Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este tema es una introducción a la nueva característica de promoción de controladores de dominio de los Servicios de dominio de Active Directory (AD DS) en Windows Server 2012. En Windows Server 2012, AD DS reemplaza a la herramienta Dcpromo por un sistema de implementación basado en Windows PowerShell y el Administrador del servidor.
Administración simplificada de los Servicios de dominio de Active Directory
Implementación de un bosque con el Administrador del servidor
Administración simplificada de los Servicios de dominio de Active Directory
Windows Server 2012 presenta la nueva generación de Administración simplificada de los Servicios de dominio de Active Directory, el nuevo rediseño de dominio más radical desde Windows 2000 Server. La Administración simplificada de AD DS se ha inspirado en lo aprendido a lo largo de doce años de Active Directory para crear una experiencia de administración más compatible, flexible e intuitiva para arquitectos y administradores. Esto ha conllevado la creación de nuevas versiones de las tecnologías existentes y la ampliación de las capacidades de los componentes incluidos en Windows Server 2008 R2.
¿Qué es la Administración simplificada de AD DS?
La Administración simplificada de AD DS supone un nuevo concepto de implementación de dominio. Estas son algunas de las características:
Ahora, la implementación del rol de AD DS forma parte de la nueva arquitectura del Administrador del servidor y permite la instalación remota.
Ahora, el motor de implementación y configuración de AD DS es Windows PowerShell, aunque se use una configuración gráfica.
Ahora, la promoción incluye la comprobación de requisitos previos, que valida la preparación de los bosques y los dominios para el nuevo controlador de dominio. Así, es menos probable que se produzcan errores en las promociones.
El nivel funcional del bosque de Windows Server 2012 no implementa las características nuevas, y el nivel funcional del dominio solo es necesario para un subconjunto de las nuevas características de Kerberos. De este modo, los administradores ya no necesitan tan a menudo un entorno de controlador de dominio homogéneo.
Objetivo y ventajas
Estos cambios pueden parecer más complejos y no más sencillos. Sin embargo, al rediseñar el proceso de implementación de AD DS, tuvimos la oportunidad de fusionar muchos pasos y procedimientos recomendados en menos acciones más fáciles. Por ejemplo, la configuración gráfica de un nuevo controlador de dominio de réplica tiene ahora ocho diálogos en lugar de los doce anteriores. La creación de un nuevo bosque de Active Directory requiere un único comando de Windows PowerShell con unsolo argumento: el nombre del dominio.
¿Por qué se insiste tanto en Windows PowerShell en Windows Server 2012? Mientras la computación distribuida evoluciona, Windows PowerShell permite usar un solo motor para la configuración y el mantenimiento de las interfaces gráficas y de la línea de comandos. Permite el scripting completo de cualquier componente y proporciona la misma funcionalidad de primera clase a los profesionales de TI que las API a los desarrolladores. Y, por último, a medida que la computación en la nube abarca más y más ámbitos, Windows PowerShell ofrece también la posibilidad de administrar de forma remota un servidor. En este caso, un ordenador sin interfaz gráfica tiene la misma funcionalidad de administración que uno con monitor y mouse.
Los administradores de AD DS con experiencia comprobarán que sus conocimientos anteriores les resultan muy útiles. Y los administradores principiantes disfrutarán de una curva de aprendizaje mucho menos pronunciada.
Información general técnica
Qué debes saber antes de empezar
En este tema, se da por hecho que estás familiarizado con las versiones anteriores de los Servicios de dominio de Active Directory. No se proporcionan detalles básicos sobre su finalidad ni su funcionalidad. Para más información sobre AD DS, consulta las páginas del portal de TechNet vinculadas a continuación:
Servicios de dominio de Active Directory para Windows Server 2008 R2
Servicios de dominio de Active Directory para Windows Server 2008
Descripciones funcionales
Instalación del rol de AD DS
La instalación de los Servicios de dominio de Active Directory emplea el Administrador del servidor y Windows PowerShell, como todos los demás roles del servidor y características de Windows Server 2012. El programa Dcpromo.exe ya no ofrece opciones de configuración de la GUI.
Tanto en las instalaciones locales como en las remotas, se usa un asistente gráfico en el Administrador del servidor o el módulo ServerManager para Windows PowerShell. Ejecutando varias instancias de esos asistentes o cmdlets y usando como destino diferentes servidores, puedes implementar AD DS en varios controladores de dominio al mismo tiempo, todo ello desde una sola consola. Estas nuevas características no son compatibles con las versiones anteriores de Windows Server 2008 R2 ni con los sistemas operativos anteriores. Sin embargo, puedes usar la aplicación Dism.exe, presentada en Windows Server 2008 R2, para instalar roles de forma local desde la línea de comandos clásica.
Configuración del rol de AD DS
La configuración de Active Directory Domain Services (anteriormente, DCPROMO) es ahora una operación diferente de la instalación de roles. Después de instalar el rol de AD DS, un administrador configura el servidor como controlador de dominio con un asistente independiente dentro del Administrador del servidor o con el módulo ADDSDeployment de Windows PowerShell.
La configuración del rol de AD DS se basa en doce años de experiencia en el campo y, ahora, configura los controladores de dominio de acuerdo con los procedimientos recomendados más recientes de Microsoft. Por ejemplo, en todos los controladores de dominio se instalan de forma predeterminada el Sistema de nombres de dominio y los catálogos globales.
El Asistente para configuración de AD DS del Administrador del servidor combina en menos avisos muchos diálogos que antes aparecían por separado, y ya no oculta opciones de configuración en el modo “avanzado”. Durante la instalación, todo el proceso de promoción se desarrolla en un solo cuadro de diálogo que va expandiéndose. El asistente y el módulo ADDSDeployment de Windows PowerShell te muestran los cambios destacables y los riesgos de seguridad, con vínculos a más información.
Dcpromo.exe se mantiene en Windows Server 2012 solamente para las instalaciones desatendidas desde la línea de comandos y ya no ejecuta el Asistente para instalación gráfico. Te recomendamos encarecidamente que dejes de usar Dcpromo.exe para las instalaciones desatendidas y que lo reemplaces por el módulo ADDSDeployment: el ejecutable se considera ahora desusado y no se incluirá en la próxima versión de Windows.
Estas nuevas características no son compatibles con las versiones anteriores de Windows Server 2008 R2 ni con los sistemas operativos anteriores.
Important
Dcpromo.exe ya no contiene un asistente gráfico y ya no instala los archivos binarios de los roles ni las características. Si tratas de ejecutar Dcpromo.exe desde el shell del Explorador, devolverá:
"El Asistente para instalación de Active Directory Domain Services está reubicado en el Administrador del servidor. Para más información, consulte: https://go.microsoft.com/fwlink/?LinkId=220921.
Si tratas de ejecutar Dcpromo.exe /unattend, se instalarán los archivos binarios, como en los sistemas operativos anteriores, pero aparecerá la siguiente advertencia:
"La operación desatendida de dcpromo se reemplazó por el módulo ADDSDeployment para Windows PowerShell. Para más información, consulte: https://go.microsoft.com/fwlink/?LinkId=220924.
En Windows Server 2012 se deja de usar dcpromo.exe, que no se incluirá en las futuras versiones de Windows ni recibirá más mejoras en este sistema operativo. Los administradores deben dejar de utilizarlo y, si quieren crear controladores de dominio desde la línea de comandos, deberán usar en su lugar los módulos de Windows PowerShell admitidos.
Comprobación de requisitos previos
La configuración de los controladores de dominio también implementa una fase de comprobación de requisitos previos en la que se evalúan el bosque y el dominio antes de continuar con la promoción de los controladores de dominio. Incluye la disponibilidad del rol FSMO, los privilegios de los usuarios, la compatibilidad del esquema extendido y otros requisitos. Este nuevo diseño mitiga los problemas que se producen cuando la promoción de los controladores de dominio se inicia y, luego, se detiene en mitad del proceso con un error de configuración irrecuperable. Disminuye la probabilidad de que haya metadatos de controladores de dominio huérfanos en el bosque o servidores que crean por error que son controladores de dominio.
Implementación de un bosque con el Administrador del servidor
En esta sección, se explica cómo instalar el primer controlador de dominio en el dominio raíz de un bosque con el Administrador del servidor en un equipo con Windows Server 2012 gráfico.
Proceso de instalación del rol de AD DS del Administrador del servidor
El siguiente diagrama representa el proceso de instalación del rol de los Servicios de dominio de Active Directory. Empieza cuando ejecutas ServerManager.exe y finaliza justo antes de la promoción del controlador de dominio.
Grupo de servidores y adición de roles
Se pueden agrupar todos los equipos con Windows Server 2012 accesibles desde el equipo que ejecuta el Administrador del servidor. Una vez agrupados, se seleccionan los servidores para la instalación remota de AD DS o cualquier otra opción de configuración que ofrezca el Administrador del servidor.
Para agregar servidores, elige una de estas opciones:
Haz clic en Agregar otros servidores para administrar en la ventana de bienvenida del panel.
Haga clic en el menú Administrar y seleccione Agregar servidores.
Haga clic con el botón derecho en Todos los servidores y elija Agregar servidores.
Aparecerá el diálogo Agregar servidores:
Ofrece tres maneras de agregar servidores al grupo para utilizarlos o agruparlos:
Búsqueda de Active Directory (utiliza LDAP, requiere que los equipos pertenezcan a un dominio, permite filtrar sistemas operativos y admite caracteres comodín).
Búsqueda de DNS (utiliza el alias DNS o la dirección IP por difusión ARP o NetBIOS o búsqueda WINS, y no permite filtrar sistemas operativos ni admite caracteres comodín).
Importación (usa una lista de servidores en archivo de texto separados por CR/LF)
Haga clic en Buscar ahora para devolver una lista de servidores de ese mismo dominio de Active Directory al que está unido el equipo, haga clic en uno o varios nombres de servidor de la lista de servidores. Haga clic en la flecha derecha para agregar los servidores a la lista Seleccionado . Use el cuadro de diálogo Agregar servidores para agregar servidores seleccionados a los grupos de roles del panel. O bien, haga clic en Administrar y, a continuación, haga clic en Crear grupo de servidores o haga clic en Crear grupo de servidores en el panel Icono Bienvenido al Administrador del servidor para crear grupos de servidores personalizados.
Note
El procedimiento Agregar servidores no valida que un servidor se encuentre en línea o sea accesible. Sin embargo, los servidores inaccesibles se marcan en la vista Estado del Administrador del servidor al actualizarla la siguiente vez.
Puedes instalar roles de forma remota en los equipos con Windows Server 2012 que estén agregados al grupo, así:
Los servidores con sistemas operativos anteriores a Windows Server 2012 no se pueden administrar totalmente. La selección Agregar roles y características ejecuta el módulo de Windows PowerShell de ServerManager Install-WindowsFeature.
También puedes usar el panel del Administrador del servidor en un controlador de dominio existente para seleccionar la instalación de AD DS del servidor remoto con el rol ya preseleccionado. Para ello, haz clic con el botón secundario en la ventana del panel de AD DS y elige Agregar AD DS a otro servidor. Esto invoca Install-WindowsFeature AD-Domain-Services.
El equipo en el que ejecutas el Administrador del servidor se incluye en el grupo automáticamente. Para instalar el rol de AD DS aquí, simplemente haga clic en el menú Administrar y haga clic en Agregar roles y características.
Tipo de instalación
El cuadro de diálogo Tipo de instalación proporciona una opción que no admite Active Directory Domain Services: la instalación basada en escenarios de Servicios de Escritorio remoto. Esa opción solamente permite el Servicio de Escritorio remoto en una carga de trabajo distribuida con varios servidores. Si la activas, AD DS no se podrá instalar.
Al instalar AD DS, deja siempre la selección predeterminada: Instalación basada en roles o basada en características.
Selección del servidor
El cuadro de diálogo Selección de servidor permite elegir entre uno de los servidores agregados previamente al grupo, siempre que sea accesible. El servidor local que ejecuta el Administrador del servidor está disponible de forma automática.
Además, puedes seleccionar archivos de VHD de Hyper-V sin conexión con el sistema operativo Windows Server 2012 y el Administrador del servidor les agregará el rol directamente con el mantenimiento de componentes. Así, puedes aprovisionar los servidores virtuales con los componentes necesarios antes de seguir configurándolos.
Características y roles del servidor
Selecciona el rol Active Directory Domain Services si quieres promover un controlador de dominio. Todos los servicios necesarios y las características de administración de Active Directory se instalarán de manera automática, aunque aparentemente formen parte de otro rol o no aparezcan seleccionados en la interfaz del Administrador del servidor.
El Administrador del servidor también presenta un cuadro de diálogo informativo que muestra qué características de administración instala este rol implícitamente; esto equivale al argumento -IncludeManagementTools .
Aquí se pueden agregar características adicionales según sea necesario.
Servicios de dominio de Active Directory
El diálogo Active Directory Domain Services proporciona cierta información sobre los requisitos y los procedimientos recomendados. Principalmente, sirve para confirmar que se ha elegido el rol de AD DS. Si no aparece esta pantalla, significa que no se ha seleccionado AD DS.
Confirmation
El cuadro de diálogo Confirmación es el punto de control final antes de que se inicie la instalación del rol. Ofrece la opción de reiniciar el equipo si es necesario después de instalar el rol, pero la instalación de AD DS no requiere reiniciarlo.
Al hacer clic en Instalar, confirma que está listo para comenzar la instalación del rol. Una vez que haya comenzado la instalación del rol, no se podrá cancelar.
Results
El cuadro de diálogo Resultados muestra el progreso de la instalación actual y el estado de instalación actual. La instalación del rol continuará sin importar si está cerrado el Administrador del servidor.
Comprobar los resultados de la instalación sigue siendo un procedimiento recomendado. Si cierra el cuadro de diálogo Resultados antes de que finalice la instalación, puede comprobar los resultados mediante la marca de notificación Administrador del servidor. El Administrador del servidor muestra, además, un mensaje de advertencia si hay servidores que tienen instalado el rol de AD DS pero no siguieron configurándose como controladores de dominio.
Notificaciones de tareas
Detalles de AD DS
Detalles de la tarea
Promoción a controlador de dominio
Al finalizar la instalación del rol de AD DS, puedes continuar con la configuración con el vínculo Promover este servidor a controlador de dominio. Para convertir el servidor en un controlador de dominio, es necesario hacer esto, pero no hace falta ejecutar el Asistente para configuración inmediatamente. Por ejemplo, puede que solo quieras aprovisionar los servidores con los archivos binarios de AD DS antes de enviarlos a otra sucursal para configurarlos más adelante. Si agregas el rol de AD DS antes del envío, ahorrarás tiempo cuando llegue a su destino. Además, estarás siguiendo el procedimiento recomendado que indica que no se debe mantener un controlador de dominio sin conexión durante días o semanas. Por último, esto te permite actualizar los componentes antes de la promoción del controlador de dominio y te ahorra, al menos, un reinicio posterior.
Al seleccionar este vínculo, más adelante se invocan los cmdlets ADDSDeployment: install-addsforest, install-addsdomain o install-addsdomaincontroller.
Uninstalling/Disabling
El rol de AD DS se quita como cualquier otro rol: da igual si promoviste el servidor a controlador de dominio. Sin embargo, para quitar el rol de AD DS, se tiene que reiniciar el sistema al finalizar.
La eliminación del rol de los Servicios de dominio de Active Directory es distinta de la instalación: para que finalice, hay que disminuir el nivel del controlador de dominio. Es necesario hacer esto para que los archivos binarios del rol de un controlador de dominio no se desinstalen sin que los metadatos del bosque se limpien adecuadamente. Para obtener más información, consulte Degradación de controladores de dominio y dominios (nivel 200).
Warning
No se admite la eliminación de roles de AD DS con Dism.exe ni con el módulo DISM de Windows PowerShell después de la promoción a controlador de dominio. Si se hace, el servidor no podrá arrancar con normalidad.
Al contrario que el Administrador del servidor o el módulo ADDSDeployment de Windows PowerShell, DISM es un sistema de mantenimiento nativo que no tiene un conocimiento inherente de AD DS o de su configuración. No utilices Dism.exe ni el módulo DISM de Windows PowerShell para desinstalar el rol de AD DS, salvo que el servidor ya no sea un controlador de dominio.
Creación de un dominio raíz del bosque de AD DS con el Administrador del servidor
El siguiente diagrama representa el proceso de configuración de Active Directory Domain Services, en el caso de que instalaras anteriormente el rol de AD DS e iniciaras el Asistente para configuración de Active Directory Domain Services con el Administrador del servidor.
Configuración de implementación
El Administrador del servidor comienza cada promoción del controlador de dominio con la página Configuración de implementación . Las opciones restantes y los campos requeridos cambian en esta página y en las páginas siguientes, según qué operación de implementación se seleccione.
Para crear un bosque de Active Directory, haz clic en Agregar un nuevo bosque. Debe proporcionar un nombre de dominio raíz válido; no se puede etiquetar un solo nombre (por ejemplo, el nombre debe ser contoso.com o similar y no solo contoso) y debe usar los requisitos de nomenclatura de dominio DNS permitidos.
Para más información sobre los nombres de dominio válidos, consulte el artículo de KB Convenciones de nomenclatura de Active Directory para equipos, sitios, dominios y unidades organizativas.
Warning
No crees bosques de Active Directory con el mismo nombre que un nombre DNS externo. Por ejemplo, si la dirección URL del DNS de Internet es https://contoso.com, debe elegirse un nombre distinto para el bosque interno, a fin de evitar problemas de compatibilidad en el futuro. El nombre tiene que ser único y debe ser poco probable que se use para el tráfico de la Web. Por ejemplo: corp.contoso.com.
Los bosques nuevos no necesitan nuevas credenciales para la cuenta de administrador del dominio. El proceso de promoción del controlador de dominio emplea las credenciales de la cuenta de administrador integrada del primer controlador de dominio que se usó para crear la raíz del bosque. No hay ninguna forma (predeterminada) de deshabilitar o bloquear la cuenta de administrador integrada, y puede ser el único punto de entrada a un bosque si las demás cuentas administrativas del dominio no se pueden usar. Antes de implementar un bosque nuevo, es fundamental conocer la contraseña.
DomainName requiere un nombre DNS de dominio completo válido y es necesario.
Opciones del controlador de dominio
Las Opciones del controlador de dominio te permiten configurar el nivel funcional del bosque y el nivel funcional del dominio del nuevo dominio raíz del bosque. En un nuevo dominio raíz del bosque, esta configuración es Windows Server 2012 de forma predeterminada. El nivel funcional del bosque de Windows Server 2012 no proporciona ninguna funcionalidad nueva respecto del nivel funcional del bosque de Windows Server 2008 R2. El nivel funcional del dominio de Windows Server 2012 solo es necesario para implementar las nuevas opciones de configuración de Kerberos "Proporcionar notificaciones siempre" y "Producir error en solicitudes de autenticación sin protección". Uno de los principales usos de los niveles funcionales de Windows Server 2012 es restringir la participación en el dominio a los controladores de dominio que cumplen los mínimos requisitos del sistema operativo permitidos. Es decir, puede especificar el nivel funcional del dominio de Windows Server 2012 de modo que solo los controladores de dominio con Windows Server 2012 puedan hospedar el dominio. Windows Server 2012 implementa una nueva marca de controlador de dominio denominada DS_WIN8_REQUIRED en la función DSGetDcName de NetLogon que localiza exclusivamente controladores de dominio de Windows Server 2012. Así, tienes la flexibilidad de elegir un bosque más o menos homogéneo en cuestión de los sistemas operativos que se pueden ejecutar en los controladores de dominio.
Para más información sobre la ubicación del controlador de dominio, revise funciones del servicio de directorio.
La única funcionalidad del controlador de dominio que se puede configurar es la opción del servidor DNS. Microsoft recomienda que todos los controladores de dominio proporcionen servicios DNS para alta disponibilidad en entornos distribuidos. Por eso, esta opción está activada de forma predeterminada al instalar un controlador de dominio en cualquier modo o dominio. Al crear un dominio raíz del bosque, no están disponibles las opciones de catálogo global y controlador de dominio de solo lectura. El primer controlador de dominio debe ser un catálogo global y no puede ser un controlador de dominio de solo lectura (RODC).
La Contraseña del modo de restauración de servicios de directorio que se especifique debe cumplir la directiva de contraseñas aplicada al servidor. De forma predeterminada, no requiere una contraseña segura: solo una que no esté en blanco. Siempre elija una contraseña segura y compleja o, preferentemente, una frase de contraseña.
Opciones de DNS y credenciales de delegación DNS
La página Opciones de DNS permite configurar la delegación DNS y proporcionar credenciales administrativas de DNS alternativas.
No puede configurar opciones de DNS ni delegación en el Asistente para configuración de Active Directory Domain Services al instalar un nuevo dominio raíz del bosque de Active Directory en el que seleccionó el servidor DNS en la página Opciones del controlador de dominio . La opción Crear delegación DNS está disponible al crear una nueva zona DNS raíz del bosque en una infraestructura de servidor DNS existente. Esta opción te permite proporcionar credenciales administrativas de DNS alternativas que tengan derecho a actualizar la zona DNS.
Para obtener más información sobre si es necesario crear una delegación DNS, vea Descripción de la delegación de zonas.
Opciones adicionales
La página Opciones adicionales muestra el nombre NetBIOS del dominio y le permite invalidarlo. De forma predeterminada, el nombre de dominio netBIOS coincide con la etiqueta más izquierda del nombre de dominio completo proporcionado en la página Configuración de implementación . Por ejemplo, si indicaste como nombre de dominio completo corp.contoso.com, el nombre del dominio NetBIOS predeterminado será CORP.
Si el nombre tiene 15 caracteres o menos y no entra en conflicto con otro nombre NetBIOS, no se modificará. Si entra en conflicto con otro nombre NetBIOS, se anexará un número al nombre. Si el nombre tiene más de 15 caracteres, el asistente proporcionará una sugerencia truncada que sea única. En cualquiera de estos casos, el asistente validará primero si el nombre no se está usando ya con una búsqueda WINS y difusión NetBIOS.
Para más información sobre los nombres de dominio válidos, consulte el artículo de KB Convenciones de nomenclatura de Active Directory para equipos, sitios, dominios y unidades organizativas.
Paths
La página Rutas de acceso permite invalidar las ubicaciones de carpetas predeterminadas de la base de datos de AD DS, los registros de transacciones de base de datos y el recurso compartido SYSVOL. Las ubicaciones predeterminadas siempre están en subdirectorios de %systemroot% (es decir, C:\Windows).
Revisión de opciones y visualización del script
La página Opciones de revisión le permite validar la configuración y asegurarse de que cumplen sus requisitos antes de iniciar la instalación. No es la última oportunidad para detener la instalación con el Administrador del servidor. Es, simplemente, una opción para confirmar la configuración antes de continuar.
La página Opciones de revisión del Administrador del servidor también ofrece un botón Ver script opcional para crear un archivo de texto Unicode que contenga la configuración de ADDSDeployment actual como un solo script de Windows PowerShell. Esto le permite usar la interfaz gráfica del Administrador del servidor como un estudio de implementación de Windows PowerShell. Use el Asistente para configuración de Servicios de dominio de Active Directory para configurar las opciones, exportar la configuración y, a continuación, cancele el asistente. Este proceso crea un ejemplo válido y sintácticamente correcto para realizar más modificaciones o la utilización directa. Por ejemplo:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDNSDelegation `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "corp.contoso.com" `
-DomainNetBIOSName "CORP" `
-ForestMode "Win2012" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Note
Normalmente, el Administrador del servidor rellena todos los argumentos con valores al realizar la promoción y no se basa en los valores predeterminados (dado que pueden cambiar entre las futuras versiones de Windows o los Service Pack). La única excepción a esto es el argumento -safemodeadministratorpassword (que se omite deliberadamente del script). Para forzar la aparición de un aviso de confirmación, omite el valor al ejecutar el cmdlet de forma interactiva.
Comprobación de requisitos previos
La comprobación de requisitos previos es una nueva característica en la configuración del dominio de AD DS. Esta nueva fase valida la capacidad de la configuración del servidor para admitir un nuevo bosque de AD DS.
Al instalar un nuevo dominio raíz del bosque, el Asistente para configuración de Servicios de dominio de Active Directory del Administrador del servidor invoca una serie de pruebas modulares. Las pruebas te envían alertas con opciones de reparación sugeridas. Puedes ejecutar las pruebas tantas veces como sea necesario. El proceso del controlador de dominio no puede continuar hasta que se superen todas las pruebas de requisitos previos.
La comprobación de requisitos previos también muestra información relevante, como los cambios de seguridad que afectan a los sistemas operativos más antiguos.
Para obtener más información sobre las comprobaciones de requisitos previos específicas, consulte Comprobación de requisitos previos.
Installation
Cuando se muestra la página Instalación , la configuración del controlador de dominio comienza y no se puede detener ni cancelar. Las operaciones detalladas se muestran en esta página y se escriben en los registros:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Note
Puedes ejecutar simultáneamente varios Asistentes para configuración de AD DS y de instalación de roles desde la misma consola del Administrador del servidor.
Results
La página Resultados muestra el éxito o error de la promoción y cualquier información administrativa importante. El controlador de dominio se reiniciará automáticamente 10 segundos después.
Implementación de un bosque con Windows PowerShell
En esta sección, se explica cómo instalar el primer controlador de dominio en el dominio raíz de un bosque con Windows PowerShell en un equipo con Windows Server 2012 Core.
Proceso de instalación del rol de AD DS de Windows PowerShell
Al implementar unos pocos cmdlets de implementación de ServerManager muy sencillos en tus procesos de implementación, entenderás mejor la perspectiva que ofrece la Administración simplificada de AD DS.
En la ilustración siguiente se muestra el proceso de instalación de roles de Active Directory Domain Services, empezando por ejecutar PowerShell.exe y terminar justo antes de la promoción del controlador de dominio.
| AdministradorDeServidores Cmdlet | Argumentos (se requieren argumentos negrita . Los argumentos en cursiva se pueden especificar mediante Windows PowerShell o el Asistente para configuración de AD DS). |
|---|---|
| Install-WindowsFeature/Add-WindowsFeature |
-Name -Restart -IncludeAllSubFeature -IncludeManagementTools -Source -ComputerName -Credential -LogPath -Vhd -ConfigurationFilePath |
Note
Aunque no es necesario, se recomienda encarecidamente el argumento -IncludeManagementTools al instalar los archivos binarios del rol de AD DS.
El módulo ServerManager expone las partes de instalación, estado y eliminación de roles del nuevo módulo DISM para Windows PowerShell. Con estas capas, se simplifica la mayor cantidad posible de tareas y ya no es tan necesario utilizar directamente el módulo DISM, que ofrece muchas posibilidades, pero es peligroso si se usa de forma incorrecta.
Use Get-Command para exportar los alias y cmdlets en ServerManager.
Get-Command -module ServerManager
Por ejemplo:
Para agregar el rol Active Directory Domain Services, simplemente ejecute Install-WindowsFeature con el nombre del rol de AD DS como argumento. Igual que en el Administrador del servidor, todos los servicios necesarios que sean implícitos al rol de AD DS se instalarán automáticamente.
Install-WindowsFeature -name AD-Domain-Services
Si también desea que las herramientas de administración de AD DS se instalen (y se recomienda encarecidamente), proporcione el argumento -IncludeManagementTools :
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
Por ejemplo:
Para enumerar todas las características y roles con su estado de instalación, use Get-WindowsFeature sin argumentos. Especifique el argumento -ComputerName para el estado de instalación desde un servidor remoto.
Get-WindowsFeature
Dado que Get-WindowsFeature no tiene un mecanismo de filtrado, debe usar Where-Object con una canalización para buscar características específicas. La canalización es un canal que utilizan varios cmdlets para pasar datos, y el cmdlet Where-Object actúa como filtro. La variable $_ integrada actúa como el objeto actual que pasa por la canalización con las propiedades que puede contener.
Get-WindowsFeature | where-object <options>
Por ejemplo, para buscar todas las características que contienen "Active Dir" en su propiedad Nombre para mostrar , use:
Get-WindowsFeature | where displayname -like "*active dir*"
A continuación se incluyen más ejemplos:
Para más información sobre las operaciones de Windows PowerShell con canalizaciones y Where-Object, consulte Canalizar y la canalización de Windows PowerShell.
Windows PowerShell 3.0 simplificó considerablemente los argumentos de la línea de comandos necesarios para esta operación de canalización. En Windows PowerShell 2.0, tendrías que hacer lo siguiente:
Get-WindowsFeature | where {$_.displayname - like "*active dir*"}
Con la canalización de Windows PowerShell, puedes crear resultados legibles. Por ejemplo:
Install-WindowsFeature | Format-List
Install-WindowsFeature | select-object | Format-List
Tenga en cuenta cómo usar el cmdlet Select-Object con el argumento -expandproperty devuelve datos interesantes:
Note
ElSelect-Object argumento -expandproperty ralentiza ligeramente el rendimiento general de la instalación.
Creación de un dominio raíz del bosque de AD DS con Windows PowerShell
Para instalar un nuevo bosque de Active Directory con el módulo ADDSDeployment, utiliza este cmdlet:
Install-addsforest
El cmdlet Install-AddsForest solo tiene dos fases (comprobación de requisitos previos e instalación). Las dos figuras siguientes muestran la fase de instalación con el argumento mínimo necesario de -domainname.
| ADDSDeployment Cmdlet (cmdlet de ADDSDeployment) | Argumentos (se requieren argumentos negrita . Los argumentos en cursiva se pueden especificar mediante Windows PowerShell o el Asistente para configuración de AD DS). |
|---|---|
| Install-Addsforest | -Confirm -CreateDNSDelegation -DatabasePath -DomainMode -DomainName -DomainNetBIOSName -DNSDelegationCredential -ForestMode -Force -InstallDNS -LogPath -NoDnsOnNetwork -NoRebootOnCompletion -SafeModeAdministratorPassword -SkipAutoConfigureDNS -SkipPreChecks -SYSVOLPath -Whatif |
Note
El argumento -DomainNetBIOSName es necesario si desea cambiar el nombre de 15 caracteres generado automáticamente en función del prefijo del nombre de dominio DNS o si el nombre supera los 15 caracteres.
Los argumentos y cmdlets ADDSDeployment equivalentes de Configuración de implementación del Administrador del servidor son:
Install-ADDSForest
-DomainName <string>
Los argumentos del cmdlet de ADDSDeployment equivalentes a las Opciones del controlador de dominio del Administrador del servidor son:
-ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-InstallDNS <{$false | $true}>
-SafeModeAdministratorPassword <secure string>
Los argumentos Install-ADDSForest siguen los mismos valores predeterminados que el Administrador del servidor si no se especifica.
La operación del argumento SafeModeAdministratorPassword es especial:
Si no se especifica como argumento, el cmdlet le pide que escriba y confirme una contraseña enmascarada. Este es el uso preferido cuando se ejecuta el cmdlet en forma interactiva.
Por ejemplo, para crear un bosque llamado corp.contoso.com y que te pidan que escribas y confirmes una contraseña enmascarada:
Install-ADDSForest "DomainName corp.contoso.comSi se especifica con un valor, este debe ser una cadena segura. Este no es el uso preferido cuando se ejecuta el cmdlet en forma interactiva.
Por ejemplo, puede solicitar manualmente una contraseña mediante el cmdlet Read-Host para solicitar al usuario una cadena segura:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Warning
Como la opción anterior no confirma la contraseña, tenga mucho cuidado: la contraseña no es visible.
También puedes proporcionar una cadena segura como una variable no cifrada convertida, pero te recomendamos encarecidamente que no lo hagas.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Por último, puedes almacenar la contraseña cifrada en un archivo y reutilizarla más adelante, sin que la contraseña aparezca descifrada en ningún momento. Por ejemplo:
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Warning
No se recomienda proporcionar ni almacenar contraseñas no cifradas. Cualquier persona que ejecute este comando en un script o que mire sobre su hombro sabrá la contraseña de DSRM de ese controlador de dominio. Cualquier persona que tenga acceso al archivo podría invertir la contraseña cifrada. Si conocen la contraseña, pueden iniciar sesión en un controlador de dominio iniciado en DSRM y llegar a suplantar el controlador de dominio. Elevarían sus privilegios al nivel máximo en el bosque de Active Directory. Se recomienda un conjunto adicional de pasos mediante System.Security.Cryptography para cifrar los datos del archivo de texto, pero fuera del ámbito. El procedimiento recomendado es no almacenar la contraseña en absoluto.
El cmdlet de ADDSDeployment ofrece una opción adicional para omitir la configuración automática de las opciones, los reenviadores y las sugerencias de raíz del cliente DNS. Al usar el Administrador del servidor, no se puede omitir esta opción de configuración. Este argumento solo es relevante si instalaste el rol del servidor DNS antes de configurar el controlador de dominio:
-SkipAutoConfigureDNS
La operación DomainNetBIOSName también es especial:
Si el argumento DomainNetBIOSName no se especifica con un nombre de dominio NetBIOS y el nombre de dominio de prefijo de etiqueta única en el argumento DomainName es de 15 caracteres o menos, la promoción continúa con un nombre generado automáticamente.
Si el argumento DomainNetBIOSName no se especifica con un nombre de dominio NetBIOS y el nombre de dominio de prefijo de etiqueta única en el argumento DomainName es de 16 caracteres o más, se produce un error en la promoción.
Si el argumento DomainNetBIOSName se especifica con un nombre de dominio NetBIOS de 15 caracteres o menos, la promoción continúa con ese nombre especificado.
Si el argumento DomainNetBIOSName se especifica con un nombre de dominio NetBIOS de 16 caracteres o más, se produce un error en la promoción.
El argumento del cmdlet de ADDSDeployment equivalente a las Opciones adicionales del Administrador del servidor es:
-domainnetbiosname <string>
Los argumentos equivalentes del cmdlet ADDSDeployment de rutas del Administrador del servidor son:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Use el argumento Whatif opcional con el cmdlet Install-ADDSForest para revisar la información de configuración. Te permitirá ver los valores explícitos e implícitos de los argumentos de un cmdlet.
Por ejemplo:
No puede omitir la comprobación de requisitos previos al usar el Administrador del servidor, pero puede omitir el proceso al usar el cmdlet de implementación de AD DS mediante el siguiente argumento:
-skipprechecks
Warning
Microsoft no recomienda omitir la comprobación de requisitos previos: omitirla puede hacer que los controladores de dominio se promuevan parcialmente o puede provocar daños en el bosque de AD DS.
Tenga en cuenta cómo, al igual que el Administrador del servidor, Install-ADDSForest le recuerda que la promoción reiniciará el servidor automáticamente.
Para aceptar el mensaje de reinicio automáticamente, use los argumentos -force o -confirm:$false con cualquier cmdlet de Windows PowerShell ADDSDeployment. Para evitar que el servidor se reinicie automáticamente al final de la promoción, use el argumento -norebootoncompletion .
Warning
No se recomienda invalidar el reinicio. El controlador de dominio debe reiniciarse para funcionar correctamente.
Véase también
Active Directory Domain Services (Portal de TechNet)Active Directory Domain Services para Windows Server 2008 R2Active Directory Domain Services para Windows Server 2008Referencia técnica de Windows Server (Windows Server 2003)Centro de administración de Active Directory: Introducción (Windows Server 2008 R2)Administración de Active Directory con Windows PowerShell (Windows Server 2008 R2)Pregunte al equipo de servicios de Directory (blog oficial de soporte técnico comercial de Microsoft)