Cunado gestionamos diversos dominios dentro de nuestra organización uno de los temas más importantes que debemos tener en cuenta es permitir que los objetos de ambos dominios puedan comunicarse entre sí para mejorar diversos aspectos de la compañía.
Por ejemplo, si en un dominio está el área de Finanzas de Madrid y en el otro dominio está el área de RRHH en Barcelona es importante que ambas áreas estén en constante comunicación compartiendo archivos, estadísticas y demás.
La forma más práctica que podemos implementar en Windows Server 2016 para que esto suceda es crear una relación de confianza entre estos dos dominios y así permitir que de manera constante se pueda establecer y compartir información entre ambos.
De la misma forma al contar con relaciones de confianza es posible administrar de forma centralizada diversos dominios a la vez y gestionar todos los requerimientos del mismo.
1. Tipos de relaciones de confianza en Windows Server
Existen algunos tipos de relaciones que es importante conocer, estos son:
2. Verificar conexión entre dominios
A continuación, veremos cómo implementar esta relación de confianza entre dos dominios:
- Windows Server 2016. IP: 192.168.0.31
- Windows Server 2012 IP: 192.168.0.33
El primer paso a realizar es comprobar, usando el comando ping, la conectividad entre ambos dominios. Para ello accedemos al símbolo del sistema en ambos equipos y hacemos ping a la dirección del otro equipo.
Ping de Windows Server 2016 a Windows Server 2012:
ping 192.168.0.33
Ping de Windows Server 2012 a Windows Server 2016
ping 192.168.0.31
Una vez hayamos validado la conectividad entre ambos equipos debemos asegurarnos que los puertos requeridos están abiertos, para ello podemos descargar la aplicación Port Query de Microsoft desde el siguiente enlace:
En la ventana desplegada debemos ingresar la dirección IP del equipo que se ha de adquirir la relación de confianza, en este caso Windows Server 2012, por ello ingresamos la IP 192.168.0.33 en el campo Enter destination IP or FQDN to query. Pulsamos el botón Query. Al pulsar Query veremos que el sistema inicia todo el proceso de consulta de los puertos.
Con esta herramienta comprobamos si nuestros dominios están preparados a nivel de puertos.
3. Configurar DNS en Windows Server
A continuación, debemos hacer algunos ajustes en el DNS del dominio, para esto vamos a la siguiente ruta:
- Administrador del servidor
- Herramientas
- DNS
La idea es permitir que el dominio en Windows Server 2016 pueda resolver los nombres del dominio Windows Server 2012 y para ello en la ventana desplegada de DNS vamos a crear un reenviador condicional, para esto desplegamos nuestro equipo y seleccionamos la opción Reenviadores condicionales.
Allí daremos clic derecho sobre Reenviadores condicionales y seleccionamos la opción Nuevo reenviador condicional.
En la ventana desplegada debemos ingresar el nombre del dominio al cual le vamos a hacer el reenvío y agregamos la dirección IP del mismo.
Pulsamos Aceptar y podremos ver que se ha creado nuestro reenviador.
Podemos validar esta configuración ejecutando un nslookup para ver que realmente se resuelve el reenviador.
4. Configurar relación de confianza entre dominios de Windows Server
Para iniciar este proceso vamos a ir a la siguiente ruta. Veremos la siguiente ventana:
- Administrador del servidor
- Herramientas
- Dominios y confianzas de Active Directory
Allí debemos dar clic derecho sobre nuestro dominio y seleccionar la opción Propiedades y seleccionamos la pestaña Confianzas. Seleccionamos la opción Nueva confianza ubicada en la parte inferior y veremos el siguiente asistente.
Pulsamos Siguiente y en la ventana desplegada indicamos el nombre del dominio con el cual haremos la confianza.
En la siguiente ventana debemos definir qué tipo de confianza será establecida para esta relación.
Pulsamos de nuevo Siguiente y a continuación debemos definir qué tipo de dirección tendrá la confianza, tenemos las siguientes opciones. Definimos la más acorde a nuestras necesidades.
Al pulsar Siguiente debemos definir donde se ha de crear la relación de confianza, solo en el dominio local o en ambos dominios, si nos decidimos por la primera opción debemos ir luego al siguiente dominio y crear la relación de confianza allí.
Una vez definido este valor pulsamos Siguiente y será requerido ingresar las credenciales de usuario.
A continuación, debemos definir el tipo de autenticación donde contamos con las siguientes opciones:
A continuación, veremos un resumen de la relación a crear. Pulsamos Siguiente y veremos que la confianza ha sido creada de manera correcta.
Al pulsar Siguiente veremos el siguiente mensaje donde debemos definir si confirmamos la confianza saliente.
La confirmamos y pulsamos de nuevo Siguiente y a continuación debemos confirmar la confianza entrante.
Pulsamos Siguiente y finalizará el proceso de creación de la relación.
De esta manera concluimos el proceso de creación de la relación de confianza y podremos verla creada de forma satisfactoria en el menú de Dominios y confianza de Active Directory
De esta manera hemos creado la relación de confianza entre dos bosques.
5. Acceder a los recursos compartidos
Para acceder a los respectivos recursos del otro dominio debemos tener en cuenta dos aspectos que son:
- Asignar los permisos correspondientes al recurso pulsando clic derecho / Propiedades / Seguridad y añadiendo el dominio respectivo y al grupo Domain Users.
- Ingresar al dominio de confianza usando el FQDN desde el comando Ejecutar y el respectivo dominio.
Podremos acceder a los recursos disponibles en el otro dominio.
De esta manera establecemos una relación de confianza con el fin de compartir recursos entre diversos usuarios de forma sencilla y segura. De esta forma podremos intercambiar información aunque tengamos dominios en lugares diferentes gracias a nuestro Windows Server 2016. Creando estas relaciones de confianza entre dominios conseguiremos comunicarnos de forma más sencilla pudiendo compartir información. Si te interesa el tema de compartir material entre distintos ordenadores de Windows Server 2016, echa un vistazo a este tutorial.
Tenemos dominios en lugares diferentes de la oficina principal y necesitaba ver cómo configurar esto para ser centralizados, gracias por el tutorial Solvetic.