Tutorial: Creación de una confianza de bosque bidireccional en Microsoft Entra Domain Services con un dominio local (versión preliminar)

Puede crear una confianza de bosque entre Microsoft Entra Domain Services y entornos de AD DS locales. La relación de confianza forestal permite a los usuarios, las aplicaciones y los equipos autenticarse en un dominio local desde un dominio administrado por los Servicios de Dominio, o viceversa. Una relación de confianza entre bosques puede ayudar a los usuarios a acceder a los recursos en escenarios como:

• Entornos en los que no se pueden sincronizar los hash de contraseña o dónde los usuarios inician sesión exclusivamente con tarjetas inteligentes y no conocen su contraseña.
• Escenarios híbridos que requieren acceso a dominios locales.

Puede elegir entre tres direcciones posibles al crear una confianza forestal, según las necesidades de acceso de los usuarios a los recursos. Domain Services solo admite confianzas de bosque. No se admite una confianza externa para un dominio secundario local.

Dirección basada en confianza	Acceso de usuario
Bidireccional (versión preliminar)	Permite a los usuarios del dominio administrado y del dominio local acceder a los recursos de cualquier dominio.
Saliente unidireccional	Permite a los usuarios del dominio local acceder a los recursos del dominio administrado, pero no viceversa.
Entrada unidireccional (versión preliminar)	Permite a los usuarios del dominio administrado acceder a los recursos del dominio local.

En este tutorial, aprenderá a:

• Configuración de DNS en un dominio de AD DS local para admitir la conectividad de Domain Services
• Crear una confianza de bosque bidireccional entre el dominio administrado y el dominio local
• Prueba y validación de la relación de confianza del bosque para la autenticación y el acceso a los recursos

Si no tiene una suscripción de Azure, cree una cuenta antes de comenzar.

Prerrequisitos

Para completar este tutorial, necesita los siguientes recursos y privilegios:

• Una suscripción de Azure activa.
  • Si no tiene una suscripción de Azure, cree una cuenta.
• Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio en el entorno local o con un directorio solo en la nube.
  • Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
• Un dominio administrado de Domain Services configurado con un nombre de dominio DNS personalizado y un certificado SSL válido.
  • Si es necesario, cree y configure un dominio administrado de Microsoft Entra Domain Services.
• Un dominio de Active Directory local al que se puede acceder desde el dominio administrado a través de una conexión VPN o ExpressRoute.
• Los roles de Administrador de aplicaciones y Administrador de grupos de Microsoft Entra en su inquilino para modificar una instancia de Domain Services.
• Una cuenta de administrador de dominio en el dominio local que tiene los permisos para crear y comprobar las relaciones de confianza.

Importante

Debe usar al menos el SKU Enterprise para su dominio administrado. Si es necesario, cambie la SKU de un dominio administrado.

Iniciar sesión en el Centro de administración de Microsoft Entra

En este tutorial creará y configurará la confianza de bosque de salida de Domain Services mediante el centro de administración de Microsoft Entra. Para empezar, inicie sesión primero en el Centro de administración de Microsoft Entra.

Consideraciones sobre redes

La red virtual que hospeda el bosque de Servicios de Dominio necesita una conexión VPN o ExpressRoute a su Active Directory local. Las aplicaciones y los servicios también necesitan conectividad de red a la red virtual que hospeda el bosque de Domain Services. La conectividad de red con el bosque de servicios de dominio debe estar siempre activada y estable; de lo contrario, es posible que los usuarios no puedan autenticarse o acceder a los recursos.

Antes de configurar una confianza de bosque en Domain Services, asegúrese de que las redes entre Azure y el entorno local cumplan los requisitos siguientes:

• Asegúrese de que los puertos de firewall permiten el tráfico necesario para crear y usar una confianza. Para obtener más información sobre qué puertos deben estar abiertos para usar una confianza, consulte Configuración de las opciones de firewall para las confianzas de AD DS.
• Use direcciones IP privadas. No confíe en DHCP con la asignación de direcciones IP dinámicas.
• Evite superponer espacios de direcciones IP para permitir que el emparejamiento y el enrutamiento de redes virtuales se comuniquen correctamente entre Azure y el entorno local.
• Una red virtual de Azure necesita una subred de puerta de enlace para configurar una conexión VPN de sitio a sitio (S2S) de Azure o ExpressRoute.
• Cree subredes con suficientes direcciones IP para admitir tu escenario.
• Asegúrese de que Domain Services tiene su propia subred, no comparta esta subred de red virtual con máquinas virtuales y servicios de aplicación.
• Las redes virtuales emparejadas NO son transitivas.
  • Los emparejamientos de redes virtuales de Azure deben crearse entre todas las redes virtuales que quiera usar la confianza del bosque de Azure AD en el entorno local de AD DS.
• Proporcione conectividad de red continua al bosque de Active Directory local. No use conexiones a petición.
• Asegúrese de que haya una resolución de nombres DNS continua entre el nombre del bosque de Domain Services y el nombre del bosque de Active Directory local.

Configuración de DNS en el dominio local

Para resolver correctamente el dominio administrado desde el entorno local, es posible que tenga que agregar reenviadores a los servidores DNS existentes. Para configurar el entorno local para comunicarse con el dominio administrado, complete los pasos siguientes de una estación de trabajo de administración para el dominio de AD DS local:

1. Seleccione Inicio>Herramientas Administrativas>DNS.

2. Seleccione la zona DNS, como aaddscontoso.com.

3. Seleccione Reenviadores condicionales, haga clic con el botón derecho y seleccione Nuevo reenviador condicional…

4. Introduce tu otro dominio DNS, como contoso.com. A continuación, introduce las direcciones IP de los servidores DNS para ese espacio de nombres, como se muestra en el ejemplo siguiente:

   

5. Active la casilla de Almacenar este reenviador condicional en Active Directory y repliquelo de la siguiente manera, luego seleccione la opción Todos los servidores DNS de este dominio, como se muestra en el ejemplo siguiente:

   

   Importante

   Si el reenviador condicional se almacena en el bosque en lugar de en el dominio , el reenviador condicional falla.

6. Para crear el reenviador condicional, seleccione Aceptar.

Creación de una confianza de bosque bidireccional en el dominio local

El dominio de AD DS local necesita una confianza de bosque bidireccional para el dominio administrado. Esta confianza debe crearse manualmente en el dominio de AD DS local; no se puede crear desde el Centro de administración de Microsoft Entra.

Para configurar una confianza bidireccional en el dominio de AD DS local, complete los pasos siguientes como administrador de dominio desde una estación de trabajo de administración para el dominio de AD DS local:

1. Seleccione Inicio>Herramientas administrativas>Dominios y confianzas de Active Directory.
2. Haga clic con el botón derecho en el dominio, como onprem.contoso.com, y seleccione Propiedades.
3. Elija la pestaña Confianzas y, a continuación, Nueva confianza.
4. Escriba el nombre del nombre de dominio de Domain Services, como aaddscontoso.comy, después, seleccione Siguiente.
5. Seleccione la opción para crear una Confianza de bosque y, a continuación, para crear una confianza Bidireccional.
6. Elija la opción para crear la confianza Solo para este dominio. En el paso siguiente, creará la confianza en el Centro de administración de Microsoft Entra para el dominio administrado.
7. Elija usar Autenticación en todo el bosque y después escriba y confirme una contraseña de confianza. Esta misma contraseña también se introduce en el Centro de administración de Microsoft Entra en la próxima sección.
8. Deje las opciones predeterminadas de las siguientes ventanas y después elija la opción No, no confirmar la confianza saliente.
9. Seleccione Finalizar.

Si la confianza de bosque ya no se necesita en un entorno, siga estos pasos como administrador de dominio para quitarla del dominio local:

1. Seleccione Inicio>Herramientas administrativas>Dominios y confianzas de Active Directory.
2. Haga clic con el botón derecho en el dominio, como onprem.contoso.com, y seleccione Propiedades.
3. Seleccione la pestaña Confianzas y Dominios que confían en este dominio (confianzas de entrada). A continuación, elija la confianza para quitar y haga clic en Quitar.
4. En la pestaña Confianzas, en Dominios de confianza para este dominio (confianzas de salida), seleccione la confianza que quitar y haga clic en Quitar.
5. Haga clic en No, quitar la relación de confianza sólo del dominio local.

Creación de una confianza de bosque bidireccional en Domain Services

Para crear la confianza bidireccional para el dominio administrado en el Centro de administración de Microsoft Entra, complete los pasos siguientes:

1. En el Centro de administración de Microsoft Entra, busque y seleccione Microsoft Entra Domain Servicesy, a continuación, seleccione el dominio administrado, como aaddscontoso.com.

2. En el menú del lado izquierdo del dominio administrado, seleccione Confianzas y, a continuación, elija + Agregar una confianza.

3. Seleccione Bidireccional como dirección de confianza.

4. Especifique un nombre para mostrar que identifique la confianza y, a continuación, el nombre DNS del bosque de confianza local (por ejemplo, onprem.contoso.com).

5. Proporcione la misma contraseña de confianza que usó al configurar la confianza de bosque de entrada para el dominio local de AD DS en la sección anterior.

6. Proporcione al menos dos servidores DNS para el dominio de AD DS local, como 10.1.1.4 y 10.1.1.5.

7. Cuando esté listo, guarde la confianza de bosque de salida.

   

Si la confianza de bosque ya no se necesita en un entorno, siga estos pasos para quitarla de Domain Services:

1. En el Centro de administración de Microsoft Entra, busque y seleccione Microsoft Entra Domain Servicesy, a continuación, seleccione el dominio administrado, como aaddscontoso.com.
2. En el menú del lado izquierdo del dominio administrado, seleccione Trusts, elija la confianza y haga clic en Quitar.
3. Especifique la misma contraseña de confianza que usó para configurar la confianza de bosque y haga clic en Aceptar.

Validación de la autenticación de recursos

Los siguientes escenarios comunes permiten validar que la confianza del bosque autentica correctamente a los usuarios y el acceso a los recursos:

• Autenticación de usuario local desde el bosque de Domain Services
• Acceder a recursos en el bosque de Domain Services usando un usuario local
  • Habilitar el uso compartido de archivos e impresoras
  • Crear un grupo de seguridad y agregar miembros
  • Crear una compartición de archivos para el acceso entre bosques
  • Validar la autenticación interforestal en un recurso

Autenticación de usuarios local desde el bosque de Domain Services

Debe tener una máquina virtual de Windows Server unida al dominio administrado. Use esta máquina virtual para probar que el usuario local puede autenticarse en una máquina virtual. Si es necesario, crear una máquina virtual Windows y unirla al dominio administrado.

1. Conéctese a la máquina virtual de Windows Server unida al bosque de Domain Services mediante Azure Bastion y sus credenciales de administrador de Domain Services.

2. Abra un símbolo del sistema y use el comando whoami para mostrar el nombre distintivo del usuario autenticado actualmente:

   whoami /fqdn
   

3. Use el comando runas para autenticarse como usuario desde el dominio local. En el comando siguiente, reemplace userUpn@trusteddomain.com por el UPN de un usuario del dominio local de confianza. El comando le pide la contraseña del usuario:

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. Si la autenticación se realiza correctamente, se abre un nuevo símbolo del sistema. El título del nuevo símbolo del sistema incluye running as userUpn@trusteddomain.com.

5. Utilice whoami /fqdn en el nuevo símbolo del sistema para ver el nombre distintivo del usuario autenticado del entorno local de Active Directory.

Acceso a los recursos del bosque de Domain Services mediante el usuario local

Desde la máquina virtual Windows Server unida al bosque de Domain Services, puede probar escenarios. Por ejemplo, puede probar si un usuario que inicia sesión en el dominio local puede acceder a los recursos del dominio administrado. En los ejemplos siguientes se tratan escenarios de prueba comunes.

Habilitación del uso compartido de archivos e impresoras

1. Conéctese a la máquina virtual de Windows Server unida al bosque de Domain Services mediante Azure Bastion y sus credenciales de administrador de Domain Services.

2. Abra Configuración de Windows.

3. Busque y seleccione Centro de redes y recursos compartidos.

4. Elija la opción Cambiar configuración de uso compartido avanzado.

5. En Perfil de dominio, seleccione Activar el uso compartido de archivos e impresoras y, a continuación, Guardar cambios.

6. Cierre el Centro de redes y recursos compartidos.

Creación de un grupo de seguridad y adición de miembros

1. Abra Usuarios y equipos de Active Directory.

2. Seleccione con el botón derecho el nombre de dominio, elija Nuevoy, después, seleccione Unidad organizativa.

3. En el cuadro de nombre, escriba LocalObjects y seleccione Aceptar.

4. Seleccione y haga clic con el botón derecho en LocalObjects en el panel de navegación. Seleccione Nuevo y, a continuación, Grupo.

5. Escriba FileServerAccess en el cuadro Nombre de grupo. En Ámbito de grupo, seleccione Dominio local y, a continuación, elija Aceptar.

6. En el panel de contenido, haga doble clic en FileServerAccess. Seleccione Miembros, elija Agregar y, a continuación, seleccione Ubicaciones.

7. Seleccione el entorno local de Active Directory en la vista Ubicación y, a continuación, elija Aceptar.

8. Escriba Usuarios del dominio en el cuadro Escriba los nombres de objeto que desea seleccionar. Seleccione Comprobar nombres, proporcione las credenciales del entorno local de Active Directory y, a continuación, seleccione Aceptar.

   Nota

   Debe proporcionar credenciales porque la relación de confianza es unidireccional. Esto significa que los usuarios del dominio administrado de Domain Services no pueden acceder a recursos ni buscar usuarios o grupos en el dominio de confianza (local).

9. El grupo de Usuarios de Dominio de su Active Directory local debe ser miembro del grupo de FileServerAccess. Seleccione Aceptar para guardar el grupo y cerrar la ventana.

Creación de un recurso compartido de archivos para el acceso entre bosques

1. En la máquina virtual windows Server unida al bosque de Domain Services, cree una carpeta y proporcione un nombre como CrossForestShare.
2. Seleccione la carpeta con el botón derecho y elija Propiedades.
3. Seleccione la pestaña Seguridad y, a continuación, elija Editar.
4. En el cuadro de diálogo Permisos para CrossForestShare, seleccione Agregar.
5. Escriba FileServerAccess en Escriba los nombres de objeto que desea seleccionar y, a continuación, seleccione Aceptar.
6. Seleccione FileServerAccess de la lista Nombres de grupos o usuarios. En la lista Permisos para FileServerAccess, elija Permitir para los permisos Modificar y Escribir y después seleccione Aceptar.
7. Seleccione la pestaña Uso compartido y, después, elija Uso compartido avanzado....
8. Elija Compartir esta carpeta y escriba un nombre fácil de recordar para el recurso compartido de archivos en Nombre del recurso compartido, como CrossForestShare.
9. Seleccione Permisos. En la lista Permisos para todos, elija Permitir para el permiso Cambiar.
10. Seleccione Aceptar dos veces y, a continuación, Cerrar.

Validación de la autenticación entre bosques en un recurso

1. Inicie sesión en un equipo Windows unido a active Directory local mediante una cuenta de usuario de Active Directory local.

2. Con el Explorador de Windows, conéctese al recurso compartido que creó. Para ello, use el nombre de host completo y el recurso compartido, como en \\fs1.aaddscontoso.com\CrossforestShare.

3. Para validar el permiso de escritura, seleccione con el botón derecho en la carpeta, elija Nuevoy, a continuación, seleccione Documento de texto. Use el nombre predeterminado Nuevo documento de texto.

   Si los permisos de escritura se establecen correctamente, se crea un nuevo documento de texto. Complete los pasos siguientes para abrir, editar y eliminar el archivo según corresponda.

4. Para validar el permiso de lectura, abra Nuevo documento de texto.

5. Para validar el permiso de modificación, agregue texto al archivo y cierre Bloc de notas. Cuando se le pida que guarde los cambios, elija Guardar.

6. Para validar el permiso de eliminación, seleccione Nuevo documento de texto y elija Eliminar. Elija Sí para confirmar la eliminación de archivos.

Pasos siguientes

En este tutorial, ha aprendido a:

• Configuración de DNS en un entorno de AD DS local para admitir la conectividad de Domain Services
• Crear una confianza de bosque de entrada unidireccional en un entorno local de AD DS
• Creación de una confianza de bosque de salida unidireccional en Domain Services
• Prueba y validación de la relación de confianza para la autenticación y el acceso a recursos

Para más información conceptual sobre los bosques de Domain Services, consulte ¿Cómo funciona la confianza de bosque en Domain Services?.