Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Tema 2: Dominios en Windows Server 2012 R2

1. Introducción al concepto de directorio y dominio

2. Conceptos básicos en una estructura de Directorio Activo
o Directorio
o Dominio
o Objeto
o Controlador de dominio
o Árboles
o Bosque
o Unidad Organizativa
o Esquema
o Sitio
o Relaciones de confianza
o Maestro de Operaciones
3. Instalar un dominio básico desde la interfaz gráfica
o Instalar el rol Servicios de dominio de Active Directory
o Promocionar el servidor como controlador de dominio
4. Degradar un controlador de dominio desde la interfaz gráfica
5. Instalar un dominio básico sin interfaz gráfica
6. Degradar un controlador de dominio sin interfaz gráfica
7. Herramientas relacionadas con la administración del Directorio Activo
8. Agrupar las herramientas más usadas
9. Práctica lo aprendido
o Práctica 1: Instalar un dominio básico desde la interfaz gráfica
o Práctica 2: Degradar un controlador de dominio desde la interfaz
gráfica
o Práctica 3: Instalar un dominio básico usando la línea de
comandos de PowerShell
o Práctica 4: Degradar un controlador de dominio usando la línea de
comandos
o Práctica 5: Agrupar las herramientas más usadas

1
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

3.1. Introducción al concepto de directorio y dominio

En el sentido más amplio, un directorio no es más que una lista detallada de

objetos. Por ejemplo, una guía de teléfonos es un tipo de directorio que guarda
información sobre personas, empresas y otras entidades. De cada uno de los
elementos representados, se almacena su nombre, dirección y número de
teléfono.

En muchos sentidos, Active Directory Domain Services (AD DS) es muy

parecido a una guía telefónica, aunque resulta más flexible. Se basa en el
concepto de dominio que introdujo Windows NT con el fin de facilitar la
administración. Sin embargo, ahora el objetivo es crear una estructura dinámica
y fácilmente accesible, a través de la que se puede almacenar la información
de toda la organización, tanto relativa a la estructura del propio directorio como
de su administración, y acceder a ella de forma centralizada.

AD DS puede almacenar información sobre la organización, sitios,

ordenadores, usuarios, objetos compartidos y cualquier otra cosa que pueda
formar parte de la infraestructura de red. A diferencia de los elementos de una
guía telefónica, los elementos almacenados en un Directorio Activo pueden ser
diferentes unos de otros (usuarios, grupos, políticas de acceso, permisos,
asignación de recursos, etc), por lo que la información concreta que se
almacena variará según la naturaleza del objeto. Toda esta información se
guarda en una base de datos jerárquica.

El motor de esta base de datos es el mismo que incorpora Microsoft Exchange

Server y permite la replicación de controladores de dominio. Es decir, se puede
enviar la información contenida en la base de datos a diferentes controladores
de dominio a través de la red. De esta forma, un usuario creado en un
determinado controlador de dominio, podría iniciar sesión en cualquier cliente
unido a otro controlador de dominio diferente sin ninguna complicación.

Además de administrar políticas que serán válidas en toda la

organización, Active Directory permite realizar operaciones como la instalación

2
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

de programas, de forma simultánea y centralizada, en multitud de clientes o

aplicar actualizaciones críticas en toda la organización.

Cuando utilizamos Active Directory, tenemos a nuestra disposición

herramientas de administración para establecer políticas de grupo, para incluir
unos grupos dentro de otros en diferentes niveles, un acceso sencillo al árbol
de usuarios, ordenadores, impresoras y contactos, etc.

Obviamente, podemos utilizar Windows Server 2012 R2 sin usar Active

Directory, pero estaremos prescindiendo de un amplio conjunto de
capacidades.

En cuanto a la estructura del servicio de directorio, lo primero que debemos

saber es que existen dos tipos de componentes en Active Directory:
los componentes físicos y los componentes lógicos. Veámoslos representados
en la siguiente tabla:

Por otro lado, Active Directory resulta útil tanto en redes pequeñas como en
instalaciones con millones de elementos relacionados.

3.2. Conceptos básicos en una estructura de Directorio Activo

Una vez que disponemos de una idea global del concepto de directorio y de lo
que son los dominios, es conveniente que hagamos un repaso de la
terminología que vamos a emplear cuando hablemos de Active Directory
Domain Services.

3
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Esto es lo que haremos a continuación:

Directorio
Como ya hemos mencionado antes, un Directorio es un repositorio único para
la información relativa a los usuarios y recursos de una organización. Active
Directory es un tipo de directorio y contiene información sobre las propiedades
y la ubicación de los diferentes tipos de recursos dentro de la red. Usándolo,
tanto los usuarios como los administradores pueden encontrarlos con facilidad.

Una de las ventajas que ofrece Active Directory es que puede

utilizar LDAP (Lightweight Directory Access Protocol, en español, Protocolo
Ligero de Acceso a Directorios), un protocolo de acceso estándar que permitirá
la consulta de información contenida en el directorio. Sin embargo, también
puede utilizar ADSI (Active Directory Services Interface, en español, Interfaces
de Servicio de Active Directory), un conjunto de herramientas ofrecidas
por Microsoft, que tienen una interfaz orientada a objetos y que permiten el
acceso a características de Active Directory Domain Servicesque no están
soportadas por LDAP.

Dominio

Un Dominio es una colección de objetos dentro del directorio que forman un

subconjunto administrativo. Pueden existir diferentes dominios dentro de un
bosque, cada uno de ellos con su propia colección de objetos y unidades
organizativas.

4
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Para poner nombre a los dominios se utiliza el protocolo DNS. Por este
motivo, Active Director necesita al menos un servidor DNS instalado en la red.
Más adelante, en este mismo apartado, definiremos los conceptos
de bosque y unidad organizativa.

Objeto
La palabra Objeto se utiliza como nombre genérico para referirnos a cualquiera
de los componentes que forman parte del directorio, como una impresora o una
carpeta compartida, pero también un usuario, un grupo, etc. Incluso podemos
utilizar la palabra objeto para referirnos a una unidad organizativa.

Cada objeto dispondrá de una serie de características específicas (según la

clase a la que pertenezca) y un nombre que permitirá identificarlo de forma
precisa.

Como veremos más adelante, las características específicas de cada tipo de

objeto quedarán definidas en el Esquema de la base de datos.

En general, los objetos se organizan en tres categorías:

o Usuarios: identificados a través de un nombre (y, casi siempre, una

contraseña), que pueden organizarse en grupos, para simplificar la
administración.

o Recursos: que son los diferentes elementos a los que pueden acceder, o
no, los usuarios según sus privilegios. Por ejemplo, carpetas
compartidas, impresoras, etc.
o Servicios: que son las diferentes funciones a las que los usuarios pueden
tener acceso. Por ejemplo, el correo electrónico.

Cuando instalamos Active Directory en un ordenador con Windows

Server 2012 R2, convertimos a ese ordenador en un Controlador de
dominio .

5
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Existen objetos que pueden contener a su vez otros objetos, como es el caso
de los grupos de usuarios y de las unidades organizativas.

Controlador de dominio
Un Controlador de dominio (domain controller) contiene la base de datos de
objetos del directorio para un determinado dominio, incluida la información
relativa a la seguridad. Además, será responsable de la autenticación de
objetos dentro de su ámbito de control (facilitarán la apertura y el cierre de
sesión, las búsquedas en el directorio, etc.).

En un dominio dado, puede haber varios controladores de dominio asociados,

de modo que cada uno de ellos represente un rol diferente dentro del directorio.
Sin embargo, a todos los efectos, todos los controladores de dominio, dentro
del mismo dominio, tendrán la misma importancia.

Árboles
Un Árbol es simplemente una colección de dominios que dependen de una raíz
común y se encuentra organizados como una determinada jerarquía. Dicha
jerarquía también quedará representada por un espacio de nombres
DNS común.

De esta forma, sabremos que los

dominios [Link] e [Link] forman parte del
mismo árbol, mientras que [Link] y [Link] no.

El objetivo de crear este tipo de estructura es fragmentar los datos

del Directorio Activo, replicando sólo las partes necesarias y ahorrando ancho
de banda en la red.

Si un determinado usuario es creado dentro de un dominio, éste será

reconocido automáticamente en todos los dominios que dependan
jerárquicamente del dominio al que pertenece.

6
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Bosque
El Bosque es el mayor contenedor lógico dentro de Active Directory, abarcando
a todos los dominios dentro de su ámbito. Los dominios están interconectados
por Relaciones de confianza transitivas que se construyen automáticamente
(consultar más adelante el concepto de Relación de confianza). De esta forma,
todos los dominios de un bosque confían automáticamente unos en otros y los
diferentes árboles podrán compartir sus recursos.

Como ya hemos dicho, los dominios pueden estar organizados jerárquicamente

en un árbol que comparte un espacio de nombres DNS común. A su vez,
diferentes árboles pueden estar integrados en un bosque. Al tratarse de árboles
diferentes, no compartirán el mismo espacio de nombres.

De forma predeterminada, un bosque contiene al menos un dominio, que será

el dominio raíz del bosque. En otras palabras: cuando instalamos el primer
dominio en un ordenador de nuestra red que previamente dispone de Windows
Server 2012 R2, además del propio dominio, estamos creando la raíz de un
nuevo árbol y también la raíz de un nuevo bosque.

El dominio raíz del bosque contiene el Esquema del bosque, que se compartirá
con el resto de dominios que formen parte de dicho bosque (consultar el
concepto de Esquema más adelante).

7
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Unidad Organizativa
Una Unidad Organizativa es un contenedor de objetos que permite organizarlos
en subconjuntos, dentro del dominio, siguiendo una jerarquía. De este modo,
podremos establecer una estructura lógica que represente de forma adecuada
nuestra organización y simplifique la administración.

Otra gran ventaja de las unidades organizativas es que simplifican la

delegación de autoridad (completa o parcial) sobre los objetos que contienen, a
otros usuarios o grupos. Esta es otra forma de facilitar la administración en
redes de grandes dimensiones.

8
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Esquema
En Active Directory Domain Services se utiliza la palabra Esquema para
referirse a la estructura de la base de datos. En este sentido, utilizaremos la
palabra atributo para referirnos a cada uno de los tipos de información
almacenada.

También suele emplearse una terminología orientada a objetos, donde la

palabra Clase se referirá a un determinado tipo de objetos (con unas
propiedades determinadas), mientras que un objeto determinado recibe el
nombre de instancia. Por ejemplo, podríamos pensar que la clase usuario es
una plantilla que definirá a cada uno de los usuarios (que serán instancias de la
clase usuario).

Sitio
Un Sitio es un grupo de ordenadores que se encuentran relacionados, de una
forma lógica, con una localización geográfica particular.

9
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

En realidad, pueden encontrarse físicamente en ese lugar o, como mínimo,

estar conectados, mediante un enlace permanente, con el ancho de banda
adecuado.

En otras palabras, un controlador de dominio puede estar en la misma zona

geográfica de los clientes a los que ofrece sus servicios o puede encontrarse
en el otro extremo del planeta (siempre que estén unidos por una conexión
adecuada). Pero, en cualquier caso, todos juntos formarán el mismo sitio.

Relaciones de confianza
En el contexto de Active Directory, las Relaciones de confianza son un método
de comunicación seguro entre dominios, árboles y bosques. Las relaciones de
confianza permiten a los usuarios de un dominio del Directorio
Activo autenticarse en otro dominio del directorio.

Existen dos tipos de relaciones de confianza: unidireccionales y bidireccionales.

Además, las relaciones de confianza pueden ser transitivas (A confía en B y B
confía en C, luego A confía en C).

Maestro de Operaciones

Cada cuenta creada en el dominio recibe un SID (Security ID) único que
no se reutiliza.

El SID está formado por tres partes:

• Un identificador asignado por ISO para dominios Microsoft

• Un identificador del dominio (compartido por todas las cuentas del

dominio)

• Un número asignado de forma secuencial, a partir de 1000,

llamado RID (Relative Identifier)

10
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Como hemos dicho al principio de este capítulo, cuando disponemos de

varios controladores de dominio en un mismo dominio, se puede replicar la
información contenida en la base de datos a los diferentes controladores a
través de la red con el objetivo de descentralizar diferentes operaciones (por
ejemplo, la autenticación de usuarios) y agilizar su funcionamiento.

Sin embargo, existe un conjunto especializado de tareas que deben estar

centralizadas en un controlador de dominio específico para evitar
inconsistencias. Este controlador de dominio “especial” recibe el nombre
de Maestro de Operaciones o FSMO (de Flexible Single Master Operations).

Para entender la situación, vamos a poner un ejemplo: Supongamos que

el administrador de un controlador de dominio realiza una modificación en el
esquema del dominio al mismo tiempo que, un segundo administrador, desde
un controlador distinto, realiza una modificación que resulta incompatible con la
primera. Como podrás imaginar, cuando se produzca la replicación de la base
de datos, estaremos en un aprieto.

Pues bien, para evitar este tipo de situaciones, sólo uno de los controladores
del dominio podrá realizar este tipo de cambios.

Las acciones (también llamadas roles) que sólo pueden realizarse desde el
Maestro de operaciones son sólo cinco y se incluyen en la siguiente tabla:

11
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

3.3. Instalar un dominio básico desde la interfaz gráfica

En realidad, la instalación de un dominio en Windows Server 2012 R2 se divide
en dos subtareas: primero tendremos que instalar el rol Servicios de dominio de
Active Directory en el servidor y después convertiremos (promocionaremos) el
servidor en un controlador de dominio.

Instalar el rol Servicios de dominio de Active Directory

Cuando iniciamos sesión con la cuenta de Administrador en Windows Server
2012 R2, lo normal es que se abra automáticamente la ventana
del Administrador del servidor, pero si la has cerrado, recuerda que aprendimos
en el capítulo anterior cómo volver a abrirla de una forma muy sencilla. La
cuestión es que, para iniciar la instalación de un dominio en nuestro servidor,
necesitamos partir de esta ventana.

Para comenzar, haremos clic sobre el enlace Agregar roles y características de

la página principal de la ventana

1
Si no estamos en la página principal, también podemos recurrir al
menú Administrar, que contiene una opción con el mismo título.

12
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Puede que el servidor no pueda atendernos de forma inmediata porque se

encuentre recopilando datos. Si esto es así, además de una ventana de aviso,
observaremos que los cuadros de estado de la parte inferior se han puesto de
color rojo.

2
Sólo tenemos que hacer clic sobre el botón Aceptar y esperar unos instantes.

Poco después, observaremos que al menos se habrá puesto de color verde el

cuadro de la izquierda.

13
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

3
En ese momento volveremos a hacer clic sobre el enlace Agregar roles y
características.

En ese momento se iniciará el Asistente para agregar roles y características.

Este asistente no es específico de Active Directory, sino que nos puede guiar a
través de la instalación de otras funciones tan diversas como DNS, Internet
Information Server (IIS), fax, etc.

Es importante seguir las recomendaciones del propio asistente en cuanto a

asegurarnos de que la contraseña de la cuenta de Administrador es segura,
que la configuración de red es correcta, que disponemos de direcciones IP
estáticas y que hemos instalado las últimas actualizaciones de seguridad en el
sistema operativo.

4
Una vez que todo sea correcto, hacemos clic en el botón Siguiente.

14
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Como vemos en la siguiente imagen, ahora tenemos la posibilidad de instalar

los servicios de escritorio remoto de forma independiente. Sin embargo, de
momento sólo nos centraremos en la instalación de roles y características, de
forma similar a como lo hacíamos con Windows Server 2008.

5
Elegimos Instalación basada en características o en roles y hacemos clic sobre
el botón Siguiente.

Una característica muy interesante que se ha añadido al Administrador del

Servidor de Windows Server 2012 es la posibilidad de usar el Asistente para

15
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Agregar roles y características para instalarlas en el disco duro virtual (VHD)

sin que éste tenga que estar unido a una máquina virtual (o que lo esté, pero
que la máquina virtual esté apagada). Esto facilita los cambios en una
instalación virtual a la vez que reduce el esfuerzo administrativo.

Si necesitamos cubrir esta tarea, en el siguiente paso elegiremos la

opción Seleccionar un disco duro virtual.

Sin embargo, en nuestro caso, necesitamos instalar el rol del Directorio

Activo en el sistema con el que estamos trabajando, por lo que la opción
elegida será Seleccionar un servidor del grupo de servidores. De esta forma,
obtendremos una lista con los servidores de nuestra red local que ejecutan
Windows Server 2012. Lógicamente, sólo se muestran los servidores que estén
funcionando y se haya completado su recopilación de datos.

En nuestro caso, sólo aparece el servidor en el que estamos trabajando.

6
Hacemos clic sobre su entrada y, a continuación, sobre el botón Siguiente.

En la siguiente etapa, tendremos que elegir el servicio o servicios que

queremos instalar. Ya dijimos que, para que Active Directory funcione
correctamente, es preciso tener instalado un Servidor DNS. Sin embargo, aquí

16
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

lo dejaremos sin seleccionar para comprobar que, más adelante, el asistente lo

habrá seleccionado de forma predeterminada.

Observa que, a la derecha de la lista, en el cuadro Descripción, aparece una

breve explicación del rol sobre el que nos encontremos en ese momento.

7
Activamos la entrada Servicios de dominio de Active Directory.

Al hacerlo, el asistente nos muestra un aviso indicando que los servicios

elegidos dependen de otros roles y características que necesitaremos instalar
también de forma complementaria.

8
Nos limitamos a hacer clic sobre el botón Agregar características.

17
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Al hacerlo, comprobamos que la línea Servicios de dominio de Active

Directory ya aparece seleccionada.

9
Para continuar, hacemos clic sobre el botón Siguiente.

Después de seleccionar los roles, el asistente nos ofrece la posibilidad de

instalar características. En nuestro caso, aprovecharemos para

18
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

instalar Administración de directivas de grupo, de forma que centralicemos en

una sola herramienta las directivas de grupo de toda la instalación.

10
Una vez elegida la característica, hacemos clic sobre el botón Siguiente.

Podemos definir el concepto de rol como un servicio que el equipo ofrece a los
clientes de la red. Por el contrario, una característica es una función que usa el
servidor para llevar a cabo su propia labor.

Después de esto, aparece una pantalla informativa que debemos leer

atentamente. Quizás uno de los aspectos más interesantes de esta ventana es
la recomendación de instalar al menos dos controladores de dominio para un
determinado dominio, con el fin de aumentar la disponibilidad de la
infraestructura de red.

También nos recuerda la necesidad de disponer de un servidor DNS y nos

informa de que se instalará el servicio de espacio de nombres y los
de replicación, que son necesarios para el servicio de directorio.

19
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

11
Cuando estemos seguros de haber entendido toda la información, haremos clic
en el botón Siguiente.

Antes de proceder con la instalación, tenemos la oportunidad de marcar la

opción Reiniciar automáticamente el servidor de destino en caso necesario. Al
hacerlo aparece un cuadro de diálogo que nos advierte de que, al marcar la
opción, pueden producirse reinicios sin notificaciones previas.

12
En nuestro caso, haremos clic sobre el botón Sí.

20
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Por último, en la pantalla que resumen de la instalación, podemos comprobar

los distintos roles y características que van a instalarse. Como es habitual, si
observamos algún error, podemos usar el botón Anterior para retroceder hasta
el paso adecuado y realizar las modificaciones.

13
Sin embargo, si todo es correcto, haremos clic sobre el botón Instalar.

A partir de aquí, en la parte superior de la ventana podremos ver una barra de

progreso que nos mantiene informados del avance de la instalación.

Observa que ya puedes cerrar el asistente y el proceso de instalación no se

interrumpirá. Si lo haces, podrás consultar el avance de la tarea o abrir la

ventana del asistente usando el icono que aparece en la parte superior

del Administrador del servidor.

14
En nuestro caso, nos limitamos a esperar.

21
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Cuando termine la instalación, aparecerá un enlace con el texto Promover este

servidor a controlador de dominio.

15
Bastará con hacer clic sobre el enlace para iniciar el paso siguiente…

Promocionar el servidor como controlador de dominio

Como hemos dicho más arriba, después de realizar la instalación del

rol Servicios de dominio de Active Directory, bastará con hacer clic sobre el

22
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

enlace Promover este servidor a controlador de dominio de la última pantalla

del asistente, para iniciar la promoción.

Sin embargo, si hubiésemos cerrado la ventana, también podremos hacer uso

del icono que aparece en la parte superior del Administrador del servidor.

1
En cualquier caso, hacemos clic en el enlace Promover este servidor a
controlador de dominio.

Al hacerlo, se abrirá la ventana del Asistente para configuración de Servicios de

dominio de Active Directory.

En la primera pantalla, deberemos indicar el tipo de operación que queremos

implementar:

o Agregar un controlador de dominio a un dominio existente.

o Agregar un nuevo dominio a un bosque existente.
o Agregar un nuevo bosque.

23
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Lógicamente, como en este caso estamos partiendo de una situación en la que

no disponemos de infraestructura previa, la opción que deberemos elegir es la
última.

Cuando lo hagamos, en la parte inferior se nos solicitará el dominio raíz para el

nuevo bosque. Si disponemos de un dominio registrado en Internet, aquí
incluiremos el nombre de dicho dominio (p. ej. [Link]). Sin embargo,
de momento supondremos que no es así y terminaremos nuestro dominio
en. local (p. ej. [Link]).

2
Cuando hayamos escrito el nombre, hacemos clic en Siguiente.

Microsoft recomienda que todos los controladores de dominio sean también

servidores DNS para asegurar que Active Directory esté siempre disponible.

En el siguiente paso (Opciones del controlador) indicamos el nivel de

funcionalidad del controlador. Si no tenemos en la red controladores de dominio
que ejecuten versiones más antiguas de Windows Server, deberemos
elegir Windows Server 2012 R2 (que será el valor predeterminado).

24
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Lógicamente, también podemos elegir un nivel de funcionalidad con Windows

Server 2008 o (2008 R2) si pensamos añadir este tipo de controladores más
adelante.

Como cabe esperar, cuanto más antiguo sea el nivel de funcionalidad que
elijamos, más limitadas se verán las prestaciones de nuestro árbol de dominios.

Bajo el epígrafe Especificar capacidades del controlador de dominio,

indicaremos que el equipo también actuará como Servidor de Nombres de
Dominio (DNS). Además, aparecen dos opciones más: Catálogo global
(GC) y Controlador de dominio de solo lectura (RODC).

El primero aparecerá seleccionado de forma obligatoria porque todo dominio

debe tener un catálogo global y estamos instalando el único controlador que
hay ahora mismo en la red.

Del mismo modo, dado que el servidor actual es único, no puede ser de sólo
lectura.

Por último, antes de cambiar de página, deberemos escribir la contraseña

del modo de restauración de servicios de directorio (DSRM). Como es habitual,
se escribe por duplicado para evitar errores tipográficos.

3
Finalmente, hacemos clic sobre el botón Siguiente.

25
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

En el siguiente paso, Opciones de DNS, si dispusiésemos una infraestructura

DNS anterior a la instalación del dominio, deberíamos especificar si deseamos
crear en dicha infraestructura una delegación para el servidor DNS que vamos
a instalar ahora.

Sin embargo, como no se encuentra un Servidor DNS principal, Windows

Server nos muestra una ventana de aviso y nos informa de que, en caso de
que sea necesaria, habrá que hacer dicha delegación a mano.

4
… Como no es el caso, basta con hacer clic sobre el botón Aceptar de la
ventana de aviso y después clic sobre el botón Siguiente de la ventana
principal del asistente.

26
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

El nombre NetBIOS puede tener hasta 15 caracteres formado por letras

(mayúsculas o minúsculas), dígitos o guiones (‘-‘), aunque no puede ser
enteramente numérico.

A continuación, en el paso Opciones adicionales, el asistente sugiere un

nombre NetBIOS para el dominio raíz del bosque. Lógicamente, podemos
aceptar el nombre que nos propone o indicar cualquier otro.

En nuestro caso, el nombre sugerido nos parece bien, por lo que lo dejamos tal
cual.

5
Para seguir, hacemos clic sobre el botón Siguiente.

27
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Los archivos de registro también suelen llamarse archivos log.

Después de esto, en el apartado Rutas de acceso, el asistente nos pregunta

dónde queremos almacenar los archivos de trabajo de Active Directory (la base
de datos, los archivos de registro y la carpeta SYSVOL).
Puede ser una opción interesante que los archivos de registro y la base de
datos se almacenen en volúmenes separados. De esta forma mejorará el
rendimiento (ya que se podrá acceder a ambos archivos de forma simultánea) y
las posibilidades de recuperación de los datos si se producen problemas.
A pesar de todo, en la ventana aparece de forma predeterminada una
ubicación de la unidad C. El motivo es muy sencillo: no tenemos otra.

6
Por lo tanto, nos limitamos a hacer clic en Siguiente.

28
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

En el apartado Revisar opciones, como cabe esperar, el asistente muestra un

resumen del proceso de instalación. Debemos revisarlo para asegurarnos de
que no hemos cometido errores en los pasos anteriores. Como es habitual,
disponemos del botón Anterior para resolver cualquier error que podamos
observar.

7
Si todo es correcto, basta con hacer clic sobre el botón Siguiente.

29
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

También disponemos del botón Ver script, que nos permite obtener un script de
PowerShell para automatizar una instalación como esta sin tener que volver a
introducir de nuevo todos los datos.

Por último, en el apartado Comprobación de requisitos, se verifica que el

sistema cumple todas las condiciones para convertirse en un controlador de
dominio.

Como puedes ver en la imagen siguiente, pueden aparecer algunos avisos,

como el que nos informa de que no puede crearse una delegación para el
servidor DNS que estamos a punto de instalar (ya comentamos esta
circunstancia más arriba). También pueden aparecer errores que impidan la
instalación del controlador de dominio. En estos casos, no podremos continuar
hasta que no los resolvamos.

8
Como en nuestro sistema no han aparecido errores, podemos hacer clic sobre
el botón Instalar para completar la operación.

30
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Durante el proceso de instalación seguirán apareciendo mensajes informativos

que deberemos tener en cuenta para una futura configuración del servidor.

9
Nos limitamos a esperar unos instantes.

Cuando termine la instalación, el servidor se reiniciará automáticamente.

31
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

10
Cuando aparezca el mensaje, hacemos clic sobre el botón Cerrar.

Al hacerlo, se inicia el proceso de reinicio

11
Sólo tenemos que esperar a que se complete.

El proceso puede durar más de lo normal, porque se está completando la

configuración del sistema.

32
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

12
Cuando acabe, obtendremos la pantalla de bienvenida. Pulsamos las
teclas Ctrl + Alt + Supr para autenticarnos.

Cuando finalmente se nos solicite la contraseña de la cuenta Administrador,

veremos que ahora la cuenta aparece precedida del nombre NetBios del
dominio (en este caso, SOMEBOOKS). Esta es la primera constatación de que
todo ha sido correcto.

Si, durante la instalación, la contraseña que hemos escrito para iniciar en modo
de restauración es diferente de la contraseña para la cuenta de usuario,
debemos tener en cuenta que la contraseña que escribimos aquí NO ES la que
usaremos para iniciar en el modo de restauración.

13
Nos limitamos a escribir la misma contraseña que utilizábamos hasta ahora.

33
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

La primera vez que iniciemos sesión con la cuenta Administrador, también

observaremos que tarda bastante más tiempo del normal. El motivo, de nuevo,
es que el rol que tiene esta cuenta dentro del sistema también ha cambiado y
dichos cambios se aplicarán en este momento.

Para finalizar, podremos asegurarnos de que todo el proceso ha sido correcto,

observando la pantalla de propiedades del equipo. Una de las formas más
sencilla de conseguirlo es desde el menú Metro.

14
Hacemos clic sobre el menú Inicio.

34
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

De forma inmediata, la pantalla cambiará para mostrarnos el contenido del

menú Metro.

15
Hacemos clic, con el botón derecho del ratón sobre el icono Este Equipo.

35
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Cuando se muestre la ventana Sistema, podremos comprobar que los valores

de los campos Nombre completo del equipo y Dominio son correctos.

16
Después de hacer la comprobación, podemos cerrar la ventana para seguir
trabajando.

36
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

3.5. Instalar un dominio básico sin interfaz gráfica

Puedes encontrar mucha más información sobre PowerShell en la siguiente
dirección:

[Link]

En los apartados anteriores aprendimos a instalar un controlador de dominio

básico para Windows Server 2012 R2 utilizando la interfaz gráfica. Ahora
veremos lo sencillo que puede resultar llevar a cabo el mismo trabajo utilizando
la línea de comandos.

Un aspecto que debemos tener muy presente es que, aunque aquí vamos a
trabajar sobre la versión Server Core, esta misma tarea podríamos completarla
desde la línea de comandos de un ordenador equipado con la versión completa
de Windows Server 2012 R2.

El trabajo lo realizaremos utilizando los cmdlets que incorpora PowerShell para

esta tarea, por lo que lo primero que haremos será ejecutar el
propio PowerShell.

1
Escribimos el nombre de la interfaz de consola y pulsamos la tecla Intro.

37
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Las herramientas de gestión se incluyen automáticamente al instalar desde la

interfaz gráfica, pero no ocurre lo mismo en modo texto.

Como ocurría cuando usamos la interfaz gráfica, lo primero será instalar el

rol Servicios de dominio de Active Directory, pero para lograrlo en este caso,
deberemos recurrir al cmdlet Install-WindowsFeature que, como recordarás,
ya utilizamos en el capítulo 2.

En este caso, la característica que vamos a instalar se llama AD-Domain-

Services. Además, de paso, aprovecharemos para instalar todas las
herramientas de gestión que puedan aplicarse a esta característica, lo que
conseguimos con el argumento -IncludeManagementTools. En definitiva, la
sintaxis del cmdlet que vamos a utilizar es la siguiente:

Install-WindowsFeature -Name AD-Domain-Services -

IncludeManagementTools

Puedes encontrar más información sobre el cmdlet Install-WindowsFeature en

la dirección [Link]

38
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

2
Escribimos el cmdlet y pulsamos la tecla Intro.

Después de esto, veremos una barra de progreso (bueno, más o menos,

porque la línea de comandos tampoco es que de muchas alegrías estéticas),
que nos indica el avance de la instalación.

3
Nos limitamos a esperar unos instantes.

39
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Al final de la instalación aparece un pequeño resumen del resultado. En el

ejemplo podemos ver que se ha completado satisfactoriamente (Success =
True), que no es necesario reiniciar (Restart Needed = No), que el cmdlet ha
ofrecido un resultado satisfactorio (Exit Code = Success) y que se han
instalado los Servicios de dominio de Active Directory.

También se realiza un análisis del estado actual del servidor y, según los
resultados obtenidos, pueden mostrarse algunas recomendaciones.

4
En este caso, ha detectado que las actualizaciones automáticas están
deshabilitadas y nos recomienda activarlas.

40
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

A continuación, importaremos el módulo ADDSDeployment a la sesión de

trabajo actual. Este módulo incorpora los cmdlets que se utilizan en la
implementación de servicios de dominio de Active Directory.

La sintaxis que usaremos es la siguiente:

Import-Module ADDSDeployment

Si necesitas conocer todos los cmdlets que se importan con el

móduloADDSDeployment, puedes recurrir a la
dirección [Link]

5
Escribimos el cmdlet y pulsamos la tecla Intro.

41
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Si has consultado el enlace de más arriba, habrás observado que existen

varios cmdlets que están relacionados con la instalación del Directorio
Activo: Install-ADDSDomain, Install-ADDSDomainController y Install-
ADDSForest. Como puedes deducir fácilmente, el primero instala un dominio,
el segundo un controlador de dominio y el tercero un bosque.

Es evidente que un bosque no puede crearse sin crear ningún dominio y, del
mismo modo, tanto el bosque como el dominio necesitan de la existencia de,
como mínimo, un controlador de dominio.

En definitiva, dependiendo de la estructura que ya tengamos, deberemos

utilizar un cmdlet u otro. Por ejemplo, en nuestro caso, estamos comenzando
desde cero y no tenemos creada ninguna parte de la infraestructura, por lo que,
si comenzamos creando el bosque, se creará automáticamente el resto de la
estructura. De hecho, si observas el script que creó automáticamente la interfaz
gráfica cuando realizamos allí la instalación, el cmdlet que usó fue Install-
ADDSForest.

Podríamos, como allí, aportar todos los argumentos necesarios, pero resulta
más cómodo no escribir nada y que el cmdlet nos pida lo imprescindible y

42
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

asigne valores predeterminados al resto. Por lo tanto, nos limitamos a escribir

esto:

Install-ADDSForest

Si quieres conocer los diferentes argumentos que puedes añadir a Install-

ADDSForest, te recomiendo que visites la
página [Link]

6
Una vez escrito el cmdlet y pulsamos la tecla Intro.

A continuación, como cabía esperar, el sistema nos pide el nombre que tendrá
el dominio (DomainName) y la contraseña de administración para el modo
seguro (SafeModeAdministratorPassword).

Como es lógico, la contraseña deberá seguir los parámetros de seguridad

exigidos por Windows Server 2012 R2.

43
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Escribimos los valores adecuados y pulsamos la tecla Intro.

Al hacerlo, nos aparece un aviso que nos informa de que nuestro servidor se
convertirá en un controlador de dominio tras esta operación y que, al terminar,
se producirá un reinicio de forma automática

8
Para continuar escribimos la tecla S y después Intro (o sólo Intro, porque la
respuesta afirmativa es la predeterminada).

A partir de ahí, el cmdlet comprueba si el equipo cumple las condiciones para

realizar una instalación satisfactoria

44
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

9
Nosotros sólo tenemos que esperar unos instantes.

Una vez que se han superado todas las validaciones, comienza la instalación
del nuevo bosque.

10
… mientras, nosotros, seguiremos esperando.

Cuando termine, comenzara el reinicio del equipo

45
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

11
Hacemos clic sobre Cerrar para continuar.

Cuando termine el proceso de reinicio, que puede tardar más de lo normal

porque el sistema aprovecha para terminar las configuraciones, ya podremos
autenticarnos como administradores del dominio. De hecho, observa que el
nombre de la cuenta Administrador aparece precedido del nombre NetBIOS del
dominio

12
Escribimos la contraseña y pulsamos la tecla Intro.

46
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Para comprobar que todo es correcto, podemos volver a utilizar el

comando sconfig que ya conocemos del capítulo anterior.

13
.. Y comprobamos que el nombre del dominio es correcto.

47
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

3.7. Herramientas relacionadas con la administración del

Directorio Activo
En Windows Server 2012 R2, existen diferentes herramientas relacionadas con
la administración del Directorio Activo. En este apartado vamos a referirnos las
que, probablemente, nos resultarán más útiles. No obstante, aquí nos
limitaremos a mencionarlas y serán en los siguientes capítulos cuando
aprendamos a extraer toda su potencia.

La primera herramienta se llama Usuarios y equipos de Active Directory. Con

esta herramienta, definiremos el modo en el que se utilizará nuestra
infraestructura de red. Como su nombre indica, la utilizaremos para crear y
administrar las cuentas de usuario que podrán utilizar los recursos del
Directorio y las cuentas para los ordenadores desde los que dichos usuarios
podrán establecer su conexión, pero, además, también nos facilitará su
organización en grupos y alguna otra característica que estudiaremos más
adelante.

1
Para abrirla, sólo tenemos que desplegar el menú
Herramientas del Administrador del Servidor y hacer clic sobre Usuarios y
equipos de Active Directory.

48
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

2
Este es el aspecto de la ventana Usuarios y equipos de Active Directory.

Otra de las herramientas que podemos utilizar con frecuencia es Sitios y

servicios de Active directory. Con esta herramienta podremos diseñar la

49
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

topología de nuestro Directorio Activo, creando y administrando los sitios que

forman la estructura geográfica de la red y estableciendo vínculos entre ellos.

1
Para abrirla, sólo tenemos que desplegar el menú
Herramientas del Administrador del Servidor y hacer clic sobre Sitios y servicios
de Active Directory.

2
Este es el aspecto de la ventana Sitios y servicios de Active Directory.

50
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

También utilizaremos a menudo la opción Dominios y confianzas de Active

Directory. Esta herramienta nos permitirá aumentar el nivel de funcionalidad del
dominio para añadir nuevas características al Directorio Activo o, incluso,
establecer relaciones de confianza entre dominios

1
Para abrirla, sólo tenemos que desplegar el menú
Herramientas del Administrador del Servidor y hacer clic sobre Dominios y
confianzas de Active Directory.

51
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

2
Este es el aspecto de la ventana Dominios y confianzas de Active Directory.

Finalmente, una de las operaciones que todo operador debe tener siempre
presente es el establecimiento de una política de copias de seguridad que le

52
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

permitan dormir tranquilo frente a las posibles situaciones de emergencia que

amenacen la red. En Windows Server 2012 R2 disponemos de una
extraordinaria herramienta que nos facilita este tipo de trabajos.

1
Para abrirla, sólo tenemos que desplegar el menú
Herramientas del Administrador del Servidor y hacer clic sobre Copias de
seguridad de Windows.

2
Este es el aspecto de la ventana Copias de seguridad de Windows.

53
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

De momento, nos conformaremos con nombrarlas, pero volveremos sobre ellas

a lo largo del libro.

Práctica lo aprendido

Práctica 1: Instalar un dominio básico desde la interfaz gráfica

Sigue las indicaciones del capítulo para realizar las siguientes tareas:

o Crea una instantánea de tu máquina virtual con Windows Server 2012

R2 para poder volver al estado actual si ocurriera algún incidente
inesperado.
o Instala el rol Servicios de dominio de Active Directory y todas las
características relacionadas.
o A continuación, promociona el servidor como controlador de
dominio teniendo en cuenta lo siguiente:
o El equipo actuará como primer controlador de dominio de un
nuevo bosque.
o El nombre del domino estará formado por tus iniciales seguidas del
texto “.local“.

54
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

o El nivel de funcionalidad del bosque será Windows Server 2012

R2.
o El equipo será también un servidor DNS.
o El nombre NetBIOS del dominio y la ubicación de los datos del
directorio serán los que predetermine el asistente.
o Además, se recomienda exportar el script de PowerShell para
automatizar futuras instalaciones

Práctica 2: Degradar un controlador de dominio desde la interfaz gráfica

Partiendo de la máquina virtual de la práctica anterior, realiza las siguientes

operaciones:

1. Crea una instantánea de la máquina virtual que te permita volver al

estado actual en cualquier momento.
2. Realiza las tareas necesarias para degradar el controlador de dominio,
de modo que la máquina virtual deje de actuar como tal.
3. Además, se recomienda exportar el script de PowerShell para
automatizar futuras degradaciones.
4. Una vez reiniciada la máquina, desinstala también el rol Servicios de
dominio de Active Directory.
5. Realiza las comprobaciones que consideres necesarias para asegurarte
de que el proceso ha sido correcto.
6. Recupera el estado inicial de la máquina virtual (el de la instantánea que
creaste en el punto 1)

Práctica 3: Instalar un dominio básico usando la línea de comandos de

PowerShell

Sigue las indicaciones del capítulo para realizar las siguientes tareas:

o Crea una instantánea de tu máquina virtual con Windows Server 2012 R2

Core.
o Instala el rol Servicios de dominio de Active Directory y todas las
características relacionadas.

55
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

o Promociona el servidor como controlador de dominio teniendo en cuenta

lo siguiente:
o El equipo actuará como primer controlador de dominio de un
nuevo bosque.
o El nombre del domino estará formado por tus iniciales seguidas del
texto “.local“.
o El nivel de funcionalidad del bosque será Windows Server 2012
R2.
o El equipo será también un servidor DNS.
o El nombre NetBIOS del dominio y la ubicación de los datos del
directorio serán los que predetermine el asistente

(Nota: puedes utilizar el script para PowerShell que obtuviste en la Práctica 1)

Práctica 4: Degradar un controlador de dominio usando la línea de

comandos

Partiendo de la máquina virtual de la práctica anterior, realiza las siguientes

operaciones:

1. Crea una instantánea de la máquina virtual que te permita volver al

estado actual en cualquier momento.
2. Realiza las tareas necesarias para degradar el controlador de dominio,
de modo que la máquina virtual deje de actuar como tal. Puedes usar
el script de PowerShell que obtuviste en la práctica 2.
3. Una vez reiniciada la máquina, desinstala también el rol Servicios de
dominio de Active Directory.
4. Realiza las comprobaciones que consideres necesarias para asegurarte
de que el proceso ha sido correcto.
5. Recupera el estado inicial de la máquina virtual (el de la instantánea que
creaste en el punto 1).

56
 Sistemas Operativos en Red - SMR2 - Curso 2018/2019

Práctica 5: Agrupar las herramientas más usadas

Siguiendo las indicaciones del capítulo, utiliza la herramienta Microsoft

Management Console (MMC), para crear una consola con las herramientas que
usaremos con más frecuencia. En particular, deberemos incluir, como mínimo,
las siguientes:

o Usuarios y equipos de Active Directory.

o Copias de seguridad.
o Visor de eventos.
o Dominios y confianzas de Active Directory.
o Sitios y servicios de Active Directory.

La consola deberá llamarse Herramientas frecuentes y estará almacenada

dentro de la carpeta Documentos

Fuente e imágenes: [Link]

57