Tutorial: Creación de una confianza de bosque bidireccional en Microsoft Entra Domain Services con un dominio local

Puede crear una confianza de bosque entre Microsoft Entra Domain Services y entornos de AD DS locales. Esta relación de confianza de bosque permite que los usuarios, las aplicaciones y los equipos se autentiquen en un dominio local desde el dominio administrado de Domain Services. Una confianza de bosque puede ayudar a los usuarios a acceder a los recursos en escenarios como:

• Entornos en los que no se pueden sincronizar los códigos hash de contraseña o en los que los usuarios inician sesión solo con tarjetas inteligentes y no saben su contraseña.
• Escenarios híbridos que requieren acceso a dominios locales.

Puede elegir entre tres direcciones posibles al crear una confianza de bosque, en función de cómo los usuarios necesiten acceder a los recursos. Domain Services solo admite confianzas de bosque. No se admite una confianza externa para un dominio secundario local.

Dirección de confianza	Acceso de usuarios
Bidireccional	Permite a los usuarios del dominio administrado y del dominio local acceder a los recursos de cualquier dominio.
Saliente unidireccional	Permite a los usuarios del dominio local acceder a los recursos del dominio administrado, pero no al contrario.
Entrante unidireccional	Permite a los usuarios del dominio administrado acceder a los recursos del dominio local.

En este tutorial, aprenderá a:

• Configurar DNS en un dominio de AD DS local para admitir la conectividad de Domain Services
• Crear una confianza de bosque bidireccional entre el dominio administrado y el dominio local
• Prueba y validación de la relación de confianza de bosque para la autenticación y el acceso a los recursos

Si no tiene una suscripción a Azure, cree una cuenta antes de empezar.

Prerrequisitos

Para completar este tutorial, necesitará los siguientes recursos y privilegios:

• Una suscripción de Azure activa.
  • Si no tiene una suscripción a Azure, cree una cuenta.
• Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio en el entorno local o con un directorio solo en la nube.
  • Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
• Un dominio administrado de Domain Services configurado con un nombre de dominio DNS personalizado y un certificado SSL válido.
  • Si es necesario, cree y configure un dominio administrado de Microsoft Entra Domain Services.
• Un dominio de Active Directory local al que se puede acceder desde el dominio administrado a través de una conexión VPN o ExpressRoute.
• Los roles de Administrador de aplicaciones y Administrador de grupos de Microsoft Entra en su inquilino para modificar una instancia de Domain Services.
• Una cuenta de administrador de dominio en el dominio local que tenga los permisos para crear y comprobar las relaciones de confianza.

Importante

Debe usar como mínimo la SKU Enterprise para el dominio administrado. Si es necesario, cambie la SKU de un dominio administrado.

Iniciar sesión en el centro de administración de Microsoft Entra

En este tutorial creará y configurará la confianza de bosque de salida de Domain Services mediante el centro de administración de Microsoft Entra. Para empezar, inicie sesión primero en el Centro de administración de Microsoft Entra.

Consideraciones sobre redes

La red virtual que hospeda el bosque de Domain Services necesita una conexión VPN o ExpressRoute con su entorno local de Active Directory. Las aplicaciones y los servicios también necesitan conectividad de red con la red virtual que hospeda el bosque de recursos de Domain Services. La conectividad de red con el bosque de Domain Services debe estar siempre activa y estable. De lo contrario, es posible que los usuarios no puedan autenticarse ni acceder a los recursos.

Antes de configurar una confianza de bosque en Domain Services, asegúrese de que las redes entre Azure y el entorno local cumplan los requisitos siguientes:

• Asegúrese de que los puertos de firewall permiten el tráfico necesario para crear y usar una confianza. Para obtener más información sobre qué puertos deben estar abiertos para usar una confianza, consulte Configuración de las opciones de firewall para las confianzas de AD DS.
• Use direcciones IP privadas. No use DHCP con asignación de direcciones IP dinámicas.
• Evite los espacios de direcciones IP superpuestos para permitir el emparejamiento y el enrutamiento de redes virtuales con el fin de que Azure y el entorno local se comuniquen correctamente.
• Una red virtual de Azure necesita una subred de puerta de enlace para configurar una conexión VPN de sitio a sitio (S2S) de Azure o ExpressRoute.
• Cree subredes con suficientes direcciones IP para admitir su escenario.
• Asegúrese de que Domain Services tenga su propia subred; no comparta esta subred de red virtual con los servicios y las máquinas virtuales de la aplicación.
• Las redes virtuales emparejadas no son transitivas.
  • Los emparejamientos de redes virtuales de Azure deben crearse entre todas las redes virtuales que quiera usar la confianza del bosque de Azure AD en el entorno local de AD DS.
• Proporcione conectividad de red continua al bosque local de Active Directory. No use conexiones a petición.
• Asegúrese de que haya una resolución de nombres DNS continua entre el nombre del bosque de Domain Services y el nombre del bosque de Active Directory local.

Configuración de DNS en el dominio local

Para resolver correctamente el dominio administrado desde el entorno local, quizá tenga que agregar reenviadores a los servidores DNS existentes. Para configurar el entorno local de forma que se comunique con el dominio administrado, complete los pasos siguientes desde una estación de trabajo de administración para el dominio de AD DS local:

1. Seleccione Inicio>Herramientas administrativas>DNS.

2. Seleccione la zona DNS, por ejemplo, aaddscontoso.com.

3. Seleccione Reenviadores condicionales, haga clic con el botón derecho y seleccione Nuevo reenviador condicional…

4. Escriba el otro Dominio DNS, por ejemplo, contoso.com, y escriba las direcciones IP de los servidores DNS para ese espacio de nombres, tal como se muestra en el ejemplo siguiente:

   

5. Active la casilla Almacenar este reenviador condicional en Active Directory y replicarlo como sigue, a continuación, seleccione la opción Todos los servidores DNS en este dominio, como se muestra en el ejemplo siguiente:

   

   Importante

   Si el reenviador condicional está almacenado en el bosque en lugar de en el dominio, se produce un error en el reenviador condicional.

6. Para crear el reenviador condicional, seleccione Aceptar.

Creación de una confianza de bosque bidireccional en el dominio local

El dominio de AD DS local necesita una confianza de bosque bidireccional para el dominio administrado. Esta confianza se debe crear manualmente en el dominio de AD DS local, no se puede crear desde el Centro de administración Microsoft Entra.

Para configurar una confianza bidireccional en el dominio de AD DS local, complete los pasos siguientes como administrador de dominio desde una estación de trabajo de administración para el dominio de AD DS local:

1. Seleccione Inicio>Herramientas administrativas>Dominios y confianzas de Active Directory.
2. Haga clic con el botón derecho en el dominio (por ejemplo, onprem.contoso.com) y seleccione Propiedades.
3. Elija la pestaña Confianzas y, a continuación, Nueva confianza.
4. Escriba el nombre de dominio de Domain Services (por ejemplo, aaddscontoso.com) y seleccione Siguiente.
5. Seleccione la opción para crear una Confianza de bosque y, a continuación, para crear una confianza Bidireccional.
6. Elija la opción para crear la confianza Solo para este dominio. En el paso siguiente, creará la confianza en el centro de administración de Microsoft Entra para el dominio administrado.
7. Elija usar Autenticación en todo el bosque y después escriba y confirme una contraseña de confianza. Esta misma contraseña también se escribe en el centro de administración de Microsoft Entra en la sección siguiente.
8. Deje las opciones predeterminadas de las siguientes ventanas y después elija la opción No, no confirmar la confianza saliente.
9. Seleccione Finalizar.

Si la confianza de bosque ya no se necesita en un entorno, siga estos pasos como administrador de dominio para quitarla del dominio local:

1. Seleccione Inicio>Herramientas administrativas>Dominios y confianzas de Active Directory.
2. Haga clic con el botón derecho en el dominio (por ejemplo, onprem.contoso.com) y seleccione Propiedades.
3. Seleccione la pestaña Confianzas y Dominios que confían en este dominio (confianzas de entrada) . A continuación, elija la confianza para quitar y haga clic en Quitar.
4. En la pestaña Confianzas, en Dominios de confianza para este dominio (confianzas de salida) , seleccione la confianza que quitar y haga clic en Quitar.
5. Haga clic en No, quitar la relación de confianza solo del dominio local.

Creación de una confianza de bosque bidireccional en Domain Services

Para crear la confianza bidireccional para el dominio administrado en el Centro de administración Microsoft Entra, realice los pasos siguientes:

1. En el centro de administración de Microsoft Entra, busque y seleccione Microsoft Entra Domain Services y seleccione el dominio administrado (por ejemplo, aaddscontoso.com).

2. En el menú del lado izquierdo del dominio administrado, seleccione Confianzas y, a continuación, elija + Agregar una confianza.

3. Seleccione Bidireccional como dirección de confianza.

4. Especifique un nombre para mostrar que identifique la confianza y, a continuación, el nombre DNS del bosque de confianza local (por ejemplo, onprem.contoso.com).

5. Proporcione la misma contraseña de confianza que usó al configurar la confianza de bosque de entrada para el dominio local de AD DS en la sección anterior.

6. Proporcione al menos dos servidores DNS para el dominio local de AD DS (por ejemplo, 10.1.1.4 y 10.1.1.5).

7. Cuando esté listo, guarde la confianza de bosque de salida.

   

Si la confianza de bosque ya no se necesita en un entorno, siga estos pasos para quitarla de Domain Services:

1. En el centro de administración de Microsoft Entra, busque y seleccione Microsoft Entra Domain Services y seleccione el dominio administrado (por ejemplo, aaddscontoso.com).
2. En el menú del lado izquierdo del dominio administrado, seleccione Confianzas, elija una confianza y haga clic en Quitar.
3. Especifique la misma contraseña de confianza que usó para configurar la confianza de bosque y haga clic en Aceptar.

Validación de autenticación de recursos

Los siguientes escenarios habituales permiten validar que la confianza de bosque autentica correctamente a los usuarios y al acceso a los recursos:

• Autenticación de usuario local desde el bosque de Domain Services
• Acceso a los recursos del bosque de Domain Services con un usuario local
  • Habilitación del uso compartido de archivos e impresoras
  • Creación de un grupo de seguridad e incorporación de miembros
  • Creación de un recurso compartido de archivos para el acceso entre bosques
  • Validación de la autenticación entre bosques en un recurso

Autenticación de usuarios local desde el bosque de Domain Services

Debe tener una máquina virtual de Windows Server unida al dominio administrado. Use esta máquina virtual para probar si el usuario local puede autenticarse en una máquina virtual. Si es necesario, cree una máquina virtual de Windows y únala al dominio administrado.

1. Conéctese a la máquina virtual de Windows Server unida al bosque de Domain Services mediante Azure Bastion y sus credenciales de administrador de Domain Services.

2. Abra un símbolo del sistema y use el comando whoami para mostrar el nombre distintivo del usuario autenticado actualmente:

   whoami /fqdn
   

3. Use el comando runas para autenticarse como un usuario del dominio local. En el siguiente comando, reemplace userUpn@trusteddomain.com por el UPN de un usuario del dominio local de confianza. El comando le solicita la contraseña de usuario:

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. Si la autenticación se realiza correctamente, se abre un nuevo símbolo del sistema. El título del nuevo símbolo del sistema incluye running as userUpn@trusteddomain.com.

5. Utilice whoami /fqdn en el nuevo símbolo del sistema para ver el nombre distintivo del usuario autenticado del entorno local de Active Directory.

Acceso a los recursos del bosque de Domain Services con un usuario local

Desde la máquina virtual Windows Server unida al bosque de Domain Services, puede probar escenarios. Por ejemplo, puede probar si un usuario que inicia sesión en el dominio local puede acceder a los recursos del dominio administrado. En los ejemplos siguientes se tratan escenarios de prueba comunes.

Habilitación del uso compartido de archivos e impresoras

1. Conéctese a la máquina virtual de Windows Server unida al bosque de Domain Services mediante Azure Bastion y sus credenciales de administrador de Domain Services.

2. Abra Configuración de Windows.

3. Busque Centro de redes y recursos compartidos y selecciónelo.

4. Elija la opción Cambiar configuración de uso compartido avanzado.

5. En Perfil de dominio, seleccione Activar el uso compartido de archivos e impresoras y, a continuación, Guardar cambios.

6. Cierre el Centro de redes y recursos compartidos.

Creación de un grupo de seguridad e incorporación de miembros

1. Abra Usuarios y equipos de Active Directory.

2. Haga clic derecho en el nombre de dominio, elija Nuevo y después seleccione Unidad organizativa.

3. En el cuadro de nombre, escriba LocalObjects y seleccione Aceptar.

4. Seleccione y haga clic con el botón derecho en LocalObjects en el panel de navegación. Seleccione Nuevo y, a continuación, Grupo.

5. Escriba FileServerAccess en el cuadro Nombre de grupo. En Ámbito de grupo, seleccione Dominio local y, a continuación, elija Aceptar.

6. En el panel de contenido, haga doble clic en FileServerAccess. Seleccione Miembros, elija Agregar y, a continuación, seleccione Ubicaciones.

7. Seleccione el entorno local de Active Directory en la vista Ubicación y, a continuación, elija Aceptar.

8. Escriba Usuarios del dominio en el cuadro Escriba los nombres de objeto que desea seleccionar. Seleccione Comprobar nombres, proporcione las credenciales del entorno local de Active Directory y, a continuación, seleccione Aceptar.

   Nota:

   Debe especificar las credenciales porque la relación de confianza solo es unidireccional. Esto implica que los usuarios del dominio administrado de Domain Services no pueden acceder a los recursos ni buscar usuarios o grupos en el dominio de confianza (local).

9. El grupo Usuarios del dominio del entorno local de Active Directory debe ser miembro del grupo FileServerAccess. Seleccione Aceptar para guardar el grupo y cerrar la ventana.

Creación de un recurso compartido de archivos para el acceso entre bosques

1. En la máquina virtual de Windows Server unida al bosque de Domain Services, cree una carpeta y proporcione un nombre como CrossForestShare.
2. Haga clic con el botón derecho en la carpeta y elija Propiedades.
3. Seleccione la pestaña Seguridad y después Editar.
4. En el cuadro de diálogo Permisos para CrossForestShare, seleccione Agregar.
5. Escriba FileServerAccess en Escriba los nombres de objeto que desea seleccionar y, a continuación, seleccione Aceptar.
6. Seleccione FileServerAccess de la lista Nombres de grupos o usuarios. En la lista Permisos para FileServerAccess, elija Permitir para los permisos Modificar y Escribir y después seleccione Aceptar.
7. Seleccione la pestaña Compartir y elija Uso compartido avanzado...
8. Elija Compartir esta carpeta y escriba un nombre fácil de recordar para el recurso compartido de archivos en Nombre del recurso compartido, como CrossForestShare.
9. Seleccione Permisos. En la lista Permisos para todos, elija Permitir para el permiso Cambiar.
10. Seleccione Aceptar dos veces y, a continuación, Cerrar.

Validación de la autenticación entre bosques en un recurso

1. Inicie sesión en un equipo Windows unido a su entorno local de Active Directory mediante una cuenta de usuario del entorno local de Active Directory.

2. Con el Explorador de Windows, conéctese al recurso compartido que creó. Para ello, use el nombre de host completo y el recurso compartido, como en \\fs1.aaddscontoso.com\CrossforestShare.

3. Para validar el permiso de escritura, haga clic con el botón derecho en la carpeta, elija Nuevo y después seleccione Documento de texto. Use el nombre predeterminado Nuevo documento de texto.

   Si los permisos de escritura están configurados correctamente, se crea un nuevo documento de texto. Realice los pasos siguientes para abrir, editar y eliminar el archivo según corresponda.

4. Para validar el permiso de lectura, abra el Nuevo documento de texto.

5. Para validar el permiso de modificación, agregue texto al archivo y cierre el Bloc de notas. Cuando se le pregunte si quiere guardar los cambios, elija Guardar.

6. Para validar el permiso de eliminación, seleccione el Nuevo documento de texto y elija Eliminar. Elija Sí para confirmar la eliminación del archivo.

Pasos siguientes

En este tutorial ha aprendido a:

• Configurar DNS en un entorno de AD DS local para admitir la conectividad de Domain Services
• Crear una confianza de bosque de entrada unidireccional en un entorno local de AD DS
• Creación de una confianza de bosque de salida unidireccional en Domain Services
• Probar y validar la relación de confianza para la autenticación y el acceso a los recursos.

Para más información conceptual sobre los bosques de Domain Services, consulte ¿Cómo funciona la confianza de bosque en Domain Services?.