Active directory
Active Directory es el servicio de directorio de una red Windows. Este
servicio de directorio es un servicio de red que almacena información acerca de
los recursos de la red y permite el acceso de los usuarios y las aplicaciones a
dichos recursos, de forma que se convierte en un medio de organizar, controlar
y administrar centralizadamente el acceso a los recursos de la red.
El servicio Active Directory proporciona la capacidad de establecer un
único inicio de sesión y un repositorio central de información para toda su infraestructura.
Instalacion y configuración de Active Directory
Antes de
comenzar con cualquier configuración hay que tener definidas algunas opciones,
pero las más básicas incluyen:
- Cómo se llamará el Dominio
Debe seguir las convenciones de nombres de DNS, y es independiente del dominio con el que se tenga prescencia en Internet. Son dos cosas totalmente diferentes “dominio Active Directory” y “dominio de Internet”
Y para los de habla española, recordar que no incluya vocales acentuadas o la letra “ñ” ya que traen problemas luego - Cómo será la convención de nombres para los Controladores de Dominio
- Qué configuración de red tendrá, que deberá ser ingresada manualmente, y no como cliente de DHCP
Así que lo
primero que debemos hacer luego de instalar el servidor es asignarle la
configuración IP. Esto variará con cada instalación, yo he elegido la red
192.168.1.0/24 que no es una red recomendable.
Observen que
la configuración de servidor DNS está en blanco.
Luego de lo
anterior debemos asignarle al servidor que será Controlador de Dominio un
nombre adecuado, de acuerdo a la convención de nombres que tengamos.
Y
reiniciamos la máquina, ya que es requerido por el cambio de nombre.
Luego del
reinicio e iniciando sesión con una cuenta de administrador local procederemos
a instalar la funcionalidad de acuerdo a como se muestra en las siguientes
pantallas.
Cuando
seleccionemos “Active Directory Domain Services” solicitará la instalación de
componentes adicionales, que por supuesto lo aceptaremos.
Finalizada
la instalación, y ya en el último paso, debemos promover al equipo como
Controlador de Dominio configurándolo de acuerdo a la necesidad.
La opción
ofrecida por omisión es crear un nuevo Bosque (“Forest”), que es lo que debemos
seleccionar cuando estamos creando nuestro primer Dominio Active Directory.
Sólo debemos ingresar el nombre del Dominio a crear.
Vamos a
detenernos un tiempo en esta pantalla porque hay configuraciones importantes.
Salvo que posteriormente vayamos a instalar Controladores de Dominio con
versiones anteriores del sistema operativo, no convendrá disminuir los niveles
funcionales.
Y es muy importante colocar una contraseña segura de “Directory Service Restore Mode” (DSRM). Esta contraseña es necesaria si tuviéramos que hacer una restauración desde una copia de seguridad del Controlador de Dominio. Esta contraseña no tiene relación con la cuenta de administrador del Dominio, no se sincroniza, y es individual para cada Controlador de Dominio.
Y es muy importante colocar una contraseña segura de “Directory Service Restore Mode” (DSRM). Esta contraseña es necesaria si tuviéramos que hacer una restauración desde una copia de seguridad del Controlador de Dominio. Esta contraseña no tiene relación con la cuenta de administrador del Dominio, no se sincroniza, y es individual para cada Controlador de Dominio.
Es normal
que no pueda efectuar la delegación en el DNS superior, y en nuestro caso sería
un problema grave de seguridad si pudiera delegar en un dominio de Internet,
nuestro Dominio Active Directory. Así que a ignorar la advertencia y continuar.
Sugiere el
nombre NetBIOS del Dominio, que salvo que esté duplicado en la red, siempre
será la parte más a la izquierda del nombre de Dominio que hayamos colocado.
Salvo que
tengamos en nuestro servidor más de un disco físico y esperemos que nuestro
Active Directory sea “muy grande”, no conviene cambiar las ubicaciones de los
archivos
Como aclaración: mover la base y los logs es muy sencillo luego, pero cambiar la ubicación de SYSVOL es problemático.
Como aclaración: mover la base y los logs es muy sencillo luego, pero cambiar la ubicación de SYSVOL es problemático.
Verificamos
si todo lo que seleccionamos es lo que realmente deseamos.
Y vemos que
el sistema nos da algunas advertencias. Entiendo que nadie a esta altura tendrá
servidores NT 4.0, y por el tema delegación DNS ya lo hemos visto, así que
podemos seguir adelante tranquilos.
Observen que informa que se reiniciará la máquina automáticamente al finalizar el proceso.
Observen que informa que se reiniciará la máquina automáticamente al finalizar el proceso.
Luego del
reinicio podremos iniciar sesión con el administrador del Dominio, ya no
administrador local, aunque su configuración en este caso se ha migrado.
Podemos
observar que ya es Controlador de Domino de, en mi caso, “ad.guillermod.com.ar”.
También ya
tenemos instaladas las aplicaciones de más uso para administrar nuestro Dominio.
Si abrimos
“Active Directory Users and Computers” veremos que está creada la
correspondiente cuenta de máquina en la Unidad Organizativa “Domain
Controllers”.
También
podemos observar que se han creado las correspondientes zonas DNS (en la
consola DNS), y se han creado los registros correspondientes. Tanto en la zona
con el nombre del Dominio, como en la zona que comienza con “_msdcs.”.
Controlador
de dominio segundario.
Infraestructura
del bosque.
Debemos
disponer de una instalación de Windows Server 2012, no vale una instalación
clonada, donde previamente le he asignado el nombre DC2 de acuerdo a lo
planificado, y he configurado adecuadamente el direccionamiento IP.
Esto último
es simplemente ponerle dirección IP fija (192.168.0.202), y configurar para que
use como DNS al servidor ya existente (192.168.0.1).
Luego de
esto lo he unido al Dominio existente, y he iniciado sesión como administrador
del dominio (ROOT\Administrator).
Se instalará
el Rol “Active Directory Domain Services” de igual forma que en la nota
anterior, salvo que diferirá en el momento de la configuración, que deberá ser
hecha como se indica a continuación.
En este
caso, para agregar un Controlador de Dominio adicional en un Dominio existente,
elegiremos “Add a domain controller to an existing domain”.
Si hemos iniciado sesión con la cuenta de administrador del Dominio, ya estarán correctos los datos correspondientes al nombre del Dominio, y la cuenta con privilegios suficientes. Si así no fuera, utilizar los botones “Select…” y “Change” para seleccionarlos como muestra la figura.
Si hemos iniciado sesión con la cuenta de administrador del Dominio, ya estarán correctos los datos correspondientes al nombre del Dominio, y la cuenta con privilegios suficientes. Si así no fuera, utilizar los botones “Select…” y “Change” para seleccionarlos como muestra la figura.
Vemos, que
por omisión, ya nos ofrece que tenga el servicio DNS y que sea Catálogo Global.
Como no hemos configurado aún los Sites podemos dejar el valor por omisión.
Sólo deberemos ingresar la contraseña correspondiente a “Directory Service
Restore Mode” (ver las consideraciones en la nota anterior).
Observen en
la siguiente pantalla que podemos seleccionar desde qué Controlador de Dominio
se hará la replicación inicial; en nuestro caso no tiene sentido elegir cuál
pues tenemos uno sólo
También está la opción IFM (Install From Media), esta opción puede ser útil en algunos casos. Si tuviéramos un Dominio “grande” y fuera a través de un enlace WAN con poco ancho de banda disponible, podríamos hacer una especie de copia de seguridad de Active Directory, transportarla al sitio remoto, y hacer que tome gran parte de la información (no toda) desde esta copia local.
También está la opción IFM (Install From Media), esta opción puede ser útil en algunos casos. Si tuviéramos un Dominio “grande” y fuera a través de un enlace WAN con poco ancho de banda disponible, podríamos hacer una especie de copia de seguridad de Active Directory, transportarla al sitio remoto, y hacer que tome gran parte de la información (no toda) desde esta copia local.
Para el
resto, las mismas consideraciones que ya he hecho en la nota anterior.
Cuando
finalice, se reinciará el equipo, e iniciaremos sesión con la cuenta de
administrador del Dominio (ROOT\Administrator).
Si todo
estuvo bien, en pocos minutos, aunque puede demorar hasta 30 minutos, se
crearán los “Objetos Conexión” entre los Controladores de Dominio que servirán
para la replicación de Active Directory.
Pero como
somos “ansiosos” :-D vamos a ver cómo acelerar el proceso.
Vamos a DC1,
y abramos “Active Directory Sites and Services” (Sitios y Servicios de Active
Directory) y sobre el lado izquierdo despleguemos. Sites /
Default-First-Site-Name / Servers / DC1 / NTDS Settings.
Veremos sobre el lado derecho que no está creado el Objeto Conexión para recibir información desde DC2.
Veremos sobre el lado derecho que no está creado el Objeto Conexión para recibir información desde DC2.
Entonces con botón derecho sobre “NTDS Settings” elegiimos “All Tasks / Check Replication Topology”.
Nos
informará que debemos refrescar la información, así que sobre Sites pulsamos
F5, y volvemos a donde estábamos y veremos el Objeto Conexión que permite la
replicación desde DC2 a DC1.
Para
confirmar, con botón derecho sobre el Objeto Conexión, elegimos “Replicate Now”
y observermos que se replica correctamente.
Si diera
algún mensaje que no puede replicar, no asustarse, esperar unos minutos, y
nuevamente F5 y “Replicate Now”.
Ahora
iniciamos sesión en DC2 y procedemos de forma análoga.
Ya que
estamos en DC2, ingresemos a la consola de administración de DNS y observemos
que la información de DNS ya fue replicada, que están registrados ambos
Controladores de Dominio, y como la zona está integrada en Active Directory,
DC2 informa que el SOA es DC2.
Ahora vamos
a DC1, y observemos que como cualquiera de los Controladores de Dominio puede
efectuar cambios en la zona, DC1 dice que el SOA es DC1.
Noten
además, que en ambos DNS, los dos Controladores de Dominio están registrados
como NS (Name Servers), o sea que ambos pueden responder en forma autoritaria
por la zona,
Como buena y
usual costumbre, aunque no es un requerido, es conveniente “cruzar los DNSs”. O
sea que DC1 use como DNS preferido a DC2 y a sí mismo como alternativo.
Y análogamente para DC2, así que los “cruzaré”.
Sobre este tema veré si luego hago una nota adicional para notar las ventajas e inconvenientes en cada caso:
Y análogamente para DC2, así que los “cruzaré”.
Sobre este tema veré si luego hago una nota adicional para notar las ventajas e inconvenientes en cada caso:
En DC1:
Y en DC2:
No hay comentarios:
Publicar un comentario