Windows Server

2008

Instalando controladores

de dominio

Parte vital de la configuración de un controlador de dominio (por no decir que sin esto no se puede hacer la configuración) es la configuración IP que deberá tener el server.

Lo recomendable es que tengan tablas de organización de sus redes, en las cuales especifiquen los rangos para cada dispositivo que utilicen, Servers, Impresoras, Users, Routers.. etc

Luego vamos a proceder a agregar un Rol, el server manager es ahora lautilidad que nos permitirá hacer esto, el Rol que vamos a agregar es“Directory Services”

Debemos entonces seleccionar la opción “agregar roles” y nos apareceráel siguiente asistente:

Vamos a seleccionar “Next” para continuar con la instalacion

Vamos a seleccionar la opción “Active Directory Domain Services” y vamosa seleccionar “Next” para continuar

Se nos mostrara una pantalla en donde se nos explica algunos de losprocesos que estaremos realizando

NET Framework 3.5 o superior se instalara antes de proceder a configurarel Rol

Recibimos el sumario de instalación en el cual se muestra que activedirectory domain services finalizo la instalacion correctamente

Cuando accedamos al server manager, se nos mostrara una alerta ” esnecesario promover el servidor a controlador de dominio con dcpromo)bastaría con que hiciéramos clic en la parte que aparece vinculada, otraforma es ir a ejecutar y digitar “dcpromo” enter

Ahora es cuando empezamos a promover el servidor a controlador dedominio, hacemos click en “Next” para continuar la configuración.

Nos aparecerá un anuncio que nos indica algunas cosas sobrecompatibilidad que deberíamos saber al promover un controlador dedominio con esquema de Windows server 2008 R2, hacemos clic en Nextpara continuar.

Como lo que vamos a hacer es un nuevo controlador de dominio en unnuevo bosque, seleccionamos la opción ” Create a new domain in a newforest” y hacemos click en “Next” para continuar

Debemos especificar el nombre Netbios o FQDN de nuestro dominio (FullQuality Domain Name”) hacemos click en “Next”

Seleccionamos el nivel de funcionalidad del dominio en este caso WindowsServer 2008 R2

Recordemos que lo recomendado es integrar una zona DNS con AD, por locual seleccionaremos la opcion y damos click en “Next” para continuar…

Seleccionamos la ubicación de los componentes de la base de datos de AD,hacemos click en “Next”

debemos colocar un password para iniciar recuperación de AD en caso dedesastre (Disaster Recovery)

Se iniciara el proceso de instalacion y configuración de componentes de AD

Finalmente nos aparecerá un sumario que nos indica que toda laconfiguración se realizo correctamente, normalmente cuando es un nuevoforest y un nuevo dominio no hay mayor complicación, muchas veces losproblemas se presentan a la hora de migrar un forest 2003 R2 hacia 2008R2, para lo cual se sugiere una prueba de concepto, en todo caso lo mejorque se puede hacer es virtualizar en un entorno aislado los servidores deproducción de AD es decir convertirlos de físicos a virtuales y hacer todaslas pruebas respectivas y minimizar las fallas que podrían ocasionar, esteproceso siempre tiene troubleshooting….

Ahora analizamos otro detalle, aunque la promoción del controlador dedominio fue satisfactoria notamos algo interesante, al utilizar laherramienta nslookup para comprobar la resolución DNS en el dominio nosdamos cuenta que no tenemos resolución inversa del dominio,

Abrimos el panel de DNS , vamos a la opción Reverse Lookup Zones yseleccionamos la opción “Add a New Zone”

Seleccionaremos crear una zona primaria…

Seria para todos los DNS corriendo en el forest… hacemos click en “Next”

Seleccionarnos una IPv4 Reverse Zone

La zona inversa debe identificar los 3 primeros octetos del controlador dedominio, por lo cual se los colocamos y hacemos click en “Next”

Ahora es cuando empezamos a promover el servidor a controlador dedominio, hacemos click en “Next” para continuar la configuración.

Así es como hemos creado ya nuestra zona inversa, sin embargo falta crear un registro PTRPTR: Proveniente de ‘Point Récords’ éste registro es como un CNAME ya que es capaz de contener un nombre de dominio, pero, realmente no son iguales, un CNAME se refiere a un alias, pero un PTR, como su nombre indica especifica a un punto, es decir, otra dirección.

Para crear el PTR seleccionamos lazona inversa…

Hacemos un click con el botónderecho y seleccionamos ” NewPointer”

Colocamos la IP y el nombre del HostDespués de lo cual probamos el nslookup y ahora el resultado nos dará:

Configurando

controladores de dominio

de solo lectura (RODC)

Un RODC es un controlador dedominio adicional para undominio que hospeda particionesde sólo lectura de la base dedatos de Active Directory. UnRODC está diseñadoprincipalmente para suimplementación en un entorno desucursal. Por lo general, lassucursales tienen relativamentepocos usuarios, escasa seguridadfísica, poco ancho de banda a unsitio del concentrador y escasoconocimiento de TI local.

• Un número de usuarios relativamente pequeño

• Seguridad física insuficiente

• Un ancho de banda de conexión con un sitio concentrador relativamente reducido

• Escasos conocimientos de las tecnologías de información (TI)

Los RODC están diseñados principalmente para su implementación en entornos de oficina remota o sucursal. Las sucursales suelen presentar las siguientes características:

Opciones de configuración

• Por compatibilidad con la directiva dereplicación de contraseñas de RODC,Windows Server 2008 AD DS incluyeatributos nuevos.

• La directiva de replicación de contraseñas esel mecanismo que permite determinar si lascredenciales de un usuario o un equipo sepueden replicar desde un controlador dedominio de escritura en un RODC.

• La directiva de replicación de contraseñassiempre se establece en un controlador dedominio de escritura que ejecute WindowsServer 2008.

Entre los atributos de AD DS agregados al esquema de Active Directory de Windows Server 2008 por compatibilidad con los RODC se incluyen los siguientes:

• msDS-Reveal-OnDemandGroup

• msDS-NeverRevealGroup

• msDS-RevealedList

• msDS-AuthenticatedToAccountList

http://www.petercarrillo.com/2009/04/windows-2008-parte-4-controladores-de.html

Agregar un equipo a

dominio

Lo primero que hacemos es asignarle una dirección IP fija, con los valoresde red oportunos. En este caso como puerta de enlace le pongo ladirección IP del router que le dará conectividad con Internet, y comoservidor DNS primario le pongo la dirección IP del Servidor que además delos servicios de Active Directory, actúa como servidor DNS.

Vamos a "Panel de Control", "Sistema" y seleccionamos "Configuraciónavanzada del sistema".

Ahora iremos a la pestaña "Nombre del equipo" y pulsaremos en el botón"cambiar".

Escribiremos el nombre que queremos que tenga dicha máquina, yseleccionaremos la opción de "dominio", tecleando el nombre de nuestrodominio, en nuestro caso "voyyvengo".

Nosotros aquí insertamos el nombre de usuario y contraseña, del usuario:administrador, que es administrador del dominio y tiene derechos parahacer esta operación sin mayor problema.

Finalmente veremos una imagen similar a esta, con el mensaje "Se uniócorrectamente al dominio voyyvengo."

A continuación nos aparecerá una ventana con el mensaje "Debe reiniciarel equipo para aplicar los cambios". Y reiniciamos el equipo.

Si ahora vamos al Servidor que actúa como controlador de dominio,veremos en el "Administrador de DNS", que la máquina que acabamos demeter en el dominio, ya aparece con su nombre e ip asignada.

Además si vamos a "Usuarios y equipos de Active Directory", veremos que dentro de la carpeta "Computers", aparece el nuevo equipo que hemos agregado al dominio Es muy recomendable, que creemos una estructura ordenada y lógica de equipos y usuarios, para una mejor localización y aplicación de políticas a posteriores