Creación de una confianza de bosque de Microsoft Entra Domain Services en un dominio local mediante Azure PowerShell

2025-01-26

En entornos en los que no se pueden sincronizar los hashes de contraseña o tiene usuarios que inician sesión exclusivamente con tarjetas inteligentes para que no conozcan su contraseña, puede crear una confianza de salida unidireccional desde Microsoft Entra Domain Services a uno o varios entornos de AD DS locales. Esta relación de confianza permite a los usuarios, aplicaciones y equipos autenticarse en un dominio local desde el dominio administrado de Domain Services. En este caso, los hash de contraseña local nunca se sincronizan.

Diagrama de la confianza de bosque desde Domain Services a un entorno local de AD DS

En este artículo, aprenderá a:

Creación de un bosque de Domain Services mediante Azure PowerShell
Crear una confianza de bosque de salida unidireccional en el dominio administrado mediante Azure PowerShell
Configuración de DNS en un entorno de AD DS local para admitir la conectividad de dominio administrado
Crear una confianza de bosque de entrada unidireccional en un entorno local de AD DS
Prueba y validación de la relación de confianza para la autenticación y el acceso a recursos

Si no tiene una suscripción de Azure, cree una cuenta para empezar.

Importante

Los bosques de dominio administrados no admiten actualmente Azure HDInsight ni Azure Files. Los bosques de dominios administrados predeterminados admiten ambos servicios adicionales.

Prerrequisitos

Para completar este artículo, necesita los siguientes recursos y privilegios:

Una suscripción de Azure activa.
- Si no tiene una suscripción a Azure, cree una cuenta.
Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio en el entorno local o con un directorio solo en la nube.
- Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
Instale y configure Azure PowerShell.
- Si es necesario, siga las instrucciones para instalar el módulo de Azure PowerShell y conectarse a la suscripción de Azure.
- Asegúrese de iniciar sesión en su suscripción de Azure utilizando el cmdlet Connect-AzAccount.
Instale y configure MS Graph PowerShell.
- Si es necesario, siga las instrucciones para instalar el módulo de MS Graph PowerShell y conectarse a Microsoft Entra ID.
- Asegúrese de iniciar sesión en su entidad de Microsoft Entra utilizando el cmdlet Connect-MgGraph.
Necesita los roles de administrador de aplicaciones y administrador de grupos de Microsoft Entra en su tenant para habilitar Domain Services.
Necesita el rol de Azure Colaborador de Domain Services para crear los recursos de Domain Services necesarios.

En este artículo, se crea y configura la confianza de bosque saliente desde un dominio administrado utilizando el Centro de administración de Microsoft Entra. Para empezar, inicie sesión primero en el Centro de administración de Microsoft Entra.

Proceso de implementación

Este es un proceso compuesto de varias partes para crear un bosque de dominio administrado y una relación de confianza en una instancia de AD DS local. Los siguientes pasos generales crean el entorno híbrido de confianza:

Cree una entidad de servicio de dominio administrado.
Cree un bosque de dominio administrado.
Cree conectividad de red híbrida mediante VPN de sitio a sitio o ExpressRoute.
Cree el lado del dominio administrado de la relación de confianza.
Cree el lado AD DS local de la relación de confianza.

Antes de empezar, asegúrese de comprender las consideraciones de red , la nomenclatura de bosques y los requisitos de DNS. No se puede cambiar el nombre del bosque de dominio administrado una vez implementado.

Creación de entidad de servicio de Microsoft Entra

Domain Services requiere que una entidad de servicio sincronice los datos de Microsoft Entra ID. Esta entidad de seguridad debe crearse en el inquilino de Microsoft Entra antes de crear el bosque del dominio administrado.

Cree una entidad de servicio de Microsoft Entra para que Domain Services se comunique y autentique. Se usa un identificador de aplicación específico denominado Domain Controller Services con un identificador de 6ba9a5d4-8456-4118-b521-9c5ca10cdf84. No cambie este identificador de aplicación.

Cree una entidad de servicio de Microsoft Entra mediante el cmdlet New-MgServicePrincipal:

New-MgServicePrincipal

Creación de un dominio administrado

Para crear un dominio administrado, use el script New-AaddsResourceForest. Este script forma parte de un conjunto más amplio de comandos que admiten dominios administrados. Están disponibles en la galería de PowerShell. Están firmados digitalmente por el equipo de ingeniería de Microsoft Entra.

En primer lugar, cree un grupo de recursos mediante el cmdlet New-AzResourceGroup . En el siguiente ejemplo, el grupo de recursos se denomina myResourceGroup y se crea en la región westus. Use su propio nombre y la región deseada:
```
New-AzResourceGroup `
  -Name "myResourceGroup" `
  -Location "WestUS"
```
Instale el script New-AaddsResourceForest de la Galería de PowerShell mediante el cmdlet Install-Script:
```
Install-Script -Name New-AaddsResourceForest
```

Revise los siguientes parámetros necesarios para el script New-AaddsResourceForest. Asegúrese de que también tiene los módulos de Azure PowerShell y de Microsoft Graph PowerShell como requisitos previos. Asegúrese de que ha planeado los requisitos de red virtual para proporcionar conectividad local y de aplicación.

Nombre	Parámetro de script	Descripción
Suscripción	-ID de suscripción de Azure	Identificador de suscripción usado para la facturación de Domain Services. Puede obtener la lista de suscripciones mediante el cmdlet Get-AzureRMSubscription.
Grupo de recursos	-aaddsResourceGroupName	Nombre del grupo de recursos para el dominio administrado y los recursos asociados.
Ubicación	-aaddsLocation	Región de Azure para hospedar el dominio administrado. Para ver las regiones disponibles, consulte regiones compatibles para Servicios de Dominio.
Administrador de Domain Services	-aaddsAdminUser	Nombre principal de usuario del primer administrador de dominio administrado. Esta cuenta debe ser una cuenta de usuario en la nube existente en el identificador de Microsoft Entra. El usuario y el que ejecuta el script se añaden al grupo AAD DC Administrators.
Nombre de dominio de Domain Services	-aaddsDomainName	FQDN del dominio administrado, basado en las instrucciones anteriores sobre cómo elegir un nombre de bosque.

El script de New-AaddsResourceForest puede crear la red virtual de Azure y la subred de Domain Services si estos recursos aún no existen. El script puede crear opcionalmente las subredes de carga de trabajo, cuando se especifica:

Nombre	Parámetro de script	Descripción
Nombre de red virtual	-aaddsVnetName	Nombre de la red virtual para el dominio administrado.
Espacio de direcciones	-aaddsVnetCIDRAddressSpace	Intervalo de direcciones de la red virtual en notación CIDR (si crea la red virtual).
Nombre de subred de Domain Services	-aaddsSubnetName	Nombre de la subred del aaddsVnetName red virtual que hospeda el dominio administrado. No implemente sus propias máquinas virtuales y cargas de trabajo en esta subred.
Intervalo de direcciones de Domain Services	-aaddsSubnetCIDRAddressRange	Intervalo de direcciones de subred en notación CIDR para la instancia de Domain Services, como 192.168.1.0/24. El intervalo de direcciones debe estar contenido por el intervalo de direcciones de la red virtual y diferente de otras subredes.
Nombre de subred de carga de trabajo (opcional)	-workloadSubnetName	Nombre opcional de una subred en la red virtual aaddsVnetName que se va a crear para sus propias cargas de trabajo de la aplicación. En su lugar, las VM y las aplicaciones se conectan a una red virtual de Azure emparejada.
Intervalo de direcciones de la carga de trabajo (opcional)	-workloadSubnetCIDRAddressRange	Intervalo opcional de direcciones de subred en la notación CIDR para la carga de trabajo de la aplicación, como 192.168.2.0/24. El intervalo de direcciones debe estar contenido por el intervalo de direcciones de la red virtual y diferente de otras subredes.

Ahora cree un bosque de dominio administrado mediante el script New-AaddsResourceForest. En el ejemplo siguiente se crea un bosque denominado addscontoso.com y se crea una subred de carga de trabajo. Proporcione sus propios nombres de parámetro y intervalos de direcciones IP o redes virtuales existentes.
```
New-AaddsResourceForest `
    -azureSubscriptionId <subscriptionId> `
    -aaddsResourceGroupName "myResourceGroup" `
    -aaddsLocation "WestUS" `
    -aaddsAdminUser "contosoadmin@contoso.com" `
    -aaddsDomainName "aaddscontoso.com" `
    -aaddsVnetName "myVnet" `
    -aaddsVnetCIDRAddressSpace "192.168.0.0/16" `
    -aaddsSubnetName "AzureADDS" `
    -aaddsSubnetCIDRAddressRange "192.168.1.0/24" `
    -workloadSubnetName "myWorkloads" `
    -workloadSubnetCIDRAddressRange "192.168.2.0/24"
```
Se tarda bastante tiempo en crear el bosque de dominio administrado y los recursos auxiliares. Permita que se complete el script. Continúe con la sección siguiente para configurar la conectividad de red local mientras que el bosque de Microsoft Entra se aprovisiona en segundo plano.

Configuración y validación de la configuración de red

A medida que el dominio administrado continúa implementando, configure y valide la conectividad de red híbrida con el centro de datos local. También necesita una máquina virtual de administración para usarla con el dominio administrado para el mantenimiento normal. Es posible que algunas de las conectividad híbridas ya existan en su entorno, o es posible que tenga que trabajar con otras personas del equipo para configurar las conexiones.

Antes de empezar, asegúrese de comprender las consideraciones de red y las recomendaciones de .

Cree la conectividad híbrida a la red local a Azure mediante una conexión VPN de Azure o Azure ExpressRoute. La configuración de red híbrida está fuera del ámbito de esta documentación y puede que ya exista en su entorno. Para más información sobre escenarios específicos, consulte los siguientes artículos:
- VPN de sitio a sitio de Azure.
- Introducción a Azure ExpressRoute.
Importante

Si crea la conexión directamente a la red virtual del dominio administrado, use una subred de puerta de enlace independiente. No cree la puerta de enlace en la subred del dominio administrado.
Para administrar un dominio administrado, cree una máquina virtual de administración, únala al dominio administrado e instale las herramientas de administración de AD DS necesarias.

Mientras se implementa el dominio administrado, crear una máquina virtual Windows Server luego instalar las herramientas de administración principales de AD DS para instalar las herramientas de administración necesarias. Espere a unir la VM de administración al dominio administrado hasta que llegue a uno de los siguientes pasos después de implementar correctamente el dominio.
Valide la conectividad de red entre la red local y la red virtual de Azure.
- Confirme que el controlador de dominio local puede conectarse a la máquina virtual administrada mediante ping o escritorio remoto, por ejemplo.
- Compruebe que la máquina virtual de administración puede conectarse a los controladores de dominio locales, de nuevo mediante una utilidad como ping.
En el Centro de administración de Microsoft Entra, busque y seleccione Microsoft Entra Domain Services. Elija el dominio administrado, como aaddscontoso.com y espere a que el estado aparezca como En ejecución.

Al ejecutar, actualiza la configuración de DNS de la red virtual de Azure y luego habilita cuentas de usuario para Servicios de Dominio para finalizar las configuraciones del dominio administrado.
Anote las direcciones DNS que se muestran en la página de información general. Necesitará esas direcciones cuando tenga que configurar el lado local de Active Directory correspondiente a la relación de confianza de la sección siguiente.
Reinicie la máquina virtual de administración para que reciba la nueva configuración de DNS y, a continuación, unir la máquina virtual al dominio administrado.
Después de unir la máquina virtual de administración al dominio administrado, vuelva a conectarse mediante escritorio remoto.

En el símbolo del sistema, use nslookup y el nombre del bosque del dominio administrado para validar la resolución de nombres del bosque.
```
nslookup aaddscontoso.com
```
El comando debe devolver dos direcciones IP para el bosque.

Creación de la confianza de bosque

La confianza de bosque tiene dos partes: la confianza de bosque de salida unidireccional en el dominio administrado y la confianza de bosque de entrada unidireccional en el bosque de AD DS local. Cree manualmente ambos lados de esta relación de confianza. Cuando se crean ambos lados, los usuarios y los recursos pueden autenticarse correctamente mediante la confianza de bosque. Un dominio administrado admite hasta cinco confianzas de bosques de salida unidireccionales en los bosques locales.

Creación del lado del dominio administrado de la relación de confianza

Use el script Add-AaddsResourceForestTrust para crear el lado del dominio administrado de la relación de confianza. En primer lugar, instale el script Add-AaddsResourceForestTrust desde la galería de PowerShell mediante el cmdlet Install-Script .

Install-Script -Name Add-AaddsResourceForestTrust

Ahora proporcione al script la siguiente información.

Nombre	Parámetro de script	Descripción
Nombre de dominio de Domain Services	-ManagedDomainFqdn	FQDN del dominio administrado, como aaddscontoso.com
Nombre de dominio de AD DS local	-TrustFqdn	FQDN del bosque de confianza, como onprem.contoso.com
Nombre descriptivo de confianza	-TrustFriendlyName	Nombre descriptivo de la relación de confianza.
Direcciones IP DNS locales de AD DS	-TrustDnsIPs	Lista delimitada por comas de direcciones IPv4 del servidor DNS para el dominio de confianza enumerado.
Contraseña de confianza	-TrustPassword	Contraseña compleja para la relación de confianza. Esta contraseña también se introduce al crear la confianza de entrada unidireccional en las instalaciones de AD DS.
Credenciales	-Credentials	Credenciales usadas para autenticarse en Azure. El usuario debe estar en el grupo de administradores de controlador AAD DC. Si no se proporciona, el script solicita la autenticación.

En el ejemplo siguiente se crea una relación de confianza denominada myAzureADDSTrust para onprem.contoso.com. Use sus propios nombres de parámetro y contraseñas:.

Add-AaddsResourceForestTrust `
    -ManagedDomainFqdn "aaddscontoso.com" `
    -TrustFqdn "onprem.contoso.com" `
    -TrustFriendlyName "myAzureADDSTrust" `
    -TrustDnsIPs "10.0.1.10,10.0.1.11" `
    -TrustPassword <complexPassword>

Importante

Recuerde su contraseña de confianza. Debe usar la misma contraseña cuando configure la parte local de la relación de confianza.

Configuración de DNS en el dominio local

Para resolver correctamente el dominio administrado desde el entorno local, es posible que tenga que agregar reenviadores a los servidores DNS existentes. Si no ha configurado el entorno local para comunicarse con el dominio administrado, complete los pasos siguientes de una estación de trabajo de administración para el dominio de AD DS local:

Seleccione Inicio | Herramientas administrativas | DNS
Seleccione el servidor DNS con el botón derecho, como myAD01, seleccione Propiedades
Elija Reenviadores y, después, Editar para agregar reenviadores adicionales.
Agregue las direcciones IP del dominio administrado, como 10.0.1.4 y 10.0.1.5.
En un símbolo del sistema local, valide la resolución de nombres mediante el valor nslookup del nombre de dominio administrado. Por ejemplo, Nslookup aaddscontoso.com debe devolver las dos direcciones IP del dominio administrado.

Creación de una confianza de bosque de entrada en el dominio local

El dominio de AD DS local necesita una confianza de bosque de entrada para el dominio administrado. Esta confianza se debe crear manualmente en el dominio de AD DS local, no se puede crear desde el Centro de administración de Microsoft Entra.

Para configurar la confianza entrante en el dominio de AD DS local, complete los pasos siguientes de una estación de trabajo de administración para el dominio de AD DS local:

Seleccione Inicio | Herramientas administrativas | Dominios y confianzas de Active Directory
Seleccione el dominio con el botón derecho, como onprem.contoso.com, seleccione Propiedades
Elija la pestaña Confianzas y, a continuación, Nueva confianza
Escriba el nombre del dominio administrado, como aaddscontoso.comy, después, seleccione Siguiente
Seleccione la opción para crear una Confianza de bosque y, a continuación, para crear una confianza Unidireccional: de entrada.
Elija la opción para crear la confianza Solo para este dominio. En el paso siguiente, creará la confianza en el Centro de administración de Microsoft Entra para el dominio administrado.
Elija usar Autenticación en todo el bosque y después escriba y confirme una contraseña de confianza. Esta misma contraseña también se introduce en el Centro de administración de Microsoft Entra en la sección siguiente.
Deje las opciones predeterminadas de las siguientes ventanas y después elija la opción No, no confirmar la confianza saliente. No se puede validar la relación de confianza porque la cuenta de administrador delegada en el dominio administrado no tiene los permisos necesarios. Este comportamiento es por diseño.
Seleccione Finalizar

Validación de la autenticación de recursos

Los siguientes escenarios comunes permiten validar que la confianza del bosque autentica correctamente a los usuarios y el acceso a los recursos:

Autenticación de usuario local desde el bosque de Domain Services
Acceso a los recursos del bosque de Domain Services como un usuario local

Autenticación de usuarios local desde el bosque de Domain Services

Debe tener una máquina virtual de Windows Server unida al dominio de recursos gestionado. Use esta máquina virtual para probar que el usuario local puede autenticarse en una máquina virtual.

Conéctese a la máquina virtual Windows Server unida al dominio administrado mediante Escritorio remoto y las credenciales de administrador de dominio administrado. Si recibe un error de Autenticación de nivel de red (NLA), compruebe que la cuenta de usuario que usó no es una cuenta de usuario de dominio.

Sugerencia

Para conectarse de forma segura a las máquinas virtuales unidas a Microsoft Entra Domain Services, puede usar el servicio de host de Azure Bastion en las regiones de Azure admitidas.
Abra una ventana de comandos y use el comando whoami para mostrar el nombre distinguido del usuario actualmente autenticado:
```
whoami /fqdn
```
Use el comando runas para autenticarse como usuario desde el dominio local. En el comando siguiente, reemplace userUpn@trusteddomain.com por el UPN de un usuario del dominio local de confianza. El comando le pide la contraseña del usuario:
```
Runas /u:userUpn@trusteddomain.com cmd.exe
```
Si la autenticación se realiza correctamente, se abre un nuevo símbolo del sistema. El título del nuevo símbolo del sistema incluye running as userUpn@trusteddomain.com.
Utilice whoami /fqdn en el nuevo símbolo del sistema para ver el nombre distintivo del usuario autenticado del entorno local de Active Directory.

Acceso a los recursos de Domain Services como usuario local

Con la máquina virtual Windows Server unida al dominio administrado, puede probar el escenario en el que los usuarios pueden acceder a los recursos hospedados en el bosque cuando se autentican desde equipos del dominio local con usuarios del dominio local. En los ejemplos siguientes se muestra cómo crear y probar varios escenarios comunes.

Conéctese a la máquina virtual Windows Server unida al dominio administrado mediante Escritorio remoto y las credenciales de administrador de dominio administrado. Si recibe un error de Autenticación de nivel de red (NLA), compruebe que la cuenta de usuario que usó no es una cuenta de usuario de dominio.

Sugerencia

Para conectarse de forma segura a las máquinas virtuales unidas a Microsoft Entra Domain Services, puede usar el servicio de host de Azure Bastion en las regiones de Azure admitidas.
Abra Configuración de Windows, busque y seleccione Centro de red y uso compartido.
Elija la opción Cambiar configuración de uso compartido avanzado.
En Perfil de dominio, seleccione Activar el uso compartido de archivos e impresoras y, a continuación, Guardar cambios.
Cierre el Centro de redes y recursos compartidos.

Creación de un grupo de seguridad y adición de miembros

Abra Usuarios y equipos de Active Directory.
Seleccione con el botón derecho el nombre de dominio, elija Nuevoy, después, seleccione Unidad organizativa.
En el cuadro de nombre, escriba LocalObjects y seleccione Aceptar.
Seleccione y haga clic con el botón derecho en LocalObjects en el panel de navegación. Seleccione Nuevo y, a continuación, Grupo.
Escriba FileServerAccess en el cuadro Nombre de grupo. En Ámbito de grupo, seleccione Dominio local y, a continuación, elija Aceptar.
En el panel de contenido, haga doble clic en FileServerAccess. Seleccione Miembros, elija Agregar y, a continuación, seleccione Ubicaciones.
Seleccione el entorno local de Active Directory en la vista Ubicación y, a continuación, elija Aceptar.
Escriba Usuarios del dominio en el cuadro Escriba los nombres de objeto que desea seleccionar. Seleccione Comprobar nombres, proporcione las credenciales del entorno local de Active Directory y, a continuación, seleccione Aceptar.

Nota

Debe proporcionar credenciales porque la relación de confianza es unidireccional. Esto significa que los usuarios del dominio administrado no pueden acceder a recursos ni buscar usuarios o grupos en el dominio de confianza (local).
El grupo Usuarios del dominio del entorno local de Active Directory debe ser miembro del grupo FileServerAccess. Seleccione Aceptar para guardar el grupo y cerrar la ventana.

En la máquina virtual windows Server unida al dominio administrado, cree una carpeta y proporcione un nombre como CrossForestShare.
Seleccione la carpeta con el botón derecho y elija Propiedades.
Seleccione la pestaña Seguridad, luego elija Editar.
En el cuadro de diálogo Permisos para CrossForestShare, seleccione Agregar.
Escriba FileServerAccess en Escriba los nombres de objeto que desea seleccionar y, a continuación, seleccione Aceptar.
Seleccione FileServerAccess de la lista Nombres de grupos o usuarios. En la lista Permisos para FileServerAccess, elija Permitir para los permisos Modificar y Escribir y después seleccione Aceptar.
Seleccione la pestaña Compartir y elija Uso compartido avanzado...
Elija Compartir esta carpeta y escriba un nombre fácil de recordar para el recurso compartido de archivos en Nombre del recurso compartido, como CrossForestShare.
Seleccione Permisos. En la lista Permisos para todos, elija Permitir para el permiso Cambiar.
Seleccione Aceptar dos veces y, a continuación, Cerrar.

Validación de la autenticación entre bosques en un recurso

Inicie sesión en un equipo Windows unido a active Directory local mediante una cuenta de usuario de Active Directory local.
Con el Explorador de Windows, conéctese al recurso compartido que creó. Para ello, use el nombre de host completo y el recurso compartido, como en \\fs1.aaddscontoso.com\CrossforestShare.
Para validar el permiso de escritura, seleccione con el botón derecho en la carpeta, elija Nuevoy, a continuación, seleccione Documento de texto. Use el nombre predeterminado Nuevo documento de texto.

Si los permisos de escritura se establecen correctamente, se crea un nuevo documento de texto. Los pasos siguientes abrirán, editarán y eliminarán el archivo según corresponda.
Para validar el permiso de lectura, abra Nuevo documento de texto.
Para validar el permiso de modificación, agregue texto al archivo y cierre Bloc de notas. Cuando se le pida que guarde los cambios, elija Guardar.
Para validar el permiso de eliminación, seleccione Nuevo documento de texto y elija Eliminar. Elija Sí para confirmar la eliminación de archivos.

Actualización o eliminación de la confianza del bosque de salida

Si necesita actualizar un bosque saliente unidireccional existente desde el dominio administrado, puede usar los scripts de Get-AaddsResourceForestTrusts y Set-AaddsResourceForestTrust. Estos scripts le ayudarán en aquellos escenarios en los que quiera actualizar el nombre descriptivo o la contraseña de confianza de un bosque. Para quitar una confianza de salida unidireccional del dominio administrado, puede usar el script Remove-AaddsResourceForestTrust. Debe quitar manualmente la confianza de bosque de entrada unidireccional en el bosque de AD DS local asociado.

Actualizar un fideicomiso de bosques

En el funcionamiento normal, el dominio administrado y el bosque local negocian un proceso de actualización de contraseñas normal entre sí mismos. Esto forma parte del proceso normal de seguridad de relaciones de relación de confianza de AD DS. No es necesario rotar manualmente la contraseña de confianza a menos que la relación de confianza haya experimentado un problema y quiera restablecer manualmente a una contraseña conocida. Para obtener más información, consulte los cambios de contraseña de objetos del dominio de confianza.

En los pasos de ejemplo siguientes se muestra cómo actualizar una relación de confianza existente si necesita restablecer manualmente la contraseña de confianza saliente:

Instale los scripts Get-AaddsResourceForestTrusts y Set-AaddsResourceForestTrust de la Galería de PowerShell mediante el cmdlet Install-Script:
```
Install-Script -Name Get-AaddsResourceForestTrusts,Set-AaddsResourceForestTrust
```
Para poder actualizar una confianza existente, primero obtenga el recurso de confianza mediante el script de Get-AaddsResourceForestTrusts. En el ejemplo siguiente, la confianza existente se asigna a un objeto denominado existingTrust. Especifique su propio nombre de bosque de dominio administrado y el nombre de bosque local que quiere actualizar:
```
$existingTrust = Get-AaddsResourceForestTrust `
    -ManagedDomainFqdn "aaddscontoso.com" `
    -TrustFqdn "onprem.contoso.com" `
    -TrustFriendlyName "myAzureADDSTrust"
```
Para actualizar la contraseña de confianza existente, use el script Set-AaddsResourceForestTrust. Especifique el objeto de confianza existente del paso anterior y, a continuación, una nueva contraseña de relación de confianza. PowerShell no aplica ninguna complejidad de contraseña, por lo que debe asegurarse de generar y usar una contraseña segura para su entorno.
```
Set-AaddsResourceForestTrust `
    -Trust $existingTrust `
    -TrustPassword <newComplexPassword>
```

Eliminar un fideicomiso forestal

Si ya no necesita la confianza de bosque de salida unidireccional desde el dominio administrado hasta un bosque de AD DS local, puede quitarla. Asegúrese de que ninguna aplicación o servicio necesite autenticarse en el bosque local de AD DS antes de quitar la confianza. Asimismo, también debe quitar manualmente la confianza de entrada unidireccional en el bosque de AD DS local asociado.

Instale el script Remove-AaddsResourceForestTrust de la Galería de PowerShell mediante el cmdlet Install-Script:
```
Install-Script -Name Remove-AaddsResourceForestTrust
```
A continuación, quite la confianza de bosque mediante el script Remove-AaddsResourceForestTrust. En el ejemplo siguiente, se quita la confianza denominada myAzureADDSTrust entre el bosque de dominio administrado denominado aaddscontoso.com y el bosque local onprem.contoso.com. Especifique su propio nombre de bosque de dominio administrado y el nombre de bosque local que quiere quitar:
```
Remove-AaddsResourceForestTrust `
    -ManagedDomainFqdn "aaddscontoso.com" `
    -TrustFqdn "onprem.contoso.com" `
    -TrustFriendlyName "myAzureADDSTrust"
```

Para quitar la confianza de entrada unidireccional del bosque de AD DS local, conéctese a un equipo de administración que tenga acceso al bosque de AD DS local y realice los pasos siguientes:

Seleccione Inicio | Herramientas administrativas | Dominios y confianzas de Active Directory.
Haga clic con el botón derecho en el dominio, como onprem.contoso.com, y seleccione Propiedades.
Elija la pestaña Confianzas y, a continuación, seleccione la confianza entrante existente en el bosque de dominio administrado.
Seleccione Quitar y confirme que quiere quitar la confianza entrante.

Pasos siguientes

En este artículo, ha aprendido a:

Creación de un dominio administrado mediante Azure PowerShell
Crear una confianza de bosque de salida unidireccional en el dominio administrado mediante Azure PowerShell
Configuración de DNS en un entorno de AD DS local para admitir la conectividad de dominio administrado
Crear una confianza de bosque de entrada unidireccional en un entorno local de AD DS
Prueba y validación de la relación de confianza para la autenticación y el acceso a recursos

Para obtener más información conceptual sobre los tipos de bosque en Servicios de Dominio, consulte ¿Cómo funcionan las confianzas forestales en Servicios de Dominio?

Connect-MgGraph: /powershell/microsoftgraph/authentication-commands

New-MgServicePrincipal: /powershell/module/microsoft.graph.applications/new-mgserviceprincipal