Instalación de Active Directory – Promoción del Segundo Controlador de Dominio y Configuración de Tolerancia a Fallas – Nota III

Teniendo ya hecha de la nota anterior la configuración del primer Controlador de Dominio, veremos en esta cómo configurar un segundo Controlador de Dominio y la configuración necesaria para tener tolerancia a fallas sobre el servicio Active Directory

Como recordatorio, incluiré nuevamente el diagrama propuesto en la nota inicial de la infraestructura a crear. En esta nota instalaremos y configuraremos DC2

Debemos disponer de una instalación de Windows Server 2012, no vale una instalación clonada, donde previamente le he asignado el nombre DC2 de acuerdo a lo planificado, y he configurado adecuadamente el direccionamiento IP

Esto último es simplemente ponerle dirección IP fija (192.168.0.202), y configurar para que use como DNS al servidor ya existente (192.168.0.1)

Luego de esto lo he unido al Dominio existente, y he iniciado sesión como administrador del dominio (ROOT\Administrator)

Se instalará el Rol “Active Directory Domain Services” de igual forma que en la nota anterior, salvo que diferirá en el momento de la configuración, que deberá ser hecha como se indica a continuación

En este caso, para agregar un Controlador de Dominio adicional en un Dominio existente, elegiremos “Add a domain controller to an existing domain”
Si hemos iniciado sesión con la cuenta de administrador del Dominio, ya estarán correctos los datos correspondientes al nombre del Dominio, y la cuenta con privilegios suficientes. Si así no fuera, utilizar los botones “Select…” y “Change” para seleccionarlos como muestra la figura

Vemos, que por omisión, ya nos ofrece que tenga el servicio DNS y que sea Catálogo Global. Como no hemos configurado aún los Sites podemos dejar el valor por omisión. Sólo deberemos ingresar la contraseña correspondiente a “Directory Service Restore Mode” (ver las consideraciones en la nota anterior)

Observen en la siguiente pantalla que podemos seleccionar desde qué Controlador de Dominio se hará la replicación inicial; en nuestro caso no tiene sentido elegir cuál pues tenemos uno sólo
También está la opción IFM (Install From Media), esta opción puede ser útil en algunos casos. Si tuviéramos un Dominio “grande” y fuera a través de un enlace WAN con poco ancho de banda disponible, podríamos hacer una especie de copia de seguridad de Active Directory, transportarla al sitio remoto, y hacer que tome gran parte de la información (no toda) desde esta copia local

Para el resto, las mismas consideraciones que ya he hecho en la nota anterior

Cuando finalice, se reinciará el equipo, e iniciaremos sesión con la cuenta de administrador del Dominio (ROOT\Administrator)

Si todo estuvo bien, en pocos minutos, aunque puede demorar hasta 30 minutos, se crearán los “Objetos Conexión” entre los Controladores de Dominio que servirán para la replicación de Active Directory

Pero como somos “ansiosos” :-D vamos a ver cómo acelerar el proceso

Vamos a DC1, y abramos “Active Directory Sites and Services” (Sitios y Servicios de Active Directory) y sobre el lado izquierdo despleguemos. Sites / Default-First-Site-Name / Servers / DC1 / NTDS Settings
Veremos sobre el lado derecho que no está creado el Objeto Conexión para recibir información desde DC2

Entonces con botón derecho sobre “NTDS Settings” elegiimos “All Tasks / Check Replication Topology”

Nos informará que debemos refrescar la información, así que sobre Sites pulsamos F5, y volvemos a donde estábamos y veremos el Objeto Conexión que permite la replicación desde DC2 a DC1

Para confirmar, con botón derecho sobre el Objeto Conexión, elegimos “Replicate Now” y observermos que se replica correctamente

Si diera algún mensaje que no puede replicar, no asustarse, esperar unos minutos, y nuevamente F5 y “Replicate Now”

Ahora iniciamos sesión en DC2 y procedemos de forma análoga

Ya que estamos en DC2, ingresemos a la consola de administración de DNS y observemos que la información de DNS ya fue replicada, que están registrados ambos Controladores de Dominio, y como la zona está integrada en Active Directory, DC2 informa que el SOA es DC2

Ahora vamos a DC1, y observemos que como cualquiera de los Controladores de Dominio puede efectuar cambios en la zona, DC1 dice que el SOA es DC1

Noten además, que en ambos DNS, los dos Controladores de Dominio están registrados como NS (Name Servers), o sea que ambos pueden responder en forma autoritaria por la zona

Como buena y usual costumbre, aunque no es un requerido, es conveniente “cruzar los DNSs”. O sea que DC1 use como DNS preferido a DC2 y a sí mismo como alternativo. Y análogamente para DC2, así que los “cruzaré” :-D
Sobre este tema veré si luego hago una nota adicional para notar las ventajas e inconvenientes en cada caso

En DC1

Y en DC2

Demostración Tolerancia a Fallas

Como está todo hasta ahora el sistema ya es tolerante a fallas, lo único a considerar es que todos los clientes del Dominio estén configurados para usar como servidor DNS tanto a DC1 como a DC2

Esto es así, porque tanto DC1 como DC2 son Controladores de Dominio, que son Catálogo Global, y además servidores DNS

La prueba, que no mostraré acá, es muy sencilla. Creen dos usuarios de prueba, y asegúrense que estén replicados en ambos Controladores de Dominio

Pongan cualquier cliente de Dominio a gusto, Windows 7 o Windows 8

Apaguen un Controlador de Domino, e inicien sesión con uno de los nuevos usuarios, debería poder iniciar sesión correctamente

Ahora invertimos, iniciamos el Controlador de Dominio que estaba apagado (darle tiempo que inicie Active Directory), y apagamos el Controlador de Dominio que estaba encendido. Vamos al cliente e iniciamos sesión con el segundo usuario nuevo. Debería poder iniciar sesión correctamente

El motivo de utilizar usuario nuevos, es para evitar que el inicio de sesión sea usando “cached credentials”, esto es, que necesariamente la máquina cliente deba contactar a un Controlador de Dominio, para autenticar al usuario

Por más información sobre tolerancia a fallas en Controladores de Domino pueden ver el siguiente enlace Controladores de Dominio: Tolerancia a Fallas

Continuaremos la creación de la infraestructura propuesta en al próxima nota: Instalación de Active Directory – Creando la Infraestructura de Sitios, Subredes y Enlaces (Sites-Subnets-Links) – Nota IV

By Guillermo Delprato, on 31/05/2013 at 07:40, under Active Directory - Directorio Activo, How To - Step-by-step - Paso a paso, Instalación, Windows Server 2012. Etiquetas: , , , , , . 18 comentarios
Publica un comentario o deja una referencia: URL de la referencia.

Comentarios

  • jonattan  El 31/05/2013 a las 09:34
    Permalink | Responder

    Felicitaciones Buen aporte

  • pavilion  El 31/05/2013 a las 11:16
    Permalink | Responder

    Todo claro!!!

    Solo una pregunta Guillermo, Windows Server 2008 R2 tiene también la opción de »Install from Media» para el caso del controlador de Dominio Adicional?

    Esperando la próxima nota, Saludos.

  • Fernando  El 31/05/2013 a las 21:27
    Permalink | Responder

    Hola Guillermo, yo cuando configuro mis DC, siempre pongo como DNS preferido al mismo DC y como DNS alternativo, pongo el de otro DC.
    Hay algún problema si lo hago de esta manera ?

    • Delprato  El 01/06/2013 a las 08:16
      Permalink | Responder

      Hola Fernando, no hay ningún problema haciéndolo como tu dices.
      Cuento la historia por si te interesa: en Windows 2000 había un problema, y era que si no los «cruzabas» no replicaban entre sí los Controladores de Dominio. http://support.microsoft.com/kb/275278

      A partir de W2003 ese problema se solucionó, pero hay un dicho «el que se quema con leche, ve una vaca y llora» :-)

      De todas formas, si piensas que en algún momento vas a tener que reinciar un Controlador de Dominio, es mejor que esté apuntando a otro que ya está en funcionamiento, y no tener que esperar a que levante el propio. Levanta más rápido
      Pero si en cambio, piensas que todos van a estar apagados, cuando levantes el primero, es más rápido que apunte como preferido a sí mismo

      Eso es todo, con cualquiera de las dos configuraciones funciona

  • jdbuezo  El 02/06/2013 a las 13:34
    Permalink | Responder

    Gracias por el aporte!!!!!

  • daniel  El 02/06/2013 a las 20:17
    Permalink | Responder

    Una pregunta si de repente el DC1 cae , tengo que migrar los role FSMO al DC2 ,de la misma forma que en server 2008 ? . Porque , hice un prueba con DC1 DC2 virtuales y cuando apague el DC1 al ir el DC2 , las GPO que se replicaron del DC1 en el DC2 se borraron.

    • Delprato  El 03/06/2013 a las 08:28
      Permalink | Responder

      Hola Daniel, si sucedió eso hay otros problemas
      Comienzo por el final de lo que cuentas. Más que GPOs que se borraron me da para pensar que no llegaron a replicarse, porque salvo que fueran eliminadas por un administrador, sólo se borran cuando se elimina una GPO

      Por otro lado, los FSMO Roles, no tienen relación. Los usarios pueden seguir iniciando sesión normalmente aunque no esté presente ninguno de los roles, tienen otro uso
      Por si te sirve, revisa estas dos notas
      Maestros de Operaciones (FSMO Roles) – Parte 1 | WindowServer:

      Maestros de Operaciones (FSMO Roles) – Parte 1


      Maestros de Operaciones (FSMO Roles) – Parte 2 | WindowServer:

      Maestros de Operaciones (FSMO Roles) – Parte 2

  • daniel  El 19/10/2016 a las 18:43
    Permalink | Responder

    Deberias tener cuidado de donde sacas la información y enlazar las referencias a ls sitios base!! ;)

    • Guillermo Delprato  El 19/10/2016 a las 19:47
      Permalink | Responder

      He sido instructor certificado Micrososft (MCT) por más de 15 años, así que te darás cuenta de donde saco la información
      Mi primera certificación oficial Microsoft fue MCSE en NT4 y desde ahí en adelante hasta W2012 seguí certificando cada versión

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.