Actualización a Windows 2000.

Mejoras de arquitectura en Windows 2000.

Las mejoras de arquitectura en Windows 2000 incluyen cambios en los tipos de funciones de servidor disponibles y en el tipo de confianzas de dominio utilizadas; nuevo soporte para dispositivos, Plug and Play (PnP), gestión de energía y, por supuesto, la inclusión del servicio Active Directory.

Active directory.

Active Directory es probablemente la característica más importante de la familia Windows 2000 Server. Es un servicio de directorio ampliable, fácilmente administrable y tolerante a fallos, que es requerido por los controladores de dominio Windows 2000 y también es recomendable para su uso en servidores DNS Windows 2000.

Dominios de Active Directory.

Active Directory no hace cambios fundamentales en la forma en que funcionan los dominios en Windows 2000 de cara a los usuarios finales pero si introduce algunas estructuras de dominio importantes que podrían afectar a la forma de aproximarse al diseño del dominio. Active Directory utiliza dominios como unidades principales de la estructura lógica. Los dominios ayudan a organizar la estructura de la red ajustándose a la organización de la empresa, ya sea política o geográficamente.

Los dominios Windows 2000 usan nombres DNS para los nombres de dominio. Al igual que los dominios DNS, los dominios Windows 2000 están organizados jerárquicamente. En Active Directory, los grupos de dominios con un espacio de nombres contiguo organizados jerárquicamente se llaman árboles, mientras que las agrupaciones de árboles con espacio de nombres no contiguos se llaman bosques.

Active Directory introduce nuevos conceptos a la hora de organizar la estructura de las redes en Windows 2000.

  • Sitio: se define como un grupo de una o mas subredes con Protocolo Internet (IP) que comparten conectividad LAN. Dentro de un sitio puede haber uno o mas dominios, o un dominio único puede abarcar múltiples sitios. 

  • Dominios estructurales: son dominios que no contienen cuentas; simplemente sirven como raíz para dominios hijos de nivel mas bajo. Como tales, los dominios estructurales facilitan la reestructuración de los dominios hijos y también hacen que la réplica entre dominios sea mas fácil y rápida, ya que todos los dominios simplemente se replican con el dominio estructural, que actúa como algo parecido a un concentrador de réplicas.

  • Unidades organizativas (OU, Organizational Unit): son muy similares a los dominios en el hecho de que tienen contenedores para objetos de red tales como cuentas de usuarios y recursos. Sin embargo, a diferencia de los dominios, no marcan un limite de seguridad y no requieren controladores de dominio. Las OU de Active Directory proporcionan una forma excelente de proporcionar organización en un dominio sin la necesidad de directivas de seguridad y controladores de dominio adicionales. también se pueden convertir fácilmente en dominios y los dominios pueden convertirse fácilmente en OU, lo que los hace flexibles.

Relaciones de confianza de Active Directory

Una relación de confianza es un mecanismo por el cual los usuarios de un dominio pueden ser autentificados por un controlador de dominio en otro dominio. Windows 2000 permite el concepto de confianzas transitivas. Las confianzas transitivas son siempre de dos sentidos. Además, cuando se crea un dominio secundario, Windows 2000 establece automáticamente una confianza transitiva entre el dominio secundario y el dominio principal.

Planificación de árbol de Active Directory.

Existen varios pasos que se deberían realizar a la hora de planificar el árbol de Active Directory, incluyendo la definición del espacio de nombres del DNS y la creación de la estructura del árbol inicial.

Definición de espacio de nombres.

Cuando se ha decidido cómo implementar un espacio de nombres DNS, normalmente es necesario decidir si se va a utilizar un espacio de nombres DNS existente y se va a crear el dominio raíz con un nombre de dominio existente o si se va a crear un nuevo dominio raíz y su espacio de nombres DNS asociado. La decisión es crucial porque el dominio raíz no se puede eliminar o renombrar fácilmente.

Algunas tareas importantes a la hora de implementar el espacio de nombres, son:

  • Decidir si se puede utilizar un nombre de dominio existente para el dominio raíz o si es necesario crear uno nuevo.

  • Si se va a utilizar un nuevo nombre de dominio, hay que determinar que restricciones existen en el proceso de selección de nombres y utilizar los canales apropiados para escoger el nombre del dominio.

  • Configurar el dominio raíz para crear el nivel superior del espacio de nombres, con una pareja de controladores de dominio para tener redundancia.

  • Configurar uno o mas servidores DNS para el árbol del dominio raíz. El servidor DNS necesita soportar el registro de recursos de servicio (el registro de recursos DNS para la especificación de la ubicación de los servicios) y debería soportar también, idealmente, actualizaciones dinámicas. Microsoft recomienda instalar el DNS en cada controlador de dominio y almacenar la información de la zona en el Active Directory.

  • Añadir el resto de dominios como dominios secundarios para el dominio raíz. Es un excelente momento para realizar una reestructuración del dominio, o al menos para consolidar algunos de los dominios de recursos en las OU.

Creación de la estructura inicial del árbol.

Una vez tomadas las decisiones sobre el espacio de nombres DNS es el momento de planificar el árbol de Active Directory con detalle. Se asumirá que se tiene un bosque con un único árbol, con todos los dominios compartiendo un espacio de nombres contiguo.

El primer dominio que se actualice a Windows 2000 (o que se cree si se utiliza un modelo de múltiples dominios maestros que no se presta a una consolidación bajo uno de los dominios actuales) ha de ser necesariamente el dominio raíz. El dominio raíz almacena la configuración y el esquema de todo el bosque de Active Directory y no se puede cambiar de nombre o eliminar.

Adaptación a modelos de dominios específicos.

En Windows NT hay disponibles entre otros los siguientes modelos de dominios.

Figura 22-3. Esquema árboles de dominios en Windows 2000.

Figura 22-4.

  • Modelo de un Único dominio: El modelo de un único dominio es fácil de administrar: Se pueden utilizar después las OU para organizar las cuentas y los recursos y para delegar parte de la carga administrativa.

  • Modelo de dominios de un solo maestro: Si existe un modelo de dominios de un solo maestro, hay que hacer que el antiguo dominio maestro sea la raíz del árbol y añadir los dominios de recursos como dominios secundarios de la raíz. Se pueden utilizar OU bien para imitar los dominios de recursos o para organizarlos de forma mas lógica, con las cuentas y los recursos agrupados y organizados en concordancia con la estructura de la red.

Mezclar los dominios de recursos de nuevo en un único dominio ofrece varias ventajas. Como hay menos dominios que administrar, la carga administrativa es menor. Se pueden utilizar las OU para crear una estructura de red detallada sin la necesidad de tratar con confianzas. Además, se puede delegar autoridad administrativa a las OU, lo que proporciona la flexibilidad para gestionar las tareas administrativas de la forma deseada. Las consultas de Active Directory también se realizan más rápido y de forma más eficiente en un único dominio.

Finalmente, como las OU no requieren controladores de dominio, existe el potencial para liberar algunos de los recursos informáticos infrautilizados para dedicarlos a otras tareas.

  • Modelo de dominio principal múltiple: Debido a la flexibilidad y a las ventajas que ofrece el modelo con un único dominio es aconsejable optar por consolidar sus dominios en un único dominio Windows 2000, utilizando las OUs para estructurar jerárquicamente su red. Si se opta por fusionar los dominios, primero se debería realizar la actualización del dominio de igual forma que si se fuera a preservar las estructura de dominios existente y, entonces, realizar la fusión de dominios solo después de actualizar la red al modo nativo después de que los dominios estén en modo nativo, todas las cuentas se pueden trasladar a un único dominio sin la necesidad de volver a asignar los permisos sobre los objetos.

    Si se desea crear un árbol con un único dominio (con un espacio de nombres contiguo) durante la actualización del dominio, se puede utilizar uno de los dominios existentes como raíz del árbol, o se puede crear un nuevo dominio raíz y añadir el resto de los dominios maestros como sus hijos. Se puede considerar la utilización de un dominio estructural para este dominio raíz. Primero hay que actualizar o crear el dominio raíz. Una vez que existe el dominio y trabaja con un par de controladores de dominio, hay que actualizar el resto de los dominios y añadirlos al árbol.

    Si se desea mantener cada dominio maestro con un papel autorizador, se puede crear un bosque con múltiples árboles, con cada dominio maestro sembrado como la raíz de un nuevo árbol del bosque. En este caso, no importa que dominio maestro se actualice primero, pero se debe actualizar cada dominio maestro de cada árbol antes de actualizar los dominios de recursos que se piensen añadir al árbol.

Figura 22-5. Esquema de múltiples dominios en Windows 2000.