Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Crear Un Domi...

    Cargado por

    jordijct
    1K vistas19 páginas

    Título original

    Crear un domi...

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    1K vistas19 páginas

    Crear Un Domi...

    Cargado por

    jordijct

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 19

    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?

    p=1210

    Crear un dominio o unirse a uno en Windows 2008 + RODC o Read Only Domain Controller,
    28 de Octubre de 2008

    Crear un dominio en Windows 2008 - AKI


    Unirse a un dominio Windows 2008 - AKI
    Instalación de un controlador de dominio de sólo lectura - Read Only Domain Controller - RODC - AKI
    Unirse a un dominio usando Microsoft Windows 2008 Core (RODC) - AKI
    Primero una descripción para el que no sepa qué es un dominio: Un dominio es una agrupación de
    ordenadores en torno a unos servidores centralizados que almacenan la lista de usuarios, nivel de
    acceso de cada uno, y demás información relacionada con las cuentas de usuario, las cuentas de
    equipo, grupos, impresoras… lo que llamaremos objetos. Todo se puede gestionar desde una
    hubicación centralizada gracias a directivas/políticas.

    Estos servidores son Controladores de Dominio (Windows 2000, 2003 o 2008) y centralizan la
    administración de la seguridad del grupo, por supuesto que cada controlador de dominio tiene
    diferentes roles, unos serán más importantes que otros, aunque Microsoft diga que no hay un
    controlador de dominio más importante que otro.

    Por supuesto que cada dominio puede tener a su vez subdominios, lo más cómodo para gestionar otra
    parte de la empresa, dividirla en grandes departamentos o grupos de empresas y no delegar permisos
    en otros usuarios que no tengan accesos en otros dominios más que en los suyos.

    Crear un dominio en Windows 2008,

    En esta parte del documento veremos cómo crear un dominio o subdominio en Windows 2008, la
    forma normal.

    Primero, abrimos la consola de “Server Manager” o “Administración del servidor” desde las
    “Herramientas Administrativas”,

    1 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Pulsamos en “Add Roles” o “Agregar funciones”,

    Marcamos “Active Directory Domain Services” y “Next”,

    2 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Nos comenta qué es lo que hace AD DS (Active Directory Active Services), que almacena la
    información sobre usuarios, equipos y demás dispositivos de la red. “Next”,

    3 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Confirmamos que lo que vamos a instalar son los servicios de dominio y pulsamos en “Install”

    4 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    … instalando ADDS…

    5 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Ok, ya nos muestra que el rol está instalado, cerramos.

    6 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Ahora lo que hay que hacerlo es promocionarlo como controlador de dominio, desde la consola de
    “Server Manager” o “Administración del servidor” pulsamos en “Roles” > “Active Directory Domain
    Services” y en el enlace de “Run the Active Directory Domain Services Installation Wizard” o “Ejecutar
    el asistente de instalación de los servicios del Directorio Activo”.

    7 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Podemos realizar una instalación avanzada, pero no nos interesa, pulsamos en “Siguiente”,

    Si nos vamos a unir a un árbol de dominios pulsaríamos la primera opción, y ya después veríamos si lo
    que vamos a hacer es este cómo otro controlador de dominio para un dominio ya existente o crearnos
    un nuevo dominio en un bosque ya existente. Pero lo que interesa, si es el primer dominio para el
    primer bosque pulsamos la segunda opción: “Crear un nuevo dominio en un nuevo bosque” &
    “Siguiente”,

    8 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Indicamos el nombre de dominio que vamos a crear, tiene que llevar un punto “.”. Normalmente, suele
    ser el mismo que el dominio público de internet, pero no tiene por que ser el mismo, Microsoft suele
    aconsejar que si no sabes cual poner, se le ponga un .local. Lo que sea, “Next”,

    Realiza comprobaciones que este dominio no exista en la misma red…

    9 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Este sería el nombre NetBIOS del dominio, continuamos,

    Aquí es donde tenemos que indicar el nivel funcional del bosque, ya que estamos creando un nuevo
    bosque. Lo ideal es poner el nivel del bosque más alto que se pueda por seguridad, pero esto nos
    capará diversas posibilidades teniendo PC’s o servidores con versiones antiguas.

    El nivel de bosque funcional “Windows Server Codename Longhorn” presenta un nuevo nivel funcional

    10 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    para los bosques y dominios. Aunque el nivel de bosques de Windows Server “Longhorn” (que saldrá al
    mercado con otro nombre) no aporta ninguna función nueva, garantiza que todos los dominios del
    bosque estén en el nivel funcional de Windows Server “Longhorn”, lo que permite dos mejoras. La
    primera, el motor de replicación más actual del sistema de archivos distribuido (DFS) para el recurso
    compartido SYSVOL, que ofrece mayor estabilidad, seguridad y rendimiento. La segunda,
    compatibilidad del cifrado AES de 256 bits con el protocolo de autenticación Kerberos. Aunque el nivel
    funcional más reciente proporciona el mejor rendimiento, podrá seguir usando los niveles inferiores al
    migrar a Windows Server “Longhorn”.

    También se han introducido varias extensiones de esquema para admitir nuevas características, todas
    compatibles con los esquemas que se usan actualmente. Los controladores de dominio que se ejecuten
    en Windows Server “Longhorn” podrán coexistir y funcionar en combinación con los que se ejecuten en
    Windows Server 2003.

    Al ser el primer controlador de dominio, debemos marcar que tiene que ser servidor DNS para la
    resolución de nombres, así que hay que tener marcado el check de DNS Server, aunque también se
    puede poner el servicio de DNS en otro servidor, pero no tiene sentido. Además será catálogo global
    para gestionar los inicios de sesión de los usuarios. Y este servidor al ser el primero del dominio no
    puede ser RODC (Dontrolador de Dominio de Sólo Lectura - Read Only Domain Controller), pero si
    metemos uno adicional sí que podría ser. “Siguiente”,

    11 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Lógicamente pq es el primer servidor DNS, continuamos, “Siguiente”,

    Indicamos los directorios para almacenar la base de datos del Directorio Activo; donde almacenará los
    ficheros de registro, los LOG; y cual será el directorio SYSVOL para almacenar los archivos que se
    replicarán entre los controladores de dominio (scripts, directivas…), “Siguiente”,

    Indicamos la contraseña del administrador para el caso que necesitemos arrancar el Controlador de

    12 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Dominio en modo restauración de Servicios de Directorio desde F8 al reiniciar. “Siguiente”,

    Podemos guardar las características aquí indicadas para poder usarlas con otro controlador de dominio
    de modo que sea un archivo de instalación desatendida, un archivo de respuestas. Lo único que no nos
    serviría pq estamos creando un dominio, esto lo lógico es usarlo cuando nos unimos a un dominio
    como controlador de dominio adicional. “Siguiente” para empezar a crear el ADDS,

    … esperamos a que se configure…

    13 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Ok, “Finish”, ya está creado el dominio y tenemos ya nuestro primer controlador de dominio.

    Hay que reiniciar para que los cambios surjan efecto.

    Unirse a un dominio Windows 2008,

    En esta parte del documento simplemente veremos las opciones que hay que hacer cuando queremos
    unir un servidor a un dominio ya existente, como controlador de dominio adicional.

    Instalación de un controlador de dominio de sólo lectura - Read Only Domain Controller -


    RODC,

    Una de las nuevas características que trae Microsoft Windows 2008 Server o Longhorn es que podemos
    tener un controlador de dominio en la red de sólo lectura, esto tiene sentido por seguridad, por si
    necesitamos tener un controlador de dominio en alguna delegación y no queremos que nadie toque
    nada.

    RODC trata algunas problemáticas que son comunes de una Branch Office (BO). Puede suceder que las
    BO no tengan un Domain Controller local, o que lo tengan, pero no cumplan con las condiciones de
    seguridad necesarias que esto conlleva, además del ancho de banda necesario, o la propia experiencia
    y/o conocimientos del personal técnico.

    A raíz de la problemática enunciada anteriormente, RODC provee las siguientes características:


    Read-only AD DS Database.
    Unidirectional replication.

    14 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Credential Caching.
    Administrator role separation.
    Read-only DNS.
    Read-only AD DS Database

    Exceptuando contraseñas, un RODC contiene todos los objetos y atributos que tiene un DC típico. Sin
    embargo, por supuesto, no pueden llevarse a cabo cambios que impacten a la base de un RODC. Todo
    tipo de cambios que se quieran realizar, deberán llevarse a cabo en un DC no RODC, y luego
    impactados vía replicación en la base del RODC.
    Aquellas aplicaciones que requieran acceso en modo lectura a la base de AD lo tendrán sin problema
    alguno. Sin embargo, aquellas que requieran acceso de escritura, recibirán un LDAP referral, que
    apuntará directamente a un DC no RODC.

    Unidirectional replication
    La replicación unidireccional de RODC, que aplica tanto para AD DS y DFS, permite que, en caso de
    que se logre hacer algún cambio con la intención de modificar la integridad de la base de datos de AD,
    no se replique al resto de los DCs. Desde el punto de vista administrativo, este tipo de replicación
    reduce la sobrecarga de bridgehead servers, y la monitorización de dicha replicación.

    Credential Caching
    Por defecto, RODC no almacena credenciales de usuario o computadora, exceptuando por supuesto, la
    cuenta correspondiente al propio RODC y la cuenta especial krbtgt que cada RODC tiene. Se debe
    habilitar explícitamente el almacenamiento de cualquier otro tipo de credencial.
    Se debe tener en cuenta que limitar Credential Caching solo a aquellos usuarios que se autentican en
    el RODC, limita también la seguridad de dichas cuentas. Sin embargo, solo dichas cuentas serán
    vulnerables a posibles ataques.
    Deshabilitar Credential Caching conlleva a que cualquier solicitud de autenticación se redireccione a un
    DC no RODC. Es posible, sin embargo, modificar la Password Replication Policy para permitir que las
    credenciales de usuarios sean cacheadas en un RODC.

    Administrator Role Separation


    Es posible delegar permisos administrativos únicamente para un RODC, limitando la realización de
    tareas administrativas únicamente en el RODC, y no en otros DCs.

    Read-only DNS
    El servicio DNS de un RODC no soporta actualizaciones de clientes directas. Como consecuencia de
    esto, tampoco registra registros NS de ninguna zona integrada que contenga. Cuando un cliente
    intenta actualizar su registro DNS contra el RODC, el servidor devuelve un referral, que por supuesto,
    es utilizado posteriormente por el cliente para actualizar su registro. Sin embargo, el RODC solicita
    también la replicación del registro específico.

    15 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Para instalar un RODC, lo que hay que hacer es marcar el check durante la promoción a controlador de
    dominio de “Read-only domain controller (RODC)”.

    Unirse a un dominio usando Microsoft Windows 2008 Core (RODC),

    En esta parte del documento simplemente veremos las opciones que hay que hacer cuando queremos
    unir un servidor a un dominio ya existente, como controlador de dominio adicional pero usando
    Windows Core, ójo, este controlador de dominio sólo será de lectura, será un Read Only Domain
    Controller.

    Para unirnos como controlador de dominio adicional en un dominio existente como controlador de sólo
    lectura (RODC) que es la función que puede implementar un Core, hay que ejecutar el siguiente

    16 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    comando: dcpromo /unattend /InstallDns:yes /confirmGC:yes /replicaOrNewDomain:replica


    /ReplicaDomainDNSname:”DOMINIO” /databasePath:”C:\Windows\ntds” /logPath:”C:\Windows
    \ntdslogs” /sysvolpath:”C:\Windows\sysvol” /safeModeAdminPassword:XXXXX
    /rebootOnCompletion:yes

    Lógicamente, estos son los parámetros más genéricos, podemos guardar estos parámetros en un
    fichero de instalación desatendida, llamado normalmente unattend.txt para poder usarlo directamente
    con el resto de servidores: dcpromo /unattend:unattend.txt

    En esta web de Microsoft están todos los parámetros posibles para usar con el archivo de instalación
    desatendida: http://technet2.microsoft.com/windowsserver2008/en/library
    /d660e761-9ee7-4382-822a-06fc2365a1d21033.mspx

    www.bujarra.com - Héctor Herrero - nheobug@bujarra.com - v 1.0

    Descargar PDF:

    Escrito por Héctor Herrero en Windows 2008 |

    Translator

    By N2H

    Noviembre 2010
    L M X J V S D
    1 2 3 4 5 6 7
    8 9 10 11 12 13 14
    15 16 17 18 19 20 21
    22 23 24 25 26 27 28
    29 30
    « Oct
    Buscar:

    Suscríbete al RSS
    Configurando Outlook Anywhere en Microsoft Exchange 2010
    Instalación y configuración de Microsoft Forefront TMG para acceso de OWA
    seguro
    Usando VMware vMA
    Novedad VMware vSphere 4.1: Autenticación contra Directorio Activo
    Arrancando con un pendrive USB los CD’s de HP Firmware Maintenance o HP
    SmartStart

    Categorias

    17 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Citrix
    Access Essentials
    Access Gateway
    Actualizaciones
    Branch Repeater
    Conferencing Manager
    GoToMeeting
    Password Manager
    Presentation Server 3.x y 4.x
    Provisioning Server
    Secure Gateway
    XenApp 5.0
    XenApp 6
    XenDesktop
    XenServer
    Fortigate
    Hacking
    Scanners de Vulnerabilidades
    HP
    Microsoft
    Exchange 2003
    Exchange 2007
    Exchange 2010
    Migraciones
    SQL
    Windows 2003
    Windows 2008
    Windows 2008 R2
    Nagios
    Symantec
    Varios
    VMware
    ACE
    ESX
    Fusion
    Player
    Server
    Site Recovery Manager
    ThinApp
    vCenter Converter
    vCenter Server
    View
    Virtualizaciones
    Workstation

    Pues aqui estamos!


    28 visitante(s) en línea
    ofrecido por WassUp

    18 de 19 22/11/2010 20:54
    Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210

    Tags de Bujarra.com

    Autores
    Héctor Herrero

    Bujarra 2.0 is proudly powered by WordPress


    Entries (RSS) and Comments (RSS).
    24 queries. 0,641 seconds. | Waterlily Theme by: Elzaletee

    19 de 19 22/11/2010 20:54

    También podría gustarte