Descubre cómo configurar tu AD DS Server en tu servidor Windows para proveer de servicio de dominio a tu infraestructura.
El Servicio de Directorio es sin duda uno de los elementos que componen la columna vertebral de nuestra infraestructura de servicios de información. El Servicio de Directorio proporciona servicios centralizados para coordinar los distintos servidores y servicios que componen nuestra infraestructura.
El Servicio de Directorio se encarga, entre otras cosas de proporcionar un punto único centralizado para almacenar la información de los objetos que componen la infraestructura de la empresa, de manera que pueda ser usada por los servicios y usuarios, realizando consultas, validaciones y encaminen según que flujos.
El nombre que recibe el Servicio de Directorio en las infraestructuras de Microsoft es Directorio Activo o Active Directory por su nombre en el lenguaje de Shakespeare, termino bastante más utilizado entre los técnicos de TI.
Una vez dicho esto, podemos aseverar, que Directorio Activo (Active Directory) realiza, entre otras, las siguientes funciones:
- Proporcionar un modelo estándar y centralizado que ayuda a los distintos servicios en sus validaciones y correcto funcionamiento.
- Proporciona un modelo de seguridad global, troncal y centralizado para toda la organización.
- Proporciona un directorio global, con almacenamiento seguro y resiliente, capaz de soportar distintas eventualidades y asegurar la continuidad del negocio. Aunque esto depende de la configuración realizada por el administrador.
- Publica los servicios necesarios para el buen funcionamiento de la empresa, ayudando a servicios como Teams, Exchange, etc.
Como no es el propósito de este tutorial, no vamos a ahondar más en esta materia, pero pueden revisarse los artículos de nuestro blog para encontrar más información relativa a este servicio.
¿Cómo configurar tu AD DS Server en tu servidor Windows?
Pre-requisitos o pre-configuración.
El único requisito para completar de forma satisfactoria este tutorial y poder instalar y configurar el servidor de AD DS Server es contar con un servidor Windows operativo.
Paso 0. Preparación del servidor de destino
Antes de comenzar con las tareas de despliegue del AD DS Server en el servidor Windows de destino, es necesario realizar algunas tareas de preparación que pasamos a listar a continuación:
- Actualizar el servidor: instalando sobre todo las actualizaciones de seguridad.
- Proporcionar una IP fija: Ningún servidor debe tener una IP dinámica por razones obvias, por lo que es la primera tarea que se deberá realizar.
- Proporcionar un nombre de servidor: Durante la instalación se crea un nombre aleatorio que se deberá sustituir por uno que cumpla con la política de nombres de la empresa.
- Crear una cuenta adicional de administrador local que se podrá usar en caso de desastre y que debe usarse solo para tal propósito.
Paso 1. Instalación del rol de AD DS server
NOTA: En este tutorial sobre AD DS Server, como se ha expuesto en los requisitos, partimos de que disponemos de un Windows Server operativo. Las capturas se han realizado sobre un Windows Server 2022 Standard, siendo, este procedimiento válido para cualquiera de las versiones disponibles en la plataforma (Windows Server 2016, Windows Server 2019, Windows Server 2022).
Para comenzar la operativa, debemos acceder a la consola del “Administrador del servidor” que se abre de manera automática en los servidores de Windows Server 2016 a 2022 al arrancar el servidor. En caso de no abrirse de manera automática, bastará con ir a la barra de ejecución y escribir “Administrador del servidor” para poder lanzarla manualmente.
Una vez dentro del “Administrador del servidor”, se debe ir a la parte superior derecha de la ventana y desplegar “Administrador”, seleccionando “Agregar roles y características” (1), lo que abrirá una ventana emergente con el Wizard de instalación de roles y características, que básicamente es el mismo que el de “Quitar roles y funciones”, aunque con una ventana de presentación distinta.
Paso 1. Seleccionamos la opción Agregar roles y características dentro de Administrar
Paso 1. Revisamos el mensaje que se muestra en la ventana Antes de comenzar
La siguiente ventana permite “Seleccionar tipo de instalación” entre dos opciones:
- Instalación basada en características o roles: Que permite configurar roles, servicios de rol y características sobre un servidor. Este es el tipo de instalación que nos interesa en este caso.
- Instalación de Servicios de Escritorio Remoto: Que permite instalar los servicios de rol que se necesitan para instalar una infraestructura de escritorio virtual (VDI).
En este caso, se debe marcar “Instalación basada en características o roles” (3) y hacer clic en“Siguiente” (4) a continuación.
Paso 1. Seleccionamos la instalación basada en características o en roles
Lo siguiente que se debe hacer es “Seleccionar servidor de destino” (5), y para ello se deben seleccionar dos opciones.
Primero se debe decir si se quiere instalar en un servidor o en un disco duro virtual. En este caso, se debe marcar “Seleccionar un servidor del grupo de servidores” (5).
Una vez hecho esto, se mostrarán todos los servidores disponibles sobre los que se puede hacer la instalación. Como es lógico, si este es el primer servidor, y no hay mas instalados en la red, solo se mostrará este. También se puede hacer uso de un filtro y buscar por el nombre de servidor, mostrándose únicamente los que concuerden con el patrón.
Una vez identificado el servidor, se debe marcar (6) y hacer clic en “Siguiente” (7).
Paso 1. Seleccionamos servidor de destino
NOTA: En caso de querer instalar más cosas, se podrían instalar a la vez, pero desaconsejamos hacerlo por dos motivos:
- Para tener control del proceso de instalación, y tener claro que se ha instalado bien, que problemas ha dado, etc., recomendamos que cada instalación se haga por separado. Conservando la atomicidad de las instalaciones nos será más sencillo identificar los fallos.
- Algunos roles se recomienda instalarlos en equipos independientes por razones de seguridad y desempeño. El AD DS es uno de estos roles.
El siguiente punto para cumplimentar es el de “Seleccionar roles de servidor” que se quieren incluir en la instalación. En nuestro caso, dado que se quiere instalar un Directorio Activo, se debe marcar el Checkbox “Servicios de dominio de Active Directory” (8).
Paso 1. Seleccionamos los Servicios de dominio de Active Directory
Paso 1. Agregamos las características requeridas para los servicios de dominio
De regreso a la ventana de “Seleccionar roles de servidor” se deberá hacer clic en “Siguiente” (11) para que continúe la instalación.
Paso 1. Hacemos clic en siguiente para continuar con las características
En este momento, se accede a la sección “Seleccionar características”, que, a pesar de haber marcado una serie de funciones de manera automática, vamos a revisar que tenga todas las herramientas necesarias marcadas.
Para ello, dentro de características, se debe acceder hasta «Herramientas de administración remota del servidor > Herramientas de administración de roles > Herramientas de AD DS» y ahí se debe revisar que están seleccionados «Centro de administración de Active Directory» y «Complementos y herramientas de línea de comandos de AD DS». Así mismo, es más que recomendable seleccionar «Módulo de Active Directory para Windows PowerShell» (12).
Una vez realizado, se debe hacer clic en “Siguiente” (13).
Paso 1. Seleccionamos las distintas herramientas de AD DS
El siguiente punto es “Servicios de dominio de Active Directory”, en el que se puede obtener información sobre Azure Active Directory y como configurar un Office 365 con Azure Active Directory Connect. Al no ser puntos que nos interese para este tutorial, no vamos a extendernos más, y simplemente habrá que hacer clic en “Siguiente” (14).
Paso 1. Leemos la información sobre AD DS y Azure AD DS y hacemos clic en siguiente
En este punto, llegamos casi al final del proceso de instalación, aunque en realidad se trata solamente de la mitad de todo el proceso, ya que en el Paso 2 tendremos que hacer el proceso de configuración del primer DC.
En la ventana “Confirmar selecciones de instalación” se puede marcar “Reiniciar automáticamente el servidor de destino en caso necesario” (15), que es una opción disponible en todos los procesos de instalación de roles de Microsoft Windows Server, que en principio daría igual si se marca o no, ya que el reinicio en la fase de instalación no es necesario, aunque si lo será en la fase de configuración.
El punto más importante de esta ventana es revisar que se ha hecho correctamente toda la selección de parámetros hasta el momento, por lo que deberán revisarse las opciones que se muestran (16).
Por último, cuando se tenga claro que está todo conforme a lo que se quiere configurar, se deberá hacer clic en “Instalar” (17).
Paso 1. Revisamos las selecciones de instalación y lanzamos la instalación
El proceso de instalación del rol y las herramientas asociadas es como casi todas las instalaciones de Microsoft, y consta de una barra de progreso que va marcando de manera gráfica, en lugar del percentil por el que va avanzando, aunque es algo que como siempre no es demasiado fiable.
En este punto, si el técnico lo desea, se puede hacer clic en “Cerrar” (18) para cerrar la ventana de instalación, mientras la instalación avanza en segundo plano.
En caso de cerrar la ventana de progreso de instalación, se podrá observar información sobre como avanza, si ha terminado, si ha terminado de manera satisfactoria o con errores, o incluso si necesita acciones posteriores tras la instalación haciendo clic en la “bandera” (19) de la parte superior de la pantalla de “Administrador del servidor”.
Paso 1. Comprobamos el progreso del proceso de instalación
Llegados a este punto, se puede dar por terminado este paso, debiendo continuar en la configuración del primer Controlador de Dominio dentro del AD DS Server.
Paso 2. Configuración del primer Controlador de Dominio dentro del AD DS Server
Para comenzar con la configuración del primer Controlador de Dominio dentro del AD DS Server se debe retomar el punto 19, en el que se despliegan los avisos del proceso de instalación, y si todo va bien, se deberá ver un mensaje como el siguiente:
“Configuración posterior a la instalación del rol: Requiere configuración para Servicios de dominio de Active Directory en <NOMBRE_DEL_SERVIDOR>”
En el que además se verá el hipervínculo “Promover este servidor a controlador de dominio” en el se deberá hacer clic (20).
Paso 2. Accedemos a promover el servidor a Controlador de Dominio (DC)
En este momento se lanza un nuevo asistente de configuración (Wizard) en el que se va a hacer la instalación del dominio realmente.
En la ventana “Configuración de implementación” se debe seleccionar la operación de implementación que se quiere realizar. Se dispone de tres opciones en función de si existe una infraestructura de domino previamente desplegada o se quiere partir de cero:
- Agregar un nuevo controlador de dominio a un dominio existente: Se trata de añadir un nuevo Domain Controller (Controlador de dominio o DC) a un dominio previamente desplegado.
- Agregar un nuevo dominio a un bosque existente: Se trata de añadir una nueva estructura de dominio, pero dependiente de un bosque previamente desplegado.
- Agregar un nuevo bosque: Este es el caso en el que no existe una estructura de dominio previamente desplegada y se parte de cero como es nuestro caso.
En nuestro caso, se debe seleccionar “Agregar un nuevo bosque” (21).
Esto hará que se modifique la ventana mostrada, dejando un campo en el que se debe proporcionar el “Nombre de dominio raíz” (22) que será el FQDN (Fully Qulified Domain Name) que se compone, en el caso del nombre de bosque de un nombre único con una extensión. Esto podría ser, por ejemplo:
- PruebaNacho.com
- PruebaNacho.es
- PruebaNacho.int Siendo esta última la que seleccionamos para mostrar que es un dominio interno (int).
En caso de que escribiéramos el nombre sin extensión, se producirá un error, como sucedería si estuviéramos añadiendo un nuevo dominio a un bosque existente y ya existiera el nombre de dominio que estamos añadiendo.
Una vez configurado todo, se deberá hacer clic en “Siguiente” (23)
Paso 2. Seleccionamos la implementación de un nuevo bosque y proporcionamos su nombre
El siguiente punto es “proporcionar las opciones del controlador de dominio” que se compone inicialmente de dos secciones distintas:
- Seleccionar el nivel funcional del nuevo bosque y dominio raíz.
- Especificar las capacidades del controlador de dominio.
A la hora de “Seleccionar el nivel funcional del nuevo bosque y dominio raíz” (24) se puede ver una división entre el bosque y el dominio. Estos no tienen por que ser distintos, pero tampoco hay obligación de que sean iguales, marcando la versión más baja de Controladores de Dominio (DC) que se permitirá en cada caso.
Este es una elección que no debe tomarse a la ligera ya que condiciona las funcionalidades que podrán usarse dentro del dominio. La recomendación, es que se despliegue con el nivel de los DC existentes, no dando compatibilidad a niveles previos. Esto es, que, si por ejemplo se van a desplegar todos los DC Windows Server 2022, se configuren con el nivel máximo permitido.
Lo siguiente es “Especificar las capacidades del controlador de dominio” (25), en las que tendremos que decir que capacidades se le quieren asignar al Controlador de Dominio (DC). En este caso, le asignaremos las dos, ya que estamos montando la infraestructura desde cero y no tenemos otros servidores, además, ambas opciones, tanto el Catálogo Global (GC) como el Servidor de Sistema de Nombres de Dominio (DNS) son obligatorios para montar la infraestructura.
El siguiente punto es “escribir la contraseña de modo de restauración de servicios de directorio (DSRM)” (26). Suele ser una contraseña distinta, que se guarda en el gestor de contraseñas para los casos en los que el Dominio sufre un desastre y tenemos que “partir de cero” como quien dice, aunque muchos administradores ponen la misma que la de administrador para que sea un proceso más fluido y se ahorre tiempo.
Una vez configurado todo se debe hacer clic en “Siguiente” (27).
Paso 2. Proporcionamos las opciones del controlador del dominio
A continuación, se accede a la ventana de las “opciones de DNS”, donde se nos muestra un mensaje donde se dice que no se puede crear una delegación para este servidor DNS porque la zona principal autoritativa no se encuentra disponible”.
Esto se debe a que no estamos usando un servidor DNS, sino que se va a desplegar junto al AD DS Server por lo que no es necesario hacer estas configuraciones. De hecho, si nos fijamos en la parte justo debajo de el mensaje, veremos que no es posible marcar el checkbox “Crear delegación DNS” (28) porque está marcado en gris.
En esta ventana no nos queda otra que hacer clic en “Siguiente” (29).
Paso 2. Revisamos las opciones del DNS
Como “Opciones adicionales”, se debe verificar el nombre de NetBIOS asignado al dominio y cambiarlo si es necesario. Esto se debe a que el sistema toma el nombre del Dominio que se le ha proporcionado al comienzo de la configuración y retira la extensión para conformar dicho nombre, por lo que bastará con comprobar el “nombre de dominio de NetBIOS” (30) y si todo va bien, hacer clic en “Siguiente” (31).
Paso 2. Revisamos la configuración de NetBIOS
En este momento, estamos casi al final de todo el proceso, y toca configurar las “Rutas de acceso” a la base de datos de AD DS, a los archivos de registro y a la carpeta SYSVOL (32).
Por suerte, estas carpetas, tienen una ruta estándar, que en principio no es necesario cambiar, a menos que por políticas de empresa se establezcan otras ubicaciones. Las rutas por defecto son:
- Carpeta de la base de datos: C:\Windows\NTDS
- Carpeta de archivos de registro: C:\Windows\NTDS
- Carpeta SYSVOL: C:\Windows\SYSVOL
Una vez revisadas y si es necesario, modificadas, se deberá hacer clic en “Siguiente” (33).
Paso 2. Revisamos las rutas de acceso de la BBDD de AD DS
Por último, queda la ventana de “Revisar opciones”, donde se deberá revisar las selecciones (34) que se han tomado durante la configuración del primer Controlador de Dominio.
También se podrá hacer clic en “Ver script” (35) para ver el script de PowerShell que permitiría hacer la misma configuración a través de la línea de comandos enriquecida de Microsoft. A continuación, ponemos el script que se ve en nuestro ejemplo:
#
# Script de Windows PowerShell para implementación de AD DS
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath «C:\Windows\NTDS» `
-DomainMode «WinThreshold» `
-DomainName «PruebasNacho.int» `
-DomainNetbiosName «PRUEBASNACHO» `
-ForestMode «WinThreshold» `
-InstallDns:$true `
-LogPath «C:\Windows\NTDS» `
-NoRebootOnCompletion:$false `
-SysvolPath «C:\Windows\SYSVOL» `
-Force:$true
Cuando se tenga claro que todas las configuraciones son correctas, se deberá hacer clic en “Siguiente” (36)
Paso 2. Revisamos las opciones de configuración de nuestro primer Controlador de Dominio
En este punto, se hace la “Comprobación de requisitos previos”, o sea, un pequeño testeo donde el sistema comprueba si cumplimos con todo lo necesario para hacer el despliegue sin problemas.
Si todo va bien, como en nuestro caso, se verá el mensaje “Todas las comprobaciones de requisitos previos se realizaron correctamente…” (38) y dispondremos de un hipervínculo que nos permitirá ver más información, esta información seguramente nos de algunos requisitos, que los hemos cumplido, pero que es posible mejorar, o recomendaciones de elementos que no imposibilitan la instalación, pero si pueden afectar al desempeño.
Además, se puede ver los resultados de las pruebas en la ventana de la zona central (39) y ahí clarificar alguna duda que podamos tener. En esta sección, los checks verdes son comprobaciones correctas, los amarillos son avisos que no afectan al despliegue y los rojos son fallos que imposibilitan el despliegue. Un ejemplo de prueba pasada pero con aviso (amarillo) es no disponer de una IP fija.
Una vez revisada la información se debe hacer clic en “Instalar” (40).
Paso 2. Comprobamos que se han pasado los requisitos de manera satisfactoria y lanzamos la instalación
Ahora que se ha lanzado la instalación, se podrá apreciar dos cosas, la primera es que no existe una barra de progreso como tal en la que se pueda comprobar cuanto avanza la instalación, sino que se verá que la instalación está en curso a través de una línea que se mueve, pero es poco descriptiva sobre su avance.
La segunda cosa que podremos apreciar es que se puede ver los resultados detallados de la operación (41) en tiempo real, ya que conforme avanza la estación se podrá ver lo que va sucediendo. Es interesante saber, que estos mensajes se pueden copiar por lo que se podrá extraer bastante información de los links que en ellos se aporta.
Paso 2. Esperamos y revisamos los mensajes mientras se realiza la instalación
La instalación continúa, hasta que finaliza, cerrando el sistema de manera automática (42) cuando necesita reiniciar. En este punto, solo nos dejará hacer clic en “Cerrar” por lo que realmente es a modo informativo.
Paso 2. Comprobamos que se ha configurado correctamente y reiniciamos el sistema
Cuando el sistema reinicie, habrá que darle unos minutos de cortesía, ya que Microsoft, tiene una cosa buena, que también es mala en ocasiones, sobre todo si somo un poco ansiosos: En los sistemas Windows Server, se da el acceso y control, antes de que terminen de cargar todos los servicios, por lo que es posible, que cuando el servidor arranque, no dispongamos aún de todos los servicios y se estén terminando las instalaciones.
En este caso, tras un tiempo prudencial, se podrá ver que en “Grupos de servidores y roles” (43) ya se encuentran disponibles los roles de AD DS y DNS, por lo que se puede dar la instalación por concluida.
Paso 2. Comprobamos que ya están los roles instalados y operativos
Tras esto, queda toda la configuración del esquema, las unidades organizativas, altas de máquinas, etc. pero eso se deja para otros artículos.
Conclusiones y próximos pasos:
El proceso descrito en este tutorial, cómo configurar tu AD DS server en tu servidor Windows permite realizar el despliegue de Active Directory Domain Services (AD DS) en Windows Server 2022 o cualquier otra versión (con pequeños cambios) dentro de la infraestructura en la nube, permite dotar a nuestra infraestructura de un sistema de gestión centralizado, simple y seguro. Este proceso se realizar en muy pocos pasos tal como se ha podido ver en este tutorial.
Esperamos que, con esta pequeña guía, no tengas problemas en el despliegue de este servicio y la configuración de AD DS Server en tu servidor Windows, pero si los tuvieras, no dudes en contactar con nosotros para que podamos echarte una mano.
¡Gracias por tu confianza!