Crear un domi...

Crear un dominio o unirse a uno en Windows 2008 + RODC o Read Only Domain Controller,

28 de Octubre de 2008

Crear un dominio en Windows 2008 - AKIUnirse a un dominio Windows 2008 - AKIInstalación de un controlador de dominio de sólo lectura - Read Only Domain Controller - RODC - AKIUnirse a un dominio usando Microsoft Windows 2008 Core (RODC) - AKIPrimero una descripción para el que no sepa qué es un dominio: Un dominio es una agrupación deordenadores en torno a unos servidores centralizados que almacenan la lista de usuarios, nivel deacceso de cada uno, y demás información relacionada con las cuentas de usuario, las cuentas deequipo, grupos, impresoras… lo que llamaremos objetos. Todo se puede gestionar desde unahubicación centralizada gracias a directivas/políticas.

Estos servidores son Controladores de Dominio (Windows 2000, 2003 o 2008) y centralizan laadministración de la seguridad del grupo, por supuesto que cada controlador de dominio tienediferentes roles, unos serán más importantes que otros, aunque Microsoft diga que no hay uncontrolador de dominio más importante que otro.

Por supuesto que cada dominio puede tener a su vez subdominios, lo más cómodo para gestionar otraparte de la empresa, dividirla en grandes departamentos o grupos de empresas y no delegar permisosen otros usuarios que no tengan accesos en otros dominios más que en los suyos.

Crear un dominio en Windows 2008,

En esta parte del documento veremos cómo crear un dominio o subdominio en Windows 2008, laforma normal.

Primero, abrimos la consola de “Server Manager” o “Administración del servidor” desde las“Herramientas Administrativas”,

Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

1 de 19 22/11/2010 20:54

Pulsamos en “Add Roles” o “Agregar funciones”,

Marcamos “Active Directory Domain Services” y “Next”,


2 de 19 22/11/2010 20:54

Nos comenta qué es lo que hace AD DS (Active Directory Active Services), que almacena lainformación sobre usuarios, equipos y demás dispositivos de la red. “Next”,


3 de 19 22/11/2010 20:54

Confirmamos que lo que vamos a instalar son los servicios de dominio y pulsamos en “Install”


4 de 19 22/11/2010 20:54

… instalando ADDS…


5 de 19 22/11/2010 20:54

Ok, ya nos muestra que el rol está instalado, cerramos.


6 de 19 22/11/2010 20:54

Ahora lo que hay que hacerlo es promocionarlo como controlador de dominio, desde la consola de“Server Manager” o “Administración del servidor” pulsamos en “Roles” > “Active Directory DomainServices” y en el enlace de “Run the Active Directory Domain Services Installation Wizard” o “Ejecutarel asistente de instalación de los servicios del Directorio Activo”.


7 de 19 22/11/2010 20:54

Podemos realizar una instalación avanzada, pero no nos interesa, pulsamos en “Siguiente”,

Si nos vamos a unir a un árbol de dominios pulsaríamos la primera opción, y ya después veríamos si loque vamos a hacer es este cómo otro controlador de dominio para un dominio ya existente o crearnosun nuevo dominio en un bosque ya existente. Pero lo que interesa, si es el primer dominio para elprimer bosque pulsamos la segunda opción: “Crear un nuevo dominio en un nuevo bosque” &“Siguiente”,


8 de 19 22/11/2010 20:54

Indicamos el nombre de dominio que vamos a crear, tiene que llevar un punto “.”. Normalmente, sueleser el mismo que el dominio público de internet, pero no tiene por que ser el mismo, Microsoft sueleaconsejar que si no sabes cual poner, se le ponga un .local. Lo que sea, “Next”,

Realiza comprobaciones que este dominio no exista en la misma red…


9 de 19 22/11/2010 20:54

Este sería el nombre NetBIOS del dominio, continuamos,

Aquí es donde tenemos que indicar el nivel funcional del bosque, ya que estamos creando un nuevobosque. Lo ideal es poner el nivel del bosque más alto que se pueda por seguridad, pero esto noscapará diversas posibilidades teniendo PC’s o servidores con versiones antiguas.

El nivel de bosque funcional “Windows Server Codename Longhorn” presenta un nuevo nivel funcional


10 de 19 22/11/2010 20:54

para los bosques y dominios. Aunque el nivel de bosques de Windows Server “Longhorn” (que saldrá almercado con otro nombre) no aporta ninguna función nueva, garantiza que todos los dominios delbosque estén en el nivel funcional de Windows Server “Longhorn”, lo que permite dos mejoras. Laprimera, el motor de replicación más actual del sistema de archivos distribuido (DFS) para el recursocompartido SYSVOL, que ofrece mayor estabilidad, seguridad y rendimiento. La segunda,compatibilidad del cifrado AES de 256 bits con el protocolo de autenticación Kerberos. Aunque el nivelfuncional más reciente proporciona el mejor rendimiento, podrá seguir usando los niveles inferiores almigrar a Windows Server “Longhorn”.

También se han introducido varias extensiones de esquema para admitir nuevas características, todascompatibles con los esquemas que se usan actualmente. Los controladores de dominio que se ejecutenen Windows Server “Longhorn” podrán coexistir y funcionar en combinación con los que se ejecuten enWindows Server 2003.

Al ser el primer controlador de dominio, debemos marcar que tiene que ser servidor DNS para laresolución de nombres, así que hay que tener marcado el check de DNS Server, aunque también sepuede poner el servicio de DNS en otro servidor, pero no tiene sentido. Además será catálogo globalpara gestionar los inicios de sesión de los usuarios. Y este servidor al ser el primero del dominio nopuede ser RODC (Dontrolador de Dominio de Sólo Lectura - Read Only Domain Controller), pero simetemos uno adicional sí que podría ser. “Siguiente”,


11 de 19 22/11/2010 20:54

Lógicamente pq es el primer servidor DNS, continuamos, “Siguiente”,

Indicamos los directorios para almacenar la base de datos del Directorio Activo; donde almacenará losficheros de registro, los LOG; y cual será el directorio SYSVOL para almacenar los archivos que sereplicarán entre los controladores de dominio (scripts, directivas…), “Siguiente”,

Indicamos la contraseña del administrador para el caso que necesitemos arrancar el Controlador de


12 de 19 22/11/2010 20:54

Dominio en modo restauración de Servicios de Directorio desde F8 al reiniciar. “Siguiente”,

Podemos guardar las características aquí indicadas para poder usarlas con otro controlador de dominiode modo que sea un archivo de instalación desatendida, un archivo de respuestas. Lo único que no nosserviría pq estamos creando un dominio, esto lo lógico es usarlo cuando nos unimos a un dominiocomo controlador de dominio adicional. “Siguiente” para empezar a crear el ADDS,

… esperamos a que se configure…


13 de 19 22/11/2010 20:54

Ok, “Finish”, ya está creado el dominio y tenemos ya nuestro primer controlador de dominio.

Hay que reiniciar para que los cambios surjan efecto.

Unirse a un dominio Windows 2008,

En esta parte del documento simplemente veremos las opciones que hay que hacer cuando queremosunir un servidor a un dominio ya existente, como controlador de dominio adicional.

Instalación de un controlador de dominio de sólo lectura - Read Only Domain Controller -RODC,

Una de las nuevas características que trae Microsoft Windows 2008 Server o Longhorn es que podemostener un controlador de dominio en la red de sólo lectura, esto tiene sentido por seguridad, por sinecesitamos tener un controlador de dominio en alguna delegación y no queremos que nadie toquenada.

RODC trata algunas problemáticas que son comunes de una Branch Office (BO). Puede suceder que lasBO no tengan un Domain Controller local, o que lo tengan, pero no cumplan con las condiciones deseguridad necesarias que esto conlleva, además del ancho de banda necesario, o la propia experienciay/o conocimientos del personal técnico.

A raíz de la problemática enunciada anteriormente, RODC provee las siguientes características:Read-only AD DS Database.Unidirectional replication.


14 de 19 22/11/2010 20:54

Credential Caching.Administrator role separation.Read-only DNS.Read-only AD DS Database

Exceptuando contraseñas, un RODC contiene todos los objetos y atributos que tiene un DC típico. Sinembargo, por supuesto, no pueden llevarse a cabo cambios que impacten a la base de un RODC. Todotipo de cambios que se quieran realizar, deberán llevarse a cabo en un DC no RODC, y luegoimpactados vía replicación en la base del RODC.Aquellas aplicaciones que requieran acceso en modo lectura a la base de AD lo tendrán sin problemaalguno. Sin embargo, aquellas que requieran acceso de escritura, recibirán un LDAP referral, queapuntará directamente a un DC no RODC.

Unidirectional replication

La replicación unidireccional de RODC, que aplica tanto para AD DS y DFS, permite que, en caso deque se logre hacer algún cambio con la intención de modificar la integridad de la base de datos de AD,no se replique al resto de los DCs. Desde el punto de vista administrativo, este tipo de replicaciónreduce la sobrecarga de bridgehead servers, y la monitorización de dicha replicación.

Credential Caching

Por defecto, RODC no almacena credenciales de usuario o computadora, exceptuando por supuesto, lacuenta correspondiente al propio RODC y la cuenta especial krbtgt que cada RODC tiene. Se debehabilitar explícitamente el almacenamiento de cualquier otro tipo de credencial.Se debe tener en cuenta que limitar Credential Caching solo a aquellos usuarios que se autentican enel RODC, limita también la seguridad de dichas cuentas. Sin embargo, solo dichas cuentas seránvulnerables a posibles ataques.Deshabilitar Credential Caching conlleva a que cualquier solicitud de autenticación se redireccione a unDC no RODC. Es posible, sin embargo, modificar la Password Replication Policy para permitir que lascredenciales de usuarios sean cacheadas en un RODC.

Administrator Role Separation

Es posible delegar permisos administrativos únicamente para un RODC, limitando la realización detareas administrativas únicamente en el RODC, y no en otros DCs.

Read-only DNS

El servicio DNS de un RODC no soporta actualizaciones de clientes directas. Como consecuencia deesto, tampoco registra registros NS de ninguna zona integrada que contenga. Cuando un clienteintenta actualizar su registro DNS contra el RODC, el servidor devuelve un referral, que por supuesto,es utilizado posteriormente por el cliente para actualizar su registro. Sin embargo, el RODC solicitatambién la replicación del registro específico.


15 de 19 22/11/2010 20:54

Para instalar un RODC, lo que hay que hacer es marcar el check durante la promoción a controlador dedominio de “Read-only domain controller (RODC)”.

Unirse a un dominio usando Microsoft Windows 2008 Core (RODC),

En esta parte del documento simplemente veremos las opciones que hay que hacer cuando queremosunir un servidor a un dominio ya existente, como controlador de dominio adicional pero usandoWindows Core, ójo, este controlador de dominio sólo será de lectura, será un Read Only DomainController.

Para unirnos como controlador de dominio adicional en un dominio existente como controlador de sólolectura (RODC) que es la función que puede implementar un Core, hay que ejecutar el siguiente


16 de 19 22/11/2010 20:54

comando: dcpromo /unattend /InstallDns:yes /confirmGC:yes /replicaOrNewDomain:replica/ReplicaDomainDNSname:”DOMINIO” /databasePath:”C:\Windows\ntds” /logPath:”C:\Windows

\ntdslogs” /sysvolpath:”C:\Windows\sysvol” /safeModeAdminPassword:XXXXX

/rebootOnCompletion:yes

Lógicamente, estos son los parámetros más genéricos, podemos guardar estos parámetros en unfichero de instalación desatendida, llamado normalmente unattend.txt para poder usarlo directamentecon el resto de servidores: dcpromo /unattend:unattend.txt

En esta web de Microsoft están todos los parámetros posibles para usar con el archivo de instalacióndesatendida: http://technet2.microsoft.com/windowsserver2008/en/library/d660e761-9ee7-4382-822a-06fc2365a1d21033.mspx

www.bujarra.com - Héctor Herrero - [email protected] - v 1.0

Descargar PDF:

Escrito por Héctor Herrero en Windows 2008 |

Translator

By N2H

Noviembre 2010

L M X J V S D

« Oct

1 2 3 4 5 6 7

8 9 10 11 12 13 14

15 16 17 18 19 20 21

22 23 24 25 26 27 28

29 30

Buscar:

Suscríbete al RSS

Configurando Outlook Anywhere en Microsoft Exchange 2010

Instalación y configuración de Microsoft Forefront TMG para acceso de OWA

seguro

Usando VMware vMA

Novedad VMware vSphere 4.1: Autenticación contra Directorio Activo

Arrancando con un pendrive USB los CD’s de HP Firmware Maintenance o HP

SmartStart

Categorias


17 de 19 22/11/2010 20:54

Citrix

Access Essentials

Access Gateway

Actualizaciones

Branch Repeater

Conferencing Manager

GoToMeeting

Password Manager

Presentation Server 3.x y 4.x

Provisioning Server

Secure Gateway

XenApp 5.0

XenApp 6

XenDesktop

XenServer

Fortigate

Hacking

Scanners de Vulnerabilidades

HP

Microsoft

Exchange 2003

Exchange 2007

Exchange 2010

Migraciones

SQL

Windows 2003

Windows 2008

Windows 2008 R2

Nagios

Symantec

Varios

VMware

ACE

ESX

Fusion

Player

Server

Site Recovery Manager

ThinApp

vCenter Converter

vCenter Server

View

Virtualizaciones

Workstation

Pues aqui estamos!

28 visitante(s) en líneaofrecido por WassUp


18 de 19 22/11/2010 20:54

Tags de Bujarra.com

Autores

Héctor Herrero

Bujarra 2.0 is proudly powered by WordPress

Entries (RSS) and Comments (RSS).

24 queries. 0,641 seconds. | Waterlily Theme by: Elzaletee


19 de 19 22/11/2010 20:54

Crear un domi...

Documents

Transcript of Crear un domi...