EL DIRECTORIO ACTIVO EN LA UPV

EL DIRECTORIO ACTIVO EN LA UPV
1.
Estructura del DA en la UPV ............................................................................ 2
2.
Configuración del DNS para DA....................................................................... 2
3.
Relación con otros dominios .............................................................................. 3
4.
Incorporación de dominios al DA de UPVnet .................................................. 4
Migración de dominios existentes ............................................................................ 5
Creación de dominios nuevos ................................................................................. 12
5.
Configuración del DNS en dominios independientes .................................... 13
6.
Problemas tras la migración a DA .................................................................. 15
1
1. Estructura del DA en la UPV
Actualmente disponemos de un bosque formado por dos árboles de dominios, el que tiene como
raíz el dominio upvnet.upv.es y el del dominio alumno.upv.es.
El dominio upvnet.upv.es es la migración del dominio UPVNET y funciona en modo mixto, es
decir que está compuesto por controladores de dominio NT 4.0 y Windows 2000. Actualmente
disponemos de tres controladores W2000 y un NT en Valencia y tres controladores NT en los
centros remotos que en breve actualizaremos a W2000. Del mismo árbol culegan algunos
dominios pertenecientes a algunos departamentos y servicios.
El dominio alumno.upv.es proporciona todas las cuentas de alumnos en un único dominio,
eliminando la necesidad de mantener dominios en los centros para este propósito.
2. Configuración del DNS para DA
En los controladores de dominio W2000 tenemos instalado el servicio DNS con la siguiente
configuración:



Propietario de la zona upvnet.upv.es, integrada con DA, en la que se permiten
actualizaciones dinámicas seguras.
Zona upv.es configurada como secundaria.
cualquier petición que no puede ser atendida se reenvía a los DNS “oficiales” de la
UPV.
Los servidores DNS atienden las peticiones de todas las máquinas con W2000 o superior. El
resto, que no hacen uso de las características adicionales del DNS relacionadas con el DA,
utilizan los servidores DNS oficiales. El servicio de DHCP distingue el SO del cliente que le
hace la petición y en base a esto proporciona una configuración u otra, todo de forma
transparente.
2
Hay que destacar que las máquinas W2000 que se añaden al dominio upvnet.upv.es pasan a
tener otro nombre DNS pero este nombre no es válido en Internet (por ahora no, pero el diseño
del nombre de la zona podría permitir que lo fuera). Para cualquier servicio en Internet habría
que emplear el nombre DNS “oficial”.
Actualmente, los servidores DNS del dominio upvnet.upv.es son:
158.42.250.89 (ADARA)
158.42.250.65 (ADIB)
3. Relación con otros dominios
Todas las relaciones de confianza existentes con otros dominios se mantienen del mismo modo
que antes de la migración. Para los dominios que pertenencen al árbol del dominio
upvnet.upv.es se definen implícitamente de forma bidireccional. En el caso de dominios de
árboles independientes, si se quiere crear una relación de confianza es aconsejable que ésta sea
también bidireccional.
3
Debido a que todos los dominios pertenecientes a un árbol de directorio activo están muy
relacionados, replican información y mantienen datos y servicios comunes, hemos decido
limitar la posibilidad de incorporar nuevos dominios y restringirlo a los que reunan ciertas
garantías. Para el resto de dominios con DA en los que no esté garantizada la disponibilidad y
un correcto mantenimiento simplemente se establecerá una relación de confianza en los dos
sentidos. En estos dominios es necesario que el administrador ponga en marcha el servicio DNS
en alguno de sus controladores y lo configure correctamente (ver apartado “Configuración del
DNS en dominios independientes”).
4. Incorporación de dominios al DA de UPVnet
Los dominios que se incorporen al árbol de dominio upvnet.upv.es pueden hacer uso de
nuestros servidores DNS y por lo tanto no necesitarían configurar de forma particular a sus
clientes. Estos dominios tendrían un nombre con el formato dominio.upvnet.upv.es aunque
mantendrían su nombre NetBIOS original de cara a los clientes anteriores a W2000. Aunque el
nombre del dominio pueda parecer un tanto incómodo, esta estructura nos asegura que no exista
ninguna interferencia con cualquier dominio actual de la UPV y al mismo tiempo no impide que
en un futuro también pudiera ser visible desde Internet.
A la hora de incorporar un dominio, debemos distinguir entre dominios nuevos o migración de
dominios existentes:
4
Migración de dominios existentes
Esta opción es más delicada y requiere de cierta planificación, para evitar perder toda la
información del dominio. La forma más recomendable de hacer la migración es actualizando el
PDC del dominio a W2000 Server y manteniendo al menos un BDC en NT, pasando a un
dominio en modo mixto. De este modo aseguramos la vuelta atrás en caso de desastre.
Los pasos a seguir serían:
 Comprobar que el PDC reune todos los requisitos mínimos para instalar W2000 Server
y actuar como DC en un DA. En caso de que no los cumpliera, sería necesario instalar
NT en una nueva máquina, añadirlo al dominio como BDC y luego promoverlo a PDC.
 Comprobar que en el PDC no corre ningún software que no pueda utilizarse con
W2000. Hacer una lista de las aplicaciones que hay instaladas para instalarlas de nuevo.
 Instalar las últimas actualizaciones de NT server. Hay que tener en cuenta que si el
servidor tiene algún problema la instalación de W2000 no tiene por qué resolverlo. El
visor de sucesos debería estar limpio de cualquier problema con el hardware.
 Mantener al menos un BDC con NT. Si no lo hay, instalarlo en un equipo nuevo.
 Es aconsejable hacer una imagen del disco del servidor a actualizar (en principio no es
estrictamente necesario).
 Forzar una sincronización totalmente el dominio y detener cualquier tarea programada
que pueda modificar información de usuarios, máquinas, etc. Comprobar en el visor de
sucesos que la sincronización se ha realizado sin problemas.
 Importante: Comprobar la configuración de red del PDC y que utiliza los servidores
DNS de UPVnet (ADARA  158.42.250.89 y ADIB  158.42.250.65).
 En el PDC es necesario conocer la contraseña de la cuenta local Administrador por si
hubiera algún problema. Si no se recuerda lo mejor es cambiarla.
 Iniciar la instalación de W2000 en el PDC. Después de la copia de archivos y la
configuración del hardware y servicios, el equipo se reiniciará y aparecerá un asistente
para la actualización del dominio. En este punto se recomienda cancelar el asistente e
instalar los servicios de terminal server o algún software de control remoto (VNC, por
ejemplo) para poder contar con asistencia desde el CPD.
 Reiniciar el equipo. Automáticamente se abrirá de nuevo el Asistente para Instalación
de Active Directory (DCPROMO).
5

Indicar que el dominio va a pertenecer a un árbol existente (upvnet.upv.es). A
continuación será necesario introducir una cuenta con permisos de administrador de
empresas en UPVNET. Para ello será necesario contactar con el personal del CPD
quienes además deberán también crear una nueva zona DNS para el dominio.
6

Introducir el nombre del nuevo dominio y como dominio principal indicar
upvnet.upv.es. El nombre completo quedará como dominio.upvnet.upv.es.
7

El resto de pasos del asistente hacen referencia a aspectos particulares del directorio
activo como la ubicación de los ficheros o los premisos predeterminados.
8
9
10
11





Comprobar que todo ha ido bien y que todos los usuarios y máquinas aparecen ahora en
“Usuarios y equipos de Active Directory”
Comprobar en el BDC que el equipo actualizado se ve como PDC y que se pueden
administrar usuarios y máquinas correctamente (a veces es necesario esperar unos
minutos a que funcione)
Comprobar que se ha creado la nueva zona DNS y que se han insertado los registros
correspondientes.
Comprobar que se mantienen las relaciones de confianza anteriores.
Comprobar que en el PDC se mantienen los scripts de inicio en el recurso
NETLOGON. Si se trata de un equipo nuevo, copiarlos desde cualquier BDC a la
carpeta:
\WINNT\Sysvol\domain\scripts
Creación de dominios nuevos
Lo primero que hay que tener en cuenta en este caso es que realmente existe la necesidad de
crear un dominio nuevo. Puede ser necesario en los siguientes casos:
 Hay que crear y administrar cuentas nuevas (cuentas para alumnos, visitantes,
proyectos, etc.)
 Hay que instalar alguna aplicación que requiere control sobre las cuentas y máquinas
del dominio o que necesita privilegios de administrador del dominio.
Y no es necesario en los siguientes:
 Administrar cuentas de usuarios que ya tienen una cuenta en UPVnet (en el DA se
pueden crear unidades organizativas que agrupen cuentas y cuyo control esté delegado a
ciertos usuarios).
 Instalar servidores para compartir recursos.
 Instalar aplicaciones que no ofrecen servicios que dependan del dominio, tales como un
servidor de web.
Los pasos a seguir a la hora de crear el nuevo dominio serían:
 Comprobar que la máquina que se va a emplear como controlador del dominio soporta
W2000 Server (no tiene ninguna incompatibilidad de hardware) y cumple los requisitos
mínimos aconsejables (P133MHz, 128Mb, 2Gb HD).
 Instalar Windows 2000 en el equipo que va a actuar como controlador del dominio.
12






Importante: Comprobar la configuración de red del PDC y que utiliza los servidores
DNS de UPVnet (ADARA  158.42.250.89 y ADIB  158.42.250.65).
Instalar los servicios de terminal server o algún software de control remoto (VNC, por
ejemplo) para poder contar con asistencia desde el CPD.
Ejecutar el asistente para promocionar a controlador de dominio (DCPromo.exe).
Indicar que el dominio va a pertenecer a un árbol existente (upvnet.upv.es). A
continuación será necesario introducir una cuenta con permisos de administrador de
empresas en UPVNET. Para ello será necesario contactar con el personal del CPD
quienes además deberán también crear una nueva zona DNS para el dominio.
Introducir el nombre del nuevo dominio y como dominio principal indicar
upvnet.upv.es. El nombre completo quedará como dominio.upvnet.upv.es.
Comprobar que todo funciona correctamente (se ha creado la nueva zona DNS, las
relaciones de confianza funcionan, etc.).
5. Configuración del DNS en dominios independientes
Para que el directorio activo funcione correctamente es importante que el servicio DNS esté
activo en alguno de los servidores en el momento de la creación del dominio. También es
importante configurarlo adecuadamente para que se integre con el resto de servidores de la
UPV. Lo más recomendable es poner en marcha el servicio en uno de los controladores (se
puede hacer en el momento de la instalación) y configurar las propiedades del TCP/IP de cada
uno de los controladores del dominio para que utilicen este DNS como primera opción.
Una vez creado el dominio, en la consola de administración del DNS debe aparecer como zona
de búsqueda directa la del propio dominio (en el caso del ejemplo upvnet.upv.es). Esta zona es
del tipo ‘Active-Directory integrado’ y esto significa que se actualiza dinámicamente con los
datos del directorio.
En el apartado de zonas de búsqueda directa también se pueden añadir otras zonas en las que se
actue como secundarios. Para esto es necesario que el administrador de los servidores de estas
otras zonas nos permita la transferencia a nuestro servidor.
13
La configuración de reenviadores hace que las peticiones que no se puedan resolver sean
redirigidas a los servidores DNS del Centro de Proceso de Datos. En este apartado hay que
añadir las direcciones 158.42.250.89 y 158.42.250.65. También hay que deshabilitar la casilla
de recursión para evitar que el servidor intente resolver las consultas por su cuenta cuando el
reenviador falle.
Las opciones de configuración avanzadas son las de defecto:
14
6. Problemas tras la migración a DA
En este apartado hemos recogido algunos de los problemas que hemos experimentado tras la
migración a un dominio con DA:
Problema
Equipos con W2000 o posterior tardan mucho en
iniciar sesión o dan problemas al inicio
Hay usuarios que inician sesión correctamente en
un W98 o W95 pero no pueden hacerlo desde
W2000 o WXP
Solución
Comprobar en la configuración de TCP/IP
que los servidores DNS son los correctos
Algunas contraseñas presentan problemas
con la autenticación mediante kerberos tras
la migración. Los inicios de sesión fallidos
generan un suceso en el DC. Se soluciona
cambiando la contraseña del usuario.
Los servicios para Macintosh dejan de funcionar Es nesario aplicar un parche que corrige
en un NT miembro del dominio
este problema y que se obtiene a través del
servicio técnico de Microsoft
No es posible añadir un equipo al dominio, Hay una directiva que por defecto limita a
aparece un error diciendo que se ha excedido el 10 el número de equipos que puede añadir
número máximo permitido.
un usuario. Para modificar esta directiva
hay que hacer uso de la utilidad LDP (ver
árticulo Q251335 del Technet)
15