Windows Server 2012: Reinstalar un Controlador de Dominio

Hace un tiempo publiqué una serie de notas sobre Backup y Restore de Controladores de Dominio donde se comentan las diferentes alternativas de restauración de servidores, y objetos eliminados accidentalmente

Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup – Restore) – Parte 1 de …

Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup – Restore) – Backup – Parte 2 de …

Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup – Restore) – Restore – Parte 3 de …

Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup – Restore) – Restore – Parte 4 de …

Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup – Restore) – Restore – Parte 5 de …

Una de las alternativas planteadas, es reinstalando un Controlador de Dominio, que en general es mucho más rápido que el proceso de recuperación (Restore)
Por supuesto, y aclaremos, esto está basado en un Dominio con al menos dos Controladores de Dominio

Esto es algo que se planteado muchas veces en los temas de soporte: “Un Controlador de Dominio” ha dejado de ser funcional y requiero reinstalarlo, con el mismo nombre y dirección IP”

La situación anterior se da muchas veces ante falla grave de hardware, por lo que se sabe que no se podrá recuperar (Restore), además se sabe que no volverá a funcionar, y se desean preservar nombre y configuraciones de red para no afectar a otros cliente y servicios en la infraestructura

Anteriormente a Windows Server 2012, esto implicaba que primero se debía hacer una “limpieza” en Active Directory de los rastros del Controlador de Dominio que dejó de funcionar sin ser despromovido correctamente

Para esto se puede hacer el procedimiento descripto en:
Eliminar un Controlador de Dominio Que Ya No Existe (Fácil):
https://windowserver.wordpress.com/2012/06/02/eliminar-un-controlador-de-dominio-que-ya-no-existe-fcil/

O usando el procedimiento descripto en:
How to remove data in Active Directory after an unsuccessful domain controller demotion:
http://support.microsoft.com/kb/216498

Pero si tenemos Windows Server 2012 todo es más fácil :-)

El sistema detectará que estamos reinstalando un Controlador de Dominio nuevo, con el nombre de uno existente, nos avisará, y sólo nos pedirá confirmación

Así que para demostrarlo, en mi ambiente de laboratorio, en un Dominio con dos Controladores de Dominio, simplemente apagué uno de ellos, y luego tomé una instalación nueva a la que le dí el mismo nombre y dirección IP del apagado y procedí a la promoción

Podemos observar el momento en que detecta la duplicación de cuenta

Que por supuesto debemos confirmar para proseguir con el proceso de promoción

 

Atención con algo importante a tener en cuenta: recordar que esto lo debemos hacer únicamente si el anterior Controlador de Dominio no volverá a estar disponible en nuestra red

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Jesús Manuel Rodríguez Núñez  On 02/01/2015 at 12:03

    Buenas, tendría una consulta, sabes que ocurre con los roles FSMO en este caso? es decir no hay riesgo de que haya problemas con esto?

    Ejemplo:
    C01 tiene todos los roles
    C02 no tiene roles

    Se cae C01, ponemos todos los roles a C02 de manera ‘forzada’ al no poder quitárselos a C01 por estar caído, reinstalamos C01, roles OK??? supongo que lo hace bien pero tengo la duda y no sé si cuando hiciste pruebas te paraste en ese punto? la verdad no tengo posibilidad de montar mi lab para verificarlo…

    • Guillermo Delprato  On 02/01/2015 at 15:29

      Hola Jesús, el tema que preguntas es justamente las dos notas que estoy por publicar en la serie “Crear un Dominio – …”. Creo que pondré una mañana, y otra la semana que viene
      De todas formas, para responderte, y tratando de aclarar algunos términos porque, por lo menos a mí, me resulta confuso usar la palabra “ponemos” para los roles, ya que lo podemos hacer *moviendo* o *apoderando* con usos muy distintos :)
      Si C01 tiene todos los roles, y deja de estar presente, y no volverá nunca más, ya que reinstalar aunque sea el mismo nombre será otro, entonces hay que *apoderarse* forzadamente de los roles en C02. Esa operación se hace con NTDSUTIL.EXE y se hace un “seize”
      En cambio, si ambos Controladores de Dominio estuvieran funcionando, para pasarlos de uno a otro, se puede hacer con la interfaz gráfica, o con NTDSUTIL y “move”

      • Jesús Rodríguez  On 02/01/2015 at 17:58

        Sí, perdón me pasó por escribirlo rápido cuando puse “ponemos todos los roles a C02 de manera ‘forzada’ ” me refería a un Seize. En resumen mi duda es si el reinstalar un controlador supone algo a nivel roles FSMO, se me ocurren las siguientes posibilidades:
        1- El sistema simplemente presupone que mantiene los roles que tenía en su ‘vida anterior’. Esto sería problemático dando que varios controladores podrían acabar con el mismo rol FSMO.
        2- Recuperaría los roles FSMO originales mediante el sistema habitual de intentar primero mover y luego hacerlo forzosamente/apoderarse. De nuevo problemático, en un entorno de más de dos controladores podemos usar uno para restaurar y tener a un tercero con roles en ese momento apagado con el problema de duplicidad de nuevo emergente.
        3- El controlador reinstalado se queda sin ningún rol FSMO como si metes un nuevo controlador que realmente si no haces tu nada manualmente la cosa queda como está. Este sería el comportamiento que yo esperaría y que entiendo que no supone problema alguno.
        4- Es tan listo que se las ingenia para ver los roles FSMO que tenía antiguamente donde están ahora y en base a esto mueve solo aquellos que pueda hacer gracilmente para restaurar el estado anterior en cuanto a roles FSMO. Creo que por ahora no es tan listo, la verdad molaría que te avisara de que hay un cambio y te diera opciones o tal.

        Notas:
        a-Sí funciona como el punto 3 que es lo que yo espero el problema estaría en que habría que tener cuidado de no despistarse, quiero decir se te muere un controlador tienes otro ya listo para contingencias, te pones a hacer el asistente y como no hagas un seize te quedas sin roles FSMO hasta nueva orden.
        b-Tengo serias dudas de que el sistema realmente pueda consultar los roles FSMO que tenía antiguamente la cuenta de ese controlador pero le doy demasiadas vueltas a las cosas y me entro la paranoia de que igual era así, que podía mirar los roles que tenía e intentar volver a ponérselos.
        c-Muchas gracias por tu blog, artículos, comentarios, etc!

      • Guillermo Delprato  On 02/01/2015 at 19:59

        Hola Jesús, no tengo verificado si le han agregado algo de “inteligencia” a las últimas versiones respecto al tema, pero te cuento cómo es/era originalmente
        1- No, decididamente no. Cuando se reinstala es una máquina diferente, aunque tenga el mismo nombre, internamente el sistema utiliza identificadores de seguridad (SIDs), que si quieres una analogía es semejante a un número de documento de identidad de personas. Aunque se llamen igual, son diferentes, y nunca son reutilizados
        2- Hay que tomar las precauciones lógicas, si tienes uno apagado y te apoderas de los roles, puedes tener problemas graves. Primero hay que conocer cómo está la infraestructura, el sistema confía en el administrador
        3- Exactamente eso :)
        4- Seguro que no es listo :)

        a- Hay instalaciones donde hace años falta alguno/s roles, y no se enteran. Si te fijas la funcionalidad de cada uno podrás darte cuenta que todo sigue funcionando en la mayoría de los casos. Por ejemplo, mientras no tengas que modificar el Schema, ni te enteras si el “Schema Master” está, o no
        b- Esto está justamente relacionado con lo que te comentaba al principio de la respuesta. Originalmente no había ningún tipo de inteligencia del sistema, lo cual es lógico porque no puede conocer si un sistema esta fuera de línea momentáneamente, o si no volverá nunca más. No creo que de alguna forma puedan agregarle inteligencia como para resolver esto
        Habría que revisar varias combinaciones posibles para poder aclarar bien el tema: con dos DCs o si son más, si está apagado, si se fuerza el cambio, qué sucede con diferentes versiones, qué sucedería si hay dos que quieren cumplir el mismo rol y sus posibles consecuencias, etc. Y además todo dependería si el rol tuvo cambios, y si los consiguió replicar a otro DC o no
        En fin, no, no, no me pidas eso :)
        c- Me alegro te sirva el blog y gracias por decirlo, son las cosas que me dan más ganas de seguir haciéndolo ¡Gracias!

  • Jesús Rodríguez  On 05/01/2015 at 15:09

    Se me ha ocurrido otra duda, dado que la mejor forma de actualizar de SO es meter controladores con la nueva versión, sabes si este proceso es viable cambiando el SO? es decir reinstalar una cuenta de controlador usando por ejemplo 2012R2 donde antes había 2012?

    • Guillermo Delprato  On 05/01/2015 at 17:38

      Hola Jesús, sí, es lo recomendable, la actualización del Dominio se hace reemplazando los Controladores de Dominio “viejos”, con “nuevos”
      Con tal que el nivel funcional del Bosque sea W2003 Nativo, ya puedes empezar a agregar W2012R2, y no hace falta ejecutar ADPREP. Revisa Actualizar Dominio Windows 2003 a Windows Server 2012 R2 | WindowServer : https://windowserver.wordpress.com/2013/10/04/actualizar-dominio-windows-2003-a-windows-server-2012-r2/

      Lo que hay que evaluar es si conviene que “el nuevo” tenga el mismo nombre que “el viejo”
      Si tiene diferente nombre, puedes tener apagado por días al “viejo” hasta asegurarte que no hay problemas. Y luego lo pones en línea y lo despromocionas
      Si tienen el mismo nombre lo anterior no se puede hacer, ya que no pueden existir simultáneamente dos Controladores de Dominio con el mismo nombre. Las posibiliades son:
      – Despromocionas, y sacas del Dominio y red al “viejo”, y agregas y promocionas al “nuevo”. No tienes forma de volver atrás si hubieran problemas…
      – Lo agregas con un nombre diferente, y todo es más fácil. Tienes tiempo para apagar el “viejo” por un tiempo prudencial, y si no hay problemas, lo despromocionas, y lo dejas como servidor miembro, o lo quitas
      – Si el problema es que hay que mantener nombres, por un tema de accesos directos o discos mapeados, entonces habría que probar si el procedimiento que hice para un servidor de archivos, no causa problemas con un Controlador de Dominio. Revisa: Cambiar un Servidor o su Nombre y Actualizar los Accesos Directos | WindowServer : https://windowserver.wordpress.com/2014/11/20/cambiar-un-servidor-o-su-nombre-y-actualizar-los-accesos-directos/
      Pero de todas formas, si los accesos directos y mapeos, los haz hecho “como se debe”, por GPOs, entonces actualizarlos es algo trivial

      • René  On 23/02/2016 at 17:05

        Hola Guillermo ,una duda, en el caso que comentas si yo quiero cambiar de nombre a mi nuevo controlador de dominio antes se llamada dc1 y ahora se llama dc2 como le puedo hacer para migrar a todos mis usuarios al dominio dc2, se puede o tengo que dar de alta usuario x usuario en el nuevo dominio, saludos.

      • Guillermo Delprato  On 23/02/2016 at 18:15

        Hola René, cambiarle el nombre a un Controlador de Dominio, no tiene relación con cambiar el nombre del Dominio, se sigue manteniendo el nombre del Dominio, y sigue siendo el mismo
        En este enlace que pongo más abajo está el paso a paso para renombrar un Controlador de Dominio, está más complicado quizás que lo que tengas, porque es en un ambiente de dos Controladores de Dominio
        Windows Server 2012: Renombrar un Controlador de Dominio | WindowServer:
        https://windowserver.wordpress.com/2013/08/02/windows-server-2012-renombrar-un-controlador-de-dominio/

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: