Controlador de dominio sobre MS Windows Server 2016, DNS y DHCP

Hola a tod@s.

En este post vamos a implementar el rol de Servicios de dominio de Active Directory sobre MS Windows Server 2016, siendo este servidor nuestro primer controlador de dominio de nuestra infraestructura (DC01RGS).

• En primer lugar vamos a ver que son los Servicios de dominio de Active Directory (ADDS): (Fuente de esta introducción: Curso Instalación y configuración de Windows Server 2016, impartido por Jair Gómez)

Active Directory Domain Services o directorio activo es una estructura jerárquica de directorios que almacena, en una base de datos, información sobre redes y dominios, es utilizado por equipos Microsoft Windows. ADDS se utiliza principalmente para obtener información en línea, está diseñado especialmente para entornos de red distribuidos, utiliza protocolos como LDAP, DNS, DHCP y otros. Directorio Activo maneja un gran número de operaciones de lectura y de búsqueda y un número significativamente menor de los cambios y actualizaciones.

La base de datos de Active Directory NTDS.dit se compone de objetos y atributos. Objetos y definiciones de atributos se almacenan en el esquema de Active Directory. La estructura de un directorio activo esta generalmente dividida en tres categorías principales:

1. Recursos de hardware, como computadoras e impresoras.
2. Servicios para los usuarios finales, tales como servidores web y correo electrónico.
3. Objetos que son las principales funciones de dominio y de red.

Active Directory es un sistema centralizado y estandarizado que automatiza la gestión de red, esto es: información de usuarios, seguridad y distribución de recursos.

Los dos protocolos más importantes que componen Active Directory Domain Services son Kerberos y LDAP, el primero se encarga de la autenticación y seguridad entre equipos y el segundo nos da la estructura del directorio activo (bosque, dominios, unidades organizativas…)

El equipo configurado como controlador de dominio es el que controla todo lo que sucede en nuestro dominio, es el encargado de realizar las consultas o resolver las consultas de autenticación y el que administra la estructura LDAP de Active Directory, es el que tiene una copia de la base de datos del directorio activo llamada NTDS.dit.

Recordamos nuestra infraestructura de red:

• Empezamos la configuración de nuestro controlador de dominio asignándole un nombre y una dirección IP estática, y como DNS le asignamos su propia dirección IP, ya que se encargará de toda la gestión DNS de nuestro entorno:

• Como podemos ver también le hemos cambiado el nombre al adaptador de red, esto no es necesario, pero siempre tengo como costumbre asignarle nombres a los adaptadores de red para saber de un simple vistazo a que red están conectados:

• Como buena práctica, vamos a cambiar el nombre de la cuenta de Administrador, para ello nos vamos a las directivas de equipo local y procedemos con el cambio:

• Una vez cambiado el nombre de la cuenta de Administrador, reiniciamos el servidor.
• Como podemos ver el nombre de la cuenta de Administrador ha cambiado:

• Una vez que hemos iniciado sesión, abrimos el Administrador del servidor y agregamos roles y características:

• Se nos abre el siguiente asistente, clic en siguiente:

• Elegimos la opción instalación basada en características o roles:

• Seleccionamos nuestro servidor dc01rgs:

• Ahora agregamos el rol de Servicios de dominio de Active Directory:

• Agregamos las características:

• Continuamos con la instalación del rol:

• Todas las características que requiere nuestro controlador de dominio de Active Directory se seleccionan por defecto por lo que hacemos clic en siguiente:

• Aquí nos muestra información sobre Active Directory, clic en siguiente:

• Iniciamos el despliegue de la función Servicios de dominio de Active Directory, clic sobre “Instalar”:

• Una vez finalizada la instalación cerramos y reiniciamos nuestro controlador de dominio:

• Tras el reinicio nos abrimos el Administrador del servidor y promovemos este servidor a controlador de dominio:

• Se nos abre el siguiente asistente y añadimos un nuevo bosque, ya que este es nuestro primer controlador de dominio en la infraestructura, escribimos nuestro nombre de dominio raíz:

• Seleccionamos el nivel funcional de nuestro bosque, en este caso Windows Server 2016, ya que no tenemos otros controladores de dominio sobre Windows Server 2003, 2008 0 2012. También seleccionamos la función de DNS en la que apoyaremos toda la infraestructura de nombres de nuestra red, aparte de que es un requisito imprescindible para Active Directory, luego introducimos una contraseña segura que será necesaria en caso de restauración de Active Directory:

• Windows no puede encontrar una delegación para el servidor DNS ya que éste es el primer bosque de nuestro entorno, hacemos clic en siguiente:

• Agregamos el nombre NETBIOS:

• Las rutas de acceso las dejamos por defecto:

• Nos muestra un resumen de las opciones configuradas:

• Vemos que la comprobación de los requisitos previos está correcta, clic sobre “Instalar”:

• Comienza el proceso de instalación y promoción a controlador de dominio:

• Una vez que la instalación termina, nuestro servidor se reinicia automáticamente, y tras el reinicio, introducimos las credenciales de Administrador que será la cuenta del administrador del dominio, que ya la cambiamos de nombre anteriormente como buena práctica:

• Con esto ya tendríamos nuestro servidor promovido a controlador de dominio:

• Ahora vamos a ver las consolas que se han instalado al agregar el rol de Servicios de dominio de Active Directory, estas consolas las iremos viendo a medida que vayamos configurando nuestro Active Directory:

• Ahora vamos a crear una copia del usuario Administrador del dominio (un usuario de emergencias), en mi caso, prefiero hacerlo por si en algún momento tengo problemas con la cuenta de administración del dominio, para ello abrimos la consola de Usuarios y equipos de Active Directory y copiamos la cuenta de Administrador:

• Como podemos ver ya está creada, y es una copia exacta a la cuenta del Administrador del dominio:

• Ahora vamos a abrir la consola de DNS y agregamos una zona nueva para la resolución inversa:

• Vamos configurando el asistente con los siguientes parámetros:

• Para verificar que la zona de resolución inversa está funcionando correctamente, sobre la zona de búsqueda directa y sobre las propiedades del registro tipo A de nuestro servidor controlador de dominio, marcamos el check “PTR”:

• Y como vemos en nuestra zona de búsqueda inversa se actualiza el registro:

• Como en nuestra infraestructura de red tenemos más sedes y cada una con un direccionamiento IP distinto, vamos a crear las zonas de búsqueda inversa para estas sedes, y también crearemos la zona de búsqueda inversa para la DMZ, el proceso a seguir sería el mismo que hemos realizado anteriormente, si queréis ver el direccionamiento de cada sede quedó explicado en un post anterior “Instalación, configuración y administración de servidores en un entorno MS Windows Server 2016”:

• Ahora forzaremos el registro DNS con el siguiente comando:

• Otra de las configuraciones que debemos realizar en nuestro DNS es agregar los reenviadores (pondremos los DNS públicos de google 8.8.8.8 y 8.8.4.4 y el DNS público de IBM 9.9.9.9 especializado en bloquear malware) para que el servidor DNS resuelva también dominios externos, para ello hacemos lo siguiente:

• Así quedarían configurados nuestros reenviadores:

• Configuramos la dirección IP que dará servicio a las consultas DNS:

• Para terminar con la configuración del DNS, vamos a configurar la caducidad de los registros, tanto para la zona de búsqueda directa como para la inversa, para ello seguimos estos pasos:

• Con esto tendríamos nuestro controlador de dominio implementado en nuestra infraestructura, ya podríamos empezar a crear usuarios y a organizar el Active Directory, todo esto los veremos cuando dediquemos un post a organización de AD, unidades organizativas, técnicas para asignar permisos a carpetas, etc…
• Como configuración adicional veremos cómo instalar y configurar DHCP para nuestra infraestructura y que podamos servir direcciones IP de forma dinámica a los equipos clientes de nuestra red.
• Para ello, vamos al Administrador del servidor y agregamos roles y características:

• Agregamos servidor DHCP con sus características:

• En características añadimos las que se seleccionan por defecto:

• Nos da un par de consejos antes de implementar el servidor DHCP:

• Confirmamos que queremos instalar:

• Como podemos ver se ha instalado correctamente:

• Una vez instalado el rol de DHCP procedemos a completar la configuración:

• Se nos abre el siguiente asistente:

• Ahora procedemos a la configuración de los parámetros del Servidor DHCP a través de la consola de DHCP, dónde agregaremos un nuevo ámbito para nuestra infraestructura:

• Se nos abre este asistente, dónde configuraremos los siguientes parámetros:

• Nombre para el ámbito:

• Configuramos el intervalo de direcciones que se asignarán de forma dinámica a los equipos clientes:

• En este caso no excluimos ninguna ip del intervalo de direcciones configurado:

• La duración de la concesión de las direcciones IP lo dejamos por defecto en 8 días:

• Configuramos las siguientes opciones para el ámbito:

• Agregamos el Gateway que se le asignarán a los equipos clientes:

• Agregamos el nombre de dominio y los servidores DNS:

• En servidores WINS no agregamos nada ya que no hemos configurado esta función en nuestra infraestructura:

• Activamos el ámbito y finalizamos:

• Ya tenemos configurado nuestro Servidor DHCP:

 

Saludos y espero que os resulte de ayuda 😉