presentacion del tema relacion de confianza entre servidores

1. RELACION DE CONFIANZA
ENTRE SERVIDORES

2. Una relación de confianza se trata de de
una relación mediante la cual un usuario
se puede autentificar, aparte de en los
recursos de su propio dominio, en los
recursos del dominio o bosque con el cual
se establece este tipo de relación. Por
defecto los dominios dentro de un mismo
bosque se crean con una relación de
confianza implícita entre ellos.

3.  Para configurar nuevas relaciones de
confianza o ver las que están actualmente
establecidas y con que características se
puede realizar a través de la línea de
comando con NETDOM o por la consola
Dominios y confianzas de Active Directory
desde también podremos crear una nueva
confianza mediante un asistente grafico que
nos guiara por todos los pasos necesarios
que lo hará mucho menos tedioso que
usando NETDOM. En Dominios y confianzas
de Active Directory debemos ir a
Propiedades, Confía en del dominio en
cuestión donde podemos tanto ver las
relaciones existente como crear una nueva.

6.  Las relaciones de confianza pueden ser
unidireccionales o bidireccionales es
decir que pueden funcionar en un
sentido solo o en ambos. Se considera
relación de entrada cuando los
usuarios del dominio o bosque en que
la configuramos pueden ser
autentificados por el otro dominio
mientras que se considera de salida
cuando en el dominio que la
configuramos se pueden autentificar
usuarios de otro dominio o bosque.

7. Relación de confianza unidireccional:

8. Relación de confianza bidireccional:

9. La confianza explícita no transitiva
unidireccional es la única forma
posible de confianza en los siguientes
casos:
Un dominio Windows 2000 con un dominio
Windows NT.
Un dominio Windows 2000 en un bosque
con un dominio Windows 2000 en otro
bosque.
Un dominio Windows 2000 y un área MIT
Kerberos V5 que permite a un cliente de un
área de Kerberos autenticar a un dominio
de Active Directory para acceder a los
recursos de red de ese dominio.

11.  También es posible configurar si
queremos que la autenticación se pueda
realizar en todos los recursos del dominio
(domain-wide) o bien si la queremos
hacer selectiva (selective) de forma que
solo se pueda realizar en unos
determinados servidores que
especifiquemos. De igual manera
podemos seleccionar si la relación de
confianza queremos que sea transitiva o
intransitiva, si elegimos que sea transitiva
también se confiara en dominios que a su
vez confíe en ellos el dominio con el que
tenemos establecida el trust transitivo.

13.  Según se confíe en un forest, dominio de NT4
o de directorio activo o un realm de Kerberos,
dominio no-windows con autenticación
Kerberos), se pueden establecer distintos
tipos de trust:
 Externo (external trust): es el tipo de confianza
mas habitual, es siempre intransitiva y se
puede configurar tanto unidireccional como
bidireccionalmente. Este tipo de confianza se
realizar entre dominios en bosques distintos o
bien con un dominio de NT4. Por ejemplo si
queremos realizar una migración de usuarios
desde un dominio de Windows NT 4 utilizando
ADMT deberemos establecer una confianza
externa bidireccional entre el dominio de NT y
el dominio de directorio activo al que
pretendemos migrar los usuarios.

14.  Bosque: como su nombre indica en lugar de
realizarse entre dominios aquí la relación se
establece a nivel de bosque de forma que se
compartirán recursos entre ambos bosques.
Este tipo de trust que siempre es transitiva y
se puede realizar tanto unidireccional o
bidireccionalmente se trata de una novedad de
Windows Server 2003 por lo que solo se puede
realizar si el nivel funcional de bosque de
ambos dominios es de 2003.
 Territorio: este tipo de implantación se da
raramente y sirve para interoperar con otros
dominios no-windows que usen el protocolo
Kerberos v5 para la autenticación como por ej.
MIT Kerberos domains.

15.  Acceso directo: dentro de un bosque
se crea implícitamente tanto en
dominios con nivel Windows 2000
como Windows Server 2003 una
relación de confianza bidireccional
entre dominios padres e hijos (parent-
child) y de raíz con los árboles (root-
tree) de forma que todos los dominios
confianza entre sí.

16.  Pero si tenemos muchos dominios esto
puede funcionar notablemente lento ya
que ha de recorrer desde los dominios
que se realiza hasta el raíz del
bosque, con este tipo de relación se
estable una relación de confianza directa
entre ambos dominios de forma que
funcione de la forma mas rápida posible.
Este tipo de confianza es siempre
transitiva de forma que también puede
beneficiar a otros dominios hijos de los
que la forman y se puede configurar
como unidireccional o bidireccional.

17.  Tanto si realizamos la confía a través de
NETDOM como del asistente se debe
crear la confianza en ambos extremos, en
una como saliente y en otro como
entrante o en ambos como
bidireccional, cuando la configuramos en
el primer extremo se nos solicitara una
contraseña de confianza que deberemos
facilitar cuando se cree en el segundo
extremo. Al finalizar el proceso de
creación de relación se nos pedirá que se
confirme si ya se ha creado la relación en
el otro extremo para así intentar
establecer o no la relación.

19.  En cuanto a la configuración de DNS para
realizar un trust lo mas recomendable es
crear una zona secundaria del otro
dominio o dominio raíz del bosque con el
que se creara la confianza en el dominio
de origen, de esta forma se evitaran gran
numero de errores que se producen si se
crean reenviadores o utilizan otras
técnicas. Para verificar los dominios en
los que una maquina confía podemos
hacer uso de la herramienta de línea
comando NLTEST.exe que se incluye en
las support tools.

20.  CONCLUSIÓN:
 Paracrear una relación de confianza debemos
considerar que existen
dos dominios, A y B. Inicialmente nos situamos
en el dominio A el cual
será el "dominio de confianza". El dominio B
será el "dominio en el
que se confía". Cuando los dominios están
unidos por dos relaciones de confianza en
ambos sentidos las cuentas y los recursos son
administrados en cada
dominio pero los usuarios con cuentas en cada
dominio pueden tener
acceso a recursos en el otro dominio.