Capítulo 7: Relaciones entre dominios



7.4. Añadir un subdominio a un dominio existente

Como dijimos más arriba, cuando creamos un nuevo subdominio, de un dominio ya existente, se establece de manera implícita y automática una relación de confianza bidireccional y transitiva entre el nuevo dominio y su dominio padre.

En este apartado vamos a utilizar el dominio somebooks.local, con el que hemos estado trabajando, y vamos a crear un subdominio nuevo, que dependa de él, al que llamaremos gradomedio.somebooks.local. En definitiva, algo como lo que ilustramos en el siguiente esquema:

De esta forma, cubriremos un doble objetivo: por un lado, aprenderemos a crear un subdominio de un dominio existente y, por otro, comprobaremos que, efectivamente, se crean automáticamente las relaciones de confianza. Para conseguirlo, seguiremos los siguientes pasos:

  1. Configurar las características de red del nuevo equipo.
  2. Promocionar el equipo nuevo como controlador del subdominio.
  3. Comprobar que el resultado es satisfactorio

Veamos paso a paso cómo hacerlo…

Configurar las características de red del nuevo equipo

Antes de efectuar estos cambios, deberíamos asegurarnos de haber completado el punto Configurar el Servidor DNS del controlador de dominio principal del apartado anterior.

Para establecer la configuración de red correcta en el ordenador que se convertirá en controlador del subdominio, seguiremos las mismas pautas que ya indicamos en el punto Configurar las características de red del equipo nuevo del apartado anterior.

Como entonces, será muy recomendable (casi podríamos decir que obligatorio), que el equipo disponga de una dirección IP fija, que deberá ser diferente a la de cualquier otro sistema de nuestra red.

En nuestro caso, asignaremos la dirección 192.168.1.7, pero debemos recordar que la dirección elegida en cada caso dependerá de la configuración de la red donde efectuaremos la instalación.

Las propiedades del protocolo TCP/IPv4 quedarán como en la imagen siguiente.

1

Observa que también se ha deshabilitado el Protocolo de Internet versión 6 (TCP/IPv6) en la ventana Propiedades de la conexión de red.

También accederemos a las propiedades del sistema para asignar al equipo un nombre adecuado

2

En nuestro caso, siguiendo con el patrón de nombres que venimos utilizando, lo llamaremos server-2012-c, aunque tú puedes usar el nombre que te parezca más oportuno.

Si en tu infraestructura de Active Directory no has estimado necesario añadir un segundo controlador de dominio para el dominio principal (es decir, no has seguido las indicaciones recogidas en el apartado Añadir un nuevo controlador de dominio para un dominio existente), sí que deberías, antes de continuar, seguir los pasos recogidos en el punto Configurar el Servidor DNS del controlador de dominio principal que se incluye en dicho apartado.

Añadir el rol Servicios de dominio de Active Directory al equipo

Como siempre, antes de promocionar un equipo como controlador de dominio, debemos añadir el rol Servicios de dominio de Active Directory. Sin embargo, no volveremos a incluir aquí los pasos necesarios, porque son los mismos que hemos indicado ya en otras partes de este libro. Sin ir más lejos, puedes revisar el punto Añadir el rol Servicios de dominio de Active Directory al nuevo equipo, dentro del apartado 7.3. Añadir un nuevo controlador de dominio para un dominio existente en este mismo capítulo.

Promocionar el equipo nuevo como controlador del subdominio

Una vez terminada la instalación del rol Servicios de dominio de Active Directory, estaremos listos para promocionar el equipo server-2012-c para que actúe como controlador del subdominio gradomedio.somebooks.local.

En líneas generales, la promoción vuelve a ser muy similar a la que ya estudiamos en el capítulo 3 (Dominios en Windows Server 2008) para el controlador de dominio principal y la que hemos estudiado en este mismo capítulo para el segundo controlador del dominio principal. Sin embargo, como en la creación del subdominio sí existen algunas diferencias importantes, lo volveremos a explicar desde el principio de una forma detallada.

Si dispones de varios controladores de dominio para el dominio principal, como es nuestro caso (recuerda que disponemos de SERVER-2012-A y de SERVER-2012-B), es imprescindible que, antes de configurar el controlador del subdominio, te asegures de haber replicado correctamente ambos controladores. De lo contrario, podrás recibir un error durante el proceso de promoción:

Si necesitas ayuda para esta operación, puedes consultar el punto Replicar los controladores de dominio del apartado anterior.

Como es habitual, para iniciar la promoción partimos del último paso de la instalación del rol Servicios de dominio de Active Directory.

1

Hacemos clic sobre el enlace Promover este servidor a controlador de domino.

En la primera página del asistente, Configuración de implementación, deberemos establecer varios aspectos:

Lo primero será indicar el tipo de dominio al que se dedicará el controlador que estamos configurando. En este caso, elegiremos Agregar un nuevo dominio a un bosque existente.

Al hacerlo, debajo deberemos completar varios datos complementarios:

  • El tipo de dominio: donde indicaremos que se trata de un Dominio secundario.
  • El dominio principal del que dependerá este subdominio: en nuestro ejemplo, el FQDN (Fully Qualified Domain Name) del dominio primario es somebooks.local.
  • El nombre del subdominio, sin incluir el nombre del dominio primario: en nuestro ejemplo, gradomedio. Esta etiqueta será tomada también para crear el nombre NetBios del subdominio.

El FQDN del nuevo dominio secundario se formará uniendo estas dos últimas etiquetas (separadas por un punto). Es decir, gradomedio.somebooks.local.

Lo siguiente será introducir las credenciales de una cuenta del dominio con privilegios suficientes para crear el subdominio. Por ejemplo, la cuenta Administrador.

2

Hacemos clic sobre el botón Cambiar

Aparecerá una ventana emergente titulada Seguridad de Windows, donde escribiremos el nombre de la cuenta y su contraseña. Observa que hemos escrito el nombre DNS completo de la cuenta, es decir, Administrador@somebooks.local (también podríamos usar el nombre NetBIOS, SOMEBOOKS\Administrador). Si no lo hacemos así, el asistente tratará de usar una cuenta local y no funcionará por falta de privilegios.

3

Cuando hayamos terminado, hacemos clic sobre Aceptar.

Después de esto, ya podemos ir a la siguiente página del asistente.

4

Hacemos clic sobre el botón Siguiente.

En la pantalla Opciones del controlador de dominio, también tenemos la oportunidad de añadir diferentes datos:

Lo primero será el Nivel funcional del dominio que, como ya dijimos, debe coincidir con la versión del servidor más antiguo que tengamos en la red. En nuestro caso, sólo estamos usando Windows Server 2012 R2.

Después estableceremos las capacidades del controlador de dominio. Aquí nos aseguraremos de que permanecen marcadas las opciones Servidor de Sistema de nombres de dominio (DNS) y Catálogo global (GC).

Microsoft recomienda que todos los controladores de dominio ofrezcan servicios DNS y de catálogo global para aumentar el rendimiento (el servidor DNS del subdominio atenderá todas las solicitudes de sus propios clientes) y la disponibilidad de la instalación.

Cuando se instala por primera vez el Directorio Activo, en la base de datos se crea un nuevo objeto llamado Default-First-Site-Name donde se ubica el primer controlador de dominio.

A continuación, indicaremos el Nombre del sitio en el que se ubicará el controlador de dominio.

Como ya dijimos, podemos cambiar el nombre predeterminado del sitio por algún otro que resulte más descriptivo. Para conseguirlo, sólo tenemos que elegir Sitios y servicios de Active Directory dentro del menú Herramientas del Administrador del servidor. En el menú de contexto del sitio (clic con el botón derecho sobre Default-First-Site-Name), elegimos Cambiar nombre.

De momento, en este paso sólo tenemos que asegurarnos de que el sitio predeterminado se encuentra seleccionado.

Como último dato de esta página, el asistente nos solicitará la contraseña de Administrador para cuando necesitemos iniciar el sistema en el modo de restauración de servicios del directorio (DSRM – Directory Services Restore Mode). Aunque esta contraseña no hace referencia a la de la cuenta Administrador del dominio, si queremos, podemos utilizar la misma. En cualquier caso, se recomienda que sea una contraseña segura

5

Una vez escrita, por duplicado por motivos de seguridad, haremos clic sobre el botón Siguiente.

En la página Opciones de DNS aparece predeterminada la opción Crear delegación DNS, y no podemos desmarcarla, por lo que, la única opción real que tenemos es cambiar las credenciales para crear la delegación. El motivo es que el servidor DNS principal pueda estar administrado por una cuenta distinta de la que administra el dominio.

6

Como ese no es nuestro caso, hacemos clic sobre el botón Siguiente.

Un nombre NetBIOS puede tener una longitud máxima de 15 caracteres.

En la página Opciones adicionales, tenemos la oportunidad de cambiar el Nombre de dominio NetBIOS para el subdominio. Más arriba dijimos que, de forma predeterminada, se utiliza el nombre DNS del subdominio (la etiqueta más a la izquierda del FQDN del subdominio). Si el nombre tuviese más de 15 caracteres, el asistente lo trunca y, si el nombre resultante coincide con otro nombre NetBIOS que ya exista en la red, el asistente añade al final un valor numérico que lo convierta en único.

En cualquier caso, se recomienda que el nombre resultante sea o más parecido a la etiqueta original  para evitar futuras confusiones.

7

Por lo tanto, nos limitamos a hacer clic sobre el botón Siguiente.

En la página Rutas de acceso, debemos indicar las ubicaciones donde se guardarán los datos relativos al controlador de dominio que estamos configurando. Lo más frecuente es utilizar las ubicaciones predeterminadas.

8

Por lo tanto, hacemos clic, de nuevo, sobre el botón Siguiente.

El último paso del asistente es la página Revisar opciones, que muestra un resumen de las preferencias que hemos indicado durante el proceso. Debemos revisarlas con cuidado y, si detectamos algún error, utilizar el botón Atrás para volver hasta el paso en el que lo cometimos y resolverlo.

9

Cuando todo sea correcto, haremos clic sobre el botón Siguiente.

Finalmente, en el apartado Comprobación de requisitos previos, se verifica que el sistema cumple las condiciones para convertirse en un controlador de dominio.

Como puedes ver en la imagen siguiente, pueden aparecer algunos avisos, como el que nos informa de que el valor predeterminado para la configuración de seguridad impide los algoritmos de criptografía más vulnerables cuando se inicia sesión. También pueden aparecer errores que impidan la instalación del controlador de dominio. En estos casos, no podremos continuar hasta que no los resolvamos.

10

Como en nuestro caso no hay errores, ya podemos hacer clic sobre el botón Instalar.

Después de esto, veremos cómo se desarrolla el proceso de instalación.

11

Sólo tenemos que esperar unos instantes.

Cuando termine, recibiremos un aviso de que se va a cerrar la sesión (bueno, realmente, se va a reiniciar el equipo).

12

Hacemos clic sobre el botón Cerrar para que comience el reinicio.

Cuando termine el reinicio, el sistema vuelve a estar listo para iniciar una sesión.

13

Sólo tenemos que pulsar la combinación de teclas Ctrl+Alt+Supr.

Cuando se muestre la pantalla de identificación, podemos apreciar que el nombre NetBios del dominio es correcto (en este caso, GRADOMEDIO).

4

Ahora sólo queda escribir la contraseña y pulsar el botón de inicio de sesión (o la tecla Intro).

Comprobar que el resultado es satisfactorio

La forma más sencilla de comprobar que todo el proceso ha sido satisfactorio, consiste en recurrir al controlador principal del dominio (en nuestro caso, SERVER-2012-A), aunque, si tienes un controlador secundario (como en nuestro caso, con SERVER-2012-B), también puedes utilizarlo para esta tarea.

Una vez iniciada sesión en él, vamos hasta Dominios y confianzas de Active Directory

1

… elegimos la opción en el menú Herramientas del Administrador del servidor.

Cuando se abra la ventana Dominios y confianzas de Active Directory desplegamos, en el panel izquierdo, la entrada correspondiente al dominio principal (somebooks.local). Si todo es correcto, en su interior debe aparecer el subdominio (gradomedio.somebooks.local)

2

Una vez hecha la comprobación, ya podemos cerrar la ventana.

También podemos recurrir a Sitios y servicios de Active Directory (encontramos la opción en el menú Herramientas del Administrador del servidor.).

En el panel izquierdo desplegaremos la entrada Sites y, después, Default-First-Site-Name y Servers.

3

En su interior, podemos comprobar que aparecen los tres servidores que hemos configurado en este libro.

Una nota final

Existen algunas ocasiones en las que, antes de hacer cambios en la estructura de un dominio, necesitamos preparar los controladores de dominio existentes para admitir dichos cambios. Me refiero, concretamente, a estas situaciones:

  • Cuando se necesita añadir un nuevo controlador de dominio o subdominio a un dominio existente y el nuevo controlador de dominio va a ejecutar una versión de Windows Server que es más moderna que la ejecutada, en estos momentos, por el controlador o controladores actuales. Por ejemplo, si dispongo de un controlador de dominio configurado sobre Windows Server 2008 y me dispongo a configurar un controlador para un subdominio sobre Windows Server 2012 R2. Si no hemos preparado previamente los controladores existentes, obtendremos un error al iniciar la promoción del nuevo controlador.
  • Cuando se necesita actualizar un controlador de dominio existente a una versión más moderna de Windows Server y este controlador de dominio va a ser el primero que va a ejecutar dicha versión en el bosque. Por ejemplo, si dispongo de un único controlador de dominio configurado sobre Windows Server 2008 y me dispongo a actualizarlo a Windows Server 2012 R2. Si no hemos preparado previamente los controladores existentes, obtendremos un error durante el proceso de instalación de la actualización.

Para efectuar estos cambios en el controlador o los controladores de dominio más antiguos, se incluye una herramienta para la línea de comandos, en el disco de instalación de todas las versiones de Windows Server. Esta herramienta se llama adprep.exe.

No todas las versiones de adprep.exe llevan a cabo los mismos cambios en el sistema donde se aplican, pero, en general, estas son las operaciones más comunes:

  • Actualizar el esquema de Active Directory.
  • Actualizar los descriptores de seguridad.
  • Modificar las listas de control de acceso (ACLAccess Control List), tanto en los objetos de Active Directory como en los archivos de la carpeta compartida SYSVOL.
  • Crear objetos nuevos, en los casos en los que sea necesario.
  • Crear contenedores nuevos, en los casos en los que sea necesario.

Si necesitas una relación exhaustiva de los cambios que aplica adprep.exe en Windows Server 2012 R2, puedes recurrir a la página http://technet.microsoft.com/en-us/library/hh994609.aspx.

La herramienta adprep.exe se encuentra en todos los discos de instalación de las diferentes versiones de Windows Server.

Podemos encontrar la herramienta adprep.exe en el disco de instalación de Windows Server 2012 R2, dentro de la carpeta support\adprep, pero no en todas las versiones de Windows Server se encuentra en el mismo lugar. Por ejemplo en Windows Server 2008 se encontraba en sources\adprep y en Windows Server 2008 R2 la encontrábamos dentro de support\adprep.

En cualquier caso es una herramienta acumulativa, lo que significa que en la última versión estarán recogidos todos los cambios que efectuaban las versiones anteriores. Además, necesitarás utilizar la cuenta Administrador para ejecutarla (o al menos una cuenta con los permisos necesarios).

1

Ubicación del archivo adprep.exe en Windows Server 2012 R2.

Una novedad importante que introdujo Windows Server 2012 es que adprep.exe se ejecuta de forma automática, cuando sea necesario, como parte de la instalación de Active Directory. En estos casos, se ejecuta de forma remota en los controladores de dominio que lo necesiten, siempre que se encuentren accesibles en el momento de la instalación.

Si fuese necesario, o preferimos asegurarnos antes de instalar el nuevo controlador, podemos instalar adprep.exe con antelación de forma manual. En cualquier caso, la versión incluida en Windows Server 2012 sólo es compatible con sistemas de 64 bits que tengan un nivel funcional del bosque compatible con Windows Server 2003 o posterior.

Si vamos a ejecutar adprep.exe de forma manual, es importante recordar que siempre debe usarse la versión que venga con el sistema operativo más moderno de los que van a formar nuestra infraestructura. Así, para preparar un Directorio Activo basado en Windows Server 2008, cuando vamos a instalar un segundo controlador de dominio o subdominio basado en Windows Server 2012 R2, deberíamos ejecutar la herramienta adprep.exe que encontraremos en el disco de instalación de Windows Server 2012 R2 sobre el controlador de dominio basado en Windows Server 2008.

Normalmente, deberemos hacer dos operaciones diferentes con la herramienta adprep.exe:

Comenzamos preparando el bosque para introducir un controlador de dominio con la versión actual de Windows Server. Lo conseguiremos con esta orden:

adprep /forestprep

Este comando lo tendremos que ejecutar sólo una vez para todo el bosque, en el controlador de dominio que contiene el esquema principal del dominio.

Durante la ejecución aparecerá un aviso recordando que todos los controladores de dominio del bosque deben ejecutar Windows Server 2003 o posterior. Si es así, lo confirmaremos pulsando la letra C.

2

Salida del comando adprep /forestprep

A continuación, prepararemos los dominios donde pensemos incorporar el controlador de dominio basado en la versión actual de Windows Server. Para conseguirlo, ejecutamos el siguiente comando en el controlador de dominio que actúe como maestro de operaciones en la infraestructura del dominio.

adprep /domainprep

Es importante que no se ejecute este comando hasta que no haya terminado la ejecución de adprep /forestprep y se hayan replicado los cambios en todos los controladores de dominio del bosque.

3

Salida del comando adprep /domainprep