Explicación detallada del generador de confianza forestal entrante
El sistema Windows 2000 permite a las empresas integrar diferentes unidades de negocio en una estructura unificada, que es un bosque de Active Directory. Esto no era posible en el sistema Windows NT 4.0. Muchas unidades de negocio que no se pueden almacenar en el dominio NT 4.0 actualmente se pueden almacenar en el dominio ou o del directorio activo. Sin embargo, como han dicho algunas personas que utilizan una sola estructura forestal, también hay ocasiones en las que las unidades comerciales no pueden * * *. A veces, las necesidades comerciales o razones políticas requieren que se implementen bosques separados. En muchos casos, los usuarios de bosques independientes todavía necesitan acceder a los recursos del bosque central. Por lo tanto, es necesario establecer relaciones de confianza entre el bosque central y otros bosques. El método para establecer relaciones de confianza entre diferentes dominios de bosque en Windows 2003 es coherente con NT 4.0. Sin embargo, la nueva característica de confianza en el bosque de Windows Server 2003 lo hace más fácil.
Paradigma de bosques múltiples
Desde una perspectiva de seguridad de la información, un dominio no es sólo un límite de seguridad, sino también un límite de replicación y gestión. Los miembros de los grupos Administradores de dominio raíz, Administradores de dominio y Administradores empresariales pueden acceder fácilmente a todas las máquinas del bosque. La única manera de aislar verdaderamente los recursos es colocarlos en bosques separados.
No tenemos que renunciar a la idea de un solo bosque, pero sí debemos cambiarla manteniendo el número de bosques al mínimo y añadiendo más bosques sólo cuando sea necesario. Para conocer los criterios sobre cómo determinar si se debe crear un bosque, consulte el documento técnico de Microsoft "Consideraciones de diseño para eliminar la administración en Active Directory" (/windows 2000/tech info/planning/active directorio/addel admin.ASP). Este documento técnico explica claramente los límites de seguridad entre unidades organizativas, dominios y bosques, y explica el proceso para determinar si se debe colocar una unidad de negocios en un bosque separado.
¿Cuándo se necesita un bosque separado? Esto es necesario en varias situaciones. La situación más común es la necesidad de garantizar la autonomía de gestión (equivalente a "no confío en ti"). Otra situación es que la unidad de negocio principal ejecuta el bosque de Windows 2000 y no se puede actualizar inmediatamente. Porque este bosque tomará un tiempo y necesitas encontrar una manera de salvarlo con él. Otra situación tiene que ver con la arquitectura forestal. Recuerde que el esquema (como la definición de estructura de AD) se comparte en todo el bosque. Si cambia el esquema con frecuencia, debe realizar estas operaciones en un bosque separado para poder cambiar el esquema del bosque central solo cuando sea necesario.
La separación de recursos es otra razón importante para establecer bosques separados. Por ejemplo, es necesario separar la información de las agencias legales y también los contratos protegidos. Algunas industrias, como los bancos, son penalizadas si comparten información de sus clientes.
Confianza en bosques de Windows 2000
En los bosques de Windows 2000, el protocolo de seguridad Kerberos establece automáticamente relaciones de confianza entre dominios. Una característica importante de Kerberos es admitir la transferencia de confianza. Si el dominio A confía en el dominio B y el dominio B confía en el dominio C, entonces el dominio A confía automáticamente en el dominio C. Una forma sencilla de transferir la confianza en la memoria es recordar "tus amigos son mis amigos". Esta característica habilita el concepto de árboles de dominio y la entrega automática de tickets Kerberos permite que un dominio en el bosque confíe automáticamente en otros dominios. La confianza bidireccional de Kerberos en el bosque también se denomina "confianza interna". Para obtener más información sobre la tecnología Kerberos para Windows 2000, consulte el documento técnico de Microsoft "Autenticación Kerberos para Windows 2000" (/Windows 2000/tech info/how Networks/Security/Kerberos.ASP).
Confianza entre bosques en Windows 2000
La confianza fuera del bosque es más primitiva. En Windows 2000, Kerberos no puede establecer confianzas entre bosques.
NT LAN Manager (NTLM) establecerá relaciones de confianza con dominios NT 4.0 y dominios de Windows 2000 en otros bosques. Estas confianzas se denominan "confianzas externas" (la tercera confianza, la "confianza rápida", utiliza Kerberos para conectar directamente subdominios de los dos árboles de dominio para mejorar el rendimiento).
Las confianzas externas tienen las mismas limitaciones que las confianzas NT 4.0: las confianzas externas no son tan seguras como las confianzas Kerberos y no se pueden pasar. Así que rápidamente terminas en la misma situación que NT 4.0, donde había que mantener la confianza en cada dominio en cada bosque.
Confianza de bosque en Windows 2003
Una confianza de bosque es una confianza que conecta dos dominios raíz de bosque. Los fideicomisos forestales le permiten vincular bosques amigables de una manera sencilla y fácil que es más rápida y flexible que los fideicomisos NTLM. Dado que la confianza del bosque reemplaza NTLM por Kerberos, la confianza entre los dos bosques es transitiva. Por ejemplo, si el bosque A confía en el bosque B, todos los dominios del bosque A también confiarán en todos los dominios del bosque B. Sin embargo, esta confianza no se transfiere entre bosques. Si el bosque A confía en el bosque B y el bosque B confía en el bosque C, el bosque A no puede confiar automáticamente en el bosque C. Esta es la misma regla que la confianza NTLM, pero se amplía para adaptarse al bosque de dominio. Al igual que un fideicomiso NTLM, puede establecer un fideicomiso unidireccional o bidireccional.
Beneficios de Forest Trust
Dos beneficios de Forest Trust son la autenticación y autorización entre bosques. La autenticación entre bosques permite a los usuarios de un bosque confiable iniciar sesión en computadoras en el bosque confiable sin tener que crear cuentas repetidamente. La autorización entre bosques también le permite asignar permisos a los usuarios en el bosque de confianza para que puedan acceder a los recursos del bosque de confianza y no requieran cuentas duplicadas. Este comportamiento no compromete los límites seguros del bosque.
Aunque se pueden establecer confianzas externas entre bosques, el uso de confianzas forestales basadas en Kerberos puede reducir en gran medida la cantidad de confianza requerida entre bosques. Si se establecen relaciones de confianza entre todos los dominios en ambos bosques, puede utilizar la siguiente fórmula para calcular la cantidad de confianza externa requerida. Confianza externa total = (1 confianza unidireccional o 2 confianza bidireccional) × (número de dominios en el bosque A) × (número de dominios en el bosque B).
Por ejemplo, supongamos que tiene un bosque de investigación y desarrollo (DEV) que contiene tres dominios y un bosque de producción (PROD) que contiene cuatro dominios, y desea establecer una relación de confianza bidireccional entre todos los dominios. el bosque. Luego necesitas crear 24 fideicomisos, que son 2×3×4. Aunque este número es inconveniente, es soportable, pero si decide unirse a un bosque integrado (INT) con cuatro dominios, la topología de confianza será más complicada. Actualmente tiene tres conjuntos de relaciones de confianza: DEV a PROD, DEV a INT y PROD a INT. Esto elevará el número total de fideicomisos a 80.
Una estrategia importante que los fideicomisos de bosques le permiten implementar es la configuración del bosque de cuentas. El bosque de cuentas es esencialmente una expansión de la configuración del dominio de cuentas o del dominio de recursos en NT 4.0. Para establecer un bosque de cuentas, primero asegúrese de que todas las cuentas estén en el bosque principal y luego establezca una confianza unidireccional desde otros bosques de recursos hasta el bosque principal (para obtener información sobre cómo establecer una confianza unidireccional, consulte el archivo adjunto "Crear fácilmente uno"). -Way Confianza" ). Los usuarios pueden iniciar sesión en todos los bosques federados utilizando cuentas del bosque primario. Incluso puede delegar derechos administrativos para establecer la confianza en usuarios que no forman parte del grupo de administración empresarial.
Quizás se pregunte por qué una confianza de bosque de Windows 2003 puede incluir otros bosques, pero una confianza externa de Windows 2000 no. En Windows 2003, un objeto de dominio de confianza (TDO) describe información básica sobre confianzas externas y confianzas de bosque. En un fideicomiso forestal, el TDO contiene un atributo adicional llamado "información del fideicomiso forestal". Esta propiedad contiene información sobre todos los dominios, nombres de árboles y sufijos de nombres opcionales en el bosque remoto. Esta información es necesaria para enrutar la autenticación y consultar el bosque remoto. El Catálogo global (GC) almacena esta información para que todos los controladores de dominio (DC) puedan consultarla.
Configuración de una confianza de bosque con Windows 2003
Para establecer una confianza de bosque, debemos asegurarnos de que ambos bosques estén en el nivel funcional de bosque de Windows 2003. Cada controlador de dominio en ambos bosques debe ejecutar Windows 2003, cada dominio debe actualizarse al nivel funcional de dominio de Windows 2003 y ambos bosques deben actualizarse al nivel funcional de bosque de Windows 2003.
Para obtener más información sobre los niveles de función, consulte "Novedades y mejoras en el sistema Windows". ¿Servidor NET? (, InstantDoc ID 24316).
A continuación, los dominios raíz de los dos bosques deben poder encontrarse a través de DNS. Si se encuentra en un entorno de intranet y ambos bosques ya están integrados con el DNS de la empresa, es posible que los dominios raíz de los bosques ya puedan encontrarse entre sí. Para comprobarlo, abra una ventana del símbolo del sistema en el servidor del bosque y ejecute Nslookup. Escriba:
Establezca type=ns
Luego escriba el nombre completo de otro dominio raíz del bosque (por ejemplo, forestb.mycompany.com. Si el servidor puede resolver este FQDN, Nslookup). Se devolverá una lista de DC autorizados para el dominio.
Si su configuración DNS existente no puede resolver otros bosques, deberá establecer condiciones de reenvío para los servidores DNS de cada bosque. Agregue uno o más repetidores de la zona raíz de un bosque a otros bosques. Cuando se recibe una solicitud para un dominio específico, el servidor de reenvío le dice al DNS local que reenvíe la solicitud a la dirección IP especificada. Digamos que estás en Foresta. Com y ForestB. Establecer confianza forestal entre coms. En el complemento DNS de Microsoft Management Console (MMC), haga clic derecho en el servidor DNS en el Bosque A y seleccione Propiedades. Seleccione "Reenviadores" e ingrese la dirección IP del servidor DNS al que reenviar la solicitud, que manejará las solicitudes para el bosque B. Este proceso se repite en el bosque B para resolver las solicitudes para el bosque A.
Recuerde que el servidor de reenvío que utiliza se basa en una dirección IP ingresada manualmente. Si se cambian estas direcciones, la lista de reenviadores también debe actualizarse; de lo contrario, la confianza puede fallar.
Después de resolver el bosque, utilice el Asistente de confianza del complemento Confianza y dominio de Active Directory de MMC para establecer el tipo de confianza que desea. Construyamos paso a paso una confianza bidireccional entre los dos bosques.
Seleccione Dominios y confianzas de Active Directory en el menú Herramientas administrativas, o escriba:
dominio.humanservicescommission
Haga clic derecho en el dominio raíz, seleccione Propiedades, seleccione Propiedades de confianza y luego seleccione Nueva confianza para iniciar el Asistente de confianza.
Este nuevo Asistente de confianza se agregó en Windows 2003. Este asistente lo guiará en la creación de varios tipos de fideicomisos. Hay cuatro tipos de destino: dominios de Windows 2003 o Windows 2000, dominios de NT 4.0, dominios de Kerberos 5.0 y otros bosques. La función de Ayuda del asistente proporciona información adicional sobre confianzas, niveles funcionales y nombres preferidos de usuario (UPN).
Aunque utiliza el asistente para configurar la operación de confianza, debe prestar atención a cómo se configura la confianza y revisar la pantalla de confirmación antes de establecer la confianza. Hay muchas posibilidades para generar confianza y el asistente no recomendará un tipo sobre otro. Si comete un error por descuido, podría terminar con un tipo de fideicomiso externo en lugar de un fideicomiso forestal. Por ejemplo, si selecciona atributos para un subdominio en lugar del dominio raíz, establecer una confianza en el bosque no será una opción.
El primer paso del asistente es ingresar el nombre DNS o NetBIOS del bosque de confianza. Una vez completado correctamente, el siguiente cuadro de diálogo le pedirá que seleccione una confianza externa o una confianza forestal. Si la confianza del bosque no aparece, debe volver al paso uno y usar el botón Ayuda para determinar qué configuraciones son incorrectas.
Nuestro ejemplo es establecer una confianza bidireccional. Cuando tiene derechos administrativos sobre otro bosque, el Asistente para nueva confianza le permite crear dos confianzas unidireccionales para formar una confianza bidireccional.
Los dos cuadros de diálogo siguientes le permiten elegir si desea permitir que todos los usuarios del bosque de destino se autentiquen automáticamente al acceder al bosque local. Si selecciona Permitir autenticación sólo para recursos seleccionados en el bosque local, Windows 2003 no agrega automáticamente el SID del usuario autenticado del bosque confiable al token del usuario del bosque confiable. Debe otorgar acceso a los recursos individualmente. Esta característica se llama "autenticación selectiva". La autenticación selectiva es más segura, pero también requiere más esfuerzo administrativo porque debe establecer permisos individualmente para cada dominio y servidor para que los usuarios de otros bosques puedan acceder a él.
El cuadro de diálogo Selección de confianza completa le permite revisar sus selecciones antes de ejecutarlas. Después de establecer la confianza, verá este cuadro de diálogo.
El último paso del asistente proporciona otra característica útil. Como ya proporcionó el certificado remoto del otro bosque, puede confirmar la confianza de ambas partes sin pasos adicionales. Después de establecer exitosamente la confianza del bosque, el asistente se cerrará y el libro de propiedades mostrará "Bosque" bajo el tipo de confianza en lugar de "Secundario" o "Externo".
Aunque implementar el fideicomiso forestal es sencillo, en un entorno multibosque un error puede tener graves consecuencias. Por lo tanto, antes de implementar el fideicomiso forestal, se deben realizar ejercicios experimentales.
Limitaciones de los fideicomisos forestales
Los fideicomisos forestales no son completamente transparentes para los usuarios. Si un bosque no contiene una cuenta de usuario, cuando el usuario inicia sesión en una máquina en este bosque, el usuario no ve la lista de dominios de su cuenta en el cuadro de diálogo de inicio de sesión y necesita ingresar su UPN (por ejemplo, jimbob@bigtex) . Net). Microsoft utiliza este diseño porque, en un entorno de varios bosques, a veces puede haber conflictos de nombres NetBIOS entre dominios. Por ejemplo, supongamos bosque1. bigtex .Net y forest2. bigtex .Net está en la misma región, aunque los FQDN (america.forest1.bigtex.Net y namerica.forest2.bigtex.Net) son únicos, pero si los bosques no usan el mismo espacio de nombres WINS, es posible que ambos tengan uno. llamado dominio NetBIOS de NAMERICA. Del mismo modo, si los usuarios de su bosque no han iniciado sesión en el servidor Windows 2003 o Windows XP Service Pack 2 (SP2), cuando los usuarios agreguen usuarios o grupos entre bosques a los recursos del bosque local, no verán la lista de usuarios o grupos. En su lugar, debe ingresar el UPN del recurso. La Figura 7 muestra la ACL para un recurso en el bosque A con un usuario del bosque B agregado. El Portal de control de acceso (ACE) utiliza UPN en lugar del formato tradicional de dominio/cuenta.
Otra consideración importante relacionada con UPN son los conflictos de espacios de nombres de bosques. De forma predeterminada, el formato UPN del usuario es cuenta@FQDN. Por ejemplo, Jim Bob está en el subdominio lubbock. bigtex .Net, su UPN predeterminado es jimbob@lubbock. bigtex.net Puede utilizar el dominio raíz UPN, que es jimbob@bigtex. NET. Muchas empresas utilizan el UPN del dominio raíz para que el UPN sea coherente con la dirección de correo electrónico del usuario. Esto funciona cuando la cuenta sólo existe en un bosque, pero ¿qué pasa si tienes la misma cuenta en más de dos bosques? Cada miembro de la empresa tiene un bigtex. Dirección de correo electrónico neta, pero después de que un bosque usa este sufijo UPN, otros bosques ya no pueden usarlo. Para interno, debe elegir un sufijo UPN único para el usuario (por ejemplo, f1.bigtex.netf2.bigtex.net. Para externo, puede usar bigtex para enviar correo). Net.
La confianza en el bosque es una nueva característica importante de Windows 2003 que elimina muchas de las limitaciones de Windows 2000. Para las empresas que necesitan unir bosques separados, la función de confianza del bosque puede reducir el costo de actualización de Windows 2000 a Windows 2003.
Establezca fácilmente una confianza unidireccional
Una tarea administrativa común que requiere derechos de administrador es establecer una confianza unidireccional desde un dominio de recursos a un dominio de cuenta. Esto le permite mantener cuentas de usuario en una ubicación central (es decir, un dominio confiable) y luego asignar permisos a los recursos en el dominio confiable. Windows Server 2003 tiene un nuevo grupo llamado "Incoming Forest Trust Builders". Los miembros de este grupo pueden establecer fideicomisos unidireccionales en el bosque local sin derechos de administrador integrados. Debido a que esta característica delega el proceso de confianza interna, es útil para organizaciones que desean compartir esfuerzos de creación de confianza con otros grupos.