Controlador de dominio

sobre MS Windows Server

2016, DNS y DHCP
Posted on 13/03/2018 by ragasys
Hola a tod@s.
En este post vamos a implementar el rol de Servicios de dominio de Active Directory sobre MS
Windows Server 2016, siendo este servidor nuestro primer controlador de dominio de nuestra
infraestructura (DC01RGS).

 En primer lugar vamos a ver que son los Servicios de dominio de Active Directory
(ADDS): (Fuente de esta introducción: Curso Instalación y configuración de Windows
Server 2016, impartido por Jair Gómez)
Active Directory Domain Services o directorio activo es una estructura jerárquica de
directorios que almacena, en una base de datos, información sobre redes y dominios, es
utilizado por equipos Microsoft Windows. ADDS se utiliza principalmente para obtener
información en línea, está diseñado especialmente para entornos de red distribuidos, utiliza
protocolos como LDAP, DNS, DHCP y otros. Directorio Activo maneja un gran número de
operaciones de lectura y de búsqueda y un número significativamente menor de los cambios y
actualizaciones.
La base de datos de Active Directory NTDS.dit se compone de objetos y atributos. Objetos
y definiciones de atributos se almacenan en el esquema de Active Directory. La estructura de
un directorio activo esta generalmente dividida en tres categorías principales:

1. Recursos de hardware, como computadoras e impresoras.

2. Servicios para los usuarios finales, tales como servidores web y correo electrónico.

3. Objetos que son las principales funciones de dominio y de red.

Active Directory es un sistema centralizado y estandarizado que automatiza la gestión de red,
esto es: información de usuarios, seguridad y distribución de recursos.
Los dos protocolos más importantes que componen Active Directory Domain
Services son Kerberos y LDAP, el primero se encarga de la autenticación y seguridad entre
equipos y el segundo nos da la estructura del directorio activo (bosque, dominios, unidades
organizativas…)
El equipo configurado como controlador de dominio es el que controla todo lo que sucede
en nuestro dominio, es el encargado de realizar las consultas o resolver las consultas de
autenticación y el que administra la estructura LDAP de Active Directory, es el que tiene una
copia de la base de datos del directorio activo llamada NTDS.dit.
Recordamos nuestra infraestructura de red:
 Empezamos la configuración de nuestro controlador de dominio asignándole un nombre y
una dirección IP estática, y como DNS le asignamos su propia dirección IP, ya que se
encargará de toda la gestión DNS de nuestro entorno:
 Como podemos ver también le hemos cambiado el nombre al adaptador de red, esto no
es necesario, pero siempre tengo como costumbre asignarle nombres a los adaptadores
de red para saber de un simple vistazo a que red están conectados:

 Como buena práctica, vamos a cambiar el nombre de la cuenta de Administrador, para

ello nos vamos a las directivas de equipo local y procedemos con el cambio:
 Una vez cambiado el nombre de la cuenta de Administrador, reiniciamos el servidor.

 Como podemos ver el nombre de la cuenta de Administrador ha cambiado:

 Una vez que hemos iniciado sesión, abrimos el Administrador del servidor y agregamos
roles y características:

 Se nos abre el siguiente asistente, clic en siguiente:

 Elegimos la opción instalación basada en características o roles:
 Seleccionamos nuestro servidor dc01rgs:
 Ahora agregamos el rol de Servicios de dominio de Active Directory:
 Agregamos las características:
 Continuamos con la instalación del rol:
 Todas las características que requiere nuestro controlador de dominio de Active Directory
se seleccionan por defecto por lo que hacemos clic en siguiente:
 Aquí nos muestra información sobre Active Directory, clic en siguiente:
 Iniciamos el despliegue de la función Servicios de dominio de Active Directory, clic sobre
“Instalar”:
 Una vez finalizada la instalación cerramos y reiniciamos nuestro controlador de dominio:
 Tras el reinicio nos abrimos el Administrador del servidor y promovemos este servidor a
controlador de dominio:

 Se nos abre el siguiente asistente y añadimos un nuevo bosque, ya que este es nuestro
primer controlador de dominio en la infraestructura, escribimos nuestro nombre de dominio
raíz:
 Seleccionamos el nivel funcional de nuestro bosque, en este caso Windows Server 2016,
ya que no tenemos otros controladores de dominio sobre Windows Server 2003, 2008 0
2012. También seleccionamos la función de DNS en la que apoyaremos toda la
infraestructura de nombres de nuestra red, aparte de que es un requisito imprescindible
para Active Directory, luego introducimos una contraseña segura que será necesaria en
caso de restauración de Active Directory:
 Windows no puede encontrar una delegación para el servidor DNS ya que éste es el
primer bosque de nuestro entorno, hacemos clic en siguiente:
 Agregamos el nombre NETBIOS:
 Las rutas de acceso las dejamos por defecto:
 Nos muestra un resumen de las opciones configuradas:
 Vemos que la comprobación de los requisitos previos está correcta, clic sobre “Instalar”:
 Comienza el proceso de instalación y promoción a controlador de dominio:
 Una vez que la instalación termina, nuestro servidor se reinicia automáticamente, y tras el
reinicio, introducimos las credenciales de Administrador que será la cuenta del
administrador del dominio, que ya la cambiamos de nombre anteriormente como buena
práctica:
 Con esto ya tendríamos nuestro servidor promovido a controlador de dominio:

 Ahora vamos a ver las consolas que se han instalado al agregar el rol de Servicios de
dominio de Active Directory, estas consolas las iremos viendo a medida que vayamos
configurando nuestro Active Directory:
 Ahora vamos a crear una copia del usuario Administrador del dominio (un usuario de
emergencias), en mi caso, prefiero hacerlo por si en algún momento tengo problemas con
la cuenta de administración del dominio, para ello abrimos la consola de Usuarios y
equipos de Active Directory y copiamos la cuenta de Administrador:
 Como podemos ver ya está creada, y es una copia exacta a la cuenta del Administrador
del dominio:

 Ahora vamos a abrir la consola de DNS y agregamos una zona nueva para la resolución
inversa:
 Vamos configurando el asistente con los siguientes parámetros:
 Para verificar que la zona de resolución inversa está funcionando correctamente, sobre la
zona de búsqueda directa y sobre las propiedades del registro tipo A de nuestro servidor
controlador de dominio, marcamos el check “PTR”:

 Y como vemos en nuestra zona de búsqueda inversa se actualiza el registro:

 Como en nuestra infraestructura de red tenemos más sedes y cada una con un
direccionamiento IP distinto, vamos a crear las zonas de búsqueda inversa para estas
sedes, y también crearemos la zona de búsqueda inversa para la DMZ, el proceso a
 seguir sería el mismo que hemos realizado anteriormente, si queréis ver el
direccionamiento de cada sede quedó explicado en un post anterior “Instalación,
configuración y administración de servidores en un entorno MS Windows Server 2016”:

 Ahora forzaremos el registro DNS con el siguiente comando:

 Otra de las configuraciones que debemos realizar en nuestro DNS es agregar los
reenviadores (pondremos los DNS públicos de google 8.8.8.8 y 8.8.4.4 y el DNS público
de IBM 9.9.9.9 especializado en bloquear malware) para que el servidor DNS resuelva
también dominios externos, para ello hacemos lo siguiente:
 Así quedarían configurados nuestros reenviadores:
 Configuramos la dirección IP que dará servicio a las consultas DNS:
 Para terminar con la configuración del DNS, vamos a configurar la caducidad de los
registros, tanto para la zona de búsqueda directa como para la inversa, para ello seguimos
estos pasos:
 Con esto tendríamos nuestro controlador de dominio implementado en nuestra
infraestructura, ya podríamos empezar a crear usuarios y a organizar el Active Directory,
todo esto los veremos cuando dediquemos un post a organización de AD, unidades
organizativas, técnicas para asignar permisos a carpetas, etc…

 Como configuración adicional veremos cómo instalar y configurar DHCP para nuestra
infraestructura y que podamos servir direcciones IP de forma dinámica a los equipos
clientes de nuestra red.

 Para ello, vamos al Administrador del servidor y agregamos roles y características:

 Agregamos servidor DHCP con sus características:
 En características añadimos las que se seleccionan por defecto:
 Nos da un par de consejos antes de implementar el servidor DHCP:
 Confirmamos que queremos instalar:
 Como podemos ver se ha instalado correctamente:
 Una vez instalado el rol de DHCP procedemos a completar la configuración:

 Se nos abre el siguiente asistente:

 Ahora procedemos a la configuración de los parámetros del Servidor DHCP a través de la
consola de DHCP, dónde agregaremos un nuevo ámbito para nuestra infraestructura:
 Se nos abre este asistente, dónde configuraremos los siguientes parámetros:
 Nombre para el ámbito:
 Configuramos el intervalo de direcciones que se asignarán de forma dinámica a los
equipos clientes:
 En este caso no excluimos ninguna ip del intervalo de direcciones configurado:
 La duración de la concesión de las direcciones IP lo dejamos por defecto en 8 días:
 Configuramos las siguientes opciones para el ámbito:
 Agregamos el Gateway que se le asignarán a los equipos clientes:
 Agregamos el nombre de dominio y los servidores DNS:
 En servidores WINS no agregamos nada ya que no hemos configurado esta función en
nuestra infraestructura:
 Activamos el ámbito y finalizamos:
 Ya tenemos configurado nuestro Servidor DHCP: