ctive Directory: Windows 2012 R2 - Cómo crear una

relación de confianza entre dominios - Parte 01

En el laboratorio de hoy crearemos una relación de confianza de Bosque transitiva y
bidireccional entre dos dominios de Active Directory.

Hemos dividido este documento en tres partes que podréis acceder a ellas haciendo uso del
indice siguiente.

Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 01
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 02
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 03

Cuando realizamos una confianza entre bosques a partir de Windows 2000 Server, estamos
hablando que pueden ser relaciones transitivas y bidireccionales, esto indica que los dominios
que forman parte de una relación de confianza son dominios de confianza.

Un controlador de dominio que ejecute Windows Server puede autenticar a usuarios y

aplicaciones que usen los protocolos:
 Kerberos.
 NTLM.
Kerberos es el protocolo predeterminado para los equipos que tengan instalado alguno de los
siguientes sistemas operativos.
 Windows 2000.
 Windows XP Professional.
 Windows 7.
 Windows 8, 8.1.
 Windows Server 2003.
 Windows Server 2008.
 Windows Server 2012.
Si un equipo no es compatible con el protocolo Kerberos, usará el protocolo NTLM.

Haciendo uso del protocolo Kerberos, el cliente obtendrá un ticket desde un controlador del
dominio de su cuenta para presentar en el servidor de dominio de confianza y así proceder a
su autenticación. Este ticket es emitido por un intermediario en el que confían tanto el
cliente como el servidor.

Cuando usamos la autenticación mediante NTLM, el servidor del que depende dicho recurso
compartido, tendrá que ponerse en contacto con un controlador de dominio en el propio
dominio de la cuenta cliente, para poder comprobar que las credenciales de dicha cuenta
sean unas credenciales validas.

Confianza Externa.
Transitividad:
 No transitiva.
Dirección:
 Unidireccional.
 Bidireccional.
Usaremos las confianzas de tipo Externa para poder dar acceso a recursos que esten ubicados
en un dominio de Windows NT 4.0 o también en un dominio que dependa de un bosque
distinto que tiene una confianza a nivel de bosque.
Confianza de dominio Kerberos.
Transitividad:
 Transitiva.
 No transitiva.
Dirección:
 Unidireccional.
 Bidireccional.
Usaremos las confianzas de dominio Kerberos cuando queramos crear una relación de
confianza entre un dominio Kerberos que no sea de Windows y un dominio de Windows
Server.

Confianza de bosque.
Transitividad:
 Transitiva.
Dirección:
 Unidireccional.
 Bidireccional.
Usaremos las confianzas de bosque para poder compartir recursos entre varios bosques. Si
creamos una confianza de bosque bidireccional, cualquier solicitud de autenticación realizada
en alguno de los bosques implicados podrá llegar al los otros bosques. Este es el tipo de
confianza que crearemos durante nuestro laboratorio.

Confianza Directa.
Transitividad:
 Transitiva.
Dirección:
 Unidireccional.
 Bidireccional.
Usaremos las confianzas directas con el fin de mejorar los tiempos de inicio de sesión de
usuario entre los dominios de un bosque de Windows Server. Nos convendrá usar este tipo de
confianza cuando tengamos dominios separados por árboles de dominios.

Únicamente los miembros del grupo Admins. del dominio pueden crear y administrar
relaciones de confianza.

En nuestro laboratorio disponemos de dos dominios de Active

Directory, DOM1.LOCAL y DOM2.LOCAL.
Antes de realizar ninguna acción o configuración, comprobaremos el estado actual de los dos
dominios de nuestro laboratorio.

Seleccionaremos un recurso de cualquiera de los servidores del nuestro dominio. Si

quisiéramos dar permisos de seguridad sobre dicho recurso, solo nos permitiria asignar
permisos a usuarios del propio dominio al que pertenece el servidor del recurso, pongamos un
ejemplo.

Editaremos un recurso que hemos creado y hemos llamado RECURSO, en nuestro laboratorio
se trata de una carpeta compartida, la seleccionaremos y con el botón derecho del ratón
desplegaremos el menú y seleccionaremos la opción Propiedades.

En la sección Seguridad de la ventana de propiedades de nuestro recurso, buscaremos y

presionaremos el botón Editar.

Esto nos abrirá la ventana de Permisos de Recurso. Usando el botón Agregar nos abrirá la
ventana llamada Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos dónde
podremos escoger los Usuarios, Equipos, Cuentas de servicio o Grupos a los que podemos dar
permisos.

En la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos usaremos el

botón Ubicaciones para poder ver a que dominio pertenecerán las cuentas de Usuarios,
Equipos, Cuentas de servicio o Grupos que nos permitirá asignar permisos sobre el recurso.

Comprobaremos que solo podemos seleccionar las Cuentas Usuarios, Equipos, Cuentas de
servicio o Grupos del propio dominio de Active Directory al que pertenece el servidor que
está sirviendo el recurso.
Empezaremos el proceso de creación de una nueva relación de confianza, creando en
nuestros servidores de DNS un nuevo reenviador condicional.

Abriremos el Administrador de DNS en uno de los dos dominios. En el árbol lateral izquierdo
buscaremos la rama Reenviadores condicionales y la seleccionaremos con el botón derecho
del ratón para desplegar el menú. En el menú desplegable seleccionaremos la opción Nuevo
reenviador condicional.

En la ventana Nuevo reenviador condicional, rellenaremos el cuadro de texto

llamado Dominio DNS con el nombre del otro dominio que queramos relacionar, rellenaremos
también los nombres de los servidores Maestros del dominio del dominio contrario.

Esta operación la deberemos realizar en todos los servidores Domain Name System de todos
los dominios de nuestra relación de confianza.
Cuando terminemos esta parte de la configuración, en nuestros Administradores de
DNS tenemos que tener algo parecido a la imagen siguiente.
Podéis continuar leyendo el documento en Windows 2012 R2 - Cómo crear una relación de
confianza entre dominios de Active Directory - Parte 02

Active Directory: Windows 2012 R2 - Cómo crear una

relación de confianza entre dominios - Parte 02
Hemos dividido este documento en tres partes que podréis acceder a ellas haciendo uso del
indice siguiente.

Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 01
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 02
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 03

Continuemos con la creación de una relación de confianza entre dominios de Active

Directory, una vez tengamos configurado nuestro reenviador condicional en cada uno de los
servidores de Domain Name System o DNS de cada uno de los dominios afectados abriremos
una ventana de Dominios y confianzas de Active Directory para crear la relación de
confianza.
En nuestro laboratorio hemos accedido a la ventana de Dominios y confianzas de Active
Directory desde el dominio llamado DOM2.LOCAL, pero podéis acceder desde cualquiera de
los dominios que queremos relacionar.

En el árbol lateral izquierdo de la ventana de Dominios y confianzas de Active

Directory, seleccionaremos el nombre de nuestro dominio de Active directory, en nuestro
laboratorio será DOM2.LOCAL, con el botón derecho del ratón desplegaremos el menú y
presionaremos en la opción Propiedades.

En la ventana de Propiedades, accederemos a la sección Confianzas y abriremos el asistente

para creación de una nueva confianza pulsando el botón Nueva confianza... situado en la
parte inferior de la ventana.

Nos aparecerá la ventana del Asistente para nueva confianza, saltaremos la ventana de
bienvenida del usando el botón Siguiente>.

En la sección Nombre de la confianza escribiremos un nombre identificador, en nuestro

laboratorio hemos optado por poner el nombre del dominio al cual queremos
confiar DOM1.LOCAL, hecho esto pulsaremos el botón Siguiente> para avanzar.
Ha llegado el momento de elegir el tipo de confianza que queremos crear. En nuestro
laboratorio queremos crear una confianza transitiva entre los dos bosques que tenemos
configurados, esto nos permitirá que los usuarios de cualquiera de los dominios de uno de los
bosques puedan ser autenticados en cualquiera de los dominios del otro bosque.

Así pues elegiremos confianza de tipo bosque y presionaremos el botó Siguiente>.

Seguidamente deberemos escoger la dirección de nuestra relación de confianza, en nuestro

laboratorio queremos tener una relación de confianza Bidireccional. Esto nos va a permitir
que los usuarios del primer dominio pueden ser autenticados en el dominio, dominio Kerberos
o bosque del segundo dominio y a su vez los usuarios del segundo dominio pueden ser
autenticados en el dominio, dominio Kerberos o bosque del primer dominio.

Seleccionaremos la opción Bidireccional y pulsaremos el botón Siguiente> otra vez.

La sección siguiente será Partes de la relación de confianza. Para crear una relación de
confianza, es necesario crear dicha relación en todos los dominios que la componen, en
nuestro laboratorio tenemos solamente dos.

Si seleccionamos la opción Ambos, este dominio y el dominio especificado, el asistente

creará de forma automática la relación de confianza en los dos dominios de nuestro
laboratorio, ahorrando así todo el trabajo de configuración en el dominio DOM1.LOCAL.
Continuaremos el asistente pulsando el botón Siguiente>.

Al haber seleccionado la opción Ambos, este dominio y el dominio especificado, la

siguiente sección que nos aparecerá será Nombre de usuario y contraseña del
dominio DOM1.LOCAL, que es necesario para que el asistente de configuración realice todos
los cambios en el dominio DOM1.LOCAL.

Habiendo introducido las credenciales necesarias para la conexión con el dominio

llamado DOM1.LOCAL presionaremos una vez más el botón Siguiente>

Nos encontraremos en la sección de Nivel de autenticación de confianza saliente - Bosque

Local, donde seleccionaremos que deseamos una Autenticación en todo el bosque, de este
modo Windows autenticará de forma automática los usuarios del dominio DOM1.LOCAL para
usar todos los recursos del dominio DOM2.LOCAL y presionaremos el botón Siguiente>.

En este caso nos encontraremos en la sección de Nivel de autenticación de confianza

saliente - Bosque especificado, donde seleccionaremos de igual manera que en el caso
anterior, que deseamos una Autenticación en todo el bosque, de este modo Windows
autenticará de automáticamente los usuarios del dominio DOM2.LOCAL para usar todos los
recursos del dominio DOM1.LOCAL. habiendo finalizado la selección pulsaremos una vez más
el botón Siguiente>.
En la sección Se ha completado la selección de confianzas, podremos comprobar que todas
las selecciones realizadas durante el asistente son correctas, si es así pulsaremos el
botón Siguiente> para completar la creación de la nueva relación de confianza.

Tendríamos que recibir un mensaje como el mostrado en la imagen siguiente, Se completó

correctamente la relación de confianza, si esto es así, usaremos el botón Siguiente> para
completar las últimas fases del asistente.

Ha llegado el mometo de confirmar las confianzas, en la sección Confirmar confianza

Saliente responderemos que queremos confirmarla seleccionando la opción "Si, confirmar la
confianza saliente", habiendo pulsado el botón Siguiente> accederemos a la
sección Confirmar confianza entrante que también deberemos confirmar.

Terminaremos el asistente con la sección Finalización del asistente para nueva confianza,
podremos cerrar la ventana, si todo es correcto, usando el botón Finalizar.
Active Directory: Windows 2012 R2 - Cómo crear una
relación de confianza entre dominios - Parte 03
Hemos dividido este documento en tres partes que podréis acceder a ellas haciendo uso del
indice siguiente.

Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 01
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 02
Windows 2012 R2 - Cómo crear una relación de confianza entre dominios de Active Directory -
Parte 03

Para terminar el laboratorio, vamos a comprobar que efectivamente toda esta configuración
ha tenido alguna repercusión sobre nuestro entorno.

Para empezar la verificación, deberemos comprobar que efectivamente en

las propiedades de nuestros dominios en la sección de confianzas dentro de la ventana
de Dominios y Confianzas de Active Directory, se han creado correctamente las dos
relaciones.

Veremos que en la ventana del dominio DOM1.LOCAL tendrá configurada una confianza
transitiva a nivel de bosque con el dominio DOM2.LOCAL, además, deberemos recordar que
esta parte se ha creado automáticamente durante el asistente ejecutado desde el controlador
de dominio del dominio DOM2.LOCAL.

Como no podia ser de otro modo, en la ventana del dominio DOM2.LOCAL encontraremos
creada una confianza con el dominio DOM1.LOCAL también transitiva y de tipo bosque.

Si editamos en un recurso de red, podremos también comprobar que podemos elegir los
usuarios para asignar permisos de otras ubicaciones que no sean nuestro dominio local.

Por ejemplo, si editamos un recurso desde el dominio DOM1.LOCAL podremos seleccionar

usuarios del dominio DOM2.LOCAL y viceversa.
Podemos hacer una prueba, hemos creado en un recurso en el dominio DOM1.LOCAL al que
hemos llamado RECURSO. Seleccionaremos como ubicación nuestro segundo dominio,
llamado DOM2.LOCAL donde hemos creado un usuario llamado USUARIO_DOM2.

Seleccionaremos USUARIO_DOM2 para dar permisos de seguridad sobre el recurso creado en

el dominio DOM1.LOCAL, y comprobaremos que podemos asignar permisos de control total al
usuario del dmoninio DOM2.LOCAL al recurso que hemos creado del otro dominio en el que se
confía DOM1.LOCAL.
Espero os sea de utilidad.