Instalación Active Directory

Publicado el Dejar un comentario Etiquetas: ,

Aquesta entrada també està disponible en: Catalán

Después de asentar unas cuantas bases, en el artículo anterior, sobre qué es y que compone un Active Directory, toca montarlo. Recordar que el montaje se basa en un único bosque, un único árbol, un único dominio y, de momento, un único lugar; que es una instalación válida para casi todas las instalaciones.

El esquema es:

ActiveDirectory09

 

Para el montaje, se utiliza un único servidor de Active Directory que se llama srvDC.laboratoris.local y que tiene el direccionamiento IPv4: 192.168.0.2 con máscara 255.255.255.0.

Instalación de los requisitos

Lo primero que se necesita es un servidor Microsoft Windows Server, en este ejemplo, basado en la versión 2012. Es recomendable instalar el Active Directory en un servidor que no ejecute otros roles (Exchange, SharePoint, Lync, etc…), que sea único, para evitar problemas de compatibilidad y sobrecargas. En caso de redes pequeñas, este servidor acostumbra a hacer de servidor de archivos, impresoras y CA; no he encontrado inconvenientes con estos servicios.

Hecha la instalación estándar del sistema operativo, más que instalar se descomprime la imagen del DVD o ISO (no como antes de Windows 2008 que si se instalaba), por lo que no se pide demasiado más que hacer clic en Siguiente > Siguiente > Finalizar; empieza nuestro trabajo.

Configurar el direccionamiento IP del servidor correctamente. Rápidamente, desde el escritorio, acceder a las propiedades de la tarjeta de red. Se puede hacer, en la barra de tareas, haciendo clic con el botón derecho del ratón, el icono de la red al lado del reloj y seleccionar Abrir el Centro de redes y recursos compartidos. Hacer clic en la conexión Ethernet > Propiedades > Protocolo de Internet versión 4 (TCP/IPv4) > Propiedades. Establecer la configuración IP estática, seleccionando Utilizar la siguiente dirección IP.

  • Dirección IP: 192.168.0.2.
  • Máscara de subred: 255.255.255.0.
  • Puerta de enlace: de momento se deja en blanco.
  • Servidor DNS preferido: 192.168.0.2.

Tal como muestra la imagen:

adinst01

 

Acceder al Administrador del servidor para dar de alta los roles necesarios, se puede acceder haciendo clic en el icono de la barra de tareas o desde el menú:

adinst02

 

Seleccionar la opción Agregar roles y características, se inicia el asistente, hacer clic en el botón Siguiente.

adinst03

Se tienen que instalar los roles y servicios, no los servicios de escritorio remoto; por lo tanto, seleccionar Instalación basada en características o en roles. Hacer clic en el botón Siguiente.

adinst04

Se puede escoger instalar en este servidor o bien en otro. Seleccionar un servidor del grupo de servidores marcar la máquina en que se está trabajando. Hacer clic en el botón Siguiente.

adinst05

La primera lista es la de roles. Marcar Servicios de dominio de Active Directory.

adinst07

Al hacerlo, nos pide añadir las características necesarias de los servicios de dominio de Active Directory, hacer clic en Agregar características, en el cuadro de diálogo que queda, hacer clic en el botón Siguiente.

adinst06

Se solicitan las características adicionales, por defecto ya hay marcadas las que necesita, por lo tanto, haciendo clic en el botón Siguiente hay suficiente.

adinst08

El asistente proporciona información sobre los servicios de dominio de Active Directory, hacer clic en el botón Siguiente.

adinst09

Será necesario reinicializar la máquina para aplicar cambios, nos avisa y pide si lo puede hacer ella automáticamente, hacer clic en el botón Si.

adinst10

Resumen de lo que tiene que hacer el asistente, hacer clic en el botón Instalar.

adinst11

Empieza el proceso de instalación de los servicios, que no configuración, sólo se habilitan los archivos. Al acabar hacer clic en el botón Cerrar.

adinst13

Antes de configurar los servicios de Active Directory, hay que asignar el nombre correcto al equipo, srvDC. Desde el Administrador del servidor > seleccionar Servidor local > Hacer clic en el Nombre de equipo actual.

adinst15

Aparece el cuadro de diálogo, de toda la vida, para cambiar el nombre del equipo. Seleccionar la pestaña Nombre de equipo, si no lo está. Hacer clic en el botón Cambiar. Indicar el nombre del equipo: srvDC y hacer clic en el botón Aceptar. Es un cambio que requiere del reinicio del equipo, hacer clic en el botón Reiniciar ahora.

adinst16 adinst17 adinst18 adinst19 adinst20

 

Configuración del primer servidor controlador de Active Directory

Al iniciar, acceder al Administrador del Servidor. En la barra superior, aparece un triángulo de advertencia, indicando que se han instalado los servicios de Active Directory, pero hay que configurar el servidor. Hacer clic en la opción Promover este servidor a controlador de dominio, para iniciar el asistente de configuración.

adinst24

Al ser el primer servidor del dominio, árbol, bosque… Seleccionar Agregar un nuevo bosque y a nombre del dominio raíz (bosque y árbol), escribir el nombre de dominio (FQDN) que se quiera asignar, por ejemplo: laboratoris.local.

El dominio raíz .local, indica en el sistema que es un dominio que no interactúa con Internet, los servicios sólo son a nivel local. Si se dispone de un dominio de Internet se puede indicar aquí: laboratoris.cat. Hacer clic en el botón Siguiente.

adinst27

Opciones del controlador, una pausa para aclarar los niveles de funcionalidades:

Tengo dos, a nivel de dominio y a nivel de bosque.

Los niveles de funcionalidad hacen referencia a las funciones avanzadas del Active Directory, como la papelera de objetos, cambios de contraseñas, etc… y dependiendo del tipo de sistema operativo del servidor DC. De esta forma, el nivel de funcionalidad siempre será equivalente al del servidor, controlador de Active Directory, con el sistema operativo más viejo. Me explico, si tengo una red con un servidor DC con Windows 2003 y añado otro servidor DC, pero con Windows 2012; el nivel de funcionalidad se tiene que mantener en Windows 2003. Si se quieren las funcionalidades de Windows 2012, es necesario eliminar el servidor DC Windows 2003. Lo mismo pasa con el bosque, puedo tener un dominio con nivel Windows 2012, pero si uno de los otros dominios es Windows 2003, no puedo tener ciertas funcionalidades hasta que todos los dominios sean Windows 2012.

El resto de opciones es para especificar que:

  • se instale el servicio de DNS en el servidor
  • se marque como catálogo global
  • Indicar que es un controlador de sólo lectura (el primero no lo puede ser, pero si tengo delegaciones es una buena opción de seguridad).
  • Establecer la contraseña de recuperación de los servicios de Active Directory (que sea fuerte y guardada en la caja fuerte).

Hacer clic en el botón Siguiente.

adinst28

Tiene que salir un aviso que la zona principal (.local; .cat; .com; .es) no es autoritativaMal si no sale, habría un agujero de seguridad. Hacer clic en el botón Siguiente y aceptar el aviso.

adinst29 adinst30

Verificar el nombre NetBIOS del dominio, recordar que el máximo de caracteres es 15; si el nombre FQDN (laboratoris.local) es más largo, quedará recortado automáticamente. No conviene que el nombre del dominio FQDN y NetBIOS sean diferentes (algunas aplicaciones de red pueden dar muchos dolores de cabeza), intentad que sean los mismos. Hacer clic en el botón Siguiente.

adinst32

Seleccionar la ubicación de los archivos del Active Directory:

  • Base de datos
  • Archivos de registro
  • Carpeta SYSVOL (políticas de seguridad, scripts, distribución de software)

En instalaciones pequeñas, y grandes, se pueden dejar las carpetas por defecto. Todo depende de donde esté montado el servidor: servidor físico, plataforma de virtualización… Las buenas prácticas indicaban que, al ser bases de datos, tenían que ir en discos rápidos aparte, RAID-1, etc… Hoy en día, lo normal, es que por debajo haya una plataforma de virtualización con una cabina que, además, virtualiza los discos.

Mi recomendación, si no tiene que haber distribución de software, es dejarlo en la C. Si hay distribución de software, mejor crear otra unidad y poner el SYSVOL aparte. De esta manera, si colapso la unidad con la distribución de programas, por lo menos, podré acceder al sistema operativo para hacer el mantenimiento (borrar, aumentar el volumen, etc..) en caso contrario puedo tener un problema de disponibilidad.

adinst33

Resumen de las opciones de configuración, hacer clic en el botón Siguiente.

adinst34

Informe de requisitos y acciones que tomará el sistema para nosotros, hacer clic en el botón Instalar.

adinst36

El sistema se reiniciará por si sólo, dejarlo hacer.

adinst37 adinst38 adinst39

Al iniciar de nuevo el sistema, ya se puede ver el nombre del dominio delante del nombre del usuario.

adinst40

Introducir la contraseña, se pide cambiarla. Ya se están aplicando las políticas de seguridad por defecto del dominio de Active Directory. No tiene más, se cambia indicando una contraseña FUERTE (letras, números y símbolos), es la política por defecto; al igual que la contraseña que se utiliza: P@ssw0rd.

No utilizar nunca en un entorno de producción la contraseña P@ssw0rd

adinst41 adinst42

Al iniciar el Administrador del servidor, en la barra lateral izquierda y en el menú de herramientas ya enseña más cosas: AD DS, DNS… Dominios y confianzas de Active Directory, Editor  ADSI, Sitios y servicios de Active Directory, Usuarios y equipos de Active Directory.
adinst44

 

Se puede abrir la herramienta más utilizada en el Active Directory: Usuarios y equipos de Active Directory. En ella se gestionan los usuarios, grupos de seguridad y equipos que pertenecen al Active Directory.

En la ilustración se observa el dominio laboratoris.local, del que cuelgan unidades organizativas (carpetas) donde se irán poniendo los objetos (usuarios, equipos, grupos…) necesarios.

adinst45

¡Ya está el Active Directory montado! Los laboratorios que realizaré se basan en esta instalación de Active Directory ya que muchos servicios dependen de él.

 

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *