Blog IT

Como configurar una relación de confianza entre Windows server 2003 y 2012 / How to configure Forest Level Trust between Windows Server 2003 and 2012

Antes de nada, nos surgirá la pregunta… Se puede hacer una relación de confianza entre un 2003 y un 2012 server? Sí, se puede. Y vamos a ver como

Para hacer la relación de confianza vamos a necesitar cumplir tres requisitos:

  • El nivel funcional de todos los bosques tiene que ser 2003 como mínimo
  • Necesitamos una cuenta con permisos para configurar la relación de confianza en cada extremo. Esta cuenta tiene que ser miembro del grupo “Enterprise Admins Group” o del “Domains Admin Group” o sino una cuenta con derechos delegados para crear confianzas.
  • Necesitamos resolución DNS entre los dos equipos. Nosotros lo vamos a resolver con Reenviadores condicionales aunque también lo podéis hacer creando zonas secundarias o mediante zonas de ruta.

Reenviador condicional? Zona de código auxiliar? Zona Secundaria?

    • El Reenviador Condificonal o Conditional Forwarder, configura el servidor DNS para reenviar una consulta recibida, a otro servidor DNS, dependiendo del nombre de la consulta. Así, si mi dominio es lagonzalez.local y mi dominio secundario es Contoso.com, cuando le hagan una consulta con el nombre contoso.com a mi dominio lagonzalez.local, este directamente lo reenviará al servidor DNS de Contoso.com para que lo resuelva.
    • Zona Secundaria o Secondary Zone crea una copia de una zona que ya existe en nuestro servidor DNS.
    • Auxiliar o Stub zone , es un tipo de zona que solo contiene el registro SOA de inicio de autoridad (Start Of Authority), los registros NS (Name Server) y A (host) que apuntan a los servidores de nombre o DNS. Básicamente rutas entre servidores DNS.

Una vez tengamos esto claro, empezamos la configuración.

Si ya no tenemos ningún Windows 2000 en la organización y no tenemos elevados los niveles funcionales del dominio y del bosque los elevaremos

Abrimos el AD de nuestro 2003 y elevamos el nivel funcional del Dominio.

2

1

Después nos conectamos a “Dominios y Confianzas de AD” y elevamos el nivel funcional del bosque.

Dibujo6

Dibujo7

Una vez que tenemos nuestro dominio configurado con los requisitos mínimos de 2012, empezamos a configurar los reenviadores condicionales. Primero nos vamos al servicio DNS de nuestro 2003 y abrimos las propiedades del servidor.

5

Nos vamos a la pestaña Reenviadores y agregamos un nuevo dominio DNS, el de 2012 claro.

7 8

Ahora haremos lo propio en el server 2012. Abrimos el servicio DNS y nos dirigimos a “Reenviadores condiciones”. Nuevo reenviador condicional,

9

Añadimos el dominio 2003 y la IP del servidor.

10

Una vez que tenemos nuestros DNS configurados en ambos servidores, conviene comprobar que desde ambos servidores podemos resolver el nombre del otro servidor. Un ping nos servirá para saber si todo va bien.

Ahora empezamos con la configuración de la relación de confianza. Para ello, desde el panel de administración del 2012 nos vamos a Herramientas, Dominios y Confianzas de Active Directory.

11

Entraremos en las propiedades del dominio

12

Y desde aquí a la pestaña confianzas, donde comenzaremos la configuración pinchando en Nueva Confianza.

13

Pantalla de presentación del asistente, Siguiente,

14

Escribimos el nombre del dominio o del bosque contra el que generamos la confianza, en mi caso dominio2003.local. Siguiente,

15

Elegimos el tipo de confianza, externa o de bosque. En mi caso la relación de confianza es contra un 2003 que tiene un solo dominio y un solo bosque. Tenemos que elegir externa porque el 2003 no nos va a dar otra opción. Automáticamente nos configurará una relación externa y si elegimos de bosque, la relación fallará porque son de tipos diferentes.

16

Seleccionamos la dirección de la confianza. En mi caso va a ser bidireccional para que ambos dominios confíen en el otro.

17

Ahora vamos a elegir solo este dominio, porque la relación de confianza del otro la configuraremos directamente sobre el 2003,

18

Queremos que Windows nos autentique automáticamente en todo el bosque para que los usuarios de un dominio puedan entrar en los recursos del otro de manera transparente.

19

Introducimos una password para la relación de confianza. Este password lo vamos a necesitar para configurar la relación desde el 2003.

20

El resumen de al configuración. Siguiente,

21

Configuración realizada con éxito. Le damos a Siguiente, pero no continuamos con el Wizard ya que en la siguiente pantalla nos preguntará si queremos confirmar la confianza saliente.

21

Nos conectamos a los Dominios y Confianzas del 2003,

23

Entramos en las propiedades del servidor,

24

Nos vamos a la pestaña Confía y Nueva Confianza,

25

Pantalla del wizard de configuración. Siguiente,

26

Escribimos el nombre del dominio o del bosque contra el que generamos la confianza, en mi caso dominio2012.local. Siguiente,

27

Dirección de confianza bidireccional,

28

Solo este dominio, ya que la confianza del otro lado la hemos configurado aparte

29

Autenticación en todo el dominio,

30

Introducimos la password de la relación de confianza que hemos introducido en la configuración del 2012,

31

Resumen del wizard,

32

configuración satisfactoria,

33

Ahora confirmaremos la confianza de salida, ya que en el otro extremo está la relación creada,

34

Si, confirmar la confianza de entrada. Nos tendremos que loguear con una cuenta con permisos suficientes tal y como hemos comentado al principio del documento.

35

Si todo ha ido bien, nos saldrá una imagen como esta en la que nos dice que se ha establecido correctamente al relación de confianza en este servidor.

36

Si quereis verificarlo, volver a la pestaña de relación de confianza en las propiedades del servidor y veréis que ya está configurada,

37

Ahora solo nos queda confirmar la confianza saliente en el 2012. Asique nos volvemos a conectar y seguimos con el wizard. “Si confirmar la entrada saliente” y siguiente,

38

Nos autenticamos con la cuenta con privilegios correspondientes,

39

Y ya tenemos configurada completamente nuestra relación de confianza bidireccional entre un 2003 y un 2012.

40