Prácticas A.S.O./A.S.O.P. - Bolet´ın W04 Configuración del Active

Anuncio
Prácticas A.S.O./A.S.O.P. - Boletı́n W04
Configuración del Active Directory
1.
Introducción
En este boletı́n de prácticas veremos distintos aspectos de la configuración del Active Directory,
creando un dominio para una empresa, con un bosque independiente con un sólo árbol. En concreto:
- Crear un nuevo dominio y el primer controlador de dominio (PDC) de un árbol y un bosque
independiente.
- Crear un controlador de dominio adicional para un dominio ya existente.
- Añadir un servidor miembro a un dominio existente.
A la misma vez que se explican los pasos para la configuración de cada uno de los distintos
elementos, se pondrá un ejemplo para que sea más comprensible todo el proceso de instalación.
IMPORTANTE:
- En el proceso de creación de un nuevo dominio o al crear un controlador de dominio adicional,
Windows es posible que pida el CD de instalación del Windows Server 2008. En concreto,
pedirá ficheros que se encuentran ubicados en el directorio i386 del CD. Sin embargo, en las salas
de prácticas no hay unidad de CD-ROM en los PCs. Por ello se ha copiado el CD de Windows
Server 2008 en la unidad c:\ de los ordenadores de prácticas, en el directorio: c:\cd ws2008\.
Sólo tienes que sustituir del path que indica, la d:\ por c:\cd ws2008\.
- Cuando en una máquina haya que especificar un nombre de dominio, se pondrá de la siguiente
forma: domXY, donde XY son las últimas cifras de la dirección IP asignada mediante DHCP al
equipo. Para la máquina 2, el dominio se llamará dom02, este va a ser el nombre que usemos
durante este boletı́n.
- Para conocer la dirección IP asignada al equipo se puede ejecutar la orden ipconfig desde la
consola de “Sı́mbolo de sistema”.
- Cuando haya que indicar una nueva contraseña indica siempre “practicas”, salvo que Windows
no la acepte por cuestiones de seguridad, en ese caso elige la contraseña “Practicas9 ”.
2.
Organización de la Práctica
Para la realización de la práctica os vais a juntar 3 grupos, porque necesitamos 3 ordenadores para:
- El controlador de dominio.
- El segundo controlador de dominio.
- El servidor miembro.
3.
Preliminares
En esta sección se describen algunos pasos preliminares necesarios para poder crear correctamente
los distintos dominios y configurar los servidores miembro.
IMPORTANTE: Estos pasos se tienen que hacer en los TRES equipos, sin importar si serán
controladores o servidores miembros.
3.1 Arranca el sistema en Linux, Fedora Core 11, y cambia la configuración del Grub para que por
defecto arranque el sistema operativo Windows 2008. En esta práctica el ordenador se reinicia
muchas veces, y de esta forma arrancará Windows directamente.
DITEC
BWIN04 - 1/6 -
ASO/ASOP-2004-05
3.2 Arranca el sistema en Windows 2008 y asegúrate de que has entrado como Administrador a la
sesión de Windows.
3.3 Mediante la herramienta Propiedades Sistema comprueba el nombre del equipo en el que
estás trabajando, tiene que ser asoXY (siendo XY el último número de la dirección IP asignada
al equipo mediante DHCP). Si no está ası́, cámbialo y reinicia el equipo para que tome el nuevo
nombre asignado.
3.4 Comprueba que estás trabajando con un servidor independiente dentro de un grupo de trabajo.
Es decir, que no está asociado a ningún dominio.
3.5 La configuración de la red tiene que ser fija, no puede ser obtenida dinámicamente por DHCP.
Para ello habrá que cambiar, en cada PC, su configuración de red.
En
el
Panel de control / Centro de redes y recursos compartidos /
Administrador conexiones de red, para la conexión de area local 2, realiza la siguiente
asignación: en el PC XY (siendo XY el número de la IP asignada al ordenador mediante DHCP
al PC), para el TPC/IPv4:
-
Dirección IP: 155.54.225.XY
Máscara: 255.255.255.192
Gateway por defecto: 155.54.225.61
DNS: 155.54.225.WZ, donde WZ es el número del PC sobre el que vamos a instalar el dominio.
En el caso de que el PC sea el primer controlador de dominio (PDC) será él mismo. En los
otros casos, la dirección será la del PC que hace de PDC.
Por otro lado, desactiva la conexión de area local 3.
4.
Creación de un nuevo dominio raı́z
Ejecuta los siguientes pasos para crear y comprobar la correcta creación de un nuevo árbol. En
esta sección supondremos que el nuevo árbol se va a crear sobre el PC02.
Instalación
4.1 Desde Inicio / Ejecutar, lanza la orden dcpromo que inicia el asistente para la instalación
del Active Directory. Si en el equipo aún no están instalados los programas de Active Directory,
procederá automáticamente a realizar la instalación.
4.2 Seleccionamos la instalación avanzada.
4.3 Lo primero que preguntará es si el tipo de servidor a crear. Selecciobamos “Crear un dominio
nuevo en un bosque nuevo”.
4.4 Lo siguiente es indicar el nombre DNS completo del nuevo dominio. En este caso, dom02.sala27.
4.5 A continuación, el nombre NetBIOS del dominio. Siguiendo el ejemplo, asegúrate de que es dom02.
4.6 En este punto pregunta por el nivel funcional del bosque. Selecciona Windows Server 2008.
4.7 Es el momento de seleccionar las opciones adicionales para este controlador del dominio. Por
defecto ya viene marcado la opción de hacer de catálogo global. Por nuestra parte seleccionamos
la opción de hacer de Servidor de DNS.
A continuación presentará un mensaje sobre el DNS, se indica “sı́”, y seguimos la configuración.
4.8 Después, pregunta por la Ubicación de la base de datos, del archivo de
registro y del volumen del sistema compartido. Aceptamos las opciones por
defecto, C:\WINNT\NTDS para la base de datos y el registro y C:\WINNT\SYSVOL para el
volumen compartido.
DITEC
BWIN04 - 2/6 -
ASO/ASOP-2004-05
4.9 En este paso nos pedirá la Contraseña de administrador del Modo de restauración
de servicios de directorio. Esta contraseña NO es la misma que la contraseña de
administrador del dominio. Ésta sólo se utiliza cuando se entra en modo restauración con F8
(durante el proceso de arranque), de manera que valida la contraseña por la base de datos de
usuario local, no por la base de datos de usuario del Active Directory. Aunque en nuestro caso,
utilizaremos la misma clave: practicas.
4.10 Antes de iniciar la instalación del Active Directory nos mostrará un Resumen de las distintas
opciones que hemos elegido. Si estamos de acuerdo comenzará la instalación del Active Directory.
4.11 Por último nos mostrará una pantalla con la Finalización del asistente para la
instalación de Active Directory. Después nos pedirá que reiniciemos el equipo.
Comprobación de la instalación
4.13 Comprobar los registros de recursos SRV.
a) Lanza la herramienta de administración del DNS (Herramientas Adminis. / DNS).
donde
b) Entra
la
carpeta
Zonas de búsqueda directa / Nombre Dominio
Nombre Dominio es el nombre de dominio que especificaste. En nuestro caso
será dom02.sala27. A continuación, con el botón derecho sobre el dominio elige
Propiedades / General. Asegúrate de que en Actualizaciones Dinámicas pone
Sin seguridad y con seguridad. Si no está puesto ası́ el Active Directory no se
configurará correctamente.
c) A continuación, en la carpeta correspondiente al dominio, comprueba además que se crearon
las carpetas:
-
msdcs
sites
tcp
udp
Si no se crean estas carpetas el Active Directory NO funcionará correctamente. En caso de
que no se hubieran creado ejecuta los siguientes pasos:
- Borra y/o actualiza la caché (la entrada ”punto”), y actualiza con F5.
- La otra opción es ejecutar ipconfig /flushdns en modo orden. Después de ejecutar
la orden deja pasar unos minutos ya que puede ser que la actualización no se produzca
inmediatamente.
4.14 Comprobar SYSVOL.
- Comprueba que se ha creado la estructura de carpetas. Ejecuta %SystemRoot %\sysvol.
Deberı́an estar las siguientes carpetas: Dominio (Domain), Ensayo (Staging), Zonas de
ensayo (Staging areas) y Sysvol.
- Comprueba que se han creado las carpetas compartidas necesarias. Para ello ejecuta desde el
“Sı́mbolo del sistema” net share. Deberı́an aparecer dos recursos compartidos: NETLOGON
y SYSVOL.
4.15 Comprobar los archivos de registro y la base de datos del directorio. Para ello,
ejecuta %SystemRoot %\ntds. Windows Explorer abre y muestra el contenido de la carpeta
NTDS, que deberı́a incluir los siguientes archivos:
- Ntds.dit. Es el archivo de la base de datos de directorio.
- Edb.* Archivos de registro de transacciones y los archivos de controles.
- Res*.log. Archivos de registro reservados.
DITEC
BWIN04 - 3/6 -
ASO/ASOP-2004-05
4.16 Comprobar los resultados de la instalación examinando el registro de sucesos o eventos. Para ello,
examina el registro de sucesos por si se produjo algún error durante el proceso de instalación. Los
datos de la instalación se han guardado en Registro de Aplicaciones y Servicios /
Microsoft / Servicios de directorio.
4.17 Comprobaciones adicionales:
En el Inicio de Sesión de Windows nos aparece la opción Conectarse a,
pudiéndose indicar un nombre de dominio. Alternativamente también puedes poner
administrador@dom02 como nombre de usuario.
En
Propiedades del sistema / Nombre de equipo, el botón Cambiar
está deshabilitado y como Nota dice que no se puede cambiar la identificación del
equipo porque la máquina es un controlador de dominio.
En Administración de equipos, la opción Usuarios locales y grupos, no
aparece, está deshabilitada.
En Administración del servidor, en Funciones se indica que el equipo es servidor
de DNS y están instalados los servicios de dominio de Active Directory.
5.
Crear un controlador de dominio adicional
En esta sección vamos a especificar los pasos para crear un controlador de dominio adicional para
el dominio que hemos creado en la anterior sección. Supongamos que utilizaremos el PC06.
5.1 Ejecuta dcpromo.
5.2 Seleccionamos realizar la instalación avanzada, y a continuación, indicaremos que queremos en un
bosque ya existente agregar un Controlador de dominio a un dominio existente.
5.3 Acto seguido nos pedirá un nombre del dominio al que nos unimos , y las credenciales para poder
autenticarnos en él. Como nombre de dominio hay que usar dom02.sala27, y como credenciales
usar al usuario (Administrador) y su contraseña.
5.4 Seleccionamos el sitio en el que crear el nuevo controlador. En nuestro caso sólo hay un sitio
definido, el por defecto.
5.5 En este paso hay que indicar si queremos opciones adicionales para este controlador. No
seleccionamos ninguna.
5.6 Como el primer controlador de dominio es también el catálogo global, nos va a pedir que se
transfiera la tarea de maestro de infraestructura desde el primer controlador a este controlador.
Aceptamos esta transferencia.
5.7 A continuación nos informa sobre el estado del DNS. Aceptamos.
5.8 Para poder crear este segundo controlador, pregunta desde dónde queremos hacer la replicación
inicial de los datos. Elegimos Replicar los datos a través de la red desde un
controlador de dominio existente.
5.9 Sobre el controlador de dominio origen para realiza la replicación, le dejamos al asistente que elija
el adecuado.
5.10 Apartir de aquı́ los pasos son los mismos que los seguidos para crear el dominio raı́z (directorios,
contraseña, resumen de los datos seleccionados, y procede a la instalación).
5.11 Al terminar reiniciamos este nuevo controlador de dominio.
6.
Herramientas de Administración del Active Directory
En Inicio / Programas / Herramientas Administrativas están las principales
herramientas que nos permitirán administrar el Active Directory, y son:
DITEC
BWIN04 - 4/6 -
ASO/ASOP-2004-05
- Usuarios y equipos de Active Directory.
- Dominios y confianzas de Active Directory.
- Sitios y Servicios de Active Directory.
6.1 Comprueba, por medio de la herramienta Usuarios y equipos del Active Directory,
que efectivamente tenemos más de un controlador de dominio. En Propiedades observa la
información que de cada uno de ellos se guarda (tipo de controlador de dominio, sitio, sistema
operativo, grupos de los que es miembro, etc.)
6.2 Desde Usuarios y equipos del Active Directory crea una unidad organizativa nueva,
llámala Alumnos. Después, crea un nuevo usuario llamado alu01 o similar dependiendo del
dominio.
6.3 Verifica a partir de Dominios y confianzas en qué modo funciona el dominio.
6.4 Desde Dominios y confianzas y desde Usuarios y equipos de Active Directory
comprueba qué controladores de dominio realizan las funciones del maestro de operaciones, y cómo
los podrı́as cambiar.
6.5 A partir de Sitios y Servicios de Active Directory comprueba qué controlador
actúa como catálogo global. Tienes que seguir la siguiente ruta: Sitios
y Servicios de Active Directory [PC02.dom02.sala27] / Sites /
Nombre-predeterminado-primer-sitio / Servers / pc02 / NTDS Settings
/ Propiedades
7.
Unirse al dominio raı́z
Supongamos que queremos unir un servidor miembro, por ejemplo el PC04, al dominio creado. Los
pasos a realizar son:
7.1 Inicia la sesión como Administrador.
7.2 Ve a Mi PC / Propiedades o bien a Inicio / Configuración / Panel de Control
/ Sistema.
7.3 En la pestaña Nombre de Equipo, elige Cambiar. Aparece el diálogo Cambios en el
nombre del equipo.
7.4 En Miembro de / Dominio escribe el nombre del dominio al que quieres unirte (dom02).
7.5 A continuación pedirá que introduzcamos el nombre de un usuario (y su contraseña) con permisos
de Administración en el controlador de dominio. Introduciremos como nombre de usuario el del
Administrador.
7.6 Si el nombre del usuario y el password es correcto entonces dará la bienvenida al dominio.
7.7 A continuación tendremos que reiniciar la máquina.
7.8 Comprueba que puedes entrar a la máquina con el usuario alu01. Desde un PC que no esté unido
al dominio, no se podrá usar este usuario, ni trabajar en el dominio.
8.
Trabajando con el dominio
8.1 Con la Usuarios y equipos de Active Directory, desde cualquiera de los controladores
de dominio comprueba que en la unidad organizativa Computers (Equipos) hay un objeto de
tipo Equipo que representa al servidor miembro. Mientras que en la unidad organizativa Domain
Controllers (Controladores de Dominio) hay dos objetos que representan a cada uno de
los controladores de dominio. Observa también en este caso, la información que está guardando
para el mismo.
DITEC
BWIN04 - 5/6 -
ASO/ASOP-2004-05
8.2 Desde el segundo controlador de dominio, PC06, añade un nuevo usuario llamado alu02 en la
unidad organizativa alumnos.
8.3 A continuación desde el PDC, PC02, comprueba que no aparece en la base de datos porque aún
no se ha replicado la información.
8.4 Desde el segundo controlador de dominio fuerza la replicación de los datos. Las replicaciones
se fuerzan desde Sitios y Servicios de Active Directory. Tienes que seguir la
siguiente ruta: Sitios y Servicios de Active Directory [PC06.dom02.sala27]
/ Sites / Nombre-predeterminado-primer-sitio (Default-First-Site-Name)
/ Servers / pc02 / NTDS Settings, y en la parte derecha de la herramienta aparece un
objeto de NTS Settings llamado <generado automáticamente>, con el botón derecho
del ratón se puede seleccionar la opción Replicar ahora.
8.5 De nuevo, desde el PDC, comprueba que ya está actualizada la base de datos, y aparece el alumno
alu02. Es posible que tengas que cerrar y abrir de nuevo la herramienta Usuarios y Equipos
del Active Directory.
8.6 Comprueba que podemos programar la hora en la que hacer las replicaciones. En el mismo objeto
del ejercicio anterior, en Propiedades, tenemos la opción Cambiar programación.
8.7 Desde uno de los controladores de dominio, usando la herramienta Usuarios y Equipos del
Active Directory realiza una búsqueda del usuario creado.
9.
Degradar dominios
Para terminar la práctica, vamos a degradar el dominio que hemos creado, pero hay que hacerlo
en orden inverso al de su creación. Es importante tener en cuenta que antes de degradar, no tenemos
que tener ningún PC unido al dominio. Para degradarlo se utiliza también dcpromo, indicando si el
que estamos degradando es el último PDC o no. En nuestro caso los pasos a seguir son:
9.1 Quita el servidor miembro. Haz que en vez de que esté asociado a un dominio que esté en un
grupo de trabajo. Esto lo tienes que hacer con el usuario administrador, conectándote al equipo
“local” y no al dominio.
9.2 A continuación, desde uno de los controladores de dominio, observa que ya no aparece el equipo
en la base de datos, o bien aparece “tachado”.
9.3 A continuación hay que degradar el segundo controlador de dominio. Para ello utiliza el dcpromo,
pero antes es IMPORTANTE que compruebes que en el DNS existe una entrada con el nombre
del PC y con contenido la IP del ordenador. En nuestro ejemplo, la entrada PC06 tiene que estar en
DNS / Zonas de búsqueda directa / dom02.sala27. En caso de que no exista, con el
botón derecho del ratón haz clic sobre dom02.sala27 y elige Host nuevo, te pedirá el nombre
del host y su IP.
9.4 De nuevo, desde el primer controlador de dominio, PC02, observa que ya no aparece el segundo
controlador de dominio en la base de datos, o bien aparece “tachado”, y ahora aparecerá como
servidor miembro.
9.5 El equipo PC6, al ser degrado se ha convertido en servidor miembro del dominio. Desde la
herramienta Sistema haz que forme parte de un grupo de trabajo, y no del dominio.
9.6 Finalmente, degrada el dominio raı́z. Recuerda que es el último controlador del dominio, y hay
que marcar todas las opciones para eliminarlo.
DITEC
BWIN04 - 6/6 -
ASO/ASOP-2004-05
Descargar