Crear un dominio o unirse a uno, en Windows 2008 + Read Only Domain Controller,
Crear un dominio en Windows 2008 - AKI
Unirse a un dominio Windows 2008 - AKI
Instalación de un controlador de dominio de sólo lectura - Read Only Domain Controller - RODC - AKI
Unirse a un dominio usando Microsoft Windows 2008 Core (RODC) - AKI
Primero una descripción para el que no sepa qué es un dominio: Un dominio es una agrupación de ordenadores en torno a unos servidores centralizados que almacenan la lista de usuarios, nivel de acceso de cada uno, y demás información relacionada con las cuentas de usuario, las cuentas de equipo, grupos, impresoras... lo que llamaremos objetos. Todo se puede gestionar desde una hubicación centralizada gracias a directivas/políticas.
Estos servidores son Controladores de Dominio (Windows 2000, 2003 o 2008) y centralizan la administración de la seguridad del grupo, por supuesto que cada controlador de dominio tiene diferentes roles, unos serán más importantes que otros, aunque Microsoft diga que no hay un controlador de dominio más importante que otro.
Por supuesto que cada dominio puede tener a su vez subdominios, lo más cómodo para gestionar otra parte de la empresa, dividirla en grandes departamentos o grupos de empresas y no delegar permisos en otros usuarios que no tengan accesos en otros dominios más que en los suyos.
Crear un dominio en Windows 2008,
En esta parte del documento veremos cómo crear un dominio o subdominio en Windows 2008, la forma normal.
Primero, abrimos la consola de "Server Manager" o "Administración del servidor" desde las "Herramientas Administrativas",
Pulsamos en "Add Roles" o "Agregar funciones",
Marcamos "Active Directory Domain Services" y "Next",
Nos comenta qué es lo que hace AD DS (Active Directory Active Services), que almacena la información sobre usuarios, equipos y demás dispositivos de la red. "Next",
Confirmamos que lo que vamos a instalar son los servicios de dominio y pulsamos en "Install"
... instalando ADDS...
Ok, ya nos muestra que el rol está instalado, cerramos.
Ahora lo que hay que hacerlo es promocionarlo como controlador de dominio, desde la consola de "Server Manager" o "Administración del servidor" pulsamos en "Roles" > "Active Directory Domain Services" y en el enlace de "Run the Active Directory Domain Services Installation Wizard" o "Ejecutar el asistente de instalación de los servicios del Directorio Activo".
Podemos realizar una instalación avanzada, pero no nos interesa, pulsamos en "Siguiente",
Si nos vamos a unir a un árbol de dominios pulsaríamos la primera opción, y ya después veríamos si lo que vamos a hacer es este cómo otro controlador de dominio para un dominio ya existente o crearnos un nuevo dominio en un bosque ya existente. Pero lo que interesa, si es el primer dominio para el primer bosque pulsamos la segunda opción: "Crear un nuevo dominio en un nuevo bosque" & "Siguiente",
Indicamos el nombre de dominio que vamos a crear, tiene que llevar un punto ".". Normalmente, suele ser el mismo que el dominio público de internet, pero no tiene por que ser el mismo, Microsoft suele aconsejar que si no sabes cual poner, se le ponga un .local. Lo que sea, "Next",
Realiza comprobaciones que este dominio no exista en la misma red...
Este sería el nombre NetBIOS del dominio, continuamos,
Aquí es donde tenemos que indicar el nivel funcional del bosque, ya que estamos creando un nuevo bosque. Lo ideal es poner el nivel del bosque más alto que se pueda por seguridad, pero esto nos capará diversas posibilidades teniendo PC's o servidores con versiones antiguas.
El nivel de bosque funcional "Windows Server Codename Longhorn" presenta un nuevo nivel funcional para los bosques y dominios. Aunque el nivel de bosques de Windows Server "Longhorn" (que saldrá al mercado con otro nombre) no aporta ninguna función nueva, garantiza que todos los dominios del bosque estén en el nivel funcional de Windows Server "Longhorn", lo que permite dos mejoras. La primera, el motor de replicación más actual del sistema de archivos distribuido (DFS) para el recurso compartido SYSVOL, que ofrece mayor estabilidad, seguridad y rendimiento. La segunda, compatibilidad del cifrado AES de 256 bits con el protocolo de autenticación Kerberos. Aunque el nivel funcional más reciente proporciona el mejor rendimiento, podrá seguir usando los niveles inferiores al migrar a Windows Server "Longhorn".
También se han introducido varias extensiones de esquema para admitir nuevas características, todas compatibles con los esquemas que se usan actualmente. Los controladores de dominio que se ejecuten en Windows Server "Longhorn" podrán coexistir y funcionar en combinación con los que se ejecuten en Windows Server 2003.
Al ser el primer controlador de dominio, debemos marcar que tiene que ser servidor DNS para la resolución de nombres, así que hay que tener marcado el check de DNS Server, aunque también se puede poner el servicio de DNS en otro servidor, pero no tiene sentido. Además será catálogo global para gestionar los inicios de sesión de los usuarios. Y este servidor al ser el primero del dominio no puede ser RODC (Dontrolador de Dominio de Sólo Lectura - Read Only Domain Controller), pero si metemos uno adicional sí que podría ser. "Siguiente",
Lógicamente pq es el primer servidor DNS, continuamos, "Siguiente",
Indicamos los directorios para almacenar la base de datos del Directorio Activo; donde almacenará los ficheros de registro, los LOG; y cual será el directorio SYSVOL para almacenar los archivos que se replicarán entre los controladores de dominio (scripts, directivas...), "Siguiente",
Indicamos la contraseña del administrador para el caso que necesitemos arrancar el Controlador de Dominio en modo restauración de Servicios de Directorio desde F8 al reiniciar. "Siguiente",
Podemos guardar las características aquí indicadas para poder usarlas con otro controlador de dominio de modo que sea un archivo de instalación desatendida, un archivo de respuestas. Lo único que no nos serviría pq estamos creando un dominio, esto lo lógico es usarlo cuando nos unimos a un dominio como controlador de dominio adicional. "Siguiente" para empezar a crear el ADDS,
... esperamos a que se configure...
Ok, "Finish", ya está creado el dominio y tenemos ya nuestro primer controlador de dominio.
Hay que reiniciar para que los cambios surjan efecto.
Unirse a un dominio Windows 2008,
En esta parte del documento simplemente veremos las opciones que hay que hacer cuando queremos unir un servidor a un dominio ya existente, como controlador de dominio adicional.
Instalación de un controlador de dominio de sólo lectura - Read Only Domain Controller - RODC,
Una de las nuevas características que trae Microsoft Windows 2008 Server o Longhorn es que podemos tener un controlador de dominio en la red de sólo lectura, esto tiene sentido por seguridad, por si necesitamos tener un controlador de dominio en alguna delegación y no queremos que nadie toque nada.
RODC trata algunas problemáticas que son comunes de una Branch Office (BO). Puede suceder que las BO no tengan un Domain Controller local, o que lo tengan, pero no cumplan con las condiciones de seguridad necesarias que esto conlleva, además del ancho de banda necesario, o la propia experiencia y/o conocimientos del personal técnico.
A raíz de la problemática enunciada anteriormente, RODC provee las siguientes características:
Read-only AD DS Database.
Unidirectional replication.
Credential Caching.
Administrator role separation.
Read-only DNS.
Read-only AD DS Database
Exceptuando contraseñas, un RODC contiene todos los objetos y atributos que tiene un DC típico. Sin embargo, por supuesto, no pueden llevarse a cabo cambios que impacten a la base de un RODC. Todo tipo de cambios que se quieran realizar, deberán llevarse a cabo en un DC no RODC, y luego impactados vía replicación en la base del RODC.
Aquellas aplicaciones que requieran acceso en modo lectura a la base de AD lo tendrán sin problema alguno. Sin embargo, aquellas que requieran acceso de escritura, recibirán un LDAP referral, que apuntará directamente a un DC no RODC.
Unidirectional replication
La replicación unidireccional de RODC, que aplica tanto para AD DS y DFS, permite que, en caso de que se logre hacer algún cambio con la intención de modificar la integridad de la base de datos de AD, no se replique al resto de los DCs. Desde el punto de vista administrativo, este tipo de replicación reduce la sobrecarga de bridgehead servers, y la monitorización de dicha replicación.
Credential Caching
Por defecto, RODC no almacena credenciales de usuario o computadora, exceptuando por supuesto, la cuenta correspondiente al propio RODC y la cuenta especial krbtgt que cada RODC tiene. Se debe habilitar explícitamente el almacenamiento de cualquier otro tipo de credencial.
Se debe tener en cuenta que limitar Credential Caching solo a aquellos usuarios que se autentican en el RODC, limita también la seguridad de dichas cuentas. Sin embargo, solo dichas cuentas serán vulnerables a posibles ataques.
Deshabilitar Credential Caching conlleva a que cualquier solicitud de autenticación se redireccione a un DC no RODC. Es posible, sin embargo, modificar la Password Replication Policy para permitir que las credenciales de usuarios sean cacheadas en un RODC.
Administrator Role Separation
Es posible delegar permisos administrativos únicamente para un RODC, limitando la realización de tareas administrativas únicamente en el RODC, y no en otros DCs.
Read-only DNS
El servicio DNS de un RODC no soporta actualizaciones de clientes directas. Como consecuencia de esto, tampoco registra registros NS de ninguna zona integrada que contenga. Cuando un cliente intenta actualizar su registro DNS contra el RODC, el servidor devuelve un referral, que por supuesto, es utilizado posteriormente por el cliente para actualizar su registro. Sin embargo, el RODC solicita también la replicación del registro específico.
Para instalar un RODC, lo que hay que hacer es marcar el check durante la promoción a controlador de dominio de "Read-only domain controller (RODC)".
Unirse a un dominio usando Microsoft Windows 2008 Core (RODC),
En esta parte del documento simplemente veremos las opciones que hay que hacer cuando queremos unir un servidor a un dominio ya existente, como controlador de dominio adicional pero usando Windows Core, ójo, este controlador de dominio sólo será de lectura, será un Read Only Domain Controller.
Para unirnos como controlador de dominio adicional en un dominio existente como controlador de sólo lectura (RODC) que es la función que puede implementar un Core, hay que ejecutar el siguiente comando: dcpromo /unattend /InstallDns:yes /confirmGC:yes /replicaOrNewDomain:replica /ReplicaDomainDNSname:"DOMINIO" /databasePath:"C:\Windows\ntds" /logPath:"C:\Windows\ntdslogs" /sysvolpath:"C:\Windows\sysvol" /safeModeAdminPassword:XXXXX /rebootOnCompletion:yes
Lógicamente, estos son los parámetros más genéricos, podemos guardar estos parámetros en un fichero de instalación desatendida, llamado normalmente unattend.txt para poder usarlo directamente con el resto de servidores: dcpromo /unattend:unattend.txt
No hay comentarios:
Publicar un comentario