Crear un domini a Windows 2008 – AKI
Unir-se a un domini Windows 2008 – AKI
Instal·lació d'un controlador de domini només de lectura – Controlador de Domini Només de Lectura – RODC – AKI
Unir-se a un domini utilitzant Microsoft Windows 2008 Core (RODC) – AKI
Primer una descripció per a qui no sàpiga què és un domini: Un domini és una agrupació d'ordinadors al voltant d'uns servidors centralitzats que emmagatzemen la llista d'usuaris, nivell d'accés de cadascun, i altra informació relacionada amb els comptes d'usuari, els comptes d'equip, grups, impressores… el que anomenarem objectes. Tot es pot gestionar des d'una ubicació centralitzada gràcies a directrius/polítiques.

Aquests servidors són Controladors de Domini (Windows 2000, 2003 o 2008) i centralitzen l'administració de la seguretat del grup, és clar que cada controlador de domini té diferents rols, unos serán más importantes que otros, aunque Microsoft diga que no hay un controlador de dominio más importante que otro.

Por supuesto que cada dominio puede tener a su vez subdominios, lo más cómodo para gestionar otra parte de la empresa, dividirla en grandes departamentos o grupos de empresas y no delegar permisos en altres usuaris que no tengan accesos en altres dominios més que en los suyos.

Crear un domini a Windows 2008,

En aquesta part del document veremos cómo crear un domini o subdomini en Windows 2008, la forma normal.

Primer, obrim la consola de “Server Manager” o “Administració del servidor” des de les “Eines Administratives”,

Posem en “Add Roles” o “Agregar funciones”,

Marquem “Active Directory Domain Services” y “Next”,

Nos comenta what es lo que hace AD DS (Active Directory Active Services), que almacena la informació sobre usuarios, equipos y altres dispositivos de la red. “Next”,

Confirmamos que lo que vamos a instalar son los servicios de dominio y pulsamos en “Install”

… instalando ADDS…

Ok, ya nos muestra que el rol está instalado, tanquem.

Ahora lo que hay que hacerlo es promocionarlo como controlador de dominio, desde la consola de “Server Manager” o “Administració del servidor” posem en “Roles” > “Active Directory Domain Services” y en el enlace de “Run the Active Directory Domain Services Installation Wizard” o “Ejecutar el asistente de instalación de los servicios del Directorio Activo”.

Podemos realizar una instalación avanzada, pero no nos interesa, posem en “Següent”,

Si nos vamos a unir a un árbol de dominios pulsaríamos la primera opción, y ya después veríamos si lo que vamos a hacer es este cómo otro controlador de dominio para un dominio ya existente o crearnos un nuevo dominio en un bosque ya existente. Pero lo que interesa, si és el primer domini per al primer bosc premem la segona opció: “Crear un nou domini en un nou bosc” & “Següent”,

Indiquem el nom de domini que anem a crear, ha de portar un punt “.”. Normalment, normalment és el mateix que el domini públic d'internet, però no ha de ser necessàriament el mateix, Microsoft sol aconsellar que si no saps quin posar, se li posi un .local. El que sigui, “Next”,

Realitza comprovacions que aquest domini no existeixi a la mateixa xarxa…

Aquest seria el nom NetBIOS del domini, continuem,

Aquí és on hem d'indicar el nivell funcional del bosc, ja que estem creant un nou bosc. L'ideal és posar el nivell del bosc més alt possible per seguretat, però això ens limitarà diverses possibilitats tenint PCs o servidors amb versions antigues.

El nivell de bosc funcional “Windows Server Codename Longhorn” presenta un nou nivell funcional per als boscos i dominis. Tot i que el nivell de boscos de Windows Server “Longhorn” (que sortirà al mercat amb un altre nom) no aporta cap funció nova, garanteix que tots els dominis del bosc estiguin al nivell funcional de Windows Server “Longhorn”, el que permet dues millores. La primera, el motor de replicació més actual del sistema de fitxers distribuït (DFS) per al recurs compartit SYSVOL, que ofereix major estabilitat, seguretat i rendiment. La segona, compatibilitat del xifrat AES de 256 bits amb el protocol d'autenticació Kerberos. Tot i que el nivell funcional més recent proporciona el millor rendiment, podrà continuar fent servir els nivells inferiors quan es migri a Windows Server “Longhorn”.

También se han introducido diverses extensions de esquema para admitir nuevas características, todas compatibles con los esquemas que se usan actualmente. Los controladores de dominio que se executen en Windows Server “Longhorn” podrán coexistir i funcionar en combinació con los que se executen en Windows Server 2003.

Al ser el primer controlador de dominio, debemos marcar que tiene que ser servidor DNS para la resolució de nombres, així que hay que tener marcado el check de DNS Server, aunque también se puede poner el servei de DNS en otro servidor, pero no tiene sentido. Además será catálogo global para gestionar los inicios de sesión de los usuaris. Y este servidor al ser el primer del domini no puede ser RODC (Dontrolador de Dominio de Sólo Lectura – Controlador de Domini Només de Lectura), però si afegim un addicional sí que podria ser. “Següent”,

Lògicament perquè és el primer servidor DNS, continuem, “Següent”,

Indiquem els directoris per emmagatzemar la base de dades del Directori Actiu; on s'emmagatzemaran els fitxers de registre, els LOG; i quin serà el directori SYSVOL per emmagatzemar els fitxers que es replicaran entre els controladors de domini (scripts, directives…), “Següent”,

Indiquem la contrasenya de l'administrador per al cas que necessitem arrencar el Controlador de Domini en mode recuperació de Serveis de Directori des de F8 en reiniciar. “Següent”,

Podem guardar les característiques aquí indicades per poder-les usar amb un altre controlador de domini de manera que sigui un fitxer d'instal·lació desatesa, un fitxer de respostes. L'únic que no ens serviria perquè estem creant un domini, esto lo lògic es usarlo quan ens unimos a un domini com a controlador de domini addicional. “Següent” per començar a crear el ADDS,

… esperem a que se configure…

Ok, “Finish”, ya está creat el domini i tenim el nostre primer controlador de domini.

Hi ha que reiniciar per que els canvis surgen efecte.

Unir-se a un domini Windows 2008,

En esta part del document simplement verem les opcions que hay que hacer quan volem unir un servidor a un domini ja existente, com controlador de dominio adicional.

Instal·lació d'un controlador de domini només de lectura – Controlador de Domini Només de Lectura – RODC,

Una de las nuevas característiques que trae Microsoft Windows 2008 Server o Longhorn es que podemos tener un controlador de dominio en la red de sólo lectura, esto tiene sentido por seguridad, por si necesitamos tener un controlador de dominio en alguna delegación y no volem que ningú toque res.

RODC tracta algunes problemàtiques que són comunes en una sucursal (BO). Pot succeir que les BO no tinguin un Controlador de Domini local, o que el tinguin, però no compleixin amb les condicions de seguretat necessàries que això comporta, a més de l'amplada de banda necessària, o l'experiència i/o els coneixements del personal tècnic.

Arran de la problemàtica esmentada anteriorment, RODC proporciona les següents característiques:
Base de dades AD DS de només lectura.
Replicació unidireccional.
Emmagatzematge en memòria cau de credencials.
Separació del rol d'administrador.
DNS només de lectura.
Base de dades AD DS de només lectura

Excepte contrasenyes, un RODC conté tots els objectes i atributs que té un DC típic. Tanmateix, per suposat, no es poden realitzar canvis que afectin la base d'un RODC. Tot tipus de canvis que es vulguin realitzar, hauran de dur-se a terme en un DC que no sigui RODC, i després impactats mitjançant replicació a la base del RODC.
Aquelles aplicacions que requereixin accés en mode lectura a la base d'AD ho tindran sense cap problema. Tanmateix, aquelles que requereixin accés d'escriptura, rebran un LDAP referral, que apuntarà directament a un DC no RODC.

Replicació unidireccional
La replicació unidireccional de RODC, que aplica tant per a AD DS com per a DFS, permet que, en cas que es pugui fer algun canvi amb la intenció de modificar la integritat de la base de dades d'AD, no es repliqui a la resta dels DCs. Des del punt de vista administratiu, aquest tipus de replicació redueix la sobrecàrrega dels bridgehead servers, i la monitorització d'aquesta replicació.

Emmagatzematge en memòria cau de credencials
Per defecte, RODC no desa credencials d'usuari o ordinador, excepte, per descomptat, la cuenta correspondiente al propio RODC y la cuenta especial krbtgt que cada RODC tiene. Se debe habilitar explícitamente el almacenamiento de cualquier otro tipo de credencial.
Se debe tener en cuenta que limitar Credential Caching solo a aquells usuaris que se autentican en el RODC, limita también la seguridad de dichas cuentas. Tanmateix, solo dichas comptes seran vulnerables a posibles ataques.
Deshabilitar Credential Caching conlleva a que qualsevol sol·licitud d'autenticació se redireccione a un DC no RODC. Es possible, sin embargo, modificar la Política de Replicació de Contrasenyes per permitir que les credenciales d'usuaris sean cacheadas en un RODC.

Administrator Role Separation
Es posible delegar permisos administrativos únicamente para un RODC, limitando la realización de tareas administrativas únicamente en el RODC, y no en otros DCs.

DNS només de lectura
El servicio DNS de un RODC no soporta actualizaciones de clientes directas. Como consecuencia de esto, tampoco registra registros NS de ninguna zona integrada que contenga. Cuando un cliente intenta actualizar su registro DNS contra el RODC, el servidor devuelve un referral, que por supuesto, es utilizado posteriormente por el client para actualizar el seu registro. Tanmateix, el RODC solicita también la replicación del registro específico.

Para instalar un RODC, lo que hay que hacer es marcar el check durante la promoció a controlador de dominio de “Read-only domain controller (RODC)”.

Unir-se a un domini utilitzant Microsoft Windows 2008 Core (RODC),

En esta part del document simplement verem les opcions que hay que hacer quan volem unir un servidor a un domini ja existente, como controlador de dominio adicional pero usando Windows Core, ójo, este controlador de dominio sólo será de lectura, serà un Controlador de Domini Només de Llectura.

Per unir-nos com a controlador de domini addicional en un domini existent com a controlador només de lectura (RODC) qualsevol és la funció que es pot implementar en un Core, cal executar la següent comanda: dcpromo /unattend /InstallDns:yes /confirmGC:yes /replicaOrNewDomain:replica /ReplicaDomainDNSname:”DOMINI” /databasePath:”C:Windowsntds” /logPath:”C:Windowsntdslogs” /sysvolpath:”C:Windowssysvol” /safeModeAdminPassword:XXXXX /rebootOnCompletion:sí

Lògicament, aquests són els paràmetres més genèrics, podem desar aquests paràmetres en un fitxer d’instal·lació desatesa, anomenat normalment unattend.txt per poder-lo utilitzar directament amb la resta de servidors: dcpromo /unattend:unattend.txt

En aquest web de Microsoft hi ha tots els paràmetres possibles per utilitzar amb el fitxer d’instal·lació desatesa: http://technet2.microsoft.com/windowsserver2008/en/library/d660e761-9ee7-4382-822a-06fc2365a1d21033.mspx

www.bujarra.com – Héctor Herrero – nh*****@*****ra.com – v 1.0