Creacin de dominio o unin a l, en Windows 2008 +

RODC

Crear un dominio o unirse a uno, en Windows 2008 + Read Only Domain

Controller,
Crear un dominio en Windows 2008 - AKI
Unirse a un dominio Windows 2008 - AKI
Instalacin de un controlador de dominio de slo lectura - Read Only Domain
Controller - RODC - AKI
Unirse a un dominio usando Microsoft Windows 2008 Core (RODC) - AKI
Primero una descripcin para el que no sepa qu es un dominio: Un dominio es una
agrupacin de ordenadores en torno a unos servidores centralizados que almacenan
la lista de usuarios, nivel de acceso de cada uno, y dems informacin relacionada
con las cuentas de usuario, las cuentas de equipo, grupos, impresoras... lo que
llamaremos objetos. Todo se puede gestionar desde una hubicacin centralizada
gracias a directivas/polticas.
Estos servidores son Controladores de Dominio (Windows 2000, 2003 o 2008) y
centralizan la administracin de la seguridad del grupo, por supuesto que cada
controlador de dominio tiene diferentes roles, unos sern ms importantes que
otros, aunque Microsoft diga que no hay un controlador de dominio ms importante
que otro.
Por supuesto que cada dominio puede tener a su vez subdominios, lo ms cmodo
para gestionar otra parte de la empresa, dividirla en grandes departamentos o
grupos de empresas y no delegar permisos en otros usuarios que no tengan
accesos en otros dominios ms que en los suyos.

Crear un dominio en Windows 2008,

En esta parte del documento veremos cmo crear un dominio o subdominio en
Windows 2008, la forma normal.

Primero, abrimos la consola de "Server Manager" o "Administracin del servidor"

desde las "Herramientas Administrativas",

Pulsamos en "Add Roles" o "Agregar funciones",

Marcamos "Active Directory Domain Services" y "Next",

Nos comenta qu es lo que hace AD DS (Active Directory Active Services), que

almacena la informacin sobre usuarios, equipos y dems dispositivos de la red.
"Next",

Confirmamos que lo que vamos a instalar son los servicios de dominio y pulsamos
en "Install"

... instalando ADDS...

Ok, ya nos muestra que el rol est instalado, cerramos.

Ahora lo que hay que hacerlo es promocionarlo como controlador de dominio, desde
la consola de "Server Manager" o "Administracin del servidor" pulsamos en "Roles"
> "Active Directory Domain Services" y en el enlace de "Run the Active Directory
Domain Services Installation Wizard" o "Ejecutar el asistente de instalacin de los
servicios del Directorio Activo".

Podemos realizar una instalacin avanzada, pero no nos interesa, pulsamos en

"Siguiente",

Si nos vamos a unir a un rbol de dominios pulsaramos la primera opcin, y ya

despus veramos si lo que vamos a hacer es este cmo otro controlador de
dominio para un dominio ya existente o crearnos un nuevo dominio en un bosque
ya existente. Pero lo que interesa, si es el primer dominio para el primer bosque
pulsamos la segunda opcin: "Crear un nuevo dominio en un nuevo bosque" &
"Siguiente",

Indicamos el nombre de dominio que vamos a crear, tiene que llevar un punto ".".
Normalmente, suele ser el mismo que el dominio pblico de internet, pero no tiene
por que ser el mismo, Microsoft suele aconsejar que si no sabes cual poner, se le
ponga un .local. Lo que sea, "Next",

Realiza comprobaciones que este dominio no exista en la misma red...

Este sera el nombre NetBIOS del dominio, continuamos,

Aqu es donde tenemos que indicar el nivel funcional del bosque, ya que estamos
creando un nuevo bosque. Lo ideal es poner el nivel del bosque ms alto que se
pueda por seguridad, pero esto nos capar diversas posibilidades teniendo PC's o
servidores con versiones antiguas.
El nivel de bosque funcional "Windows Server Codename Longhorn" presenta un
nuevo nivel funcional para los bosques y dominios. Aunque el nivel de bosques de
Windows Server "Longhorn" (que saldr al mercado con otro nombre) no aporta
ninguna funcin nueva, garantiza que todos los dominios del bosque estn en el
nivel funcional de Windows Server "Longhorn", lo que permite dos mejoras. La
primera, el motor de replicacin ms actual del sistema de archivos distribuido
(DFS) para el recurso compartido SYSVOL, que ofrece mayor estabilidad, seguridad
y rendimiento. La segunda, compatibilidad del cifrado AES de 256 bits con el
protocolo de autenticacin Kerberos. Aunque el nivel funcional ms reciente
proporciona el mejor rendimiento, podr seguir usando los niveles inferiores al
migrar a Windows Server "Longhorn".
Tambin se han introducido varias extensiones de esquema para admitir nuevas
caractersticas, todas compatibles con los esquemas que se usan actualmente. Los
controladores de dominio que se ejecuten en Windows Server "Longhorn" podrn
coexistir y funcionar en combinacin con los que se ejecuten en Windows Server
2003.

Al ser el primer controlador de dominio, debemos marcar que tiene que ser servidor
DNS para la resolucin de nombres, as que hay que tener marcado el check de
DNS Server, aunque tambin se puede poner el servicio de DNS en otro servidor,
pero no tiene sentido. Adems ser catlogo global para gestionar los inicios de
sesin de los usuarios. Y este servidor al ser el primero del dominio no puede ser
RODC (Dontrolador de Dominio de Slo Lectura - Read Only Domain Controller),
pero si metemos uno adicional s que podra ser. "Siguiente",

Lgicamente pq es el primer servidor DNS, continuamos, "Siguiente",

Indicamos los directorios para almacenar la base de datos del Directorio Activo;
donde almacenar los ficheros de registro, los LOG; y cual ser el directorio
SYSVOL para almacenar los archivos que se replicarn entre los controladores de
dominio (scripts, directivas...), "Siguiente",

Indicamos la contrasea del administrador para el caso que necesitemos arrancar el

Controlador de Dominio en modo restauracin de Servicios de Directorio desde F8
al reiniciar. "Siguiente",

Podemos guardar las caractersticas aqu indicadas para poder usarlas con otro
controlador de dominio de modo que sea un archivo de instalacin desatendida, un
archivo de respuestas. Lo nico que no nos servira pq estamos creando un
dominio, esto lo lgico es usarlo cuando nos unimos a un dominio como controlador
de dominio adicional. "Siguiente" para empezar a crear el ADDS,

... esperamos a que se configure...

Ok, "Finish", ya est creado el dominio y tenemos ya nuestro primer controlador de

dominio.

Hay que reiniciar para que los cambios surjan efecto.

Unirse a un dominio Windows 2008,

En esta parte del documento simplemente veremos las opciones que hay que hacer
cuando queremos unir un servidor a un dominio ya existente, como controlador de
dominio adicional.

Instalacin de un controlador de dominio de slo lectura - Read Only

Domain Controller - RODC,
Una de las nuevas caractersticas que trae Microsoft Windows 2008 Server o
Longhorn es que podemos tener un controlador de dominio en la red de slo
lectura, esto tiene sentido por seguridad, por si necesitamos tener un controlador
de dominio en alguna delegacin y no queremos que nadie toque nada.
RODC trata algunas problemticas que son comunes de una Branch Office (BO).
Puede suceder que las BO no tengan un Domain Controller local, o que lo tengan,
pero no cumplan con las condiciones de seguridad necesarias que esto conlleva,
adems del ancho de banda necesario, o la propia experiencia y/o conocimientos
del personal tcnico.
A raz de la problemtica enunciada anteriormente, RODC provee las siguientes
caractersticas:
Read-only AD DS Database.
Unidirectional replication.
Credential Caching.
Administrator role separation.
Read-only DNS.
Read-only AD DS Database
Exceptuando contraseas, un RODC contiene todos los objetos y atributos que tiene
un DC tpico. Sin embargo, por supuesto, no pueden llevarse a cabo cambios que
impacten a la base de un RODC. Todo tipo de cambios que se quieran realizar,
debern llevarse a cabo en un DC no RODC, y luego impactados va replicacin en
la base del RODC.
Aquellas aplicaciones que requieran acceso en modo lectura a la base de AD lo
tendrn sin problema alguno. Sin embargo, aquellas que requieran acceso de
escritura, recibirn un LDAP referral, que apuntar directamente a un DC no RODC.
Unidirectional replication
La replicacin unidireccional de RODC, que aplica tanto para AD DS y DFS, permite
que, en caso de que se logre hacer algn cambio con la intencin de modificar la
integridad de la base de datos de AD, no se replique al resto de los DCs. Desde el
punto de vista administrativo, este tipo de replicacin reduce la sobrecarga de
bridgehead servers, y la monitorizacin de dicha replicacin.
Credential Caching
Por defecto, RODC no almacena credenciales de usuario o computadora,
exceptuando por supuesto, la cuenta correspondiente al propio RODC y la cuenta
especial krbtgt que cada RODC tiene. Se debe habilitar explcitamente el
almacenamiento de cualquier otro tipo de credencial.
Se debe tener en cuenta que limitar Credential Caching solo a aquellos usuarios que
se autentican en el RODC, limita tambin la seguridad de dichas cuentas. Sin
embargo, solo dichas cuentas sern vulnerables a posibles ataques.
Deshabilitar Credential Caching conlleva a que cualquier solicitud de autenticacin
se redireccione a un DC no RODC. Es posible, sin embargo, modificar la Password

Replication Policy para permitir que las credenciales de usuarios sean cacheadas en
un RODC.
Administrator Role Separation
Es posible delegar permisos administrativos nicamente para un RODC, limitando la
realizacin de tareas administrativas nicamente en el RODC, y no en otros DCs.
Read-only DNS
El servicio DNS de un RODC no soporta actualizaciones de clientes directas. Como
consecuencia de esto, tampoco registra registros NS de ninguna zona integrada que
contenga. Cuando un cliente intenta actualizar su registro DNS contra el RODC, el
servidor devuelve un referral, que por supuesto, es utilizado posteriormente por el
cliente para actualizar su registro. Sin embargo, el RODC solicita tambin la
replicacin del registro especfico.

Para instalar un RODC, lo que hay que hacer es marcar el check durante la
promocin a controlador de dominio de "Read-only domain controller (RODC)".

Unirse a un dominio usando Microsoft Windows 2008 Core (RODC),

En esta parte del documento simplemente veremos las opciones que hay que hacer
cuando queremos unir un servidor a un dominio ya existente, como controlador de

dominio adicional pero usando Windows Core, jo, este controlador de dominio slo
ser de lectura, ser un Read Only Domain Controller.

Para unirnos como controlador de dominio adicional en un dominio existente como

controlador de slo lectura (RODC) que es la funcin que puede implementar un
Core, hay que ejecutar el siguiente comando: dcpromo /unattend /InstallDns:yes
/confirmGC:yes /replicaOrNewDomain:replica /ReplicaDomainDNSname:"DOMINIO"
/databasePath:"C:\Windows\ntds" /logPath:"C:\Windows\ntdslogs"
/sysvolpath:"C:\Windows\sysvol" /safeModeAdminPassword:XXXXX
/rebootOnCompletion:yes
Lgicamente, estos son los parmetros ms genricos, podemos guardar estos
parmetros en un fichero de instalacin desatendida, llamado normalmente
unattend.txt para poder usarlo directamente con el resto de servidores: dcpromo
/unattend:unattend.txt
En esta web de Microsoft estn todos los parmetros posibles para usar con el
archivo de instalacin desatendida:
http://technet2.microsoft.com/windowsserver2008/en/library/d660e761-9ee74382-822a-06fc2365a1d21033.mspx