Prctica 2: Configuracin de Active Directory

Introduccin
En esta prctica veremos distintos aspectos de la conguracin de Active Directory, creando un dominio para una empresa, en un bosque independiente con un slo rbol. En concreto tenis que realizar los siguientes apartados: a. Crear un nuevo dominio y el primer controlador de dominio (PDC) de un rbol y un bosque independiente. b. Crear un controlador de dominio secundario para un dominio ya existente. c. Aadir un servidor miembro a un dominio existente. El nombre de dominio raz tendr la nomenclatura santaX.edu (X es el ltimo nmero de la IP del controlador de dominio primario especificado con tres dgitos, por ejemplo para la IP 192.168.100.6 sera santa006.edu). El nombre de dominio secundario tendr la nomenclatura ventasX.santaX.edu. Para los tres equipos, la contrasea del usuario Administrador ser PRACTica2 (respetar maysculas, minsculas y no utilizar tilde).

1. Organizacin de la prctica
Para la realizacin de la prctica es necesario tener tres mquinas virtuales con sistema operativo Windows 2003 Server para: El controlador de dominio principal. El controlador de dominio secundario. El servidor miembro

2. Preliminares
En esta seccin se describen algunos pasos preliminares necesarios para poder crear correctamente los distintos dominios y configurar el servidor miembro. Estos pasos se tienen que hacer en los tres equipos, sin importar si sern controladores o servidor miembro. Para ello: Arranca el sistema en Windows 2003 Server e inicia sesin con el usuario Administrador. En Propiedades de Mi PC, comprueba y, en su caso cambia, el nombre del equipo en el que se va a trabajar:

o Controlador de domino principal. Su nombre sigue la nomenclatura SRVPSANTAX (SRV->servidor, P-> controlador de dominio primario, SANTA->Nombre del dominio primario, X->ltimo nmero de la IP del controlador de dominio primario especificado con tres dgitos). o Controlador de dominio secundario. Su nombre sigue la nomenclatura SRVSVENTASX (SRV->servidor, S-> controlador de dominio secundario, VENTAS->Nombre de dominio secundario, X->ltimo nmero de la IP del controlador de dominio primario especificado con tres dgitos). o Servidor miembro. Su nombre sigue la nomenclatura SRVMVENTASX (SRV->servidor, M->servidor miembro, VENTAS->Nombre de dominio secundario, X->ltimo nmero de la IP del controlador de dominio primario especificado con tres dgitos). Comprueba que cada equipo Windows 2003 Server es un servidor independiente dentro de un grupo de trabajo, es decir, que no est asociado a ningn dominio. La configuracin de la red tiene que ser fija, no puede ser obtenida dinmicamente por DHCP. En este ltimo caso habr que cambiar la configuracin de red dentro del rango asignado a cada alumno.

3. Comprobacin despus de la instalacin del primer controlador de domino

Comprobar SYSVOL o Comprueba que se han creado las carpetas compartidas necesarias. Para ello ejecuta desde el Smbolo del sistema la orden net share. Deberan aparecer dos recursos compartidos: NETLOGON y SYSVOL Comprobar los archivos de registro y la base de datos del directorio. Para ello, ejecuta %SystemRoot%\ntds. Windows Explorer abre y muestra el contenido de la carpeta NTDS, que debera incluir los siguientes archivos: o Ntds.dit. Es el archivo de la base de datos de directorio. o Edb.* Archivos de registro de transacciones y los archivos

de controles. o Res*.log. Archivos de registro reservados. Comprobaciones adicionales: o En el Inicio de Sesin de Windows aparece la opcin Conectarse a, pudindose indicar un nombre de dominio. Alternativamente tambin se puede poner administrador@santaX.edu como nombre de usuario. o En Propiedades de Mi PC/Nombre de equipo, el botn Cambiar est habilitado pero no es posible cambiar el nombre del equipo y nos muestra un mensaje de advertencia. o En Administracin de equipos, la consola Usuarios locales y grupos no aparece. o En Administre su servidor, en Funciones se indica que el equipo es servidor de DNS y estn instalados los servicios de dominio de Active Directory.

4. Comprobacin despus de la instalacin controlador de domino secundario

Comprobar SYSVOL

del

o Comprueba que se han creado las carpetas compartidas necesarias. Para ello ejecuta desde el Smbolo del sistema la orden net share. Deberan aparecer dos recursos compartidos: NETLOGON y SYSVOL Comprobar los archivos de registro y la base de datos del directorio. Para ello, ejecuta %SystemRoot%\ntds. Windows Explorer abre y muestra el contenido de la carpeta NTDS, que debera incluir los siguientes archivos: o Ntds.dit. Es el archivo de la base de datos de directorio. o Edb.* Archivos de registro de transacciones y los archivos de controles. o Res*.log. Archivos de registro reservados. Comprobaciones adicionales: o En el Inicio de Sesin de Windows aparece la opcin Conectarse a, pudindose indicar un nombre de dominio. Alternativamente tambin se puede poner

administrador@ventasX.santaX.edu usuario.

como

nombre

de

o En Propiedades de Mi PC/Nombre de equipo, el botn Cambiar est habilitado pero no es posible cambiar el nombre del equipo y nos muestra un mensaje de advertencia. o En Administracin de equipos, la consola Usuarios locales y grupos no aparece. o En Administre su servidor, en Funciones se indica que estn instalados los servicios de dominio de Active Directory.

5. Herramientas Directory

de

Administracin

de

Active

En Inicio/Programas/Herramientas Administrativas estn las principales herramientas que nos permitirn administrar Active Directory. Estas son: Usuarios y equipos de Active Directory. Dominios y confianzas de Active Directory. Sitios y Servicios de Active Directory En el dominio secundario, desde Usuarios y equipos de Active Directory, crea la Unidad organizativa alumnosVentas. Dentro de ella crea el usuario alu01Ventas con clave Ventas01alu. Desactiva El usuario debe cambiar la contrasea al iniciar una sesin de nuevo, activa El usuario no puede cambiar la contrasea y La contrasea nunca caduca. Verifica a partir de Dominios y confianzas de Active Directory en qu modo funciona el dominio. A partir de Sitios y Servicios de Active Directory comprueba qu controlador acta como catlogo global. Para ello hay que seguir la siguiente ruta: Sitios y Servicios de Active Directory/Sites/Nombre-predeterminado-primersitio/Servers/nombre de equipo/NTDS Settings/Propiedades.

6. Servidor miembro
El servidor miembro debe pertenecer al dominio secundario. Comprueba que se puede entrar en esta mquina con el usuario alu01Ventas (creado anteriormente). Comprueba que desde otra

mquina que no est unida al dominio, no se podr usar este usuario ni trabajar en el dominio.

7. Trabajando con los dominios

En ambos controladores de dominio, en la consola Dominios y confianzas de Active Directory, observa si hay establecida alguna relacin de confianza entre ambos dominios. En el controlador de domino principal, utilizando la consola Usuarios y equipos de Active Directory, comprueba que en la unidad organizativa Computers hay un objeto de tipo Equipo que representa al controlador de dominio secundario. Observa tambin en este caso, la informacin que est guardando para el mismo (puede que el objeto equipo no aparezca, todo va a depender de la forma en que se haya instalado y configurado el controlador de dominio secundario). En el controlador de dominio secundario, utilizando la consola Usuarios y equipos de Active Directory, comprueba que en la unidad organizativa Computers hay un objeto de tipo Equipo que representa al servidor miembro. Observa tambin en este caso la informacin que est guardando para el mismo. En el primer controlador de dominio, con la herramienta Usuarios y equipos de Active Directory, comprueba si es posible conectar con el controlador de dominio secundario y tambin si es posible administrarlo (se pueden crear usuarios, grupos, unidades organizativas, etc.). En el controlador de dominio secundario, con la herramienta Usuarios y equipos de Active Directory, comprueba si es posible conectar con el controlador de dominio principal y tambin si es posible administrarlo (se pueden crear usuarios, grupos, unidades organizativas, etc.). Intenta dar una explicacin por qu en el punto 4 todo se puede llevar a cabo y no as en el punto 5. Crea en el controlador de domino primario el usuario alu01Santa con clave Santa01alu. Crea en el controlador de dominio secundario el usuario alu02Ventas con clave Ventas02alu. En ambos, desactiva El usuario debe cambiar la contrasea al iniciar una sesin de nuevo, activa El usuario no puede cambiar la contrasea y La contrasea nunca caduca. En el controlador de dominio primario crea en la unidad C:\ la

carpeta carpetaSanta. Comparte la carpeta y observa si es posible ofrecerla al usuario alu02Ventas. En el controlador de dominio secundario, crea en la unidad C:\ la carpeta carpetaVentas. Comparte la carpeta y observa si es posible ofrecerla al usuario alu01Santa. Desde uno de los controladores de dominio y usando la herramienta Usuarios y Equipos de Active Directory, en el men Accin/Buscar realiza una bsqueda de los usuarios creados.