Relaciones de Confianza (Trusts) – “Parent-Child” y “Tree-Root”

Hace ya un tiempo hice un artículo explicando los diferentes tipos de Relaciones de Confianza (“Trust Relationships”) entre Dominios Active Directory. Por otro lado he desarrollado también, las diferentes forma de resolución de nombres entre Dominios Active Directory mediante el servicio DNS. Y además he hecho una serie de notas creando una infraestructura de Dominios, como muestra la figura, que todavía conservo, y que se adapta muy bien para la demostración, aunque no es necesario que sea esta última tan amplia

Teniendo todo lo anterior, he pensado en hacer una serie de notas demostrando las capacidades de cada tipo de Relación de Confianza, y de ser necesario cómo crearlas y utilizarlas; para dos de los  casos deberé crear un nuevo Bosque (“Forest”)

Para el que quiera releer los temas, pongo los enlaces correspondientes:

Cómo funciona DNS – Parte 1

Cómo funciona DNS – Parte 2

Cómo Funciona DNS – Parte 3 – Integración con Active Directory

DNS: Resolución de Nombres Mediante Zonas Secundarias

DNS: Resolución de Nombres Mediante Reenviadores Condicionales

DNS: Resolución de Nombres Mediante “Stub Zones”

Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota I

Instalación de Active Directory – Promoción del Primer Controlador de Dominio del Dominio Raíz – Creación del Bosque – Nota II

Instalación de Active Directory – Promoción del Segundo Controlador de Dominio y Configuración de Tolerancia a Fallas – Nota III

Instalación de Active Directory – Creando la Infraestructura de Sitios, Subredes y Enlaces (Sites-Subnets-Links) – Nota IV

Instalación de Active Directory – Promoviendo un Controlador de Dominio en un Site Remoto – Nota V

Instalación de Active Directory – Promoción de un RODC (Read Only Domain Controller) – Nota VI

Instalación de Active Directory – Promoción del Primer Controlador de Dominio de un Site Remoto (Mza) – Nota VII

Instalación de Active Directory – Promoción del Segundo Controlador de Dominio de un Site Remoto (Mza) – Nota VIII

Instalación de Active Directory – Comprobación de Tolerancia a Fallas en el Subdominio MZA Sin Conectividad WAN – Nota IX

Instalación de Active Directory – Promoción del Primer Controlador de Dominio en un Arbol Diferente – Nota X

Instalación de Active Directory – Promoción del Segundo Controlador de Dominio en un Arbol Diferente – Nota XI

Instalación de Active Directory – Comprobaciones Finales – Nota XII

Entonces, teniendo ya la infraestructura hecha, y los conomientos que pueden ver en la notas nombradas vamos a pasar a ver, ahora si, el tema Relaciones de Confianza

Teniendo una infraestructura de Dominios como mostramos en la figura anterior, que forman un Bosque (“Forest”), todos los Dominios están interconectados mediante Relaciones de Confianza (“Trusts”) que ya veremos son bi-direccionales y transitivas, además de requeridas

Esto implica que: Un usuario que tenga cuenta en cualquier Dominio del Bosque puede:

  • Iniciar sesión en cualquier máquina de cualquier Dominio del Bosque
  • Acceder a cualquier recurso compartido de cualquier máquina del Dominio del Bosque

Por supuesto que siempre y cuando tenga los privilegios correspondientes; para aclarar un poco esto último: va a poder inciar sesión en cualquier máquina cliente, y va a poder acceder a recursos compartidos si tiene permisos de acceso

No es fácil demostrar esto con sistemas operativos Windows 7 / 8 / 8.1 porque cuando incia sesión debe indicar su nombre con la sintaxis “NombreDominio\Usuario”, pero si usamos como cliente un viejo Windows XP lo podemos verificar mucho más fácil, simplemente abriendo la lista desplegable

Si todo está bien configurado, como lo he hecho en la serie de notas de la infraestructura que nombramos antes :-)

Para demostrarlo, inciaré sesión con un usuario que puede ser cualquiera, creado en cualqueira de los Dominios, y se comprueba fácilmente que puede acceder a recursos compartidos de todos los Dominios del Bosque

Lo anterior es posible pues todos los Dominos de un Bosque están unidos por Relaciones de Confianza que:

  • Se crearon automáticamente con la infraestructura de Dominios
  • Son Bi-direccionales: Si A confía en B, entonces B confía en A
  • Son transitivas: Si confía en B, y B confía en C, entonces A confía en C

Podemos concluir que con estas Relaciones de Confianza se ha “transparentado” la infraestructura física y de Dominios. Podemos decir: “no importa quien seas, ni donde estés, puedes hacer tu trabajo” :-)

Además estas Relaciones de Confianza creadas automáticamente son requeridas ¿qué quiero decir con esto? que no son posibles de eliminar

Aunque tienen las mismas características y propiedades en esta infraestructura en realidad hay dos tipos diferentes

  • Relación de Confianza tipo “Parent-Child”, o Padre-Hijo, entre el Dominio ROOT y el Dominio MZA
  • Relación de Confianza tipo “Tree-Root”, o Árbol-Raíz, entre el Dominio ROOT y NEUQUEN

Vamos a verlo en los propios Controladores de Dominio con la consola “Active Directory Domain and Trusts” (Dominios y Confianzas de Active Directory)

En cualquiera de los Controladores de Dominios podremos ver que ROOT tiene al subdominio MZA (está indentado), pero además está el Domino NEUQUEN

Si entramos a las propiedades de ROOT, en la ficha “Trusts” podemos ver que ROOT confía en MZA y NEUQUEN, y que a su vez ambos confían en ROOT, y que cada una muestra el tipo de relación

Podemos marcar cualquiera de las relaciones y veremos que el botón “Remove” no está habilitado

Y si entramos por el botón “Properties” veremos que la relación ROOT-MZA es “Parent-Child”

Y que la relación ROOT-NEUQUEN es “Tree-Root”

Los dos cuadros muestran que ambas relaciones de confianza son bi-direccionales (“Two-way”) y transitivas

Y volviendo al comienzo, no las hemos creado, se armaron automáticamente con la infraestructura; y por las propiedades de bi-direccionalidad y transitividad son las que permiten transparentar la infraestructura como hemos visto antes

Y algo más, que me estaba olvidando, todo esto es igual y totalmente válido desde Windows Server 2000

Dejo esta nota acá, en la próxima veremos cómo a través de Relaciones de Confianza podemos optimizar el proceso de autenticación (o autentificación) y autorización de acceso a recursos compartidos en otros Dominios

Relaciones de Confianza (Trusts) – Optimizando la Autenticación y Autorización – “Shortcut Trusts”
 

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Pavilion  On 21/04/2014 at 17:12

    Excelente q hayas retomado esta serie de notas Guillermo, solo una duda, estas relaciones se pueden crear con bosques que ya existen o tiene que ser creando dominios y bosques desde cero?
    Gracias por estas notas, estoy implementando una infraestructura similar en la empresa en que trabajo pero con Server 2008 R2 y la verdad me han aclarado mucho en lo que tengo planeado…..este Blog es de obligada consulta la verdad.

    • Guillermo Delprato  On 21/04/2014 at 17:30

      Este tipo de relaciones de confianza se crean sólo cuando se crea el Bosque
      Si ya hay Bosques creados, entonces los tipos de relación de confianza que se pueden crear son “Forest Trusts” o “External Trusts”
      La próxima nota va sobre “Shortcut Trusts”; las dos siguientes van a ser sobre “Forest Trusts” y “External Trusts”
      Paciencia… :-)

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: