De cómo ser IT Pro y no morir en el intento

Siguiendo con lo mío… y sabiendo que ya hay muchos post, enlaces y tutos de cómo crear una Relación de confianza entre bosques, voy a añadir mi granito de arena con mi propia entrada del tema.

Antes de nada, hemos de resolver el tema de la “localización” de los dominios entre sí por lo que usaremos una característica ya incluída en Windows Server 2003: los Conditional Forwarders

El objetivo es que toda petición dirigida a “mi_dominio.local” desde “midominio.local” vaya directamente a los servidores DNS autoritativos de esa zona, que serán los servidores DNS del dominio origen mientras que el resto de peticiones, usen los DNS del ISP, router o lo que haya configurado para salir a Internet.

El mismo caso pero a la inversa se hace para “midominio.local” de modo que el tráfico de consultas DNS se encamina sólo hacia los servidores que gestionan cada una de las zonas en cada uno de los bosques.

Configuración en el nuevo bosque

En las propiedades del DNS de uno de los DCs del nuevo bosque, añadimos las IPs de los DNS del otro bosque, como se ilustra en las siguientes imágenes

Configuración en el viejo bosque

En las propiedades del DNS de uno de los DCs del bosque antiguo hacemos lo mismo que antes pero a la inversa.

Y nada más, tan sencillo como esto.

Evidentemente, hemos de realizar pruebas desde ambos dominios para asegurarnos que la resolución cruzada funciona.

Otra cosa ha hacer, y se puede hacer por GPO – lo recomiendo – es forzar que la lista de sufijos DNS de la conexión incluya el dominio propio y el contrario para facilitar un orden de resolución correcto.

Una vez llegados a este punto… vamos con las…

Relaciones de confianza

Para poder migrar usuarios entre distintos bosques y/o dominios de Directorio Activo, es necesario establecer relaciones de confianza entre ambos entornos de modo que un usuario de un dominio pueda usar los recursos del otro dominio, siempre que los permisos establecidos para esos recursos brinden el correcto acceso a los mismos.

Para establecer relaciones de confianza entre dominios, debemos ir a Administrative Tools, Active Directory Domain and Trusts y, desde las propiedades del dominio, ir a la pestaña “Trusts”.

Desde aquí, escogemos la opción “New Trust” donde se lanzará un asistente que nos guiará en todo el proceso de generación de la relación de confianza entre los entornos.

Este asistente ha de ejecutarse en los dos dominios sobre los que queremos establecer la relación de confianza.

Avanzamos en el asistente

Introducimos el nombre NetBios o FQDN del dominio al que queremos establecer la relación y continuamos con el asistente.

Escogemos el tipo de confianza que vamos a establecer. En nuestro caso, a nivel de Bosque dado que ambos entornos están funcionando en modo Nativo Windows Server 2003 o superior.

La relación será bidireccional, de modo que un usuario del dominio “mi_dominio.local” pueda acceder a los recursos de “midominio.local” y viceversa.

Limitamos la creación de la relación sólo al dominio actual de modo que deberemos generar la contraria al finalizar el asistente en el otro dominio.

No limitamos el acceso entre dominios dado que la relación de confianza sólo existirá durante la transición de bosques y no necesitamos filtrar los usuarios que podrán acceder a los recursos del dominio contrario.

Establecemos un password para generar la relación de confianza. No es necesario que este password pertenezca a ningún usuario a la par que se puede cambiar en cualquier momento y revalidar la relación de confianza después del cambio.

Con todos los datos introducidos en el asistente.

Una vez finalizado el asistente, procedemos a validar la nueva relación de confianza con un usuario del dominio contrario que tenga los privilegios necesarios. Confirmamos la relación entrante.

Una vez repetido este proceso en ambos dominios, tendremos la relación de confianza totalmente funcional.

Dominio MiDominio.local

Dominio Mi_Dominio.local

Avanzaremos un poco el siguiente tema que será instalar la herramienta ADMT y configurar los dominios para permitir su uso. Así que lo primero a hacer es….proceder a la desactivación del SID Filtering. Este paso se debe hacer desde el dominio destino o nuevo, con los comandos

1. netdom trust midominio.local /domain:mi_dominio.local /quarantine:no
2. netdom trust midominio.local /domain:mi_dominio.local /EnableSIDHistory:yes

Marc

Siguiendo con la serie de entradas relativas a la migración de bosques, hoy procederemos a explicar cómo instalar la herramienta Active Directory Migration Tool

Instalando ADMT

La herramienta de migración de usuarios, grupos, equipos y servidores, Active Directory Migration Tool (ADMT), se instala en un servidor de transición diferente y específico para la realización de este proceso y que, originalmente podríamos llamar “Migrador”. Lo integraremos como member server del dominio destino “midominio.local”

Esta herramienta se compone de dos partes:

1. La propia ADMT que requiere de la instalación de un SQL Express 2008 SP1
2. Y una segunda parte llamada Password Export Tool (PES) requerida para traspasar los passwords entre dominios.

La herramienta PES se instala en el servidor que tiene el PDC Emulator del dominio “mi_dominio.local” y deberá arrancar con una cuenta Domain Admin.

1.1 Instalación de SQL Express 2008 SP1

La herramienta ADMT requiere de una base de datos para funcionar que bien puede ser una instancia de un SQL Server 2005 o 2008 “completo” o las versiones SQL Express 2005 SP3 y/o SQL Express 2008 SP1

Para no complicar las cosas, se opta por instalar un SQL Express 2008 SP1. Los pasos seguidos han sido los siguientes

Lanzamos el instalador de SQL Express 2008 SP1

Dejamos que el programa de instalación haga las comprobaciones necesarias al entorno antes de proseguir con la instalación del producto

Una vez validado el entorno, procedemos a la instalación como tal

Avanzamos con el procedimiento de instalación de SQL Express

Aceptamos el CLUF

Le indicamos que genere una nueva DB.

Le indicamos que cree la nueva instancia con los valores por defecto del producto.

Se comprueba que hay suficiente espacio en el sistema para proceder a la instalación.

Escogemos cuenta local de sistema para arrancar la instancia del SQL Express

Como modo de autenticación, escogemos integrado en el sistema.

Finalizados todos los pasos del Asistente, iniciamos la instalación del producto.

Una vez finalizada la instalación, ya podemos instalar ADMT sobre esa instancia recién creada.

1.2 Instalación de Active Directory Migration Tool

Después de instalar el SQL Express 2008 SP1, procedemos con la instalación del ADMT propiamente dicho.

Lanzamos el Asistente y seguimos los pasos que nos indica

Aceptamos la licencia de uso o CLUF

Indicamos la instancia de SQL a usar, que por defecto será “SQLExpress” del equipo local

Continuamos con la instalación

Como es una instalación desde cero, no requerimos de importar los datos de otra migración anterior.

Una vez completados todos los pasos, ya tendremos la herramienta instalada y lista para su ejecución.

1.3 Instalación de Password Export Tool

Para poder migrar las contraseñas de los usuarios entre bosques y/o dominios, es necesario instalar la herramienta Password Export Tool (PES) en el servidor origen que tiene el rol de PDC Emulator.

La instalación de PES requiere de una clave de exportación que se genera desde la línea de comandos del servidor donde se instala ADMT (Migrador) y tiene la sintaxis:

admt key /option:create /sourcedomain:mi_dominio.local /keyfile:C:\Export\password.pes /keypassword:*

Después de generar la clave de exportación, la copiamos en el DC que tiene el rol de PDC y lanzamos el programa de instalación de PES, con privilegios elevados.

Seguimos el Asistente proporcionando la ruta del fichero “password.pes” cuando lo solicite. Introducimos el password que protege el fichero y finalizamos el asistente. Para concluir el proceso de instalación, reiniciamos el servidor.

Después del reinicio, comprobamos que el servicio de PES arranca correctamente

Una vez tenemos ADMT montado y configurado, deberemos lanzar diferentes pruebas para validar que el proceso de migración de usuarios, grupos y passwords de un dominio al otro funciona correctamente.

Y hasta aquí la parte referente al montaje de un nuevo bosque, el establecimiento de relaciones de confianza y la instalación de ADMT.

La siguiente serie de entradas corresponderán a la instalación y configuración de Exchange 2010 SP1 para la migración de buzones inter-forest. Espero que os gusten.

Marc