Windows Server 2012 R2: Cambiar o Reinstalar un Controlador de Dominio Que Se Ha Perdido

Continuando con el tema que habíamos comenzado en la nota anterior “Windows Server 2012 R2: Cambiar o Reinstalar un Controlador de Dominio Que Funciona” en esta demostración veremos cómo proceder cuando uno de los Controladores de Dominio se ha perdido, no se puede recuperar, y no volverá a estar en la red

En este caso, a diferencia del visto anteriormente, no podremos mover los roles (“FSMO Roles”) sino que deberemos hacer que el Controlador de Dominio que ha quedado se apodere de los mismos
Y además deberemos quitar toda referencia al Controlador de Dominio que se ha perdido, y que no volverá a la red

Sigue leyendo →

Controladores de Dominio de Sólo Lectura (RODCs): Instalación y Delegación de Administración (Parte 3 de 3)

Ya llegamos a la tercera y última parte de esta serie de notas, donde a diferencia de la anterior, promocionaremos a RODC2 como Controlador de Dominio de Sólo Lectura (RODC) y luego mostraremos mediante dos métodos diferentes cómo podemos delegar privilegios administrativos sobre el máquina

Este ejemplo puede ser útil para casos donde ya tenemos instalado y configurado un RODC en un sitio remoto y debemos autorizar a una persona a efectuar tareas que requieren privilegios de administrador local, pero no dándole ningún privilegio a nivel de Dominio Active Directory

Sigue leyendo →

Windows Server 2012 (R2): Crear un Dominio – Quitar un Controlador de Dominio que No Se Puede “Despromover” y Reemplazarlo

Cuando vamos a reemplazar un Controlador de Dominio siempre es mejor tratar de hacer el procedimiento más seguro, y siguiendo las buenas prácticas, aunque esto no es siempre posible

Este es: mover los «FSMO Roles» a otro, apagarlo, controlar durante un tiempo prudencial que todo siga funcionando de acuerdo a lo esperado, y luego ponerlo en línea nuevamente y despromoverlo para eliminar todas sus referencia en Active Directory

Pero a veces esto no es posible, bien porque no se puede llevar a cabo el procedimiento de despromoción por dar errores y detenerse, o inclusive si el Controlador de Dominio ya no arranca, y no se dispone o no se quiere recuperar desde una copia de seguridad

Sigue leyendo →

Windows Server 2012 (R2): Crear un Dominio – “FSMO Roles”: Ver, Mover y Apoderarse (Novedades)

Y seguimos con esta serie de notas progresando con nuestro entorno de pruebas. Específicamente en esta demostración veremos diferentes formas de ver cuál Controlador de Dominio tiene cada uno de los “FSMO Roles” (Maestros de Operaciones), cómo moverlos de un servidor a otro, y describiremos cómo forzar que un Controlador de Dominio, en caso de no poder moverlo, se apropie del mismo

Como veremos, esta última opción ya no será necesaria en la mayoría de los casos; hay novedades que pasan casi desapercibidas

Sigue leyendo →

Windows Server 2012 (R2): Crear un Dominio – Recuperar un Borrado Accidental desde “System State Backup”

Continuando al nota anterior “Windows Server 2012 (R2): Crear un Dominio – Copia de Seguridad del Estado del Sistema (“System State Backup”)” en esta ocasión veremos cómo podemos recuperar una cuenta de usuario eliminada por error, utilizando la copia de seguridad mencionada

Recuerdo que este procedimiento es necesario, pues no sirve crear un nuevo usuario que se llame igual, pues tendrá diferente SID (“Security ID”) y por lo tanto será otro diferente

Aprovecharé, como he comentado en la nota anterior, el posible “bug”. Y digo posible, pues mis máquinas virtuales no tienen puestas ninguna actualización, pero es una falla grave y no fácil de solucionar si no se tienen conocimientos de versiones anteriores del sistema operativo

Sigue leyendo →

Windows Server 2012 (R2): Crear un Dominio – Instalación y Configuración del Segundo Controlador de Dominio

Continuando con el tema que comenzamos en la nota anterior (“Windows Server 2012 (R2) – Crear un Dominio – Instalación del Primer Controlador de Dominio”), en esta nota veremos cómo instalar un segundo Controlador de Dominio para el Dominio Active Directory existente

Específicamente veremos qué configuración necesitamos tener para obtener tolerancia a fallos, y otras que son por conveniencia

Sigue leyendo →

Windows Server 2012 (R2): Crear un Dominio – Instalación del Primer Controlador de Dominio

Cuando se hacen notas para un blog como este, una pregunta que uno se hace es “¿a qué nivel de conocimientos apunto?” Hasta ahora en general me he inclinado por un nivel medio de conocimientos previos, ya que hice algunas notas apuntando al que tenga conocimientos avanzados y no fueron muy populares

Así que en esta ocasión, comenzaré con algo básico, como es la creación de un Dominio Active Directory desde el principio

Haré dos notas correlativas, en esta primera crearemos el Dominio, y en la segunda agregaremos un Controlador de Dominio adicional al Dominio existente. En esta última veremos la configuración inicial necesaria, y verificaremos que fue agregado exitosamente, y nombraremos las condiciones para que provea tolerancia a fallas sobre el servicio

[Actualización] Debido a la gran popularidad de esta nota, he creado un video en Youtube con esta misma demostración (https://youtu.be/IR5LixTrpkE)

Sigue leyendo →

Remote Desktop: Permitir a Usuarios Conectarse a un Controlador de Dominio

Esta nota será el comienzo de una serie de tres donde veremos que configuraciones debemos hacer, para que:

1. Un usuario normal pueda conectarse por Remote Desktop a un Controlador de Dominio
2. Qué debemos configurar para que pueda usar las herramientas administrativas
3. Cómo limitar qué herramientas administrativas puede utilizar

En esta primera nota de la serie veremos cómo permitir que un usuario normal pueda conectarse por Remote Desktop (Escritorio Remoto) a un Controlador de Dominio, ya que la configuración es diferente que si se tratara de un servidor miembro

Es importante tener en cuenta que esta configuración no es una buena práctica de seguridad, ni es recomendada, pero muchas veces en pequeñas organizaciones es una configuración que se hace, y tiene pasos adicionales de configuración

Sigue leyendo →

Relaciones de Confianza (Trusts) – Optimizando la Autenticación y Autorización – “Shortcut Trusts”

Continuando la nota anterior “Relaciones de Confianza (Trusts) – “Parent-Child” y “Tree-Root”” en esta vamos a desarrollar cómo podemos optimizar los procesos de autenticación y autorización de acceso a recursos compartidos en un ambiente de múltiples Dominios Active Directory, mediante las Relaciones de Confianza de tipo “Shortcut Trust”

Antes de comenzar con el tema debemos comprender alguno de los conceptos básicos de la autenticación mediante protocolo Kerberos que es el que se utiliza en ambientes de Dominio. Trataré de hacerlo de la forma más comprensible y sencilla que pueda

Sigue leyendo →

Relaciones de Confianza (Trusts) – “Parent-Child” y “Tree-Root”

Hace ya un tiempo hice un artículo explicando los diferentes tipos de Relaciones de Confianza (“Trust Relationships”) entre Dominios Active Directory. Por otro lado he desarrollado también, las diferentes forma de resolución de nombres entre Dominios Active Directory mediante el servicio DNS. Y además he hecho una serie de notas creando una infraestructura de Dominios, como muestra la figura, que todavía conservo, y que se adapta muy bien para la demostración, aunque no es necesario que sea esta última tan amplia

Teniendo todo lo anterior, he pensado en hacer una serie de notas demostrando las capacidades de cada tipo de Relación de Confianza, y de ser necesario cómo crearlas y utilizarlas; para dos de los  casos deberé crear un nuevo Bosque (“Forest”)

Sigue leyendo →

Windows Server 2012: Opciones de Arranque – Cómo Reparo una Instalación

Como no siempre las casas funcionan como deben, siempre debemos tener en cuenta qué opciones tenemos para solucionar un problema, y por eso es tan importante tener una copia de seguridad (Backup) actualizada y que esté probada que la podamos usar para recuperación

A qué me refiero con actualizada, es fácil la respuesta, el intervalo entre copias de seguridad, es directamente el tiempo que estemos dispuestos a perder del trabajo hecho

Y con referencia a “probada” es porque casi todos hacen copias de seguridad, pero no todos las pueden luego usar para recuperar. Por nombrar sólo una pregunta, seguramente hace copias del Estado del Sistema (System State) de sus Controladores de Dominio para poder recuperar Active Directory, pero ¿conoce la contraseña de DSRM (Directory Service Repair/Restore Mode) de cada Controlador de Dominio, porque si no la conoce de nada le servirá la copia que hizo. Inclusive la debe conocer para ingresar a las opciones de recuperación, que es el tema de esta nota

Sigue leyendo →

Implementando IPv6: Promover Controlador de Dominio Remoto

Y siguiendo con esta serie de notas comenzando con la implementación de IPv6 en esta nota promoveremos un servidor como Controlador de Dominio adicional en el Dominio existe

Pero para que todo sea “como debe ser” primero crearemos la infraestructura de “Sites”, “Links” y “Subnets” así el nuevo Controlador de Dominio queda ubicado en el “Site” correcto desde el principio

Sigue leyendo →