Instalando un controlador de dominio Windows 2008 R2
Bueno realmente el tema de este post no deberia ser “Instalando un controlador de dominio windows 2008 r2″ deberia ser “Promoviendo un servidor windows server 2008 r2 a controlador de dominio” sin embargo para los que inician sus pasos en AD el titulo original del post puede resultarles mas amigable, antes de iniciar con el proceso de configuracion les voy a definir algunos conceptos necesarios:
¿Qué es un dominio?
Es un conjunto de normas que administran los recursos y los clientes en una red local.
En un dominio hay lo que se llama un servidor principal llamado PDC (primary domain controller) que es quien asigna derechos controla usuarios y recursos.
Dado que este servidor puede recibir muchas peticiones de red por parte de los clientes, es posible instalar un servidor de réplica llamado (RODC) Read-Only Domain Controller que contiene siempre una réplica de la base de datos del PDC y actúa como PDC en cuanto a peticiones de clientes.
Además en caso de fallo del PDC, él se sitúa en el dominio como PDC.
En caso de haber varios RODC, uno de ellos se coloca como PDC y los demás se dedican a respaldar a ese.
En un dominio hay lo que se llama un servidor principal llamado PDC (primary domain controller) que es quien asigna derechos controla usuarios y recursos.
Dado que este servidor puede recibir muchas peticiones de red por parte de los clientes, es posible instalar un servidor de réplica llamado (RODC) Read-Only Domain Controller que contiene siempre una réplica de la base de datos del PDC y actúa como PDC en cuanto a peticiones de clientes.
Además en caso de fallo del PDC, él se sitúa en el dominio como PDC.
En caso de haber varios RODC, uno de ellos se coloca como PDC y los demás se dedican a respaldar a ese.
¿Que es un arbol?
Es un conjunto de dominios con relaciones de confianza entre sí que comparten recursos, clientes y un sistema de resolución de nombres (DNS)
¿Qué es un bosque?
Es un conjunto de árboles de dominio con relaciones de confianza entre sí, el bosque puede tener una gran cantidad de arboles de dominio, una organizacion puede tener muchos bosques…
Es un conjunto de árboles de dominio con relaciones de confianza entre sí, el bosque puede tener una gran cantidad de arboles de dominio, una organizacion puede tener muchos bosques…
¿Por qué es tan importante active directory?
Active Directory permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera. Un Active Directory almacena información de una organización en una base de datos central, organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos para una red pequeña hasta directorios con millones de objetos.
Active Directory permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera. Un Active Directory almacena información de una organización en una base de datos central, organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos para una red pequeña hasta directorios con millones de objetos.
Estos son solo algunos conceptos basicos de AD, sin embargo hay muchos mas que necesitan conocerse AD es como un universo de tecnologia…
Dicho esto vamos a proceder a ver el proceso de creacion de un Dominio de Active Directory, estoy asumiendo que el servidor ya esta instalado al 100% con el sistema operativo, parches y actualizaciones de seguridad.
- Lo primero que debemos verificar es que el server tenga el nombre correcto de acuerdo a la nomenclatura de nombres que vamos a manejar, esto es muy importante.
- Parte vital de la configuracion de un controlador de dominio (por no decir que sin esto no se puede hacer la configuracion) es la configuracion IP que debera tener el server, lo recomendable es que tengan tablas de organizacion de sus redes, en las cuales especifiquen los rangos para cada dispositivo que utilicen, Servers, Impresoras, Users, Routers.. etc
En este caso estamos utilizando una red de clase C
- Luego vamos a proceder a agregar un Rol, el server manager es ahora la utilidad que nos permitira hacer esto, el Rol que vamos a agregar es “Directory Services”
- Debemos entonces seleccionar la opcion “agregar roles” y nos aparecera el siguiente asistente:
- Vamos a seleccionar “Next” para continuar con la instalacion
- Vamos a seleccionar la opcion “Active Directory Domain Services” y vamos a seleccionar “Next” para continuar
- Se nos mostrara una pantalla en donde se nos explica algunos de los procesos que estaremos realizando
- NET Framework 3.5 o superior se instalara antes de proceder a configurar el Rol
- Recibimos el sumario de instalacion en el cual se muestra que active directory domain services finalizo la instalacion correctamente
- Cuando accesamos al server manager, se nos mostrara una alerta ” es necesario promover el servidor a controlador de dominio con dcpromo) bastaria con que hicieramos click en la parte que aparece vinculada, otra forma es ir a ejecutar y digitar “dcpromo” enter
- Ahora es cuando empezamos a promover el servidor a controlador de dominio, hacemos click en “Next” para continuar la configuracion.
- Nos aparecera un anuncio que nos indica algunas cosas sobre compatibilidad que deberiamos saber al promover un controlador de dominio con esquema de windows server 2008 R2, hacemos click en Next para continuar.
- Como lo que vamos a hacer es un nuevo controlador de dominio en un nuevo bosque, seleccionamos la opcion ” Create a new domain in a new forest” y hacemos click en “Next” para continuar
- Debemos especificar el nombre Netbios o FQDN de nuestro dominio (Full Quality Domain Name”) hacemos click en “Next”
- Seleccionamos el nivel de funcionalidad del dominio en este caso Windows Server 2008 R2
- Recordemos que lo recomendado es integrar una zona DNS con AD, por lo cual seleccionaremos la opcion y damos click en “Next” para continuar…
- Seleccionamos la ubicacion de los componentes de la base de datos de AD, hacemos click en “Next”
- debemos colocar un password para iniciar recuperacion de AD en caso de desastre (Disaster Recovery)
- Se iniciara el proceso de instalacion y configuracion de componentes de AD
- Finalmente nos aparecera un sumario que nos indica que toda la configuracion se realizo correctamente, normalmente cuando es un nuevo forest y un nuevo dominio no hay mayor complicacion, muchas veces los problemas se presentan a la hora de migrar un forest 2003 R2 hacia 2008 R2, para lo cual se sugiere una prueba de concepto, en todo caso lo mejor que se puede hacer es virtualizar en un entorno aislado los servidores de produccion de AD es decir convertirlos de fisicos a virtuales y hacer todas las pruebas respectivas y minimizar las fallas que se podrian ocaciones, este proceso siempre tiene troubleshooting….
- Ahora analizamos otro detalle, aunque la promocion del controlador de dominio fue satisfactoria notamos algo interesante, al utilizar la herramienta nslookup para comprobar la resolucion DNS en el dominio nos damos cuenta que no tenemos resolucion inversa del dominio, vamos a explicarlo un poco mejor: DNS significa Domain Name System lo que nos permite traducir una direccion IP en nombre, la resolucion inversa como su nombre lo dice nos permite traducir un nombre en direccion IP, en algunas casos estas configuraciones son requeridas por algunas aplicaciones, por lo cual si promovemos un controlador de dominio la resolucion inversa deberia quedar funcionando perfectamente bien, veamos como configurar una zona inverda DNS
- Abrimos el panel de DNS , vamos a la opcion Reverse Lookup Zones y seleccionamos la opcion “Add a New Zone”
- Hacemos un click en “Next” para iniciar la configuracion
- Seleccionarmos crear una zona primaria…
- Seria para todos los DNS corriendo en el forest… hacemos click en “Next”
- Seleccionarmos una IPv4 Reverse Zone
- La zona inversa debe identificar los 3 primeros octetos del controlador de dominio, por lo cual se los colocamos y hacemos click en “Next”
- Debemos otorgar actualizaciones seguras y no seguras, sin embargo depende de como lo manejen en cuanto a normas o politicas de seguridad, hacemos click en “Next”
- Asi es como hemos creado ya nuestra zona inversa, sin embargo falta crear un registro PTR
PTR: Proveniente de ‘Point Récords’ éste registro es como un CNAME ya que es capaz de
contener un nombre de dominio, pero, realmente no son iguales, un CNAME se refiere a un alias, pero un PTR, como su nombre indica especifica a un punto, es decir, otra dirección.
contener un nombre de dominio, pero, realmente no son iguales, un CNAME se refiere a un alias, pero un PTR, como su nombre indica especifica a un punto, es decir, otra dirección.
- Para crear el PTR seleccionamos la zona inversa…
- Hacemos un click con el boton derecho y seleccionamos ” New Pointer”
- Colocamos la IP y el nombre del Host
- Despues de lo cual probamos el nslookup y ahora el resultado nos dara:
Finalmente ya tenemos configurado un nuevo Dominio en un nuevo Forest, en otros post analizaremos la creacion de GPO y seguridad que podemos integrar a nuestro controlador de dominio….
No hay comentarios:
Publicar un comentario