Relaciones de confianza con dominios de otros bosques en Windows Server 2012 R2 (Parte 3)

Publicado por P. Ruiz en

Llevamos dos artículos dedicados a establecer una relación de confianza entre dominios de dos bosques diferentes. Para lograrlo, hemos partido del bosque que hemos utilizado en otros artículos de esta serie y, en la primera parte de este artículo, creamos un nuevo bosque partiendo de un nuevo equipo con Windows Server 2012 R2. Después, en la segunda parte, hemos configurado los servidores DNS de ambos bosques para que sean capaces de reconocerse en la red.

Y para terminar, en el artículo de hoy crearemos la relación de confianza propiamente dicha. Así, lograremos finalmente que los dominios principales de ambos bosques puedan compartir recursos entre ellos.

Como supongo que estarás impaciente, comencemos…

Establecer la relación de confianza

Para establecer una relación de confianza entre dos bosques diferentes, partiremos desde el controlador de dominio que actúe como Maestro de Operaciones (FSMOFlexible Single Master Operations) en cualquiera de los bosques implicados. Es decir, en nuestro ejemplo, podemos partir del equipo Server-2012-A (que es el maestro de operaciones de somebooks.local) o del equipo Server-2012-D (que es el maestro de operaciones de sliceoflinux.local).

Por ejemplo, nos desplazamos hasta el equipo Server-2012-A y abrimos Dominios y confianzas de Active Directory:

Elegimos la opción dentro del menú Herramientas del Administrador del servidor.

Después, en el panel izquierdo, hacemos clic con el botón derecho del ratón sobre somebooks.local.

En el menú de contexto que aparece, elegimos la opción Propiedades.

Veremos que aparece una ventana titulada Propiedades somebooks.local (o como se llame tu dominio). En ella, elegiremos la solapa Confianzas.

Veremos que ya aparece la confianza que se estableció de forma automática cuando creamos el subdominio gradomedio.somebooks.local (ver apartados anteriores). Sin embargo, en estos momentos, la confianza con el subdominio no nos interesa. Lo que haremos será crear una nueva.

Por lo tanto, hacemos clic sobre el botón Nueva confianza

En ese momento, se iniciará el Asistente para nueva confianza.

Leemos la información de la primera pantalla y hacemos clic sobre el botón Siguiente.

En la siguiente pantalla, debemos indicar el nombre del dominio con el que queremos establecer la confianza. Es importante mencionar que podemos utilizar el nombre NetBIOS o el nombre DNS. En nuestro caso, nos hemos decantado por el nombre DNS.

Después de escribirlo, hacemos clic sobre el botón Siguiente.

A continuación, debemos establecer el tipo de confianza. Como, en este caso, se trata de un dominio raíz de un bosque, podemos elegir entre crear una Confianza externa y una Confianza de bosque.

Una Confianza de bosque permite que los usuarios de cualquiera de los dominios en ambos bosques puedan autenticarse en los dominios del otro bosque.

Por lo tanto, en este caso, elegiremos Confianza de bosque y haremos clic sobre el botón Siguiente.

En el siguiente paso, debemos establecer la dirección de la confianza. Tenemos tres opciones:

  1. Bidireccional: Con esta opción, cualquier usuario que pertenezca a cualquier dominio del bosque somebooks.local podrá autenticarse en el bosque sliceoflinux.local y cualquier usuario que pertenezca a un dominio del bosque sliceoflinux.local podrá autenticarse en el bosque somebooks.local.
  2. Unidireccional de entrada: Si elegimos esta opción, cualquier usuario que pertenezca a cualquier dominio del bosque somebooks.local podrá autenticarse en el bosque sliceoflinux.local, pero los usuarios que pertenezca a un dominio del bosque sliceoflinux.local no podrán autenticarse en el bosque somebooks.local.
  3. Unidireccional de salida: Eligiendo esta opción, cualquier usuario que pertenezca a cualquier dominio del bosque sliceoflinux.local podrá autenticarse en el bosque somebooks.local, pero los usuarios que pertenezca a un dominio del bosque somebooks.local no podrán autenticarse en el bosque sliceoflinux.local.

En nuestro caso, nos decantaremos por la primera opción.

… Y para continuar, volvemos a hacer clic sobre el botón Siguiente.

Llegados a este punto, debemos pensar que una relación bidireccional no es más que dos relaciones unidireccionales:

  1. Una relación unidireccional donde somebooks.local confía en sliceoflinux.local.
  2. Y otra donde sliceoflinux.local confía en somebooks.local.

Parece lógico pensar que la primera debería establecerse desde somebooks.local, con las credenciales de administración necesarias para este dominio, y que la segunda debería establecerse desde sliceoflinux.local con las credenciales adecuadas en el mismo.

No obstante, si disponemos del nombre de usuario y la contraseña adecuados en sliceoflinux.local, podemos realizar la segunda parte de la operación sin movernos de somebooks.local. Para lograrlo, sólo debemos elegir, en la siguiente pantalla, la opción Ambos, este dominio y el dominio especificado.

Y, para continuar, hacemos clic sobre el botón Siguiente.

Después de esto, el asistente nos solicita las credenciales que permiten administrar sliceoflinux.local.

Las escribimos y hacemos clic sobre el botón Siguiente.

En los dos pasos siguientes debemos decidir si, una vez autenticado un determinado cliente, éste tendrá acceso a todos los recursos del bosque o si, por el contrario, deberemos conceder acceso, de forma individual a los recursos que queramos que estén disponibles.

La segunda opción es más conservadora en cuestiones de seguridad. Sin embargo, la primera es mucho más cómoda. En este ejemplo, nosotros nos decantaremos por la solución cómoda.

Por lo tanto, elegimos la opción Autenticación en todo el bosque para la confianza saliente del bosque local (es decir, para los usuarios que se identifiquen desde el bosque externo).

Y hacemos clic sobre el botón Siguiente.

Después, volvemos a elegir la opción Autenticación en todo el bosque para la confianza saliente del dominio sliceoflinux.local (es decir, para los usuarios que se identifiquen desde el bosque local).

Y volvemos a hacer clic sobre el botón Siguiente.

Llegados a este punto, el asistente está listo para crear la confianza. Por lo tanto, nos muestra un resumen de las opciones que hemos ido seleccionando en los pasos anteriores. Como de costumbre, debemos leerlo atentamente y, si detectamos algún error, utilizaremos el botón Atrás para desplazarnos hasta el paso correcto y resolverlo.

Si todo es correcto, haremos clic sobre el botón Siguiente.

A continuación, si no se produce ningún contratiempo, la pantalla cambia ligeramente, para indicarnos que se ha completado la creación de la confianza.

Volvemos a hacer clic sobre el botón Siguiente.

Por último, debemos confirmar las confianzas para que se hagan efectivas. Comenzamos por la confianza saliente…

Elegimos la opción Sí, confirmar la confianza saliente y hacemos clic sobre el botón Siguiente.

Después, confirmamos la confianza entrante…

Elegimos la opción Sí, confirmar la confianza entrante y hacemos clic sobre el botón Siguiente.

En el último paso, el asistente nos muestra un resumen de confirmación de la operación realizada.

Para terminar el asistente, hacemos clic sobre el botón Finalizar.

De vuelta en la ventana de propiedades, podemos apreciar que aparece la nueva confianza

Hacemos clic sobre el botón Aceptar.

… Y hasta aquí este grupo de tres artículos donde te hemos explicado cómo establecer una relación de confianza entre dos dominios de diferentes bosques utilizando Windows Server 2016. Espero que te haya resultado útil.