Relaciones de Confianza (Trusts) – “Forest Trusts”

Siguiendo con esta serie de notas sobre Relaciones de Confianza (“Trusts”) esta vez vamos a ver en qué casos, cómo se crean y características de las relaciones de confianza entre Bosques del tipo “Forest Trust”

Un caso, aunque no es muy común, es que en una misma organización se tengan varios Bosques (“Forests”) separados, pero que sin embargo tengan que compartir recursos.
El caso, que veo más común, es el de la adquisión de una organización por otra, o unificación de organizaciones, donde cada una tiene su infraestructura de Active Directory ya en funcionamiento

Debemos recordar, que hasta la última versión del sistema operativo (Windows Server 2012 R2) no es posible la unión de dos Bosques (“Forests”) diferentes; esto es, si se crearon Bosques diferentes, se quedarán independientes, cada uno con su propio Esquema (“Schema”), información de Catálogo Global (“Global Catalog”), etc. aunque con ayuda de estas relaciones de confianza “Forest Trusts” aún podemos hacer que compartan recursos. De otra forma habría que hacer un proceso de consolidación que generalmente no es sencillo

La infraestructura de base que utilizaré para esta nota, es la que venimos usando hasta ahora, aunque deberé agregar algo más aún, ya que si queremos demostrar las relaciones de confianza entre Bosques (“Forest Trusts”) es obvio que necesitaremos crear otro Bosque diferente

 

Así que a lo que muestra la figura he agregado un nuevo Bosque, manteniendo lo más simple posible el desarrollo

Un Domino raíz llamado “empresa.net” con un único Controlador de Dominio “DC-A”, con un subdominio “sub.empresa.net” también con un único Controlador de Dominio “DC-B”. Todo sobre la misma red del sitio “Central”

Lo primero que debemos asegurarnos, y configurar, es la resolución de nombres de cada uno de los Dominios respecto al resto. Dentro de cada Bosque esto ya está hecho, pero entre los Bosques hay que configurarlo

Cómo hemos visto anteriormente en las notas sobre resolución de nombres podemos usar cualquiera de los siguientes métodos:

  • Zonas Secundarias
  • “Stub-Zones”
  • Reenviadores (“Forwarders”)
  • Reenviadores Condicionales (“Conditional Forwarders”)

Yo he usado el último de los nombrados (“Conditional Forwarders”) ya que me ha precido el más rápido de implementar en este caso. No mostaré la configuración que he hecho, si alguno no la recuerda puede consultar la nota “DNS: Resolución de Nombres Mediante Reenviadores Condicionales

Lo importante, es verificar en cada uno de los Controladores de Dominio, usando NSLOOKUP por ejemplo, la correcta de resolución del nombre de todos los demás Controladores de Dominio de ambos Bosques (“Forests”). Aclaro que utilizo NSLOOKUP porque esto es independiente del cliente DNS (Resolver), y por lo tanto si corrijiera algo, la información no quedaría almacenada en memoria (“cached”)

¿Revisaron? ¿resuelve todos los nombres? Sí, ya sé, es tedioso y largo, pero no sigan adelante hasta no solucionar cualquier inconveniente, de otra forma no se establecerán, o no funcionarán las relaciones como deben ser

Comencemos entonces en “dc1.root.guillermod.com.ar” con “Dominios y Confianzas de Active Directory” (“Active Directory Domain and Trusts”), con botón derecho sobre el Dominio, y seleccionando Propiedades, ficha “Trusts”, y “New Trust”

Y seguimos el asistente

Indicamos el nombre del otro Bosque (“empresa.net”)

Y seleccionamos que haremos una “Forest-Trust”

Observen que podemos seleccionar entre tres tipos de relación:

  • “Two-way” (Doble sentido)
  • “One-way outgoing” (Saliente. Este Dominio confía en …)
  • “One-way incoming” (Entrante. El otro Dominio confía en el nuestro)

En este caso seleccionaré “Two-way”, lo que implica que un usuario de cualquier dominio, de cualquiera de los Bosques, pueda acceder a recursos de otro Dominio, pero siempre y cuando tenga los privilegios necesarios por supuesto

Además me ofrece la posibilidad, que con el mismo asistente también pueda configurar la relación de confianza en el otro Dominio. Como conozco las credenciales de un “Enterprise Admin” de ambos Bosques, así lo haré

Ingresamos las credenciales requeridas del otro Dominio (empresa.net) y seguimos adelante

Acá hay una configuración importante a decidir, veamos cada uno de los tipos:

  • “Forest-wide”: este tipo se utiliza en la mayoría de los casos; alcanzará que a un grupo Global o Universal del otro Bosque sea incluido en un grupo que tenga permisos, cualquiera sea el equipo que comparte recursos
  • “Selective-authentication”: este tipo plantea un escenario restrictivo, además de los permisos al grupo, en los permisos del equipo que comparte hay que darle el permiso “Allowed to authenticate”. Con lo cual se restringen los permisos a “Everyone” o “Authenticated users”

Seleccionaré “Forest-wide”, así esta demostación de funcionamiento se mantiene lo más simple posible. Esto lo debemos hacer para ambos Bosques, revisen en detalle que las dos capturas que siguen no están repetidas 🙂

Nos pide confirmación de la configuración

Y nos pregunta por los sufijos de Dominio que “ruteará”. No me gusta el término, ni cómo lo he expresado, ni cómo lo llama el sistema. Se está refiriendo a los sufijos de Dominio que se podrán usar en el otro Bosque
”*.root.guillermod.com.ar” se refiere a “root.guillermod.com.ar” y todos los subdominios que “cuelguen” del mismo
Cabe aclarar, que se “rutearán”, por omisión, todos los Dominios salvo que hubiera conflicto de nombres. Por ejemplo, si de ambos lados existieran Dominio como “mza.root.guillermod.com.ar” y “mza.empresa.net” (Conflictúa “mza”)

Y confirma que la relación de confianza se ha creado exitosamente

Inclusive nos permite verificar las relaciones creadas, tanto en este Bosque, como en el otro

Y finalizamos el asistente

 

Podemos verificar en “Dominios y Confianzas de Active Directory” (“Active Directory Users and Computers”) que la relación está en su lugar

¿Y funcionará como está previsto? 😉
Bueno, lo demuestro fácil, usando el cliente XP, ya que el mismo a diferencia de los sistemas posteriores muestra la lista de Dominios disponibles

Podemos verificar que nos ofrece para elegir todos los Dominios de nuestro Bosque (ROOT, MZA y NEUQUEN y además EMPRESA)
¿¿¿Y por qué no muestra el subdominio del otro Bosque (SUB)???
Evidentemente es así “por diseño”, pues si trato de inciar sesión con una cuenta del Dominio “Sub”, no tengo problemas

No lo demostraré, pero pueden ver que en cualquier máquina cliente de cualquiera del los Dominios, de ambos Bosques, un usuario puede iniciar sesión. Atención, que digo “máquina cliente” pues un “usuario normal” no puede iniciar sesión en un Controlador de Dominio

By Guillermo Delprato, on 24 mayo, 2014 at 20:04, under Active Directory - Directorio Activo, How To - Step-by-step - Paso a paso, Windows Server, Windows Server 2012, Windows Server 2012 R2. Tags: , , , , , , , , , . No hay comentarios
Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *