Relaciones de confianza con dominios de otros bosques en Windows Server 2019 (Parte 3)
Llevamos dos artículos dedicados a establecer una relación de confianza entre dominios de dos bosques diferentes. Para lograrlo, hemos partido del bosque que hemos utilizado en otros artículos de esta serie y, en la primera parte de este artículo, creamos un nuevo bosque partiendo de un nuevo equipo con Windows Server 2019. Después, en la segunda parte, hemos configurado los servidores DNS de ambos bosques para que sean capaces de reconocerse en la red.
Y para terminar, en el artículo de hoy crearemos la relación de confianza propiamente dicha. Así, lograremos finalmente que los dominios principales de ambos bosques puedan compartir recursos entre ellos.
Como supongo que estarás impaciente, comencemos…
Establecer la relación de confianza
Para establecer una relación de confianza entre dos bosques diferentes, partiremos desde el controlador de dominio que actúe como Maestro de Operaciones (FSMO – Flexible Single Master Operations) en cualquiera de los bosques implicados. Es decir, en nuestro ejemplo, podemos partir del equipo Server-2019-A (que es el maestro de operaciones de somebooks.local) o del equipo Server-2019-D (que es el maestro de operaciones de sliceoflinux.local).
Por ejemplo, nos desplazamos hasta el equipo Server-2019-A y abrimos Dominios y confianzas de Active Directory:
Después, en el panel izquierdo, hacemos clic con el botón derecho del ratón sobre somebooks.local.
Veremos que aparece una ventana titulada Propiedades somebooks.local (o como se llame tu dominio). En ella, elegiremos la solapa Confianzas.
Veremos que ya aparece la confianza que se estableció de forma automática cuando creamos el subdominio gradomedio.somebooks.local (ver artículos anteriores de esta serie). Sin embargo, en estos momentos, la confianza con el subdominio no nos interesa. Lo que haremos será crear una nueva.
En ese momento, se iniciará el Asistente para nueva confianza.
En la siguiente pantalla, debemos indicar el nombre del dominio con el que queremos establecer la confianza. Es importante mencionar que podemos utilizar el nombre NetBIOS o el nombre DNS. En nuestro caso, nos hemos decantado por el nombre DNS.
A continuación, debemos establecer el tipo de confianza. Como, en este caso, se trata de un dominio raíz de un bosque, podemos elegir entre crear una Confianza externa y una Confianza de bosque.
Una Confianza de bosque permite que los usuarios de cualquiera de los dominios en ambos bosques puedan autenticarse en los dominios del otro bosque.
En el siguiente paso, debemos establecer la dirección de la confianza. Tenemos tres opciones:
-
Bidireccional: Con esta opción, cualquier usuario que pertenezca a cualquier dominio del bosque somebooks.local podrá autenticarse en el bosque sliceoflinux.local y cualquier usuario que pertenezca a un dominio del bosque sliceoflinux.local podrá autenticarse en el bosque somebooks.local.
-
Unidireccional de entrada: Si elegimos esta opción, cualquier usuario que pertenezca a cualquier dominio del bosque somebooks.local podrá autenticarse en el bosque sliceoflinux.local, pero los usuarios que pertenezca a un dominio del bosque sliceoflinux.local no podrán autenticarse en el bosque somebooks.local.
-
Unidireccional de salida: Eligiendo esta opción, cualquier usuario que pertenezca a cualquier dominio del bosque sliceoflinux.local podrá autenticarse en el bosque somebooks.local, pero los usuarios que pertenezca a un dominio del bosque somebooks.local no podrán autenticarse en el bosque sliceoflinux.local.
En nuestro caso, nos decantaremos por la primera opción.
Llegados a este punto, debemos pensar que una relación bidireccional no es más que dos relaciones unidireccionales:
- Una relación unidireccional donde somebooks.local confía en sliceoflinux.local.
- Y otra donde sliceoflinux.local confía en somebooks.local.
Parece lógico pensar que la primera debería establecerse desde somebooks.local, con las credenciales de administración necesarias para este dominio, y que la segunda debería establecerse desde sliceoflinux.local con las credenciales adecuadas en el mismo.
No obstante, si disponemos del nombre de usuario y la contraseña adecuados en sliceoflinux.local, podemos realizar la segunda parte de la operación sin movernos de somebooks.local. Para lograrlo, sólo debemos elegir, en la siguiente pantalla, la opción Ambos, este dominio y el dominio especificado.
Después de esto, el asistente nos solicita las credenciales que permiten administrar sliceoflinux.local.
En los dos pasos siguientes debemos decidir si, una vez autenticado un determinado cliente, éste tendrá acceso a todos los recursos del bosque o si, por el contrario, deberemos conceder acceso, de forma individual a los recursos que queramos que estén disponibles.
La segunda opción es más conservadora en cuestiones de seguridad. Sin embargo, la primera es mucho más cómoda. En este ejemplo, nosotros nos decantaremos por la solución cómoda.
Por lo tanto, elegimos la opción Autenticación en todo el bosque para la confianza saliente del bosque local (es decir, para los usuarios que se identifiquen desde el bosque externo).
Después, volvemos a elegir la opción Autenticación en todo el bosque para la confianza saliente del dominio sliceoflinux.local (es decir, para los usuarios que se identifiquen desde el bosque local).
Llegados a este punto, el asistente está listo para crear la confianza. Por lo tanto, nos muestra un resumen de las opciones que hemos ido seleccionando en los pasos anteriores. Como de costumbre, debemos leerlo atentamente y, si detectamos algún error, utilizaremos el botón Atrás para desplazarnos hasta el paso correcto y resolverlo.
A continuación, si no se produce ningún contratiempo, la pantalla cambia ligeramente, para indicarnos que se ha completado la creación de la confianza.
Por último, debemos confirmar las confianzas para que se hagan efectivas. Comenzamos por la confianza saliente…
Después, confirmamos la confianza entrante…
En el último paso, el asistente nos muestra un resumen de confirmación de la operación realizada.
De vuelta en la ventana de propiedades, podemos apreciar que aparece la nueva confianza.
… Y hasta aquí este grupo de tres artículos donde te hemos explicado cómo establecer una relación de confianza entre dos dominios de diferentes bosques utilizando Windows Server 2019. Espero que te haya resultado útil.