Tenemos un equipo llamado pc01 que es controlador de dominio en el dominio "donera2.msft", otro equipo llamado pc02 que es miembro del dominio "donera2.msft" y es servidor DNS principal de todo el bosque. El servicio DNS está sin integrar en directorio activo. También disponemos de un tercer equipo con nombre pc03, que es controlador de dominio en el dominio "secundario2.donera2.msft". Y un cuarto y último equipo de nombre pc04 que es controlador de dominio en el dominio "tercero2.secundario2.donera2.msft". El nivel funcional del dominio y bosque es Windows server 2003. El equipo pc04 es maestro de esquema.Todas las demás características o funciones serán asignadas de forma predeterminada.
Pasos implementados para la resolución:
1.- Instalamos Windows server 2008 r2 en todos los equipos.
2.- Ponemos el nombre a cada uno de ellos y la configuración de red:
2.- Ponemos el nombre a cada uno de ellos y la configuración de red:
- Nombre : Pc01 ; IP : 192.168.2.1 ; mascara : 255.255.255.0 ; DNS : 192.168.2.2
- Nombre : Pc02 ; IP : 192.168.2.2 ; mascara : 255.255.255.0 ; DNS : 192.168.2.2 o 127.0.0.1
- Nombre : Pc03 ; IP : 192.168.2.3 ; mascara : 255.255.255.0 ; DNS : 192.168.2.2
- Nombre : Pc04 ; IP : 192.168.2.4 ; mascara : 255.255.255.0 ; DNS : 192.168.2.2
3.- Desactivamos el firewall e ipv6 en los equipos y comprobamos que podemos hacer ping entre todos.
4.- Añadimos las caracterísitcas indicadas en el orden expuesto:
- PC01 :
- Controlador del dominio "donera2.msft".
- Catálogo global.
- Maestro de operaciones a nivel de bosque:
- Nombre de dominio.
- Esquema.
- Maestro de operaciones a nivel de dominio:
- Infraestructura.
- PDC emulator.
- RID.
- PC02 :
- Servidor DNS.
- Miembro del dominio donera2.msft.
- DNS sin integrar en directorio activo:
- Configuramos la zona directa e inversa como principal sin integrar en directorio activo y con el mismo nombre del dominio (donera2.msft).
- PC03 :
- Controlador del dominio "secundario2.donera2.msft"
- Catálogo global.
- Maestro de operaciones a nivel de dominio:
- Infraestructura.
- PDC emulator.
- RID.
- PC04 :
- Controlador del dominio "tercero2.secundario2.donera2.msft".
- Catálogo global.
- Maestro de operaciones a nivel dominio:
- Infraestructura ;
- PDC emulator ;
- RID y esquema.
- Pasamos de pc01 a pc04 la función de maestro de operaciones de esquema. Esto se hacen con el “maestro de operaciones”.
6.- En el servidor DNS de pc02 vemos que se han registrado tanto en la zona directa, como en la zona inversa, todos los equipos. Si no fuera así forzamos el registro con el uso de la instrucción "ipconfig /registerdns".
7.- Realizamos ping a los FQDN de todos y entre todos para comprobar el correcto funcionamiento.
7.- Realizamos ping a los FQDN de todos y entre todos para comprobar el correcto funcionamiento.
Implemenatción lógica y física.
Objetivos conseguidos.
Con esta configuración y diseño conseguimos tener el dominio “donera2.msft”, con el subdominio “secundario2” y éste a su vez con otro subdominio “tercero2”, con las funciones y características indicadas arriba.
- Nivel de bosque:
- La función de esquema esta en pc04, y no en pc01 como inicialmente se crea al ser el primer dominio. La función de nombre de dominio si se queda en pc01 al no haber otra indicación en el enunciado.
- Nivel de dominio:
- Cada dominio es de infraestructura, pdc emulator y rid. En este diseño no tenemos tolerancia a fallos ni equilibrio de carga.
Escenario 2.
Se desea dar de baja el rol DNS del equipo pc02.donera2.msft y que lo asumea el equipo pc03.secundario2.donera2.msft. El DNS no tiene que estar integrado en active directory.
Pasos implementados para la resolución:
- En pc03 añadimos el rol DNS, para ello nos vamos a "start\administrative tools\server manager", elegimos la opción "add rol", elegimos dns y le damos a instalar.
- Vamos a las propiedades de la tarjeta de red de todos los equipos y en TCP/IP en en following DNS server, le damos la ip del pc03.
- Hacemos ping entre todos los equipos mediante el nombre Fqdn para comprobar que el DNS funciona.
- Cuando vemos que todo esté correcto pasamos a quitar el rol DNS en PC02.
- Nos vamos a "start\administrative tools\server manager", elegimos la opción "remove rol" y elegimos DNS y le damos a finalizar.
- De esta forma tenemos como único servidor DNS al equipo pc03.
Implemenatción lógica y física.
Objetivos conseguidos.
Con estos pasos conseguimos que un nuevo controlador de dominio pase a ser servidor DNS, sin integrar el servicio en el directorio activo y que el otro se de de baja sin tener perdida de servicio (tolerancia a fallos). Esto es útil si queremos quitar el servicio DNS de un equipo y queremos darselo a otro mejor.
Escenario3
Se desea ofrecer equilibrio de carga y tolerancia a fallos a nivel DNS. Para ello pc01 se habilita como servidor DNS con zona secundaria directa e inversa del dominio donera2.msft y pc03 es el servidor DNS principal. Se hará una transferencia de zona de pc03 a pc01.
Pasos implementados para la resolución:
1.- Habilitamos el servicio DNS en pc01.
2.- Configuramos el DNS principal pc03 para que transfiera la zona al pc01 (192.168.2.1), habilitándola y diciéndole que solo la trasfiera a los servidores de la lista (“solo a los siguientes servidores"). Esto lo encontramos en las propiedades de la zona de pc03.
3.- Creamos la zona secundaria directa e inversa en pc01, indicando que la zona principal directa e inversa es pc03 (dirección dns 192.168.2.3).
4.- Comprobamos en pc01 que el árbol DNS es el mismo que pc03 y que se ha cargado solo, es decir, sin añadir manualmente nada.
2.- Configuramos el DNS principal pc03 para que transfiera la zona al pc01 (192.168.2.1), habilitándola y diciéndole que solo la trasfiera a los servidores de la lista (“solo a los siguientes servidores"). Esto lo encontramos en las propiedades de la zona de pc03.
3.- Creamos la zona secundaria directa e inversa en pc01, indicando que la zona principal directa e inversa es pc03 (dirección dns 192.168.2.3).
4.- Comprobamos en pc01 que el árbol DNS es el mismo que pc03 y que se ha cargado solo, es decir, sin añadir manualmente nada.
5.- Indicamos en pc02, pc04 y pc03 que el segundo servidor DNS es pc01 por si hubiera una caída del servicio por parte de pc03.
Implemenatción lógica y física.
Objetivos conseguidos.
Con estos cambios conseguimos equilibro de carga en DNS, ya que si se nos cae el pc03 los equipos tienen configurada como segunda dirección DNS al equipo pc01.
Escenario 4.
Hacemos al equipo PC02 miembro del dominio donera2.msft. A dicha estación le añadiremos el servicio de DNS. Una vez que disponemos de dicho servicio en PC02, hacemos que el resto de servicios de nuestro bosque apunten a éste servidor DNS. A continuación el equipo PC02 realizará forwarding a un único servidor DNS, habilitado con la zona principal directa e inversa, que será el equipo pc03.secundario2.donera2.msft.
Pasos implementados para la resolución:
1.- Hacemos miembro del dominio al equipo pc02.
2.- Le añadimos el role de DNS a la estación pc02, sin integrar en AD.
3.- Le indicamos en la primera dirección cliente DNS, del primer adaptador de red (el principal) que el servidor DNS va a ser el mismo (127.0.0.1).
4.- Configuramos la estación pc02 para que la primera dirección cliente DNS del primer adaptador de red (el principal), realice forwarding a la estación pc03.secundario2.donera2.msft.
5.- Desde la estación pc02.donera2.msft realizamos ping (a nivel de nombres) al resto de equipos para comprobar que el servicio forwarding DNS está funcionando de forma correcta.
6.- Una vez que el servicio funciona de forma correcta desde pc02, hacemos que la primera dirección cliente DNS, del primer adaptador de red (el principal) de pc04.tercero2.donera2.msft apunte a la dirección ip que presta el servicio de DNS en la estación pc02.donera2.msft.
7.- Realizamos ping al nombre de los equipos para comprobar el correcto funcionamiento.
8.- Hacemos que la primera dirección cliente DNS, del primer adaptador de red (el principal) de pc01 apunte a la dirección ip que presta el servicio de DNS en la estación pc02.
9.- Comprobamos que la dirección DNS cliente del primer adaptador de red de la estación pc03.secundario2.donera2.msft está refenciandose asimismo (127.0.0.1).
10.- Realizamos las pruebas y comprobamos que el ping mediante nombres funciona. Para comprobar que la dirección configurada en cada equipo es la correcta usaremos el comando nslookup sin ninguna opción adicional desde la consola de comandos.
2.- Le añadimos el role de DNS a la estación pc02, sin integrar en AD.
3.- Le indicamos en la primera dirección cliente DNS, del primer adaptador de red (el principal) que el servidor DNS va a ser el mismo (127.0.0.1).
4.- Configuramos la estación pc02 para que la primera dirección cliente DNS del primer adaptador de red (el principal), realice forwarding a la estación pc03.secundario2.donera2.msft.
5.- Desde la estación pc02.donera2.msft realizamos ping (a nivel de nombres) al resto de equipos para comprobar que el servicio forwarding DNS está funcionando de forma correcta.
6.- Una vez que el servicio funciona de forma correcta desde pc02, hacemos que la primera dirección cliente DNS, del primer adaptador de red (el principal) de pc04.tercero2.donera2.msft apunte a la dirección ip que presta el servicio de DNS en la estación pc02.donera2.msft.
7.- Realizamos ping al nombre de los equipos para comprobar el correcto funcionamiento.
8.- Hacemos que la primera dirección cliente DNS, del primer adaptador de red (el principal) de pc01 apunte a la dirección ip que presta el servicio de DNS en la estación pc02.
9.- Comprobamos que la dirección DNS cliente del primer adaptador de red de la estación pc03.secundario2.donera2.msft está refenciandose asimismo (127.0.0.1).
10.- Realizamos las pruebas y comprobamos que el ping mediante nombres funciona. Para comprobar que la dirección configurada en cada equipo es la correcta usaremos el comando nslookup sin ninguna opción adicional desde la consola de comandos.
Implemenatción lógica y física.
Objetivos conseguidos.
Con el desarrollo de este escenario según los pasos indicados logramos incorporar un nuevo servidor DNS que dará servicio mediante forwarnding y dejar de utilizar de forma directa el antiguo servidor DNS, sin tener pérdida del servicio, que era lo que se pretendía, disponer de tolerancia a fallos.
Escenario 5.
Se nos pide que pc01 y pc03 sean servidores DNS integrados en directorio activo y que se quite el rol de DNS a pc02.
Pasos implementados para la resolución:
- Lo primero de todo es comprobar las DNS en cada equipo cliente, nos vamos a las propiedades de la tarjeta de red y en TCP/IP y en DNS primario ya tenemos apuntando a la ip 192.168.2.1 (pc01) y en el secundario ponemos la ip 192.168.2.3 (pc03).
- Una vez hecho esto nos vamos a la consola del equipo PC03 y sobre las zonas DNS, tanto primaria directa, como primaria inversa, botón derecho, propiedades, en tipo le damos a cambiar y elegimos zona primaria y marcamos la pestaña de que esté integrada en AD. Esta misma operación la hacemos en el PC01, comprobando que ambos quedan como primarios e integrados en AD.
- A continuación procederemos a dar de baja el rol DNS en pc02, para ello nos vamos a "start\administrative tolos\server manager", elegimos la opción remove rol, elegimos dns y le damos a finalizar.
- Comprobamos que hacemos ping con todos los equipos mediante fqdn.
Implemenatción lógica y física.
Objetivos conseguidos.
Tendremos dos equipos como servidores DNS principales integrados en AD. Como en los clientes podemos configurar 2 DNS (primario y secundario) indicamos en primario a pc01 y en secundario a pc03 con lo que si alguno se cae está el otro trabajando perfectamente. Conseguimos equilibrio de carga y tolerancia a fallos a nivel DNS.
Escenario 6.
Equipos de bosques distintos tienen que poder hacer ping entre ellos mediante Fqdn y acceder a sus recursos.
Pasos implementados para la resolución:
1.- Partimos del escenario anterior desde el que tenemos dos servidores DNS replicados dentro de nuestro bosque.
2.- Para poder resolver nombres de dominios de bosques distintos tendremos que implementar en nuestro servidor DNS un reenviador o forwarder condicional.
3.- En nuestro árbol de consola buscamos servidor DNS nos aparecerá una carpeta con el indicativo de Reenviadores condicionales.
4.- Pulsamos en nuevo reenviador condicional y nos pedirá el nombre DNS que queramos resolver y la ip hacia donde el servidor que resolverá ese nombre de dominio. En nuestro caso el nombre DNS seria DoneraX.msft (dominio del otro bosque) y la ip seria la ip del servidor DNS del dominio del otro bosque.
2.- Para poder resolver nombres de dominios de bosques distintos tendremos que implementar en nuestro servidor DNS un reenviador o forwarder condicional.
3.- En nuestro árbol de consola buscamos servidor DNS nos aparecerá una carpeta con el indicativo de Reenviadores condicionales.
4.- Pulsamos en nuevo reenviador condicional y nos pedirá el nombre DNS que queramos resolver y la ip hacia donde el servidor que resolverá ese nombre de dominio. En nuestro caso el nombre DNS seria DoneraX.msft (dominio del otro bosque) y la ip seria la ip del servidor DNS del dominio del otro bosque.
Implemenatción lógica y física.
En este caso el objetivo es que no tengamos que salir a consultar a servidores DNS de internet (externos) para equipos de nuestro bosque y así agilizar las consultas de nombres, por ejemplo entre dos empresas que se hayan fusionado.
Escenario GPO.
1.-Se necesitan crear tres usurios en los siguientes dominios.
- user1----> donera2.msft
- user2----> secundario2
- user3----> tercero2
2.- Se desea que:
- Todos los administradores redireccionan su carpeta "Mis documentos" a la ruta "\\pc01.donera2.msft\root"
- Los usuarios user1, user2 y user3 puedan iniciar sesión de forma local.
- Al iniciar sesión debe de aparecer un mensaje con el título: "Bienvenido" y cuerpo "Bienvenido usuario".
- Se desea que el user1 tenga limitado el botón inicio, que no le aparezcan las opciones ejecutar y búscar.
- Se desea que el user2 tenga configurado por defecto en el navegador el proxy: "proxy.donera2.msft"
- Se desea que el user3 no pueda leer el lector de cd y que no pueda agregar impresora.
Pasos implementados para la resolución:
Para crear todas las GPO utilizaremos el mismo método, una vez realizado esta ya editaremos cada una según corresponda y la vincularemos al dominio.
Primero tenemos que añadir en la consola el snap "Group policyManagement ". Desplegamos Forest y luego Dominios y nos vamos al contenedor de GPO. Pulsamos el botón derecho crear una nueva GPO, ponemos el nombre y crear. Ya tenemos una nueva GPO en el contenedor. Botón derecho sobre ella, edit, para seleccionar el tipo de GPO y nos saldrá el editor.
Perfil móvil
Editamos política, user configuration, policies, Windows settings folder redirection desktop botón derecho propiedades, en la pestaña target, settings advanced, add, security group administrator. Root Path \\pc01\root\
Edit política, user configuration, policies, Windows settings folder redirection Documents botón derecho propiedades, en la pestaña target, settings advanced, add, security group administrator. Root Path \\pc01\root\
Tambien podemos añadir que los usuarios no puedan cambiar la ruta de la carpeta documentos para ello nos vamos a Configuración del usuario\Plantillas administrativas\Escritorio
Prohibir al usuario cambiar la ruta de Mis documento
Por último hacemos click sobre la directiva creada y en Scope, añadimos el grupo administradores y quitaremos usuarios autentificados y la vincularemos al dominio donera2.msft.
Para el mensaje de inicio nos iremos a:
GPO Editor expandimos el árbol de la izquierda Computer Configuration – Windows Settings – Segurity Settings - Local Policies – Security Options. Allí debemos editar 2 ítems.
-Interactive logon: Message text for users attempting to log on, boton derecho propiedades, marcamos Define this policy setting in the template y escribimos: “Bienvenido Usuario”.
-Interactive logon: Message title for users attempting to log on boton derecho propiedades, marcamos Define this policy setting in the template y escribimos: “BIENVENIDO”.
Hacemos click en la gpo creada en la pestaña scope, security filtering añadimos los user1,2 y 3 y quitamos los usuarios autentificados y la vincularemos al dominio donera2.msft.
Cuando inicien sesión estos usuarios le saldrán el mensaje de bienvenido.
Para que user1 no tenga la opción ejecutar y buscar
Configuración del usuario\Plantillas administrativas\Menú Inicio y barra de tareas
Quitar el menú Buscar del menú Inicio solo permitido para XP y Windows 2003.
Quitar el menú Ejecutar del menú Inicio
Por último hacemos click sobre la directiva creada y en Scope, añadimos a user1 y quitaremos usuarios autentificados y la vincularemos al dominio donera2.msft.
Para que user2 tenga proxy
User configuration, policies, Componentes de Windows/Plantillas administrativas/Internet Explorer
Realizar una configuración de proxy
Deshabilitar el cambio de configuración de proxy
Por último hacemos click sobre la directiva creada y en Scope, añadimos a user2 y quitaremos usuarios autentificados y la vincularemos al dominio secundario2.donera2.msft.
Para que user3 no pueda leer el CD y no agregar impresoras
User configuration, policies, administrative templates, system, removable storage Access, cd and dvd deny read Access enabled
User configuration, policies, administrative templates, control panel, printers prevent addition of printers enabled
Por último hacemos click sobre la directiva creada y en Scope, añadimos a user3 y quitaremos usuarios autentificados y la vincularemos al dominio tercero2.secundario2.donera2.msft.
Para poder iniciar desde un DC con un usuario local
Editaremos la GPO Default Domain Controller Policy, policies, Windows settings, segurity setting, local policies, user rights assignment, allow log on locally, enabled
Primero tenemos que añadir en la consola el snap "Group policyManagement ". Desplegamos Forest y luego Dominios y nos vamos al contenedor de GPO. Pulsamos el botón derecho crear una nueva GPO, ponemos el nombre y crear. Ya tenemos una nueva GPO en el contenedor. Botón derecho sobre ella, edit, para seleccionar el tipo de GPO y nos saldrá el editor.
Perfil móvil
Editamos política, user configuration, policies, Windows settings folder redirection desktop botón derecho propiedades, en la pestaña target, settings advanced, add, security group administrator. Root Path \\pc01\root\
Edit política, user configuration, policies, Windows settings folder redirection Documents botón derecho propiedades, en la pestaña target, settings advanced, add, security group administrator. Root Path \\pc01\root\
Tambien podemos añadir que los usuarios no puedan cambiar la ruta de la carpeta documentos para ello nos vamos a Configuración del usuario\Plantillas administrativas\Escritorio
Prohibir al usuario cambiar la ruta de Mis documento
Por último hacemos click sobre la directiva creada y en Scope, añadimos el grupo administradores y quitaremos usuarios autentificados y la vincularemos al dominio donera2.msft.
Para el mensaje de inicio nos iremos a:
GPO Editor expandimos el árbol de la izquierda Computer Configuration – Windows Settings – Segurity Settings - Local Policies – Security Options. Allí debemos editar 2 ítems.
-Interactive logon: Message text for users attempting to log on, boton derecho propiedades, marcamos Define this policy setting in the template y escribimos: “Bienvenido Usuario”.
-Interactive logon: Message title for users attempting to log on boton derecho propiedades, marcamos Define this policy setting in the template y escribimos: “BIENVENIDO”.
Hacemos click en la gpo creada en la pestaña scope, security filtering añadimos los user1,2 y 3 y quitamos los usuarios autentificados y la vincularemos al dominio donera2.msft.
Cuando inicien sesión estos usuarios le saldrán el mensaje de bienvenido.
Para que user1 no tenga la opción ejecutar y buscar
Configuración del usuario\Plantillas administrativas\Menú Inicio y barra de tareas
Quitar el menú Buscar del menú Inicio solo permitido para XP y Windows 2003.
Quitar el menú Ejecutar del menú Inicio
Por último hacemos click sobre la directiva creada y en Scope, añadimos a user1 y quitaremos usuarios autentificados y la vincularemos al dominio donera2.msft.
Para que user2 tenga proxy
User configuration, policies, Componentes de Windows/Plantillas administrativas/Internet Explorer
Realizar una configuración de proxy
Deshabilitar el cambio de configuración de proxy
Por último hacemos click sobre la directiva creada y en Scope, añadimos a user2 y quitaremos usuarios autentificados y la vincularemos al dominio secundario2.donera2.msft.
Para que user3 no pueda leer el CD y no agregar impresoras
User configuration, policies, administrative templates, system, removable storage Access, cd and dvd deny read Access enabled
User configuration, policies, administrative templates, control panel, printers prevent addition of printers enabled
Por último hacemos click sobre la directiva creada y en Scope, añadimos a user3 y quitaremos usuarios autentificados y la vincularemos al dominio tercero2.secundario2.donera2.msft.
Para poder iniciar desde un DC con un usuario local
Editaremos la GPO Default Domain Controller Policy, policies, Windows settings, segurity setting, local policies, user rights assignment, allow log on locally, enabled
El objetivo perseguido con esto escenario es controlar los derechos a los que tiene un usuario autenticado mediante el uso de GPO.
No hay comentarios:
Publicar un comentario