Creare un dominio in Windows 2008 – QUI
Unirse a un dominio Windows 2008 – QUI
Instalación de un controlador de dominio de sólo lectura – Controller di dominio di sola lettura – RODC – QUI
Unirse a un dominio usando Microsoft Windows 2008 Nucleo (RODC) – QUI
Primero una descripción para el que no sepa qué es un dominio: Un dominio es una agrupación de ordenadores en torno a unos servidores centralizados que almacenan la lista de usuarios, nivel de acceso de cada uno, y demás información relacionada con las cuentas de usuario, las cuentas de equipo, grupos, Stampanti… lo que llamaremos objetos. Todo se puede gestionar desde una hubicación centralizada gracias a directivas/políticas.

Estos servidores son Controladores de Dominio (Finestre 2000, 2003 o 2008) y centralizan la administración de la seguridad del grupo, por supuesto que cada controlador de dominio tiene diferentes roles, unos serán más importantes que otros, aunque Microsoft diga que no hay un controlador de dominio más importante que otro.

Por supuesto que cada dominio puede tener a su vez subdominios, lo más cómodo para gestionar otra parte de la empresa, dividirla en grandes departamentos o grupos de empresas y no delegar permisos en other users que no tengan accessos en other dominios más que en los suyos.

Creare un dominio in Windows 2008,

En esta parte del documento veremos cómo creare un dominio o subdominio en Windows 2008, la forma normal.

Primo, Apriamo il “Server Manager” o “Administración del servidor” desde las “Strumenti di amministrazione”,

Clicca su “Add Roles” o “Agregar funciones”,

Segno “Servizi di dominio Active Directory” e “Prossimo”,

Nos comenta qué es lo que hace AD DS (Active Directory Active Services), que almacena la información sobre usuarios, equipos y demás dispositivos de la red. “Prossimo”,

Confirmamos que lo que vamos a instalar son los servicios de dominio y pulsamos en “Installare”

… instalando ADDS…

Ok, ya nos muestra que el rol está instalado, cerramos.

Ahora lo que hay que hacerlo es promocionarlo como controlador de dominio, dal “Server Manager” o “Administración del servidor” Clicca su “Ruoli” > “Servizi di dominio Active Directory” y en el enlace de “Run the Active Directory Domain Services Installation Wizard” o “Ejecutar el asistente de instalación de los servicios del Directorio Activo”.

Podemos realizar una instalación avanzada, pero no nos interesa, Clicca su “Seguente”,

Si nos vamos a unir a un árbol de dominios pulsaríamos la primera opción, y ya después veríamos si lo que vamos a hacer es este cómo otro controlador de dominio para un dominio ya existente o crearnos un nuevo dominio en un bosque ya existente. Pero lo que interesa, Se è il primo dominio per il primo dominio premiamo la seconda opzione: “Creare un nuovo dominio in una nuova foresta” & “Seguente”,

Indichiamo il nome del dominio che vogliamo creare, deve contenere un punto “.”. Normalmente, di solito è lo stesso del dominio pubblico di internet, ma non deve essere necessariamente lo stesso, Microsoft di solito consiglia che se non sai quale mettere, si metta un .local. Qualsiasi cosa, “Prossimo”,

Esegue controlli che questo dominio non esista nella stessa rete…

Questo sarebbe il nome NetBIOS del dominio, Continuare,

Qui è dove dobbiamo indicare il livello funzionale della foresta, visto che stiamo creando una nuova foresta. Il ideale è mettere il livello della foresta più alto possibile per sicurezza, ma questo limiterà varie possibilità se si hanno PC o server con versioni vecchie.

Il livello di foresta funzionale “Windows Server con nome in codice Longhorn” presenta un nuovo livello funzionale per foreste e domini. Sebbene il livello di foresta di Windows Server “Longhorn” (che verrà commercializzato con un altro nome) non apporti alcuna funzione nuova, garantisce che tutti i domini della foresta siano al livello funzionale di Windows Server “Longhorn”, il che consente due miglioramenti. Prima, il motore di replica più recente del file system distribuito (DFS) per la condivisione SYSVOL, che offre maggiore stabilità, sicurezza e prestazioni. Il secondo, compatibilità della crittografia AES di 256 bit con il protocollo di autenticazione Kerberos. Sebbene il livello funzionale più recente offra le migliori prestazioni, potrete continuare a usare i livelli inferiori durante la migrazione a Windows Server “Longhorn”.

También se han introducido varias extensiones de esquema para admitir nuevas características, todas compatibles con los esquemas que se usan actualmente. Los controladores de dominio que se ejecuten en Windows Server “Longhorn” podrán coexistir y funcionar en combinación con los que se ejecuten en Windows Server 2003.

Al ser el primer controlador de dominio, debemos marcar que tiene que ser servidor DNS para la risoluzione de nombres, así que hay que tener marcado el check de DNS Server, aunque también se puede poner el servicio de DNS en otro servidor, pero no tiene sentido. Además será catálogo global para gestionar los inicios de sesión de los usuarios. Y este servidor al ser el primero del dominio no puede ser RODC (Dontrolador de Dominio de Sólo Lectura – Controller di dominio di sola lettura), pero si metemos uno adicional sí que podría ser. “Seguente”,

Logicamente pq es el primer servidor DNS, Continuare, “Seguente”,

Indicamos los directorios para almacenar la base de datos del Directorio Activo; donde almacenará los ficheros de registro, los LOG; y cual será el directorio SYSVOL para almacenar los archivos que se replicarán entre los controladores de dominio (Script, Politiche…), “Seguente”,

Indicamos la contraseña del administrador para el caso que necesitemos arrancar el Controlador de Dominio en modo restauración de Servicios de Directorio desde F8 al reiniciar. “Seguente”,

Podemos guardar las características aquí indicadas para poter usarlas con otro controlador de dominio de modo que sea un archivo de instalación desatendida, un archivo de respuestas. Lo único que no nos serviría pq estamos creando un dominio, esto lo lógico es usarlo cuando nos unimos a un dominio como controlador de dominio adicional. “Seguente” para empezar a creare el ADDS,

… esperamos a que se configure…

Ok, “Finire”, ya está created el dominio y tenemos ya nuestro primer controlador de dominio.

Hay que reiniciar para que los changements surjan efecto.

Unirse a un dominio Windows 2008,

En esta parte del documento semplicemente veremos las opzioni que hay que hacer cuando queremos unir un server a un dominio ya existente, como controlador de dominio adicional.

Instalación de un controlador de dominio de sólo lectura – Controller di dominio di sola lettura – RODC,

Una de las nuevas características que trae Microsoft Windows 2008 Server o Longhorn es que podemos tener un controlador de dominio en la red de sólo lectura, esto tiene sentido por seguridad, por si necesitamos tener un controlador de dominio en alguna delegación y no queremos que nadie toque nada.

RODC trata algunas problemáticas que son comunes de una Branch Office (BO). Puede suceder que las BO no tengan un Domain Controller local, o que lo tengan, pero no cumplan con las condiciones de seguridad necesarias que esto conlleva, además del ancho de banda necesario, o la propia experiencia y/o conocimientos del personal técnico.

A raíz de la problemática enunciada anteriormente, RODC provee las siguientes características:
Read-only AD DS Database.
Unidirectional replication.
Credential Caching.
Administrator role separation.
Read-only DNS.
Read-only AD DS Database

Exceptuando contraseñas, un RODC contiene todos los objetos y atributos que tiene un DC típico. Tuttavia, Certo, no pueden llevarse a cabo cambios que impacten a la base de un RODC. Todo tipo de cambios que se quieran realizar, deberán llevarse a cabo en un DC no RODC, y luego impactados vía replicación en la base del RODC.
Aquellas aplicaciones que requieran acceso en modo lectura a la base de AD lo tendrán sin problema alguno. Tuttavia, aquellas que requieran acceso de escritura, recibirán un LDAP referral, que apuntará directamente a un DC no RODC.

Unidirectional replication
La replicación unidireccional de RODC, que aplica tanto para AD DS y DFS, permite que, en caso de que se logre hacer algún cambio con la intención de modificar la integridad de la base de datos de AD, no se replique al resto de los DCs. Desde el punto de vista administrativo, este tipo de replicación reduce la sobrecarga de bridgehead servers, y la monitorización de dicha replicación.

Credential Caching
Default, RODC no almacena credenciales de usuario o computadora, exceptuando por supuesto, l'account corrispondente al proprio RODC e l'account speciale krbtgt che ogni RODC possiede. È necessario abilitare esplicitamente l'archiviazione di qualsiasi altro tipo di credenziale.
Si deve tenere presente che limitare il Credential Caching solo agli utenti che si autenticano sul RODC, limita anche la sicurezza di tali account. Tuttavia, solo tali account saranno vulnerabili a possibili attacchi.
Disabilitare il Credential Caching comporta che qualsiasi richiesta di autenticazione venga reindirizzata a un DC che non sia RODC. È possibile, tuttavia, modificare la Password Replication Policy per permettere che le credenziali degli utenti vengano memorizzate in cache in un RODC.

Separazione dei Ruoli Amministrativi
È possibile delegare permessi amministrativi solo per un RODC, limitando la realización de tareas administrativas únicamente en el RODC, y no en otros DCs.

Read-only DNS
El servicio DNS de un RODC no soporta actualizaciones de clientes directas. Como consecuencia de esto, tampoco registra registros NS de ninguna zona integrada que contenga. Cuando un cliente intenta actualizar su registro DNS contra el RODC, el servidor devuelve un referral, que por supuesto, es utilizado posteriormente por el cliente para actualizar su registro. Tuttavia, el RODC solicita también la replicación del registro específico.

Para instalar un RODC, lo que hay que hacer es marcar el check durante la promoción a controlador de dominio de “Read-only domain controller (RODC)”.

Unirse a un dominio usando Microsoft Windows 2008 Nucleo (RODC),

En esta parte del documento semplicemente veremos las opzioni que hay que hacer cuando queremos unir un server a un dominio ya existente, como controlador de dominio adicional pero usando Windows Core, ójo, este controlador de dominio sólo será de lectura, será un Read Only Domain Controller.

Per aggiungere un controller di dominio aggiuntivo a un dominio esistente come controller di sola lettura (RODC) che è la funzione che un Core può implementare, È necessario eseguire il seguente comando: dcpromo /unattend /InstallDns:sì /confermaGC:sì /replicaOrNewDomain:replica /ReplicaDomainDNSname:”DOMINIO” /databasePath:”C:Windowsntds” /Percorso del registro:”C:Windowsntdslogs” /Percorso di sysvol:”C:Windowssysvol” /safeModeAdminPassword:XXXXX /rebootOnCompletion:Sì

Logicamente, Questi sono i parametri più generici, Possiamo salvare questi parametri in un file di installazione automatica, Di solito chiamato unattend.txt per poterlo utilizzare direttamente con il resto dei server: dcpromo /unattend:unattend.txt

Su questo sito Web di Microsoft sono presenti tutti i parametri possibili da utilizzare con il file di installazione automatica: Protocollo HTTP://technet2.microsoft.com/windowsserver2008/en/library/d660e761-9ee7-4382-822a-06fc2365a1d21033.mspx

www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0