Relación de confianza entre 2 dominios independientes

Seguimos con los servicios de directorio en SS.OO. Windows de servidor, en concreto estos pasos son para Windows 2003 Server pero como estamos viendo en clase, son válidos también para otras versiones aunque cambie un poco la interfaz o el nombre de algunas características.

Partimos de 2 máquinas Windows 2003 Server, ambas con DNS y Active Directory instalado, e independientes entre sí. Por ejemplo:

  • Server1 con nombre de dominio bestiaparda1.asir (A.D. + D.N.S)
  • Server2 con nombre de dominio bestiaparda2.asir (A.D. + D.N.S.)

Vamos a intentar establecer una relación de confianza entre estos 2 dominios, de forma que, usuarios de un dominio puedan autenticarse en el otro domino, o bien, usuarios de ambos dominios puedan autenticarse en el otro respectivamente.

Obviamente, no hace falta decir que ambas máquinas deben estar en la misma red para que tengamos comunicación directa entre ellas, en nuestro caso, que estamos utilizando la herramienta de virtualización de Virtual Box, la deberíamos tener en “Red Nat”, o bien en “adaptador puente”.

  1. Establecer Reenviadores

En Server1

  • Accedemos a administrar el servicio DNS (en herramientas administrativas).
  • Click derecho en Server1 (nombre del equipo)-propiedades
  • Pestaña reenviadores

Tenemos que indicar que existe otro servidor DNS que nos va a permitir reconocer las direcciones de los equipos del otro dominio, por tanto, introducimos la dirección IP del otro controlador de dominio sobre el que queremos establecer la relación de confianza, en este caso, la dirección IP de Server2 y añadimos ése equipo en reenviadores

En Server2 hacemos justo lo mismo para Server1

  • Accedemos a administrar el servicio DNS (en herramientas administrativas).
  • Click derecho en Server1 (nombre del equipo)-propiedades
  • Pestaña reenviadores

Tenemos que indicar que existe otro servidor DNS que nos va a permitir reconocer las direcciones de los equipos del otro dominio, por tanto, introducimos la dirección IP del otro controlador de dominio sobre el que queremos establecer la relación de confianza, en este caso, la dirección IP de Server1 y añadimos ése equipo en reenviadores

Una vez establecidos los reenviadores, reiniciamos el servicio DNS (en ambos) y ya estamos en condiciones de configurar la relación de confianza.

2) Relación de confianza

Para establecer la relación de confianza en sí, por ejemplo desde el equipo Server1

  • nos vamos a herramientas administrativas-Dominios y confianzas de Active Directory
  • Click derecho en Server1 (nombre del equipo)-propiedades
  • Pestaña “Confía”, y hacemos click en “Nueva confianza”
  • Nombre de dominio con el que queremos establecer la confianza, en este caso bestiaparda2.asir
  • Elegimos el tipo de confianza, en este caso, Confianza de bosque

Ahora nos dá a elegir la dirección de dicha confianza, es decir:

  • si ambos dominios van a confiar el uno en el otro, confianza bidireccional
  • si los usuarios del bestiaparda1.asir podrán ser autenticados en el dominoi bestiaparda2.asir (confianza de entrada)
  • si los usuarios del bestiaparda2.asir podrán ser autenticados en el dominoi bestiaparda1.asir (confianza de salida)

NOTA: (si estuviéramos haciendo esto desde el Server2, las confianzas de entrada y salida estarían justo a la inversa)

Seguidamente nos pedirá confirmación para establecer la relación de confianza en este dominio (y luego tendremos que hacer el mismo proceso en el otro), o si queremos confirmar la relación en ambos dominios (para ello tendremos que tener las credenciales, usuario y contraseña del administrador del otro dominio).

Finalmente me preguntará si una vez terminada la relación de confianza automáticamente los usuarios podrán autenticarse en el otro dominio, o si debo manualmente indicar qué usuarios podrán acceder y cuáles no.

Como comprobación final, comprobar que en la pestaña Confiá de ambos dominios está la información correcta en ambos dominios.

Sé el primero en comentar

Deja un comentario