Documente Academic
Documente Profesional
Documente Cultură
Hemos dividido este documento en tres partes que podréis acceder a ellas haciendo uso del
indice siguiente.
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 01
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 02
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 03
Cuando realizamos una confianza entre bosques a partir de Windows 2000 Server, estamos
hablando que pueden ser relaciones transitivas y bidireccionales, esto indica que los dominios
que forman parte de una relación de confianza son dominios de confianza.
Haciendo uso del protocolo Kerberos, el cliente obtendrá un ticket desde un controlador del
dominio de su cuenta para presentar en el servidor de dominio de confianza y así proceder a
su autenticación. Este ticket es emitido por un intermediario en el que confían tanto el
cliente como el servidor.
Cuando usamos la autenticación mediante NTLM, el servidor del que depende dicho recurso
compartido, tendrá que ponerse en contacto con un controlador de dominio en el propio
dominio de la cuenta cliente, para poder comprobar que las credenciales de dicha cuenta
sean unas credenciales validas.
Confianza Externa.
Transitividad:
No transitiva.
Dirección:
Unidireccional.
Bidireccional.
Usaremos las confianzas de tipo Externa para poder dar acceso a recursos que esten ubicados
en un dominio de Windows NT 4.0 o también en un dominio que dependa de un bosque
distinto que tiene una confianza a nivel de bosque.
Confianza de dominio Kerberos.
Transitividad:
Transitiva.
No transitiva.
Dirección:
Unidireccional.
Bidireccional.
Usaremos las confianzas de dominio Kerberos cuando queramos crear una relación de
confianza entre un dominio Kerberos que no sea de Windows y un dominio de Windows
Server.
Confianza de bosque.
Transitividad:
Transitiva.
Dirección:
Unidireccional.
Bidireccional.
Usaremos las confianzas de bosque para poder compartir recursos entre varios bosques. Si
creamos una confianza de bosque bidireccional, cualquier solicitud de autenticación realizada
en alguno de los bosques implicados podrá llegar al los otros bosques. Este es el tipo de
confianza que crearemos durante nuestro laboratorio.
Confianza Directa.
Transitividad:
Transitiva.
Dirección:
Unidireccional.
Bidireccional.
Usaremos las confianzas directas con el fin de mejorar los tiempos de inicio de sesión de
usuario entre los dominios de un bosque de Windows Server. Nos convendrá usar este tipo de
confianza cuando tengamos dominios separados por árboles de dominios.
Únicamente los miembros del grupo Admins. del dominio pueden crear y administrar
relaciones de confianza.
Editaremos un recurso que hemos creado y hemos llamado RECURSO, en nuestro laboratorio
se trata de una carpeta compartida, la seleccionaremos y con el botón derecho del ratón
desplegaremos el menú y seleccionaremos la opción Propiedades.
Esto nos abrirá la ventana de Permisos de Recurso. Usando el botón Agregar nos abrirá la
ventana llamada Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos dónde
podremos escoger los Usuarios, Equipos, Cuentas de servicio o Grupos a los que podemos dar
permisos.
Comprobaremos que solo podemos seleccionar las Cuentas Usuarios, Equipos, Cuentas de
servicio o Grupos del propio dominio de Active Directory al que pertenece el servidor que
está sirviendo el recurso.
Empezaremos el proceso de creación de una nueva relación de confianza, creando en
nuestros servidores de DNS un nuevo reenviador condicional.
Abriremos el Administrador de DNS en uno de los dos dominios. En el árbol lateral izquierdo
buscaremos la rama Reenviadores condicionales y la seleccionaremos con el botón derecho
del ratón para desplegar el menú. En el menú desplegable seleccionaremos la opción Nuevo
reenviador condicional.
Esta operación la deberemos realizar en todos los servidores Domain Name System de todos
los dominios de nuestra relación de confianza.
Cuando terminemos esta parte de la configuración, en nuestros Administradores de
DNS tenemos que tener algo parecido a la imagen siguiente.
Podéis continuar leyendo el documento en Windows 2012 R2 - Cómo crear una relación de
confianza entre dominios de Active Directory - Parte 02
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 01
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 02
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 03
Nos aparecerá la ventana del Asistente para nueva confianza, saltaremos la ventana de
bienvenida del usando el botón Siguiente>.
La sección siguiente será Partes de la relación de confianza. Para crear una relación de
confianza, es necesario crear dicha relación en todos los dominios que la componen, en
nuestro laboratorio tenemos solamente dos.
Terminaremos el asistente con la sección Finalización del asistente para nueva confianza,
podremos cerrar la ventana, si todo es correcto, usando el botón Finalizar.
Active Directory: Windows 2012 R2 - Cómo crear una
relación de confianza entre dominios - Parte 03
Hemos dividido este documento en tres partes que podréis acceder a ellas haciendo uso del
indice siguiente.
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 01
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 02
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 03
Para terminar el laboratorio, vamos a comprobar que efectivamente toda esta configuración
ha tenido alguna repercusión sobre nuestro entorno.
Veremos que en la ventana del dominio DOM1.LOCAL tendrá configurada una confianza
transitiva a nivel de bosque con el dominio DOM2.LOCAL, además, deberemos recordar que
esta parte se ha creado automáticamente durante el asistente ejecutado desde el controlador
de dominio del dominio DOM2.LOCAL.
Como no podia ser de otro modo, en la ventana del dominio DOM2.LOCAL encontraremos
creada una confianza con el dominio DOM1.LOCAL también transitiva y de tipo bosque.
Si editamos en un recurso de red, podremos también comprobar que podemos elegir los
usuarios para asignar permisos de otras ubicaciones que no sean nuestro dominio local.