En esta entrada vamos a trabajar con controladores de dominio secundario dentro de un mismo árbol del bosque. Comenzaremos con un ejemplo en un dominio llamado educatica.ex dónde el controlador de dominio está implementado en un equipo con Windows Server 2016 Standard llamado dc01.
Después implantaremos un controlador de dominio secundario en nuestro dominio, nombrebase.ex, en nuestro caso práctico jpedrerom.ex.
Ejemplo 01 – Dominio educatica.ex
Contamos con dos sistemas Windows Server 2016, uno como controlador del dominio educatica.ex y otro recién instalado.
Ambas máquinas virtuales están conectadas a la misma Red NAT para poder comunicarse entre sí.
La finalidad del proceso es contar con un nuevo subdominio o dominio secundario llamado cursos.educatica.ex que será utilizado por una parte de la organización centrada en los cursos. Para ello, se configurará un controlador de dominio secundario en la Maquina 02.
Configurando Windows Server de la máquina 02
El primer paso es configurar Windows Server 2016 de la segunda máquina para que pueda realizar las tareas de controlador de dominio de un dominio secundario. Para ello, vamos a asignarle un nombre adecuado a la máquina y después vamos a configurar la interfaz de red para que utilice una dirección IP adecuada (reservamos las últimas para servidores) y para que utilice como servidor DNS el servidor DNS del dominio.
Este sistema será el controlador de un subdominio llamado cursos.educatica.ex, así que el nombre para la máquina podría ser dc01, puesto que estará en un dominio secundario y su nombre será dc01.cursos.educatica.ex. y no habrá colisión de nombres con el controlador de dominio principal dc01.educatica.ex. Aunque puede que tengamos problemas…
Primero establecemos un nuevo nombre para el equipo.
Establecemos el nombre del equipo y podemos reiniciar el sistema o esperar a terminar el proceso de configuración para reiniciarlo.
Configuramos la interfaz de red, en concreto el protocolo TCP/IP v4 con la configuración propuesta.
Reiniciamos el sistema y comprobamos que los cambios se han aplicado como se han configurado.
Para comprobar que tenemos conexión con el controlador del dominio educatica.ex podemos utilizar el comando ping y el FQDN del sistema, de esta forma comprobamos la resolución de nombres DNS y la conexión de red. Si el comando ping funciona correctamente hemos comprobado ambos: DNS y conexión.
Instalar rol de servicios de dominio de AD
Una vez realizada la configuración inicial del servidor, vamos a instalar el rol de servicios de dominio de AD.
Al finalizar el proceso, podremos promocionar este equipo como controlador del dominio.
Controlador de dominio: Dominio secundario
El proceso es similar al que hemos llevado a cabo anteriormente para promocionar controlador de dominio en un dominio existente o al crear un nuevo bosque. La diferencia está en la selección de la opción de la operación de implantación en el panel de Configuración de implementación dentro del Asistente para configuración de Servicios de dominio de Active Directory.
En este caso, vamos a seleccionar Agregar un nuevo dominio a un bosque existente, pero el dominio será un dominio secundario, no un nuevo árbol del bosque.
En nuestro caso práctico, la información a rellenar es la siguiente
La configuración en el resto de paneles del asistente son similares a las realizadas en otras implantaciones, salvo la de DNS, que se realizará una delegación.
¡Problemas!
Como ya comentamos anteriormente, vamos a tener un problema con el nombre del equipo. Resulta que en la base de datos de objetos del dominio, no podemos tener dos equipos con el mismo nombre, aunque pertenezcan a dominios secundarios diferentes.
Al reiniciar, nos vuelve a notificar de la promoción del equipo, pero ahora se trata de DC02
Los pasos son exactamente los mismos, solo que ahora estamos trabajando con el equipo con nombre dc02.
Relaciones de confianza
Tras reiniciar nos encontramos esta pantalla de bienvenida que nos da indicios de que todo ha ido bien
Vamos a ver la información que muestra la herramienta de usuarios y equipos de AD.
Vamos a echar un vistazo a la herramienta de Dominios y confianzas de AD.
Usuarios e inicio de sesión
Vamos a tratar de iniciar sesión con este usuario, afloresf@cursos.educatica.ex, en un equipo llamado host01 que pertenece a educatica.ex, host01.educatica.ex, no al dominio secundario cursos.educatica.ex.
Para ello, en la pantalla de bienvenida, al seleccionar Otro usuario, tendremos que rellenar el nombre completo del usuario en el dominio.
De esta forma indicamos a Windows que queremos iniciar sesión con un usuario de otro dominio distinto al que está unido este equipo.
Como podemos ver, se reconoce al usuario a pesar de no pertenecer al dominio principal al que está unido este equipo.
Detecta el nombre del usuario
Se crea el perfil local del usuario, puesto que no tiene configurado perfiles móviles en este caso.
Una vez terminado el proceso, estamos dentro de Windows.
Como podemos observar, hemos podido iniciar sesión con una cuenta de usuario del dominio cursos.educatica.ex en un equipo del dominio educatica.ex debido a la relación de confianza que se ha establecido entre ambos dominios y sus controladores de dominio.
Dejar una respuesta