Professional Documents
Culture Documents
p=1210
Crear un dominio o unirse a uno en Windows 2008 + RODC o Read Only Domain Controller,
28 de Octubre de 2008
Estos servidores son Controladores de Dominio (Windows 2000, 2003 o 2008) y centralizan la
administración de la seguridad del grupo, por supuesto que cada controlador de dominio tiene
diferentes roles, unos serán más importantes que otros, aunque Microsoft diga que no hay un
controlador de dominio más importante que otro.
Por supuesto que cada dominio puede tener a su vez subdominios, lo más cómodo para gestionar otra
parte de la empresa, dividirla en grandes departamentos o grupos de empresas y no delegar permisos
en otros usuarios que no tengan accesos en otros dominios más que en los suyos.
En esta parte del documento veremos cómo crear un dominio o subdominio en Windows 2008, la
forma normal.
Primero, abrimos la consola de “Server Manager” o “Administración del servidor” desde las
“Herramientas Administrativas”,
1 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
2 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
Nos comenta qué es lo que hace AD DS (Active Directory Active Services), que almacena la
información sobre usuarios, equipos y demás dispositivos de la red. “Next”,
3 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
Confirmamos que lo que vamos a instalar son los servicios de dominio y pulsamos en “Install”
4 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
… instalando ADDS…
5 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
6 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
Ahora lo que hay que hacerlo es promocionarlo como controlador de dominio, desde la consola de
“Server Manager” o “Administración del servidor” pulsamos en “Roles” > “Active Directory Domain
Services” y en el enlace de “Run the Active Directory Domain Services Installation Wizard” o “Ejecutar
el asistente de instalación de los servicios del Directorio Activo”.
7 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
Podemos realizar una instalación avanzada, pero no nos interesa, pulsamos en “Siguiente”,
Si nos vamos a unir a un árbol de dominios pulsaríamos la primera opción, y ya después veríamos si lo
que vamos a hacer es este cómo otro controlador de dominio para un dominio ya existente o crearnos
un nuevo dominio en un bosque ya existente. Pero lo que interesa, si es el primer dominio para el
primer bosque pulsamos la segunda opción: “Crear un nuevo dominio en un nuevo bosque” &
“Siguiente”,
8 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
Indicamos el nombre de dominio que vamos a crear, tiene que llevar un punto “.”. Normalmente, suele
ser el mismo que el dominio público de internet, pero no tiene por que ser el mismo, Microsoft suele
aconsejar que si no sabes cual poner, se le ponga un .local. Lo que sea, “Next”,
9 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
Aquí es donde tenemos que indicar el nivel funcional del bosque, ya que estamos creando un nuevo
bosque. Lo ideal es poner el nivel del bosque más alto que se pueda por seguridad, pero esto nos
capará diversas posibilidades teniendo PC’s o servidores con versiones antiguas.
El nivel de bosque funcional “Windows Server Codename Longhorn” presenta un nuevo nivel funcional
10 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
para los bosques y dominios. Aunque el nivel de bosques de Windows Server “Longhorn” (que saldrá al
mercado con otro nombre) no aporta ninguna función nueva, garantiza que todos los dominios del
bosque estén en el nivel funcional de Windows Server “Longhorn”, lo que permite dos mejoras. La
primera, el motor de replicación más actual del sistema de archivos distribuido (DFS) para el recurso
compartido SYSVOL, que ofrece mayor estabilidad, seguridad y rendimiento. La segunda,
compatibilidad del cifrado AES de 256 bits con el protocolo de autenticación Kerberos. Aunque el nivel
funcional más reciente proporciona el mejor rendimiento, podrá seguir usando los niveles inferiores al
migrar a Windows Server “Longhorn”.
También se han introducido varias extensiones de esquema para admitir nuevas características, todas
compatibles con los esquemas que se usan actualmente. Los controladores de dominio que se ejecuten
en Windows Server “Longhorn” podrán coexistir y funcionar en combinación con los que se ejecuten en
Windows Server 2003.
Al ser el primer controlador de dominio, debemos marcar que tiene que ser servidor DNS para la
resolución de nombres, así que hay que tener marcado el check de DNS Server, aunque también se
puede poner el servicio de DNS en otro servidor, pero no tiene sentido. Además será catálogo global
para gestionar los inicios de sesión de los usuarios. Y este servidor al ser el primero del dominio no
puede ser RODC (Dontrolador de Dominio de Sólo Lectura - Read Only Domain Controller), pero si
metemos uno adicional sí que podría ser. “Siguiente”,
11 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
Indicamos los directorios para almacenar la base de datos del Directorio Activo; donde almacenará los
ficheros de registro, los LOG; y cual será el directorio SYSVOL para almacenar los archivos que se
replicarán entre los controladores de dominio (scripts, directivas…), “Siguiente”,
Indicamos la contraseña del administrador para el caso que necesitemos arrancar el Controlador de
12 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
Podemos guardar las características aquí indicadas para poder usarlas con otro controlador de dominio
de modo que sea un archivo de instalación desatendida, un archivo de respuestas. Lo único que no nos
serviría pq estamos creando un dominio, esto lo lógico es usarlo cuando nos unimos a un dominio
como controlador de dominio adicional. “Siguiente” para empezar a crear el ADDS,
13 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
Ok, “Finish”, ya está creado el dominio y tenemos ya nuestro primer controlador de dominio.
En esta parte del documento simplemente veremos las opciones que hay que hacer cuando queremos
unir un servidor a un dominio ya existente, como controlador de dominio adicional.
Una de las nuevas características que trae Microsoft Windows 2008 Server o Longhorn es que podemos
tener un controlador de dominio en la red de sólo lectura, esto tiene sentido por seguridad, por si
necesitamos tener un controlador de dominio en alguna delegación y no queremos que nadie toque
nada.
RODC trata algunas problemáticas que son comunes de una Branch Office (BO). Puede suceder que las
BO no tengan un Domain Controller local, o que lo tengan, pero no cumplan con las condiciones de
seguridad necesarias que esto conlleva, además del ancho de banda necesario, o la propia experiencia
y/o conocimientos del personal técnico.
14 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
Credential Caching.
Administrator role separation.
Read-only DNS.
Read-only AD DS Database
Exceptuando contraseñas, un RODC contiene todos los objetos y atributos que tiene un DC típico. Sin
embargo, por supuesto, no pueden llevarse a cabo cambios que impacten a la base de un RODC. Todo
tipo de cambios que se quieran realizar, deberán llevarse a cabo en un DC no RODC, y luego
impactados vía replicación en la base del RODC.
Aquellas aplicaciones que requieran acceso en modo lectura a la base de AD lo tendrán sin problema
alguno. Sin embargo, aquellas que requieran acceso de escritura, recibirán un LDAP referral, que
apuntará directamente a un DC no RODC.
Unidirectional replication
La replicación unidireccional de RODC, que aplica tanto para AD DS y DFS, permite que, en caso de
que se logre hacer algún cambio con la intención de modificar la integridad de la base de datos de AD,
no se replique al resto de los DCs. Desde el punto de vista administrativo, este tipo de replicación
reduce la sobrecarga de bridgehead servers, y la monitorización de dicha replicación.
Credential Caching
Por defecto, RODC no almacena credenciales de usuario o computadora, exceptuando por supuesto, la
cuenta correspondiente al propio RODC y la cuenta especial krbtgt que cada RODC tiene. Se debe
habilitar explícitamente el almacenamiento de cualquier otro tipo de credencial.
Se debe tener en cuenta que limitar Credential Caching solo a aquellos usuarios que se autentican en
el RODC, limita también la seguridad de dichas cuentas. Sin embargo, solo dichas cuentas serán
vulnerables a posibles ataques.
Deshabilitar Credential Caching conlleva a que cualquier solicitud de autenticación se redireccione a un
DC no RODC. Es posible, sin embargo, modificar la Password Replication Policy para permitir que las
credenciales de usuarios sean cacheadas en un RODC.
Read-only DNS
El servicio DNS de un RODC no soporta actualizaciones de clientes directas. Como consecuencia de
esto, tampoco registra registros NS de ninguna zona integrada que contenga. Cuando un cliente
intenta actualizar su registro DNS contra el RODC, el servidor devuelve un referral, que por supuesto,
es utilizado posteriormente por el cliente para actualizar su registro. Sin embargo, el RODC solicita
también la replicación del registro específico.
15 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
Para instalar un RODC, lo que hay que hacer es marcar el check durante la promoción a controlador de
dominio de “Read-only domain controller (RODC)”.
En esta parte del documento simplemente veremos las opciones que hay que hacer cuando queremos
unir un servidor a un dominio ya existente, como controlador de dominio adicional pero usando
Windows Core, ójo, este controlador de dominio sólo será de lectura, será un Read Only Domain
Controller.
Para unirnos como controlador de dominio adicional en un dominio existente como controlador de sólo
lectura (RODC) que es la función que puede implementar un Core, hay que ejecutar el siguiente
16 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
Lógicamente, estos son los parámetros más genéricos, podemos guardar estos parámetros en un
fichero de instalación desatendida, llamado normalmente unattend.txt para poder usarlo directamente
con el resto de servidores: dcpromo /unattend:unattend.txt
En esta web de Microsoft están todos los parámetros posibles para usar con el archivo de instalación
desatendida: http://technet2.microsoft.com/windowsserver2008/en/library
/d660e761-9ee7-4382-822a-06fc2365a1d21033.mspx
Descargar PDF:
Translator
By N2H
Noviembre 2010
L M X J V S D
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30
« Oct
Buscar:
Suscríbete al RSS
Configurando Outlook Anywhere en Microsoft Exchange 2010
Instalación y configuración de Microsoft Forefront TMG para acceso de OWA
seguro
Usando VMware vMA
Novedad VMware vSphere 4.1: Autenticación contra Directorio Activo
Arrancando con un pendrive USB los CD’s de HP Firmware Maintenance o HP
SmartStart
Categorias
17 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
Citrix
Access Essentials
Access Gateway
Actualizaciones
Branch Repeater
Conferencing Manager
GoToMeeting
Password Manager
Presentation Server 3.x y 4.x
Provisioning Server
Secure Gateway
XenApp 5.0
XenApp 6
XenDesktop
XenServer
Fortigate
Hacking
Scanners de Vulnerabilidades
HP
Microsoft
Exchange 2003
Exchange 2007
Exchange 2010
Migraciones
SQL
Windows 2003
Windows 2008
Windows 2008 R2
Nagios
Symantec
Varios
VMware
ACE
ESX
Fusion
Player
Server
Site Recovery Manager
ThinApp
vCenter Converter
vCenter Server
View
Virtualizaciones
Workstation
18 de 19 22/11/2010 20:54
Bujarra 2.0 » Crear un dominio o unirse a uno en Windows 2008 + RO... http://www.bujarra.com/?p=1210
Tags de Bujarra.com
Autores
Héctor Herrero
19 de 19 22/11/2010 20:54