Criar um domínio ou aderir a um em Windows 2008 + RODC ou Controlador de Domínio Apenas de Leitura,

Impressão amigável, PDF & E-mail

Crear un domínio en Windows 2008 – AQUI
Unir-se a um domínio Windows 2008 – AQUI
Instalação de um controlador de domínio apenas de leitura – Read Only Domain Controller – RODC – AQUI
Unir-se a um domínio usando Microsoft Windows 2008 Núcleo (RODC) – AQUI
Primeiro uma descrição para quem não sabe o que é um domínio: Um domínio é uma agregação de computadores em torno de alguns servidores centralizados que armazenam a lista de utilizadores, nível de acesso de cada um, e outras informações relacionadas com as contas de utilizador, as contas de computador, grupos, impressoras… o que chamaremos objetos. Tudo pode ser gerido a partir de uma localização centralizada graças a directivas/políticas.

Estes servidores são Controladores de Domínio (Windows 2000, 2003 ou 2008) e centralizam a administração da segurança do grupo, claro que cada controlador de domínio tem diferentes funções, uns serão mais importantes que outros, aunque Microsoft diga que no hay un controlador de domínio mais importante que otro.

Por supuesto que cada domínio puede tener a su vez subdominios, lo más cómodo para gestionar otra parte de la empresa, dividirla en grandes departamentos o grupos de empresas y no delegar permisos en outros utilizadores que não tenham acesso em outros domínios mais que en los suyos.

Crear un domínio en Windows 2008,

Em esta parte do documento veremos como criar um domínio o subdomínio no Windows 2008, la forma normal.

domínio windows 2008

Primeiro, abrimos a consola de “Server Manager” ou “Administração do servidor” do “Ferramentas administrativas”,

domínio windows 2008

Clique em “Add Roles” ou “Adicionar funcionalidades”,

domínio windows 2008

Assinalar “Active Directory Domain Services” e “Próximo”,

domínio windows 2008

Nos comenta what es lo que hace AD DS (Active Directory Active Services), que almacena la información sobre usuarios, equipos y demás dispositivos de la red. “Próximo”,

domínio windows 2008

Confirmamos que vamos a instalar son los servicios de dominio y pulsamos en “Instalar”

domínio windows 2008

instalando ADDS

domínio windows 2008

Okey, ya nos muestra que el rol está instalado, cerramos.

domínio windows 2008

Ahora lo que hay que hacerlo es promocionarlo como controlador de dominio, a partir do console de “Server Manager” ou “Administração do servidor” Clique em “Roles” > “Active Directory Domain Services” y en el enlace deRun the Active Directory Domain Services Installation Wizard” ou “Ejecutar el asistente de instalación de los servicios del Directorio Activo”.

domínio windows 2008

Podemos realizar una instalación avanzada, pero no nos interesa, Clique em “Seguinte”,

domínio windows 2008

Si nos vamos a unir a un árbol de dominios pulsaríamos la primera opción, y ya después veríamos si lo que vamos a hacer es este cómo otro controlador de dominio para un dominio ya existente o crearnos un nuevo dominio en un bosque ya existente. Pero lo que interesa, si es el primer dominio para el primer bosque pulsamos la segunda opción: “Crear un nuevo dominio en un nuevo bosque” & “Seguinte”,

domínio windows 2008

Indicamos o nome de domínio que vamos criar, tem de conter um ponto “.”. Normalmente, geralmente é o mesmo que o domínio público da Internet, mas não tem de ser o mesmo, A Microsoft costuma aconselhar que, se não souber qual colocar, devemos colocar um .local. O que for, “Próximo”,

domínio windows 2008

Realiza verificações para garantir que este domínio não existe na mesma rede…

domínio windows 2008

Este seria o nome NetBIOS do domínio, Continuar,

domínio windows 2008

Aqui é onde temos de indicar o nível funcional da floresta, pois estamos a criar uma nova floresta. O ideal é colocar o nível da floresta mais alto possível por segurança, mas isto limitará diversas possibilidades se houver PCs ou servidores com versões antigas.

O nível funcional da floresta “Windows Server Codename Longhorn” apresenta um novo nível funcional para as florestas e domínios. Embora o nível de bosques de Windows Server “Longhorn” (que saldrá ao mercado com outro nome) não aporta nenhuma função nova, garante que todos os domínios do bosque estejam em o nível funcional de Windows Server “Longhorn”, o que permite dos melhoras. O primeiro, o motor de replicação más actual del sistema de archivos distribuido (DFS) para o recurso partilhado SYSVOL, que ofrece mayor estabilidad, seguridad y rendimiento. A segunda, compatibilidad del cifrado AES de 256 bits con el protocolo de autenticación Kerberos. Aunque el nivel funcional más reciente proporciona el mejor rendimiento, podrá seguir usando los niveles inferiores al migrar a Windows Server “Longhorn”.

También se han introducido várias extensões de esquema para admitir nuevas características, todas compatibles con los esquemas que se usan actualmente. Los controladores de dominio que se ejecuten en Windows Server “Longhorn” podrán coexistir y funcionar en combinación con los que se ejecuten en Windows Server 2003.

domínio windows 2008

Al ser el primer controlador de dominio, debemos marcar que tiene que ser servidor DNS para la resolución de nombres, así que hay que tener marcado el check de DNS Server, aunque también se puede poner el servicio de DNS en otro servidor, pero no tiene sentido. Además será catálogo global para gestionar los inicios de sesión de los usuarios. Y este servidor al ser el primero del dominio no puede ser RODC (Dontrolador de Dominio de Sólo Lectura – Read Only Domain Controller), pero si metemos uno adicional sí que podría ser. “Seguinte”,

domínio windows 2008

Lógicamente pq es el primer servidor DNS, Continuar, “Seguinte”,

domínio windows 2008

Indicamos os diretórios para armazenar a base de dados do Diretório Ativo; onde irá armazenar os ficheiros de registo, os LOG; e qual será o diretório SYSVOL para armazenar os ficheiros que serão replicados entre os controladores de domínio (Scripts, diretivas…), “Seguinte”,

domínio windows 2008

Indicamos a palavra-passe do administrador para o caso de precisarmos de arrancar o Controlador de Domínio em modo de restauração dos Serviços de Diretório a partir do F8 ao reiniciar. “Seguinte”,

domínio windows 2008

Podemos guardar as funcionalidades aqui indicadas para poder usá-las com outro controlador de domínio de modo a que seja um ficheiro de instalação desatendida, um ficheiro de respostas. O único que não nos serviria porque estamos a criar um domínio, isto logicamente é usado quando nos juntamos a um domínio como controlador de domínio adicional. “Seguinte” para começar a criar el ADDS,

domínio windows 2008

… esperamos a que se configure…

domínio windows 2008

Okey, “Acabar”, ya está criado el dominio y tenemos ya nuestro primer controlador de dominio.

domínio windows 2008

Hay que reiniciar para que los changes surjan efecto.

Unir-se a um domínio Windows 2008,

En esta parte del documento simplesmente veremos las opções que hay que hacer cuando queremos unir um servidor a um domínio já existente, como controlador de domínio adicional.

Instalação de um controlador de domínio apenas de leitura – Read Only Domain Controller – RODC,

Una de las nuevas características que trae Microsoft Windows 2008 Server o Longhorn es que podemos tener un controlador de domínio en la red de sólo lectura, esto tiene sentido por seguridad, por si necesitamos tener un controlador de domínio en alguma delegação y no queremos que nadie toque nada.

RODC trata algunas problemáticas que son comunes de una Branch Office (BO). Puede suceder que las BO no tengan un Domain Controller local, o que lo tengan, pero no cumplan con las condiciones de seguridad necesarias que esto conlleva, además del ancho de banda necesario, o la propia experiencia y/o conocimientos del personal técnico.

A raíz de la problemática enunciada anteriormente, RODC provee las siguientes características:
Read-only AD DS Database.
Unidirectional replication.
Credential Caching.
Administrator role separation.
Read-only DNS.
Read-only AD DS Database

Exceptuando contraseñas, un RODC contiene todos los objetos y atributos que tiene un DC típico. Contudo, É claro, no pueden llevarse a cabo cambios que impacten a la base de un RODC. Todo tipo de cambios que se quieran realizar, deberán llevarse a cabo en un DC no RODC, y luego impactados vía replicación en la base del RODC.
Aquelas aplicações que requerem acesso em modo de leitura à base de AD terão-no sem qualquer problema. Contudo, aquelas que requerem acesso de escrita, receberão uma referência LDAP, que apontará diretamente para um DC que não seja RODC.

Unidirectional replication
A replicação unidirecional do RODC, que se aplica tanto ao AD DS como ao DFS, permite que, caso se consiga efetuar alguma modificação com a intenção de alterar a integridade da base de dados do AD, não se replique para o resto dos DCs. Do ponto de vista administrativo, este tipo de replicação reduz a sobrecarga dos servidores bridgehead, e a monitorização dessa replicação.

Credential Caching
Inadimplência, O RODC não armazena credenciais de utilizador ou computador, exceptuando, naturalmente, la cuenta correspondiente al propio RODC y la cuenta especial krbtgt que cada RODC tiene. Se debe habilitar explícitamente el almacenamiento de cualquier otro tipo de credencial.
Se debe tener en cuenta que limitar Credential Caching solo a aquellos usuarios que se authentican en el RODC, limita también la seguridad de dichas cuentas. Contudo, solo dichas cuentas serán vulnerables a posibles ataques.
Deshabilitar Credential Caching conlleva a que qualquer solicitud de autenticación se redireccione a un DC no RODC. Es posible, no entanto, modificar la Política de Replicação de Passwords para permitir que las credenciales de utilizadores sean cacheadas en un RODC.

Administrator Role Separation
Es posible delegar permisos administrativos únicamente para un RODC, limitando la realización de tareas administrativas únicamente en el RODC, y no en otros DCs.

Read-only DNS
El servicio DNS de un RODC no soporta actualizaciones de clientes directas. Como consequência de esto, tampoco registra registros NS de ninguna zona integrada que contenga. Cuando un cliente intenta actualizar su registo DNS contra el RODC, el servidor devuelve un referral, que por supuesto, es utilizado posteriormente por el cliente para actualizar su registo. Contudo, el RODC solicita también la replicación del registro específico.

Para instalar un RODC, lo que hay que hacer es marcar el check durante a promoção a controlador de domínio de “Read-only domain controller (RODC)”.

Unir-se a um domínio usando Microsoft Windows 2008 Núcleo (RODC),

En esta parte del documento simplesmente veremos las opções que hay que hacer cuando queremos unir um servidor a um domínio já existente, como controlador de domínio adicional pero usando Windows Core, ójo, este controlador de domínio solo será de lectura, será un Read Only Domain Controller.

núcleo

Para unirnos como controlador de domínio adicional en un domínio existente como controlador de sólo lectura (RODC) que es la función que puede implementar un Core, hay que ejecutar el siguiente comando: dcpromo /unattend/InstallDns:yes /confirmGC:yes /replicaOrNewDomain:replica /ReplicaDomainDNSname:”DOMINIO” /databasePath:”C:Windowsntds” /logPath:”C:Windowsntdslogs” /sysvolpath:”C:Windowssysvol” /safeModeAdminPassword:XXXXX /rebootOnCompletion:Sim

Logicamente, estes são os parâmetros mais genéricos, podemos guardar estes parâmetros num ficheiro de instalação desatendida, chamado normalmente unattend.txt para poder usá-lo diretamente com o resto dos servidores: dcpromo /unattend:unattend.txt

Neste site da Microsoft estão todos os parâmetros possíveis para usar com o ficheiro de instalação desatendida: Referências HTTP://technet2.microsoft.com/windowsserver2008/en/library/d660e761-9ee7-4382-822a-06fc2365a1d21033.mspx

www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0


Postagens recomendadas

Implementando a LAPS do Windows
Ler
Implementando FSSOs para integrar o Fortigate com o Active Directory
Ler
Novas equipes na Citrix
Ler
VPN com Citrix NetScaler III - Autenticação com certificados
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Administrando un Windows 2008 Núcleo: Comandos úteis para configurar y administrar un Core

28 Outubro 2008

Instalando o Windows 2008 e Windows 2008 Núcleo

28 Outubro 2008