Os explicamos y mostramos paso a paso con capturas de pantalla explicadas cómo instalar el sistema operativo de Microsoft para servidores Windows Server 2003 Enterprise Edition SP2. Explicamos cómo instalar Active Directory (promocionar) y cómo desinstalarlo (despromocionar o degradar).

Instalar Windows Server 2003 Enterprise. Promocionar el servidor a Controlador de Dominio (Active Directory). Despromoción - Degradación de controlador de dominio, desinstalación Active Directory. Artículos relacionados. Créditos.

Instalar Windows Server 2003 EnterpriseEn primer lugar arrancaremos el servidor e introduciremos el CD de Instalación de Windows Server 2003 Enterprise Edition SP2, deberemos tener correctamente configurada la BIOS para que arranque desde el CD. Se ejecutará el asistente de Instalación de Windows Server 2003 Enterprise Edition SP2. Pulsaremos "Intro" para iniciar la instalación:

Leeremos el contrato de licencia de Windows, si estamos de acuerdo pulsaremos "F8" para continuar:

Página 1 de 59

Seleccionaremos la partición en la que instalaremos Windoes Server 2003, si es una partición vacía pulsaremos "Intro" para continuar. Desde esta ventana podremos cambiar el tamaño de la partición y crear nuevas particiones (siguiendo los pasos que se indican), en nuestro caso, puesto que tenemos una partición vacía para instalar el sistema operativo, la seleccionaremos y pulsaremos "Intro":

Nota: desde la ventana anterior también se pueden eliminar particiones, pero hay que proceder con precaución pues se eliminarán todos los datos que contengan.

Puesto que es la primera vez que utilizamos este disco seleccionaremos "Formatear la partición utilizando el sistema de archivos NTFS (no es recomendable utilizar FAT pues se perderán características importantes de Windows 2003). La diferencia entre "rápido" y normal es que "rápido" no realiza un análisis de superficie, mientras que "normal" sí lo realiza. En este punto hay que proceder con precaución pues al formatear eliminaremos la información que haya en la partición:

Se iniciará el proceso de formateo de la partición seleccionada para la instalación:

Página 2 de 59

Tras el formateo se iniciará la copia de ficheros del sistema en la partición seleccionada:

Se iniciará el asistente en modo gráfico, la primera ventana será la de configuración regional y de idioma, podremos cambiar el idioma y la configuración regional pulsando "Personalizar" y "Detalles":

Página 3 de 59

Introduciremos los datos de Windows (nombre y nombre de la organización), por ejemplo "AjpdSoft":

Introduciremos la clave de producto que se obtiene de la adquisición de la licencia del sistema operativo:

Seleccionaremos el método de licencia, por servidor o por dispositivo o usuario, en nuestro caso "Por dispositivo o Por usuario":

Página 4 de 59

Introduciremos el nombre que tendrá este equipo en la red, en nuestro caso "srvdatos" y la contraseña del usuario administrador:

Si la contraseña no cumple los requisitos de seguridad mostrará un aviso como el siguiente:

Con el texto:

Ha especificado una contraseña para la cuenta de Administrador que no cumple los requisitos de una contraseña segura. Se le recomienda usar una contraseña que cumpla los dos primeros requisitos de la siguiente lista y, al menos, tres de los otros:

o Contiene, al menos, 6 caracteres.

o No contiene "Administrador" o "Admin".

o Contiene letras mayúsculas (A, B, C, etc.).

o Contiene letras minúsculas (a, b, c, etc.).

o Contiene números (0, 1, 2, etc.).

o Contiene caracteres que no sean alfanuméricos (#, &, ~, etc.).

Pulsando "Sí" se continuará la instalación.

 

Configuraremos los valores de fecha y hora, así como la zona horaria:

Página 5 de 59

El asistente de instalación iniciará la instalación y configuración de la red:

Marcaremos "Configuración personalizada":

Página 6 de 59

Seleccionaremos "Protocolo de Internet (TCP/IP)" y pulsaremos "Propiedades":

Marcaremos "Usar la siguiente dirección IP" e introduciremos la IP del servidor. Es muy recomendable que el servidor tenga una IP fija:

Página 7 de 59

Tras la configuración de la red pulsaremos "Siguiente" para continuar:

Puesto que aún no tenemos un dominio en nuestra red, en la ventana de "Grupo de trabajo o dominio del equipo" marcaremos "No, este equipo no está en una red o está en una red sin un dominio. Hacer que este equipo sea un miembro del siguiente grupode trabajo", en nuestro caso "GAJPDSOFT":

El asistente de instalación iniciará la copia de archivos y la preparación del sistema para el primer arranque:

Página 8 de 59

Se reiniciará el equipo, cuando haya cargado pulsaremos Control + Alt +Suprimir:

Introduciremos la contraseña del usuario administrador:

Puesto que es la primera vez que iniciamos sesión se creará el escritorio del usuario "administrador":

Página 9 de 59

Al ser la primera vez que iniciamos sesión nos mostrará la ventana de Actualizacioones de seguridad posteriores a la instalación de Windows Server. Es muy recomendable actualizar el servidor (actualizar todos los parches de seguridad):

Promocionar el servidor a Controlador de Dominio (Active Directory)Desde la ventana "Administre su servidor" podremos realizar varias tareas para Windows Server 2003, pulsando en "Agregar o quitar función". Esta ventana la podremos mostrar cada vez que queramos desde "Inicio" - "Configuración" - "Panel de control" - "Herramientas administrativas" - "Administre su servidor":

Página 10 de 59

Pulsaremos "Siguiente" para seleccionar la función a instalar:

Desde esta ventana podremos configurar el servidor para:

Servidor de archivos. Servidor de impresión. Servidor de aplicaciones (IIS, ASP.NET). Servidor de correo (POP3, SMTP). Terminal Server. Servidor de acceso remoto/VPN.

Página 11 de 59

Controlador de dominio (Active Directory). Servidor DNS. Servidor DHCP. Servidor de multimedia de transmisión po. Servidor WINS.

Como ejemplo instalaremos Active Directory, promocionaremos este servidor a controlador principal de dominio. Al ser el primero crearemos un dominio nuevo:

El asistente nos mostrará la siguiente ventana, indicando la opción seleccionada a instalar:

Con el texto: Ejecutar el Asistente para instalación de Active Directory a fin de configurar este servidor como controlador de dominio.

Página 12 de 59

Esta ventana de promoción de servidor a controlador de dominio (instalación de los servicios de Active Directory) también es posible abrirla directamente desde "Inicio" - "Ejecutar", escribiendo "dcpromo" y pulsando "Aceptar":

Marcaremos "Controlador de dominio para un dominio nuevo" puesto que es el primer controlador de dominio de nuestra organización y hemos de crear un dominio nuevo. Si ya tuviésemos un controlador de dominio marcaríamos "Controlador de dominio adicional para un dominio existente":

Marcaremso "Dominio en un nuevo bosque":

Página 13 de 59

Introduciremos el nombre DNS del dominio, en nuestro caso "ajpdsoft.com":

Introduciremos el nombre NetBIOS del dominio, en nuestro caso "AJPDSOFT":

Página 14 de 59

Seleccionaremos la ubicación de la base de datos de Active Directory y el registro de Active Directory:

Indicaremos también la ubicación de la carpeta de Volumen de sistema compartido, esta carpeta almacena la copia para el servidor de los archivos públicos del dominio. El contenido de la carpeta SYSVOL se replica en todos los controladores de dominio dentro del dominio:

Si se produce algún error en el diagnóstico preliminar lo indicará en la siguiente ventana. Por ejemplo, hemos intentado poner como nombre de dominio "ajpdsoft.com", que es un dominio existente en Internet y que no admite actualizaciones dinámicas, por lo que mostrará este error:

Error de diagnósticoEl diagnóstico de registro se ejecutó 1 vez.

Advertencia: las funciones de controlador de dominio, como unirse a un dominio, iniciar sesión en un dominio y replicar Active Directory, no estarán disponibles hasta que la infraestructura DNS para Active Directory esté correctamente configurada.

El asistente encontró un error al intentar determinar si el servidor DNS con el que se registrará este controlador de dominio admite actualizaciones dinámicas.

Página 15 de 59

Para obtener más información, incluidos los pasos necesarios para corregir el problema, consulte Ayuda.

DetallesEl servidor DNS principal probado era: ns.dinahosting.com (82.98.128.132)

La zona era: ajpdsoft.com

La prueba de compatibilidad de actualización de DNS dinámica devolvió:"Clave DNS errónea."(código de error 0x00002339 RCODE_BADKEY)

Por lo que podremos pulsar "Atrás" y subsanar los posibles problemas, en nuestro caso marcaremos "Instalar y configurar este equipo de manera que utilice este servidor DNS como el preferido". En la siguiente ventana marcaremos "Permisos compatibles sólo con sistemas operativos de servidor Windows 2000 o Windows Server 2003". Sólo es recomendable marcar la opción "Permisos compatibles con sistemas operativos de servidor anteriores a Windows 2000" si tenemos algún servidor con un sistema operativo inferior a Windows 2000 (Windows NT) o un dominio creado con un servidor con Windows NT:

Introduciremos la contraseña para administración del modo de restauración de servicios de directorio:

Página 16 de 59

El asistente de instalación de Active Directory nos mostrará un resumen de las opciones seleccionadas, si todo es correcto pulsaremos "Siguiente" para iniciar el proceso:

El asistente nos mostrará el progreso y las tareas que está realizando para instalar Active Directory:

Página 17 de 59

En este proceso nos pedirá el CD de instalación de Windows Server 2003:

Tras el proceso de instalación de Active Directory nos mostrará una ventana indicando el final del proceso:

Con el texto:

Se ha instalado Active Directory en este equipo para el dominio ajpdsoft.com.

Este controlador de dominio está asignado al sitio Nombre-predeterminado-primer-sitio. Los sitios están administrados con las herramientas administrativas de sitios y servicios de Active Directory.

Página 18 de 59

Tras el reinicio, el asistente mostrará una ventana indicando que el servidor es ahora un controlador de dominio:

Ya dispondremos de Active Directory, podremos crear objetos en el directorio activo (usuarios, grupos de seguridad, impresoras, etc.):

Desde "Usuarios y equipos de Active Directory" podremos crear nuevos equipos, contactos, grupos, impresoras, usuarios, carpetas compartidas, etc.:

Página 19 de 59

También podremos, pulsando con el botón derecho del ratón sobre el nombre del dominio "ajpdsoft.com", seleccionando "Maestro de operaciones...":

Ver y cambiar el maestro de operaciones (RID, Controlador principal de dominio, maestro de infraestructura):

Página 20 de 59

Más información en: Promocionar servidor Windows 2003 a controlador principal de dominio.

Despromoción - Degradación de controlador de dominio, desinstalación Active DirectoryPara despromocionar un controlador de dominio (desinstalar Active Directory), accederemos a "Inicio" -"Ejecutar":

Escribiremos "dcpromo" y pulsaremos "Aceptar":

Página 21 de 59

Pulsaremos "Siguiente" para iniciar el proceso:

Si es el controlador principal nos avisará con el siguiente mensaje:

Con el texto:

---------------------------Asistente para instalación de Active Directory---------------------------Este controlador de dominio es un servidor de catálogo global. Los catálogos globales son usados para procesar los inicios de sesión de los usuarios. Asegúrese de que hay otros catálogos globales accesibles para los usuarios de este dominio antes de quitar Active Directory de este equipo.---------------------------Aceptar ---------------------------

Si es el último (o el único) controlador de dominio marcaremos "Este servidor es el último controlador de dominio del dominio". El asistente nos avisará indicando que una vez eliminado Active Directory del último controlador de dominio, el dominio ya no existe, lo cual significa:

Los equipos que pertenecen a este dominio no pueden iniciar sesión en el dominio ni tener acceso a ninguno de los servicios del dominio.

Página 22 de 59

Se eliminarán todas las cuentas de usuario de este dominio. Se eliminarán todas las claves de cifrado por lo que deberán exportarse antes de continuar. Todos los datos cifrados, como, por ejemplo, archivos cifrados EFS o correos electrónicos, deben descifrarse antes de continuar;

de lo contrario, serán inaccesibles permanentemente.

Nos mostrará las particiones de directorio de aplicaciones, indicando que este controlador de dominio contiene la última réplica de las particiones del directorio de aplicaciones (este mensaje no aparecerá si no es el último controlador de dominio):

Si queremos eliminar las particiones de aplicaciones marcaremos "Eliminar todas las particiones del directorio de aplicaciones que se encuentren en este controlador de dominio", nos advierte de que se quitará la última réplica de la partición de aplicación:

Página 23 de 59

Deberemos indicar una nueva contraseña para el usuario administrador que ha de cumplir obligatoriamente la directiva de contraseñas actual (números, letras, mayúsculas y algún carácter especial):

El asistente nos mostrará, antes de inciar el proceso final, el resumen de las opciones seleccionadas:

Página 24 de 59

Con el texto:

Quite Active Directory de este equipo.Ha indicado que este controlador de dominio es el último del dominio ajpdsoft.comCuando el proceso se haya completado, este dominio dejará de existir.Se quitarán todas las particiones de directorios de aplicaciones de este controlador de dominio.Este controlador de dominio contiene la última réplica de una o más particiones de directorios de aplicaciones. Cuando se complete la operación de eliminación, esas particiones ya no existirán.

El asistente para instalación de Active Directory iniciará el proceso fina lde desinstalación de Active Directory:

Cuando el proceso haya concluido, nos mostrará una ventana como la siguiente, indicando "Se quitó Active Directory de este equipo":

Página 25 de 59

El asistente nos indicará que hay que reiniciar el equipo para que los cambios tengan efecto:

Artículos relacionados

NTFS. Promocionar servidor Windows 2003 a controlador principal de dominio. Instalar y configurar servicio de Terminal Server en Windows 2003. Artículos sobre Windows.

 

Página 26 de 59

cómo instalar Terminar Server (servidor de aplicaciones) en Windows 2003, también os indicamos cómo configurar las opciones fundamentales (permisos, opciones de sesión, control remoto, etc.). Con esta opción podremos disponer de un único equipo servidor donde se instalarán todas las aplicaciones de la organización, al que accederán los usuarios por medio de Terminal Server.

INSTALAR Y CONFIGURAR TERMINAL SERVER EN WINDOWS 2003

Os explicamos cómo instalar Terminar Server (servidor de aplicaciones) en Windows 2003, también os indicamos cómo configurar las opciones fundamentales (permisos, opciones de sesión, control remoto, etc.). Con esta opción podremos disponer de un único equipo servidor donde se instalarán todas las aplicaciones de la organización, al que accederán los usuarios por medio de Terminal Server.

Terminal Server es un servicio de Windows 2000/2003, capaz de proporcionar un "equipo virtual" al cliente que se conecte. De esta forma sólo será necesario instalar las aplicaciones de la organización en un único equipo. Los clientes se conectarán a este servidor y obtendrán en su equipo una pantalla con las mismas opciones que un equipo normal (configurables por directivas de seguridad). De esta forma evitaremos tener que instalar todas las aplicaciones en todos los equipos clientes que necesiten conexión a una base de datos. Cuando se tenga que actualizar una aplicación de nuestra organización ya no será necesario hacerla en todos los equipos clientes, será suficiente con actualizar el servidor de Terminal Server.

En caso de necesitar más de un servidor de Terminal Server, habrá que instalar las mismas aplicaciones en todos los servidores. Recomendamos encarecidamente que todos los servidores con Terminal Server tengan todas las aplicaciones de la organización instaladas. De esta forma también podremos utilizar un servicio llamado "Balanceo de carga". Este servicio tendrá una IP virtual, los clientes se conectarán a esta IP y será el propio servicio de Balanceo de carga el que decida a qué servidor conecta cada usuario, dependiendo de los recursos disponibles en cada servidor.

Cuando una aplicación necesita acceder a una base de datos o cualquier tipo de información, conviene que esté alojada en otro servidor independiente. De esta forma todos los servidores de Terminal Server de nuestra organización accederán al mismo servidor para obtener la inforamación de cada aplicación.

A continuación os mostramos un ejemplo de configuración de red con un Servidor de Ficheros, para almacenar la ofimática de los usuarios: documentos, imágenes, bases de datos de escritorio (Access, Paradox, DBase, etc), presentaciones, hojas de cálculo, videos, música, un Servidor de base de datos, donde se alojará la base de datos de nuestra organización: MySQL, Oracle, Microsoft SQL Server, Informix, DB2, Interbase, etc, varios servidores de aplicaciones (Terminal Server), donde estarán instaladas todas las aplicaciones ofimáticas y las aplicaciones cliente servidor con acceso al servidor de base de datos. También estarán, lógicamente, los equipos de los usuarios (clientes) que se conectarán a los servidores de terminal server:

Para instalar los servicios de Terminal Server en Windows 2003 seguiremos estos pasos:

En primer lugar accederemos a "Inicio" - "Configuración" - "Panel de control":

Página 27 de 59

Seleccioanaremos "Agregar o quitar programas":

Seleccionaremos "Agregar o quitar componentes de Windows" (en la parte izquierda):

Marcaremos "Terminal Server":

Página 28 de 59

Nos mostrará un cuadro de diálogo de aviso inidicando que la seguridad de Internet Explorer es más restrictiva que en otras versiones de Windows NT y 2000. Estas opciones de seguridad se podrán configurar posteriormente. Pulsaremos "Sí" para activar las restricciones de seguridad, pulsaremos "No" para no activarlas en el proceso de instalación (se podrán activar en cualquier momento):

con el texto:

---------------------------Advertencia de configuración---------------------------La configuración de seguridad mejorada de Internet Explorer restringirá significativamente la capacidad de los usuarios en un servidor de terminal para explorar Internet desde sus sesiones de Terminal Server. Para cambiar esta configuración para los usuarios, haga clic en No, vaya a la configuración de seguridad mejorada de Internet Explorer, haga clic en Detalles y a continuación, desactive la casilla para usuarios.

Página 29 de 59

¿Desea continuar la instalación con esta configuración?---------------------------Sí No ---------------------------

Si no tenemos ningún servidor de licencias de Terminal Server deberemos instalarlo. Microsoft permite el uso de Terminal Server durante 120 días para testeo del mismo. Una vez que haya transcurrido este periodo de gracia se deberán adquirir licencias de Terminal Server. Si ya disponemos de estas licencias marcaremos "Licencias de Terminal Server", si ya disponemos de un servidor de licencias no será necesario marcar esta opción. Para prueba de Terminal Server tampoco será necesario marcar esta opción:

Tras seleccionar "Terminal Server" y "Licencias de terminal Server" pulsaremos "Siguiente" para inciar la instalación. Nos mostrará una ventana de selección de permisos predeterminados para la compatibilidad con aplicaciones, con las dos opciones siguientes:

Seguridad total: esta opción usa las características de seguridad más recientes de Windows Server 2003 y proporciona el entorno más seguro para Terminal Server. Sin embargo, es posible que algunas aplicaciones que se diseñaron para ejecutarse en plataformas anteriores no se ejecuten correctamente. Si esta opción es muy restrictiva puede usar en cualquier momento la herramienta de configuración de Servicios de Terminal Server para reducir la seguridad.

Seguridad media: esta opción reduce algunas mejoras de seguridad de Windows Server 2003. Con esta configuración, los usuarios tienen acceso al Registro y a archivos del sistema. Esto puede ser necesario para ejecutar algunas aplicaciones que se diseñaron para plataformas anteriores.

Seleccionaremos el nivel de seguridad que más se ajuste a las necesidades de las aplicaciones y software de nuestra organización y pulsaremos "Siguiente". Esta opción se puede cambiar en cualquier momento una vez instalado Terminal Server:

Página 30 de 59

También nos avisará de los cambios que este servicio supone en el equipo donde se instala, con el siguiente texto:

Esta opción instala Terminal Server, que configura el equipo de modo que varios usuarios puedan ejecutar programas simultáneamente. Nota: de forma predeterminada sólo los miembros del grupo local de administradores podrán conectarse a este Terminal Server. Tendrá que agregar la cuenta de los usuarios al grupo local de usuarios de Escritorio remoto para permitirles conectarse a este Terminal Server. No instale Terminal Server si sólo necesita Escritorio remoto para la administración, que se instala de manera predeterminada y se puede habilitar abriendo la ficha Remoto en el Panel de control del Subprograma Sistema, y habilitando las conexiones remotas.

Instalación del programa: si continúa con esta instalación, los programas que ya están instalados en el servidor dejarán de funcionar y será necesario instalarlos nuevamente. Debe utilizar Agregar o quitar programas, en el Panel de control, siempre que instale programas para utilizarlos con Terminal Server.

Licencias: para seguir utilizando Terminal Server después de un período inicial de gracia de 120 días contados a partir de hoy, debe instalar un servidor que ejecute Licencias de Terminal Server. Para conocer más detalles, vea la Ayuda de Terminal Server.

Pulsaremos "Finalizar" para concluir la instalación de Terminal Server:

Página 31 de 59

Será preciso reiniciar el equipo para que se inicie el servicio de Terminal Server:

Una vez instalado Terminal Server podremos configurarlo según la política de seguridad que se quiera aplicar para cumplir con los objetivos de ejecución de programas de nuestra organización. Para ello accederemos a "Inicio" - "Configuración" - "Panel de control":

Página 32 de 59

Seleccionaremos "Herramientas administrativas":

Seleccionaremos "Configuración de Servicios de Terminal Server":

Desde esta consola Microsoft Management Console, podremos configurar las opciones de Terminal Server. Podremos cambiar el nivel de seguridad de "Seguridad media" a "Seguridad total", para ello accederemos a la carpeta "Configuración de servidor" en la parte izquierda y en la parte derecha haremos doble clic sobre "Compatibilidad de permisos":

Página 33 de 59

Marcaremos la opción deseada:

Desde esta ventana podremos configurar opciones como: eliminar las carpetas temporales al salir (cuando un usuario se conecta al servidor de Terminal Server se generan unas carpetas temporales con información de la sesión), Licencias (se puede cambiar desde aquí el modo de licenciamiento del servidor: por dispositivo o por servidor), Active Desktop (se puede activar el uso de Active Desktop), Restringir cada usuario a una sesión (de esta forma se impedirá que un usuario inicie varias sesiones concurrentes).

Desde la parte izquierda, seleccionando la carpeta "Conexiones", en la parte derecha aparecerá "RDP-Tcp", pulsaremos con el botón derecho sobre "RDP-Tcp" y seleccionaremos "Propiedades":

En la pestaña "Permisos" indicaremos los grupos de seguridad y usuarios a los que queramos permitir el acceso por Terminal Server. De forma predeterminada sólo se permite acceso al servidor a los grupos "Administradores" y "Usuarios de escritorio remoto":

Página 34 de 59

También podremos limitar el número de colores máximo, conectar unidades del cliente, conectar impresoras, establecer impresora principal del cliente como predeterminada, asignación del portapapeles, puertos COM, audio, etc. Si utilizamos estas opciones se suplantará la configuración individual de cada usuario por esta. De forma predeterminada se establecerá esta configuración usuario por usuario:

También podremos limitar el tiempo de sesión activa/inactiva, permitir volver a conectar desde cualquier cliente, etc. En este caso también prevalecerá esta configuración por encima de la configuración individual del usuario:

Página 35 de 59

Podremos indicar el nivel de cifrado (Bajo, Cliente compatible, Alto, Compatible con FIPS):

También podremos establecer las opciones de control remoto (para visualizar de forma remota cualquier sesión de cualquier usuario, tanto para visualizar la ventana del usuario como para controlarla). En este caso también prevalecerá esta configuración por encima de la individual de cada usuario:

Página 36 de 59

Tras instalar y configurar Terminal Server crearemos un usuario en el servidor de Terminal Server. Si este servidor no está promocionado a controlador de dominio (no tiene Active Directory), lo haremos pulsando con el botón derecho sobre "Mi PC", seleccionaremos "Administrar":

Seleccionaremos "Herramientas del sistema" - "Usuarios y grupos locales" - "Usuarios" en la parte izquierda, en la parte derecha pulsaremos el botón derecho del ratón (en el espacio en blanco, fuera de cualquier objeto) y seleccionaremos "Usuario nuevo":

Página 37 de 59

Rellenaremos los datos que nos pide el asistente de creación de usuario:

Para ver los usuarios que hay conectados a nuestro servidor de Terminal Server accederemos a "Inicio" - "Programas" - "Herramientas administrativas" - "Administrador de Servicios de Terminal Server":

Página 38 de 59

Desde esta ventana podremos ver la hora de inicio de sesión de cada usuario, el tiempo de inactividad, enviar mensajes, desconectar sesión, hacer control remoto (sólo si no está en el propio servidor, sólo es posible hacer control remoto a otra sesión si se ha conectado al servidor de Terminal Server desde otro equipo):

Para iniciar una conexión al servidor de Terminal Server anteriormente instalado y configurado desde un cliente cualquiera deberemos tener instalado "Conexión a Escritorio remoto" (en Windows XP y Windows Vista viene instalado por defecto). Accederemos a "Inicio" - "Programas" - "Accesorios" - "Comunicaciones" - "Conexión a Escritorio remoto". En la ventana que nos aparece indicaremos el nombre o dirección IP del servidor de terminal server y pulsaremos "Conectar". Pulsando en "Opciones" podremos establecer algunas opciones de conexión (colores, impresoras, sonido, etc), pero siempre prevalecerá la configuración del servidor sobre la del cliente que se conecta:

Página 39 de 59

Si nos aparece este mensaje y no nos deja conectarnos con el usuario a Terminal Server, deberemos agregar este usuario a un grupo de seguridad con permisos suficientes para acceder al servidor mediante Terminal Server:

Con el texto "Las directivas locales de este sistema no le permiten iniciar una sesión interactiva"

 

Para solucionar este problema será suficiente acceder a las propiedades del usuario, desde el servidor, y hacerlo miembro del grupo de seguridad "Usuarios de escritorio remoto":

Página 40 de 59

 

INSTALAR SERVIDOR DE LICENCIAS DE TERMINAL SERVER

Si en nuestra organización no disponemos de un servidor de licencias de Terminal Server deberemos instalar uno, como máximo dispondremos de 120 días de prueba de este servicio sin comprar licencias.

Para hacer que nuestro servidor sea servidor de licencias de terminal server accederemos a "Agregar o quitar programas", seleccionaremos "Componentes de Windows" y marcaremos "Licencias de Terminal Server", pulsaremos "Siguiente" para iniciar la instalación:

Página 41 de 59

Indicaremos donde queremos guardar la base de datos del servidor de licencias. Pulsaremos "Siguiente" para continuar:

Pulsaremos "Finalizar" para concluir la instalación del servidor de licencias:

Página 42 de 59

Para configurar este servicio accederemos a "Herramientas administrativas", "Licencias de Terminal Server":

Incialmente se realizará una búsqueda automática de algún servidor de licencias en nuestra red LAN:

Página 43 de 59

Si el servidor de licencias no está activado aún nos mostrará un aspa roja en la parte izquierda. Para activarlo pulsaremos con el botón derecho sobre el servidor de licencias, en nuestro caso "PCW2003EDMV", y pulsaremos "Activar servidor":

Se iniciará el asistente para activación de servidor de licencias de Terminal. Pulsaremos "Siguiente" para iniciar la activación. Previamente habrá que adquirir las licencias de Terminal Server desde cualquier proveedor de servicios de Microsoft:

Seleccionaremos el método de conexión (conexión automática, explorador web, teléfono):

Página 44 de 59

Introduciremos el ID. del servidor de licencias, claves que nos proporcionará Microsoft tras adquirir las licencias:

 

Página 45 de 59

En caso de que ya dispongamos de un servidor de licencias, será suficiente con pulsar con el botón derecho del ratón sobre "Todos los servidores", seleccionaremos "Conectar":

Escribiremos el nombre o la IP del servidor de licencias y pulsaremos "Aceptar":

Página 46 de 59

Os explicamos en esta ocasión cómo promocionar un equipo con Windows Server 2003 a controlador de dominio (PDC ó Controlador de Dominio Primario) para instalar Active Directory. Este equipo contendrá todos los roles de seguridad o funciones FSMO (Flexible Single Master Operations).

Conceptos previos

Un directorio es una estructura jerárquica que almacena información acerca de los objetos existentes en la red y un servicio de directorio proporciona métodos para almacenar los datos del directorio y ponerlos a disposición de los administradores y los usuarios de la red.

El Directorio Activo (Active Directory ó AD) es el servicio de directorio incorporado en Windows Server 2000, 2003 y 2008 que almacena objetos de la red y facilita la búsqueda y utilización de esa información por parte de usuarios y administradores. El servicio Active Directory proporciona la capacidad de establecer un único inicio de sesión y un repositorio central de información para toda su infraestructura, lo que simplifica ampliamente la administración de usuarios y equipos, proporcionando además la obtención de un acceso mejorado a los recursos en red.

Un controlador de dominio no es más que un Servidor con Windows Server 2000, 2003 ó 2008 con Active Directory (Directorio Activo) instalado que almacena, mantiene y gestiona la base de datos de usuarios y recursos de la red.

En un dominio con Windows Server 2000, 2003 ó 2008 la estructura y el contenido del esquema es responsabilidad del controlador de dominio, que mantiene la función de servidor principal de operaciones de esquemas. Si hay más de un controlador de dominio (secundarios) el esquema del controlador principal se replicará a todos los controladores secundarios que forman el bosque para asegurar la integridad y coherencia de los datos.

LDAP ("Lightweight Directory Access Protocol" ó "Protocolo Ligero de Acceso a Directorios") es un protocolo a nivel de aplicación que permite el acceso a un servicio de directorio (como Active Directory, Novell Directory Services, iPlanet, OpenLDAP, Red Hat Directory Server, Apache Directory Server, Open DS, etc.) ordenado y distribuido para buscar diversa información en un entorno de red.

En versiones anteriores de Windows NT (NT 3.51 y 4) había un único servidor principal (single-master) que era el PDC (Primary Domain Controller) y por el que debían ser procesados todos los cambios. En cambio, a partir de Windows 2000, se permiten tantos controladores de dominio como se quiera, todos ellos contendrán una copia de los datos del esquema del controlador principal. Sin embargo para ciertas tareas, por su naturaleza, se ha seguido utilizando el modelo anterior de NT, en lo que se llama roles de FSMO (Flexible Single Master Operation). Hay cinco roles distintos, tres que son necesarios a nivel de bosque, mientras que dos son necesarios en cada dominio:

Emulador de PDC (PDC Emulator): afecta a todo el dominio y hay uno para cada dominio. Esta función es necesaria para el controlador de dominio que envía actualizaciones de base de datos a los controladores de dominio de reserva (secundarios).

Maestro RID (RID Master): es el maestro de identificadores relativos. Cada objeto debe tener un único numero global, afecta a todo el dominio y hay uno para cada dominio. Esta función es necesaria para asignar el grupo de RID, con objeto de que los controladores de dominio nuevos o existentes puedan crear cuentas de usuario y de equipo, así como grupos de seguridad con un identificador único para todo el bosque.

Maestro de infraestructuras (Infrastructure Master): responsable de chequear objetos en otros dominios, afecta a todo el dominio y hay uno para cada dominio. Esta función es necesaria para que los controladores de dominio puedan ejecutar correctamente el comando adprep /forestprep, así como para actualizar los atributos SID y Distinguised Name (DN) para los objetos a los que se hace referencia entre varios dominios.

Maestro de nombres de dominio (Domain Naming Master): asegura que cada dominio tenga un nombre único, afecta a todo el bosque y hay uno para cada bosque. Esta función es necesaria para agregar o eliminar dominios o particiones de aplicaciones en un bosque.

Maestro de esquema (Schema Master): controla las actualizaciones que se producen en el esquema del directorio (LDAP). Afecta a todo el bosque y hay uno para cada bosque. Esta función es necesaria para expandir el esquema de un bosque de Active Directory o para ejecutar el comando adprep /forestprep para introducir controladores de dominio de 2003 en un entorno Windows 2000.

Cuando se instala Active Directory en un servidor Windows 2000, 2003 ó 2008 se le asignan las cinco funciones FSMO al primer controlador de dominio del dominio raíz del bosque. Las tres funciones específicas del dominio (PDC Emulator, RID Master y Infrastructure Master) se asignan al primer controlador de dominio de cada nuevo dominio secundario o árbol, las otras dos son únicas en el bosque. Los roles PDC Emulator, RID Master y Infrastructure Master van a estar presentes en cada dominio, mientras que los roles Domain Naming Master y Schema Master son únicos en todo el bosque.

 

Página 47 de 59

Instalación de Active Directory en Windows Server 2003 (promoción a Controlador de Dominio)

A continuación explicamos cómo promocionar un servidor con Windows Server 2003 para que sea Controlador de Dominio y contenga Active Directory (Directorio Activo).

En primer lugar deberemos disponer de un equipo con Windows Server 2000, 2003 ó 2008.

Antes de empezar con el proceso, es recomendable comprobar la configuración de la red del equipo. Hay que tener en cuenta que si el equipo con Windows Server 2003 tiene activada la opción de obtener la IP por DHCP el proceso de promoción fallará. El servidor en el que se instalar Active Directory debe tener IP fija.

Iniciaremos la instalación de Active Directory, desde el botón "Inicio" - "Ejecutar" escribiremos "dcpromo" y pulsaremos "Aceptar":

Se iniciará el Asistente para instalación de Active Directory. Pulsaremos "Siguiente" para continuar:

Nos mostrará una ventana avisando de que las versiones anteriores de Windows (Windows 95 y NT 4.0) no cumplen con los requisitos de la implementación de seguridad de Windows Server 2003. Pulsaremos "Siguiente" para continuar:

Página 48 de 59

Esta parte del asistente de instalación de Active Directory es importante. Nos pregunta si el controlador de dominio va a pertenecer a un dominio existente o a uno nuevo. En nuestro caso, puesto que estamos configurando el servidor como el primer controlador de dominio (no hay ninguno más) seleccionaremos la opción "Controlador de dominio para un dominio nuevo". En el caso en que ya tengamos algún controlador de dominio y queramos agregar ésta a ese dominio seleccionaremos la opción "Controlador de dominio adicional para un dominio existente". Pulsaremos "Siguiente" para continuar:

Si ya disponemos de un bosque de Windows Server seleccionaremos "Dominio secundario en un árbol de dominios existente" ó bien "Árbol de dominios en un bosque existente". En nuestro caso, al ser el primer controlador de dominio y no tener bosques creados seleccionaremos "Dominio en un nuevo bosque":

Página 49 de 59

Introduciremos el nombre para el nuevo dominio (normalmente con el formato xxx.xxxxxxx.com), en nuestro caso "oficina.ajpdsoft.com":

Introduciremos el nombre NetBIOS para el dominio que se creará. Este nombre será usado por equipos con sistemas operativos anteriores (Windows 95-98, Windows Millenium y WIndows NT), no debe contener más de 15 caracteres (en nuestro caso "OFICINA"):

Página 50 de 59

A continuación podremos indicar la ubicación de las carpetas de la base de datos de Active Directory del registro de Active Directory:

Indicaremos también la ubicación de la carpeta SYSVOL que almacena la copia para el servidor de los archivos públicos del dominio. El contenido de la carpeta SYSVOL se replica en todos los controladores exisntentes dentro del dominio:

Página 51 de 59

El asistente para la instalación de Active Directory iniciará una prueba de diagnóstico de registro de DNS, si encuentra algún error lo mostrará. Podemos seguir con la instalación (si se produce algún error) marcando "Corregiré el problema más adelante, configurando el DNS manualmente". Marcaremos esta opción y pulsaremos "Siguiente":

A continuación indicaremos si queremos mantener compatibilidad con sistemas anteriores a Windows 2000. Si marcamos la opción "Permisos compatibles con sistemas operativos de servidor anteriores a Windows 2000" indicaremos al asistente que queremos permitir que los usuarios anónimos (sin autenticación en el sistema) podrán leer información del dominio. En nuestro caso, puesto que sólo tenemos un servidor con Windows 2003 y los equipos clientes con Windows XP y Vista marcaremos la opción "Permisos compatibles sólo con sistemas operativos de servidor Windows 2000 ó Windows Server 2003". Pulsaremos "Siguiente" para continuar:

Página 52 de 59

Indicaremos en este punto la contraseña para el usuario administrador del Modo de restauración de servicios de directorio. Esta contraseña se utiliza cuando se inicie el equipo en Modo de restauración de servicios de directorio. Esta cuenta no tiene nada que ver con el usuario administrador del dominio, sólo es utilizada cuando se inicie el servidor en el modo de restauración de servicios de directorio:

Por último antes de iniciar el proceso final de instalación de Acitve Directory, el asistente nos mostrará una ventana con el resumen de las opciones seleccionadas anteriormente. Pulsaremos "Siguiente" para iniciar el proceso de instalación de Active Directory:

Página 53 de 59

Se iniciará el proceso, mostrando el progreso del mismo y las tareas que está realizando:

Cuando termine de instalarse Active Directory, el asistente mostrará una ventana indicando el resultado del mismo. Pulsaremos "Finalizar" para concluir el proceso:

Página 54 de 59

Nos pedirá reiniciar el equipo para que los cambios realizados surtan efecto. Pulsaremos "Reiniciar":

Tras el reinicio, abriendo una ventana de shell de comandos (MS-DOS) y escribiendo los comandos "set userdomain" y "set userdnsdomain" podremos ver el nombre del dominio de nuestro controlador de dominio recién promocionado con Active Directory:

Página 55 de 59

En "Inicio" - "Configuración" - "Panel de control" - "Herramientas administrativas" podremos ver las nuevas opciones que aparecen tras la instalación de Active Directory, como por ejemplo "Usuarios y equipos de Active Directory":

O también "Directiva de seguridad del controlador de dominio":

Desde la que podremos, por ejemplo, establecer la longitud mínima de la contraseña de los usuarios:

Página 56 de 59

Con esto ya dispondremos de Active Directory y todas sus herramientas.

Por ejemplo, podremos hacer que un equipo con Windows XP o Vista pertenezca al dominio creado. Si tenemos equipos con Windows XP, pulsando con el botón derecho sobre "Mi PC", seleccionaremos "Propiedades":

Seleccionaremos la pestaña "Nombre de equipo", pulsaremos el botón "Cambiar":

Página 57 de 59

Marcaremos "Dominio" e introduciremos el nombre del dominio (en nuestro caso "oficina):

Introduciremos usuario y contraseña del controlador de dominio con Active Directory (necesario para realizar la validación con el dominio)::

Página 58 de 59

Si todo es correcto nos mostrará un mensaje indicando que ya hemos sido agregados al dominio "oficina":

También nos indicará que debemos reiniciar el equipo cliente con Windows XP para validar en el dominio:

Nota: Algunas de estas pantallas pueden cambiar en función de la configuración del equipo, de las opciones seleccionadas y de las versiones de los sistemas operativos..

 

Tecnología empleada

Para el equipo controlador de dominio: Microsoft Windows Server 2003 Enterprise Edition SP1. Para los equipos cliente: Microsoft Windows XP SP3. Para realizar las pruebas: VMware Server 1.0.5.

Página 59 de 59