Introducción
Un Directorio Activo (en inglés Active Directory) es un servicio esencial en redes empresariales y organizaciones de todos tipos de tamaño, ya que facilita la gestión de usuarios y recursos de red. Se basa en una base de datos central que almacena toda la información de la red, incluyendo usuarios, equipos, impresoras y otros recursos.
Por lo tanto, permite a los administradores gestionar los usuarios y grupos, asignar derechos y permisos de acceso a recursos de red y controlar el acceso a los mismos. También se pueden utilizar políticas de grupo para aplicar configuraciones de forma centralizada en varios equipos y usuarios de la red.
Se utiliza en sistemas operativos Microsoft Windows, pero también hay una implementación libre y de código abierto del protocolo Lightweight Directory Access Protocol desarrollada por el proyecto OpenLDAP.
En este artículo se explicará cómo instalar y configurar un Directorio Activo con un servidor Windows Server desde la versión 2016 hasta la más reciente. En particular, se utilizará la versión Windows Server 2022 para la explicación y como realizarlo utilizando CMD, Windows PowerShell o también desde GUI.
Pasos y configuración previa
Antes de instalar el rol de Directorio Activo en el servidor, es recomendable tener una copia de seguridad del mismo y para ello, puedes crear un Snapshot del servidor para poder retroceder los cambios de forma instantánea. También es recomendable configurar la dirección IP del servidor del Directorio Activo de forma estática y configurar el servidor DNS del dominio en cuestión. En este ejemplo, se utilizará el mismo servidor para la resolución de nombres para el Active Directory.
Abre una ventana de comandos como administrador. Puedes hacerlo haciendo clic en Inicio, escribiendo "CMD" en la barra de búsqueda y luego haciendo clic con el botón derecho en "Símbolo del sistema" y seleccionando "Ejecutar como administrador".
Una vez abierto el CMD, primero deberás conocer el nombre de la interfaz de red para editarla. Ejecuta lo siguiente para listar las interfaces y su configuración:
netsh interface ipv4 show config
Una vez obtenido el nombre, dirección, mascará y puerta de enlace. Introdúcelos estáticamente:
netsh interface ipv4 set address name="Nombre_interfaz" static IP_Address 255.255.254.0 Default_Gateway
*Puedes copiar la información del "show config" seleccionando el contenido y haciendo clic derecho. Para pegar simplemente, haz clic derecho de nuevo.
Si estás utilizando un cliente de escritorio remoto, tendrás una perdida de conexión momentánea hasta que se aplique la nueva configuración añadida.
Posteriormente establece el DNS como el propio servidor en la interfaz:
netsh interface ipv4 set dns name="Nombre_interfaz" static 127.0.0.1
Te aparecerá que no existe, ignora el mensaje (se instalará el rol más adelante) y también deshabilita el IPv6 de la interfaz:
netsh interface ipv6 set interface "Nombre_interfaz" disable
Abre una ventana de comandos como administrador. Puedes hacerlo haciendo clic en Inicio, escribiendo "PowerShell" en la barra de búsqueda y luego haciendo clic con el botón derecho en "Windows PowerShell" y seleccionando "Ejecutar como administrador".
Una vez abierto el PowerShell, primero deberás conocer el nombre de la interfaz de red para editarla. Ejecuta lo siguiente para listar las interfaces y su configuración:
Get-NetIPConfiguration
Una vez obtenido el nombre, dirección, mascará y puerta de enlace. Introdúcelos estáticamente:
Remove-NetIPAddress -InterfaceAlias "Nombre" ; New-NetIPAddress -InterfaceAlias "Nombre" -IPAddress Dirección_IP_servidor -PrefixLength 23 -DefaultGateway Puerta_de_enlace
Si estás utilizando un cliente de escritorio remoto, tendrás una perdida de conexión momentánea hasta que se aplique la nueva configuración añadida y recuerda marcar la opción "A" (Sí a todo). Luego establece el DNS el propio servidor en la interfaz:
Set-DnsClientServerAddress -InterfaceAlias "Nombre" -ServerAddresses 127.0.0.1
También deshabilita el IPv6 de la interfaz:
Disable-NetAdapterBinding -Name "Nombre" -ComponentID ms_tcpip6
Por último, reinicia la interfaz para establecer la nueva configuración:
Restart-NetAdapter -InterfaceAlias "Nombre"
Desde el apartado "Panel de control\Redes e Internet\Conexiones de red" del Panel de control, edita la interfaz haciendo clic derecho en ella. Primero desactiva la casilla del protocolo IPv6 y en IPv4, haz clic en Propiedades:
Introduce la dirección IP del servidor, la mascara de red y la puerta de enlace de forma estática. Puedes obtener la información ejecutando ipconfig por un CMD. En el apartado DNS Server, añade el propio servidor introduciendo 127.0.0.1 (localhost):
Haz clic en OK y cierra la ventana de propiedades de la interfaz.
Si estás utilizando un cliente de escritorio remoto, tendrás una perdida de conexión momentánea hasta que se aplique la nueva configuración añadida. Puedes utilizar la Consola de emergencia si no recuperas conectividad y revisar la configuración de forma local.
Añadir rol de Active Directory y DNS Server
Una vez configurada la interfaz de red, deberás instalar los roles y también puedes elegir como realizarlo:
Con la misma ventana de comandos del apartado anterior, puedes ejecutar lo siguiente para instalar el rol "DNS Server":
dism /online /enable-feature /featurename:DNS-Server-Full-Role /all
Y para instalar el rol de "Active Directory Domain Services" lo siguiente:
dism /online /enable-feature /featurename:DirectoryServices-DomainController /all
Si quieres las herramientas para el GUI de DNS Server y Active Directory, ejecuta adicionalmente:
dism /online /enable-feature /featurename:DNS-Server-Tools /all
dism /online /enable-feature /featurename:DirectoryServices-DomainController-Tools /all
Ahora deberás configurar el servidor DNS, pero primero será necesario reiniciar el servidor y en el siguiente apartado explica el siguiente proceso de configuración DNS.
Con la misma ventana de PowerShell del apartado anterior, puedes ejecutar lo siguiente para instalar el rol "DNS Server":
Install-WindowsFeature -Name DNS -IncludeManagementTools
Y para instalar el rol de "Active Directory Domain Services" lo siguiente:
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Recuerda quitar la opción de incluir las herramientas de administración si no utilizarás la GUI o utilizas una versión Server Core. Ahora deberás configurar el servidor DNS, pero primero será necesario reiniciar el servidor y en el siguiente apartado explica el proceso de configuración DNS.
Utiliza el Server Manager (realiza un refresco previo) para añadir los roles de "Active Directory Domain Services" y "DNS Server", como a continuación:
Una vez instalado los roles, te aparecerá una advertencia para promocionar el Active Directory.
Configuración de servidor DNS
Antes de promocionar, deberás configurar el servidor DNS y crear el bosque para Active Directory.
Primero crea el la zona para el dominio del Active Directory, ejecutar lo siguiente en la ventana del CMD (recuerda modificar el ejemplo.lan por tu dominio):
dnscmd /zoneadd ejemplo.lan /primary
También deberás añadir unos reenviadores, para poder resolver nombres. Ejecutando lo siguiente introducirías el servidor DNS primario de Cloudflare:
dnscmd /resetforwarders 1.1.1.1 1.0.0.1
Luego permite las actualizaciones dinámicas para la zona creada:
dnscmd /Config ejemplo.lan /AllowUpdate 1
Por último, puedes verificar la resolución de nombres con un nslookup, por ejemplo ejecutando:
nslookup clouding.io
Una vez configurado el servidor DNS, podrás promover el Active Directory.
Primero crea el la zona para el dominio del Active Directory, ejecuta lo siguiente en la ventana de PowerShell (recuerda modificar el ejemplo.lan por tu dominio):
Add-DnsServerPrimaryZone -Name "ejemplo.lan" -ZoneFile ejemplo.lan.dns -PassThru -DynamicUpdate NonsecureAndSecure
También deberás añadir unos reenviadores, para poder resolver nombres. Ejecutando lo siguiente introducirías el servidor DNS primario de Cloudflare:
Set-DnsServerForwarder -IPAddress "1.1.1.1"
Para añadir un secundario, por el ejemplo el secundario de Cloudflare:
Add-DnsServerForwarder -IPAddress "1.0.0.1"
Una vez configurado el servidor DNS, podrás promover el Active Directory.
Entra en la consola de DNS Manager y haz clic derecho en el nombre del servidor para configurarlo, haz clic en "Configurar servidor DNS" del despegable y configúralo siguiendo los pasos:
Deberás añadir el dominio que quieres utilizar para el Directorio Activo y recuerda configurarlo con la opción de permitir actualizaciones dinámicas. También deberás añadir unos reenviadores, en el ejemplo se ha utilizado los servidores DNS públicos de Cloudflare (1.1.1.1 y 1.0.0.1).
Instalación y promocionar Active Directory
Una vez realizado todos los pasos anteriores, solo faltará promocionar el Active Directory:
En versiones anteriores de Windows, se podía ejecutar dcpromo para iniciar el asistente, pero actualmente no estará disponible las versiones más recientes y mostrará un mensaje de advertencia.
Por lo tanto, puedes simplemente abrir un Administrador del servidor para realizarlo y puedes ejecutar lo siguiente para abrirlo:
ServerManager
Posteriormente, sigue los pasos de la pestaña GUI para promocionalo desde el Server Manager.
Aunque puedes seguir utilizando dcpromo en versiones anteriores de Windows para realizarlo de forma automática o manual. En la documentación oficial tienes más información de cómo realizarlo. En nuevas versiones del sistema operativo, utiliza PowerShell en las últimas versiones para realizarlo (revisa la pestaña de PowerShell).
Para promocionarlo desde PowerShell, simplemente ejecuta lo siguiente:
Install-ADDSForest -DomainName "ejemplo.lan" -CreateDNSDelegation
Solicitará la introducción de una contraseña de recuperación para el Active Directory y las credenciales del usuario administrator para la delegación DNS. Demorará un tiempo en completarse y se reiniciará automáticamente el servidor una vez finalizado.
Te aparecerá el siguiente asistente (Wizard) para configurar el entorno y terminar de instalar Active Directory:
Haz clic en "Añadir nuevo bosque" e introduce el dominio que hayas creado la zona DNS para asignarla al Active Directory. Por ejemplo, el "ejemplo.lan" y haz clic en siguiente. Introduce una contraseña para la recuperación del controlador y haz clic en siguiente de nuevo. Crea la delegación DNS e introduce las credenciales del usuario administrator, haz en clic en siguiente hasta que aparezca la opción de instalación y haz clic en ella:
Por último, se instalará y demorará unos minutos que finalice la instalación. Cuando termine el servidor se reiniciará automáticamente al completarse la promoción y puede demorar unos minutos más de lo habitual en iniciarse el sistema operativo para completar la configuración. Cuando haya iniciado totalmente, estará listo para utilizarlo como controlador de dominio.
Esperamos haberte ayudado con este tutorial 🙂. Recuerda, si tienes consultas sobre esta u otra cuestión relacionada con tus servidores en Clouding, no dudes en escribir a soporte@clouding.io ¡Estamos a tu lado para lo que necesites!