Teniendo ya hecha de la nota anterior la configuración del primer Controlador de Dominio, veremos en esta cómo configurar un segundo Controlador de Dominio y la configuración necesaria para tener tolerancia a fallas sobre el servicio Active Directory
Como recordatorio, incluiré nuevamente el diagrama propuesto en la nota inicial de la infraestructura a crear. En esta nota instalaremos y configuraremos DC2
Debemos disponer de una instalación de Windows Server 2012, no vale una instalación clonada, donde previamente le he asignado el nombre DC2 de acuerdo a lo planificado, y he configurado adecuadamente el direccionamiento IP
Esto último es simplemente ponerle dirección IP fija (192.168.0.202), y configurar para que use como DNS al servidor ya existente (192.168.0.1)
Luego de esto lo he unido al Dominio existente, y he iniciado sesión como administrador del dominio (ROOT\Administrator)
Se instalará el Rol “Active Directory Domain Services” de igual forma que en la nota anterior, salvo que diferirá en el momento de la configuración, que deberá ser hecha como se indica a continuación
En este caso, para agregar un Controlador de Dominio adicional en un Dominio existente, elegiremos “Add a domain controller to an existing domain”
Si hemos iniciado sesión con la cuenta de administrador del Dominio, ya estarán correctos los datos correspondientes al nombre del Dominio, y la cuenta con privilegios suficientes. Si así no fuera, utilizar los botones “Select…” y “Change” para seleccionarlos como muestra la figura
Vemos, que por omisión, ya nos ofrece que tenga el servicio DNS y que sea Catálogo Global. Como no hemos configurado aún los Sites podemos dejar el valor por omisión. Sólo deberemos ingresar la contraseña correspondiente a “Directory Service Restore Mode” (ver las consideraciones en la nota anterior)
Observen en la siguiente pantalla que podemos seleccionar desde qué Controlador de Dominio se hará la replicación inicial; en nuestro caso no tiene sentido elegir cuál pues tenemos uno sólo
También está la opción IFM (Install From Media), esta opción puede ser útil en algunos casos. Si tuviéramos un Dominio “grande” y fuera a través de un enlace WAN con poco ancho de banda disponible, podríamos hacer una especie de copia de seguridad de Active Directory, transportarla al sitio remoto, y hacer que tome gran parte de la información (no toda) desde esta copia local
Para el resto, las mismas consideraciones que ya he hecho en la nota anterior
Cuando finalice, se reinciará el equipo, e iniciaremos sesión con la cuenta de administrador del Dominio (ROOT\Administrator)
Si todo estuvo bien, en pocos minutos, aunque puede demorar hasta 30 minutos, se crearán los “Objetos Conexión” entre los Controladores de Dominio que servirán para la replicación de Active Directory
Pero como somos “ansiosos” :-D vamos a ver cómo acelerar el proceso
Vamos a DC1, y abramos “Active Directory Sites and Services” (Sitios y Servicios de Active Directory) y sobre el lado izquierdo despleguemos. Sites / Default-First-Site-Name / Servers / DC1 / NTDS Settings
Veremos sobre el lado derecho que no está creado el Objeto Conexión para recibir información desde DC2
Entonces con botón derecho sobre “NTDS Settings” elegiimos “All Tasks / Check Replication Topology”
Nos informará que debemos refrescar la información, así que sobre Sites pulsamos F5, y volvemos a donde estábamos y veremos el Objeto Conexión que permite la replicación desde DC2 a DC1
Para confirmar, con botón derecho sobre el Objeto Conexión, elegimos “Replicate Now” y observermos que se replica correctamente
Si diera algún mensaje que no puede replicar, no asustarse, esperar unos minutos, y nuevamente F5 y “Replicate Now”
Ahora iniciamos sesión en DC2 y procedemos de forma análoga
Ya que estamos en DC2, ingresemos a la consola de administración de DNS y observemos que la información de DNS ya fue replicada, que están registrados ambos Controladores de Dominio, y como la zona está integrada en Active Directory, DC2 informa que el SOA es DC2
Ahora vamos a DC1, y observemos que como cualquiera de los Controladores de Dominio puede efectuar cambios en la zona, DC1 dice que el SOA es DC1
Noten además, que en ambos DNS, los dos Controladores de Dominio están registrados como NS (Name Servers), o sea que ambos pueden responder en forma autoritaria por la zona
Como buena y usual costumbre, aunque no es un requerido, es conveniente “cruzar los DNSs”. O sea que DC1 use como DNS preferido a DC2 y a sí mismo como alternativo. Y análogamente para DC2, así que los “cruzaré” :-D
Sobre este tema veré si luego hago una nota adicional para notar las ventajas e inconvenientes en cada caso
En DC1
Y en DC2
Demostración Tolerancia a Fallas
Como está todo hasta ahora el sistema ya es tolerante a fallas, lo único a considerar es que todos los clientes del Dominio estén configurados para usar como servidor DNS tanto a DC1 como a DC2
Esto es así, porque tanto DC1 como DC2 son Controladores de Dominio, que son Catálogo Global, y además servidores DNS
La prueba, que no mostraré acá, es muy sencilla. Creen dos usuarios de prueba, y asegúrense que estén replicados en ambos Controladores de Dominio
Pongan cualquier cliente de Dominio a gusto, Windows 7 o Windows 8
Apaguen un Controlador de Domino, e inicien sesión con uno de los nuevos usuarios, debería poder iniciar sesión correctamente
Ahora invertimos, iniciamos el Controlador de Dominio que estaba apagado (darle tiempo que inicie Active Directory), y apagamos el Controlador de Dominio que estaba encendido. Vamos al cliente e iniciamos sesión con el segundo usuario nuevo. Debería poder iniciar sesión correctamente
El motivo de utilizar usuario nuevos, es para evitar que el inicio de sesión sea usando “cached credentials”, esto es, que necesariamente la máquina cliente deba contactar a un Controlador de Dominio, para autenticar al usuario
Por más información sobre tolerancia a fallas en Controladores de Domino pueden ver el siguiente enlace Controladores de Dominio: Tolerancia a Fallas
Continuaremos la creación de la infraestructura propuesta en al próxima nota: Instalación de Active Directory – Creando la Infraestructura de Sitios, Subredes y Enlaces (Sites-Subnets-Links) – Nota IV
Comentarios
Felicitaciones Buen aporte
¡Gracias Jonattan!
:-)
Todo claro!!!
Solo una pregunta Guillermo, Windows Server 2008 R2 tiene también la opción de »Install from Media» para el caso del controlador de Dominio Adicional?
Esperando la próxima nota, Saludos.
¡Gracias! :-)
En W2008-R2 cambian algunas opciones para crear el IFM, pero también soporta
Revisa el siguiente enlace que tiene buena info
http://technet.microsoft.com/en-us/library/cc816722(v=ws.10).aspx
O este http://technet.microsoft.com/en-us/library/cc770654(v=ws.10).aspx
Hola Guillermo, yo cuando configuro mis DC, siempre pongo como DNS preferido al mismo DC y como DNS alternativo, pongo el de otro DC.
Hay algún problema si lo hago de esta manera ?
Hola Fernando, no hay ningún problema haciéndolo como tu dices.
Cuento la historia por si te interesa: en Windows 2000 había un problema, y era que si no los «cruzabas» no replicaban entre sí los Controladores de Dominio. http://support.microsoft.com/kb/275278
A partir de W2003 ese problema se solucionó, pero hay un dicho «el que se quema con leche, ve una vaca y llora» :-)
De todas formas, si piensas que en algún momento vas a tener que reinciar un Controlador de Dominio, es mejor que esté apuntando a otro que ya está en funcionamiento, y no tener que esperar a que levante el propio. Levanta más rápido
Pero si en cambio, piensas que todos van a estar apagados, cuando levantes el primero, es más rápido que apunte como preferido a sí mismo
Eso es todo, con cualquiera de las dos configuraciones funciona
Gracias por el aporte!!!!!
Gracias por el comentario :-)
Una pregunta si de repente el DC1 cae , tengo que migrar los role FSMO al DC2 ,de la misma forma que en server 2008 ? . Porque , hice un prueba con DC1 DC2 virtuales y cuando apague el DC1 al ir el DC2 , las GPO que se replicaron del DC1 en el DC2 se borraron.
Hola Daniel, si sucedió eso hay otros problemas
Comienzo por el final de lo que cuentas. Más que GPOs que se borraron me da para pensar que no llegaron a replicarse, porque salvo que fueran eliminadas por un administrador, sólo se borran cuando se elimina una GPO
Por otro lado, los FSMO Roles, no tienen relación. Los usarios pueden seguir iniciando sesión normalmente aunque no esté presente ninguno de los roles, tienen otro uso
Por si te sirve, revisa estas dos notas
Maestros de Operaciones (FSMO Roles) – Parte 1 | WindowServer:
Maestros de Operaciones (FSMO Roles) – Parte 2 | WindowServer:
Deberias tener cuidado de donde sacas la información y enlazar las referencias a ls sitios base!! ;)
He sido instructor certificado Micrososft (MCT) por más de 15 años, así que te darás cuenta de donde saco la información
Mi primera certificación oficial Microsoft fue MCSE en NT4 y desde ahí en adelante hasta W2012 seguí certificando cada versión
Trackbacks
[…] Esta nota continuará en Instalación de Active Directory – Promoción del Segundo Controlador de Dominio y Configuraci… […]
[…] Instalación de Active Directory – Promoción del Segundo Controlador de Dominio y Configuración … […]
[…] Continuaremos la creación de la infraestructura propuesta en al próxima nota: Instalación de Active Directory – Creando la Infraestructura de Sitios, Subredes y Enlaces (S… […]
[…] Instalación de Active Directory – Promoción del Segundo Controlador de Dominio y Configuración … […]
[…] Instalación de Active Directory – Promoción del Segundo Controlador de Dominio y Configuración … […]
[…] Instalación de Active Directory – Promoción del Segundo Controlador de Dominio y Configuración … […]