Erstellen einer Domäne in Windows 2008 – HIER
Einem Windows-Domäne beitreten 2008 – HIER
Installation eines schreibgeschützten Domänencontrollers – Schreibgeschützter Domänencontroller – RODC – HIER
Einem Domäne mit Microsoft Windows beitreten 2008 Kern (RODC) – HIER
Zuerst eine Beschreibung für diejenigen, die nicht wissen, was eine Domäne ist: Eine Domäne ist eine Gruppierung von Computern um einige zentrale Server, die die Benutzerliste speichern, Zugriffslevel jedes Einzelnen, und weitere mit Benutzerkonten verwandte Informationen, Die Computerkonten, Gruppen, Drucker… was wir Objekte nennen werden. Alles kann von einem zentralisierten Standort aus dank Richtlinien verwaltet werden.

Diese Server sind Domänencontroller (Fenster 2000, 2003 oder 2008) und zentralisieren die Verwaltung der Sicherheitsgruppe, natürlich hat jeder Domänencontroller verschiedene Rollen, einige werden wichtiger sein als andere, obwohl Microsoft sagt, dass kein Domänencontroller wichtiger ist als ein anderer.

Natürlich kann jede Domäne wiederum Unterdomänen haben, am bequemsten, um einen anderen Teil des Unternehmens zu verwalten, sie in große Abteilungen oder Unternehmensgruppen aufzuteilen und keine Berechtigungen an andere Benutzer zu delegieren, die in anderen Domänen außer ihrer eigenen keinen Zugang haben.

Erstellen einer Domäne in Windows 2008,

In diesem Teil des Dokuments werden wir sehen, wie man eine Domäne oder Unterdomäne in Windows erstellt 2008, die normale Methode.

Erste, wir öffnen die Konsole von “Server-Manager” oder “Serververwaltung” desde las “Verwaltung”,

Anklicken “Rollen hinzufügen” oder “Funktionen hinzufügen”,

Markieren “Active Directory Domain Services” und “Nächster”,

Es erklärt uns, was AD DS tut (Active Directory Active Services), die Informationen über Benutzer speichern, Geräte und andere Netzwerkgeräte. “Nächster”,

Confirmamos que lo que vamos a instalar son los servicios de dominio y pulsamos en “Installieren”

… instalando ADDS…

Okay, ya nos muestra que el rol está instalado, cerramos.

Ahora lo que hay que hacerlo es promocionarlo como controlador de dominio, von der Konsole von “Server-Manager” oder “Serververwaltung” Anklicken “Roles” > “Active Directory Domain Services” y en el enlace de “Run the Active Directory Domain Services Installation Wizard” oder “Ejecutar el asistente de instalación de los servicios del Directorio Activo”.

Podemos realizar una instalación avanzada, pero no nos interesa, Anklicken “Folgende”,

Si nos vamos a unir a un árbol de dominios pulsaríamos la primera opción, y ya después veríamos si lo que vamos a hacer es este cómo otro controlador de dominio para un dominio ya existente o crearnos un nuevo dominio en un bosque ya existente. Pero lo que interesa, si es el primer dominio para el primer bosque pulsamos la segunda opción: “Crear un nuevo dominio en un nuevo bosque” & “Folgende”,

Indicamos el nombre de dominio que vamos a crear, tiene que llevar un punto “.”. Normalerweise, suele ser el mismo que el dominio público de internet, pero no tiene por que ser el mismo, Microsoft suele aconsejar que si no sabes cual poner, se le ponga un .local. Lo que sea, “Nächster”,

Realiza comprobaciones que este dominio no exista en la misma red…

Este sería el nombre NetBIOS del dominio, Fortsetzen,

Aquí es donde tenemos que indicar el nivel funcional del bosque, ya que estamos creando un nuevo bosque. Lo ideal es poner el nivel del bosque más alto que se pueda por seguridad, pero esto nos capará diversas posibilidades teniendo PC’s o servidores con versiones antiguas.

Die funktionale Gesamtstruktur-Ebene “Windows Server Codename Longhorn” führt eine neue funktionale Ebene für Gesamtstrukturen und Domänen ein. Obwohl die Gesamtstrukturebene von Windows Server “Longhorn” (der auf den Markt mit einem anderen Namen kommen wird) keine neuen Funktionen bringt, garantiert sie, dass alle Domänen der Gesamtstruktur auf der funktionalen Ebene von Windows Server sind “Longhorn”, was zwei Verbesserungen ermöglicht. Die erste, die aktuellste Replikations-Engine des verteilten Dateisystems (DFS) für die SYSVOL-Freigabe, die mehr Stabilität, Sicherheit und Leistung bietet. Die zweite, Kompatibilität der AES-Verschlüsselung mit 256 Bit-Protokoll des Authentifizierungsprotokolls Kerberos. Obwohl die aktuellste funktionale Ebene die beste Leistung bietet, kann man weiterhin niedrigere Ebenen verwenden, wenn man zu Windows Server migriert “Longhorn”.

También se han introducido varias extensiones de esquema para admitir nuevas características, todas compatibles con los esquemas que se usan actualmente. Los controladores de dominio que se ejecuten en Windows Server “Longhorn” podrán coexistir y funcionar en combinación con los que se ejecuten en Windows Server 2003.

Al ser el primer controlador de dominio, debemos marcar que tiene que ser servidor DNS para la resolución de nombres, así que hay que tener marcado el check de DNS Server, aunque también se puede poner el servicio de DNS en otro servidor, aber das macht keinen Sinn. Además será catálogo global para gestionar los inicios de sesión de los usuarios. Y este servidor al ser el primero del dominio no puede ser RODC (Dontrolador de Dominio de Sólo Lectura – Schreibgeschützter Domänencontroller), aber wenn wir einen zusätzlichen hinzufügen, könnte es schon sein. “Folgende”,

Logischerweise, weil es der erste DNS-Server ist, Fortsetzen, “Folgende”,

Wir geben die Verzeichnisse an, um die Active Directory-Datenbank zu speichern; wo es die Protokolldateien speichern wird, die LOGs; und welches das SYSVOL-Verzeichnis sein wird, um die Dateien zu speichern, die zwischen den Domänencontrollern repliziert werden (Skripten, Politik…), “Folgende”,

Wir geben das Administratorpasswort an, falls wir den Domänencontroller im Wiederherstellungsmodus der Verzeichnisdienste über F8 beim Neustart starten müssen. “Folgende”,

Wir können die hier angegebenen Merkmale speichern, um sie mit einem anderen Domänencontroller verwenden zu können, sodass es eine unbeaufsichtigte Installationsdatei ist, eine Antwortdatei. Das Einzige, was nicht funktionieren würde, weil wir eine Domain erstellen, esto lo lógico es usarlo cuando nos unimos a un dominio como controlador de dominio adicional. “Folgende” para empezar a crear el ADDS,

… esperamos a que se configure…

Okay, “Beenden”, ya está creado el dominio y tenemos ya nuestro primer controlador de dominio.

Hay que reiniciar para que los cambios surjan efecto.

Einem Windows-Domäne beitreten 2008,

En esta parte del documento simplemente veremos las opciones que hay que hacer cuando queremos unir un servidor a un dominio ya existente, como controlador de dominio adicional.

Installation eines schreibgeschützten Domänencontrollers – Schreibgeschützter Domänencontroller – RODC,

Una de las nuevas características que trae Microsoft Windows 2008 Server o Longhorn es que podemos tener un controlador de dominio en la red de sólo lectura, esto tiene sentido por seguridad, por si necesitamos tener un controlador de dominio en alguna delegación y no queremos que nadie toque nada.

RODC trata algunas problemáticas que son comunes de una Branch Office (BO). Puede suceder que las BO no tengan un Domain Controller local, o que lo tengan, pero no cumplan con las condiciones de seguridad necesarias que esto conlleva, además del ancho de banda necesario, o la propia experiencia y/o conocimientos del personal técnico.

A raíz de la problemática enunciada anteriormente, RODC provee las siguientes características:
Read-only AD DS Database.
Unidirectional replication.
Credential Caching.
Administrator role separation.
Read-only DNS.
Read-only AD DS Database

Exceptuando contraseñas, un RODC contiene todos los objetos y atributos que tiene un DC típico. Aber, Natürlich, no pueden llevarse a cabo cambios que impacten a la base de un RODC. Todo tipo de cambios que se quieran realizar, deberán llevarse a cabo en un DC no RODC, y luego impactados vía replicación en la base del RODC.
Aquellas aplicaciones que requieran acceso en modo lectura a la base de AD lo tendrán sin problema alguno. Aber, aquellas que requieran acceso de escritura, recibirán un LDAP referral, que apuntará directamente a un DC no RODC.

Unidirectional replication
La replicación unidireccional de RODC, que aplica tanto para AD DS y DFS, permite que, en caso de que se logre hacer algún cambio con la intención de modificar la integridad de la base de datos de AD, no se replique al resto de los DCs. Desde el punto de vista administrativo, este tipo de replicación reduce la sobrecarga de bridgehead servers, y la monitorización de dicha replicación.

Credential Caching
Vorgabe, RODC no almacena credenciales de usuario o computadora, exceptuando por supuesto, la cuenta correspondiente al propio RODC y la cuenta especial krbtgt que cada RODC tiene. Se debe habilitar explícitamente el almacenamiento de cualquier otro tipo de credencial.
Se debe tener en cuenta que limitar Credential Caching solo a aquellos usuarios que se autentican en el RODC, limita también la seguridad de dichas cuentas. Aber, solo dichas cuentas serán vulnerables a posibles ataques.
Deshabilitar Credential Caching conlleva a que cualquier solicitud de autenticación se redireccione a un DC no RODC. Es posible, Aber, modificar la Password Replication Policy para permitir que las credenciales de usuarios sean cacheadas en un RODC.

Administrator Role Separation
Es posible delegar permisos administrativos únicamente para un RODC, limitando la realización de tareas administrativas únicamente en el RODC, y no en otros DCs.

Read-only DNS
El servicio DNS de un RODC no soporta actualizaciones de clientes directas. Como consecuencia de esto, tampoco registra registros NS de ninguna zona integrada que contenga. Cuando un cliente intenta actualizar su registro DNS contra el RODC, el servidor devuelve un referral, que por supuesto, es utilizado posteriormente por el cliente para actualizar su registro. Aber, el RODC solicita también la replicación del registro específico.

Para instalar un RODC, lo que hay que hacer es marcar el check durante la promoción a controlador de dominio de “Read-only domain controller (RODC)”.

Einem Domäne mit Microsoft Windows beitreten 2008 Kern (RODC),

En esta parte del documento simplemente veremos las opciones que hay que hacer cuando queremos unir un servidor a un dominio ya existente, como controlador de dominio adicional pero usando Windows Core, ójo, este controlador de dominio sólo será de lectura, será un Read Only Domain Controller.

Um uns als zusätzlicher Domänencontroller in einer bestehenden Domäne als Read-Only-Controller hinzuzufügen (RODC) was die Funktion ist, die ein Core implementieren kann, muss der folgende Befehl ausgeführt werden: dcpromo /unattend /InstallDns:yes /confirmGC:yes /replicaOrNewDomain:replica /ReplicaDomainDNSname:”DOMÄNE” /databasePath:”C:Windowsntds” /logPath:”C:Windowsntdslogs” /sysvolpath:”C:Windowssysvol” /safeModeAdminPassword:XXXXX /rebootOnCompletion:Ja

Logisch, estos son los parámetros más genéricos, podemos guardar estos parámetros en un fichero de instalación desatendida, llamado normalmente unattend.txt para poder usarlo directamente con el resto de servidores: dcpromo /unattend:unattend.txt

En esta web de Microsoft están todos los parámetros posibles para usar con el archivo de instalación desatendida: HTTP (Englisch)://technet2.microsoft.com/windowsserver2008/en/library/d660e761-9ee7-4382-822a-06fc2365a1d21033.mspx

www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0