22

Controlador de dominio sobre MS Windows Server 2016, DNS y DHCP

Hola a tod@s.

En este post vamos a implementar el rol de Servicios de dominio de Active Directory sobre MS Windows Server 2016, siendo este servidor nuestro primer controlador de dominio de nuestra infraestructura (DC01RGS).

  • En primer lugar vamos a ver que son los Servicios de dominio de Active Directory (ADDS): (Fuente de esta introducción: Curso Instalación y configuración de Windows Server 2016, impartido por Jair Gómez)

Active Directory Domain Services o directorio activo es una estructura jerárquica de directorios que almacena, en una base de datos, información sobre redes y dominios, es utilizado por equipos Microsoft Windows. ADDS se utiliza principalmente para obtener información en línea, está diseñado especialmente para entornos de red distribuidos, utiliza protocolos como LDAP, DNS, DHCP y otros. Directorio Activo maneja un gran número de operaciones de lectura y de búsqueda y un número significativamente menor de los cambios y actualizaciones.

La base de datos de Active Directory NTDS.dit se compone de objetos y atributos. Objetos y definiciones de atributos se almacenan en el esquema de Active Directory. La estructura de un directorio activo esta generalmente dividida en tres categorías principales:

  1. Recursos de hardware, como computadoras e impresoras.
  2. Servicios para los usuarios finales, tales como servidores web y correo electrónico.
  3. Objetos que son las principales funciones de dominio y de red.

Active Directory es un sistema centralizado y estandarizado que automatiza la gestión de red, esto es: información de usuarios, seguridad y distribución de recursos.

Los dos protocolos más importantes que componen Active Directory Domain Services son Kerberos y LDAP, el primero se encarga de la autenticación y seguridad entre equipos y el segundo nos da la estructura del directorio activo (bosque, dominios, unidades organizativas…)

El equipo configurado como controlador de dominio es el que controla todo lo que sucede en nuestro dominio, es el encargado de realizar las consultas o resolver las consultas de autenticación y el que administra la estructura LDAP de Active Directory, es el que tiene una copia de la base de datos del directorio activo llamada NTDS.dit.

Recordamos nuestra infraestructura de red:

  • Empezamos la configuración de nuestro controlador de dominio asignándole un nombre y una dirección IP estática, y como DNS le asignamos su propia dirección IP, ya que se encargará de toda la gestión DNS de nuestro entorno:

  • Como podemos ver también le hemos cambiado el nombre al adaptador de red, esto no es necesario, pero siempre tengo como costumbre asignarle nombres a los adaptadores de red para saber de un simple vistazo a que red están conectados:

  • Como buena práctica, vamos a cambiar el nombre de la cuenta de Administrador, para ello nos vamos a las directivas de equipo local y procedemos con el cambio:

  • Una vez cambiado el nombre de la cuenta de Administrador, reiniciamos el servidor.
  • Como podemos ver el nombre de la cuenta de Administrador ha cambiado:

  • Una vez que hemos iniciado sesión, abrimos el Administrador del servidor y agregamos roles y características:

  • Se nos abre el siguiente asistente, clic en siguiente:

  • Elegimos la opción instalación basada en características o roles:

  • Seleccionamos nuestro servidor dc01rgs:

  • Ahora agregamos el rol de Servicios de dominio de Active Directory:

  • Agregamos las características:

  • Continuamos con la instalación del rol:

  • Todas las características que requiere nuestro controlador de dominio de Active Directory se seleccionan por defecto por lo que hacemos clic en siguiente:

  • Aquí nos muestra información sobre Active Directory, clic en siguiente:

  • Iniciamos el despliegue de la función Servicios de dominio de Active Directory, clic sobre “Instalar”:

  • Una vez finalizada la instalación cerramos y reiniciamos nuestro controlador de dominio:

  • Tras el reinicio nos abrimos el Administrador del servidor y promovemos este servidor a controlador de dominio:

  • Se nos abre el siguiente asistente y añadimos un nuevo bosque, ya que este es nuestro primer controlador de dominio en la infraestructura, escribimos nuestro nombre de dominio raíz:

  • Seleccionamos el nivel funcional de nuestro bosque, en este caso Windows Server 2016, ya que no tenemos otros controladores de dominio sobre Windows Server 2003, 2008 0 2012. También seleccionamos la función de DNS en la que apoyaremos toda la infraestructura de nombres de nuestra red, aparte de que es un requisito imprescindible para Active Directory, luego introducimos una contraseña segura que será necesaria en caso de restauración de Active Directory:

  • Windows no puede encontrar una delegación para el servidor DNS ya que éste es el primer bosque de nuestro entorno, hacemos clic en siguiente:

  • Agregamos el nombre NETBIOS:

  • Las rutas de acceso las dejamos por defecto:

  • Nos muestra un resumen de las opciones configuradas:

  • Vemos que la comprobación de los requisitos previos está correcta, clic sobre “Instalar”:

  • Comienza el proceso de instalación y promoción a controlador de dominio:

  • Una vez que la instalación termina, nuestro servidor se reinicia automáticamente, y tras el reinicio, introducimos las credenciales de Administrador que será la cuenta del administrador del dominio, que ya la cambiamos de nombre anteriormente como buena práctica:

  • Con esto ya tendríamos nuestro servidor promovido a controlador de dominio:

  • Ahora vamos a ver las consolas que se han instalado al agregar el rol de Servicios de dominio de Active Directory, estas consolas las iremos viendo a medida que vayamos configurando nuestro Active Directory:

  • Ahora vamos a crear una copia del usuario Administrador del dominio (un usuario de emergencias), en mi caso, prefiero hacerlo por si en algún momento tengo problemas con la cuenta de administración del dominio, para ello abrimos la consola de Usuarios y equipos de Active Directory y copiamos la cuenta de Administrador:

  • Como podemos ver ya está creada, y es una copia exacta a la cuenta del Administrador del dominio:

  • Ahora vamos a abrir la consola de DNS y agregamos una zona nueva para la resolución inversa:

  • Vamos configurando el asistente con los siguientes parámetros:

  • Para verificar que la zona de resolución inversa está funcionando correctamente, sobre la zona de búsqueda directa y sobre las propiedades del registro tipo A de nuestro servidor controlador de dominio, marcamos el check “PTR”:

  • Y como vemos en nuestra zona de búsqueda inversa se actualiza el registro:

  • Ahora forzaremos el registro DNS con el siguiente comando:

  • Otra de las configuraciones que debemos realizar en nuestro DNS es agregar los reenviadores (pondremos los DNS públicos de google 8.8.8.8 y 8.8.4.4 y el DNS público de IBM 9.9.9.9 especializado en bloquear malware) para que el servidor DNS resuelva también dominios externos, para ello hacemos lo siguiente:

  • Así quedarían configurados nuestros reenviadores:

  • Configuramos la dirección IP que dará servicio a las consultas DNS:

  • Para terminar con la configuración del DNS, vamos a configurar la caducidad de los registros, tanto para la zona de búsqueda directa como para la inversa, para ello seguimos estos pasos:

  • Con esto tendríamos nuestro controlador de dominio implementado en nuestra infraestructura, ya podríamos empezar a crear usuarios y a organizar el Active Directory, todo esto los veremos cuando dediquemos un post a organización de AD, unidades organizativas, técnicas para asignar permisos a carpetas, etc…
  • Como configuración adicional veremos cómo instalar y configurar DHCP para nuestra infraestructura y que podamos servir direcciones IP de forma dinámica a los equipos clientes de nuestra red.
  • Para ello, vamos al Administrador del servidor y agregamos roles y características:

  • Agregamos servidor DHCP con sus características:

  • En características añadimos las que se seleccionan por defecto:

  • Nos da un par de consejos antes de implementar el servidor DHCP:

  • Confirmamos que queremos instalar:

  • Como podemos ver se ha instalado correctamente:

  • Una vez instalado el rol de DHCP procedemos a completar la configuración:

  • Se nos abre el siguiente asistente:

  • Ahora procedemos a la configuración de los parámetros del Servidor DHCP a través de la consola de DHCP, dónde agregaremos un nuevo ámbito para nuestra infraestructura:

  • Se nos abre este asistente, dónde configuraremos los siguientes parámetros:

  • Nombre para el ámbito:

  • Configuramos el intervalo de direcciones que se asignarán de forma dinámica a los equipos clientes:

  • En este caso no excluimos ninguna ip del intervalo de direcciones configurado:

  • La duración de la concesión de las direcciones IP lo dejamos por defecto en 8 días:

  • Configuramos las siguientes opciones para el ámbito:

  • Agregamos el Gateway que se le asignarán a los equipos clientes:

  • Agregamos el nombre de dominio y los servidores DNS:

  • En servidores WINS no agregamos nada ya que no hemos configurado esta función en nuestra infraestructura:

  • Activamos el ámbito y finalizamos:

  • Ya tenemos configurado nuestro Servidor DHCP:

 

Saludos y espero que os resulte de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

22 comentarios

  1. Muchas por tu dedicacion. Nunca esta demas renovar los conocimientos!!
    Espero que publique otro post de como administrar este Domain Controller y asi cuando llegue la alerta ver este nuevo post.
    Saludos

  2. Hola Claudio, me alegro que te haya gustado.
    Espera los siguientes post sobre su administración.

  3. Jose
    Hace un tiempo te agradecí tus posteos, pero me toco la oportunidad de instalar un nuevo controlador y aquí va mi consulta.
    Siguiendo tu procedimiento para la configuración de un nuevo controlador de dominio en windows 2016 (en mi caso), la zona inversa no se actualiza de forma automática. Si bien realice la labor de agregar el mismo servidor de dominio de forma manual su zona reversa, lo mismo con un Windows 10 desktop esto funciona correctamente, pero al momento de agregar Windows Desktop estos no se agregan de forma automática.
    PD: realice el ipconfig /flushdns en los desktop y aun asi nada.

    Favor tu ayuda de como hacer que lasa zonas reversas se actualice automaticamente.
    Saludos

        • Jose, dejo mi problema.
          Siguiendo tu procedimiento para la configuración de un nuevo controlador de dominio en windows 2016 (en mi caso), la zona inversa no se actualiza de forma automática. Si bien realice la labor de agregar un host windows 10 y el mismo servidor de dominio al DNS, pero este la zona inversa no actualiza automaticamente, pero si manualmente actualizando el PTR, inclusive realice el ipconfig /flushdns y register dns en los desktop y aun asi nada.

          Me podiras ayudar dando luces de como puedo solucionar este problema en el controlador de dominio.
          Saludos y gracias

          • Buenas Claudio, elimina la zona de resolución inversa DNS y vuelve a crearla, configura el tipo de zona como «Zona Principal» y marca el check «Almacenar la zona en Active Directory», el ámbito de zona debes configurarlo como «Para todos los servidores DNS que se ejecutan en controladores de domino en este dominio: tudominio.net, si estas utilizando IPv4 elige la «Zona de búsqueda inversa para IPv4» y el el id de red debes poner los primeros 24 bits que definen a tu red por ejemplo si estas utilizando 192.168.1.0/24 como id de red debes poner 192.168.1, luego en las actualizaciones dinámicas elige la opción «Permitir sólo actualizaciones dinámicas seguras (recomendado para AD).»
            Saludos.

  4. Estimado gracias por compartir estos procedimientos son de gran ayuda. Mis respetos, un saludo

  5. Buenas tardes estimado estoy realizando un laboratorio según tus guías, pero me podría ayudar con la configuración de red del Hyper-v no consigo que el WS2016 tenga salida a internet, creo que hay que crear vswitch en el Hyper-v de mi host(Windows 10); he creado un vswitch privado como veo en tus imágenes pero no consigo salir a internet, nose si mi problema puede ser la puerta de enlace del ws2016 que puse la 192.168.5.201 como indicas en tu guia.

  6. Buenos días, creo que mi pregunta anterior iba mas enfocado a como se haría la simulación de red en Híper-v para realizar este laboratorio, sobre todo para la interconexión con las sucursales, si pudieras ayudarme con eso te lo agradeceré.

  7. Buenas noches
    Excelente guia, clara y precisa, muchas gracias por compartirlo.

      • Buenas noches
        Estimado tengo un servidor ee dominio con windows server 2003, estamos en planes de reemplazarlo, consulta en caso se dañe el servidor, al tener el nuevo servidor hago los nismos pasos descritos? claro seria otro nombre de dominio, o tengo que ejecutar algo despromover el dañado? Gra

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.