AD DS Diseño y planeamiento.

Para obtener más información sobre la implementación de dominios regionales,

vea Deploying Windows Server 2008 Regional Domains( Implementación de
dominios regionales de Server 2008).

Para obtener más información sobre cómo funciona el almacenamiento en caché

de grupos universal, vea Funcionamiento del catálogo global.

Para obtener más información sobre cómo crear objetos de sitio, vea Crear un
sitio.

Para obtener más información sobre cómo crear objetos de subred, consulte
Creación de una subred.

Para obtener más información sobre cómo usar el complemento Active Directory
Sites and Services para deshabilitar la opción Puente de todos los vínculos de sitio,
vea Habilitar o deshabilitar puentes de vínculos de sitio.

Para obtener más información sobre las características del controlador de dominio
de solo lectura (RODC), vea AD DS: Read-Only Domain Controllers.

Para obtener información sobre cómo implementar un RODC, vea la Guía paso a
paso de controladores de dominio de solo lectura.
Anexo A: ubicaciones y prefijos de
subred
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Use la tabla siguiente para ayudar a enumerar los prefijos de subred de la versión IP 6
(IPv6) al diseñar la topología de sitio para Windows Server 2008 Active Directory
Domain Services (AD DS).

Location Prefijo de subred de red

Habilitación de características
avanzadas para AD DS
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Active Directory Domain Services (AD DS) permite introducir características avanzadas
en su entorno mediante el aumento de los niveles funcionales de dominio o bosque.
Para usar características AD DS avanzadas, debe identificar los sistemas operativos que
se ejecutan en los controladores de dominio de su entorno.

También debe determinar el mejor nivel funcional para su organización en función de la

infraestructura existente y, a continuación, elevar el nivel funcional de dominio o bosque
según corresponda. Puede aumentar el nivel funcional cuando todos los controladores
de dominio del dominio o bosque ejecutan una versión adecuada de Windows. Aunque
aumentar el nivel funcional permite habilitar nuevas características, también limita las
versiones de los sistemas operativos Windows que se pueden ejecutar en controladores
de dominio de su entorno.
Niveles funcionales de bosque y
dominio
Artículo • 11/10/2021 • Tiempo de lectura: 6 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server

Los niveles funcionales determinan las funcionalidades disponibles de dominio o

bosque de Active Directory Domain Services (AD DS). También determinan los sistemas
operativos Windows Server que se pueden ejecutar en los controladores de dominio del
dominio o del bosque. Sin embargo, los niveles funcionales no afectan a los sistemas
operativos que se pueden ejecutar en las estaciones de trabajo y los servidores miembro
que están unidos al dominio o al bosque.

Cuando implementes AD DS, establece los niveles funcionales de dominio y bosque en

el valor más alto que admite el entorno. De esta manera, podrás usar el mayor número
posible de características de AD DS. Al implementar un bosque nuevo, se te pide que
establezcas el nivel funcional del bosque y, después, el nivel funcional del dominio.
Puedes establecer el nivel funcional del dominio en un valor que sea superior al nivel
funcional del bosque, pero no puedes establecerlo en un valor que sea inferior al nivel
funcional del bosque.

Con el fin del ciclo de vida de Windows Server 2003, 2008 y 2008 R2, los controladores
de dominio (DC) deben actualizarse a Windows Server 2012, 2012 R2, 2016 o 2019.
Como resultado, todos los controladores de dominio que ejecuten Windows Server
2008 R2 y anteriores deben quitarse del dominio.

En los niveles funcionales de dominio de Windows Server 2008 y superior, se usa la

Replicación del sistema de archivos distribuido (DFS) para replicar el contenido de la
carpeta SYSVOL entre controladores de dominio. Si creas un nuevo dominio en el nivel
funcional del dominio de Windows Server 2008 o superior, se usa automáticamente
Replicación DFS para replicar SYSVOL. Si has creado el dominio en un nivel funcional
inferior, tendrás que migrar del uso de FRS a la replicación DFS para SYSVOL. En el caso
de los pasos de migración, puedes seguir los procedimientos de TechNet o puedes
consultar el conjunto de pasos simplificado en el blog de contenedor de archivos del
equipo de almacenamiento . Windows Server 2016 RS1 es la última versión de
Windows Server que incluye FRS.

Windows Server 2019
No se ha agregado ningún nuevo nivel funcional de bosque o dominio en esta versión.

El requisito mínimo para agregar un controlador de dominio de Windows Server 2019 es

el nivel funcional de Windows Server 2008. El dominio también tiene que usar DFS-R
como motor para replicar SYSVOL.

Windows Server 2016

Sistema operativo de controlador de dominio admitido:

Windows Server 2019
Windows Server 2016

Características del nivel funcional de bosque de Windows

Server 2016
Todas las características disponibles en el nivel funcional del bosque de
Windows Server 2012R2, además las siguientes características. están disponibles:
Privileged Access Management (PAM) con Microsoft Identity Manager (MIM)

Características del nivel funcional de dominio de

Windows Server 2016
Todas las características predeterminadas de Active Directory, todas las
características del nivel funcional del dominio de Windows Server 2012R2 y las
características siguientes:

Los controladores de dominio pueden admitir la implementación automática de

NTLM y otros secretos basados en contraseña en una cuenta de usuario
configurada para requerir la autenticación de PKI. Esta configuración también se
conoce como "tarjeta inteligente requerida para el inicio de sesión interactivo".

Los controladores de dominio pueden admitir NTLM de red cuando un usuario

está restringido a determinados dispositivos unidos a un dominio.

Los clientes Kerberos que se autentican correctamente con la extensión de

actualización PKInit obtendrán el SID de identidad de clave pública actualizado.

Para más información, consulta Novedades de la autenticación Kerberos y

Novedades en la protección de credenciales
Windows Server 2012R2
Sistema operativo de controlador de dominio admitido:

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2

Características del nivel funcional de bosque de Windows

Server 2012R2
Todas las características disponibles en el nivel funcional del bosque de
Windows Server 2012, pero no características adicionales.

Características del nivel funcional de dominio de

Windows Server 2012R2
Todas las características predeterminadas de Active Directory, todas las
características del nivel funcional del dominio de Windows Server 2012 y las
características siguientes:
Protecciones en el lado del controlador de dominio para los usuarios
protegidos. Los usuarios protegidos que se autentiquen en un dominio de
Windows Server 2012 R2 ya no podrán:
Autenticarse mediante la autenticación NTLM
Usar los conjuntos de cifrado DES o RC4 en la autenticación previa de
Kerberos
Delegarse mediante una delegación con o sin restricciones
Renovar los vales de usuario (TGT) más allá de las 4 horas de vigencia inicial
Authentication Policies
Nuevas directivas de Active Directory basadas en bosques que se pueden
aplicar a las cuentas en los dominios de Windows Server 2012 R2 para
controlar en qué host puede iniciar sesión una cuenta y aplicar condiciones
de control de acceso para la autenticación en los servicios que se ejecutan
como una cuenta.
Authentication Policy Silos
Nuevo objeto de Active Directory basado en bosque, que puede crear una
relación entre el usuario, el servicio administrado y el equipo, las cuentas que
se van a usar para clasificar las cuentas de las directivas de autenticación o el
aislamiento de autenticación.
Windows Server 2012
Sistema operativo de controlador de dominio admitido:

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012

Características del nivel funcional de bosque de Windows

Server 2012
Todas las características disponibles en el nivel funcional del bosque de
Windows Server 2008 R2, pero no características adicionales.

Características del nivel funcional de dominio de

Windows Server 2012
Todas las características predeterminadas de Active Directory, todas las
características del nivel funcional del dominio de Windows Server 2008R2 y las
características siguientes:
La directiva de plantilla administrativa de compatibilidad de KDC con
notificaciones, autenticación compuesta y protección de Kerberos tiene dos
configuraciones (proporcionar siempre notificaciones y error de solicitudes de
autenticación sin blindar) que requieren el nivel funcional de dominio de
Windows Server 2012. Para más información, consulta Novedades de la
autenticación Kerberos.

Windows Server 2008R2

Sistema operativo de controlador de dominio admitido:

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2

Características del nivel funcional de bosque de Windows

Server 2008R2
 Todas las características disponibles en el nivel funcional del bosque de
Windows Server 2003, más las siguientes características:
Papelera de reciclaje de Active Directory, que proporciona la capacidad de
restaurar completamente objetos eliminados mientras se ejecuta AD DS.

Características del nivel funcional de dominio de

Windows Server 2008R2
Todas las características predeterminadas de Active Directory, todas las
características del nivel funcional del dominio de Windows Server 2008 y las
características siguientes:
La comprobación del mecanismo de autenticación, que empaqueta la
información sobre el tipo de método de inicio de sesión (tarjeta inteligente o
nombre de usuario/contraseña) empleado para autenticar a usuarios del
dominio dentro del token de Kerberos de cada usuario. Si esta característica
está habilitada en un entorno de red que ha implementado una infraestructura
de administración de identidades federadas, como Servicios de federación de
Active Directory (AD FS), la información del token se puede extraer siempre que
un usuario intente obtener acceso a cualquier aplicación para notificaciones que
se haya desarrollado para determinar la autorización en función del método de
inicio de sesión de un usuario.
Administración automática de SPN para servicios que se ejecutan en un equipo
en particular en el contexto de una cuenta de servicio administrada cuando se
modifica el nombre o el nombre de host DNS de la cuenta del equipo. Para
obtener más información sobre cuentas de servicio administradas, consulta la
Guía paso a paso de las cuentas de servicio.

Windows Server 2008

Sistema operativo de controlador de dominio admitido:

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008

Características del nivel funcional de bosque de Windows

Server 2008
 Están disponibles todas las características disponibles en el nivel funcional del
bosque de Windows Server 2003, pero no características adicionales.

Características del nivel funcional de dominio de

Windows Server 2008
Todas las características predeterminadas de AD DS, todas las características del
nivel funcional del dominio de Windows Server 2003 y las características siguientes
están disponibles:

Compatibilidad de la replicación del Sistema de archivos distribuido (DFS) con el

volumen del sistema de Windows Server 2003 (SYSVOL)

La compatibilidad con la replicación DFS proporciona una replicación más

sólida y detallada del contenido de SYSVOL.

７ Nota

A partir de Windows Server 2012 R2, el servicio de replicación de

archivos (FRS) está en desuso. Un dominio nuevo que se crea en un
controlador de dominio que ejecuta como mínimo Windows Server
2012 R2 debe establecerse en el nivel funcional del dominio de
Windows Server 2008 o superior.

Los espacios de nombres de DFS basados en dominio que se ejecutan en modo

Windows Server 2008, que incluyen compatibilidad con la enumeración basada
en el acceso y mayor escalabilidad. Los espacios de nombres basados en
dominio en modo Windows Server 2008 también requieren que el bosque use
el nivel funcional del bosque de Windows Server 2003. Para obtener más
información, consulta Elegir un tipo de espacio de nombres.

Compatibilidad del Estándar de cifrado avanzado (AES 128 y 256) con el

protocolo Kerberos. Para que se puedan emitir TGT mediante AES, el nivel
funcional del dominio debe ser Windows Server 2008 o superior y es necesario
cambiar la contraseña del dominio.

Para obtener más información, consulta Mejoras de Kerberos.

７ Nota

Pueden producirse errores de autenticación en un controlador de

dominio después de que el nivel funcional del dominio se eleve a
 Windows Server 2008 o superior si el controlador de dominio ya ha
replicado el cambio de DFL pero aún no ha actualizado la contraseña de
krbtgt. En este caso, si se reinicia el servicio KDC en el controlador de
dominio, se desencadenará una actualización en memoria de la nueva
contraseña de krbtgt y se resolverán los errores de autenticación
relacionados.

La información del último inicio de sesión interactivo muestra lo siguiente:

El número total de intentos de inicio de sesión erróneos en un servidor
Windows Server 2008 o una estación de trabajo con Windows Vista unidos a
un dominio
El número total de intentos de inicio de sesión erróneos después de un inicio
de sesión correcto en un servidor Windows Server 2008 o una estación de
trabajo con Windows Vista
La duración de los intentos de inicio de sesión erróneos en un servidor
Windows Server 2008 o una estación de trabajo con Windows Vista
La duración del último intento de inicio de sesión correcto en un servidor
Windows Server 2008 o una estación de trabajo con Windows Vista

Las directivas de contraseña muy específicas permiten especificar directivas de

bloqueo de cuentas y contraseñas para usuarios y grupos de seguridad global
en un dominio. Para obtener más información, consulta la Guía paso a paso
para la configuración de directivas de bloqueo de cuentas y contraseñas muy
específicas.

Escritorios virtuales personales

Para usar la funcionalidad agregada proporcionada por la pestaña Escritorio
virtual personal del cuadro de diálogo Propiedades de cuenta de usuario en
Usuarios y equipos de Active Directory, el esquema de AD DS debe ampliarse
para Windows Server 2008 R2 (versión de objeto de esquema = 47). Para
obtener más información, consulta la Guía paso a paso para implementar
escritorios virtuales personales mediante Conexión de RemoteApp y
Escritorio.

Windows Server 2003

Sistema operativo de controlador de dominio admitido:

Windows Server 2016

Windows Server 2012 R2
Windows Server 2012
 Windows Server 2008 R2
Windows Server 2008
Windows Server 2003

Características del nivel funcional de bosque de Windows

Server 2003
Todas las características de AD DS predeterminadas y las siguientes características
están disponibles:
Confianza de bosque
Cambio de nombre de dominio
Replicación de valor vinculado
La replicación de valor vinculado te permite cambiar la pertenencia a grupos
para almacenar y replicar los valores de los miembros individuales, en lugar
de replicar toda la pertenencia como una sola unidad. El almacenamiento y la
replicación de los valores de miembros individuales utiliza menos ancho de
banda de red y menos ciclos de procesador durante la replicación, y evita
que se pierdan actualizaciones cuando se agregan o quitan varios miembros
simultáneamente en diferentes controladores de dominio.
La capacidad de implementar un controlador de dominio de solo lectura
(RODC)
Mejora en la escalabilidad y los algoritmos del comprobador de coherencia de
la información (KCC)
El generador de topología entre sitios (ISTG) usa algoritmos mejorados que
se escalan para admitir bosques con un número mayor de sitios del que AD
DS puede admitir en el nivel funcional del bosque de Windows 2000. El
algoritmo mejorado de elección del ISTG es un mecanismo menos intrusivo
para elegir el ISTG en el nivel funcional del bosque de Windows 2000.
La capacidad de crear instancias de la clase auxiliar dinámica denominada
dynamicObject en una partición de directorio de dominio.
La capacidad de convertir una instancia de un objeto inetOrgPerson en una
instancia de un objeto User, y para completar la conversión en la dirección
opuesta.
La capacidad de crear instancias de nuevos tipos de grupos para admitir la
autorización basada en roles.
Estos tipos se denominan grupos básicos de aplicación y grupos de consulta
LDAP.
Desactivación y nueva definición de atributos y clases en el esquema. Se
pueden reutilizar los siguientes atributos: ldapDisplayName, schemaIdGuid, OID
y mapiID.
 Los espacios de nombres de DFS basados en dominio que se ejecutan en modo
Windows Server 2008, que incluyen compatibilidad con la enumeración basada
en el acceso y mayor escalabilidad. Para obtener más información, consulta
Elegir un tipo de espacio de nombres.

Características del nivel funcional de dominio de

Windows Server 2003
Todas las características predeterminadas de AD DS, todas las características que
están disponibles en el nivel funcional del dominio nativo de Windows Server 2000
y las características siguientes están disponibles:
La herramienta de administración de dominios, Netdom.exe, que permite
cambiar el nombre de los controladores de dominio.
Actualizaciones de la marca de tiempo de inicio de sesión
El atributo lastLogonTimestamp se actualiza con la hora en que el usuario o
equipo inició sesión por última vez. Este atributo se replica dentro del
dominio.
La capacidad de establecer el atributo userPassword como la contraseña
efectiva en el objeto inetOrgPerson y los objetos de usuario.
La capacidad de redirigir los contenedores Usuarios y equipos.
De manera predeterminada, se proporcionan dos contenedores conocidos
para hospedar las cuentas del equipo y del usuario, a saber, cn=Computers,
<domain root> y cn=Users,<domain root>. Esta característica permite
definir una ubicación nueva conocida para estas cuentas.
La capacidad del Administrador de autorización para almacenar sus directivas
de autorización en AD DS.
Delegación restringida
La delegación restringida hace posible que las aplicaciones aprovechen la
delegación segura de credenciales de usuario por medio de la autenticación
basada en Kerberos.
Solo puedes restringir la delegación a servicios de destino específicos.
Autenticación selectiva
La autenticación selectiva hace posible especificar los usuarios y grupos de
un bosque de confianza a los que se les permite autenticarse en servidores
de recursos en un bosque que confía.

Windows 2000
Sistema operativo de controlador de dominio admitido:
 Windows Server 2008 R2
Windows Server 2008
Windows Server 2003
Windows 2000

Características del nivel funcional de bosque de Windows

Server 2000
Todas las características de AD DS predeterminadas están disponibles.

Características del nivel funcional de dominio de

Windows Server 2000
Todas las características de AD DS predeterminadas y las siguientes características
del directorio están disponibles, entre ellas:
Los grupos universales para grupos de distribución y de seguridad.
Anidación de grupos.
La conversión de grupos, que permite la conversión entre grupos de seguridad
y grupos de distribución.
El historial de identificadores de seguridad (SID).

Pasos a seguir
Elevar el nivel funcional del dominio
Elevar el nivel funcional del bosque
Identificación de la actualización de
nivel funcional
Artículo • 29/09/2022 • Tiempo de lectura: 9 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Para poder aumentar los niveles funcionales de dominio y bosque, debe evaluar el
entorno actual e identificar el requisito de nivel funcional que mejor se adapte a las
necesidades de su organización. Evalúe el entorno actual mediante la identificación de
los dominios del bosque, los controladores de dominio que se encuentran en cada
dominio, el sistema operativo y service packs que ejecuta cada controlador de dominio
y la fecha en que planea actualizar los controladores de dominio. Si tiene previsto retirar
un controlador de dominio, asegúrese de que comprende todo el impacto que esto
tendrá en su entorno.

Las siguientes circunstancias podrían impedir que actualice una versión anterior del
sistema operativo Windows Server al nivel funcional Windows Server 2008 o Windows
Server 2008 R2:

Hardware insuficiente

Un controlador de dominio que ejecuta un programa antivirus que no es

compatible con Windows Server 2008 o Windows Server 2008 R2

Uso de un programa específico de la versión que no se ejecuta en Windows Server

2008 o Windows Server 2008 R2

La necesidad de actualizar un programa con el Service Pack más reciente

Documentar esta información puede ayudarle a identificar los pasos que debe seguir
para asegurarse de que tiene un entorno de Windows Server 2008 o Windows Server
2008 R2 totalmente funcional.

Después de evaluar el entorno actual, debe identificar la actualización de nivel funcional

que se aplica a su organización. Estas opciones están disponibles:

Windows entorno en modo nativo de 2000 a Windows Server 2008 o Windows

Server 2008 R2

Windows Server 2003 en Windows Server 2008 o Windows Server 2008 R2

 Nuevo Windows server 2008

Nuevo Windows bosque de Server 2008 R2

Actualización de niveles funcionales en un

bosque Windows 2000 Active Directory nativo
En un entorno nativo de Windows 2000 que consta solo de controladores de dominio
basados en Windows 2000, los niveles funcionales se establecen de forma
predeterminada en los niveles siguientes y permanecen en estos niveles hasta que se
elevan manualmente:

Windows funcional de dominio nativo 2000

Windows de bosque 2000

Para usar todas las características de nivel de bosque y de dominio de Windows Server
2008 o Windows Server 2008 R2 , debe actualizar este entorno de Windows 2000 a
Windows Server 2008 o Windows Server 2008 R2. Puede realizar esta actualización de
cualquiera de las maneras siguientes:

Introduzca los controladores de dominio basados en Windows Server 2008 o

Windows Server 2008 R2 recién instalados en el bosque y, a continuación, retire
todos los controladores de dominio que ejecutan Windows 2000.

Realice una actualización local de todos los controladores de dominio existentes

que ejecutan Windows 2000 en el bosque a los controladores de dominio que
ejecutan Windows Server 2003. A continuación, realice una actualización local de
esos controladores de dominio a Windows Server 2008 o Windows Server 2008 R2
. Para obtener más información, vea Upgrading Active Directory Domains to
Windows Server 2008 and Windows Server 2008 R2 AD DS Domains (Actualización
de dominios de Active Directory a Windows Server 2008 y Windows Server 2008
R2 AD DS Domains).

） Importante

Windows Server 2008 R2 es un sistema operativo basado en x64. Si el servidor

ejecuta una versión basada en x64 de Windows Server 2003, puede realizar
correctamente una actualización local del sistema operativo de este equipo a
Windows Server 2008 R2 . Si el servidor ejecuta una versión basada en x86 de
Windows Server 2003, no puede actualizar este equipo a Windows Server
2008 R2 .
Para usar las características de nivel de dominio de Windows Server 2008 o Windows
Server 2008 R2 sin actualizar todo el bosque de Windows 2000 a Windows Server 2008
o Windows Server 2008 R2 , elevar solo el nivel funcional del dominio a Windows Server
2008 o Windows Server 2008 R2 .

７ Nota

Antes de aumentar el nivel funcional del dominio, debe actualizar todos los
controladores de dominio basados en Windows 2000 de ese dominio a Windows
Server 2008 o Windows Server 2008 R2 .

Después de reemplazar todos los controladores de dominio basados en Windows 2000

del bosque por controladores de dominio que ejecutan Windows Server 2008 o
Windows Server 2008 R2 , puede elevar el nivel funcional del bosque a Windows Server
2008 o Windows Server 2008 R2. Al hacerlo, se eleva automáticamente el nivel funcional
de todos los dominios del bosque que se establecen en Windows 2000 nativo o
superior a Windows Server 2008 o Windows Server 2008 R2.

Para obtener más información sobre cómo generar niveles funcionales de bosque y
dominio, y para conocer los procedimientos para realizar esas tareas, vea
Implementación de un dominio raíz de bosque de Windows Server 2008.

Actualización de niveles funcionales en un

Windows Server 2003 Active Directory virtual
En un entorno de Windows Server 2003 que consta solo de controladores de dominio
basados en Windows Server 2003, los niveles funcionales se establecen de forma
predeterminada en los siguientes niveles y permanecen en estos niveles hasta que se
elevan manualmente:

Windows funcional de dominio nativo 2000

Windows de bosque 2000

Para usar todas las características de nivel de bosque y de dominio de Windows Server
2008 o Windows Server 2008 R2 , debe actualizar este entorno de Windows Server 2003
a Windows Server 2008 o Windows Server 2008 R2. Puede realizar esta actualización de
cualquiera de las maneras siguientes:

Introduce un controlador de dominio basado en Windows Server 2008 o Windows

Server 2008 R2 recién instalado en el bosque y, a continuación, retira todos los
 controladores de dominio que ejecutan Windows Server 2003 o actualíclos a
Windows Server 2008 o Windows Server 2008 R2.

Realice una actualización local de todos los controladores de dominio existentes

que ejecutan Windows Server 2003 a controladores de dominio que ejecutan
Windows Server 2008 o Windows Server 2008 R2 . Para obtener más información,
vea Upgrading Active Directory Domains to Windows Server 2008 and Windows
Server 2008 R2 AD DS Domains (Actualización de dominios de Active Directory a
Windows Server 2008 y Windows Server 2008 R2 AD DS Domains).

） Importante

Windows Server 2008 R2 es un sistema operativo basado en x64. Si el servidor

ejecuta una versión basada en x64 de Windows Server 2003, puede realizar
correctamente una actualización local del sistema operativo de este equipo a
Windows Server 2008 R2 . Si el servidor ejecuta una versión basada en x86 de
Windows Server 2003, no puede actualizar este equipo para ejecutar Windows
Server 2008 R2 .

Para usar todas las características de nivel de dominio de Windows Server 2008 o
Windows Server 2008 R2 sin actualizar todo el bosque de Windows Server 2003 a
Windows Server 2008 o Windows Server 2008 R2 , elevar solo el nivel funcional del
dominio a Windows Server 2008 o Windows Server 2008 R2 .

７ Nota

Antes de aumentar el nivel funcional del dominio, debe actualizar todos los
controladores de dominio basados en Windows Server 2003 de ese dominio a
Windows Server 2008 o Windows Server 2008 R2 .

Después de actualizar todos los controladores de dominio basados en Windows Server

2003 del bosque a Windows Server 2008 o Windows Server 2008 R2 , puede elevar el
nivel funcional del bosque a Windows Server 2008 o Windows Server 2008 R2. Al
hacerlo, se eleva automáticamente el nivel funcional de todos los dominios del bosque
que se establecen en Windows Server 2003 a Windows Server 2008 o Windows Server
2008 R2 .

Para obtener más información sobre cómo generar niveles funcionales de bosque y
dominio, y para conocer los procedimientos para realizar esas tareas, vea
Implementación de un dominio raíz de bosque de Windows Server 2008.
Actualización de niveles funcionales en un
nuevo Windows Server 2008
Al instalar el primer controlador de dominio en un nuevo bosque de Windows Server
2008, los niveles funcionales se establecen de forma predeterminada en los siguientes
niveles y permanecen en estos niveles hasta que los genera manualmente:

Windows funcional de dominio nativo 2000

Windows de bosque 2000

Los niveles funcionales se establecen en estos niveles predeterminados para ofrecer la

opción de agregar controladores de dominio basados en Windows 2000 o Windows
Server 2003 al nuevo bosque de Windows Server 2008. Después de crear un dominio
raíz de bosque, el nivel funcional del dominio para cada dominio que agregue al bosque
de Windows Server 2008 se establece en Windows 2000 nativo. Sin embargo, si desea
que todos los controladores de dominio del nuevo entorno de Windows Server 2008
ejecuten Windows Server 2008, establezca el nivel funcional del bosque y, a
continuación, el nivel funcional del dominio, en Windows Server 2008 al instalar el
primer controlador de dominio en el bosque. Esto ahorra tiempo y habilita todas las
características de nivel de bosque y de nivel de dominio en Windows Server 2008 .

） Importante

Si el bosque funciona en el nivel funcional de Windows Server 2008 e intenta

instalar Active Directory en un servidor miembro basado en Windows Server 2003 o
en un servidor miembro basado en Windows 2000, se produce un error en la
instalación.

Para obtener más información sobre cómo generar niveles funcionales de bosque y
dominio, y para conocer los procedimientos para realizar esas tareas, vea
Implementación de un dominio raíz de bosque de Windows Server 2008.

Actualización de niveles funcionales en un

nuevo Windows server 2008 R2
Al instalar el primer controlador de dominio en un nuevo bosque de Windows Server
2008 R2, los niveles funcionales se establecen de forma predeterminada en los niveles
siguientes y permanecen en estos niveles hasta que los genera manualmente:
 Windows de dominio de Server 2003

Windows de bosque de Server 2003

Los niveles funcionales se establecen en estos niveles predeterminados para ofrecer la

opción de agregar controladores de dominio basados en Windows Server 2003 al nuevo
bosque de Windows Server 2008 R2. Después de crear un dominio raíz de bosque, el
nivel funcional del dominio para cada dominio que agregue al bosque de Windows
Server 2008 R2 se establece en Windows Server 2003. Sin embargo, si desea que todos
los controladores de dominio del nuevo entorno de Windows Server 2008 R2 ejecuten
Windows Server 2008 R2, establezca el nivel funcional del bosque y, a continuación, el
nivel funcional del dominio, en Windows Server 2008 R2 al instalar el primer controlador
de dominio en el bosque. Esto ahorra tiempo y habilita todas las características de nivel
de bosque y de nivel de dominio en Windows Server 2008 R2 .

） Importante

Si el bosque funciona en el nivel funcional de Windows Server 2008 R2 e intenta

instalar Active Directory en un servidor miembro basado en Windows Server 2008 o
Windows Server 2003 o en un servidor miembro basado en Windows 2000, se
produce un error en la instalación.

Para obtener más información sobre cómo generar niveles funcionales de bosque y
dominio, y para conocer los procedimientos para realizar esas tareas, vea
Implementación de un dominio raíz de bosque de Windows Server 2008.

７ Nota

Aunque ADMT v3.1 debe instalarse en Windows Server 2008, puede usar ADMT
v3.1 para migrar objetos a un dominio hospedado por uno o varios controladores
de dominio de Windows Server 2008 R2. Para obtener más información, vea el
artículo 976659 en Microsoft Knowledge Base, Problemas conocidos que pueden
producirse al usar ADMT 3.1 para migrar a un dominio que contiene controladores
de dominio de Windows Server 2008 R2 .
Búsqueda de recursos adicionales para
habilitar características avanzadas
Artículo • 24/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Puede encontrar la siguiente documentación sobre Active Directory Domain Services

(AD DS) en la biblioteca técnica de Windows Server 2008:

Para obtener más información sobre cómo implementar un dominio raíz de

bosque de Windows Server 2008, vea Implementación de un dominio raíz de
bosque de Windows Server 2008.

Para obtener más información sobre cómo actualizar un dominio de Active

Directory a Windows Server 2008, vea Actualización de dominios de Active
Directory a Windows Server 2008 y Windows Server 2008 R2 AD DS Domains.

Para obtener más información sobre la implementación de AD DS, vea la Guía paso
a paso para Windows Server 2008 AD DS Installation and Removal Step-by-Step
Guide (Guía paso a paso de instalación y eliminación de Windows Server 2008 AD
DS).
Evaluación de ejemplos de estrategia de
implementación de AD DS
Artículo • 29/09/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Considere el ejemplo siguiente de una empresa ficticia, Contoso Pharmaceuticals, que

implementa Servicios de dominio de Active Directory (AD DS) en su entorno. El entorno
de Contoso consta de cuatro dominios. El nivel funcional del bosque es Windows Server
2003. En la ilustración siguiente se muestra la estructura de dominio actual de la
organización contoso.

Después de revisar su entorno existente e identificar sus objetivos de implementación,

Contoso estableció la siguiente estrategia de implementación de AD DS:

Actualice Windows dominios de Server 2003 a Windows dominios de Server 2008.

Habilite las características avanzadas de AD DS mediante la elevación de los

niveles funcionales de dominio y bosque a Windows Server 2008 .

Reestructure el dominio africa.concorp.contoso.com dentro del bosque para

consolidar ese dominio con el dominio emea.concorp.contoso.com.

Elevar el nivel funcional del bosque a Windows Server 2008 permitirá a Contoso
aprovechar al máximo las nuevas características de AD DS. La reestructuración de los
dominios dentro del bosque, como se muestra en la ilustración siguiente, reducirá la
cantidad de administración necesaria para administrar los dominios.
Anexo A: revisión de términos de clave
de AD DS
Artículo • 21/12/2022 • Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

Los términos siguientes son pertinentes para el proceso de implementación de

Windows Server 2008 Active Directory Domain Services (AD DS).

Dominio de Active Directory

Una unidad administrativa de una red de equipos que, para mayor comodidad de
administración, agrupa varias funcionalidades, incluidas las siguientes:

Identidad de usuario en toda la red. En dominios, las identidades de usuario se

pueden crear una vez y, a continuación, hacer referencia a estas en cualquier
equipo que esté unido al bosque en el que se encuentra el dominio. Controladores
de dominio que son cuentas de usuario y credenciales de usuario de un almacén
de dominio, como contraseñas o certificados, de forma segura.

Autenticación. Los controladores de dominio proporcionan servicios de

autenticación para los usuarios. También proporciona datos de autorización
adicionales, como pertenencias a grupos de usuarios. Los administradores pueden
usar estos servicios para controlar el acceso a los recursos de la red.

Relaciones de confianza. Los dominios extienden los servicios de autenticación a

los usuarios de otros dominios de su propio bosque mediante confianzas
bidireccionales automáticas. Los dominios también extienden los servicios de
autenticación a los usuarios de dominios de otros bosques mediante confianzas de
bosque o confianzas externas creadas manualmente.

Administración de directivas. Un dominio es un ámbito de directivas

administrativas, como la complejidad de las contraseñas y las reglas de
reutilización de contraseñas.

Replicación. Un dominio define una partición del árbol de directorios que

proporciona datos que son adecuados para proporcionar los servicios necesarios y
que se replican entre controladores de dominio. De esta manera, todos los
 controladores de dominio son del mismo nivel en un dominio y se administran
como una unidad.

Bosque de Active Directory

Colección de uno o varios dominios Active Directory que comparten una estructura
lógica común, un esquema de directorio y una configuración de red, así como relaciones
de confianza automáticas y transitivas en dos sentidos. Cada bosque es una instancia
única del directorio y define un límite de seguridad.

Active Directory nivel funcional

Una AD DS que habilita las características avanzadas de las aplicaciones de todo el
dominio o de todo AD DS bosque.

Migración
Proceso de mover un objeto de un dominio de origen a un dominio de destino,
conservando o modificando las características del objeto para que sea accesible en el
nuevo dominio.

Reestructuración de dominios
Un proceso de migración que implica cambiar la estructura de dominio de un bosque.
Una reestructuración de dominio puede implicar la consolidación o la adición de
dominios, y puede tener lugar entre bosques o dentro de un bosque.

Consolidación de dominios
Un proceso de reestructuración que implica la eliminación AD DS dominios mediante la
combinación de su contenido con el contenido de otros dominios.

Actualización de dominio
Proceso de actualización del servicio de directorio de un dominio a una versión
posterior del servicio de directorio. Esto incluye actualizar el sistema operativo en todos
los controladores de dominio y aumentar el AD DS funcional cuando corresponda.
Actualización de dominio local
El proceso de actualización de los sistemas operativos de todos los controladores de
dominio de un dominio determinado, por ejemplo, la actualización de Windows Server
2003 a Windows Server 2008 y la elevación del nivel funcional del dominio, si procede,
mientras se dejan los objetos de dominio, como usuarios y grupos, en su lugar.

Dominio raíz del bosque

Primer dominio que se crea en el Active Directory bosque. Este dominio se designa
automáticamente como dominio raíz del bosque. Proporciona la base para la
infraestructura Active Directory bosque.

Dominio regional
Dominio secundario que se crea en una región geográfica para optimizar el tráfico de
replicación.
AD DS Deployment
Artículo • 21/12/2022 • Tiempo de lectura: 2 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En esta guía se explica cómo instalar y quitar Active Directory Domain Services (AD DS)
en Windows Server 2012 y problemas importantes que se deben tener en cuenta al
agregar nuevos controladores de dominio a un entorno de Active Directory existente.

Novedades sobre la instalación y eliminación de Active Directory Domain Services

(AD DS)

Actualizar controladores de dominio a Windows Server 2012 R2 y

Windows Server 2012

Instalar Active Directory Domain Services (Nivel 100)

Pasos para quitar Active Directory Domain Services

AD DS de descripciones de la página del Asistente para instalación y eliminación

de archivos

Cambios realizados por Adprep

Niveles funcionales de Windows Server

Solución de problemas de implementación de controladores de dominio

Novedades sobre la instalación y
eliminación de Active Directory Domain
Services (AD DS)
Artículo • 29/09/2022 • Tiempo de lectura: 19 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

La implementación de Active Directory Domain Services (AD DS) en Windows Server

2012 es más sencilla y rápida que las versiones anteriores de Windows Server. El proceso
de instalación de AD DS ahora se genera en Windows PowerShell y está integrado con
Administrador del servidor. Se reduce el número de pasos necesarios para introducir
controladores de dominio en un entorno de Active Directory. De este modo, el proceso
de creación de un nuevo entorno de Active Directory resulta más sencillo y más
eficiente. El nuevo proceso de implementación de AD DS minimiza las posibilidades de
error que podrían bloquear a la instalación.

Además, puede instalar los binarios de rol del servidor de AD DS (es decir, el rol del
servidor de AD DS) en varios servidores al mismo tiempo. También puede ejecutar el
asistente para la instalación de AD DS de forma remota en un servidor individual. Estas
mejoras proporcionan más flexibilidad para implementar controladores de dominio que
ejecutan Windows Server 2012, especialmente para implementaciones globales a gran
escala en las que es necesario implementar muchos controladores de dominio en
oficinas de diferentes regiones.

En la instalación de AD DS se incluyen las siguientes características:

Integración de Adprep.exe en el proceso de instalación de AD DS. Los pasos

engorrosos y necesarios para preparar un Active Directory ya existente, tales como
la necesidad de usar varias credenciales diferentes, copiar los archivos adprep.exe
o iniciar sesión en controladores de dominio específicos, se simplifican o suceden
automáticamente. De este modo, se reduce el tiempo necesario para instalar AD
DS y disminuyen las posibilidades de errores que podrían bloquear la promoción
del controlador de dominio.

Para entornos donde es preferible ejecutar comandos adprep.exe antes de la

instalación de un nuevo controlador de dominio, aún puede ejecutar comandos
adprep.exe separadamente de la instalación de AD DS. La versión de Windows
Server 2012 de adprep.exe se ejecuta de forma remota, por lo que puede ejecutar
 todos los comandos necesarios desde un servidor que ejecute una versión de 64
bits de Windows Server 2008 o posterior.

La nueva instalación de AD DS se genera en Windows PowerShell y se puede

invocar remotamente. La nueva instalación de AD DS está integrada con
Administrador del servidor, de modo que, para instalar AD DS, se puede utilizar la
misma interfaz que se utiliza para instalar otros roles del servidor. Para los usuarios
de Windows PowerShell, los cmdlets de implementación de AD DS proporcionan
mayor funcionalidad y flexibilidad. Existe paridad funcional entre las opciones de
instalación de GUI y la línea de comandos.

La nueva instalación de AD DS incluye la validación de requisitos previos. Los

posibles errores se identifican antes de que comience la instalación. Se pueden
corregir los errores antes de que ocurran y evitar así los riesgos de una
actualización parcialmente completada. Por ejemplo, si es necesario ejecutar
adprep /domainprep, el asistente para la instalación comprueba que el usuario
tenga derechos suficientes como para ejecutar la operación.

Las páginas de configuración se agrupan en una secuencia que refleja los

requisitos de las opciones de promoción más comunes con las opciones
relacionadas agrupadas en menos páginas de asistente. Esto ofrece un mejor
contexto para tomar decisiones de instalación.

Puede exportar un script de Windows PowerShell que contenga todas las

opciones que se especificaron durante la instalación gráfica. Al final de la
instalación o eliminación, puede exportar la configuración a un script de Windows
PowerShell para su uso con la automatización de la misma operación.

Solo la replicación crítica se produce antes del reinicio. El nuevo conmutador

permite la replicación de datos no críticos antes del reinicio. Para obtener más
información, vea Argumentos del cmdlet ADDSDeployment.

El Asistente para configuración de Servicios de

dominio de Active Directory
A partir de Windows Server 2012, el Asistente para configuración de Active Directory
Domain Services reemplaza al Asistente para instalación de Active Directory Domain
Services heredado como la opción de interfaz de usuario (UI) para especificar la
configuración al instalar un controlador de dominio. El Asistente para configuración de
Servicios de dominio de Active Directory comienza después de que el Asistente para
agregar roles ha terminado.
 ２ Advertencia

El Asistente para la instalación de Active Directory Domain Services heredado

(dcpromo.exe) está en desuso a partir de Windows Server 2012.

En Instalar Active Directory Domain Services (nivel 100), los procedimientos de interfaz
de usuario muestran cómo iniciar el Asistente para agregar roles para instalar los
archivos binarios del rol de servidor de AD DS y, a continuación, ejecutar el Asistente
para configuración de Active Directory Domain Services para completar la instalación
del controlador de dominio. En los ejemplos de Windows PowerShell se muestra cómo
completar ambos pasos con un cmdlet de implementación de AD DS.

Integración de adprep.exe
A partir de Windows Server 2012, solo hay una versión de Adprep.exe (no hay ninguna
versión de 32 bits, adprep32.exe). Los comandos Adprep se ejecutan automáticamente
según sea necesario cuando se instala un controlador de dominio que ejecuta Windows
Server 2012 en un dominio o bosque de Active Directory existente.

A pesar de que las operaciones adprep se ejecutan automáticamente, puede ejecutar

Adprep.exe por separado. Por ejemplo, si el usuario que instala AD DS no es miembro
del grupo Administradores de empresas, lo cual es necesario para poder ejecutar
Adprep /forestprep, entonces quizás necesite ejecutar el comando por separado. Pero
solo tienes que ejecutar adprep.exe si planeas actualizar localmente tu primer
controlador de dominio de Windows Server 2012 (es decir, planeas actualizar
localmente el sistema operativo de un controlador de dominio que ejecuta Windows
Server 2012).

Adprep.exe se encuentra en la carpeta \support\adprep del disco de instalación de

Windows Server 2012. La versión de Windows Server 2012 de adprep es capaz de
ejecutarse de forma remota.

La versión de Windows Server 2012 de adprep.exe puede ejecutarse en cualquier

servidor que ejecute una versión de 64 bits de Windows Server 2008 o posterior. El
servidor necesita conectividad de red al maestro de esquema para el bosque y el
maestro de infraestructura del dominio donde quiere agregar un controlador de
dominio. Si alguno de estos roles se hospeda en un servidor que ejecuta Windows
Server 2003, adprep se deberá ejecutar remotamente. No es necesario que el servidor
donde ejecuta adprep sea un controlador de dominio. Puede estar unido al dominio o
en un grupo de trabajo.
 ７ Nota

Si intenta ejecutar la versión de Windows Server 2012 de adprep.exe en un servidor

que ejecuta Windows Server 2003, aparece el siguiente error:

Adprep.exe no es una aplicación Win32 válida.

Para obtener más información sobre cómo resolver otros errores devueltos por
Adprep.exe, consulte Problemas conocidos.

Comprobación de pertenencia a grupos con los roles de

maestro de operaciones de Windows Server 2003
Para cada comando (/forestprep, /domainprep o /rodcprep), Adprep realiza una
comprobación de la pertenencia a grupos para determinar si las credenciales
especificadas representan una cuenta en algunos grupos. Para llevar a cabo esta
comprobación, Adprep se pone en contacto con el propietario del rol de maestro de
operaciones. Si el maestro de operaciones está ejecutando Windows Server 2003, se
deben especificar los parámetros de la línea de comandos /user y /userdomain si se
ejecuta Adprep.exe para asegurarse de que la comprobación de la pertenencia a grupos
se realice en todas las clases.

/user y /userdomain son parámetros nuevos para Adprep.exe en Windows Server 2012 .
Estos parámetros especifican el nombre de cuenta de usuario y el dominio de usuario,
respectivamente, del usuario que ejecuta el comando adprep. La utilidad de la línea de
comandos Adprep.exe bloquea y especifica uno de /userdomain y /user pero omite el
otro.

Sin embargo, las operaciones Adprep también se pueden ejecutar como parte de una
instalación de AD DS con Windows PowerShell o Administrador del servidor. Esas
experiencias comparten la misma implementación subyacente (adprep.dll) como
adprep.exe. Las experiencias de Windows PowerShell y Administrador del servidor
tienen entradas de credenciales separadas, lo cual no impone los mismos requisitos que
adprep.exe. Con Windows PowerShell o Administrador del servidor, es posible pasar un
valor para /user pero no para /userdomain a adprep.dll. Si se especifica /user pero no se
especifica /userdomain, el dominio del equipo local se usa para realizar la
comprobación. Si el equipo no está unido al dominio, no se puede comprobar la
pertenencia a grupos.

Cuando la pertenencia a grupos no se puede comprobar, Adprep muestra un mensaje

de advertencia en los archivos de registro de adprep y continúa:

Adprep was unable to check the specified user's group membership. This could
happen if the FSMO role owner <DNS host name of operations master> is
running Windows Server 2003 or lower version of Windows.

Si ejecuta Adprep.exe sin especificar los parámetros /user y /userdomain y el maestro de

operaciones está ejecutando Windows Server 2003, Adprep.exe se pone en contacto
con un controlador de dominio en el dominio del usuario conectado actualmente. Si el
usuario conectado actualmente no es una cuenta de dominio, Adprep.exe no puede
realizar la comprobación de pertenencia a grupos. Adprep.exe tampoco puede realizar
la comprobación de pertenencia a grupos si se usan credenciales de tarjeta inteligente,
incluso aunque se especifiquen /user y /userdomain.

Si Adprep finaliza correctamente, no se requiere ninguna acción. Si se producen errores

de acceso en Adprep durante la ejecución, proporcione una cuenta con la pertenencia
correcta. Para obtener más información, consulte Requisitos de credenciales para
ejecutar Adprep.exe e instalar Active Directory Domain Services.

Sintaxis para Adprep en Windows Server 2012

Utilice la siguiente sintaxis para ejecutar adprep independientemente de una instalación
AD DS:
 Adprep.exe /forestprep /forest <forest name> /userdomain <user domain name>
/user <user name> /password *

Utilice /logdsid en el comando para generar registros más detallados. Adprep.log está
ubicado en %windir%\System32\Debug\Adprep\Logs.

Ejecución de adprep con tarjeta inteligente

La versión de Windows Server 2012 de adprep.exe funciona con tarjeta inteligente como
credenciales, pero no hay ninguna manera fácil de especificar la credencial de tarjeta
inteligente a través de la línea de comandos. Una forma de hacerlo es obtener la tarjeta
inteligente a través del cmdlet Get-Credential de PowerShell. A continuación, use el
nombre de usuario del objeto PSCredential devuelto, el cual aparece como @@... . La
contraseña es el PIN de la tarjeta inteligente.

Adprep.exe requiere /userdomain si se especifica /user. Para las credenciales de tarjetas

inteligentes, el /userdomain debería ser el dominio de la cuenta de usuario subyacente
representada por la tarjeta inteligente.

El comando adprep /domainprep /gpprep no se ejecuta

automáticamente
El comando adprep /domainprep /gpprep no se ejecuta como parte de la instalación de
AD DS. Este comando establece permisos que son necesarios para la funcionalidad del
modo de planeamiento del Conjunto resultante de directivas (RSOP). Para más
información sobre este comando, consulte el artículo 324392 de Microsoft Knowledge
Base. Si es necesario que el comando se ejecute en el dominio de Active Directory,
puede ejecutarlo independientemente de la instalación de AD DS. Si el comando ya se
ejecutó en la preparación de la implementación de controladores de dominio que
ejecutan Windows Server 2003 SP1 o posterior, no es necesario ejecutar el comando
otra vez.

Puede agregar controladores de dominio que ejecuten Windows Server 2012 a un

dominio existente sin ejecutar adprep /domainprep /gpprep, pero el modo de
planeamiento de RSOP no funcionará correctamente.

Validación de requisitos previos para la

instalación de AD DS
El asistente para la instalación de AD DS comprueba que se cumplan los siguientes
requisitos previos antes de que comience la instalación. Esto le ofrece la oportunidad de
corregir problemas que podrían obstruir la instalación.

Por ejemplo, los requisitos previos relacionados con Adprep incluyen:

Comprobación de credenciales de adprep: si es necesario ejecutar adprep, el

asistente para la instalación comprueba que el usuario tiene derechos suficientes
como para ejecutar las operaciones de adprep necesarias.
Comprobación de disponibilidad de maestro de esquema: si el asistente para la
instalación determina que es necesario ejecutar adprep /forestprep, comprueba
que el maestro de esquema está conectado y, de lo contrario, da error.
Comprobación de disponibilidad de maestro de infraestructura: si el asistente para
la instalación determina que es necesario ejecutar adprep /domainprep,
comprueba que el maestro de infraestructura está conectado y, de lo contrario, da
error.

Otras comprobaciones de requisitos previos traídos del Asistente para la instalación de

Active Directory heredado (dcpromo.exe) incluyen:

Comprobación de nombre de bosque: asegura que el nombre de bosque sea

válido y no exista en la actualidad.
Comprobación de nombre NetBIOS: comprueba que el nombre NetBIOS
proporcionado es válido y no tiene conflictos con otros nombres.
Comprobación de ruta de acceso del componente: comprueba que las rutas de
acceso para SYSVOL, registros y la base de datos de Active Directory, son válidas y
que hay suficiente espacio disponible en disco para ellas.
Comprobación de nombre de dominio secundario: asegura que el nombre de
dominio primario y el nuevo secundario son válidos, y que no tienen conflictos con
otros dominios.
Comprobación de nombre de dominio de árbol: asegura que el nombre de árbol
especificado sea válido y no exista en la actualidad.

Requisitos del sistema

Los requisitos del sistema para Windows Server 2012 no cambian de Windows Server
2008 R2. Para obtener más información, vea Windows Server 2008 R2 with SP1 System
Requirements (https://www.microsoft.com/windowsserver2008/en/us/system-
requirements.aspx ).

Algunas características pueden tener requisitos adicionales. Por ejemplo, la característica

de clonación del controlador de dominio virtual requiere que el emulador de PDC
ejecute Windows Server 2012 y un equipo que ejecute Windows Server 2012 con el rol
de Hyper-V instalado.

Problemas conocidos
En esta sección se enumeran algunos de los problemas conocidos que afectan a la
instalación de AD DS en Windows Server 2012 . Para obtener información sobre otros
problemas conocidos, consulte el tema sobre solución de problemas con la
implementación de controladores de dominio.

Si el acceso WMI al maestro de esquema está bloqueado por el Firewall de

Windows cuando ejecuta adprep /forestprep remotamente, se registra el siguiente
error en el registro de adprep en %systemroot%\system32\debug\adprep:

Adprep encountered a Win32 error.

Error code: 0x6ba Error message: The RPC server is unavailable.

En este caso, para solucionar el error puede ejecutar adprep /forestprep

directamente en el maestro de esquema, o puede ejecutar uno de los siguientes
comandos para permitir el tráfico WMI a través del Firewall de Windows.

Para Windows Server 2008 o posterior:

netsh advfirewall firewall set rule group="windows management

instrumentation (wmi)" new enable=yes

Para Windows Server 2003:

netsh firewall set service RemoteAdmin enable

Una vez que adprep haya terminado, puede ejecutar cualquiera de los siguientes
comandos para volver a bloquear el tráfico WMI:

netsh advfirewall firewall set rule group="windows management

instrumentation (wmi)" new enable=no

 netsh firewall set service remoteadmin disable

Puede escribir Ctrl + C para cancelar el cmdlet Install-ADDSForest. La cancelación

detiene la instalación y se revierte cualquier cambio que se haya producido en el
estado del servidor. Pero después de que se haya emitido el comando de
cancelación, el control no vuelve a Windows PowerShell, y el cmdlet puede fallar
indefinidamente.

La instalación de un controlador de dominio adicional mediante credenciales de

tarjeta inteligente da error si el servidor de destino no se ha unido al dominio
antes de la instalación.

El mensaje de error devuelto en este caso es:

No se puede conectar al controlador de dominio del origen de la replicación

nombre del controlador de dominio del origen. (Excepción: error de inicio de sesión:
nombre de usuario desconocido o contraseña incorrecta)

Si une el servidor de destino al dominio y después lleva a cabo la instalación con

una tarjeta inteligente, la instalación se realizará correctamente.

El módulo ADDSDeployment no se ejecuta en procesos de 32 bits. Si va a

automatizar la implementación y configuración de Windows Server 2012 mediante
un script que incluya un cmdlet ADDSDeployment y cualquier otro cmdlet que no
admita procesos nativos de 64 bits, el script puede producir un error que indica
que no se encuentra el cmdlet ADDSDeployment.

En este caso, debe ejecutar el cmdlet de ADDSDeployment independientemente

del cmdlet que no admite procesos nativos de 64 bits.

Hay un nuevo sistema de archivos en Windows Server 2012 denominado Sistema

de archivos resistente. No almacene SYSVOL, archivos de registro o la base de
datos de Active Directory en un volumen de datos formateado con el Sistema de
archivos resistente (ReFS). Para obtener más información sobre ReFS, consulte el
tema sobre cómo crear el sistema de archivos de la próxima generación para
Windows: ReFS(en inglés).

En el Administrador del servidor, los servidores que ejecutan AD DS u otros roles

de servidor en una instalación de Server Core y se han actualizado a Windows
Server 2012, el rol de servidor puede aparecer con estado rojo, aunque los eventos
y el estado se recopilen según lo previsto. Los servidores que ejecutan una
 instalación server Core de una versión preliminar de Windows Server 2012 también
se pueden ver afectados.

Si un error impide la replicación crítica, la instalación de

Servicios de dominio de Active Directory no responde
Si la instalación de AD DS encuentra un error durante la fase de replicación crítica, la
instalación puede fallar indefinidamente. Por ejemplo, si se producen errores de red que
impiden que se complete la replicación crítica, la instalación no continuará.

Si está intentando instalar mediante el Administrador del servidor, es posible que vea
que la página de progreso de la instalación permanece abierta, pero en la pantalla no se
notifica de ningún error, y puede que el progreso no cambie en unos 15 minutos. Si usa
Windows PowerShell, el progreso que se muestra en la ventana de Windows PowerShell
no cambiará por más de 15 minutos.

Si experimenta este problema, vea el archivo dcpromo.log en la carpeta

%systemroot%/debug en el servidor de destino. Seguramente, archivo de registro
indicará reiterados errores al replicar. Algunas causas conocidas de este problema son:

Problemas de red impiden la replicación crítica entre el servidor de destino que se

promociona y el controlador de dominio del origen de la replicación.

Por ejemplo, el dcpromo.log muestra:

05/02/2012 14:16:46 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC

Client : 1963

Internal event: The following local directory service received an

exception from a remote procedure call (RPC) connection. Extensive RPC
information was requested. This is intermediate information and might
not contain a possible cause.

Process ID:

500

Reported error information:

Error value:

Could not find the domain controller for this domain. (1908)

directory service:

<domain>.com

Extensive error information:

Error value:

A security package specific error occurred. 1825

directory service:

<DC Name>

Debido a que el proceso de instalación vuelve a intentar llevar a cabo la replicación

crítica indefinidamente, la instalación del controlador de dominio continúa si los
problemas de red subyacentes se solucionan. Investigue el problema de red
mediante el uso de herramienta como ipconfig, nslookup, y netmon según la
necesidad. Asegúrese de que existe conectividad entre el controlador de dominio
que está promoviendo y el asociado de replicación seleccionado durante la
instalación de AD DS. También asegúrese de que la resolución de nombres esté
funcionando.

Los requisitos de instalación de AD DS para la conectividad de red y la resolución

de nombres se validan durante la comprobación de requisitos previos antes de
que comience la instalación. No obstante, pueden aparecer algunas condiciones
de error en el momento posterior a que se produzca la validación de requisitos
previos y antes de que se complete la instalación, como por ejemplo, el asociado
de replicación deja de estar disponible durante la instalación.

Durante la instalación de controladores de dominio de réplica, la cuenta de

administrador local del servidor de destino se especifica para las credenciales de
instalación y la contraseña de la cuenta de administrador local coincide con la
contraseña de una cuenta de administrador de dominio. En este caso, puede
completar el asistente para la instalación e iniciar la instalación antes de encontrar
el error "Acceso denegado".

Por ejemplo, el dcpromo.log muestra:

03/30/2012 11:36:51 [INFO] Creating the NTDS Settings object for this
Active Directory Domain Controller on the remote AD DC
DC2.contoso.com...

03/30/2012 11:36:51 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC

Client : 1963Internal event: The following local directory service
received an exception from a remote procedure call (RPC) connection.
Extensive RPC information was requested. This is intermediate
information and might not contain a possible cause.

Process ID:

508

Reported error information:

Error value:

Access is denied. (5)

directory service:

DC2.contoso.com

Para poder recuperarse si se produce un error al especificar una contraseña o

cuenta de administrador local, debe reinstalar el sistema operativo, realizar una
limpieza de metadatos de la cuenta para el controlador de dominio que presentó
 el error al completar la instalación y después vuelva a intentar la instalación de AD
DS usando credenciales de administrador de dominio. Si reinicia el servidor no se
corregirá esta condición de error porque el servidor indicará que AD DS está
instalado aunque la instalación no haya terminado correctamente.

El Asistente para configuración de Servicios de dominio

de Active Directory advierte cuando se especifica un
nombre DNS no normalizado
Si crea un nuevo dominio o bosque y especifica un nombre de dominio DNS que
incluye caracteres internacionalizados que no están normalizados, el Asistente para
configuración de Servicios de dominio de Active Directory mostrará una advertencia de
que las consultas DNS del nombre pueden dar errores. Aunque el nombre de dominio
DNS se especifica en la página de configuración de implementación, la advertencia
aparece en la página de comprobación de requisitos previos más adelante en el
asistente.

Si se especifica un nombre de dominio DNS con un nombre no normalizado como füß

ball.com o "ΣΤ".com (las versiones normalizadas son: füssball.com y στα.com), las
aplicaciones cliente que intentan acceder a él con WinHTTP normalizarán el nombre
antes de llamar a las API de resolución de nombres. Si el usuario escribe "'ΣΤ'.com" en
algún cuadro de diálogo, la consulta DNS se enviará como "σστα.com" y ningún
servidor DNS lo coincidirá con un registro de recursos para "'ΣΤ'.com". El usuario no
podrá resolver nombre.

En el siguiente ejemplo se explica uno de los problemas que puede ocurrir cuando se
utiliza un nombre IDN que no está normalizado:

1. El dominio que usa un nombre no normalizado se crea y registra en el servidor

dns: füß ball.com
2. La máquina "nps" está unida al dominio y obtiene su nombre registrado: nps.füß
ball.com
3. Una aplicación cliente intenta conectarse al servidor nps.füß ball.com
4. La aplicación cliente intenta resolver el nombre nps.füß ball.com llamando a las API
de resolución de nombres.
5. Debido a la normalización, el nombre se convierte en nps.füssball.com y se
consulta sobre el cable como nps.füß ball.com
6. La aplicación cliente no puede resolver el nombre, ya que el nombre registrado es
nps.füß ball.com
Si aparece la advertencia en la página de comprobación de requisitos previos en el
Asistente para configuración de Servicios de dominio de Active Directory, regrese a la
página de configuración de implementación y especifique un nombre de dominio DNS
normalizado. Si está instalando un nuevo dominio con Windows PowerShell, especifique
un nombre DNS normalizado para la opción -DomainName.

Para obtener más información sobre IDN, consulte el tema sobre el tratamiento de
nombres de dominio internacionalizados (IDN).
Actualizar controladores de dominio a
una versión más reciente de Windows
Server
Artículo • 21/12/2022 • Tiempo de lectura: 7 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

En este artículo se proporciona información general sobre Servicios de dominio de

Active Directory en Windows Server y se explica el proceso de actualización de
controladores de dominio (CONTROLADORES de dominio) desde una versión anterior
de Windows Server.

Requisitos previos
La manera recomendada de actualizar un dominio es promover nuevos servidores a los
controladores de dominio que ejecutan una versión más reciente de Windows Server y
degradan los controladores de dominio anteriores según sea necesario. Este método es
preferible actualizar el sistema operativo de un controlador de dominio existente, que
también se conoce como actualización local.

Siga estos pasos generales antes de promover un servidor a un controlador de dominio

que ejecute una versión más reciente de Windows Server:

1. Compruebe que el servidor de destino cumple los requisitos del sistema.

2. Compruebe la compatibilidad de la aplicación.

3. Revise las recomendaciones para pasar a una versión más reciente de Windows
Server.

4. Compruebe la configuración de seguridad.

5. Compruebe la conectividad del servidor de destino desde el equipo donde tenga

intención de realizar la instalación.

6. Compruebe la disponibilidad de los roles de operación maestra única flexible

(FSMO) necesarios en Active Directory. Este paso es necesario para los escenarios
siguientes:
 Para instalar el primer controlador de dominio que ejecuta la versión más
reciente de Windows Server en un dominio y bosque existente, la máquina
donde se ejecuta la instalación necesita conectividad con:
Patrón de esquema que se va a ejecutar adprep /forestprep .
Maestro de infraestructura que se va a ejecutar adprep /domainprep .
Para instalar el primer controlador de dominio en un dominio donde el
esquema del bosque ya está extendido, solo necesita conectividad con el
maestro de infraestructura.
Para instalar o quitar un dominio en un bosque existente, necesita
conectividad con el maestro de nomenclatura de dominio.
Cualquier instalación de controlador de dominio también requiere
conectividad con el maestro rid.
Si va a instalar el primer controlador de dominio de solo lectura en un
bosque existente, necesita conectividad con el maestro de infraestructura
para cada partición de directorio de aplicación, que también se conoce como
contexto de nomenclatura no de dominio.

Para averiguar qué servidor o servidores contienen el rol FSMO, ejecute los
siguientes comandos en una sesión de PowerShell con privilegios elevados
mediante una cuenta que sea miembro del grupo Administradores de dominio:

PowerShell

Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator

Get-ADForest | FL DomainNamingMaster, SchemaMaster

Acciones de instalación y niveles administrativos

necesarios
En la tabla siguiente se proporciona un resumen de las acciones de instalación y los
requisitos de permisos para realizar estos pasos.

Acción de instalación Requisitos de credenciales

Instale un nuevo bosque. Administrador local en el servidor de destino

Instale un nuevo dominio en un administradores de Enterprise

bosque existente.

Instale otro controlador de dominio Administradores de dominio

en un dominio existente.
 Acción de instalación Requisitos de credenciales

Ejecute adprep /forestprep . Administradores de esquemas, administradores de

empresa y administradores de dominio

Ejecute adprep /domainprep . Administradores de dominio

Ejecute adprep /domainprep /gpprep. : Administradores de dominio

Ejecute adprep /rodcprep . administradores de Enterprise

Rutas de acceso de actualización en contexto

admitidas
Solo se admiten actualizaciones de versión de 64 bits. Para obtener más información
sobre las rutas de actualización compatibles, vea Rutas de actualización compatibles.

Adprep: forestprep y domainprep

Para una actualización local de un controlador de dominio existente, debe ejecutar y
adprep /domainprep manualmente adprep /forestprep . Solo debe ejecutarse Adprep

/forestprep una vez en el bosque para cada versión más reciente de Windows Server.

Ejecute Adprep /domainprep una vez en cada dominio en el que tenga controladores de
dominio que va a actualizar para cada versión más reciente de Windows Server.

Si va a promover un nuevo servidor a un controlador de dominio, no es necesario

ejecutar estas herramientas de línea de comandos manualmente. Se integran en las
experiencias de PowerShell y Administrador del servidor.

Para obtener más información sobre cómo ejecutar adprep, consulte Ejecución de
Adprep.

Características y requisitos de nivel funcional

Windows Server 2019 o posterior requiere un nivel funcional de bosque de Windows
Server 2008 como mínimo. Windows Server 2016 requiere un nivel funcional de bosque
de Windows Server 2003 como mínimo. Si el bosque contiene controladores de dominio
que ejecutan un nivel funcional de bosque anterior que admite el sistema operativo, se
bloquea la instalación. Estos controladores de dominio deben quitarse y el nivel
funcional del bosque elevado a una versión que se admita antes de agregar
controladores de dominio de servidor de Windows más recientes al bosque. Para
obtener más información sobre los niveles funcionales admitidos, consulte Niveles
funcionales de bosque y dominio.

７ Nota

No se han agregado nuevos niveles funcionales de bosque o dominio desde

Windows Server 2016. Las versiones posteriores del sistema operativo pueden y
deben usarse para los controladores de dominio. Usan Windows Server 2016 como
los niveles funcionales más recientes.

Revertir niveles funcionales

Después de establecer el nivel funcional del bosque en un valor determinado, no se
puede revertir ni reducir el nivel funcional del bosque, con las siguientes excepciones:

Si va a actualizar desde Windows Server 2012 nivel funcional del bosque R2, puede
revertir a Windows Server 2012 R2.
Si va a actualizar desde el nivel funcional del bosque de Windows Server 2008 R2,
puede revertir a Windows Server 2008 R2.

Después de establecer el nivel funcional del dominio en un valor determinado, no se

puede revertir ni reducir el nivel funcional del dominio, con las siguientes excepciones:

Al elevar el nivel funcional del dominio a Windows Server 2016 y si el nivel

funcional del bosque es Windows Server 2012 o inferior, tiene la opción de revertir
el nivel funcional del dominio a Windows Server 2012 o Windows Server 2012 R2.

Para obtener más información sobre las características disponibles en cada uno de los
niveles funcionales, consulte Niveles funcionales de bosque y dominio.

interoperabilidad de Servicios de dominio de

Active Directory
Servicios de dominio de Active Directory no se admite en los siguientes sistemas
operativos Windows:

Windows MultiPoint Server

Windows Server Essentials

Servicios de dominio de Active Directory no se puede instalar en un servidor que

también ejecute los siguientes roles de servidor o servicios de rol:
 Microsoft Hyper-V Server
Agente de conexión a Escritorio remoto

Administración de Windows Server

Use las Herramientas de administración remota del servidor para Windows 10 o
posterior para administrar controladores de dominio y otros servidores que ejecutan
Windows Server. Puede ejecutar las herramientas de administración remota del servidor
Windows en un equipo que ejecute Windows 10 o posterior.

Agregar un nuevo controlador de dominio con

una versión más reciente de Windows Server
En el ejemplo siguiente se muestra cómo actualizar el bosque de Contoso desde una
versión anterior de Windows Server a una versión posterior.

1. Una el nuevo servidor de Windows al bosque. Reinicie cuando se le solicite.

2. Inicie sesión en el nuevo servidor de Windows con una cuenta de administrador de

dominio.

3. En Administrador del servidor, en Agregar roles y características, instale Servicios

de dominio de Active Directory en el nuevo servidor Windows. Esta acción ejecuta
automáticamente adprep en el bosque de versión y el dominio anteriores.
4. En Administrador del servidor, seleccione el triángulo amarillo. En la lista
desplegable, seleccione Promover el servidor a un controlador de dominio.

5. En la pantalla Configuración de implementación , seleccione Agregar un nuevo

dominio a un bosque existente y seleccione Siguiente.
6. En la pantalla Opciones del controlador de dominio , escriba la contraseña del
modo de restauración de servicios de directorio (DSRM) y seleccione Siguiente.

7. En el resto de las pantallas, seleccione Siguiente.

8. En la pantalla Comprobación de requisitos previos , seleccione Instalar. Una vez

completado el reinicio, vuelva a iniciar sesión.

9. En la versión anterior de Windows Server, en Administrador del servidor, en

Herramientas, seleccione Módulo de Active Directory para Windows PowerShell.
10. En la ventana de PowerShell, use el Move-ADDirectoryServerOperationMasterRole
cmdlet para mover los roles de FSMO. Puede escribir el nombre de cada rol
maestro de operación o usar números para especificar los roles. Para obtener más
información, vea Move-ADDirectoryServerOperationMasterRole.

PowerShell

Move-ADDirectoryServerOperationMasterRole -Identity "DC-W2K16" -

OperationMasterRole 0,1,2,3,4

11. Para comprobar que los roles se han movido, vaya al nuevo Windows Server. En
Administrador del servidor, en Herramientas, seleccione Módulo de Active
Directory para Windows PowerShell. Use los Get-ADDomain cmdlets y Get-
ADForest para ver los titulares de roles de FSMO.
12. Degradar y quitar el controlador de dominio del servidor de Windows anterior.
Para obtener información sobre cómo degradar un controlador de dominio,
consulte Degradación de controladores de dominio y dominios.

13. Una vez eliminado y degradado el servidor, puede elevar los niveles funcionales
del bosque y funcionales del dominio a la versión más reciente de Windows Server.

Pasos siguientes
Novedades de Servicios de dominio de Active Directory instalación y eliminación
Instalar Active Directory Domain Services (Nivel 100)
niveles funcionales de Windows Server
Actualizar controladores de dominio a
Windows Server 2012 R2 y Windows
Server 2012
Artículo • 21/12/2022 • Tiempo de lectura: 40 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2 y Windows Server 2012.

En este tema se proporciona información general sobre Active Directory Domain

Services en Windows Server 2012 R2 y Windows Server 2012 y se explica el proceso para
actualizar controladores de dominio de Windows Server 2008 o Windows Server 2008
R2.

Pasos de actualización de los controladores de

dominio
El método recomendado de actualización de un dominio es promover controladores de
dominio que ejecuten versiones más recientes de Windows Server y degradar
controladores de dominio anteriores según sea necesario. Ese método es preferible a
actualizar el sistema operativo de un controlador de dominios existente. En esta lista se
describen los pasos generales que se deben seguir antes de promover un controlador
de dominio que ejecute una versión más reciente de Windows Server:

1. Compruebe que el servidor de destino cumple los requisitos del sistema.

2. Compruebe la compatibilidad de aplicaciones.

3. Compruebe la configuración de seguridad. Para obtener más información, vea

Características en desuso y cambios de comportamiento relacionados con AD DS
en Windows Server 2012 y Configuración predeterminada segura en Windows
Server 2008 y Windows Server 2008 R2.

4. Compruebe la conectividad del servidor de destino desde el equipo donde tenga

intención de realizar la instalación.

5. Compruebe la disponibilidad de los roles de maestro de operaciones necesarios:

Para instalar el primer controlador de dominio que ejecuta Windows Server

2012 en un dominio y bosque existentes, la máquina donde se ejecuta la
 instalación necesita conectividad con el maestro de esquema para ejecutar
adprep /forestprep y el maestro de infraestructura para ejecutar adprep
/domainprep.
Para instalar el primer controlador de dominio en un dominio en el que el
esquema del bosque ya esté extendido, solo es necesario conectarse al
maestro de infraestructura.
Para instalar o quitar un dominio de un bosque existente, es necesario
conectarse al maestro de nomenclatura de dominios.
Una instalación de controlador de dominio también requiere conectarse al
maestro RID.
Si instala el primer controlador de dominio de solo lectura en un bosque
existente, necesitará conectarse al maestro de infraestructura para cada
partición de directorio de aplicaciones, que se conoce también como
contexto de nomenclatura no de dominio (o NDNC).

6. Procure suministrar las credenciales que sean necesarias para ejecutar la

instalación de AD DS.

Acción de instalación Requisitos de credenciales

Instalar un bosque nuevo Administrador local en el servidor de destino

Instalar un dominio nuevo en un Administradores de empresas

bosque existente

Instalar más controladores de Administradores de dominio

dominio en un dominio existente

Ejecutar adprep /forestprep Administradores de esquema, Administradores de

empresas y Admins. del dominio

Ejecutar adprep /domainprep Administradores de dominio

Ejecutar adprep /domainprep /gpprep Administradores de dominio

Ejecutar adprep /rodcprep Administradores de empresas

Puede delegar permisos para instalar AD DS. Para obtener más información,
consulte el tema sobre las tareas de administración de la instalación.

En los siguientes vínculos encontrará instrucciones detalladas para promover

controladores de dominio de Windows Server 2012 nuevos y réplicas de estos mediante
cmdlets de Windows PowerShell y el Administrador del servidor:

Instalar Active Directory Domain Services (Nivel 100)

Instalar un nuevo bosque de Active Directory de Windows Server 2012 (nivel 200)
 Instalar una réplica del controlador de dominio de Windows Server 2012 en un
dominio existente (nivel 200)
Instalar un nuevo dominio secundario o de árbol de Active Directory de Windows
Server 2012 (nivel 200)
Instalar un controlador de dominio sólo servidor 2012 Active Directory lectura
(RODC) (nivel 200) de Windows
Foro de Windows Server 2012 sobre controladores de dominio

Consideraciones sobre Windows Update

Antes de la publicación de Windows 8, Windows Update administraba su propia
programación interna para buscar actualizaciones y descargarlas e instalarlas. Requería
la ejecución continua del Agente de Windows Update en segundo plano, con lo que se
consumía memoria y otros recursos del sistema.

Windows 8 y Windows Server 2012 presentan una nueva característica denominada

Mantenimiento automático. La característica Mantenimiento automático consolida
muchas características distintas que solían administrar su lógica de ejecución y
programación individualmente. Esta consolidación permite a todos estos componentes
usar muchos menos recursos del sistema, funcionar de manera coherente, respetar el
nuevo estado Modo de espera conectado para tipos de dispositivo nuevos y consumir
menos batería en dispositivos portátiles.

Como Windows Update forma parte del Mantenimiento automático en Windows 8 y

Windows Server 2012, su programación interna para establecer un día y una hora para
instalar las actualizaciones ya no tiene efecto. Para garantizar un comportamiento de
reinicio coherente y predecible para todos los dispositivos y equipos de la empresa,
incluidos los que ejecutan Windows 8 y Windows Server 2012, consulta el artículo de
Microsoft Knowledge Base 2885694 (o bien, consulte el paquete acumulativo de
octubre de 2013 2883201 ) y, a continuación, configure las opciones de directiva
descritas en la entrada del blog de WSUS sobre cómo habilitar una experiencia de
usuario de Windows Update más predecible para Windows 8 y Windows Server 2012
(KB 2885694).

Novedades de AD DS en Windows Server 2012

R2
En la siguiente tabla se recogen las nuevas características de AD DS en Windows Server
2012 R2, con vínculos que llevan a información más detallada sobre dónde están
disponibles. Consulte Novedades de Active Directory en Windows Server 2012 R2para
ver descripciones más completas sobre algunas de estas características y sus requisitos
correspondientes.

Característica Descripción

Unión al área Permite a los trabajadores de la información unir sus dispositivos personales a su
de trabajo compañía para tener acceso a los recursos y servicios de la compañía.

Proxy de Proporciona acceso a la aplicación web con un nuevo servicio de rol de acceso
aplicación remoto.
web

Servicios de AD FS ha simplificado la implementación y las mejoras para permitir a los

federación de usuarios tener acceso a recursos de dispositivos personales y ayudar a los
Active departamentos de TI a administrar el control de acceso.
Directory

Unicidad de Los controladores de dominio en los que se ejecuta Windows Server 2012 R2
SPN y UPN bloquean la creación de nombres de entidad de seguridad de servicio (SPN) y
nombres principales de usuario (UPN) duplicados.

Inicio de Permite que las aplicaciones de la pantalla de bloqueo se reinicien y estén

sesión con disponibles en dispositivos Windows 8.1.
reinicio
automático de
Winlogon
(ARSO)

Atestación de Permite a las entidades de certificación (CA) atestar criptográficamente en un

clave de TPM certificado emitido que la clave privada del solicitante del certificado está
realmente protegida por un Módulo de plataforma segura (TPM).

Protección y Nuevos controles de protección de credenciales y autenticación de dominios

administración para reducir el robo de credenciales.
de
credenciales

Degradación El nivel funcional de dominio de Windows Server 2003 también se desusa

del servicio de porque, en el nivel funcional, FRS usa para replicar SYSVOL. Esto significa que al
replicación de crear un dominio en un servidor que ejecute Windows Server 2012 R2, el nivel
archivos (FRS) funcional de dominio debe ser Windows Server 2008 o posterior. Todavía puede
agregar un controlador de dominio que ejecute Windows Server 2012 R2 a un
dominio existente que tenga un nivel funcional de dominio de Windows Server
2003; No se puede crear un nuevo dominio en ese nivel.

Nuevos Hay nuevos niveles funcionales para Windows Server 2012 R2. Hay nuevas
niveles características disponibles en los niveles funcionales de dominio de Windows
funcionales de Server 2012 R2.
dominios y
bosques
 Característica Descripción

Cambios en el Se ha mejorado el rendimiento de la eficiencia de búsqueda LDAP y el tiempo de

optimizador búsqueda LDAP de las consultas complejas.
de consultas
LDAP

Mejoras en el Se han agregado estadísticas de resultados de búsqueda LDAP al identificador

evento 1644 de evento 1644 para ayudar a solucionar problemas.

Mejora del Ajusta el rendimiento máximo de replicación de AD de 40 Mbps a unos 600

rendimiento Mbps.
de replicación
de Active
Directory

Novedades de AD DS en Windows Server 2012

En la siguiente tabla se recogen las nuevas características de AD DS en Windows Server
2012, con vínculos que llevan a información más detallada sobre dónde están
disponibles. Para obtener una explicación más detallada de algunas características,
incluidos sus requisitos, consulte Novedades de Active Directory Domain Services (AD
DS).

Característica Descripción

Activación basada en Active Simplifica la tarea de configurar la distribución y administración

Directory (AD BA). Ver