Beruflich Dokumente
Kultur Dokumente
Luego del reinicio e iniciando sesin con una cuenta de administrador local procederemos a
instalar la funcionalidad de acuerdo a como se muestra en las siguientes pantallas
La opcin ofrecida por omisin es crear un nuevo Bosque (Forest), que es lo que
debemos seleccionar cuando estamos creando nuestro primer Dominio Active Directory.
Slo debemos ingresar el nombre del Dominio a crear
Es normal que no pueda efectuar la delegacin en el DNS superior, y en nuestro caso sera
un problema grave de seguridad si pudiera delegar en un dominio de Internet, nuestro
Dominio Active Directory. As que a ignorar la advertencia y continuar
Sugiere el nombre NetBIOS del Dominio, que salvo que est duplicado en la red, siempre
ser la parte ms a la izquierda del nombre de Dominio que hayamos colocado
Salvo que tengamos en nuestro servidor ms de un disco fsico y esperemos que nuestro
Active Directory sea muy grande, no conviene cambiar las ubicaciones de los archivos
Como aclaracin: mover la base y los logs es muy sencillo luego, pero cambiar la ubicacin
de SYSVOL es problemtico
Y vemos que el sistema nos da algunas advertencias. Entiendo que nadie a esta altura
tendr servidores NT 4.0, y por el tema delegacin DNS ya lo hemos visto, as que
podemos seguir adelante tranquilos
Observen que informa que se reiniciar la mquina automticamente al finalizar el proceso
Luego del reinicio podremos iniciar sesin con el administrador del Dominio, ya no
administrador local, aunque su configuracin en este caso se ha migrado
Si abrimos Active Directory Users and Computers veremos que est creada la
correspondiente cuenta de mquina en la Unidad Organizativa Domain Controllers
Tambin podemos observar que se han creado las correspondientes zonas DNS (en la
consola DNS), y se han creado los registros correspondientes. Tanto en la zona con el
nombre del Dominio, como en la zona que comienza con _msdcs.
En esta nota llegamos hasta ac. En la prxima nota instalaremos un segundo Controlador
de Dominio, por lo cual veremos la configuracin de partida, el proceso de promocin, y
las configuraciones finales que hay que efectuar a fin de proveer tolerancia a fallos
Windows Server 2012 (R2): Crear un Dominio Instalacin y Configuracin del
Segundo Controlador de Dominio
Continuando con el tema que comenzamos en la nota anterior (Windows Server 2012 (R2)
Crear un Dominio Instalacin del Primer Controlador de Dominio), en esta nota
veremos cmo instalar un segundo Controlador de Dominio para el Dominio Active
Directory existente
Especficamente veremos qu configuracin necesitamos tener para obtener tolerancia a
fallos, y otras que son por conveniencia
Recuerdo que de la nota anterior ya tenemos instalado y configurado el primer Controlador
de Dominio dc1.ad.guillermod.com.ar con configuracin IP 192.168.1.201/24 con el cual
se ha creado el Dominio
As que para continuar debemos tener instalado un segundo servidor. Atencin a un detalle
importante: este segundo servidor no puede ser un clonado del primero, salvo que se haya
ejeuctado SYSPREP con los modificadores adecuados, ya que de otra forma el sistema no
permitir promover dos Controladores de Dominio con el mismo SID
Igual que en el caso anterior, lo primero que debemos configurar son los parmetros de IP.
En mi caso le he puesto 192.168.1.202/24, y muy importante que tenga configurado para
usar como DNS al otro Controlador de Dominio ya instalado; esta es la nica forma para
que pueda resolver los nombres necesarios del Dominio Active Directory
Igual que en el caso anterior debemos instalar la funcionalidad Active Directory Domain
Services, que no demostrar ya que es exactamente igual que lo que hicimos en DC1. Slo
mostrar la parte de promocin como Controlador de Dominio
Es importante, si queremos tener tolerancia a fallos sobre el servicio, que este Controlador
de Dominio tenga instalado el servicio DNS y sea Catlogo Global, no se olviden de
controlar que ambas opciones estn marcadas
Y adems ingresar la correspondiente contrasea de ADRM de este Controlador de
Dominio. Si hay dudas del motivo consulte la nota anterior ;-)
Por los motivos que explicamos en la nota anterior, hay que desmarcar que trate de ejecutar
la delegacin en el DNS superior
No hay mucho para seleccionar en este caso sobre desde cul Controlador de Dominio
replicar, ya que tenemos solamente uno
Y seguimos el asistente, tal cual el caso anterior, y como muestran las siguientes pantallas
Esperemos que reincie totalmente, por lo menos que llegue hasta el cuadro de inicio de
sesin, y vamos a DC1 para ver si todo ha sucedido correctamente
Una de las primeras cosas que podemos hacer es abrir Active Directory Users and
Computers y ver que se ha creado la cuenta de mquina correspondiente en la Unidad
Organizativa Domain Controllers
Los registros en la zona _msdcs pueden demorar un poquito de tiempo, pues dichas
registraciones las hace el servicio NETLOGON, pero es importante verificar que estn
presentes. Recordar que las consolas MSC no refrescan automticamente, debemos pulsar
F5
Tener paciencia ;-) que si hicimos todo bien se crear en unos minutos, a veces se toma
hasta 20, as que es mejor dejar todo sin tocar, y cada tanto hacer un refresco de pantalla
hasta que aparezca el nuevo objeto conexin que replica desde DC1 hacia DC2
Y por supuesto tiene que estar tambin el que replica desde DC2 hacia DC1
Bueno, llegamos hasta ac. Si hay pedidos ver de continuar estas notas agregando un
Dominio al Bosque existente, o an un nuevo rbol
Tambin, y a una sugerencia muy buena que he recibido, aprovechar la infraestructura
para mostrar la tolerancia a fallas, maestros de operaciones, procedimientos ante fallos, etc.
Con esta infraestructura podemos hacer un despliegue de las Carpetas de Trabajo, y para
ello nos vamos al servidor de Ficheros y aadimos la caracterstica necesaria
Pulsamos en Siguiente
Seleccionamos Carpetas de Trabajo debajo de Servicios de archivos y almacenamiento Servicios de iSCSI y archivo
Antes de comenzar el proceso de instalacin nos muestra como siempre un resumen de las
caractersticas o roles a instalar, pulsamos en Instalar
Ahora desde la consola de Administrador del Servidor, nos vamos a la seccin de Servicios
de Archivos y de almacenamiento - Carpetas de Trabajo y pulsamos sobre el texto que
tenemos en pantalla: Para crear un recurso compartido de sincronizacin para
Carpetas de trabajo, inicie el asistente para crear recursos compartidos de
sincronizacin
Pulsamos en Siguiente
Ahora selccionamos el servidor y la ruta de acceso a los ficheros que vamos a configurar
como sincronizables para las carpetas de trabajo, yo he creado previamente los recursos
compartidos. nicamente debemos seleccionar el recurso que queremo sincronizar o bien
podemos elegir una carpeta local en el servidor el cual vamos a configurar, pulsamos en
Siguiente
Alias de usuario:jrodriguez
Esto lo utilazar para crear una carpeta para cada usuario dentro de la carpeta raz que
hemos configurado en el paso anterior. Si tenis usuarios de varios dominios siempre es
recomendable hacerlo con la segunda opcin. Luego tenemos la posibilidad de
Ahora podemos especificar (recomendado) que se cifren las carpetas de trabajo (EFS) y
bloquear pantalla automticamente y requerir contrasea, pulsamos en Siguiente
Por ltimo nos muestra un resumen de la configuracin, si todo est segn lo esperado
pulsamos en Crear
Ahora se nos muestra el resumen de la configuracin y los usuarios (miembro del grupo
que hemos aadido antes) que tienen acceso a esta carpeta de trabajo
Con esto ya hemos logrado que cuando los usuarios traten de configurar las Carpetas de
Trabajo, nicamente introduzcan su nombre de usuario y se conecten al servidor sin que
para ello tengan que introducir de forma manual la URL del mismo. Por ltimo y no menos
importante, es solicitar un certificado digital (plantilla de Servidor Web) y asignarlo al
listener adecuado. El cmo solicitar un nuevo certificado no lo voy a comentar en este
artculo por no repetirme, as que aqu os dejo algunos artculos relacionados con los
certificados:
Aunque no son explcitamente artculos sobre certificados para las Carpetas de Trabajo, los
procesos de solicitud e instalacin son los mismos. En este caso el certificado es basado en
una plantilla de certificado de Servidor Web y poco ms que tenerlo instalado es el
requisito. Una vez que lo tenemos instalado en el Contenedor de Certificados del Equipo
Local, debemos ver cual es su Huella Digital, porque lo necesitaremos para idenfiticar el
certificado que queremos asignar al servicio de las Carpetas de Trabajo. Para ello vamos a
Inicio - Ejecutar - y escribimos certlm.msc una vez que hemos abierto el almacn de
certificados de equipo local, expandimos la opcin de Personal - Certificados y ah
encontraremos (debera estar ah, sino revisar el proceso de instalacin del certificado) el
certificado que hemos instalado. En mi caso he solicitado un certificado wildcard, porque
Por ltimo debemos ejecutar el siguiente comando desde una lnea de comandos (CMD)
con privilegios:
netsh http add sslcert ipport=0.0.0.0:443 certhash=<Huella Digital del Certificado>
appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY
El paso siguiente ser configurar el clidente (de momento tiene que ser un Windows 8.1, en
breve MSFT sacar soporte para iPad, Windows 7, etc...). Si los equipos Windows 8.1
pertenecen al dominio, podemos hacerlo va GPO (Directiva de Equipo y Usuario, en mi
caso lo ver solo a nivel de usuario): Configuracin de usuario - Directivas - Plantillas
administrativas - Componentes de Windows - Carpetas de Trabajo - Especificar
configuracin de carpetas de trabajo
Y como segunda opcin de configuracin, lo haremos sobre equipos que no estn unidos al
dominio. Para ello nos vamos al Panel de Control - Carpetas de Trabajo
Podemos
utilizar
el
autodiscover
(recordad
lo
del
registro
DNS
workfolders.nombredominnio creando anteriormente) o introducir de forma manual la URL
del servidor en donde tenemos nuestro servidor de Carpetas de Trabajo. En nuestro caso
como la utilizacin de la URL es algo ms que obvio, vamos a configurarlo con el
autodiscover. Para ello debemos introducir nuestra direccin de correo o login de usuario
que tenemos, para que funcione se debe corresponder el nombre del dominio de nuestra
cuenta de correo o login con el dominio publicado, puesto que la parte del dominio la
utilizar para buscar el registro DNS workfolder.dominio.com, de tal forma que si existe
el registro DNS no solicitar las credenciales para autenticarnos: jrodriguez@asirlab.com
Si analizamos el trfico de red con Wireshark (o cualquier otro sniffer) veremos que se
lanza una consulta al servidor DNS para resolver la IP de workfolders.asirlab.com, por lo
que previamente debemos tener el registro DNS creado:
Es posible que si nos conectamos desde un equipo fuera del dominio nos encontremos con
el siguiente error antes de poder introducir las credenciales, pero como podemos observar
en el mensaje el problema es que como hemos utilizado certificados privados no tenemos
instalado el certificado raz de la CA que ha emitido el certificado del servidor al que nos
queremos conectar (Servidor de las Carpetas de Trabajo).
Esto tiene fcil solucin, instalamos el certificado raiz de la entidad certificadora que ha
emitido el certificado para el servidor y habremos solucionado el problema (en el
Contenedor de Certificados del Equipo Local)
Ahora volvemos lanzar la conexin y nos solicitar las credenciales que nos permitirn
conectarnos a los servicios Web de las Carpetas de Trabajo
Una vez que se ha completado la conexin con el servidor, nos muestra la carpeta local por
defecto (%userprofile%\Work Folders) en donde se almacenarn los ficheros
sincronizados. Si queremos cambiar la ubicacin por defecto, debemos pulsar en cambiar
Ahora debemos aceptar las directivas de Seguridad que se hemo configurado desde el
servidor (Cifrados de Ficheros (EFS) , Bloqueo de Pantalla y Contrasea al usuario del
equipo. Una vez que aceptemos estas directivas se iniciar el proceso de sincronizacin de
los ficheros y carpetas:
Una vez aceptadas las directivas se aplicarn las directivas en el equipo local
Lo primero que haremos ser crear algn fichero y/o carpeta en la carpeta Work Folders
que tenemos en nuestro perfil para realizar una primera prueba de sincronizacin. Para ello
pulsamos en Sincronizar ahora y se sincronizar el directorio local Work Folders con la
carpeta especificada en el servidor
Imagino que os habris dado cuenta que los ficheros y carpetas del equipo estn de color
verde, eso es que se han cifrado va EFS
Por ltimo vamos a ver como podemos establecer cuotas de disco sobre las Carpetas de
Trabajo, desde el Administrador del Servidor en la seccin de Carpetas de Trabajo en la
parte inferior derecha tenemos las opciones de Cuota.
Si queremos hacer algo sencillo, simplemente pulsamos encima del texto Para establecer
una cuota, abra el cuadro de dilogo Configurar Cuota. y se nos abrir la siguiente
ventana en donde podemos seleccionar algunas de las plantillas de cuota disponibles, si con
esto tenemos suficiente elgimos alguna de ellas y pulsamos en Agregar
Con esto ya tenemos una cuota de disco asignada a la Carpeta de Trabajo que hemos
anteriormente (Supervisar 500MB de recurso)
Por ltimo comentarios de forma explcita que si queremos publicar este servicio va
Internet (que es lo suyo tambin), debemos publicar este servicio va HTTPS y un ReverseProxy (no obligatorio). De tal forma que cualquier usuario pueda tener acceso a los datos
corporativos desde cualquier lugar.
Como podemos observar es muy sencillo de implementar y seguro que dar mucho juego
en muchas organizaciones en donde estn implementando BYOD. Pero desde luego llegar
su uso masivo cuando MSFT libere su utilizacin en sistemas NO Microsoft y Windows 7.
Espero que os sea de utilidad!!!