Antes de empezar, vamos a hablar de lo que son las relaciones de confianza (Trusts) entre bosques.

Para hacer un símil podemos pensar en los bosques como dos viviendas separadas. Mi casa (es decir, mi bosque) contiene recursos (archivos, equipos, etc…) a los que necesitan acceder las personas que viven en la otra vivienda (el otro bosque). Si yo no me fío de las personas que viven en la otra vivienda no las dejaré pasar a mi casa, pero si tengo una relación de confianza con alguno de ellos si que le permitiré usar mis recursos (por ejemplo, mi cocina o mi sofá).

Las relaciones de confianza entre bosques siguen este mismo principio. Para poder hablar con propiedad de relaciones de confianza y poder configurarlas correctamente debemos familiarizarnos con la terminología y los tipos de relaciones de confianza.

RELACION DE CONFIANZA

TIPOS DE RELACIONES DE CONFIANZA

Una vez explicado el concepto, tenemos que hablar de los tipos de relación de confianza que existen para saber cual de todos se adapta a nuestras necesidades.

TIPOS

¿CONFIANZA ENTRANTE O SALIENTE?

Esta es uan pregunta importante a la hora de configurar una relación de confianza. Lo más importante es saber dónde están los usuarios y dónde están los recursos. Las relaciones de confianza pueden ser

Two-way (bidireccional): la relación de confianza va en los dos sentidos. Los usuarios de ambos bosques podrán entrar a los recursos del otro.

One-way: incoming (unidireccional: entrante): Los usuarios de mi dominio podrán autenticarse en el otro dominio, bosque o reino. Los recursos están en el otro dominio.

One-way: outgoing (unidireccional: saliente): Los usuarios del otro dominio, reino o bosque pueden autenticarse en mi dominio. Los recursos están en mi dominio.

TRANSITIVIDAD

En la tabla hay un concepto importante que es el de la transitividad. Este concepto es a quién se extiende la relación de confianza.

Las confianzas no transitivas sólo se extienden al dominio con las que se establecen y no se extienden a dominios hijos. Pueden ser utilizadas en escenarios mas restringidos en los cuales la colaboración entre empresas es sólo parcial y puntual.

Por el contrario, las confianzas transitivas son útiles en el caso de fusiones de empresas en las cuales se comparten completamente los recursos, ya que se extienden a los dominios hijos. Algo que es importante recalcar, es que en este caso se puede utilizar la opción de limitar los dominios.

transitividad

¿PERO SI QUIERO RESTRINGIR LOS ACCESOS AÚN MAS?

Esta es una pregunta interesante, para aquellos casos en los que queremos limitar al máximo el acceso a los usuarios del otro bosque, ya no sólo a los recursos sino a los servidores que los contienen.

En este caso podemos utilizar la autenticación selectiva, que nos obliga a permitir explícitamente el acceso a cada cuenta de equipo por separado. Aunque este proceso pueda ser engorroso, limita los accesos no deseados a otras máquinas de nuestro dominio.

La otra opción a elegir sería la autenticación forest-wide que permite la autenticación de los usuarios en todos los equipos de mi dominio.

AUTENTICACION

ANTES DE EMPEZAR…

Con los conceptos claros, ahora si podemos configurar nuestra relación de confianza, pero antes, es imprescindible que los dos bosques puedan comunicarse y resolver el nombre del otro. Esto podemos confugurarlo fácilmente creando un Conditional Forwarder en nuestro DNS.

Este es un paso imprescindible que debe hacerse en ambos bosques.

Usamos para esto el cmdlet del ejemplo, podemos poner varias direcciones IP además de elegir si queremos que se replique.

Add-DnsServerConditionalForwarderZone -Name "contoso.com" -MasterServers 172.23.90.124 -replicationScope Forest

Para aprender a usar este cmdlet y explorar sus opciones tienes el siguiente enlace o puedes utilizar la ayuda que te proporciona Powershell a través de get-help

https://docs.microsoft.com/en-us/powershell/module/dnsserver/add-dnsserverconditionalforwarderzone?view=win10-ps

AHORA SI, VAMOS A CREAR NUESTRA RELACIÓN DE CONFIANZA ENTRE BOSQUES CON POWERSHELL

Estamos preparados, pero… no hay un cmdlet nativo de Powershell  del directorio activo que nos permita crear una relación de confianza!!!

Pero eso no es un impedimento para Powershell y buscando un poco te encuentras con Scritps que permiten crear relaciones de confianza, entre los cuales he probado:

– Excelente Script con una función que te permite crear/borrar una relación de confianza de tipo External. El inconveniente que tiene es que nos pide el usuario y la contraseña del dominio remoto, eso no siempre está a nuestra disposición. A su favor tiene que es muy sencillo y tiene 4 cmdlets

https://gallery.technet.microsoft.com/scriptcenter/AD-Trust-ff0ac3b6#content

Aquí os pongo una captura con su output

Funcion nueva

También he encontrado otro script que nos permite crear relaciones de confianza de tipo Forest (transitivas). Pero tenemos el mismo inconveniente que en el anterior, que nos pide las credenciales del administrador remoto, no siempre las tenemos a mano y como en el caso anterior tenemos que ponerlas como texto plano (!)

https://social.technet.microsoft.com/wiki/contents/articles/11911.how-to-create-forest-trust-using-powershell.aspx

Os adjunto el output del script:

funcion nueva2

NETDOM TRUST

Esta es una herramienta de línea de comandos que podemos utilizar para crear las confianzas, como sabéis podemos lanzar la herramienta desde CMD o Powershell.

Es una herramienta muy interesante con muchos parámetros y combinaciones, no sólo crea las relaciones de confianza sino que también se puede usar para verificar, resetear, borrar, además de habilitar-deshabilitar el filtro del SID a nivel de bosque o dominio.

Algo que no podemos hacer con este comando es relaciones de confianza de tipo forest.

Algunos ejemplos del output de este comando son:

netdom

Vistas las opciones que tenemos para crear las relaciones de confianza, ya sólo tenemos que elegir entre la que más nos conviene.

REFERENCIAS

INFORMACIÓN DETALLADA DE LAS RELACIONES DE CONFIANZA
https://technet.microsoft.com/en-us/library/cc977993.aspx
SCRIPTS POWERSHELL PARA AÑADIR RELACIONES DE CONFIANZA
https://social.technet.microsoft.com/wiki/contents/articles/11911.how-to-create-forest-trust-using-powershell.aspx
FUNCIÓN POWERSHELL PARA AÑADIR RELACIONES DE CONFIANZA
https://gallery.technet.microsoft.com/scriptcenter/AD-Trust-ff0ac3b6
BLOG DEL TECH CLUB DE TAJAMAR
https://techclub.formaciontajamar.com/

Autor: Heloise Sanmiguel Niebles Noriega

Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform and Infrastructure

Centro: Tajamar

Año Académico: 2017-2018

https://www.linkedin.com/in/heloisesanmiguel/