Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para configurar una implementación multisitio, es necesario realizar algunos pasos para modificar la configuración de la infraestructura de red, como la configuración de otros sitios y controladores de dominio de Active Directory, grupos de seguridad adicionales y objetos de directiva de grupo (GPO) si no se usan GPO configurados automáticamente.
Tarea | Descripción |
---|---|
2.1. Configuración de sitios de Active Directory adicionales | Configure sitios de Active Directory adicionales para la implementación. |
2.2. Configuración de controladores de dominio adicionales | Configure controladores de dominio de Active Directory adicionales según sea necesario. |
2.3. Configurar grupos de seguridad | Configure grupos de seguridad para cualquier equipo cliente que ejecute Windows 7. |
2.4. Configurar GPO | Configure objetos de directiva de grupo adicionales según sea necesario. |
Nota
Este tema incluye cmdlets de Windows PowerShell de ejemplo que puede usar para automatizar algunos de los procedimientos descritos. Para obtener más información, consulte Uso de Cmdlets.
2.1. Configuración de sitios de Active Directory adicionales
Todos los puntos de entrada pueden estar en un mismo sitio de Active Directory. Por tanto, se requiere al menos un sitio de Active Directory para la implementación de servidores de acceso remoto en una configuración multisitio. Use este procedimiento si necesita crear el primer sitio de Active Directory o si desea utilizar sitios de Active Directory adicionales para la implementación multisitio. Use el complemento Sitios y servicios de Active Directory para crear nuevos sitios en la red de su organización.
Para poder realizar este procedimiento es necesario, como mínimo, pertenecer al grupo Administradores de empresas del bosque o al grupo Administradores del dominio en el dominio raíz del bosque o equivalente. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en Grupos predeterminados de dominio y local.
Para obtener más información, consulte Adición de un sitio al bosque.
Para configurar sitios de Active Directory adicionales
En el controlador de dominio principal, haga clic en Iniciar y elija Sitios y servicios de Active Directory.
En la consola de Sitios y servicios de Active Directory, en el árbol de consola, haga clic con el botón derecho en Sitios y elija Nuevo sitio.
En el cuadro de diálogo Nuevo objeto: Sitio, en el cuadro Nombre, escriba un nombre para el nuevo sitio.
En Nombre de vínculo, haga clic en un objeto de vínculo de sitio y elija Aceptar dos veces.
En el árbol de consola, expanda Sitios, haga clic con el botón derecho en Subredes y elija Nueva subred.
En el cuadro de diálogo Nuevo objeto: Subred, en Prefijo, escriba el prefijo de subred IPv4 o IPv6. En la lista Seleccionar un sitio de objeto para este prefijo, haga clic en el sitio que desea asociar a esta subred y elija Aceptar.
Repita los pasos 5 y 6 hasta que haya creado todas las subredes necesarias en la implementación.
Cierre Sitios y servicios de Active Directory.
Comandos de Windows PowerShell equivalentes
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
Para instalar la característica de Windows "Módulo de Active Directory para Windows PowerShell":
Install-WindowsFeature "Name RSAT-AD-PowerShell
O bien agregue el complemento "Active Directory PowerShell " a través de Características opcionales.
Si ejecuta los siguientes cmdlets en Windows 7" o Windows Server 2008 R2, debe importar el módulo Active Directory PowerShell:
Import-Module ActiveDirectory
Para configurar un sitio de Active Directory denominado "Second-Site" con el vínculo DEFAULTIPSITELINK integrado:
New-ADReplicationSite -Name "Second-Site"
Set-ADReplicationSiteLink -Identity "DEFAULTIPSITELINK" -sitesIncluded @{Add="Second-Site"}
Para configurar subredes IPv4 e IPv6 para Second-Site:
New-ADReplicationSubnet -Name "10.2.0.0/24" -Site "Second-Site"
New-ADReplicationSubnet -Name "2001:db8:2::/64" -Site "Second-Site"
2.2. Configuración de controladores de dominio adicionales
Para configurar una implementación multisitio en un solo dominio, se recomienda tener al menos un controlador de dominio que admita escritura para cada sitio de la implementación.
Para llevar a cabo este procedimiento debe ser miembro al menos del grupo Administradores del dominio en el dominio donde está instalando el controlador de dominio.
Para obtener más información, consulte Instalación de un controlador de dominio adicional.
Para configurar controladores de dominio adicionales
En el servidor que actuará como controlador de dominio, en Administrador del servidor, en el Panel, haga clic en Agregar roles y características.
Haga clic en Siguiente tres veces para ir a la pantalla de selección de roles del servidor.
En la página Seleccionar roles de servidor, elija Active Directory Domain Services. Haga clic en Agregar características cuando se le solicite y, después, haga clic en Siguiente tres veces.
En la página Confirmación, haz clic en Instalar.
Cuando la instalación se complete correctamente, haga clic en Promover este servidor a controlador de dominio.
En el Asistente para configuración de Active Directory Domain Services, en la página Configuración de implementación, haga clic en Agregar un controlador de dominio a un dominio existente.
En Dominio, escriba el nombre del dominio; por ejemplo, corp.contoso.com.
En Proporcionar las credenciales para realizar esta operación haga clic en Cambiar. En el cuadro de diálogo Seguridad de Windows, escriba el nombre de usuario y la contraseña de una cuenta que pueda instalar el controlador de dominio adicional. Para instalar un controlador de dominio adicional, debe ser miembro del grupo Administradores de empresas o del grupo Administradores de dominio. Cuando termine de proporcionar las credenciales, haga clic en Siguiente.
En la página Opciones del controlador de dominio, haga lo siguiente:
Realice las selecciones siguientes:
Servidor de Sistema de nombres de dominio (DNS): esta opción está activada de forma predeterminada para que el controlador de dominio pueda funcionar como un servidor de Sistema de nombres de dominio (DNS). Si no desea que el controlador de dominio sea un servidor DNS, desactive esta opción.
Si el rol de servidor DNS no está instalado en el emulador del controlador de dominio principal (PDC) en el dominio raíz del bosque, la opción para instalar el servidor DNS en un controlador de dominio adicional no está disponible. Como solución alternativa en esta situación, puede instalar el rol de servidor DNS antes o después de la instalación de AD DS.
Nota
Si selecciona la opción para instalar el servidor DNS, puede recibir un mensaje indicando que no se pudo crear una delegación DNS para el servidor DNS y que debe crear manualmente la delegación en el servidor DNS para garantizar una resolución de nombres confiable. Si va a instalar un controlador de dominio adicional en el dominio raíz del bosque o en un dominio raíz de árbol, no tiene que crear la delegación DNS. En este caso, haga clic en Sí e ignore el mensaje.
Catálogo global (GC): esta opción está seleccionada de forma predeterminada. Agregue el catálogo global y las particiones del directorio de solo lectura al controlador de dominio, y activa la funcionalidad de búsqueda del catálogo global.
Controlador de dominio de solo lectura (RODC): esta opción no está seleccionada de forma predeterminada. Hace que el controlador de dominio adicional sea de solo lectura, es decir, convierte el controlador de dominio en un RODC.
En Nombre del sitio, seleccione un sitio de la lista.
En Escribir contraseña de modo de restauración de servicios de directorio (DSRM), en Contraseña y Confirmar contraseña, escriba una contraseña segura dos veces y haga clic en Siguiente. Esta contraseña debe usarse para iniciar AD DS en DSRM para las tareas que deben realizarse sin conexión.
En la página Opciones de DNS, seleccione la casilla Actualizar delegación DNS si desea actualizar la delegación DNS durante la instalación del rol y haga clic en Siguiente.
En la página Opciones adicionales, escriba o busque la ubicación de volumen y carpeta del archivo de base de datos, los archivos de registro del servicio de directorio y los archivos de volumen del sistema (SYSVOL). Especifique las opciones de replicación según sea necesario y haga clic en Siguiente.
En la página Revisar opciones, revise las opciones de instalación y haga clic en Siguiente.
En la página Comprobación de requisitos previos, una vez validados los requisitos previos, haga clic en Instalar.
Espere hasta que el asistente complete la configuración y haga clic en Cerrar.
Reinicie el equipo si no lo hace automáticamente.
2.3. Configurar grupos de seguridad
Una implementación multisitio requiere un grupo de seguridad adicional para los equipos cliente que ejecutan Windows 7, para cada punto de entrada de la implementación que permita el acceso a los equipos cliente con Windows 7. Si hay varios dominios que contienen equipos cliente con Windows 7, se recomienda crear un grupo de seguridad en cada dominio para el mismo punto de entrada. Como alternativa, se puede usar un grupo de seguridad universal que contenga los equipos cliente de ambos dominios. Por ejemplo, en un entorno con dos dominios, si quiere permitir el acceso a los equipos cliente que ejecutan Windows 7 en los puntos de entrada 1 y 3, pero no en el punto de entrada 2, cree dos nuevos grupos de seguridad para que contengan los equipos cliente con Windows 7 para cada punto de entrada de cada uno de los dominios.
Para configurar grupos de seguridad adicionales
En el controlador de dominio principal, haga clic en Iniciar y seleccione Usuarios y equipos de Active Directory.
En el árbol de consola, haga clic con el botón derecho en la carpeta en la que desea agregar un nuevo grupo, por ejemplo, corp.contoso.com/Users. Elija Nuevo y haga clic en Grupo.
En el cuadro de diálogo Nuevo objeto: Grupo, en Nombre de grupo, escriba el nombre del nuevo grupo, por ejemplo, Win7_Clients_Entrypoint1.
En Ámbito de grupo, haga clic en Universal; en Tipo de grupo, haga clic en Seguridad y elija Aceptar.
Para agregar equipos al nuevo grupo de seguridad, haga doble clic en el grupo de seguridad y, en el cuadro de diálogo Propiedades de <Group_Name>, haga clic en la pestaña Miembros.
En la pestaña Miembros, haga clic en Agregar.
Seleccione los equipos que ejecutan Windows 7 que desea agregar a este grupo de seguridad y haga clic en Aceptar.
Repita este procedimiento para crear un grupo de seguridad para cada punto de entrada según sea necesario.
Comandos de Windows PowerShell equivalentes
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
Para instalar la característica de Windows "Módulo de Active Directory para Windows PowerShell":
Install-WindowsFeature "Name RSAT-AD-PowerShell
O bien agregue el complemento "Active Directory PowerShell " a través de Características opcionales.
Si ejecuta los siguientes cmdlets en Windows 7" o Windows Server 2008 R2, debe importar el módulo Active Directory PowerShell:
Import-Module ActiveDirectory
Para configurar un grupo de seguridad denominado Win7_Clients_Entrypoint1 y agregar un equipo cliente denominado CLIENT2:
New-ADGroup -GroupScope universal -Name Win7_Clients_Entrypoint1
Add-ADGroupMember -Identity Win7_Clients_Entrypoint1 -Members CLIENT2$
2.4. Configurar GPO
Una implementación de acceso remoto multisitio requiere los siguientes objetos de directiva de grupo (GPO):
Un GPO para cada punto de entrada del servidor de acceso remoto.
Un GPO para cualquier equipo cliente con Windows 8 para cada dominio.
Un GPO en cada dominio que contenga equipos cliente con Windows 7 para cada punto de entrada configurado para admitir clientes Windows 7.
Nota
Si no tiene ningún equipo cliente que ejecute Windows 7, no es necesario crear GPO para equipos con Windows 7.
Al configurar el acceso remoto, el asistente crea automáticamente los objetos de directiva de grupo necesarios si no existen aún. Si no tiene los permisos necesarios para crear objetos de directiva de grupo, deben crearse antes de configurar el acceso remoto. El administrador de DirectAccess debe tener permisos completos en los GPO (editar, modificar la seguridad y eliminar).
Importante
Después de crear manualmente los GPO para el acceso remoto, debe dejar el tiempo suficiente para la replicación de Active Directory y DFS en el controlador de dominio del sitio de Active Directory asociado al servidor de acceso remoto. Si el acceso remoto ha creado automáticamente los objetos de directiva de grupo, no es necesario esperar.
Para crear objetos de directiva de grupo, consulte Crear y editar un objeto de directiva de grupo.
Mantenimiento y tiempo de inactividad de los controladores de dominio
Cuando un controlador de dominio que se ejecuta como emulador de PDC o controladores de dominio que administran GPO de servidor experimentan tiempo de inactividad, no es posible cargar ni modificar la configuración de acceso remoto. Esto no afecta a la conectividad de cliente si hay otros controladores de dominio disponibles.
Para cargar o modificar la configuración de acceso remoto, puede transferir el rol del emulador de PDC a otro controlador de dominio para los GPO de cliente o servidor de aplicaciones. Para los GPO de servidor, cambie los controladores de dominio que administran los GPO de servidor.
Importante
Solo un administrador de dominio puede realizar esta operación. El efecto de cambiar el controlador de dominio principal no se limita al acceso remoto; por tanto, tenga cuidado cuando transfiera el rol del emulador de PDC.
Nota
Antes de modificar la asociación de controlador de dominio, asegúrese de que todos los GPO de la implementación de acceso remoto se hayan replicado en todos los controladores del dominio. Si un GPO no se sincroniza, los cambios de configuración recientes se pueden perder después de modificar la asociación de controlador de dominio, lo que puede dañar la configuración. Para comprobar la sincronización del GPO, consulte Comprobación del estado de la infraestructura de directiva de grupo.
Para transferir el rol del emulador de PDC
En la pantalla Inicio, escriba gpedit.msc y presione ENTRAR.
En el panel izquierdo de la consola de Usuarios y equipos de Active Directory, haga clic con el botón derecho en Usuarios y equipos de Active Directory y elija Cambiar controlador de dominio. En el cuadro de diálogo Cambiar servidor de directorio, haga clic en Este controlador de dominio o instancia de AD LDS. En la lista, seleccione el controlador de dominio que será el nuevo titular del rol y haga clic en Aceptar.
Nota
Debe realizar este paso si no está en el controlador de dominio al que desea transferir el rol. No realice este paso si ya está conectado al controlador de dominio al que desea transferir el rol.
En el árbol de consola, haga clic con el botón derecho en Usuarios y equipos de Active Directory, seleccione Todas las tareas y haga clic en Maestros de operaciones.
En el cuadro de diálogo Maestros de operaciones, haga clic en la pestaña PDC y elija Cambiar.
Haga clic en Sí para confirmar que desea transferir el rol y seleccione Cerrar.
Para cambiar el controlador de dominio que administra los GPO de servidor
Ejecute el cmdlet set-DAEntryPointDC de Windows PowerShell en el servidor de acceso remoto y especifique el nombre del controlador de dominio inaccesible para el parámetro ExistingDC. Este comando modifica la asociación de controlador de dominio para los GPO de servidor de los puntos de entrada que actualmente administra ese controlador de dominio.
Para reemplazar el controlador de dominio inaccesible "dc1.corp.contoso.com" por el controlador de dominio "dc2.corp.contoso.com", haga lo siguiente:
Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "NewDC 'dc2.corp.contoso.com' "ErrorAction Inquire
Para reemplazar el controlador de dominio inaccesible "dc1.corp.contoso.com" por un controlador de dominio del sitio de Active Directory más cercano al servidor de acceso remoto "DA1.corp.contoso.com", haga lo siguiente:
Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire
Cambio de dos o más controladores de dominio que administran GPO de servidor
En un número mínimo de casos, dos o más controladores de dominio que administran GPO de servidor no están disponibles. Si esto ocurre, se requieren más pasos para cambiar la asociación de controlador de dominio para los GPO del servidor.
La información de asociación de controlador de dominio se almacena tanto en el Registro de los servidores de acceso remoto como en todos los GPO de servidor. En el ejemplo siguiente, hay dos puntos de entrada con dos servidores de acceso remoto, "DA1" en "Punto de entrada 1" y "DA2" en "Punto de entrada 2". El GPO de servidor de "Punto de entrada 1" se administra en el controlador de dominio "DC1", mientras que el GPO de servidor de "Punto de entrada 2" se administra en el controlador de dominio "DC2". "DC1" y "DC2" no están disponibles. Un tercer controlador de dominio, "DC3", sigue estando disponible en el dominio y los datos de "DC1" y "DC2" ya se han replicado en "DC3".
Para cambiar dos o más controladores de dominio que administran GPO de servidor
Para reemplazar el controlador de dominio no disponible "DC2" por el controlador de dominio "DC3", ejecute el siguiente comando:
Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction Continue
Este comando actualiza la asociación de controlador de dominio para el GPO de servidor "Punto de entrada 2" en el Registro de DA2 y en el propio GPO de servidor "Punto de entrada 2". Sin embargo, no actualiza el GPO de servidor "Punto de entrada 1", porque el controlador de dominio que lo administra no está disponible.
Sugerencia
Este comando usa el valor Continue para el parámetro ErrorAction, que actualiza el GPO de servidor "Punto de entrada 2" a pesar del error al actualizar el GPO de servidor "Punto de entrada 1".
La configuración resultante se muestra en el siguiente diagrama.
Para reemplazar el controlador de dominio no disponible "DC1" por el controlador de dominio "DC3", ejecute el siguiente comando:
Set-DAEntryPointDC "ExistingDC 'DC1' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction Continue
Este comando actualiza la asociación de controlador de dominio para el GPO de servidor "Punto de entrada 1" en el Registro de DA1 y en los GPO de servidor "Punto de entrada 1" y "Punto de entrada 2". La configuración resultante se muestra en el siguiente diagrama.
Para sincronizar la asociación de controlador de dominio para el GPO de servidor "Punto de entrada 2" en el GPO de servidor "Punto de entrada 1", ejecute el comando para reemplazar "DC2" por "DC3" y especifique el servidor de acceso remoto cuyo GPO de servidor no está sincronizado, en este caso "DA1", para el parámetro ComputerName.
Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA1' "ErrorAction Continue
La configuración final se muestra en el siguiente diagrama.
Optimización de la distribución de la configuración
Cuando se modifica la configuración, los cambios solo se aplican después de que los GPO de servidor se han propagado a los servidores de acceso remoto. Para reducir el tiempo de distribución de la configuración, Acceso remoto selecciona automáticamente un controlador de dominio que admite escritura que está más cerca del servidor de acceso remoto cuando se crea su GPO de servidor.
En algunos escenarios, puede ser necesario modificar manualmente el controlador de dominio que administra un GPO de servidor para optimizar el tiempo de distribución de la configuración:
No había controladores de dominio que admitieran escritura en el sitio de Active Directory de un servidor de acceso remoto en el momento de agregarlo como punto de entrada. Ahora se agrega un controlador de dominio que admite escritura al sitio de Active Directory del servidor de acceso remoto.
Un cambio de dirección IP o un cambio de sitios y subredes de Active Directory puede haber movido el servidor de acceso remoto a otro sitio de Active Directory.
La asociación de controlador de dominio para un punto de entrada se modificó manualmente debido a un trabajo de mantenimiento en un controlador de dominio y ahora el controlador de dominio vuelve a estar en línea.
En estos escenarios, ejecute el cmdlet Set-DAEntryPointDC
de PowerShell en el servidor de acceso remoto y especifique el nombre del punto de entrada que desea optimizar con el parámetro EntryPointName. Esto debe hacerlo solamente después de que los datos del GPO del controlador de dominio que almacena actualmente el GPO del servidor se hayan replicado completamente en el nuevo controlador de dominio.
Nota
Antes de modificar la asociación de controlador de dominio, asegúrese de que todos los GPO de la implementación de acceso remoto se hayan replicado en todos los controladores del dominio. Si un GPO no se sincroniza, los cambios de configuración recientes se pueden perder después de modificar la asociación de controlador de dominio, lo que puede dañar la configuración. Para comprobar la sincronización del GPO, consulte Comprobación del estado de la infraestructura de directiva de grupo.
Para optimizar el tiempo de distribución de la configuración, realice una de las siguientes acciones:
Para administrar el GPO de servidor de "Punto de entrada 1" en un controlador de dominio del sitio de Active Directory más cercano al servidor de acceso remoto "DA1.corp.contoso.com", ejecute el siguiente comando:
Set-DAEntryPointDC "EntryPointName 'Entry point 1' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire
Para administrar el GPO de servidor de "Punto de entrada 1" en el controlador de dominio "dc2.corp.contoso.com", ejecute el siguiente comando:
Set-DAEntryPointDC "EntryPointName 'Entry point 1' "NewDC 'dc2.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire
Nota
Cuando modifique el controlador de dominio asociado a un punto de entrada específico, debe indicar un servidor de acceso remoto que sea miembro de ese punto de entrada para el parámetro ComputerName.