Las Relaciones de Confianza de tipo Bosque (Forest Trust), nos permiten definir una Relación de Confianza Bidireccional y Transitiva entre dos Bosques de Directorio Activo, de tal modo que exista total confianza entre todos los Dominios de ambos Bosques, sin tener que crear una Relación de Confianza entre cada par de Dominios (mucho más rápido y sencillo de configurar).
Hace un tiempo hablábamos de un caso parecido, sobre cómo crear una relación de confianza unidireccional entre dos Dominios de dos Bosques Windows Server 2003 R2. Sin embargo, en esta ocasión, el escenario cambia bastante, al tratarse de una Relación de Confianza de tipo Bosque (Forest Trust).
Quizás, los dos principales requisitos a tener en cuenta, son los siguientes:
- Resolución de Nombres DNS, directa e inversa. Debería de funcionar correctamente la Resolución de Nombres DNS, tanto directa como inversa, de tal modo, que desde cualquier dominio podamos resolver registros DNS de otro dominio cualquiera.
- Nivel funcional de los Bosques debe estar establecido a Windows Server 2003. En consecuencia, el nivel funcional de todos los Dominios debe estar igualmente establecido a Windows Server 2003. En caso contrario, podremos crear relaciones de confianza, pero no de tipo Bosque.
En cualquier caso, siempre es recomendable revisarse la documentación de producto (ej: Creating Forest Trusts), así como realizar algún laboratorio para asegurarse que la solución que estamos diseñando cumple correctamente nuestras expectativas (y las de nuestro cliente).
En nuestro caso de ejemplo, tenemos un entorno de laboratorio formado por cuatro máquinas corriendo Windows Server 2003 R2 SP2 x86:
- Bosque A, de la compañía A. Tiene dos árboles, cada uno de los cuales contiene un único dominio (dominio1.root y dominio2.int).
- Bosque B, de la compañía B. Tiene un único árbol, con dos dominios en relación padre e hijo (dominio3.net y corp.dominio3.net).
La resolución de nombres DNS está correctamente configurada y funcionando perfectamente, y ambos bosques están ya en nivel funcional Windows Server 2003. La idea es establecer una única Relación de Confianza entre los Bosques de ambas compañías, para que puedan trabajar juntas, como consecuencia de un proceso de fusión de empresas.
Si no estamos seguros de que nuestro Bosque esté en modo funcional Windows Server 2003, desde la herramienta administrativa Active Directory Domains and Trust (ADDT), podemos utilizar la opción Raise Forest Functional Level, para verlo.
En el diálogo Raise Forest Functional Level podremos comprobar fácilmente el modo funcional de nuestro Bosque.
Igualmente, deberemos conocer cuál es el Dominio Raíz de nuestro Bosque (Forest Root). Si no lo sabemos, podemos averiguar cuál es el Dominio Raíz de un Bosque (Forest Root) con ADSI Edit, de una forma bastante sencilla.
Para crear la nueva Relación de Confianza de tipo Bosque (Forest Trust), nos conectaremos a un Controlador de Dominios del Bosque A, y abriremos la herramienta administrativa Active Directory Domain and Trusts (ADDT), y en las propiedades del Dominio Raíz del Bosque, deberemos hacer click en el botón New Trust.
Se abrirá el asistente para la creación de una nueva Relación de Confianza (New Trust Wizard). Un detalle importante, es que si nuestro Bosque no está en modo funcional Windows Server 2003, se mostrará una ventana como la siguiente, en la que no aparece ninguna opción para crear una Relación de Confianza de tipo Bosque (Forest Trust).
Cuando el Bosque está en modo funcional Windows Server 2003 (como es nuestro caso), se mostrará una ventana como la siguiente, en la que sí se indica la posibilidad de crear una Relación de Confianza con otro Bosque, que es justo la opción que queremos. Click en Next para continuar.
En el diálogo Trust Name especificaremos el nombre del Dominio Raíz del Bosque con el que deseamos establecer la Relación de Confianza, y click en Next para continuar.
En el diálogo Trust Type especificaremos que deseamos crear una Relación de Confianza de tipo Bosque (Forest Trust). Click Next para continuar.
En el diálogo Direction of Trust especificaremos que deseamos crear una Relación de Confianza Bi-Direccional (Two-way). Click Next para continuar.
En el diálogo Sides of Trust, deberemos especificar si deseamos crear la Relación de Confianza sobre el dominio actual (This domain only), o sobre ambos dominios (Both this domain and the specified domain). Cuando se trata de Bosques pertenecientes a diferentes empresas, cada empresa suele crear la Relación de Confianza sobre su Bosque/Dominio, por lo tanto hay que utilizar la opción This domain only, y lanzar el Wizard para la creación de la Relación de Confianza dos veces, una vez sobre cada dominio. Si tenemos usuarios con permisos elevados sobre ambos Bosques, podemos utilizar la opción Both this domain and the specified domain, y de una única vez hacerlo todo. En nuestro caso de ejemplo, vamos a utilizar la opción This domain only, ya que es un caso muy común al crear Relaciones de Confianza entre Dominios de diferentes compañías, que es el caso de nuestro Laboratorio.
En el diálogo Outgoing Trust Authentication Level, deberemos seleccionar el Nivel de Autenticación deseado para nuestra relación de confianza. En nuestro caso de ejemplo, seleccionaremos la opción Domain-wide authentication. Click Next para continuar.
En la pantalla Trust Password, deberemos especificar la contraseña deseada para nuestra relación de confianza (Trust). Click Next para continuar.
En la pantalla Trust Selections Complete, revisaremos toda la información resumida para la relación de confianza (Trust) que vamos a crear, y si estamos de acuerdo, click Next para continuar y crear la relación de confianza.
La relación de confianza ha sido creada con éxito. Click Next para continuar.
Llegados a este punto, deberemos de realizar los mismos pasos desde el Dominio Raíz del otro Bosque, para crear la parte de la Relación de Confianza en el otro extremo. Una vez realizado, con la Relación de Confiada en ambos extremos (en ambos Bosques), continuamos.
En la pantalla Confirm Outgoing Trust, especificaremos que deseamos confirmar nuestra relación de confianza (Trust), ya que la acabamos de crear también en el otro Bosque. Click Next para continuar.
En la pantalla Confirm Incoming Trust, especificaremos que NO deseamos confirmar nuestra relación de confianza (Trust). Click Next para continuar.
Realizado todo esto, habremos creado con éxito y confirmado nuestra Relación de Confianza desde uno de los lados (en el Dominio A), por lo que deberemos repetir estos últimos pasos también en el otro extremo (en el Dominio B).
Finalizada la creación de nuestra Relación de Confianza, en el Dominio A podremos ver que ya existe, y que efectivamente es de tipo Forest. Si lo deseamos, podemos ver sus propiedades.
Al ver sus propiedades, en la pestaña Name Suffix Routing, nos aparecerá el dominio raíz del otro Bosque, lo cual es correcto. Recordemos que dicho Bosque tiene un único árbol con dos Dominios (padre e hijo).
Igualmente, en el Dominio B podremos ver que también existe la Relación de Confianza, y que es de tipo Forest. Sin embargo, en esta ocasión, en sus propiedades, podremos observar en la pestaña Name Suffix Routing que aparecen dos entradas, una para cada árbol de dicho Bosque, con la peculiaridad, de que por defecto queda habilitado sólo para el Dominio/Árbol raíz, y deshabilitado para el otro Dominio/Árbol. Ojo, que esto es importante, y si lo necesitamos, deberemos habilitarlo.
Poco más por hoy. Como siempre, confío que la lectura resulte de interés.
