Windows-en domeinu bat sortu 2008 – AKI
Windows domeinu batean parte hartu 2008 – AKI
Irakurketa soilik duen domeinu kontroladorea instalatzea – Irakurketa bakarreko domeinu kontrolatzailea – RODC – AKI
Microsoft Windows erabiliz domeinu batean parte hartu 2008 Core (RODC) – AKI
Lehenik eta behin, domeinu bat zer den ez dakienentzat deskribapen bat: Domeinu bat ordenagailuen multzo bat da, zentralizatutako zerbitzarien inguruan antolatuta, erabiltzaileen zerrenda gordetzen dutenak, bakoitzaren sarbide-maila, eta erabiltzaile kontuekin lotutako bestelako informazioa, ordenagailu kontuak, taldeak, impresoras… geroago objektu deituko dugun hori. Denetik zentralizatutako kokapen batetik kudeatu daiteke politika/zuzenbideei esker.

Zerbitzari hauek dira Domeinu Kontrolariak (Windows 2000, 2003 edo 2008) eta taldearen segurtasunaren administrazioa zentralizatzen dute, noski, domeinu kontrolari bakoitzak rol desberdinak ditu, unos serán más importantes que otros, aunque Microsoft diga que no hay un controlador de dominio más importante que otro.

Por supuesto que cada dominio puede tener a su vez subdominios, lo más cómodo para gestionar otra parte de la empresa, dividirla en grandes departamentos o grupos de empresas y no delegar permisos en otros usuarios que no tengan accesos en otros dominios más que en los suyos.

Windows-en domeinu bat sortu 2008,

En esta parte del documento veremos cómo crear un dominio o subdominio en Windows 2008, la forma normal.

Lehenik, abrimos la consola de “Server Manager” edo “Administración del servidor” desde las “Herramientas Administrativas”,

Sakatu on “Add Roles” edo “Agregar funciones”,

Marcamos “Active Directory Domain Services” eta “Next”,

Nos comenta qué es lo que hace AD DS (Active Directory Active Services), que almacena la información sobre usuarios, equipos y demás dispositivos de la red. “Next”,

Confirmamos que lo que vamos a instalar son los servicios de dominio y pulsamos en “Install”

… instalando ADDS…

Ados, ya nos muestra que el rol está instalado, cerramos.

Ahora lo que hay que hacerlo es promocionarlo como controlador de dominio, desde la consola de “Server Manager” edo “Administración del servidor” sustatu “Roles” > “Active Directory Domain Services” y en el enlace de “Run the Active Directory Domain Services Installation Wizard” edo “Ejecutar el asistente de instalación de los servicios del Directorio Activo”.

Podemos realizar una instalación avanzada, pero no nos interesa, sustatu “Hurrengoa”,

Si nos vamos a unir a un árbol de dominios pulsaríamos la primera opción, y ya después veríamos si lo que vamos a hacer es este cómo otro controlador de dominio para un dominio ya existente o crearnos un nuevo dominio en un bosque ya existente. Pero lo que interesa, lehenengo basoarentzat lehen domeinua bada bigarren aukera sakatzen dugu: “Baso berri batean domeinu berri bat sortu” & “Hurrengoa”,

Sortuko dugun domeinuaren izena adierazten dugu, puntu bat eraman behar du “.”. Normalmente, normalean Interneteko domeinu publiko bera izaten da, baina ez du zertan berdina izan, Microsoft-ek gomendatzen du zein jarri ez badakizu, .local bat jarri. Zerbait izan daiteke, “Next”,

Egiaztapenak egiten ditu domeinu hau sare berean existitzen ez dela ziurtatzeko…

Hau izango litzateke domeinuaren NetBIOS izena, jarraitu.,

Hemen adierazi behar dugu basoaren funtzionamendu-maila, baso berri bat sortzen ari garenez. Ideala da segurtasunagatik ahalik eta baso-maila altuena jartzea, baina honek aukera ezberdinak moztuko dizkigu PC edo zerbitzari bertsio zaharrekin.

El nivel de bosque funcional “Windows Server Codename Longhorn” presenta un nuevo maila funtzional para los bosques y dominios. Aunque el niveau de bosques de Windows Server “Longhorn” (que saldrá al mercado con otro nombre) no aporta ninguna función nueva, bermatzen du bosqueko domeinu guztiak daude en el maila funtzional de Windows Server “Longhorn”, lo que permite dos hobekuntzak. Lehenengoa, el motor de replicación más actual del sistema de archivos distribuido (DFS) para el recurso shared SYSVOL, que ofrece mayor estabilidad, seguridad y rendimiento. La segunda, compatibilidad del cifrado AES de 256 bits con el protocolo de autenticación Kerberos. Aunque el nivel funtzional más reciente proporciona el mejor rendimiento, podrá seguir usando los niveles inferiores al migrar a Windows Server “Longhorn”.

Era berezko ezaugarriak onartzeko hainbat zirkuitu luzapen sartu dira, denak gaur egun erabiltzen diren zirkuituekin bateragarriak. Windows Server-en exekutatzen diren domeinu kontrolatzaileek “Longhorn” Windows Server-en exekutatzen diren besteekin batera existitu eta funtziona dezakete 2003.

Domeinu kontrolatzaile nagusia izan behar denez, DNS izenaren ebazpenerako zerbitzari izan behar duela adierazi behar dugu, beraz, DNS Zerbitzariaren kutxa markatu behar da, baina DNS zerbitzaria beste zerbitzari batean jar daiteke, baina ez du zentzurik. Gainera, katalogo globala izango da erabiltzaileen saioak kudeatzeko. Eta zerbitzari hau domeinuaren lehena denez ezin da RODC izan (Irakurketa bakarreko Domeinu Kontrolatzailea – Irakurketa bakarreko domeinu kontrolatzailea), pero si metemos uno adicional sí que podría ser. “Hurrengoa”,

Lógicamente pq es el primer servidor DNS, jarraitu., “Hurrengoa”,

Indicamos los directorios para almacenar la base de datos del Directorio Activo; donde almacenará los ficheros de registro, los LOG; y cual será el directorio SYSVOL para almacenar los archivos que se replicarán entre los controladores de dominio (scripts, directivas…), “Hurrengoa”,

Indicamos la contraseña del administrador para el caso que necesitemos arrancar el Controlador de Dominio en modo restauración de Servicios de Directorio desde F8 al reiniciar. “Hurrengoa”,

Podemos guardar las características aquí indicadas para poder usarlas con otro controlador de dominio de modo que sea un archivo de instalación desatendida, un archivo de respuestas. Bakarrik ez liguke balioko pq domeinu bat sortzen ari gara, logikoa hau erabiliko da domeinu batera batzen garenean kontroladore osagarri gisa. “Hurrengoa” ADDS sortzen hasteko,

… itxaroten dugu konfiguratzen den arte…

Ados, “Finish”, domeinua sortuta dago eta gure lehen kontroladore nagusia daukagu.

Aldaketak eragina izan dezaten berrabiarazi behar da.

Windows domeinu batean parte hartu 2008,

Dokumentu honen atal honetan ikusi besterik ez dugu zein aukera egin behar diren zerbitzari bat dagoen domeinu batera batu nahi dugunean, kontroladore osagarri gisa.

Irakurketa soilik duen domeinu kontroladorea instalatzea – Irakurketa bakarreko domeinu kontrolatzailea – RODC,

Microsoft Windows-en ezaugarri berrietako bat da 2008 Server edo Longhorn-ek domeinu kontroladore bat soilik irakurtzeko moduan eduk dezakegu sarean, honek zentzua du segurtasunagatik, por si necesitamos tener un controlador de dominio en alguna delegación y no queremos que nadie toque nada.

RODC trata algunas problemáticas que son comunes de una Branch Office (BO). Puede suceder que las BO no tengan un Domain Controller local, o que lo tengan, pero no cumplan con las condiciones de seguridad necesarias que esto conlleva, además del ancho de banda necesario, o la propia experiencia y/o conocimientos del personal técnico.

A raíz de la problemática enunciada anteriormente, RODC provee las siguientes características:
Read-only AD DS Database.
Unidirectional replication.
Credential Caching.
Administrator role separation.
Read-only DNS.
Read-only AD DS Database

Exceptuando contraseñas, un RODC contains todos los objetos y atributos que tiene un DC típico. Hala ere, por supuesto, no pueden llevarse a cabo cambios que impacten a la base de un RODC. Todo tipo de cambios que se quieran realizar, deberán llevarse a cabo en un DC no RODC, y luego impactados vía replicación en la base del RODC.
Aquellas aplicaciones que requieran acceso en modo lectura a la base de AD lo tendrán sin problema alguno. Hala ere, aquellas que requieran acceso de escritura, recibirán un LDAP referral, que apuntará directamente a un DC no RODC.

Unidirectional replication
La replicación unidireccional de RODC, que aplica tanto para AD DS y DFS, permite que, en caso de que se logre hacer algún cambio con la intención de modificar la integridad de la base de datos de AD, no se replique al resto de los DCs. Desde el punto de vista administrativo, este tipo de replicación reduce la sobrecarga de bridgehead servers, y la monitorización de dicha replicación.

Credential Caching
Lehenetsitakoaren arabera, RODC no almacena credenciales de usuario o computadora, exceptuando por supuesto, la cuenta correspondiente al propio RODC y la cuenta especial krbtgt que cada RODC tiene. Se debe habilitar explícitamente el almacenamiento de cualquier otro tipo de credencial.
Se debe tener en cuenta que limitar Credential Caching solo a aquellos usuarios que se autentican en el RODC, limita también la seguridad de dichas cuentas. Hala ere, solo dichas cuentas serán vulnerables a posibles ataques.
Deshabilitar Credential Caching conlleva a que cualquier solicitud de autenticación se redireccione a un DC no RODC. Es posible, sin embargo, Pasahitz Errepikapen Politikaren aldaketa erabiltzaileen kredentzialak RODC batean cachea daitezen baimentzeko.

Administratzaileen Rol Banaketa
Administrazio baimenak RODC batentzako bakarrik delegatzea posible da, Administrazio zereginak RODC bakarrean bakarrik egiteko murriztuz, eta ez beste DC batzuetan.

Read-only DNS
RODC baten DNS zerbitzuak ezin ditu bezeroaren eguneraketak zuzenez onartu. Horren ondorioz, ez dira ere inongo integrazio-zona duen NS erregistroak jasoko. Bezprobatzaile bat bere DNS erregistroa RODC kontra eguneratu nahian duenean, zerbitzariak erreferentzia bat ematen du, noski, gerora bezeroak bere erregistroa eguneratzeko erabiltzen duena. Hala ere, RODCak ere erregistro zehatzaren errepikazioa eskatzen du.

RODC bat instalatzeko, lo que hay que hacer es marcar el check durante la promoción a controlador de dominio de “Read-only domain controller (RODC)”.

Microsoft Windows erabiliz domeinu batean parte hartu 2008 Core (RODC),

Dokumentu honen atal honetan ikusi besterik ez dugu zein aukera egin behar diren zerbitzari bat dagoen domeinu batera batu nahi dugunean, como controlador de dominio adicional pero usando Windows Core, ójo, este controlador de dominio sólo será de lectura, será un Read Only Domain Controller.

Para unirnos como controlador de dominio adicional en un dominio existente como controlador de sólo lectura (RODC) que es la función que puede implementar un Core, hay que ejecutar el siguiente comando: dcpromo /unattend /InstallDns:yes /confirmGC:yes /replicaOrNewDomain:replica /ReplicaDomainDNSname:”DOMINIO” /databasePath:”C:Windowsntds” /logPath:”C:Windowsntdslogs” /sysvolpath:”C:Windowssysvol” /safeModeAdminPassword:XXXXX /rebootOnCompletion:bai

Lógicamente, estos son los parámetros más genéricos, podemos guardar estos parámetros en un fichero de instalación desatendida, llamado normalmente unattend.txt para poder usarlo directly con el resto de servidores: dcpromo /unattend:unattend.txt

En esta web de Microsoft están todos los parámetros posibles para usar con el archivo de instalación desatendida: http://technet2.microsoft.com/windowsserver2008/en/library/d660e761-9ee7-4382-822a-06fc2365a1d21033.mspx

www.bujarra.com – Héctor Herrero – nh*****@*****ra.com – v 1.0