Compartir vía

Advanced AD DS Management Using Active Directory Administrative Center (Level 200)

En este artículo se describe con detalle el Centro de administración de Active Directory actualizado, con la nueva papelera de reciclaje de Active Directory, la directiva de contraseña específica y el Visor del historial de Windows PowerShell, e incluye la arquitectura, ejemplos de tareas comunes e información sobre solución de problemas. Para ver una introducción, consulta Introducción a las mejoras del Centro de administración de Active Directory (Nivel 100).

Arquitectura del Centro de administración de Active Directory

Archivos DLL y ejecutables del Centro de administración de Active Directory

Los módulos y la arquitectura subyacente del Centro de administración de Active Directory no han cambiado con las nuevas funcionalidades de papelera de reciclaje, FGPP y visor del historial.

  • Microsoft.ActiveDirectory.Management.UI.dll
  • Microsoft.ActiveDirectory.Management.UI.resources.dll
  • Microsoft.ActiveDirectory.Management.dll
  • Microsoft.ActiveDirectory.Management.resources.dll
  • ActiveDirectoryPowerShellResources.dll

A continuación se ilustran la capa de operaciones y de Windows PowerShell subyacentes de la nueva funcionalidad de papelera de reciclaje:

Ilustración en la que se muestran la capa de operaciones y de Windows PowerShell subyacentes de la nueva funcionalidad de papelera de reciclaje.

Habilitar y administrar la papelera de reciclaje de Active Directory mediante el Centro de administración de Active Directory

Funcionalidades

  • El Centro de administración de Active Directory de Windows Server 2012 y versiones posteriores permite configurar y administrar la papelera de reciclaje de Active Directory para cualquier partición de dominio de un bosque. Ya no es necesario usar Windows PowerShell o Ldp.exe para habilitar la papelera de reciclaje de Active Directory o restaurar objetos en particiones de dominio.
  • El Centro de administración de Active Directory tiene criterios de filtrado avanzados que facilitan la restauración específica en entornos grandes en los que muchos objetos se eliminan intencionadamente.

Limitaciones

  • Debido a que el Centro de administración de Active Directory solo puede administrar particiones de dominio, no puede restaurar objetos eliminados de las particiones Configuración, DNS de dominio o DNS de bosque (no puedes eliminar objetos de la partición Esquema). Para restaurar objetos de particiones que no son de dominio, use Restore-ADObject.

  • El Centro de administración de Active Directory no puede restaurar subárboles de objetos en una sola acción. Por ejemplo, si elimina una unidad organizativa (OU) con OU anidadas, usuarios, grupos y equipos, al restaurar la OU de base no se restauran los objetos secundarios.

    Nota:

    La operación de restauración por lotes del Centro de administración de Active Directory hace la mejor clasificación posible de los objetos eliminados solo dentro de la selección, de manera que los elementos primarios se ordenan antes que los elementos secundarios en la lista de restauración. En casos de pruebas sencillos, los subárboles de objetos se pueden restaurar en una sola acción. Pero esto puede que no funcione como se espera en casos más complejos, como una selección que contiene árboles parciales (árboles en los que faltan algunos de los nodos primarios eliminados) o en casos de error (como cuando se omiten los objetos secundarios en caso de error de los objetos primarios). Por este motivo, debes restaurar siempre los subárboles de objetos en una acción diferente después de restaurar los objetos primarios.

La papelera de reciclaje de Active Directory necesita un nivel funcional de bosque de Windows Server 2008 R2 y requiere que sea miembro del grupo de administradores de la empresa. Una vez habilitada, la papelera de reciclaje de Active Directory no se puede deshabilitar. La papelera de reciclaje de Active Directory aumenta el tamaño de la base de datos de Active Directory (NTDS.DIT) en todos los controladores de dominio del bosque. El espacio en disco que usa la papelera de reciclaje continúa aumentando con el tiempo porque conserva los objetos y todos sus datos de atributos.

Habilitar la papelera de reciclaje de Active Directory mediante el Centro de administración de Active Directory

Para habilitar la papelera de reciclaje de Active Directory, abra el Centro de administración de Active Directory y haga clic en el nombre del bosque en el panel de navegación. En el panel Tareas, seleccione Habilitar papelera de reciclaje.

Captura de pantalla en la que se muestra cómo habilitar la papelera de reciclaje en el Centro de administración de Active Directory.

El Centro de administración de Active Directory muestra el cuadro de diálogo Habilitar confirmación de papelera de reciclaje. Este cuadro de diálogo avisa de que la operación para habilitar la papelera de reciclaje es irreversible. Seleccione Aceptar para habilitar la papelera de reciclaje de Active Directory. El Centro de administración de Active Directory muestra otro cuadro de diálogo para recordarte que la papelera de reciclaje de Active Directory no será completamente funcional hasta que todos los controladores de dominio repliquen el cambio de configuración.

Importante

La opción para habilitar la papelera de reciclaje de Active Directory no está disponible si:

  • El nivel funcional del bosque es inferior a Windows Server 2008 R2.
  • Ya está habilitada.

El cmdlet de Windows PowerShell para Active Directory equivalente es:

Enable-ADOptionalFeature

Para obtener más información sobre cómo usar Windows PowerShell para habilitar la papelera de reciclaje de Active Directory, consulte la Guía paso a paso de la papelera de reciclaje de Active Directory.

Administrar la papelera de reciclaje de Active Directory mediante el Centro de administración de Active Directory

En esta sección se utiliza el ejemplo de un dominio existente con nombre corp.contoso.com. Este dominio organiza los usuarios en una OU primaria llamada UserAccounts. La OU UserAccounts contiene tres OU secundarias con los nombres de departamento, que a su vez contienen otras OU, usuarios y grupos.

Captura de pantalla en la que se muestra un ejemplo de un dominio existente.

Almacenamiento y filtrado

La papelera de reciclaje de Active Directory conserva todos los objetos eliminados en el bosque. Guarda estos objetos según el atributo msDS-deletedObjectLifetime que, de forma predeterminada, está establecido para que coincida con el atributo tombstoneLifetime del bosque. En cualquier bosque creado usando Windows Server 2003 SP1 o posterior, el valor de tombstoneLifetime está establecido en 180 días de forma predeterminada. En los bosques actualizados desde Windows 2000 o instalados con Windows Server 2003 (sin Service Pack), el atributo tombstoneLifetime predeterminado NO ESTÁ ESTABLECIDO y, por lo tanto, Windows usa el valor interno predeterminado de 60 días. Todo esto se puede configurar. Puede usar el Centro de administración de Active Directory para restaurar los objetos eliminados de las particiones de dominio del bosque. Debe seguir usando el cmdlet Restore-ADObject para restaurar objetos eliminados de otras particiones, como Configuration. Al habilitar la papelera de reciclaje de Active Directory, el contenedor de objetos eliminados es visible en todas las particiones de dominio del Centro de administración de Active Directory.

Captura de pantalla en la que está resaltado el contenedor Objetos eliminados.

El contenedor Objetos eliminados muestra todos los objetos restaurables en la partición de dominio. Los objetos eliminados anteriores a msDS-deletedObjectLifetime se conocen como objetos reciclados. El Centro de administración de Active Directory no muestra los objetos reciclados y estos objetos no se pueden restaurar usando el Centro de administración de Active Directory.

Para obtener una explicación detallada de la arquitectura y las reglas de procesamiento de la papelera de reciclaje, consulte La papelera de reciclaje de AD: Descripción, implementación, procedimientos recomendados y solución de problemas.

El Centro de administración de Active Directory limita artificialmente a 20.000 el número predeterminado de objetos que se devuelven de un contenedor. Puedes aumentar este límite hasta 100.000 objetos haciendo clic en el menú Administrar y, después, Opciones de la lista de administración.

Captura de pantalla en la que se muestra cómo aumentar el límite del número de objetos que se devuelven desde un contenedor mediante la opción de menú Opciones de la lista de administración.

Restauración

Filtros

El Centro de administración de Active Directory ofrece unos criterios y unas opciones de filtrado eficaces con las que debes familiarizarte antes de que necesites usarlas en una restauración real. Los dominios eliminan intencionadamente muchos objetos a lo largo de su ciclo de vida. Con una vida útil probable de los objetos eliminados de 180 días, no se pueden restaurar todos los objetos cuando se produce un accidente.

Captura de pantalla en la que se muestran las opciones de filtrado disponibles durante una restauración.

En lugar de escribir complejos filtros LDAP y convertir valores de UTC en fechas y horas, usa el menú Filtro avanzado y básico para mostrar solo los objetos relevantes. Si sabes el día de la eliminación, el nombre de los objetos y otros datos clave, usa esa información para ayudarte a filtrar. Para activar o desactivar las opciones avanzadas de filtro, haz clic en el botón de contenido adicional, a la derecha del cuadro de búsqueda.

La operación de restauración admite todas las opciones de criterios de filtrado, igual que cualquier otra búsqueda. De los filtros integrados, los importantes para restaurar objetos suelen ser:

  • ANR (resolución de nombres ambiguos; no incluido en el menú pero se usa cuando se escribe en el cuadro Filtro)
  • Última modificación entre las fechas indicadas
  • El tipo de objeto es usuario, inetOrgPerson, equipo, grupo o unidad organizativa
  • Nombre
  • Al eliminar
  • Principal último conocido
  • Tipo
  • Descripción
  • City
  • País o región
  • department
  • Id. de empleado
  • Nombre
  • Puesto
  • Apellidos
  • Nombre de cuenta de SAM
  • Estado o provincia
  • Número de teléfono
  • UPN (Nombre principal de usuario)
  • Código postal

Puedes agregar varios criterios. Por ejemplo, puede buscar todos los objetos de usuario que se eliminaron el 24 de septiembre de 2012 de Chicago, Illinois, con un puesto de Director.

También puedes agregar, modificar o reordenar los encabezados de columna para proporcionar más información a la hora de evaluar qué objetos se van a recuperar.

Captura de pantalla en la que se muestra dónde se puede también agregar, modificar o reordenar los encabezados de columna para proporcionar más información a la hora de evaluar qué objetos se van a recuperar.

Para obtener más información sobre la resolución de nombres ambiguos (ANR), consulte Atributos de ANR.

Objeto único

La restauración de objetos eliminados siempre ha sido una operación única. El Centro de administración de Active Directory facilita esa operación. Para restaurar un objeto eliminado, como un único usuario:

  1. Seleccione en el nombre de dominio en el panel de navegación del Centro de administración de Active Directory.
  2. Haz doble clic en Objetos eliminados en la lista de administración.
  3. Haga clic con el botón derecho en el objeto y seleccione Restaurar o seleccione Restaurar en el panel Tareas.

El objeto se restaura a su ubicación original.

Captura de pantalla en la que se resalta el menú que se usa para restaurar un objeto en su ubicación original.

Seleccione Restaurar a... para cambiar la ubicación de restauración. Esto es útil si el contenedor primario del objeto eliminado también se eliminó pero no quiere restaurar el primario.

Captura de pantalla en la que se muestra dónde se puede restaurar un objeto sin restaurar el elemento primario.

Varios objetos del mismo nivel

Puedes restaurar varios objetos del mismo nivel, como todos los usuarios de una OU. Mantenga pulsada la tecla CTRL y seleccione uno o varios de los objetos eliminados que quiere restaurar. Seleccione Restaurar en el panel Tareas. Para seleccionar todos los objetos mostrados, presiona las teclas CTRL y A, o para seleccionar un intervalo de objetos, presiona MAYÚS y haz clic.

Captura de pantalla en la que se muestra la restauración de varios proyectos del mismo nivel.

Varios objetos primarios y secundarios

Es fundamental comprender el proceso de restauración para una restauración de varios objetos primarios y secundarios porque el Centro de administración de Active Directory no puede restaurar un árbol anidado de objetos eliminados con una única acción.

  1. Restaura el objeto eliminado situado más arriba en un árbol.
  2. Restaura los secundarios inmediatos de ese objeto primario.
  3. Restaura los secundarios inmediatos de esos objetos primarios.
  4. Repite las veces que sea necesario hasta restaurar todos los objetos.

No puede restaurar un objeto secundario antes de restaurar su primario. Intentar esta restauración devuelve el siguiente error:

The operation could not be performed because the object's parent is either uninstantiated or deleted.

El atributo Principal último conocido muestra la relación primaria de cada objeto. El atributo Principal último conocido cambia de la ubicación eliminada a la ubicación restaurada cuando se actualiza el Centro de administración de Active Directory después de restaurar un objeto primario. Por lo tanto, puede restaurar ese objeto secundario cuando la ubicación de un objeto primario ya no muestra el nombre distintivo del contenedor de objetos eliminados.

Piensa en un escenario en el que un administrador elimina accidentalmente la OU Sales, que contiene OU secundarias y usuarios.

Primero, observe que el valor del atributo Principal último conocido de todos los usuarios eliminados indica OU=Sales\0ADEL:<guid+nombre distintivo del contenedor de objetos eliminados>:

Captura de pantalla en la que se resalta el valor del atributo Principal último conocido.

Filtra por el nombre ambiguo Sales para devolver la OU eliminada, que puedes restaurar:

Captura de pantalla en la que se muestra la opción de menú Restaurar.

Actualice el Centro de administración de Active Directory para ver cómo el atributo Principal último conocido del objeto de usuario eliminado cambia al nombre distintivo de la unidad organizativa Sales restaurada:

Captura de pantalla en la que se resalta dónde se puede ver cómo el atributo Principal último conocido del objeto de usuario eliminado cambia al nombre distintivo de la unidad organizativa Sales restaurada.

Filtra todos los usuarios de Sales. Mantenga pulsadas las teclas CTRL + A para seleccionar todos los usuarios de Sales eliminados. Seleccione Restaurar para mover los objetos del contenedor Objetos eliminados a la OU Sales con sus pertenencias a grupos y atributos intactos.

Captura de pantalla en la que se muestran los objetos seleccionados y el progreso a medida que se mueven del contenedor Objetos eliminados a la unidad organizativa Sales.

Si la OU Sales contenía a su vez OU secundarias, restaurarías primero las OU secundarias antes de restaurar sus secundarias, y así sucesivamente.

Para restaurar todos los objetos eliminados anidados especificando un contenedor principal eliminado, consulte el Apéndice B: Restaurar varios objetos eliminados de Active Directory (script de ejemplo).

El cmdlet de Active Directory Windows PowerShell para restaurar objetos eliminados es:

Restore-ADObject

La funcionalidad del cmdlet Restore-ADObject no cambió de Windows Server 2008 R2 a Windows Server 2012.

Filtrado del lado del servidor

Es posible que, con el tiempo, el contenedor de objetos eliminados acumule más de 20.000 (o incluso 100.000) objetos en organizaciones de tamaño medio y grande, y que tenga dificultades para mostrarlos todos. Como el mecanismo de filtrado en el Centro de administración de Active Directory usa el filtrado del lado del cliente, no puede mostrar estos objetos adicionales. Para evitar esta limitación, sigue estos pasos para realizar una búsqueda del lado del servidor:

  1. Haga clic con el botón derecho en el contenedor Objetos eliminados y seleccione Buscar en este nodo.
  2. Seleccione el botón de contenido adicional para exponer el menú +Agregar criterios, seleccione +Agregar y agregue Última modificación entre las fechas indicadas. La hora de Última modificación (el atributo whenChanged ) es una aproximación cercana a la hora de eliminación; en la mayoría de los entornos, es idéntica. Esta consulta realiza una búsqueda en el lado del servidor.
  3. Busca los objetos eliminados que quieres restaurar usando más filtrado y ordenación, entre otros, en los resultados mostrados, y restáuralos normalmente.

Configurar y administrar directivas de contraseña específica mediante el Centro de administración de Active Directory

Configurar directivas de contraseña específica

El Centro de administración de Active Directory permite crear y administrar objetos de directiva de contraseña específica (FGPP). Windows Server 2008 incorporó la característica FGPP pero Windows Server 2012 tiene la primera interfaz gráfica de administración para ella. Las directivas de contraseña específica se aplican en el nivel del dominio y permiten invalidar la contraseña de dominio única que Windows Server 2003 necesita. Creando diferentes FGPP con diferentes configuraciones, cada usuario o grupo obtiene diferentes directivas de contraseña en un dominio.

Para obtener más información sobre la directiva de contraseña específica, consulte la Guía paso a paso para la configuración de directivas de bloqueo de cuenta y contraseña específica de AD DS (Windows Server 2008 R2).

En el panel Navegación, seleccione Vista de árbol, seleccione el dominio, Sistema, Contenedor de configuración de contraseñas, en el panel Tareas, seleccione Nuevo y Configuración de contraseña.

Captura de pantalla en la que se muestra dónde se puede agregar la nueva configuración de contraseña.

Administrar directivas de contraseña específica

Al crear una nueva FGPP o editar una existente, se abre el editor Configuración de contraseña. Aquí puedes configurar todas las directivas de contraseña que quieras, como harías en Windows Server 2008 o Windows Server 2008 R2, solo que ahora con un editor creado específicamente para ello.

Captura de pantalla en la que se muestra el editor de configuración de contraseñas para crear o editar directivas de contraseña específicas.

Rellene todos los campos necesarios (asterisco rojo) y los campos opcionales, y haga clic en Agregar para establecer los usuarios o grupos que reciben esta directiva. FGPP invalida la configuración de directiva de dominio predeterminada para las entidades de seguridad especificadas. En la figura anterior, una directiva restrictiva se aplica solo a la cuenta Administrador integrada, para evitar riesgos. La directiva es demasiado compleja para que los usuarios estándar la cumplan, pero es perfecta para cuentas de alto riesgo que usan solo los profesionales de TI.

También se establece la prioridad y a qué usuarios y grupos se aplica la directiva en un dominio determinado.

Captura de pantalla en la que se muestra dónde se puede establecer la precedencia y a qué usuarios y grupos se aplica la directiva en un dominio determinado.

Los cmdlets de Active Directory Windows PowerShell para la directiva de contraseña específica son:

Add-ADFineGrainedPasswordPolicySubject
Get-ADFineGrainedPasswordPolicy
Get-ADFineGrainedPasswordPolicySubject
New-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicySubject
Set-ADFineGrainedPasswordPolicy

La funcionalidad del cmdlet para la directiva de contraseña específica no cambió de Windows Server 2008 R2 a Windows Server 2012. Por comodidad, el siguiente diagrama ilustra los argumentos asociados para los cmdlets:

Ilustración en la que se muestran los argumentos asociados para los cmdlets.

El Centro de administración de Active Directory también permite encontrar el conjunto resultante de FGPP aplicadas para un usuario específico. Haga clic con el botón derecho en cualquier usuario y seleccione Ver la configuración de contraseña resultante... para abrir la página Configuración de contraseña que se aplica a ese usuario a través de la asignación implícita o explícita:

Captura de pantalla en la que se resalta la opción de menú Ver configuración de contraseña resultante.

Al examinar las Propiedades de un usuario o grupo, se muestra la Configuración de contraseña asociada directamente, que son las FGPP explícitamente asignadas:

Captura de pantalla en la que se resalta la sección Configuración de contraseña asociada directamente.

Aquí no se muestra la asignación implícita de FGPP; para eso, use la opción Ver configuración de contraseña resultante…

Usar el Visor del historial de Windows PowerShell del Centro de administración de Active Directory

El futuro de la administración de Windows es Windows PowerShell. Las herramientas gráficas se distribuyen por capas en un entorno de automatización de tareas, lo que permite administrar los sistemas distribuidos más complejos de forma coherente y eficaz. Tienes que comprender cómo funciona Windows PowerShell para aprovechar todas sus posibilidades y maximizar la inversión en informática.

Ahora, el Centro de administración de Active Directory ofrece un historial completo de todos los cmdlets de Windows PowerShell que ejecuta y sus argumentos y valores. Puedes copiar el historial de cmdlets en otro lugar para estudiarlo, o para modificarlo y reutilizarlo. Puedes crear unas notas de tareas para ayudarle a aislar el resultado de los comandos del Centro de administración de Active Directory en Windows PowerShell. También puedes filtrar el historial para buscar puntos de interés.

El objetivo del visor del historial de Windows PowerShell en el Centro de administración de Active Directory es que aprendas mediante experiencia práctica.

Captura de pantalla en la que se muestra el Visor del historial de Windows PowerShell del Centro de administración de Active Directory.

Seleccione el botón de contenido adicional (flecha) para mostrar el visor del historial de Windows PowerShell.

Captura de pantalla en la que se indica cómo mostrar el Visor del historial de Windows PowerShell.

Después, crea un usuario o modifica la pertenencia de un grupo. El visor del historial se actualiza continuamente con una vista contraída de cada cmdlet que el Centro de administración de Active Directory ejecutó con los argumentos especificados.

Expande cualquier elemento de línea para ver todos los valores proporcionados a los argumentos del cmdlet:

Captura de pantalla en la que se muestra cómo expandir un elemento de línea para ver todos los valores que se proporcionan a los argumentos del cmdlet.

Seleccione el menú Iniciar tarea para crear una anotación manual antes de usar el Centro de administración de Active Directory para crear, modificar o eliminar un objeto. Escribe lo que estabas haciendo. Cuando hayas terminado con el cambio, selecciona Finalizar tarea. La nota de tarea agrupa todas las acciones realizadas en una nota contraíble que puedes usar para obtener más información.

Por ejemplo, para ver los comandos de Windows PowerShell usados para cambiar la contraseña de un usuario y quitarlo de un grupo:

Captura de pantalla en la que se resalta cómo ver los comandos de Windows PowerShell que se usan para cambiar la contraseña de un usuario y quitar el usuario de un grupo.

Al seleccionar la casilla Mostrar todo también se muestran los cmdlets de Windows PowerShell del verbo Get-* que solo recuperan datos.

Administración avanzada de AD DS

El visor del historial muestra los comandos literales ejecutados por el Centro de administración de Active Directory y quizás observes que algunos cmdlets parecen ejecutarse innecesariamente. Por ejemplo, puedes crear un nuevo usuario con:

New-ADUser

El diseño del Centro de administración de Active Directory requirió una modularidad y un uso de código mínimos. Por lo tanto, en lugar de un conjunto de funciones que crean nuevos usuarios y otras que modifican los usuarios existentes, realiza cada función mínimamente y, después, las encadena con los cmdlets. Ten esto en cuenta al aprender sobre Active Directory Windows PowerShell. También puedes usarlo como técnica de aprendizaje, para ver lo simple que resulta usar Windows PowerShell para completar una sola tarea.

Administración de diferentes dominios en el Centro de administración de Active Directory

Cuando abre el Centro de administración de Active Directory, el dominio en el que ha iniciado sesión en este equipo (máquina local) aparece en el panel de navegación del centro (panel izquierdo). Según los derechos de su conjunto actual de credenciales de inicio de sesión, podrá ver o administrar los objetos de Active Directory de este dominio local.

También puede usar las mismas credenciales de inicio de sesión y la misma instancia del Centro de administración de Active Directory para ver o administrar objetos de Active Directory de cualquier otro dominio del mismo bosque o de otro bosque que tenga establecida una relación de confianza con el dominio local. Se admiten tanto las confianzas unidireccionales como las bidireccionales. No se requiere una pertenencia a grupos mínima para llevar a cabo este procedimiento.

Nota:

Si hay una confianza unidireccional entre el dominio A y el dominio B que permite a los usuarios del dominio A obtener acceso a los recursos del dominio B pero los usuarios del dominio B no pueden obtener acceso a los recursos del dominio A, si ejecuta el Centro de administración de Active Directory en el equipo en el que el dominio A es el dominio local, podrá conectarse al dominio B con el conjunto actual de credenciales de inicio de sesión y en la misma instancia del Centro de administración de Active Directory.

No obstante, si ejecuta el Centro de administración de Active Directory en el equipo en el que el dominio B es el dominio local, no podrá conectarse al dominio A con el mismo conjunto de credenciales de inicio de sesión en la misma instancia del Centro de administración de Active Directory.

Windows Server 2012: administrar un dominio externo en la instancia seleccionada del Centro de administración de Active Directory con las credenciales de inicio de sesión actuales

  1. Para abrir el Centro de administración de Active Directory, en Administrador del servidor, seleccione Herramientas y Centro de administración de Active Directory.

  2. Para abrir Agregar nodos de navegación, seleccione Administrar y, a continuación, seleccione Agregar nodos de navegación.

  3. En Agregar nodos de navegación, seleccione Conectar a otros dominios.

  4. En Conectar a, escriba el nombre del dominio externo que desea administrar (por ejemplo, contoso.com) y haga clic en Aceptar.

  5. Cuando esté conectado correctamente al dominio externo, desplácese por las columnas de la ventana Agregar nodos de navegación, seleccione los contenedores que desee agregar al panel de navegación del Centro de administración de Active Directory y seleccione Aceptar.

Windows Server 2008 R2: administrar un dominio externo en la instancia seleccionada del Centro de administración de Active Directory con las credenciales de inicio de sesión actuales

  1. Para abrir el Centro de administración de Active Directory, seleccione Inicio, Herramientas administrativas y, a continuación, seleccione Centro de administración de Active Directory.

    Sugerencia

    Otra forma de abrir Centro de administración de Active Directory es hacer clic en Inicio y en Ejecutar y, a continuación, escribir dsac.exe.

  2. A continuación, abra Agregar nodos de navegación, cerca de la parte superior de la ventana del Centro de administración de Active Directory, y seleccione Agregar nodos de navegación.

    Sugerencia

    Otra forma de abrir Agregar nodos de navegación es hacer clic con el botón derecho en cualquier lugar del panel de navegación del Centro de administración de Active Directory y elegir Agregar nodos de navegación.

  3. En Agregar nodos de navegación, seleccione Conectar a otros dominios, como se muestra en la siguiente ilustración.

  4. En Conectar a, escriba el nombre del dominio externo que desea administrar (por ejemplo, contoso.com) y haga clic en Aceptar.

  5. Cuando esté conectado correctamente al dominio externo, desplácese por las columnas de la ventana Agregar nodos de navegación, seleccione los contenedores que desee agregar al panel de navegación del Centro de administración de Active Directory y seleccione Aceptar.

Administración de un dominio con credenciales de inicio de sesión distintas del conjunto de credenciales de inicio de sesión actual

Abra el Centro de administración de Active Directory, escriba el comando siguiente en el símbolo del sistema y pulse ENTRAR:

runas /user:<domain\user> dsac

Donde <domain\user> es el conjunto de credenciales con el que desea abrir el Centro de administración de Active Directory y dsac es el nombre del archivo ejecutable del Centro de administración de Active Directory.

Cuando el Centro de administración de Active Directory esté abierto, desplácese por el panel de navegación para ver o administrar el dominio de Active Directory.

Solucionar problemas de administración de AD DS

Debido a que es muy reciente y que no se ha usado en entornos de clientes existentes, el Centro de administración de Active Directory tiene opciones de solución de problemas limitadas.

Opciones de solución de problemas

Opciones de registro

Ahora, el Centro de administración de Active Directory contiene un registro integrado como parte de un archivo de configuración de seguimiento. Crea o modifica el siguiente archivo en la misma carpeta que dsac.exe:

dsac.exe.config

Crea el contenido siguiente:

<appSettings>
  <add key="DsacLogLevel" value="Verbose" />
</appSettings>
<system.diagnostics>
 <trace autoflush="false" indentsize="4">
  <listeners>
   <add name="myListener"
    type="System.Diagnostics.TextWriterTraceListener"
    initializeData="dsac.trace.log" />
   <remove name="Default" />
  </listeners>
 </trace>
</system.diagnostics>

Los niveles de detalle de DsacLogLevel son None, Error, Warning, Info y Verbose. El nombre del archivo de salida se puede configurar y se escribe en la misma carpeta que dsac.exe. El archivo de salida proporciona más información sobre cómo funciona ADAC, con qué controladores de dominio se puso en contacto, qué comandos de Windows PowerShell se ejecutaron, cuáles fueron las respuestas y más información.

Por ejemplo, al usar el nivel INFO, que devuelve todos los resultados excepto el detalle del nivel de seguimiento:

  • Se inicia DSAC.exe.

  • Se inicia el registro.

  • El controlador de dominio solicitó devolver la información inicial del dominio.

    [12:42:49][TID 3][Info] Command Id, Action, Command, Time, Elapsed Time ms (output), Number objects (output)
[12:42:49][TID 3][Info] 1, Invoke, Get-ADDomainController, 2012-04-16T12:42:49
[12:42:49][TID 3][Info] Get-ADDomainController-Discover:$null-DomainName:"CORP"-ForceDiscover:$null-Service:ADWS-Writable:$null

  • El controlador de dominio DC1 volvió del dominio Corp.

  • Se cargó la unidad virtual PS AD.

    [12:42:49][TID 3][Info] 1, Output, Get-ADDomainController, 2012-04-16T12:42:49, 1
[12:42:49][TID 3][Info] Found the domain controller 'DC1' in the domain 'CORP'.
[12:42:49][TID 3][Info] 2, Invoke, New-PSDrive, 2012-04-16T12:42:49
[12:42:49][TID 3][Info] New-PSDrive-Name:"ADDrive0"-PSProvider:"ActiveDirectory"-Root:""-Server:"dc1.corp.contoso.com"
[12:42:49][TID 3][Info] 2, Output, New-PSDrive, 2012-04-16T12:42:49, 1
[12:42:49][TID 3][Info] 3, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49

  • Se obtiene la información Root DSE del dominio.

    [12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com"
[12:42:49][TID 3][Info] 3, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1
[12:42:49][TID 3][Info] 4, Invoke, Get-ADOptionalFeature, 2012-04-16T12:42:49

  • Se obtiene la información de la papelera de reciclaje de AD del dominio.

    [12:42:49][TID 3][Info] Get-ADOptionalFeature -LDAPFilter:"(msDS-OptionalFeatureFlags=1)" -Server:"dc1.corp.contoso.com"
[12:42:49][TID 3][Info] 4, Output, Get-ADOptionalFeature, 2012-04-16T12:42:49, 1
[12:42:49][TID 3][Info] 5, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49
[12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com"
[12:42:49][TID 3][Info] 5, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1
[12:42:49][TID 3][Info] 6, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49
[12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com"
[12:42:49][TID 3][Info] 6, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1
[12:42:49][TID 3][Info] 7, Invoke, Get-ADOptionalFeature, 2012-04-16T12:42:49
[12:42:49][TID 3][Info] Get-ADOptionalFeature -LDAPFilter:"(msDS-OptionalFeatureFlags=1)" -Server:"dc1.corp.contoso.com"
[12:42:50][TID 3][Info] 7, Output, Get-ADOptionalFeature, 2012-04-16T12:42:50, 1
[12:42:50][TID 3][Info] 8, Invoke, Get-ADForest, 2012-04-16T12:42:50

  • Se obtiene el bosque de AD.

    [12:42:50][TID 3][Info] Get-ADForest -Identity:"corp.contoso.com" -Server:"dc1.corp.contoso.com"
[12:42:50][TID 3][Info] 8, Output, Get-ADForest, 2012-04-16T12:42:50, 1
[12:42:50][TID 3][Info] 9, Invoke, Get-ADObject, 2012-04-16T12:42:50

  • Se obtiene la información del esquema para los tipos de cifrado admitidos, FGPP, determinada información del usuario.

    [12:42:50][TID 3][Info] Get-ADObject
-LDAPFilter:"(|(ldapdisplayname=msDS-PhoneticDisplayName)(ldapdisplayname=msDS-PhoneticCompanyName)(ldapdisplayname=msDS-PhoneticDepartment)(ldapdisplayname=msDS-PhoneticFirstName)(ldapdisplayname=msDS-PhoneticLastName)(ldapdisplayname=msDS-SupportedEncryptionTypes)(ldapdisplayname=msDS-PasswordSettingsPrecedence))"
-Properties:lDAPDisplayName
-ResultPageSize:"100"
-ResultSetSize:$null
-SearchBase:"CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com"
-SearchScope:"OneLevel"
-Server:"dc1.corp.contoso.com"
[12:42:50][TID 3][Info] 9, Output, Get-ADObject, 2012-04-16T12:42:50, 7
[12:42:50][TID 3][Info] 10, Invoke, Get-ADObject, 2012-04-16T12:42:50

  • Se obtiene toda la información acerca del objeto de dominio para mostrarla al administrador que hizo clic en el encabezado del dominio.

    [12:42:50][TID 3][Info] Get-ADObject
-IncludeDeletedObjects:$false
-LDAPFilter:"(objectClass=*)"
-Properties:allowedChildClassesEffective,allowedChildClasses,lastKnownParent,sAMAccountType,systemFlags,userAccountControl,displayName,description,whenChanged,location,managedBy,memberOf,primaryGroupID,objectSid,msDS-User-Account-Control-Computed,sAMAccountName,lastLogonTimestamp,lastLogoff,mail,accountExpires,msDS-PhoneticCompanyName,msDS-PhoneticDepartment,msDS-PhoneticDisplayName,msDS-PhoneticFirstName,msDS-PhoneticLastName,pwdLastSet,operatingSystem,operatingSystemServicePack,operatingSystemVersion,telephoneNumber,physicalDeliveryOfficeName,department,company,manager,dNSHostName,groupType,c,l,employeeID,givenName,sn,title,st,postalCode,managedBy,userPrincipalName,isDeleted,msDS-PasswordSettingsPrecedence
-ResultPageSize:"100"
-ResultSetSize:"20201"
-SearchBase:"DC=corp,DC=contoso,DC=com"
-SearchScope:"Base"
-Server:"dc1.corp.contoso.com"

Cuando se establece el nivel detallado, también se muestran las pilas de .NET de cada función, pero no incluyen datos suficientes para que resulten especialmente útiles, excepto para solucionar problemas de Dsac.exe cuando sufre infracciones de acceso o bloqueo. Las dos causas probables de este problema son:

  • El servicio ADWS no se está ejecutando en un controlador de dominio accesible.
  • Las comunicaciones de red están bloqueadas para el servicio ADWS en el equipo donde se ejecuta el Centro de administración de Active Directory.

Importante

También hay una versión fuera de banda del servicio que se llama Servicio de administración de la puerta de enlace de Active Directory, que se ejecuta en Windows Server 2008 SP2 y Windows Server 2003 SP2.

Los errores que se muestran cuando no hay disponibles instancias de Servicios web de Active Directory son:

Error Operación
"No se pudo conectar a ningún dominio. Actualice o vuelva a intentarlo cuando la conexión esté disponible" Se muestra al iniciar la aplicación Centro de administración de Active Directory.
"No se puede encontrar un servidor disponible en el dominio <nombre de dominio NetBIOS> que ejecute Servicio web de Active Directory (ADWS)." Se muestra al intentar seleccionar un nodo del dominio en la aplicación Centro de administración de Active Directory.

Para solucionar este problema, sigue estos pasos:

  1. Comprueba que el servicio Servicios web de Active Directory se ha iniciado al menos en un controlador de dominio del dominio (y preferiblemente en todos los controladores de dominio del bosque). Asegúrate de que está establecido para iniciarse automáticamente también en todos los controladores de dominio.

  2. En el equipo donde se ejecuta el Centro de administración de Active Directory, comprueba que puedes encontrar un servidor que ejecuta ADWS ejecutando estos comandos de NLTest.exe:

    nltest /dsgetdc:<domain NetBIOS name> /ws /force
nltest /dsgetdc:<domain fully qualified DNS name> /ws /force

    Si se producen errores en estas pruebas aunque el servicio ADWS se esté ejecutando, el problema es de la resolución de nombres o de LDAP, y no de ADWS o del Centro de administración de Active Directory. Sin embargo, esta prueba produce el error "1355 0x54B ERROR_NO_SUCH_DOMAIN" si ADWS no se está ejecutando en ningún controlador de dominio, por lo que debe realizar una doble comprobación antes de sacar conclusiones.

  3. En el controlador de dominio que devuelve NLTest, vuelca la lista de puertos de escucha con el comando:

    Netstat -anob > ports.txt

    Examina el archivo ports.txt y comprueba que el servicio ADWS está escuchando en el puerto 9389. Ejemplo:

    TCP    0.0.0.0:9389    0.0.0.0:0    LISTENING    1828
[Microsoft.ActiveDirectory.WebServices.exe]

TCP    [::]:9389       [::]:0       LISTENING    1828
[Microsoft.ActiveDirectory.WebServices.exe]

    Si está escuchando, comprueba las reglas de Firewall de Windows y asegúrate de que permiten el tráfico de entrada en el puerto TCP 9389. De forma predeterminada, los controladores de dominio habilitan la regla de firewall "Servicios web de Active Directory (TCP de entrada)". Si no está escuchando, comprueba de nuevo que el servicio se está ejecutando en este servidor y reinícialo. Comprueba que no haya otros procesos escuchando en el puerto 9389.

  4. Instala NetMon u otra utilidad de captura de red en el equipo donde se ejecuta el Centro de administración de Active Directory y en el controlador de dominio que NLTEST devuelve. Recopila capturas de red simultáneas en ambos equipos mientras inicias el Centro de administración de Active Directory y mira el error antes de detener las capturas. Comprueba si el cliente puede enviar y recibir desde el controlador de dominio en el puerto TCP 9389. Si los paquetes se envían pero no llegan, o llegan y el controlador de dominio responde pero no llegan nunca al cliente, es problema que haya un firewall entre los equipos en la red que pierda los paquetes de ese puerto. Este firewall puede ser de software o hardware, y quizás forme parte de un software de protección de extremos (antivirus) de terceros.

Consulte también