Configuracion AD Windows Server 2008

MÓDULO 2 – CONFIGURACIÓN DE ACTIVE DIRECTORY MS
WINDOWS SERVER 2008 70-640
José Ramón Ramos

MÓDULO 1 ‐ INSTALACIÓN
PRÁCTICA Nº 1 Crear un bosque en Windows Server 2008
1. Creamos una máquina virtual con la aplicación VMWare Workstation, que tendrá las siguientes características:
2. Instalamos MS Windows Server 2008 Enterprise edition en nuestra máquina virtual:

3. Realizamos la configuración posterior a la instalación:
 Zona horaria
 Nombre del equipo
 Configuración de red TCP/IP: dirección IP, máscara de subred, default Gateway, DNS …
4. Instalamos un nuevo bosque en Windows Server 2008 con la interfaz de Windows:
 Instalamos los servicios de dominio de active directory

 Instalamos un nuevo bosque en Windows server 2008:

PRÁCTICA Nº 2 Instalar un controlador de dominio en un server core
1. Creamos una máquina virtual con la aplicación VMWare Workstation, que tendrá las siguientes características:
2. Instalamos MS Windows Server 2008 Standard edition (Instalación server core) en nuestra máquina virtual:

3. Realizamos la configuración posterior a la instalación de server core:
 Zona horaria
 Nombre del equipo
 Configuración de red TCP/IP: dirección IP, máscara de subred, default Gateway, DNS …
 Unión del equipo al dominio contoso.com
4. Instalar DNS‐server‐core‐role

5. Configuramos nuestro server core como controlador de dominio, agregando la función servicios de dominio de
active directory:

6. Observamos que nuestro servidor Server02 se ha promocionado a domain controller:
José Ramón Ramos Gata

MÓDULO 2 ‐ ADMINISTRACIÓN
PRÁCTICA Nº 1 Crear y administrar un MMC personalizado
1. Creamos un MMC personalizado en el servidor creado anteriormente, Server01:
 Agregamos los complementos usuarios y equipos de active directory, esquema de active directory y
administración de equipos y lo guardamos con el nombre de MyConsole.msc:
2. Agregamos el complemento visor de eventos a nuestro MMC MyConsole y lo guardamos :

3. Podemos administrar los complementos de nuestro MMC MyConsole:
 Podemos subir o bajar el orden en el que aparecen en la consola.
 Podemos quitar complementos.
 Podemos editar extensiones que son complementos que existen en otros complemento para brindar
funcionalidad adicional, donde se puede habilitar las extensiones seleccionadas.

4. Preparamos la consola MyConsole para la distribución a usuarios:
Guardamos la consola en el modo usuario para que los usuarios no agreguen, eliminen, o modifiquen los
complementos.

PRÁCTICA Nº 2 Crear y ubicar objetos en active directory
1. Creamos las siguientes unidades organizativas con su descripción:
 People Identidades de usuarios no administrativas
 Clients  Equipos clientes
 Groups  Grupos no administrativos
 Admins  Identidades y grupos administrativos
 Servers  Servidores
2. Creamos usuarios en varias de las unidades organizativas:

3. Creamos equipos en varias de las unidades organizativas:

4. Creamos grupos en varias de las unidades organizativas:
5. Agregamos usuarios y equipos a grupos:

6. Encontrar objetos en active directory:
 Botón encontrar objetos en los servicios de dominio de active directory

 Consultas guardadas
PRÁCTICA Nº 3 Delegar tareas administrativas
1. Delegar control para el soporte de las cuentas de usuario:
 En esta práctica habilitaremos el grupo help desk para dar soporte a los usuarios restableciendo contraseñas y
desbloqueando cuentas de usuario en la OU People:

2. Ver permisos delegados:
 Veremos los permisos asignados al grupo help desk:


MÓDULO 3 ‐ USUARIOS
PRÁCTICA Nº 1 Automatizar la creación de cuentas de usuario
1. Creamos usuarios con una plantilla de cuenta de usuario:
 Primero creamos la plantilla _sales
 Ahora crearemos una cuenta de usuario a partir de la plantilla:

2. Crearemos un usuario con el comando Dsadd:

3. Importaremos usuarios con CSVDE:
Se han creado estos dos usuarios:

4. Importaremos usuarios con LDIFDE:

Se han creado estos dos usuarios:
PRÁCTICA Nº 2 Crear usuarios con Windows PowerShell y VBScript
1. Instalamos Windows PowerShell en nuestro servidor Server01:

2. Creamos un usuario con Windows PowerShell:

3. Crearemos un nuevo usuario con un script de Windows PowerShell:
 Creamos el siguiente script con el bloc de notas y lo guardamos con el nombre Newuser.psl:

 Habilitamos y ejecutamos el script:
 Comprobamos que el usuario se ha creado correctamente:

4. Crearemos un Nuevo usuario con un script VBScript:
 Creamos el siguiente script con el bloc de notas y lo guardamos con el nombre Newuser.vbs
 Ejecutamos el script:

 Comprobamos que el usuario se ha creado correctamente:
PRÁCTICA Nº 3 Dar soporte a objetos de usuario y cuentas
1. Ver todos los atributos de un usuario:

2. Administrar atributos de múltiples objetos:
 Seleccionamos los usuarios a los que queremos modificar los atributos:
 Modificamos los atributos de los usuarios:

3. Administrar atributos de usuario con los comandos DS:
 Modificaremos el atributo office de dos usuarios y deshabilitaremos las cuentas:

 Ahora habilitaremos de nuevo a los dos usuarios anteriormente deshabilitados:

4. Restablecer contraseña y desbloquear una cuenta de usuario:
MÓDULO 4 ‐ GRUPOS
PRÁCTICA Nº 1 Crear y administrar grupos
1. Creamos los grupos de diferentes ámbitos y tipos:
 Creamos el grupo Sales con ámbito global y tipo seguridad:
 Agregamos algunos miembros:

 Creamos dos grupos más con ámbito global y tipo seguridad, llamados Marketing y Consultants:
 Creamos un grupo de seguridad de dominio local llamado ACL_Sales Folder Read:

 Agregamos algunos miembros:
 Creamos la carpeta sales en C para observar como se le pueden asignar permisos a los grupos creados
anteriormente:

 Creamos un grupo de distribución de dominio local llamado Employees:
2. Convertir el tipo de grupo y el ámbito:
 Modificaremos el tipo del grupo Employees a distribución:

 Modificaremos el ámbito del grupo a Universal:
 Modificaremos el ámbito del grupo a Global:

PRÁCTICA Nº 2 Automatizar la creación y administración de grupos
1. Crearemos un grupo con Dsadd:

2. Importar grupos con CSVDE:

3. Modificar la pertenencia de grupos con LDIFDE:
 Creamos el archivo membershipchange.ldf con el bloc de notas y en el símbolo del sistema introducimos el
comando que aparece en la captura de pantalla:
 Verificamos en el complemento Usuarios y equipos de Active Directory que la pertenencia del grupo Accounting
ha cambiado de acuerdo a las instrucciones del archivo LDIF:

4. Modificamos la pertenencia al grupo con Dsmod:
5. Confirmar la pertenencia de grupo con Dsget:
 Primero veremos la lista de los miembros directos de los grupos accounting y finance introduciendo los
siguientes comandos:
 Ahora mostraremos los miembros completos del grupo Finance introduciendo el siguiente comando:

 Ahora mostraremos la pertenencia directa de grupo de Scott Mitchell introduciendo el siguiente comando:
 Por último mostraremos la pertenencia completa de grupo de Scott Mitchell introduciendo el siguiente
comando:

PRÁCTICA Nº 3 Administrar grupos en una empresa
1. Crear un grupo bien documentado:
 En esta práctica crearemos un grupo para administrar el acceso a la carpeta Budget.
 Creamos el grupo ACL_Budget_Edit con las siguientes características:
 Lo protegemos contra eliminación accidental:

 Introducimos una descripción y algunas notas:
2. Delegamos la administración de la pertenencia al grupo:
 En esta práctica daremos a Mike Danseglio la habilidad para administrar la pertenencia del grupo
ACL_Budget_Edit:

3. Validamos la delegación de la administración de pertenencia:
 Comprobaremos la delegación que hemos realizado en la práctica anterior, modificando la pertenencia al grupo
como Mike Danseglio.
 Abrimos el símbolo del sistema como Mike Danseglio:
 Introducimos el siguiente comando y comprobamos en el complemento usuarios y equipos de active directory la
pertenencia del grupo ACL_Budget_Edit:


MÓDULO 5 ‐ EQUIPOS
PRÁCTICA Nº 1 Crear equipos y unirlos al dominio
1. Crear OU para objetos de equipo para clientes y servidores:
2. Crear objetos de equipo:
 Primero creamos una cuenta de equipo sobre la OU Clients y el grupo que permitirá unir el equipo al dominio
será Help Desk:

 Segundo creamos una cuenta de servidor sobre la OU Servers y el grupo que permitirá unir el equipo al dominio
será Server Admins:

3. Delegar la habilidad para crear objetos de equipo:
 Agregaremos al grupo Help Desk la habilidad para crear cuentas de equipo en el dominio:

4. Redirigir el contenedor de equipos predeterminado:
 Abrimos el símbolo del sistema e introducimos el siguiente comando:

5. Uniremos un equipo con MS Windows 7 Professional al dominio:
 Creamos una máquina virtual con la aplicación VMWare Workstation, que tendrá las siguientes características:
 Instalamos MS Windows 7 Professional en nuestra máquina virtual:

 Preparamos el equipo para agregarlo al dominio:

 Comprobamos que el equipo se ha agregado correctamente al dominio:

PRÁCTICA Nº 2 Automatizar la creación de objetos de equipo
1. Crear un equipo con Dsadd:
2. Importar equipos utilizando CSVDE:
 Creamos el archivo computers.csv con el bloc de notas:
 Introducimos el siguiente comando y verificamos que los equipos se han creado correctamente:

3. Importar equipos desde un archivo LDIF:
 Creamos el archivo computers.ldf con el bloc de notas:

4. Crear un equipo con Windows PowerShell:
5. Crear un equipo con VBScript:
 Creamos el archivo createcomputer.vbs con el bloc de notas:

PRÁCTICA Nº 3 Dar soporte a objetos de equipo y cuentas
1. Administrar objetos de equipo:
 Cambio la ficha administrado por en las propiedades del equipo Desktop154 y pongo al usuario scott.mitchell:

 Cambio la ficha administrado por en las propiedades del equipo Desktop155 y pongo al usuario linda.mitchell:
 Desplazamos los objetos de equipos Desktop154 y Desktop 155 a la unidad organizativa Desktops:

 Seleccionamos los objetos de equipos Desktop154 y Desktop 155 y cambiamos sus descripciones:
 Administrar Server01:

2. Resolución de problemas de cuentas de equipo:
 Simularemos restablecer el canal seguro de un miembro del dominio.
 Comando nltest:

 Comando netdom:
 Simularemos restablecer el canal de seguridad de un equipo introduciendo el comando netdom reset
desktop154.Recibiremos un error, ya que el servidor RPC no está disponible, ya que el sistema está fuera de
línea:

MÓDULO 6 – INFRAESTRUCTURA DE LA DIRECTIVA DE GRUPO
PRÁCTICA Nº 1 Implementar la directiva de grupo
1. Crear, editar y delimitar un objeto de directiva de grupo :
 Creamos un GPO llamado CONTOSO Standards:

 Introducimos un comentario para el GPO:
 Configuramos el GPO para el protector de pantalla:

 Vinculamos el GPO que hemos creado al dominio contoso.com:

2. Ver los efectos de la aplicación de la directiva de grupo:
 Abrimos un símbolo de sistema para actualizar la directiva de grupo con el siguiente comando:
 Como podemos observar ya se han actualizado las directivas de grupo:
3. Explorar el GPO:
 Ámbito:

 Configuración:

 Detalles:
 GPT (Plantilla de política de grupo) del GPO (Objeto de directva de grupo):

4. Explorar las plantillas administrativas:
 Abrimos la carpeta PolicyDefinitions y dentro de esta abrimos es‐Es:
 Abrimos el siguiente archivo con el bloc de notas:

 Buscamos el siguiente texto:

 Abrimos el siguiente archivo con el bloc de notas:
 Buscamos el siguiente texto:
5. Crear un almacén central de plantillas administrativas:

 Abrimos la siguiente carpeta:
 Creamos una carpeta llamada PolicyDefinitions:

 Copiamos el contenido de %systemroot%\PolicyDefinitions a la carpeta que acabamos de crear:

PRÁCTICA Nº 2 Configurar el ámbito de la directiva de grupo
1. Crear un GPO con la configuración de directiva que toma prioridad sobre una configuración conflictiva:
 Creamos la unidad organizativa Engineers:
 Creamos un GPO y lo vinculamos sobre esta OU:

 Editamos en el nuevo GPO las propiedades del tiempo de espera del protector de pantalla:
 Prioridad del nuevo GPO creado:
2. Configurar la opción Exigido:
 Creamos un nuevo GPO en el dominio y lo vinculamos sobre éste:

 Editamos en el nuevo GPO el inicio de sesión:
 Configuramos el GPO como Exigido:
 Prioridad del nuevo GPO creado:

3. Configurar el filtrado de seguridad:
 Creamos un grupo de seguridad global dentro de la OU Groups:
 Eliminamos el GPO Engineering Application Override:

 Delegamos permisos para el grupo creado anteriormente y denegamos el permiso de aplicar directivas de grupo:
4. Directiva de procesamiento de bucle invertido:
 Creamos un grupo de seguridad global dentro de la OU Groups:

 Creamos un nuevo GPO:
 Editamos el GPO y configuramos el tapiz de escritorio:

 Habilitamos la directiva de procesamiento de bucle invertido:
 Configuramos el filtrado de seguridad quitando el grupo usuarios autenticados y agregando Sales Laptops:

 Vinculamos el GPO Sales Laptop configuration a la OU Clients:
PRÁCTICA Nº 3 Configurar el ámbito de la directiva de grupo
1. Utilizar el asistente para resultados de directivas de grupo:
 Iniciamos la actualización de la directiva de grupo:
 Abrimos el asistente para resultados de directivas de grupo:

 Ficha Resumen:
 Ficha configuración:

 Eventos de directiva (Última actualización de la directiva de grupo, realizada con el comando gpupdate
del paso 1) :
 Guardamos el informe como archivo HTML:

2. Utilizar el comando Gpresult:
 Desde el símbolo del sistema introducimos el comando Gpresult /r para mostrar el resumen RSoP:
 Desde el símbolo del sistema introducimos el comando Gpresult /v para mostrar el resumen RSoP más
detallado:

 Desde el símbolo del sistema introducimos el comando Gpresult /z para mostrar el resumen RSoP mucho más
detallado:
 Guardamos el informe RSoP como archivo HTML en la carpeta Documentos:
3. Eventos de directiva:
 Visualizar el visor de eventos, filtrando la búsqueda por grouppolicy en sistema:

 Visualizar el visor de eventos, aplicación:
 Registro de aplicaciones y servicios, evento relacionado con la actualización de la directiva de grupo aplicacda en
el punto 1 de la práctica 3:

4. Realizar el modelado de la directiva de grupo:
 Se crea la cuenta de usuario para Mike Dansenglio en la OU People:
 Se crea una cuenta de equipo en la OU Clients llamada LAPTOP101:
 Agregamos LAPTOP101 y usuarios de dominio al grupo Sales Laptops:
 Asistente para modelado de directiva de grupo:


MÓDULO 7 – CONFIGURACIÓN DE LA DIRECTIVA DE GRUPO
PRÁCTICA Nº 1 Delegar pertenencia utilizando la directiva de grupo
1. Delegar la administración de todos los clientes en el dominio:
 Creamos un GPO llamado Corporate Help Desk:
 Editamos en el nuevo GPO los grupos restringidos:

 Vinculamos el nuevo GPO creado y configurado a la OU Clients:

2. Delegar la administración de un subconjunto de clientes en el dominio:
 Creamos un GPO llamado New York Support:
 Editamos en el nuevo GPO los grupos restringidos:

 Vinculamos el nuevo GPO creado y configurado a la OU Clients\NYC:
3. Confirmar la aplicación acumulativa de las directivas Miembro de:
 Utilizaremos el modelado de las directivas de grupo:

 Seleccionamos la OU NYC:
 Nos iremos a la última página del asistente sin recopilar más información:

 Informe de modelado de directivas de grupo para las configuraciones hechas en las anteriores prácticas:
4. Confirmar la pertenencia del grupo Administradores:
 Iniciamos sesión en el equipo desktop101 como administrador del dominio:

 En administración de equipos ampliamos el nodo grupos y usuarios locales, en la carpeta grupos, abrimos el
grupo administradores, y quedaría listado de la siguiente forma:
PRÁCTICA Nº 2 Administrar las configuraciones de seguridad
1. Configurar la directiva de seguridad local:
 En las directivas de seguridad local del server01 permitiremos a un grupo iniciar sesión en este equipo utilizando
el escritorio remoto:

 Probamos la configuración realizada desde el equipo desktop101, hemos agregado el usuario jramos al grupo
SYS_DC Remote Desktop:
 Eliminaremos la configuración realizada para prácticas posteriores:

2. Crear una plantilla de seguridad:
 Creamos una consola personalizada con el nombre Security Management:
 Creamos una nueva plantilla:
 Definimos la configuración de la plantilla:
 Guardamos la nueva plantilla:

3. Utilizar el complemento configuración y análisis de seguridad:
 Modificamos la consola creada en la práctica anterior:
 Creamos una nueva base de datos de seguridad:
 Analizamos el equipo:

 Observamos que hay un problema en la directiva permitir inicio de sesión a través de Terminal Services, esto
indica una discrepancia entre la base de datos y la configuración del equipo:

 Modificamos la configuración de la base de datos:
 Guardamos la configuración y análisis de seguridad:
 Exportamos la plantilla:

 Observamos los dos grupos habilitados para permitir inicio de sesión a través de Terminal Services:
 Configurar equipo ahora:

 Confirmaremos que se aplico la modificación al derecho de usuario:
4. Utilizar el asistente para configuración de seguridad:
 Abrimos el asistente para configuración de seguridad:

 Creamos una nueva directiva en el server01:
 Podemos explorar las configuraciones que se descubrieron en el server01:

 Comparación de todos los servicios:
 Reglas de seguridad de red:

 Resumen de las configuraciones del registro:
 Resumen de auditoría de directiva:

 Guardamos la directiva de seguridad con el nombre DC Security Policy y lo incluimos como
plantilla de seguridad:

 Vemos las directivas de seguridad:
 Aplicamos la directiva de seguridad más tarde:
5. Transformar una directiva de seguridad del asistente para configuración de seguridad a una directiva de grupo:
 Abrimos el símbolo de sistema e introducimos los siguiente comandos:

 Este es el GPO creado con el comando scwcmd:
 Confirmamos configuración:

PRÁCTICA Nº 3 Administrar software con la directiva de grupo de instalación de
software
1. Crear un GPO de implementación de software:
 Creamos el nuevo GPO:
 Editamos el nuevo GPO:
 Implementamos software:

 Modoficamos el ámbito del GPO XML Notepad:

 Vinculamos el GPO XML Notepad al dominio contoso.com:
2. Actualizar una aplicación:
 Editamos el GPO XML Notepad:
 Implementamos la actualización del software:

 Eliminamos el paquete de actualización simulada:

PRÁCTICA Nº 4 Auditoría
1. Configurar permisos y configuraciones de auditoría:
 Configuramos los permisos sobre la carpeta Confidential Data en la unidad C:
 Configuramos la auditoría sobre la carpeta Confidential Data en la unidad C:

2. Habilitar la directiva de auditoría:
 Editamos el GPO DC Security Policy:
 Actualizamos las directivas:
3. Generar eventos de auditoría:
 Accedemos al server01 con un usuario del grupo Consultants:

 Observamos que con el usuario jfine no tengo permisos para acceder a la carpeta Confidential Data:
 Al intentar cortar un archivo desde el escritorio a la carpeta Confidential Data, no tengo permisos:
4. Examinar el registro de seguridad:
 Observaremos el visor de eventos para ver los intentos de un consultor de acceder a la carpeta Confidential
Data:

 Configuramos un filtro para filtrar lo que queremos buscar:
5. Utilizar la auditoría de cambios en los servicios de directorio:
 Configuramos la auditoría para el grupo Administradores del dominio:

 Agregamos y quitamos el usuario jfine al grupo Administradores del dominio:
 Observamos el registro de seguridad para ubicar los eventos generados cuando agregamos y eliminamos el
usuario jfine:
 Ahora habilitaremos la auditoría cambios en el servicio de directorio con el siguiente comando:

MÓDULO 8 ‐ AUTENTICACIÓN
PRÁCTICA Nº 1 Configurar las directivas de bloqueo y contraseña
1. Configuramos las directivas de bloqueo y contraseña del dominio:
 Editamos el GPO Default Domain Policy:
 Configuramos la directiva de contraseñas:
 Configuramos la directiva del bloqueo de cuenta:
2. Crearemos objetos de configuración de contraseñas:
 Abrimos el editor ADSI y seleccionamos conectar a:

 Introducimos el nombre:
 Abrimos la siguiente ruta:

 Configuramos el objeto de configuración de contraseña (PSO):

 Configuramos más atributos:
 Quedaría de la siguiente manera:

3. Identificamos el PSO resultante para un usuario:
 Sobre la cuenta administrador seleccionamos propiedades y nos vamos a la ficha editor de atributos:
 En el botón filtro seleccionamos construidos:

 En la lista atributos ubicamos msDS‐ResultantPSO:
4. Eliminamos el PSO creado:
 Abrimos la siguiente ruta:

 En el panel de detalles de la consola seleccionamos CN=My Domain Admins PSO y le damos a eliminar:
PRÁCTICA Nº 2 Auditar la autenticación
1. Configurar la auditoría de eventos de inicio de sesión de cuenta:
 Editamos el GPO Default Domain Controllers Policy:
 Auditamos eventos de inicio de sesión de cuenta:

 Auditamos eventos de inicio de sesión:
 Actualizamos las directivas con el siguiente comando:
2. Generar eventos de inicio de sesión de cuenta:
 Cerramos sesión en SERVER01:
 Iniciamos sesión como administrador con una contraseña incorrecta y repetimos el paso dos veces más:

 Iniciamos sesión con la contraseña correcta:
3. Examinamos los eventos de inicio de sesión de cuenta:
 Abrimos el visor de eventos e identificamos los eventos erróneos de inicio de sesión de cuenta:

 Abrimos el visor de eventos e identificamos los eventos correctos de inicio de sesión de cuenta:
PRÁCTICA Nº 3 Configurar los controladores de dominio de sólo lectura
1. Instalar un RODC:
 Creamos una máquina virtual con la aplicación VMWare Workstation, que tendrá las siguientes características:
 Instalamos MS Windows Server 2008 Standard edition en nuestra máquina virtual:

 Realizamos la configuración posterior a la instalación:
‐ Zona horaria
‐ Nombre del equipo
‐ Configuración de red TCP/IP: dirección IP, máscara de subred, default Gateway, DNS …
‐ Unimos el equipo al dominio contoso.com
 Introducimos el comando dcpromo para convertir el equipo branchserver en un controlador de dominio de solo
lectura (RODC):

 Configuramos el controlador de dominio con el asistente para la instalación de los servicios de dominio de active
directory:

 El asistente configura los servicios de dominio de active directory:
 Observamos que branchserver ya es un RODC:

2. Configuramos la directiva de replicación de contraseñas:
 Iniciamos sesión en el server01 y abrimos usuarios y equipos de AD, ampliamos el dominio y seleccinamos el
contenedor Users:
 Pertenencia predeterminada del Grupo de replicación de contraseña RODC permitida:
 Agregamos el grupo DnsAdmins como un miembro del grupo Grupo de replicación de contraseña RODC
denegada:

 Identificamos las configuraciones de la directiva de replicación de contraseña(PRP) para los dos grupos, en las
propiedades de la máquina branchserver:
 Agregamos en las propiedades de PRP permitir la replicación en este RODC de contraseñas de la cuenta:
 En agregar usuarios introducimos el grupo Branch Office Users y aceptamos:

3. Supervisamos las credenciales almacenadas en caché:
 Iniciamos sesión en branchserver con dos usuarios distintos:
 Iniciamos sesión ahora como administrador y en usuarios y equipos de AD en las propiedades de branchserver
en la OU Domain Controllers hacemos clic en opciones avanzadas de la ficha Directiva de replicación de
contraseñas, y observamos que la entrada para James Fine está almacenada cuando inició sesión en el paso
anterior, ya que pertenece al grupo Branch Office Users, las credenciales para Mike Danseglio no se almacenaron
ya que este usuario no pertenece a este grupo:

4. Rellenar previamente las credenciales para el almacenamiento en caché:
 Iniciamos sesión en el server01 y abrimos usuarios y equipos de AD, en las propiedades de branchserver en la OU
Domain Controllers hacemos clic en la ficha Directiva de replicación de contraseñas, clic en opciones avanzadas y
clic en rellenar contraseñas previamente e introducimos el siguiente usuario:
 Nos dice que lo ha hacho de forma correcta:
 Observamos que las credenciales de Adam Carter ahora están almacenadas en la caché del RODC:

MÓDULO 9 – INTEGRAR EL SISTEMA DNS CON AD DS
PRÁCTICA Nº 1 Instalar el servicio DNS
1. Instamos un servidor DNS primario:
 En la máquina SERVER10 nos vamos a administrador de servidor y agregar funciones:
 Seleccionamos servidor DNS:
 Ya tenemos la instalación finalizada:

 Exploramos la estructura del contenedor servidor DNS:
2. Instalamos AD DS y creamos un nuevo bosque:
 En el administrador del servidor (Server10) agregamos la función servicios de dominio de active directory:
 Examinamos los resultados de la instalación:

 Hacemos clic en el nodo Servicios de dominio de active directory y ejecutamos el asistente para la instalación:
 Creamos un nuevo dominio en un nuevo bosque:
 Asignamos un nombre al dominio raíz:

 Establecemos el nivel funcional del bosque como Windows server 2008:
 Opciones adicionales del controlador de dominio:

 Ubicación de la base de datos, los archivos de registro y SYSVOL:
 Introducimos la contraseña de administrador del modo de restauración de servicios de directorio:

 Confirmamos las configuraciones en la ventana resumen y reiniciamos el servidor al completar la instalación:
 Después de reiniciar, iniciamos sesión en el nuevo dominio como treyresearch\administrador y observamos los
cambios que se han producido en el servidor DNS:
3. Creamos una zona de delegación manual:
 Abrimos el servidor DNS en el Server10 y hacemos clic en el nodo Zonas de búsqueda ditecta:

 Agregamos una zona nueva:
 Tipo de zona, zona principal y nos aseguramos de almacenar la zona en active directory:

 En el ámbito de replicación seleccionamos la siguiente opción:
 Introducimos el nombre de zona:

 En actualización dinámica seleccinamos la siguiente opción:
 Hacemos clic en finalizar para crear la zona:
 Observamos que la nueva zona se ha creado:

 Agregamos nueva delegación:
 Introducimos el nombre de dominio delegado:

 Agregamos los servidores de nombres y aceptamos:
 Finalizamos el asistente para agregar nueva delegación:
4. Instalamos AD DS y creamos un nuevo árbol de dominio:

 Instalamos los Servicios de dominio de active directory:
 Ejecutamos el asistente para la instalación de los servicios de dominio de Active directory en modo avanzado,
esta opción nos permite crear un nuevo árbol de dominio:

 Elegimos la siguiente configuración de implementación:
 En las credenciales de red introducimos lo siguiente:
 Asignamos un nombre a la nueva raíz del árbol de dominios:
 Introducimos en nombre netbios:

 Aceptamos el sitio predeterminado:
 En las opciones adicionales de controlador de dominio seleccionamos las siguientes opciones:
 En la delegación DNS seleccionamos:

 En controlador de dominio de origen seleccionamos:

 Después de reiniciar, iniciamos sesión en el nuevo dominio como northwindtrader\administrador y observamos
los cambios que se han producido en el servidor DNS:
5. Instalamos el AD DS y creamos un dominio secundario:
 Instalamos los Servicios de dominio de active directory:

 Ejecutamos el asistente para la instalación de los servicios de dominio de Active directory:
 Elegimos la siguiente configuración de implementación:

 En las credenciales de red introducimos lo siguiente:
 Asignamos un nombre al nuevo dominio:
 En seleccionar sitios utilizamos las configuraciones predeterminadas:

 En las opciones adicionales de controlador de dominio seleccionamos las siguientes opciones:

 Después de reiniciar, iniciamos sesión en el nuevo dominio como Intranet\administrador y observamos los
cambios que se han producido en el servidor DNS:
PRÁCTICA Nº 2 Finalizar una configuración DNS en un bosque
1. Administración de nombres únicos de etiquetas:
 Agregamos una zona nueva en el servidor DNS server10, desde zonas de búsqueda directa:

 En el asistente para crear zona nueva seleccionamos:
 En nombre de zona introducimos:

 En actualización dinámica seleccionamos:
 Finalizamos para crear la zona:
 Hacemos lo mismo en el server20.

2. Crearemos nombres únicos de etiquetas:
 En el server10 sobre GlobalNames seleccionamos Alias Nuevo (CNAME):
 En el nuevo registro de recursos introducimos:
 Observamos que ya se ha creado el registro:

 Desde el símbolo del sistema creamos el registro de recursos para server20 y server30:
3. Modificar una lista global de consultas bloqueadas:
 En el server10 introducimos el siguiente comando en el símbolo del sistema:

MÓDULO 10 – CONTROLADORES DE DOMINIO
PRÁCTICA Nº 1 Instalar Controladores de Dominio
1. Crear un DC adicional con el asistente de instalación de los servicios de dominio de Active Directory:
 Introducimos el comando dcpromo en el server02:
 Seleccionamos la siguiente configuración de implemantación:
 En credenciales de red seleccionamos la siguiente configuración:

 En dominio seleccionamos las siguientes opciones:
 En sitio seleccionamos las siguientes opciones:
 En opciones adicionales seleccionamos:

 En ubicación de la base de datos, los archivos de registro y SYSVOL configuramos:
 En contraseña de administrador del modo de restauración de servicios de directorio configuramos:
 Exportamos configuración y lo guardamos como:

 En la ventana resumen de asistente para la instalación de los servicios de dominio de active directory hacemos
clic en cancelar y en si para confirmarlo:
2. Agregar un controlador de dominio desde el símbolo del sistema:
 Abrimos el archivo AdditionalDC.txt creado anteriormente:

 Abrimos el símbolo de sistema e introducimos el siguiente comando, se completará la instalación y se reiniciará
el servidor server02:
 Observamos desde la consola usuarios y equipos de active directory del server01, como el server02 ya es un
controlador de dominio:

3. Creación de medios de instalación:
 Iniciamos sesión en el server01 y abrimos el símbolo del sistema e introducimos los siguientes comando:
 Observamos que se ha creado la carpeta ifm en C con todo el contenido de AD SD:

PRÁCTICA Nº 2 Transferir funciones de maestro de operaciones
1. Identificar el maestro de operaciones:
 Iniciamos sesión en el server01 y abrimos la consola usuarios y equipos de active directory, maestro de
operaciones:
 Las fichas identifican los controladores de dominio que actualmente realizan las funciones de maestro de
operaciones:

 Abrimos el complemento Dominios y confianzas de active directory y seleccionamos maestro de operaciones:
 Identificamos que servidor está haciendo la función de maestro de nomenclatura de dominio:
 Registramos el complemento Esquema de active directory para poder abrir la consola:

 Agregamos como complemento a la consola personalizada Esquema de active directory y seleccinamos maestro
de operaciones:
 Observamos el DC que está realizando la función de maestro de esquema:
 En el símbolo del sistema con el siguiente comando se listan todos los maestros de operaciones:

2. Transferir una función de maestro de operaciones:
 Abrimos el complemento usuarios y equipos de active directory y sobre el dominio contoso.com seleccionamos
cambiar controlador de dominio:
 Seleccionamos server02.contoso.com:
 Seleccionamos maestro de operaciones:

 Hacemos la transferencia de la función de maestro de operaciones de server01 a server02:
PRÁCTICA Nº 3 Configurar la replicación DFS de SYSVOL
1. La experiencia de la replicación de SYSVOL:
 Iniciamos sesión en el server01 y creamos un archivo de texto en la siguiente ruta:

 Iniciamos sesión en el server02 y comprobamos que el archivo de texto se ha replicado en la misma ruta:
2. Preparación para migrar a DFS‐R:
 Visualizamos el nivel funcional del dominio en el server01, que es el nivel que necesitamos (Windows Server
2008) para poder hacer la migración a DFSR:
 En el símbolo del sistema introducimos el siguiente comando para informarnos de que la migración a DFSR no ha
sido inicializada:

3. Migrar la replicación de SYSVOL a DFS‐R:
 Iniciamos sesión en el server01 y vamos introduciendo los siguientes comandos:

MÓDULO 11 – SITIOS Y REPLICACIÓN
PRÁCTICA Nº 1 Configurar sitios y subredes
1. Configurar el sitio predeterminado:
 Abrimos el complemento sitios y servicios de Active Directory y hacemos lo siguiente:
 Seleccionamos nueva subred e introducimos los siguientes datos:

2. Crear un sitio adicional:
 Abrimos el complemento sitios y servicios de active directory y agregamos un nuevo sitio:
 Le asignamos el siguiente nombre:

 Seleccionamos nueva subred e introducimos los siguientes datos:
 En las propiedades de la nueva subred creada le asignamos una descripción:

PRÁCTICA Nº 2 Replicación y las particiones de directorio
1. Configurar un servidor de catálogo global:
 Iniciamos sesión en el server02 y abrimos el complemento sitios y servicios de active directory:
 Seleccionamos el server02 como catálogo global:
2. Configurar la caché de pertenencia al grupo universal:
 Abrimos el complemento sitios y servicios de active directory y seleccionamos nuevo sitio:

 Introducimos los siguientes datos:
 Abrimos las propiedades del sitio y seleccionamos las siguientes opciones:

3. Examinar las particiones del directorio de aplicaciones:
 Abrimos el editor ADSI y seleccionamos conectar a:
 Elegimos las siguientes opciones:
 Seleccionamos la siguiente ruta:

 Conectamos a:
 Introducimos las siguientes opciones:
 Seleccionamos la siguiente ruta y observamos los registros DNS para el dominio contoso.com:

PRÁCTICA Nº 3 Configurar la replicación
1. Crear un objeto de conexión:
 Iniciamos sesión en el server01 y abrimos el complemento sitios y servicios de active directory seleccionando el
nodo siguiente:
 Seleccionamos lo siguiente:
 En el cuadro de diálogo encontrar DC de active directory seleccionamos:

 En nuevo objeto conexión introducimos:
 Abrimos las propiedades del nuevo objeto de conexión:
 Eliminamos el objeto de conexión creado:

2. Crear vínculos de sitios:
 En el complemento sitios y servicios de active directory cambiamos el nombre al vínculo defaultipsitelink:
 Introducimos el siguiente nombre:
 En sitios pertenecientes a este vínculo quitamos BRANCHB:

 Creamos un nuevo vínculo a sitio:
 Introducimos el nombre y agregamos los sitios pertenecientes a este vínculo:
 Observamos los dos vínculos a sitios creados:

3. Designar un servidor cabeza de puente preferido:
 Nos vamos a la siguiente ruta en el complemento sitios y servicios de active directory y seleccionamos
propiedades del server02:
 Seleccionamos IP y lo agregamos:

4. Configurar la replicación entre sitios:
 Abrimos el complemento sitios y servicios de active directory y ampliamos el nodo siguiente:
 Abrimos el vínculo de sitio HQ‐BRANCHA e introducimos las siguientes opciones:
 Abrimos el vínculo de sitio HQ‐BRANCHB e introducimos las siguientes opciones:
MÓDULO 12 – DOMINIOS Y BOSQUES
PRÁCTICA Nº 1 Elevar los niveles funcionales del dominio y bosque
1. Experimentar con la funcionalidad deshabilitada:
 Iniciamos sesión en el servertst y abrimos el símbolo de sistema donde introduciremos:
 Abrimos el complemento usuarios y equipos de active directory y en las características avanzadas observamos lo
siguiente:

2. Elevar el nivel funcional del dominio:
 Abrimos el complemento dominios y confianzas de Active Directory y seleccionamos elevar el nivel funcional del
dominio:
 Seleccionamos el siguiente y le damos a elevar:
 Observamos el nivel funcional de nuestro dominio:

3. Probar el nivel funcional del dominio de Windows server 2003:
 Iniciamos sesión en el servertst y abrimos el símbolo de sistema donde introduciremos:
 Abrimos el complemento usuarios y equipos de active directory y en las características avanzadas observamos lo
siguiente:
 Abrimos el símbolo de sistema e introducimos el siguiente comando y observamos el mensaje que nos da:

PRÁCTICA Nº 2 Administrar una relación de confianza
1. Configurar DNS:
 Iniciamos sesión en el server01, abrimos el administrador DNS y seleccionamos nueva zona sobre zona de
búsqueda directa:
 En el asistente para crear zona nueva seleccionamos las siguientes opciones:

 Iniciamos sesión en el servertst, abrimos el administrador de DNS y en reenviadores condicionales seleccionamos
nuevo reenviador condicional:

 En nuevo reenviador condicional seleccionamos las siguientes opciones:
2. Crear una relación de confianza:
 Iniciamos sesión en el server01, abrimos el complemento dominios y confianzas de active directory y
seleccionamos propiedades de contoso.com:

 Nos vamos a la ficha confía y a nueva confianza:
 Nos aparece un asistente donde vamos introducimos los siguientes datos:

 Iniciamos sesión en el servertst, abrimos el complemento dominios y confianzas de active directory y
seleccionamos propiedades de tailspintoys.com:
 Nos vamos a la ficha confía y a nueva confianza:
 Nos aparece el asistente para nueva confianza donde vamos introduciendo los siguientes datos:

3. Validar la confianza:
 Iniciamos sesión en el server01, abrimos el complemento dominios y confianzas de active directory y
seleccionamos las propiedades del dominio contoso.com:
 Nos vamos a la ficha confía y seleccionamos las propiedades de tailspintoys.com, hacemos clic en validar:

4. Proporcionar acceso a usuarios de confianza:
 Creamos los siguientes objetos:

 Creamos la siguiente carpeta en server01 y le asignamos los siguientes permisos:

 Agregamos los siguientes miembros al grupo ACL_Product_Access:
5. Implementar la autenticación selectiva:
 Iniciamos sesión en el server01, abrimos dominios y confianzas de active directory y sobre las propiedades de
contoso.com nos vamos a la ficha confía:

 Seleccionamos tailspintoys.com y hacemos lo siguiente:
 En el servre01 abrimos el complemento usuarios y equipos de active directory y hacemos lo siguiente:

MÓDULO 13 – CONTINUIDAD DEL DIRECTORIO EMPRESARIAL
PRÁCTICA Nº 1 Trabajar con la base de datos AD DS
1. Utilizar ntdsutil.exe para capturar los datos de estado del sistema:
 Iniciamos sesión en el server10 y creamos la siguiente carpeta en la unidad E:
 Abrimos un símbolo de sistema y ejecutamos los siguientes comandos:
 Observamos la instantánea que hemos creado:

 Compartimos la carpeta IFM:
 Los datos IFM están listos para utilizarse para montar un nuevo DC.

2. Crear un DC desde datos de copia de seguridad:
 Iniciamos sesión en el server11 y creamos la siguiente carpeta en la unidad C:

 Nos vamos a la siguiente ruta y copiamos los contenidos de la carpeta IFM de server10 a la carpeta C:\IFM de
server11:
 Instalamos AD DS en el server11:

 Ejecutamos el asistente de AD DS y configuramos las siguientes opciones:

3. Realizar el mantenimiento de la base de datos:
 Iniciamos sesión en el server11 y creamos las siguientes carpetas:
 En el administrador del servidor detenemos los servicios de dominio de active directory:

 Abrimos el símbolo de sistema e introducimos los siguientes comandos para compactar la base de datos:
 Borramos los archivos de registro:
 Realizamos una copia de seguridad del archivo ntds.dit para protegerlo en caso de que falle:
 Verificamos la integridad del nuevo archivo ntds.dit:

 Volvemos a iniciar los servicios de dominio de active directory:
 Eliminamos el archivo ntds.dit ubicado en la siguiente ruta:
4. Automatizar el mantenimiento de la base de datos:
 Iniciamos sesión en el server11 y creamos las siguientes carpetas:

 Creamos el siguiente archivo de texto en la carpeta Temp:
 Editamos el archivo creado:
 Probamos el archivo creado ejecutando un símbolo de sistema:

5. Proteger objetos de directiva de grupo:
 Iniciamos sesión en el server11, ejecutamos GPMC y lo expandimos de la siguiente forma:
 Hacemos copia de seguridad de todos:
 Le decimos la ubicación y la descripción para la copia de seguridad y hacemos clic en hacer copia de seguridad:

 La copia de seguridad se ha realizado correctamente:
PRÁCTICA Nº 2 Análisis de rendimiento de AD DS
1. Crear un conjunto de recopiladores de datos:
 Iniciamos sesión en el server10, en el administrador del servidor nos vamos a:
 Definimos un nuevo conjunto de recopiladores de datos:

 Creamos un nuevo conjunto recopiladores de datos con las siguientes opciones:

 Para programar la condición de inicio del conjunto creado hacemos lo siguiente:

 Para configurar la administración de datos de un conjunto de recopiladores de datos, utilizamos el siguiente
procedimiento:

 Ver informe:

2. Instalar WSRM:
 Iniciamos sesión en el server10 y en el administrador del servidor en características seleccionamos agregar
características:
 Seleccionamos las siguientes opciones:

 Observamos la interfaz WSRM:
MÓDULO 14 – SERVICIOS DE DIRECTORIO LIGERO DE AD
PRÁCTICA Nº 1 Instalar AD LDS
1. Instalar AD LDS:
 Iniciamos sesión en el server03 con la cuenta de administrador del dominio y agregamos funciones en el
administrador del servidor:
 En seleccionar funciones del servidor seleccionamos Servicios de directorio ligero de Active Directory:
 En Servicios de directorio ligero de active directory hacemos clic en siguiente:

 Confirmamos las selecciones y hacemos clic en instalar:
 Revisamos los resultados de la instalación y hacemos clic en cerrar:

 Repetimos todos los pasos en el server04.
 Observamos el administrador del servidor en ambos servidores:
2. Revisar los archivos AD LDS instalados:
 Iniciamos sesión en el server03, abrimos el explorador de Windows y nos vamos a la siguiente carpeta:

 Trabajaremos con estos tipos de archivos cuando comencemos a configurar AD LDS en las siguientes prácticas.
PRÁCTICA Nº 2 Trabajar con instancias AD LDS
1. Crear una instancia AD LDS:
 Iniciamos sesión en el server03 e iniciamos el asistente para la instalación de servicios de directorio ligero active
directory:
 Una vez iniciado el asistente vamos seleccionando las siguientes opciones:

 Observamos el administrador del servidor para ver los resultados de la operación realizada:
 Observamos el servicio que se crea al crear la instancia:

2. Crear una réplica de la instancia AD LDS:
 Iniciamos sesión en el server04 e iniciamos el asistente de instalación de servicios de directorio ligero active
directory:
 En el asistente de instalación de servicios de directorio ligero active directory seleccionamos las siguientes
opciones:

 Se ha creado la réplica.

3. Administrar la replicación entre réplicas AD LDS:
 Iniciamos sesión en el server04 y ejecutamos sitios y servicios de active directory:

 La consola se enlaza al AD DS de forma predeterminada, para enlazar la instancia AD LDS hacemos lo siguiente:
 Creamos un sitio nuevo:

 Nos muestra los nuevos pasos que debemos realizar:

 Arrastramos SERVER04$ADLDSInstance al contenedor servers de Replication01:
MÓDULO 15 – SERVICIOS DE CERTIFICADO DE ACTIVE DIRECTORY
PRÁCTICA Nº 1 Instalar una jerarquía CA
1. Instalar AD CS como CA raíz independiente:
 En seleccionar funciones del servidor seleccionamos Servicios de Certificado de Active Directory:
 En Servicios de Certificado de active directory hacemos clic en siguiente:

 Seleccionamos la siguiente función:
 Especificamos el tipo de instalación:
 Tipo de CA:

 Configuramos la clave privada:
 Configurar criptografía:

 Configuramos nombre de CA:
 Periodo de validez:

 Configuramos la base de datos de certificados:
 Confirmamos las selecciones de instalación y hacemos clic en instalar:

 Instalación finalizada y correcta:
 Observamos la instalación realizada en el administrador del servidor:

2. Instalación de AD CS como un CA empresarial emisor:
 En seleccionar funciones del servidor seleccionamos Servicios de Certificado de Active Directory:
 En Servicios de Certificado de active directory hacemos clic en siguiente:

 Seleccionamos la siguiente función:
 Especificamos el tipo de instalación:
 Tipo de CA:

 Configuramos la clave privada:
 Configurar criptografía:

 Configuramos nombre de CA:
 Solicitar certificado a una CA primaria:

 Configuramos la base de datos de certificados:
 Revisamos la instalación de IIS:

 Seleccionamos los servicios de función de servidor web:
 Confirmamos las selecciones de la instalación:

 Instalación finalizada y correcta:
 Observamos la instalación realizada en el administrador del servidor:
3. Obtener e instalar el certificado CA emisor:
 Iniciamos sesión en el server04, creamos y compartimos una carpeta llamada temp:

 Copiamos la petición de certificado que generamos desde la carpeta documentos a la carpeta temp:
 En el server03 abrimos autoridad de certificado y hacemos lo siguiente:

 Vemos el certificado emitido:

 Exportamos el certificado:

 La exportación se ha realizado con éxito:
 Volvemos a server04 e instalamos el certificado:

 Nos vamos a la carpeta temp seleccionamos el certificado y hacemos clic en abrir, esto importa el certificado y
habilita el servidor.
 Ahora iniciamos el servicio:
 El CA emisor está listo para emitir certificados.
4. Preparación para la instalación de la función NDES:
 Iniciamos sesión en el server01, creamos la siguiente estructura de OU y creamos un usuario:

 Iniciamos sesión en el server04 y agregamos el usuario creado al siguiente grupo local:
5. Instalar la función NDES:
 En servicios de certificados de active directory hacemos lo siguiente:

 Observamos que la instalación se ha realizado correctamente:

PRÁCTICA Nº 2 Configuración y uso de AD CS
1. Corrección de una implementación de AD CS con PKI de empresa:
 Iniciamos sesión en el server04 y nos vamos a:
 Administrar CA:
 Se nos abre la siguiente consola y hacemos clic en propiedades:

 Configuramos lo siguiente en las propiedades:
 Nos pide reiniciar el servicio:

 Corregimos los errores en la CA emisora:

 Nos pide reiniciar los servicios:
 Para finalizar hacemos lo siguiente:

 Volvemos a la PKI de empresa, le damos al botón actualizar y ya no nos aparece ningún error en la vista:
2. Creación de una plantilla de certificado duplicada para EFS:
 Iniciamos sesión en el server04 y en el administrador del servidor nos vamos a:
 Vamos siguiendo los siguientes pasos:

 Para emitir una plantilla:

 Las plantillas ya están preparadas:
3. Configuración de la autoinscripción:
 Iniciamos sesión en el server01 y ejecutamos la administración de directivas de grupo:

 La directiva está lista.
4. Habilitación de la CA para emitir certificados:
 Iniciamos sesión en el server04 y nos vamos a:

 Para que los certificados se emitan automáticamente hacemos lo siguiente:
 La CA emisora ya está preparada para la producción y comenzará a emitir certificados EFS automáticamente
cuando sus usuarios o equipos los soliciten.

MÓDULO 16 – ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES
PRÁCTICA Nº 1 Instalación de AD RMS
1. Preparación del registro DNS:
 Iniciamos sesión en el server01 y nos abrimos la consola DNS:
 Creamos un nuevo registro CNAME en:
 En el nuevo registro CNAME introducimos los siguientes datos:

 Ya hemos creado un registro nuevo para el URL del clúster de AD RMS:
2. Preparación del directorio:
 Iniciamos sesión en el server01 y abrimos el complemento usuarios y equipos de active directory, creando la
siguiente estructura de OU:
 Creamos el siguiente usuario con las siguientes características:

 Creamos los siguientes grupos globales en esta ubicación:
 Agregamos una cuenta al grupo Cuenta de servicio de AD RMS:

 Iniciamos sesión en el server03 y abrimos el complemento usuarios y grupos locales:
 Agregamos el siguiente grupo al grupo local administradores:
3. Preparación de un certificado de servidor web:
 Iniciamos sesión en el server04 y desde el administrador del servidor nos vamos a:

 Seleccionamos la plantilla Servidor Web y hacemos lo siguiente:
 Seleccionamos la versión de Windows a soportar:

 En la plantilla configuramos los siguientes datos:

 Emitimos la plantilla de certificado:

4. Instalación de un certificado de servidor web:
 En el server04 nos abrimos la siguiente consola personalizada:
 Guardamos la consola como:
 Solicitamos un nuevo certificado:

 Seleccionamos el siguiente certificado:
 En las propiedades del certificado configuramos las siguientes opciones:

 Hacemos clic en aceptar y después en inscribir para finalizar:
 Comprobamos que se ha emitido el certificado:

5. Instalación de un clúster raíz de AD RMS:
 Iniciamos sesión en el server04 y en el administrador del servidor agregamos funciones:
 Seleccionamos las siguientes funciones:
 En el asistente para agregar funciones lo configuramos de la siguiente manera:

 Ya tenemos instalada la función AD RMS:

PRÁCTICA Nº 2 Creación de una plantilla de directiva de permisos
1. Creación de una plantilla nueva:
 Iniciamos sesión en el server04, en el administrador del servidor nos vamos a:
 Definimos un nuevo conjunto de recopiladores de datos:
 Creamos un nuevo conjunto recopiladores de datos con las siguientes opciones:
 Para programar la condición de inicio del conjunto creado hacemos lo siguiente:
 Para configurar la administración de datos de un conjunto de recopiladores de datos, utilizamos el siguiente
procedimiento:
 Ver informe:
2. Instalar WSRM:
 Iiciamos sesión en el server10 y en el administrador del servidor en características seleccionamos agregar
características:
 Seleccionamos las siguientes opciones:
 Observamos la interfaz WSRM:
MÓDULO 17 – SERVICIOS DE FEDERACIÓN DE ACTIVE DIRECTORY
PRÁCTICA Nº 1 Como preparar una implementación de AD FS
1. Configuración de referencias cruzadas de DNS:
 Iniciamos sesión en el server01 y nos vamos a funciones DNS en el administrador del servidor, en propiedades:
 Hacemos lo siguiente:

 Repetimos el mismo proceso a la inversa en el server06:
 Realizamos una prueba sobre la operación haciendo ping sobre cada servidor:

2. Instalación de los servidores de federación:
 Iniciamos sesión en el server07 y nos vamos al administrador del servidor a agregar funciones:
 Seleccionamos servicios de federación de Active Directory:

 Vamos seleccionando los siguientes parámetros:

 Repetimos el mismo proceso en el server03.
3. Instalación de los proxies de servicio de federación:
 Iniciamos sesión en el server08 y en el administrador del servidor nos vamos a agregar funciones:
 Seleccionamos Servicios de Federación de Active Directory:

 Vamos configurando los siguientes parámetros:

 Instalación finalizada:
 Repetimos la operación en el server04 en el dominio contoso.com, y cuando nos pida el nombre del servidor de
federación ponemos server03.contoso.com. No instalamos Agentes Web AD FS en server04, su función es
únicamente la de servir como FSP, ya que se encuentra en la organización de cuentas.

PRÁCTICA Nº 2 Completar la configuración de AD FS
1. Configuración de SSL para los servidores de federación y los FSP:
 Iniciamos sesión en el server03 y abrimos el administrador de IIS:
 Configuramos las siguientes opciones:

 Repetimos este procedimiento en server04, server07 y server08. Todos nuestros servidores AD FS están ahora
configurados para confiar en comunicaciones cifradas mediante SSL.

2. Exportar e importar certificados:
 Iniciamos sesión en el server03, creamos la carpeta Temp y la compartimos para todos:
 En el server03 abrimos servicios de federación de Active Directory y sobre servicios de federación seleccionamos
propiedades:
 Configuramos lo siguiente:

 Nos ejecuta el asistente de exportación de certificados, donde configuramos:

3. Exportar el servidor SSL y los certificados de cliente:
 Iniciamos sesión en el server03, abrimos el Administrador IIS, en el panel de detalles sobre el servidor en la vista
características nos vamos a:

 En certificados de servidor hacemos lo siguiente:
 Se nos abre el asistente para exportación de certificados donde vamos configurando los siguientes parámetros:

 Repetimos el proceso en el server04:

 Copiamos todos los certificados exportados a la carpeta compartida Temp en el server03:
4. Importar un certificado de autenticación SSL a un servidor:
 Iniciamos sesión en el server03, y nos abrimos una consola personalizad, que la guardaremos como Certificados
de equipo:

 Seguimos estos pasos para importar el certificado:

 Importamos los demás certificados en los otros servidores:

5. Configurar el servidor web:
 Iniciamos sesión en el server08, abrimos el Administrador IIS y nos vamos a sitio web predeterminado, enlaces:
 Editamos el enlace HTTPS:

 Configuración SSL:

 Para crear una aplicación de notificaciones:

6. Configuración de los servidores de federación:
 Iniciamos sesión en el server03, abrimos los servicios de federación Active Directory y nos vamos a las
propiedades de Directiva de confianza:

 A continuación crearemos notificaciones para los usuarios:
 Ahora agregaremos el almacén de cuentas de contoso.com:

 El último elemento que debemos configurar en contoso.com u organización de cuentas es una asignación de
grupo a las notificación de grupo que creamos anteriormente:
 El servidor de federación de cuentas está listo. Ahora prepararemos el servidor de federación de recursos,
server07.
 Iniciamos sesión en el server07, abrimos los servicios de federación Active Directory y nos vamos a las
propiedades de Directiva de confianza:

 A continuación crearemos notificaciones para los usuarios:

 Ahora agregaremos el almacén de cuentas para woodgrovebank.com:

 Ahora agregaremos la aplicación para notificaciones a los recursos AD FS:

 El servidor de federación de recursos está ahora listo para procesar notificaciones:
7. Configuración de la confianza de federación:
 Iniciamos sesión en el server03, abrimos los servicios de federación de Active Directory y en directiva de
confianza exportamos política básica de asociado:
 Hacemos clic en examinar y le damos el siguiente nombre:

 Importaremos la directiva en el RFS de woodgrovebank, iniciamos sesión en el server07, abrimos los servicios de
federación Active Directory y sobre asociado de cuentas hacemos:
Práctica final bloque I: Configuración de Active Directory y soluciones de identidad y
acceso con MS Windows server2008

1. Cree una máquina virtual con estas características:
 RAM: 512 MB.
 Disco duro: 120 GB. De expansión dinámica.

2. Instale sobre ella Windows Server 2008 Enterprise.
 Configure el equipo con el nombre DC1.
 Asígnele la IP 192.168.1.21

3. Instale sobre DC1 Active Directory para el dominio Anovait.com. El equipo debe ser también servidor DNS.

4. Cree la siguiente estructura de unidades organizativas:

5. Cree los grupos y usuarios que se especifican a continuación en las OU’s correspondientes:

6. Delegue control administrativo del tipo a UsuarioF1 sobre la OU “Formacion” para que pueda agregar o editar
cuentas de usuario:
7. Cree una búsqueda guardada denominada “Usuarios de Anova IT” que le devuelva todas las cuentas de usuario
presentes en el Directorio Activo:
8. Exporte todo el contenido de la OU “Formacion” a un fichero de texto separado por comas con el comando CSVDE:

9. Cree una máquina virtual con estas características:
 RAM: 512 MB.
 Disco duro: 120 GB. De expansión dinámica.
 Instale sobre ella MS Windows 7, con los parámetros necesarios para poder agregar el equipo a Active Directory.

10. Agregue el equipo nuevo con Windows 7 al Directorio Activo utilizando el comando NETDOM en la OU que le
corresponda:
11. Establezca un almacén central de políticas de grupo en el controlador de dominio:
12. Cree una nueva directiva de grupo denominada “Restricciones” y asígnela a la OU “Organización Anova IT”. Edite la
directiva “Restricciones” y configure las siguientes opciones:

13. Cambie las propiedades de esa directiva y fíltrela de tal modo que solo se aplique a los usuarios pertenecientes al
grupo de seguridad “Instructores”:
14. Cree un nuevo grupo de seguridad global denominado “Administradores de Anova”. Añada una nueva directiva de
grupo denominada “Administradores restringidos” y vincúlela a nivel de dominio.
Edite la directiva y configure la política de seguridad “grupos restringidos” para que solo puedan ser miembros de
“Administradores restringidos”, los grupos de seguridad “Analistas” y “Coordinadores”.

15. Edite la directiva “Default Domain Policy” y cambie los parámetros de seguridad, concretamente, los que se refieren
a las contraseñas estableciendo los siguientes valores:

16. Cree una nueva máquina virtual e instale sobre ella MS Windows Server 2008. Una vez la tenga instalada, utilice
estos parámetros para la misma:
a) Nombre del equipo DC2
b) Asígnele la IP 192.168.1.23 y el resto de parámetros TCP/IP necesarios para poder agregar el equipo a AD.
c) Agregue el equipo a AD.

17. Realice una promoción del nuevo equipo. Creará un nuevo dominio denominado italia que se integrará bajo el
dominio anovait.com. El controlador de dominio nuevo, también tendrá que asumir el rol de servidor DNS.
18. Agregue una zona de resolución inversa en el servidor DNS DC1. Agregue en esta zona los registros PTR
correspondientes a todos los equipos que haya en su red.

19. Transfiera al nuevo servidor DC2, el rol de “Maestro de nombres de dominio”.
20. Cree una nueva máquina virtual e instale sobre ella MS Windows Server 2008 Core. Una vez la tenga instalada, utilice
estos parámetros para la misma:
a) Nombre del equipo DC3
b) Asígnele la IP 192.168.1.24 y el resto de parámetros TCP/IP necesarios para poder agregar el equipo a AD.
c) Agregue el equipo a AD.

21. Utilice un nuevo archivo de instalación desatendida para agregar el nuevo equipo DC3 como controlador de dominio
en el dominio anovait.com.

22. Transfiere a DC3 el rol de Maestro RID.
23. Cree un nuevo site de Active Directory denominado ITALIA. No le asigne subredes. Cambie de nombre al sitio
“Default‐first‐site‐name” para llamarlo ESPANA. Mueva el controlador de dominio DC2 al sitio ITALIA.

24. Cree un nuevo vínculo entre los dos sitios que permita replicar la configuración cada 60 minutos.

Configuracion AD Windows Server 2008

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Configuracion AD Windows Server 2008

Cargado por

Copyright:

Formatos disponibles

MÓDULO 2 – CONFIGURACIÓN DE ACTIVE DIRECTORY MS

WINDOWS SERVER 2008 70-640

José Ramón Ramos

También podría gustarte