Vamos a actualizar nuestra Política de privacidad próximamente. Te recomendamos consultar el avance.

Windows Server 2012 R2 Active Directory: Implementación y gestión

Creación de un controlador de dominio de solo lectura

¡Prueba gratis durante 10 días

nuestros 1292 cursos !

Prueba gratis Mostrar modalidades de suscripción
Vamos a crear un controlador de dominio de solo lectura. También veremos el sentido que este tiene en un entorno corporativo y su administración posterior una vez configurado y, tras la configuración, su puesta en producción.

Transcripción

Voy a enseñaros cómo crear un Controlador de dominio de solo lectura. Tengo dos consolas para administrar Active Directory: la nueva que aparece en Windows Server 2012 y posteriores o la clásica. En ambas, si voy a la unidad organizativa Domain Controllers, aquí o aquí, en este caso, voy a tener a la derecha Crear previamente una cuenta de controlador dominio solo lectura. O aquí, voy a tener, botón derecho, la misma opción. Ambas me llevan aquí, a este asistente. Vamos a seguirlo. Usar la instalación en modo avanzado. Es lo que voy a hacer. Siguiente. Las Credenciales que voy a utilizar son con las que estoy logado como administrador de dominio, sino podría utilizar otras credenciales. Siguiente. Nombre del equipo, le voy a llamar Read Only Domain Control, RODC. Siguiente. Ahora, comprueba que no existe un equipo igual y que el DNS tampoco tiene una entrada con ese nombre. Este equipo estará ubicado en un site al que he llamado DMZ. Siguiente. Ahora, me ofrece que este servidor sea Servidor DNS, lo cual sí que es algo conveniente, y Catálogo global para que permita validaciones. Ambas son correctas en mi caso, y, por supuesto, la opción de RODC está habilitada. En esta ventana, me indica qué grupos quiero replicar contra el Controller dominio y qué grupos no. Va a haber un grupo que se llama Grupo de replicación. Aquí lo tengo. De contraseñas de RODC que estará permitida, el resto son denegados. Y grupos de usuarios como administradores, operadores de servidores nos estarán permitidos. ¿Por qué hacemos esto? Para no albergar información que no queremos en nuestra DMZ, solo estará albergada información de usuarios que estén dentro del grupo Replicación de contraseña RODC permitida. Ahí ubicaremos, seguramente, los usuarios que levantan servicios en servidores que están en la DMZ, que son los que queremos que se validen. Correcto. Siguiente. Grupo de usuarios que quiero que administre mi servidor en la DMZ. Exacto. Este es el grupo de usuarios que va a tener permitido validarse y administrar este servidor si tiene que logarse y tiene que ver su contenido. Siguiente. Aquí, puedo Exportar la configuración, pero, en resumen, esto es lo que he ido configurando. Tras esto, me va a configurar un objeto, que aquí está. Es una cuenta que a futuro existirá y ahora tenemos que promocionar, y ya es un Controlador de dominio con toda la configuración incluida. Tras precrear la cuenta, ahora, me he logado en un servidor que no es, ni tan siquiera, un miembro del dominio. Vamos a seguir los pasos para utilizar esa cuenta que hemos precreado y hacer que este servidor sea un RODC. En este servidor he añadido los Roles: Servicios de dominio y Servidor DNS. Ya están añadidos y el servidor reiniciado. Ahora me quedaría seguir los pasos de Promoción de este servidor de controlador de dominio. Como el servidor no es, ni tan siquiera, un miembro del dominio, voy a tener que indicar prácticamente todo en esta pantalla. Darle unas Credenciales de un usuario o administrador que pueda leer el contenido del dominio. Cabe decir que este servidor sí que está en un rango de red y tiene los DNS apuntando al servidor DC. Acepto, y aquí lo tengo. Ahora voy a poner unas Credenciales que sean propias del dominio. Aquí las tengo. Voy a llamar al dominio contoso, que es el nombre del dominio anterior que tengo en el otro DC, y voy a buscarlo, aquí está. Gracias a haber puesto las credenciales y haber explicitado yo que quiero ese nombre de dominio me aparece como opción, lo ve, lo que significa que es correcto todo y avanzo. Agregar un controlador de dominio a un domino existente. Es lo que quiero hacer. Siguiente. "En el directorio existe una cuenta RODC creada previamente que coincide con el nombre del servidor de destino. Elija si desea usar esta cuenta existente y si quiere avanzar sobre ella." Evidentemente, a este equipo le he llamado RODC, como habéis visto anteriormente, y coincide con la cuenta que he creado, con lo cual es blanco y en botella. Estamos diciendo que queremos ser el futuro RODC que ya existe en Active Directory. Usar cuenta RODC existente. Él sabe que es un DNS o que será un DNS, que será un Global Catalog y que será un RODC ubicado en el site DMZ. Le voy a dar una contraseña, que es la que tendré que guardar bien porque en un futuro me puede hacer falta para restauraciones y reparaciones. Siguiente. Desde dónde quiero replicar. Si desde la DMZ solo pudiese ver un Controlador de dominio, pues tendría que ubicarlo aquí. Si fuese cualquiera de ellos, como es mi caso, no es ningún problema elijo Cualquier controlador de dominio. Rutas dónde quiero albergar la información. Es correcta y no debéis cambiarlo. Revisar las opciones, son correctas. Ver el Script por si tuvieseis que crear más de un Controlador de dominio. Evidentemente, tendríais que cambiar algunas de las opciones como el número de la cuenta, el nombre de la cuenta, etc. Siguiente. Los Requisitos son correctos. Todas las comprobaciones se han realizado. Y si doy a Instalar, me creará mi nuevo RODC al que solo se le replicará las cuentas que pertenezcan al grupo que tiene permitida la replicación. Este servidor solo va a recibir parte de la información de Active Directory. También es importante decir que la replicación siempre se hará en el sentido de Controladores de Dominio principales hacia RODC. Nunca la información viajará en sentido RODC a Controladores principales. Así, podemos hacer y protegemos nuestra información, ya que si alguien se apodera de la DMZ y varía algunas partes de la información que hay dentro de RODC, estamos seguros que el RODC siempre recibirá una sustitución de toda su información en cada réplica. Tras reiniciar tendré mi RODC funcionando.

Windows Server 2012 R2 Active Directory: Implementación y gestión

Aprende cómo se instala, crea y crece el Directorio Activo en Windows Server 2012, y cómo podemos integrar un nuevo dominio en un escenario con dominio o dominios ya existentes.

3:33 horas (44 Videos)
Actualmente no hay comentarios.
 
Fecha de publicación:25/07/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.