Cuando varios dominios comparten un esquema y un catálogo global comunes se denomina bosque. Si varios dominios tienen nombres de dominio DNS contiguos, a dicha estructura se le denomina árbol de dominios.
Árboles de dominios
El primer dominio de un árbol de dominios se denomina dominio raíz. Los dominios adicionales del mismo árbol de dominios son dominios secundarios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.
Todos los dominios que comparten el mismo dominio raíz forman un árbol de dominios y constituyen un espacio de nombres contiguo, es decir, el nombre de un dominio secundario consta del nombre de dicho dominio más el nombre del dominio principal. Por ejemplo, principal.empresa.com es un dominio secundario de empresa.com que, a su vez, es el dominio principal de principal2.principal. empresa.com. El dominio empresa.com es el dominio principal de principal. empresa.com que, además, es el dominio raíz de este árbol de dominio.
Los dominios de Windows Server 2008 que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Dado que estas relaciones de confianza son bidireccionales y transitivas, un dominio recién creado en un bosque o árbol de dominios tiene establecidas inmediatamente relaciones de confianza con todos los demás dominios existentes en dicho bosque o árbol de dominios. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirva para autenticar a un usuario en todos los dominios del bosque o del árbol de dominios. Esto no significa que el usuario, una vez autenticado, tenga permisos y derechos en todos los dominios del árbol de dominios. Dado que un dominio es un límite de seguridad, los derechos y permisos deben asignarse para cada dominio.
Bosques
Un bosque está formado por uno o varios árboles de dominios. Los árboles de dominios de un bosque no constituyen un espacio de nombres contiguo. Por ejemplo, aunque dos árboles de dominio (empresa.com y empresa1.com) pueden tener ambos un dominio secundario denominado contabilidad, los nombres DNS de esos dominios secundarios serán contabilidad.empresa.com y contabilidad.empresa1.com.
Sin embargo, un bosque no tiene ningún dominio raíz propiamente dicho. El dominio raíz del bosque es el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de dominios del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque.
Todos los dominios de todos los árboles de dominio de un bosque comparten las siguientes características:
- Relaciones de confianza transitivas entre los dominios.
- Relaciones de confianza transitivas entre los árboles de dominio.
- Un esquema común.
- Información de configuración común.
- Un catálogo global común.
Al utilizar bosques y árboles de dominios, se obtiene la flexibilidad que ofrecen los sistemas de espacios de nombres contiguos y no contiguos (puede ser útil en el caso de organizaciones que tienen divisiones independientes que necesitan conservar sus propios nombres DNS).
El nivel funcional del dominio
El nivel funcional del dominio habilita las funciones que afectan a un único dominio por completo.
La tabla siguiente muestra los cuatro niveles funcionales de dominios y los controladores de dominio compatibles en cada caso:
Tras elevar el nivel funcional del dominio, no podrán incluirse en dicho dominio controladores de dominio que ejecuten sistemas operativos anteriores. Por ejemplo, si se eleva el nivel funcional del dominio a Windows Server 2008, no podrán agregarse a dicho dominio los controladores de dominio que ejecuten Windows Server 2003.
Cómo ver el nivel funcional de un dominio
Para ver el nivel funcional de un dominio, siga los pasos siguientes:
1. Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú Inicio y verá la pantalla principal de la utilidad.
2. Sitúese sobre el dominio al que desea ver su modo de operación, muestre su menú contextual, seleccione Propiedades y verá una pantalla.
3. En ella se nuestra el nombre DNS del dominio (empresa.local), el nombre NetBIOS del dominio (empresa), el nivel funcional del dominio (Windows Server 2003) y el nivel funcional del bosque (Windows Server 2003).
4. Cuando lo desee, pulse en Aceptar y cierre la utilidad.
Cómo elevar el nivel funcional de un dominio
Para elevar el nivel funcional de un dominio (este proceso es irreversible), siga los pasos siguientes:
1. Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú Inicio y verá la pantalla principal de la utilidad.
2. Sitúese sobre el dominio al que desea elevar su nivel funcional, muestre su menú contextual, seleccione Elevar el nivel funcional de dominio y verá una pantalla parecida a la siguiente:
3. Seleccione el nivel funcional de dominio que desee (en el ejemplo, Windows Server 2003), pulse en Elevar y le mostrará una pantalla de confirmación del proceso (si hubiera algún controlador de dominio con Windows Server 2003 no le permitirá elevar el nivel funcional del dominio).
4. Cuando lo desee, pulse en Aceptar. Al cabo de un momento, le mostrará una pantalla de aviso. Cuando la haya leído, pulse en Aceptar.
5. Compruebe que el nivel funcional del dominio ha cambiado y, cuando lo desee, cierre la utilidad.
El nivel funcional del bosque
El nivel funcional del bosque habilita las funciones que afectan a todos los dominios de un bosque.
La tabla siguiente incluye los niveles funcionales de bosques y los controladores de dominio compatibles en cada caso:
Tras elevar el nivel funcional del bosque, no podrán incluirse en dicho dominio controladores de bosque que ejecuten sistemas operativos anteriores. Por ejemplo, si se eleva el nivel funcional del bosque a Windows Server 2008, no podrán agregarse a dicho bosque controladores de dominio que ejecuten Windows Server 2003.
Cómo ver el nivel funcional de un Bosque.
Para ver el nivel funcional de un bosque, siga los pasos siguientes:
1. Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú Inicio y verá la pantalla principal de la utilidad.
2. Sitúese sobre el dominio del que desea ver su modo de operación, pulse el botón derecho del ratón para que muestre su menú contextual, seleccione Propiedades y verá una nueva pantalla.
3. En ella se muestra el nombre DNS del dominio (empresa.local), el nombre NetBIOS del dominio (empresa), el nivel funcional del dominio (Windows Server 2008, ya que se ha elevado anteriormente) y el nivel funcional del bosque (Windows Server 2003).
4. Cuando lo desee, pulse en Aceptar y cierre la utilidad.
Cómo elevar el nivel funcional de un Bosque.
Para elevar el nivel funcional de un bosque (este proceso es irreversible), siga los pasos siguientes:
1. Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú Inicio y verá la pantalla principal de la utilidad.
2. Sitúese sobre el nodo Dominios y confianzas de Active Directory, pulse muestre su menú contextual, seleccione Elevar nivel funcional del bosque y verá una pantalla parecida a la siguiente:
3. Seleccione el nivel funcional de bosque que desee (en el ejemplo, Windows Server 2008), pulse en Elevar y le mostrará una pantalla de confirmación del proceso (si hubiera algún controlador de dominio con Windows Server 2003 no le permitirá elevar el nivel funcional del dominio).
4. Cuando lo desee, pulse en Aceptar. Al cabo de un momento, le mostrará una pantalla de aviso. Cuando la haya leído, pulse en Aceptar.
5. Compruebe que el nivel funcional del dominio ha cambiado y, cuando lo desee, cierre la utilidad.
EL ESQUEMA DEL DIRECTORIO ACTIVO.
El esquema es el conjunto de definiciones que describen las clases de objetos y los tipos de información acerca de dichos objetos que se pueden almacenar en el Directorio Activo. Las definiciones se almacenan en el esquema como objetos para que se puedan administrar con las mismas operaciones de administración utilizadas para el resto de los objetos del directorio.
Hay dos tipos de definiciones en el esquema (también se las conoce como objetos del esquema o metadatos):
- Atributos. Es una propiedad del objeto que se define independientemente de las clases. Cada atributo sólo se define una vez y se puede utilizar en múltiples clases.
- Clases. Es una categoría de objeto que comparte un conjunto de atributos y que se utiliza para describir los posibles objetos que puede haber en el directorio.
Con Windows Server 2008 se proporciona un conjunto de clases y atributos básicos. No se pueden eliminar objetos del esquema, sin embargo, los objetos se pueden marcar como desactivados, lo que proporciona muchas de las ventajas de la eliminación. Los programadores y los administradores de la red con experiencia pueden extender dinámicamente el esquema mediante la definición de nuevas clases y atributos para las clases existentes. Recordamos que extender el esquema es una operación que puede tener consecuencias adversas.
La estructura y el contenido del esquema son controlados por el controlador de dominio que desempeña la función de maestro de operaciones de esquema o FSMO (Flexible Single Master Operations) en cada bosque y, como únicamente puede haber un esquema en cada bosque, la partición de directorio del esquema, junto con la partición de directorio de configuración, se replica a todos los controladores de dominio del bosque. El uso de este esquema común asegura la integridad y coherencia de los datos en todo el bosque.
Para el desarrollo de aplicaciones y las pruebas, se puede ver y modificar el esquema del Directorio Activo con el complemento Esquema de Active Directory. Previamente a su instalación, es necesario registrarlo. Para ello y desde el símbolo del sistema, escriba regsvr32 schmmgmt.dll y pulse [Intro]. Le mostrará un mensaje en el que le indica que se ha registrado con éxito. Pulse en Aceptar cuando lo haya leído.
Objetos del esquema
Hay dos tipos de objetos del esquema:
- Los objetos Esquema de clase (classSchema) que definen una clase.
- Los objetos Esquema de atributo (attributeSchema) que definen un atributo.
Por tanto, para cada clase del esquema, hay un objeto Esquema de clases que especifica la clase y, para cada atributo del esquema, hay un objeto Esquema de atributos que especifica el atributo y aplica restricciones en los objetos que son instancias de una clase con dicho atributo.
Algunas de las restricciones de los objetos Esquema de clases son:
- Una lista de atributos obligatorios que se deben definir para una clase.
- Una lista de atributos opcionales que se pueden definir para una clase.
Las reglas de jerarquía que determinan los objetos principales, auxiliares y superiores del Directorio Activo de una clase.
EL CATÁLOGO GLOBAL
De forma predeterminada, en el controlador de dominio inicial del bosque se crea automáticamente un catálogo global que se utiliza para almacenar una réplica completa de todos los objetos del directorio de su dominio y una réplica parcial de sólo lectura de todos los objetos contenidos en el directorio de cada uno de los demás dominios del bosque (la réplica es parcial ya que almacena algunos, pero no todos, de los valores de los atributos de cada objeto del bosque).
El catálogo global realiza cuatro funciones de directorio principales:
- Resuelve los nombres principales de los usuarios (UPN) cuando el controlador de dominio donde inicia la sesión un usuario no tiene conocimiento de la cuenta.
- Proporciona información de pertenencia a grupos universales a un controlador de dominio cuando comienza un proceso de inicio de sesión.
- Permite encontrar información del directorio con independencia de cuál sea el dominio que contiene realmente los datos.
- Valida las referencias a los objetos dentro de un bosque.
Si no hay disponible un catálogo global cuando un usuario inicia el proceso de inicio de sesión en la red, el usuario sólo podrá conectarse al equipo local. Si sólo hay un controlador de dominio, el controlador de dominio y el catálogo global estarán en el mismo servidor. Si hay múltiples controladores de dominio en la red, el catálogo global se guardará en el controlador de dominio configurado expresamente para almacenarlo. Cuando se instalen controladores de dominio adicionales en el dominio, se puede cambiar la ubicación predeterminada del catálogo global a otro controlador de dominio mediante la utilidad Sitios y servicios de Active Directory.
El Directorio Activo define un conjunto básico de atributos para cada objeto del directorio. Cada objeto y algunos de sus atributos se almacenan en el catálogo global. Con el complemento Esquema de Active Directory, se pueden especificar los atributos adicionales que se desea que se mantengan en el catálogo global (para obtener más información, ver el apartado Cómo ver las propiedades de un atributo en este capítulo). Sin embargo, al agregar un atributo nuevo al catálogo global se produce una sincronización total de todos los atributos de objetos almacenados en el catálogo global (para todos los dominios del bosque). En un bosque grande con múltiples dominios, esta sincronización puede ocasionar un tráfico considerable en la red.
Catálogo global y maestro de infraestructura
El maestro de infraestructura es el responsable de actualizar las referencias de los objetos de su dominio en los objetos de los otros dominios mediante la comparación de sus datos con los del catálogo global.
Si encuentra datos sin actualizar, solicitará los datos actualizados a un catálogo global y, a continuación, los replicará a los otros controladores del dominio.
A menos que haya un único controlador en el dominio, la función de maestro de infraestructura no deberá asignarse al controlador de dominio que albergue el catálogo global. Si ambos se encuentran en el mismo controlador de dominio, el maestro de infraestructura no funcionará, ya que nunca encontrará datos sin actualizar y, por tanto, no replicará los cambios a los otros controladores del dominio.
Si todos los controladores de un dominio almacenan el catálogo global, todos los controladores de dominio tendrán ya los datos actualizados y no importará qué controlador de dominio desempeñe la función de maestro de infraestructura. El maestro de infraestructura es también el responsable de actualizar las referencias de grupos a usuarios cada vez que haya una variación o cambio de nombre en los miembros de un grupo. Al cambiar de nombre o mover un miembro de un grupo, si el miembro reside en un dominio distinto del grupo, puede que durante un tiempo parezca que el grupo no contiene a ese miembro (sólo será detectado por un administrador que esté examinando la pertenencia a dicho grupo). El maestro de infraestructura del dominio del grupo es el responsable de actualizar el grupo de forma que se sepa, en todo momento, el nuevo nombre o ubicación del miembro y distribuir la actualización a través de la replicación de varios maestros.
El maestro de operaciones
El Directorio Activo permite realizar la replicación Multimaster o replicación con múltiples maestros del almacén de datos del directorio entre todos los controladores del dominio. Esta replicación se diferencia de otros modelos de replicación en que un controlador almacena la única copia modificable del directorio y otros controladores únicamente almacenan copias de seguridad. Algunos cambios no se pueden realizar utilizando la replicación con múltiples maestros, por lo que sólo un controlador de dominio, denominado maestro de operaciones, acepta las solicitudes para realizar este tipo de cambios.
En cualquier bosque del Directorio Activo existen, al menos, cinco funciones de maestro de operaciones que se asignan a uno o más controladores de dominio. Algunas funciones deben estar presentes en todo el bosque y otras funciones deben estar presentes en cada dominio del bosque.
Dado que las funciones de maestro de operaciones se pueden mover a otros controladores de dominio del mismo dominio o del bosque, dichas funciones se denominan también Funciones flexibles de operaciones de un solo maestro (FSMO).
No hay comentarios:
Publicar un comentario