domingo, 26 de octubre de 2014

Añadir equipo a un dominio y Dominio de Respaldo


Añadir equipo a un dominio


Para comprobar si nuestro recién estrenado dominio funciona correctamente, vamos a añadir a nuestro servidor algunos clientes. Para ello, debemos tener en red local algunos equipos con un sistema operativo que permita conexión a dominios (en la actualidad, prácticamente todos) e indicarles que pasen a trabajar dentro del dominio.

 El trabajo a Realizar está compuesto por tres miembros de un grupo de 2º de ASIR

 Configuración en el dominio
  • Accedemos a cambiar la configuración de red de nuestra máquina
  • Inicio-panel de control-red e internet-centro de redes y recursos compartidos-conexión de área   local(ver estado)-propiedades
  •  En las propiedades del protocolo versión 4(tcp/ipv4)
  • Configuramos la ip,máscara y puerta del enlace,así mismo asignamos un servidor dns, en nuestro caso cogerá los datos desde sí mismo.


 Configuración en el cliente Windows 7
  • Configuramos una ip que esté en el mismo rango de nuestro servidor
  • La puerta de entrada al router será la ip del servidor
  • Configuramos el dns para que este le resuelva
  • Realizamos un ping desde cliente al servidor para ver si hay conexión
  •    Realizamos un ping desde el servidor para ver si se ven las máquinas
  •    Cambiamos el nombre del equipo con el cual nos vamos a conectar a nuestro dominio.
  • Escribimos el nombre y contraseña del administrador que es quién tiene permiso para unirse al dominio

La Contraseña Aidaaa+1
  •  Verificamos que la conexión se ha realizado satisfactoriamente
  •      Nos pide reiniciar el equipo para que los cambios surtan efecto
  • Una vez entramos y nos conectamos con el usuario nos pide que cambiemos la contraseña porque así lo habíamos asignado en la contraseña del usuario cuando la creamos.


Contraseña Aidaaa+11
  • Verificamos que estamos dentro 


Posibles causas por las cuales no puedas entrar al dominio

En el servidor, el usuario ha de tener desbloqueada la cuenta y cuando este reinicie lo que ha de hacer es cambiar la cuenta de usuario.




Configuración en el cliente Windows XP
  • En primer lugar tenemos que indicar a nuestro Windows XP que utilice el servidor DNS que ha montado nuestro dominio. En nuestro ejemplo, en las propiedades de Red de XP debemos indicar que use como servidor DNS único la dirección IP de nuestro Controlador de Dominio.



  • Problemas con el ping, te mostramos como solucionarlo






  • Accedemos propiedades del sistema (Windows + Pausa) y desde allí a la pestaña Nombre de equipo.
  • Vemos como nos indica la pantalla que para unirnos a un dominio hagamos clic en Cambiar.
  • Desde aquí ponemos un nombre al equipo adecuado y a continuación escribimos el nombre FQDN (nombre DNS) del dominio al que queremos conectarnos y le damos clic a Aceptar. (Si nos indica que no encuentra el dominio, revisar el paso 1).



  • XP nos pedirá un nombre de usuario y contraseña para unirnos al dominio. Este usuario debe ser usuario del dominio, creado desde el Controlador de Dominio mediante la consola de Usuarios y Equipos de Active Directory que vimos anteriormente.
        He de decir que los dominios que probamos eran 2 majadasir1 y majadasir  y las                      comprobaciones se hicieron correctamente con ambos dominios.Realmente la captura de
pantalla se hizo con majadasir1 cuando realmente teníamos que haber puesto majadasir.



  • Si todo funciona bien, recibiremos un mensaje de “Bienvenido al dominio” y nos pedirá que reiniciemos la máquina.



  • A partir de ese momento, podremos iniciar sesión en nuestro XP, tanto de forma individual (usaremos la maquina fuera del dominio con sus usuarios locales), como formando parte del dominio (usando la maquina dentro del dominio con sus usuarios de dominio).



Controlador de domino de respaldo

 Si tenemos un dominio de gran tamaño con cientos de máquinas conectadas al mismo, no es aconsejable que todo dependa de un único servidor. Un fallo en este equipo sería catastrófico para toda la infraestructura. En casos así, es aconsejable instalar varios servidores, es decir, contar con varios controladores de dominio en un único dominio.

En versiones anteriores de Windows Server teníamos que establecer controladores de dominios principales y secundarios, pero desde Windows 2003 no es necesario hacer esta diferenciación. Todos los controladores funcionan al mismo nivel y trabajan entre sí de forma automática. Vamos a realizar ahora la incorporación de un nuevo CD a nuestro dominio, para ello:
  • Debemos contar con un dominio ya creado y con un CD correctamente configurado.
  • En la nueva máquina con Windows Server, indicamos que queremos usar como servidor DNS la dirección del DNS del dominio. No hace falta añadir esta máquina como cliente del dominio. 
  • Ejecutamos dcpromo en esta máquina (la promocionamos a servidor).

  • En este momento, dcpromo comenzará a hacernos preguntas para saber dónde queremos instalar nuestro CD. Tenemos que indicar que queremos trabajar en un bosque existente, y que queremos agregar un CD a un dominio existente.


En esta ocasión al igual que antes hemos probado con 2 dominos majadasir1 y majadasir  y las comprobaciones se hicieron con ambos dominios, pero sólo resulto la comprobación hecha con majadasir, aunque las capturas estén hechas con el otro dominio.

  • A continuación el sistema nos pedirá que introduzcamos el nombre FQDN del dominio al que queremos conectarnos. (Nombre del dominio ya existente).


  • También tenemos que introducir unas credenciales, es decir, un nombre de usuario y contraseña del dominio donde queremos conectarnos. Obviamente ya que queremos instalar un Controlador de Dominio, la cuenta que usemos debe tener permisos de administrador.
  • A continuación, y si la cuenta introducida es reconocida, continuará la instalación del CD tal como ya vimos. Es importante indicar que en este caso que estamos tratando el servidor DNS ya está instalado en la red, por lo que no tendremos que instalarlo junto con el CD.
  • Una vez terminado el proceso de instalación de nuestro CD y reiniciado el equipo, ya tendremos en nuestro dominio un CD adicional. Para probarlo, apagar el CD principal y comprobar como basta con tener el CD adicional encendido para que los clientes puedan seguir conectándose al dominio sin problemas.


Cuenta de usuario: aida (Abcd1234_)






Contraseña Aidaaa+1


  •  Finalmente vemos en nuestro controlador de dominio lo mismo que ve el controlador original


Problemas adicionales que hemos tenido

Al estar en una red de área local con varios grupos haciendo la misma práctica y con el mismo dominio nos ha dado conflicto, es por lo cual que nos hemos cambiado a otro rango de ip y hemos editado el nombre del dominio original para intentar conectarnos desde un cliente .

Editamos el nombre del dominio
  •       En una consola de comando del controlador ejecutamos: rendom /list para generar el archivo Domainlist.xml con la información/configuración actual de nuestro bosque.
  •       Se nos crea un fichero .xml y editamos este fichero Domainlist.xml con el Bloc de notas.
  •       Debemos modificar la entrada DNSname con el nombre DNS que querramos que tenga nuevo el dominio y NetBiosName con su nombre NetBios. Lo guardamos.

  • Ejecutamos: rendom/showforest para ver los cambios que se ejecutarán, esto no modifica nada, es simplemente por seguridad.
  • Para cargar la configuración que acabamos de renombrar, ejecutamos: rendom /upload. Esto cargará los datos a la partición de configuración del Directorio Activo en el controlador de dominio que es el servidor FSMO Maestro de operaciones de nombres de dominio.
  • Este cambio se replicará al resto de controladores de dominio en el bosque, una vez replicado podremos continuar.
  • Para forzar que ésta réplica sea inmediata, nos apoyaremos del comando: repadmin /syncall.
  • Ejecutaremos ‘rendom /prepare’ para comprobar si cada controlador de dominio del bosque está listo para ejecutar el comando y poder renombrar el dominio perfectamente. Este comando no debe de darnos ningún error.
  • Y finalmente ejecutamos el comando ‘rendom /execute’ para proceder al cambio de nombre del dominio, comprobará de nuevo que todo sea correcto y continuará si todo es correcto! A partir de ahora tendremos parada de servicio, esto es, se reiniciarán todos los controladores de dominio y si todo sigue siendo correcto procederá con el cambio, si existe algún fallo durante el cambio regresará a su estado anterior sin problemas, si tenemos problemas con algún controlador de dominio lo ideal será despromocionarle y volverle a promocionar.
  • Comando ejecutado, nos indica que todo fué correcto, esperamos…
  • Nos mandará un mensaje que se cerrarán todos los controladores de dominio y los reiniciará de forma automática.




  • Una vez reiniciado, comprobamos que ya sale el nuevo dominio, nos logueamos y continuamos
  • Debemos ejecutar GPFIXUP.EXE para refrescar las referencias y los enlaces de nuestros objetos de directivas de grupo, así que primero ejecutamos el comando: gpfixup /olddns:NOMBRE_DOMINIO_DNS_VIEJO /newdns:NOMBRE_DOMINIO_DNS_NUEVO.
  • Comprobamos tras unos segundos que se corrigen las directivas…
  • Y ahora igual, pero con el nombre NetBios del dominio: gpfixup /oldnb:NOMBRE_DOMINIO_NETBIOS_VIEJO /newdns:NOMBRE_DOMINIO_NETBIOS_NUEVO.
  • Ahora como recomendación, reiniciar los controladores de dominio 2 veces cada uno y posteriormente vuestros servidores miembros y puestos también, para obtener el nuevo nombre del dominio de forma automática, tenemos que tener en cuenta que el GUID del dominio sigue siendo el mismo, por lo tanto, la pertenencia al dominio no debe desaparecer en los puestos/servidores miembros; si alguno fallase, os recomiendo sacarle de dominio y volverle a meter, sea mediante GUI o “netdom remove EQUIPO_PELEON /domain:NOMBRE_DOMINIO_VIEJO /force” & “netdom join EQUIPO_PELEON /domain:NOMBRE_DOMINIO_NUEVO /userd:USUARIO_CON_PRIVILEGIOS /passwordd:CONTRASEÑA.
  • Ejecutamos ‘netdom /clean’ para eliminar todas las posibles referencias al dominio viejo en el Directorio Activo.
  •  Finalmente para ‘descongelar’ la configuración del Directorio Activo y permitir cambios a partir de este momento, debemos ejecutar “‘rendom /end’, ya que cuando ejecutamos ‘rendom /upload’ se bloqueó el Directorio Activo para no permitir modificaciones.






Publicado por en No hay comentarios:

lunes, 13 de octubre de 2014

Conceptos sobre los Dominios



Dominio: Recursos compartidos y distribuidos con administración centralizada y estructura jerárquica.Es una unidad administrativa que agrupa usuarios, equipos, grupos, etc.

Servicio de directorio: Recursos compartidos y distribuidos con administración centralizada

Redes: Recursos compartidos y distribuidos

Directorio activo de Windows: El directorio activo es un servicio de directorio. El término servicio de directorio se refiere a dos cosas por lado a un directorio donde la información sobre usuarios y recursos está almacenada, y un servicio o servicios te dejan acceder y manipular estos recursos. El directorio activo es una manera de manejar todos los elementos de una red, incluidos ordenadores, grupos, usuarios, dominios, políticas de seguridad, y cualquier tipo de objetos definidos para el usuario. Además de esto, provee de funciones adicionales más allá de estas herramientas y servicios.

Controlador de Dominio: Es el centro neurálgico de un dominio Windows, Los controladores de dominio tienen una serie de responsabilidades. Una de ellas es la autentificación. La autentificación es el proceso de garantizar o denegar a un usuario el acceso a recursos compartidos o a otra máquina de la red, normalmente a través del uso de una contraseña. No es que les permita a los usuarios validar para ser partes de clientes.

Directorio: Es una estructura jerárquica que almacena información acerca de los objetos existenten en la red.

Base de datos del directorio activo: Es donde se guarda toda la información de los objetos del dominio (usuarios,equipos,grupos,etc.)

Nivel funcional: La funcionalidad de un dominio o bosque depende de la mínima versión del sistema operativo que utilizan los controladores de dominio.

Relación de confianza: Indica la confianza que tiene un dominio sobre otro para aceptar sus políticas de seguridad.

Equipo: Ordenador que se encuentra dado de alta en el dominio

Servidor autónomo: Ordenador que no se encuentra en el dominio y por lo tanto su administración es independiente al dominio.

Servicio de directorio(Active Directory): Proporciona métodos para almacenar los datos del directorio  y ponerlos a disposición de los administradores y los usuario de la red.

Escabilidad: Puede incluir varios dominios, cada uno con varios controladores de dominio.

Replicación de la información: Proporciona la disponibilidad de la información, tolerancia a errores, equilibrio de carga y mejoras de rendidmieto para el DA.

Interoperabilidad: El dominio activo está basado en protocolos estándar de acceso a directorios, como el LDAP puede interoperar con otro servicios de directorio que utilicen ese protocolo

Directorio Activo: Un dominio consiste en una agrupación de equipos y usuarios que se administran de forma centralizada.

Bosque: Colección de uno o más dominios. Al primer dominio del bosque se le llama dominio raíz.Un bosque es una instancia única del directorio.Ningún dato del directorio se replica fuera de los límites del bosque.

Árboles: Los árboles son el resultado directo de los nombres DNS elegidos para los dominios del bosque. Si un dominio es subdominio de otro, ambos son considerados el mismo árbol.

Servidor autónomo: Ordenador que no se encuentra en el dominio y por lo tanto su administración es independiente al dominio

Unidad organizativa: Agrupación de usuarios , grupos o equipos que permite obtener una mejor representación del esquema del directorio activo para que se asemeje más a la realidad.

Directivas de grupo: Permiten establecer la configuración del sistema en un equipo o para un determinado usuario.

Publicado por en No hay comentarios:

Servicios de directorio


Un servicio de directorio 

 Un servicio de directorio es una aplicación o un conjunto de aplicaciones que almacena y organiza la información sobre los usuarios de una red de ordenadores, sobre recursos de red, y permite a los administradores gestionar el acceso de usuarios a los recursos sobre dicha red.

 Aplicación que almacena y organiza la información sobre:

 *Usuarios
*Recursos

Permite la administración centralizada
Todo ello de manera transparente para el usuario
No deje de ser una BD optimizada para lecturas

 Un directorio debe ser:

 *Distribuible
*Replicable
*Particionable
Protocolo LDAP: Es un protocolo estándar que permite administrar directorios, esto es ,acceder a bases de información de usuarios de una red mediante protocolos TCP/IP.
Las bases de información están relacionadas con los usuarios, pero algunas veces, se utilizan con otros propósitos, como el de administrar el hardware de una compañía.

 Árbol de dominios:›Son dominios agrupados en estructuras jerárquicas.›Cuando se agrega un segundo dominio a un árbol, se convierte en hijo del dominio raíz. El dominio al cual un "dominio hijo" se une se llama "Dominio Padre".›El dominio hijo a su vez puede tener sus propios hijos, combinándose con el nombre de su padre para formar su propio y único nombre.

 Bosque:Un bosque es un conjunto de uno o varios dominios de AD que comparten una estructura lógica, un esquema del directorio (definiciones de clase y atributo), una configuración de directorio (información de replicación y del sitio) y un catálogo global (capacidades de búsqueda en todo el bosque) comunes.

Todos los dominios de todos los árboles de dominio de un bosque comparten las siguientes características:

 Relaciones de confianza transitivas entre los dominios
Relaciones de confianza transitivas entre los árboles de dominio
Un esquema, un catálogo global e información de configuración común

 El uso de bosques y arboles de dominio da flexibilidad al permitir sistemas de espacios contiguos (árboles) y no contiguos (bosques). Esto puede ser muy útil por ejemplo en el caso de organizaciones que tienen divisiones independientes que necesitan conservar sus propios nombres DNS.

 Confianzas explícitas entre dominios: Son relaciones de confianza que crean los propios usuarios en vez de crearse automáticamente durante la instalación del controlador de dominio. Para crear una confianza explícita se deben conocer los nombres de dominio y una cuenta de usuario con permiso para crear confianzas en cada dominio. A cada confianza se le asigna una contraseña que debe conocer el administrador de ambos dominios de la relación.

Hay cuatro clases de confianzas explícitas:

 Confianza externa: Permite a los usuarios acceder a recursos ubicados en un dominio de un bosque separado que no está unido por una confianza de bosque.

Confianza de dominio Kerberos: Permite establecer una relación de confianza entre un dominio Kerberos que no sea de Windows  (Unix por ejemplo) y un dominio de Windows Server 2008.

Confianza de bosque: Se crean entre los dominios raíz de distintos bosques. Esta relación dará lugar a una relación de confianza transitiva unidireccional o bidireccional entre los dominios que residan en cada bosque.

Confianza abreviada: En algunos casos los dominios de los recursos quedan muy alejados de los dominios de los usuarios y la autentificación se hace lenta y poco eficiente. Este tipo de relaciones optimizan el rendimiento al acortar la ruta de confianza que la seguridad de Windows Server 2008 utiliza en la autentificación. Por defecto son unidireccionales.


 Estructura física de Active Directory:› Abarca la configuración de la red, los dispositivos, y el ancho de banda de la red. Si nuestra red tiene oficinas en distintos sitios y están conectados a través de Internet por ejemplo, necesitaremos replicar los datos del directorio activo: recursos, usuarios, grupos, de modo que las réplicas van a mantener la coherencia de los objetos de nuestra red en los distintos sitios.

 Los elementos de la estructura física del Directorio Activo son

 Controladores de Dominio:Realizan funciones de almacenamiento y replicación y sólo pueden contener un dominio.Para asegurar una disponibilidad continua del Directorio Activo, cada dominio debe tener más de un DC. Esto asegura que podamos seguir trabajando en caso de error en el DC principal.

 Cada DC contiene las siguientes particiones:

 Partición del dominio: Contiene la réplica de todos los objetos en ese dominio. Esta partición se replica solamente a otros DC del mismo dominio.

 Partición de configuración: Contiene la topología del bosque. La topología (esquema de conexión de los sitios) registra todas las conexiones de los DC’s en el mismo bosque.

 Partición del esquema:  contiene el esquema del bosque. Cada bosque tiene un esquema para que la definición de cada clase del objeto sea única. Las particiones de configuración y esquema se replican en cada DC del bosque.

 Particiones de aplicaciones: Contienen los objetos relacionados a la seguridad y se utilizan en las aplicaciones. Se replican en DC’s específicos del bosque.

 Sitios del Directorio Activo: Son grupos de equipos conectados, por ejemplo las distintas plantas o delegaciones de una empresa y pertenecen al dominio principal.

 Estructura lógica:Se centra en la administración de los recursos de la red organizativa, independientemente de la ubicación física de dichos recursos, y de la topología de las redes subyacentes.

 Unidades Organizativas:Son objetos contenedores que se usan para organizar otros objetos con propósitos administrativos, por ejemplo dividir la empresa en departamentos.Organizando éstos es más fácil localizar  y administrar objetos.
Podríamos delegar la autoridad para administrar estas unidades organizativas de manera que podemos tener administradores de cada una de ellas.

 Dominios: Son las unidades funcionales clave de la estructura lógica de Active Directory, son colecciones de los objetos administrativos definidos, que comparten en una base de datos común del directorio, políticas de la seguridad y relaciones de confianza con otros dominios

 Redes: Recursos compartidos y distribuidos

 Servicio de directorio: Recursos compartidos y distribuidos con administración centralizada

Publicado por en No hay comentarios:

viernes, 10 de octubre de 2014

Creación de Usuarios


Creación de Usuarios y Grupos

1.Para acceder a los usuarios y equipos de Active directory hemos de entrar en inicio -todos los programas y elegir esta opción



2.Se nos abre una ventana y pinchamos sobre nuestro dominio, se nos despliega un menú, pinchamos sobre usuario y nos aparece la lista de usuario. Tras esto con el botón derecho del ratón sobre la pantalla seleccionamos nuevo y después usuario


3.Creamos nuestro usuario, en nuestro caso se llamará usuarioAsir1 y le creamos unas iniciales para que nos deje seguir con la instalación


4.Creamos una contraseña para este usuario 


5.Nos aparece un pantallazo de información en el que nos dice que el usuario ha sido creado, indicando cual es su nombre completo, su nombre de inicio de sesión e informando que el usuario deberá cambiar la contraseña en el inico de sesión siguiente.


6.Así mismo creamos nuestro segundo usuario porque así lo requiere nuestra práctica, su nombre será usuarioASIR2, también le crearemos un nombre de inicio de sesión


7.Le asignamos una contraseña al usuario


8.Nos aparece un pantallazo de información en el que nos dice que el usuario ha sido creado, indicando cual es su nombre completo, su nombre de inicio de sesión e informando que el usuario deberá cambiar la contraseña en el inico de sesión siguiente.



9.Para crear un grupo, hemos de hacer los mismos pasos que el anterior,  botón derecho del ratón sobre la pantalla seleccionamos nuevo y después grupo


 10.Asignamos el nombre de grupo en nuestro caso será grupo ASIR


11.Una vez creado el grupo ahora debemos asignar a cada usuario a ese grupo.Pinchamos sobre el usuario, luego sobre la pestaña miembro de, seguidamente agregar.Tras ello nos aparece esta pantalla en la que presionaremos buscar ahora y buscaremos el grupo deseado



12. Una vez seleccionado el grupo aceptamos 


 13. Nos aparece los grupos a los que pertenece nuestro usuario, ahora presionamos aplicar y luego aceptar.



14.Asignamos el segundo usuario a este grupoASIR  también




Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)