Configurando Sites (Sitios) en Active Directory

Cuando nuestro Dominio Active Directory comprende más de un sitio físico es muy importante que configuremos el Dominio adcuadamente. De esa forma le debemos “explicar” qué sitios, generalmente geográficos, que subredes IP hay en cada uno, y cómo se conectan físicamente estos sitios

De esta forma obtendremos dos beneficios importantes: una reducción y control del tráfico de replicación entre Controladores de Dominio, y además que cuando un cliente busque un servicio de red, desde un Controlador de Dominio hasta cualquier aplicación “Site aware”, trate siempre de encontrarlo localmente sin hacer tráfico sobre enlaces WAN

En esta ocasión aprovecharé la infraestructura ya creada para la nota Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN)

En la misma disponemos ya de dos sitios geográficos interconectados por medio de VPN

Vuelvo a poner el diseño que quedó de la nota anterior

DC1 ya es Controlador de Dominio de root.guillermod.com.ar y DC2 es un servidor miembro del Dominio que luego promoveremos a Controlador de Dominio

Comenzaremos configurando nuestra infraestructura de Sites, Subnets y Links

Sites: aunque no siempre es así, en la mayoría de los casos un Site lo podemos asimilar a un sitio físico, por ejemplo una sucursal, delegación u oficina remota de la organización

Subnets: estas son simplemente las subredes IP que tendremos en cada Site. En un Site inclusive podríamos tener más de una subred IP. Lo que sí debemos tener en cuenta es que no podemos usar la misma subred IP en diferentes Sites ya que de esa forma no funcionaría los Routers :-)
Esta información de Subnets es la que permite conocer en qué Site está cada máquina

Links: estos son las conexiones físicas, independiente del medio, que conectan nuestros Sites. Una aclaración importante porque hay mucha “mentira” dando vueltas por Internet: un Link no está asociado a ningún “path” físico; eso lo manejan los Routers

Definidos los tres elementos importantes comenzaremos la configuración

La configuración por omisión la podemos ver en la consola Active Directory Sites and Services.
El sistema crea por omisión un Site llamado “Default-First-Site-Name” que contiene todas las subredes que podamos crear, y un Link llamado “DEFAULTIPSITELINK”

El motivo de esta configuración es porque si quisieramos comenzar por definir un nuevo sitio obligatoriamente tendríamos que conectarlo al “Default-First-Site-Name” mediante un Link.
Y si quisiéramos comenzar definiendo el Link, deberíamos primero crear por lo menos un segundo Site
Luego no podríamos comenzar :-)

Veamos el aspecto que presenta Active Directory Sites and Services antes de comenzar

Podemos observar que está creado el Site por omisión, que por ahora “contiene” solamente al único Controlador de Dominio; los servidores miembros no aparecen acá, sólo los Controladores de Dominio ya que se trata de manejar la información de replicación de Active Directory

Si revisan un poco la consola verán que en Subnets no hay nada, está vacío

Pero si miran en “Inter-Site Transports” verán que hay dos carpetas que definen qué protocolo se utilizará para la replicación de Active Directory entre los Controladores de Dominio, aclaremos esto ya

La opción SMTP (si, correo electrónico) por experiencia y preguntas creo que no fue nunca utilizada. Básicamente por varios motivos: genera casi el doble de tráfico que la otra, requiere infraestructura de clave pública (mensajes firmados y cifrados para la replicación) y creo que la más importante: el Sysvol no puede replicarse por SMTP, luego la única opción es que en diferentes Sites existan Dominios diferentes, aunque estén dentro del mismo Forest (Bosque)
Resumiendo, importante limitación, configuración de servicios adicional y poca eficiencia

La segunda opción IP, que es donde está creado el “DEFAULTIPSITELINK”, en realidad es RPC (Remote Procedure Call) sobre IP, sin ninguno de los inconvenientes mencionados de la opción anterior

Como la demostración utiliza dos sitios geográficos argentinos (Buenos Aires y Mendoza), suponiendo que estoy en Buenos Aires (BAires) comenzaré renombrando el Site por omisión a BAires

A continuación con botón derecho sobre Subnets indicaré qué subnet IP se está usando en BAires

A continuación crearé el Site llamado Mendoza con botón derecho sobre Sites

Como para poder crearlo es obligatorio asociarlo a un Link utilizaré el DEFAULTIPSITELINK

Y por supuesto el sistema me da las recomendaciones del caso :-)

Siguiendo las recomendacions, que por otra parte son requisito, en forma análoga a como lo hicimos anteriormente crearé una subred asociada al Site Mendoza

Como el DEFAULTIPSITELINK es el Link que quedó comunicando BAires con Mendoza, por claridad lo renombraré

Vamos a mirar y eventualmente cambiar algunas configuraciones que por omisión tiene este Link

Podemos corroborar que efectivamente conecta nuestros dos Sites, e inclusive podemos ver que la frecuencia de replicación entre los Sites será de 3 horas (180 minutos). En este caso he disminuído esta a 15 minutos que es lo mínimo

Si entramos por el botón “Change Schedule” podremos ver que inclusive podemos seleccionar los horarios en los que está permitida la replicación. Por ejemplo si tuviéramos enlaces muy congestionados, que sólo se replique fuera del horario laboral

Observemos cómo queda con lo hecho hasta ahora

Bien, ahora ya podemos comenzar con la promoción de DC2 a Controlador de Dominio.

No pongo las capturas de cómo agregar el Rol, lo doy por conocido, sólo veremos las capturas del proceso de promoción

Lo primero es seleccionar que promoveremos un “Controlador de Dominio adicional en un Dominio existente”

Observen que como hemos creado el Site Mendoza el sistema ya nos ofrece ponerlo en dicho Dominio, esto lo sugiere en base a la dirección IP de DC2 que configuramos que estaba en el Site Mendoza (192.168.2.0/16)

El resto es lo clásico

Luego que reinicia DC2, voy a DC1 y refresco la consola Active Directory Sites and Services y puedo observar que ya aparece DC2 en el Site Mendoza

En pocos momentos aparecerá el primer Objeto Conexión, está creado en DC1 y es que permite la replicación desde DC2 hacia DC1

Si nos apuramos y tratamos con botón derecho sobre el Objeto Conexión de forzar una replicación obtendremos el siguiente mensaje de error. Hay que dejar pasar normalmente de 15 a 30 minutos

Deberíamos aprovechar el tiempo de espera para descansar, pero yo en cambio comienzo a mirar el Event Viewer de DC1 a ver qué eventos relacionados hay

Puedo observar que hay un evento relacionado a la creación del Objeto Conexión antes mencionado

Seguido de una advertencia lógica, pues DC2 aún no ha finalizado su configuración

Me decido esperar unos minutos y finalmente aparecen ya creado ambos Objetos Conexión

El de DC2 a DC1

Y el de DC1 a DC2

Trato de forzar ahora una replicación

Pero vemos que no permite pues los Controladores de Dominio están en diferentes Sites. Me informa que se hará de acuerdo a lo programado (en el Link BAires-Mendoza)
Pero de todas formas, si lo probáramos en realidad miente un poco ;-)
Lo que no puede es replicar el Sysvol, pero el NTDS.DIT lo replica

Si observamos el Event Viewer de DC2 veremos que este ahora se ha hecho cargo del Site Mendoza

Inclusive podemos notar también que es quien se ha hecho cargo de la autenticación del usuario

Y lo último, revisemos que todo esté bien, vamos a Active Directory Uses and Computers para verificar que están ambos Controladores de Dominio ;-)

Hasta acá llegamos esta vez

A partir de una infraestructura que emula dos sitios geográficos hemos implementado un segundo Controlador de Dominio, en un sitio remoto, “explicándole” al sistema cómo es nuestra estructura física, y cómo están conectados los sitios

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Jorge Cavallin  On 08/02/2013 at 16:56

    Muy bueno.

  • AXDAC  On 17/02/2013 at 17:16

    Excelente, puedes realizar uno de Direct Acces de Windows 2012.

    GRacias

  • Serba  On 06/08/2013 at 19:57

    Excelente Guillermo, muy bien explicado y en nuestro idioma que es lo mejor. quisiera preguntarte si se trataran de direccionamientos de red distintos, por ejemplo red sitio A 192.168.1.x y en el sitio B 172.31.30.x se manejan de la misma forma?

    gracias

    M.

    • Delprato  On 06/08/2013 at 20:09

      Hola Serba, justamente tiene/debe/requiere que en cada sitio sea una red diferente :-)

      Los Controladores de Dominio le informan al cliente en qué sitio está justamente usando la dirección IP desde donde se envía el pedido de autenticación

      Inclusive, puede haber más de una red en cada sitio
      Lo que no se puede es tener la misma red en más de un sitio

      Hay que tener en cuenta que lo que realmente determina la red, además de la dirección IP es la máscara de subred
      Por ejemplo 192.168.1.0 y 192.168.2.0
      – Si la máscara es 255.255.0.0 entonces es la misma red
      – Si la máscara es 255.255.255.0 entonces son redes diferentes
      Una forma de escribir la máscara de red, es directamente indicando los bit que corresponden a la red. Por ejemplo, en lugar de 255.255.255.0 usar /24, o si fuera 255.255.0.0 sería /16

      Tengo ganas de hacer una nota sobre direccionamiento IP :-) me estás haciendo dar más ganas :-)

  • Margarita  On 25/09/2013 at 18:05

    Hola Guillermo, me gustaria que me aclararas cual es la importancia de crear sitios y si es recomendable utilizar sitios asi esten geograficamente dispersos (ciudades diferentes)

    • Guillermo Delprato  On 25/09/2013 at 18:36

      Hola Margarita, si tienes sitios geográficos separados conectados por enlaces WAN es altamente conveniente explicarle eso al sistema con Sites, Links y Subnets
      Un Site, aunque en la mayoría de los casos se puede asimilar a un sitio físico, no necesariamente es así. Un Site es una o más subredes IP, con conectividad, permanente, confiable y suficiente ancho de banda para no andar preocupándose del tema. Lo que normalmente asimilamos a una LAN

      La infraestructura de Sites, determina fundamentalmente dos cosas:
      – Cómo replican los Controladores de Dominio
      – Cómo ubican los clientes los servicios de red

      Dentro de un Site, el objetivo es que un cambio en AD se replique lo antes posible a todos los Controladores de Dominio. Entre Sites diferentes en cambio el objetivo es poder controlar el tráfico de red

      Dentro de un Site, un usuario se puede validar contra cualquier Controlador de Dominio. Si hay diferentes Sites (sitios) es preferible que use uno local, y no otro que esté remoto. Vale lo mismo si se conectara a una réplica DFS

      ¿Fui claro? :-)
      Dentro de una LAN no tienes problemas de ancho de banda
      Cuando hay enlaces WAN de por medio, hay que poder controlar en lo posible el tráfico, e inclusive mejorar los tiempos de respuesta a los clientes

  • Diego Ruiz  On 22/10/2013 at 06:58

    Buenas Guillermo,
    En primer lugar felicitarte por tu buen trabajo. Es de lo mejorcito que he encontrado en la red y todo muy claro. Supongo que tendras mas tutoriales que prometo echarles un vistazo :) .
    Te comento mi situacion para que puedas darme una mejor respuesta. Mi empresa utiliza una centralita de vozip y necesito reducir el trafico no necesario entre las delegaciones ya que la telefonia es lo primero que sufre los problemas de red. TEngo la sede en Barcelona y varias delegaciones como madrid, valencia o portugal. Tengo creados los distintos sites por delegacion, pero un unico link. Esto es correcto??
    Antes tenia en cada site puesto que replicara con los DC de todas las delegaciones. Pensando en minimizar replicaciones, he configurado que solo se repliquen con barcelona todas las delegaciones, y que no se repliquen entre ellas el resto de delegaciones. Esto seria practico??
    Desde que he hecho este ultimo cambio me salen errores de replica en los DC de las delegaciones. Necesito que reinicien los DC para que no den estos errores?
    Siento invadirte con tantas preguntas pero no estoy muy seguro de algunas cosas y prefiero asegurarme. MUchas gracias por todo , y gracias por tu trabajo.

    • Guillermo Delprato  On 24/10/2013 at 11:52

      Dame por favor un par de días más para responder, que no estoy en mi lugar habitual, y la conexión es mala mala

      • Diego Ruiz  On 24/10/2013 at 13:01

        Sin Lugar a dudas. Tomate el tiempo que necesites. UN saludo

      • Guillermo Delprato  On 26/10/2013 at 08:11

        Hola Diego, ya estoy de vuelta, así que vamos a ver si puedo ayudar

        Hay datos que faltarían para poder dar una respuesta más completa, por ejemplo ¿un único Dominio o hay subdominios?

        Si están creados correctament los Sites, y cada uno tiene asignada una Subnet, entonces es automático que sólo un Controlador de Dominio (si es un único Dominio) replique desde cada Site con otro
        Cambiar a mano la topología de replicación que se genera automáticamente es algo muy delicado y que salvo casos muy especiales no conviene modificar. Quizás el problema que tienes esté relacionado justamente con la asociación Site-Subnet

        El tema de tener más de un Link, puede que esté bien o no :)
        Le tienes que “explicar” al sistema cómo realmente se conectan los sitios. Si lo que tienes son conexiones de tipo punto-a-punto, entonces no está bien tener un único Link. Hay que crear un Link para cada conexión

        Revisa los comentarios anteriores porque puede que por ahí vengan los errores que comentas

        Además, si tienes problemas de tráfico por el tema de VoIP, recuerda que en las propiedades de los Links puedes configurar el horario en que se puede utilizar, por lo tanto podrías hacer que replique sólo fuera del horario laboral, o en los momentos de menos actividad

      • Diego Ruiz  On 28/10/2013 at 08:42

        Gracias Guillermo. HAsta que no he estado en el trabajo y he revisado todo no he podido escribirte. Te comento que tenemos un unico dominio para todas las delegaciones. Tenemos delegaciones en Madrid, a coruña, lugo y valencia punto a punto, y con porto por adsl. Tenemos un unico link. Yo para reducir replicaciones borre las replicaciones que tenia y puse solamente que cada site ( cada delegacion esta en un site ) replicara solo con los dos servidores de el site central de barcelona ( Pdcserver y Bdcserver ) En cada site excepto en barcelona hay un unico DC .
        Lo que si he visto es que automaticamente me ha creado una replicacion con un o de los DC de otro site. Entiendo que lo hace automaticamente y que lo debo de dejar no?? quito que se repliquen todos con mis dos DC de Barcelona?? Cuando lo quite, tendre que lanzar algun comando para que cree los enlaces de replicacion automaticos??
        Crees que deberia de crear un link para cada site ( delegacion ).?
        Saludos y muchas gracias por todo

      • Guillermo Delprato  On 28/10/2013 at 09:44

        Si las conexiones son punto a punto, entonces eso hay que reconfirarlo. Cada “punto a punto” debe ser un “Link” diferente. Y no crear “Link” entre dos sitios que no estén directamente conectados ¿me explico?
        Por ejemplo, si Madrid tiene punto a punto con Lugo, y Madrid tiene punto a punto con Valencia, pero no hay punto a punto entre Lugo y Valencia, entonces hay que crear dos “Links”: “Madrid-Lugo”, y “Madrid-Valencia”

        Si hubiera una punto a punto entre Lugo y Valencia, entonces sí habría que crear un tercer “Link” “Lugo-Valencia”

        Si haz eliminado “Links” y el sistema los vuelve a cerar automáticamente, es porque detecta que los necesita.

        Asegúrate lo siguiente:
        – Que esté creado cada “Site”
        – Que cada “Site” tenga asignadas la/s “Subnet/s” que hay en cada sitio
        – Que estén creados los “Links” entre “Sites” de acuerdo a la topología real de conexiones

        Si todo está bien configurado, teniendo un único Dominio, al final quedará un único DC de cada Site remoto como entrada/salida de la replicación (Bridgehead Server). Sólo en el “site central” si la topología es tipo estrella puede que quede más de un “Bridgehead Server” a los efectos de que no se sobrecargue a uno sólo (lo hace automáticamente)

        Además, no debes preocuparte por la cantidad de Links, que los tenga creados, no implica que los use. Por ejemplo, si apagas durante un tiempo un DC probablemente se creará un nuevo “Link”. Cuando vuelva el DC apagado no necesariamente eliminará el creado durante su ausencia

      • Diego Ruiz  On 28/10/2013 at 09:58

        Gracias guillermo por tu rapida respuesta. Te comento como esta la cosa. Las 5 delegaciones de madrid, valencia, lugo y a coruña estan conectadas punto a punto con barcelona. Porto esta conectado por Adsl con Barcelona. Los “links” que hablamos, entiendo que son los enlaces que veo si entro en sites, en una de las sites, en el DC del site, y salen los “links” con otros DC, que curiosamente, valencia aparece automatico en todos los sites, y yo puse a mano los dos de barcelona. He de borrar los que yo puse a mano y esperar que se agreguen solo los automaticos???
        POr otro lado , he de crear algun “defaultipsitelink” para cada site con barcelona?
        Por lo demas me queda todo bastante claro, muchas gracias y felicidades por tu buen trabajo.

      • Guillermo Delprato  On 28/10/2013 at 12:15

        Los “Links” los encuentras/creas en “Intersite Protocols / IP”
        Lo que ves en “NTDS Settigns” debajo de cada DC, son los “objetos replicación”, o sea, los posibles caminos de replicación entre DCs

        De acuerdo a lo que comentas deberías crear los siguientes “Links”, cada uno con sus correspondientes 2 “Sites”
        – Barcelona-Madrid
        – Barcelona-Valencia
        – Barcelona-Lugo
        – Barcelona-Coruna (No uses la “ñ” que al sistema no le gustan y suele traer problemas) (Si ya sé España, no es Espana :))
        – Barcelona-Porto

        Tanto el DEFAULTIPSITELINK, como el Default-First-Site-Name, puedes renombrarlos, y configurarlos adecuadamente. Por si te sirve de ayuda en la siguiente nota está explicado para IPv4, pero es todo igual, sólo que cambiando los nombres de los Sites, configurando los “Links” y por supuesto usando direcciones IPv4
        Te deben quedar 6 Sites, cada uno con su o sus “Subnets”, y 5 “Links”
        Implementando IPv6: Promover Controlador de Dominio Remoto | WindowServer:
        https://windowserver.wordpress.com/2013/10/09/implementando-ipv6-promover-controlador-de-dominio-remoto/

        El “DEFAULTIPSITELINK” simplemente es un nombre por omisión del sistema, no tiene ninguna propiedad en especial. En cambio el “Default-First-Site-Name”sí tiene una propiedad especial, así que no lo borres, simplemente renómbralo por ejemplo a Barcelona si es el sitio central; en él quedarán además de todos los DCs que tengan una IP asociada con la subnet de Barcelona, cualquier otro que no tenga una Subnet definida. No debería haber ninguno de este último caso si todo está bien hecho

      • Diego Ruiz  On 28/10/2013 at 12:36

        Eres muy grande Guillermo :) .
        Hare los cambios esta noche si puedo y en cuanto vea resultados te digo si he notado mejoria o me han echado del trabajo, jajajaja. Saludos y que tengas una buena semana.

      • Guillermo Delprato  On 28/10/2013 at 15:36

        No te preocupes, siempre se consigue trabajo, y a veces hasta sirve para mejorar :-D

        Ahora en serio, había un pequeño error en la contestación anterior que ya corregí. En el últimp párrafo estaban invertidos DEFAULTIPSITELINK y Default-First-Site-Name. El que tiene propiedades especiales es este último

      • Diego Ruiz  On 29/10/2013 at 09:34

        GRacias Guillermo, ya tengo hecho un planing de lo que voy a hacer, solo tengo una duda. Yo ya tengo creado las subredes y los sites, con un unico link, que es como me lo hicieron hace un par de años. Mi duda es, puedo agregar simplemente los links nuevos, e ir cambiando los sites que estan dentro de cada link, o tendria que borrar todos los sites y crearlos de nuevo? Tendria que lanzar algun comando una vez acabara para que cogiese todos los cambios??
        Saludos y muchas gracias como siempre

      • Guillermo Delprato  On 29/10/2013 at 10:36

        Tener las asociaciones correctas Site-Subnet de cada uno es lo primero

        ¿Cómo lo haría yo? porque aunque el resultado final sea el mismo se puede hacer de diferentes maneras: trataría de no borrar sino renombrar y reconfigurar
        Por ejemplo del “default site” lo renombraría por ejemplo “Barcelona”. Crearía otros para cada sitio

        Luego renombraría el “default site link”, por ejemplo “Barcelona-Madrid” y reconfiguraría para que quede conectando solamente a Barcelona y Madrid. No te apures y sigue leyendo hasta el final …
        Y así sucesivamente con cada “site link”, la única diferencia es que a los otros hay que crearlos, siempre dentro de la carpeta “IP”

        Cuando se hacen cambios en la replicación, pasa un tiempo hasta que esos cambios se replican a todos los DCs, y más todavía si hay sitios diferentes, así que lo primero es la paciencia porque cuando hagas los cambios en los “site links” estarás rompiendo la estructura de replicación ya creada.
        Así que yo lo haría fuera de horario laboral, y además por lo menos en primera instancia y para acelerar la replicación, en cada “site-link” le pondría el tiempo mínimo de replicación (15 minutos), y me olvido de todo por lo menos por una hora

        Recién entonces comenzaría a ver si todo está replicando correctamente. Revisa la nota que pongo abajo que tiene información muy buena sobre cómo comprobar que la repliación funciona correctamente, incluyendo entre “sites” diferentes
        Instalación de Active Directory – Comprobaciones Finales – Nota XII | WindowServer:
        https://windowserver.wordpress.com/2013/08/02/instalacin-de-active-directory-comprobaciones-finales-nota-xii/

      • Diego Ruiz  On 04/11/2013 at 07:28

        Buenas de nuevo guillermo,
        En principio hice todo como me comentaste y parece que funciona correctamente, al menos de momento. Quiero hacer una pruebas creando algun usuario y ver si replica en las horas programadas.
        Lo que si me he encontrado con alguna cosa que creo que no deberia de ser asi.
        Como te comente tenia varias delegaciones que he puesto en sites y links diferenciados. TEngo uno que en los NTDS settings deberia de aparecer un enlace automatico con uno de los servidores del site de barcelona ( PDCserver o BDC server ) y no aparece, aunque en uno de los servidores de barcelona ( PDCserver ) si que aparece automaticamente. Osea es como si automaticamente replicara desde barcelona a oporto, pero no al reves.
        Otra curiosidad es que en otro site, lugo, se ha creado automaticamente una replicacion con acoruña, cuando estos dos sites estan en links diferentes y en teoria el coste de un site a otro deberia de ser mayor que el coste directo con barcelona.
        Es normal que automaticamente haga alguna cosa como esto?? Es mejor que yo ponga la replicacion manualmente y eliminar lo que no deberia de estar? Hay algun comando para reorganizar automaticamente estas replicaciones??
        Muchas gracias y que tengas una buena semana

      • Guillermo Delprato  On 04/11/2013 at 08:34

        Habría que conocer mucho más de tu infraestructura para poder responderte adecuadamente a estas consultas …

        En primera instancia hay que tener en cuenta que en todos los DCs se ejecuta cada 15 minutos un proceso llamado KCC (Knowledge Consistency Checker) que se encarga de crear los objetos conexión necesarios
        Que exista replicación “entrante” pero no saliente en un determinado DC puede deberse a varios factores, por ejemplo si hubiera un RODC

        Se puede forzar el cálculo en cualquier momento con botón derecho sobre “NTDS” y elegir “Check replication topology”

        Y por supuesto que si crees que faltara algún objeto conexión también puedes crearlo manualmente. El sistema es el que decide si lo utilizará o no. Recuerda que tienen sentido a->b no es lo mismo que b->a

        Personalmente me fiaría de las utilidades de diagnóstico que están en la nota que puse en la respuesta anterior

      • Diego Ruiz  On 05/11/2013 at 05:30

        Finalmente despues de hacer lo de Check replication topology, se ha estructurado perfectamente. Muchas gracias por tu ayuda guillermo. Ahora tengo otra duda sobre KDC, que voy a ver si encuentro algo en tu fantastico blog. Saludos , gracias, y sigue con tu gran labor.

      • Guillermo Delprato  On 05/11/2013 at 08:09

        Hay que darle tiempo hasta que se crean todos los “objetos replicación” y más cuando hay varios “Sites”, pero me alegro que lo solucionaras

        ¿KDC? eso es Kerberos :) y no he escrito nada sobre el tema, porque es muy teórico, quizás en algún momento
        ¿O era KCC? :D

      • Diego Ruiz  On 05/11/2013 at 08:24

        Si es Kereberos. Es un error que me sale :
        El centro de distribución de claves (KDC) no encuentra un certificado adecuado para usarlo en inicios de sesión de Tarjeta inteligente o no se pudo comprobar el certificado de KDC. Es posible que el inicio de sesión de Tarjeta inteligente no funcione correctamente si no se soluciona este problema. Para corregir este problema, compruebe el certificado de KDC existente con certutil.exe o inscriba un nuevo certificado KDC.
        Como no hice la migracion yo , no se si es por que hay algo configurado para que haya un servidor CA que no lo hay, o si es por una GPO, o que puede ser. Como no se mucho de este tema estoy informandome bien antes de hacer cualquier cambio. Ya vi que no tenias mucho al respecto, aunque algo relacionado a certificados si que hay, pero creo que no va por ahi el problema.
        Gracias de todas formas, tengo tu blog en favoritos para ir echandole un ojo a las novedades. Saludos

      • Guillermo Delprato  On 05/11/2013 at 09:33

        Hola Diego, es un “error” que entiendo “no debería ser error”
        Según tengo entendido el problema viene por este lado. En cuanto pones una autoridad certificador tipo Enterprise en el Dominio, los Controladores de Dominio automáticamente obtienen un certificado de Controlador de Dominio automáticamente.
        Esto es así por si alguien (creo que nadie) usaba replicación por SMTP para firmar y cifrar la replicación
        Y todo eso ha quedado

        Actualmente, y pensando más en la seguridad, el sistema de alguna forma quiere/sugiere que uses Smart Cards, y por lo tanto trata que el DC obtenga certificado automáticamente
        Como en la mayoría de los casos no se usan Smart Cards, pienso que puedes olvidarte de ese “error” que en realidad entiendo que no es

      • Diego Ruiz  On 05/11/2013 at 09:41

        Muchas gracias guillermo, me ha quedado clarisimo, y ha despejado las dudas que tenia. Entiendo que esto es algo interno del Server2008 y que no tengo que tocar nada para que deje de salir la alarma, y que en todo caso no supone ningun problema que aparezca. Pues otro problema solucionado :) UNa vez mas muchisimas gracias . Espero poder ir viendo poco a poco , otros paso a paso que has colgado. UN saludo desde el otro lado del charco :)

      • Guillermo Delprato  On 05/11/2013 at 11:36

        :)

  • Diego Ruiz  On 30/10/2013 at 05:31

    Perfecto, pues seguire asi los pasos. En principio es lo que iba a hacer , pero mejor siempre preguntar.
    Muchisimas gracias. Si puedo lo hare esta noche y en cuanto compruebe como va te cuento. Saludos y muchas gracias

  • eldeza  On 15/04/2014 at 16:26

    Hola Guillermo, mi consulta es sobre el tiempo de replicación que le colocas 15 minutos, yo actualmente tengo 4 sucusales, osea 4 controladores de dominio que estás replicando y he visto que si configuración de tiempo de replicación es de 1 hora, está influyendo esto en la demora de replicación cuando creo un usuario en un sitio y demore en aparecer en el otro?

    • Guillermo Delprato  On 15/04/2014 at 16:39

      Hola, el intervalo de replicación por omisión es de 3 horas, y el mínimo es el de 15 minutos. Si está configurado en 1 hora es porque en algún momento se modificó manualmente
      El valor apropiado depende de varios factores, desde cuán seguido se hagan cambios en Active Directory, hasta cómo estén interconectados los Sitios, por ejemplo, no es lo mismo en estrella (Hub and Spoke) que si estuvieran todos contra todos (Mesh), o hubiera un encadenamiento (A->B->C)
      Cuanto más frecuente, más continuo es el tráfico sobre los enlaces; pero si la frecuencia es poca, los cambios demoran en replicarse. Hay que buscar el equilibrio dependiendo del caso

      De todas formas hay una forma de solucionar algunos inconvenientes. Por ejemplo, imagina que estás en BAires, y hay que hacer un cambio en una cuenta de usuario que está en Mendoza. Desde Active Directory Users and Computers, con botón derecho puedes seleccionar a qué Controlador de Dominio se conecta la consola.
      Te conectas al DC de Mendoza haces el cambio, y el usuario lo tiene en el momento. Que luego recién dentro de unas horas aparezca reflejado en el Controlador de Dominio de BAires no trae problemas
      Vale lo mismo si lo que se debe hacer es crear un usuario

  • mauricio  On 13/08/2014 at 20:32

    Hola Guillermo, exelante el Tuturial. Tengo configurada una instalacion igual a la del ejemplo. El tema es que desde Mendoza solo veo el server y no las PC de Bs As. (en la otra direccion pasa lo mismo) (si puedo hacer ping a todas) Te agradecería una pista. Saludos, Mauricio.

    • Guillermo Delprato  On 14/08/2014 at 07:56

      Hola Mauricio ¡gracias por el comentario!
      Primero me tienes que aclarar qué es “no veo”, permíteme la broma: entre BAires y Mendoza hay más de 1000 Km de distancia :-D

      Lo primero es hacer, por ejemplo, un PING con dirección IP (no nombre) porque de esa forma podemos acotar si el problema está a nivel de IP, o de resolución de nombres. Cuidado con los cortafuegos; los DCs por omisión tienen permitido ICMP
      Si lo anterior funciona, entonces PING con nombre FQDN. Si esto no funciona entonces hay que investigar por el lado de la configuración de DNS, tanto en los clientes, como en los servidores
      ¿Está realmente como la nota? en el sentido que ambos DCs son controladores de Dominio del mismo Dominio ¿no haz tenido problemas de replicación? Controla que en las zonas estén los mismos registros

      Ahora, si lo que te refieres es al entorno de red, eso no tiene que ver con poder acceder o no, ya que es una forma totalmente independiente del acceso de visualizar la red

      Otro dato, las PCs tienen que tener, o bien como puerta de enlace, o bien una entrada en la tabla de routing que le indique que la respuesta a la red “del otro lado” se la tiene que enviar al servidor VPN local

      Con más datos quizás pueda ayudar más

  • mauricio  On 14/08/2014 at 10:25

    Bien día Guillermo, por querer ser breve omití información importante.
    Entorno: servidor1 DC (Catalogo Global) 192.168.10.200/24 Sitio1 – servidor2 CD (Catalogo Global) 192.168.20.207/24 Sitio2 del mismo dominio. Las PC tienen IP Fija
    Problema: En Servidor1 (En Inicio/red) veo los iconos del servidor 1 y las PC de ese sitio1 + el servidor2 del otro sitio2. (Pero no puedo ver los iconos de las PC del sitio2). Lo mismo a la inversa.
    Ping por IP y por Nombre responde en todas direcciones. AD y DNS replican los cambios.
    Las PC tienen las mismas Puertas de enlace que sus respectivos servidores que si se ven.
    Objetivo: Poder acceder desde sitio1 a los archivos de las PC del sitio2.

    • Guillermo Delprato  On 14/08/2014 at 11:36

      Ver y acceder son dos temas totalmente diferentes. Si por ejemplo desde Servidor1 ejecutas \\PCdeSitio2 ¿puedes acceder? (cuidado con los cortafuegos)
      La misma prueba desde cualquier PC de Sitio1 ¿pueden acceder a las máquinas de Sitio2 usando \\NombrePC?

      Si no pudieran ¿hay PING entre estas máquinas de un sitio y otro? Cuidado con los cortafuegos porque los DCs permiten PING, pero cualquier otra lo impide el cortafuegos

  • mauricio  On 14/08/2014 at 15:17

    Desde el server1 hago Inicio/Buscar programas y archivos (pongo el \\nombrePC2) y aparece cartel
    “El nombre de red especificado ya no está disponible” Desde la PC2 del sitio2, Inicio/ejecutar\\server1 y encuentra el server y me deja abrir los archivos. Usando símbolo se sistema puedo hacer pin a todas la IP y todos los nombres desde todas las PC y server. Todos encuentran todo.
    Trataré de empezar de nuevo teniendo cuidado con los cortafuegos y te comentaré los resultados.

    • Guillermo Delprato  On 14/08/2014 at 16:17

      Mauricio, no recomiences todo que está bien; es esperable lo que sucede, y paso a comentar
      Nunca se me había ocurrido llegar a otro equipo usando “buscar”, pero entiendo que no llegas porque esa opcioón busca sólo localmente.
      Lo más común es justamente desde Ejecutar con \\NombreDeMáquina, aunque si estuvieras en ambiente de varios Dominios, y lo aconsejable es usar el FQDN. Por ejemplo \\NombrePC.Dominio.Sufijo

      Me imagino por dónde vienen tus dudas, el problema viene por el uso de NetBIOS
      El entorno de red conocido, es un servicio que depende de resolución de nombres NetBIOS, no usa DNS. Y NetBIOS sin WINS utiliza “Broadcasts” (difusiones) de red, que no pasan a través de Routers (en este caso los servidores VPN) y por eso dices que “no puedes ver”, pero sin embargo puedes acceder :-)

      En una ambiente de Dominio AD, es imprescindible que el servicio DNS esté correctamente configurado. Si te funciona con sólo poner el nombre de la máquina, es porque tienes un único Dominio, entonces aunque pongas NombrePC, el sistema de resolución de nombres agrega automáticamente el nombre y sufijo del Dominio (NombrePC.dominio.suf)

      No es lo mismo, tener todo sobre la misma LAN, que cuando tienes más de una red, o inclusive más de un Dominio, es espacios de nombres no contiguos, en cuyo caso hay que comenzar a trabjar “como se debe” :-)
      El entorno de red, por un tema de antigüedad, y en mi opinión personal, es de lo peor. Hice una nota sobre el tema: Por Qué Hay Que Evitar el Entorno de Red | WindowServer:
      https://windowserver.wordpress.com/2011/02/26/por-qu-hay-que-evitar-el-entorno-de-red/

      Si desde cualquier máquina de cualquiera de las dos redes puedes acceder a las de la otra usando la sintaxis “\\nombrePC” o “\\NombrePC.dominio.sufijo” es que está todo como es esperable

      Si pese a todo quisieras el viejo entorno de red, que yo no te recomendaría para nada como puedes ver en la nota anterior, entonces deberías habilitar en todas las máquinas el servicio “Computer Browser” que por omisión está deshabilitado e instalar el servicio WINS en uno o dos servidores, hacer que todos los clientes lo tengan configurado para usarlo, y finalmente armarte de mucha mucha paciencia, porque la lista de máquinas estará bastante desactualizada en el tiempo

  • mauricio  On 14/08/2014 at 16:39

    Muchas Gracias Guillermo por tus sugerencias. Me pongo a trabajar sobre estos comentarios. Y te mantengo al tanto. Saludos.

  • david  On 29/08/2014 at 14:36

    es posible ver en la vista RED de windows 7/8 los equipos de otros sitios. (en mi caso es el mismo dominio, es una replica)

    • Guillermo Delprato  On 29/08/2014 at 17:22

      Hola David, si te refieres al entorno de red, como era antes no. Se podría probar un método pero no es bueno, ni tan fácil
      En las todas las máquinas, iniciar el servicio “Browser” (Examinador), poner un servidor WINS en cada segmento, y configurar entre estos replicación “push-pull”
      No recomiendo el entorno de red, genera mucho tráfico, y es muy lento en actualizarse, más si hay varias redes
      Hay una nota en el blog sobre el tema: Por Qué Hay Que Evitar el Entorno de Red | WindowServer:
      https://windowserver.wordpress.com/2011/02/26/por-qu-hay-que-evitar-el-entorno-de-red/

  • Fernando  On 27/05/2015 at 16:06

    Guillermo como va?
    Te queria hacer una consulta, tengo un AD funcionando en un sitio y ahora vamos a agregar un Exchange en la nube, para ello necesito poder tomar los usuarios del AD en la nube, la pregunta es, conviene hacer una VPN y agregar dicho servidor como un CD adicional y listo o bien crear 2 sitios diferentes, que opinas?

    Gracias.

    • Guillermo Delprato  On 27/05/2015 at 17:15

      Hola Fernando, todo bien con mucho trabajo
      No es algo con lo que me he metido demasiado con nube, y por lo tanto no puedo darte un buen asesoramiento

  • José Flores  On 24/06/2015 at 19:24

    Hola Guillermo,
    Me podrías detallar cuales son los comandos que utilizaste para saber que DC se esta haciendo cargo de la autenticación del usuario. Gracias de antemano.

    • Guillermo Delprato  On 25/06/2015 at 06:33

      Hola José, en cliente, desde línea de comandos utilicé el comando SET que muestra las variables de entorno
      Específicamente la variable LOGONSERVER es la que indica cuál fue el DC que hizo la autenticación

  • Nestor  On 01/07/2015 at 14:48

    Hola Guillermo antes que nada muchas gracias por el tutorial esta muy bien explicado.

    He replicado un laboratorio muy parecido al tuyo tengo la siguiente arquitectura:

    Site 1 Site 2
    DC1 10.0.2.1 DC2 172.16.30.1
    Subredes Subredes
    10.0.2.0/24 172.16.30.0/24
    10.10.10.0/24 172.16.10.0/24

    Hasta aqui todo bien y funcionando , el problema es que tengo 2 clientes los cuales los conecto al Site 1 o al Site 2 , pero no me autentica el DC local de cada site , por decir si estoy en Cliente 1 con en un segmento de la subred 10.0.2.0/24 no tengo problema , pero si estoy en una subred 10.10.10.0/24 al resolver mi dominio no me contesta primero el DC1 siempre, si no en ocasiones el DC1 y en otras el DC2 , creo que es un problema con el DNS y las subredes pues no tiene un DC en el segmento de la subred , mi duda es como le digo a la subred que resuelva al DC local de cada site.

    Nota tengo habilitado el Round Robin y Netmask ordering en el DNS.

    Espero haberme explicado bien un saludo y gracias por tu ayuda.

    • Guillermo Delprato  On 01/07/2015 at 16:27

      Hola Nestor, lo primero a revisar es que Site1 tengas asociadas ambas redes 10… Y que el Site2 ambas 172.16…
      Cada Site debe tener asociadas sus dos correspondientes subredes ¿es así?
      Por otro lado, como el cliente no conoce ni aprende por sí solo en qué red está, esa información se la dan sólo los DC, en general es necesario apagar/mover/prender el cliente con cada cambio
      Otro tema a tener en cuenta, cuando el DC autentica al cliente le informa en qué Site está, y el cliente guarda esa información en el registro. Por más que lo muevas, el cliente trata de contactar a los DCs del sitio en el que estaba anteriormente, recién ahí, el DC le dice “No, tu ahora estás en SiteX” :)
      A veces me ha sucedido tener que dar dos reinicios

      Y otra más, por omisión los usuarios inician sesión con credenciales “cacheadas” y antes que levante la red. Cuando hagas pruebas de este tipo que estamos hablando utiliza siempre usarios nuevos, que no hayan iniciado sesión en dicha máquina

  • Marcelo  On 21/08/2015 at 13:34

    Excelente material !!! solo tengo una duda yo tengo en capital federal 2 AD replicados , en ellos tambien albergo 4 sitios sucursales remotas en capital federal estaran a unas 20 cuadras , todas tienen subnets diferentes y llegan por RPV pero en esos sitios no tengo un AD , todo lo concentro en central , esta bien la configuracion asi como la tengo ??

    ahora me gustaria agregar una sucursal que abrimos en uruguay , con otra subnet me conviene agregar las pc al dominio en buenos aires o declarar un controlador de dominio en uruguay y configurar sites and service ??

    graciasssss

    • Guillermo Delprato  On 21/08/2015 at 15:01

      Hola Marcelo ¡gracias por tu comentario!
      Entiendo que cuando dices que tienes “2 AD” en realidad te estás refiriendo a 2 Controladores de Dominio, ambos en el mismo Dominio
      No hay una “receta mejor y que siempre funcione” para todos los casos. El tener o no Controladores de Dominio en los sitios remotos depende de muchos factores, para nombrar sólo algunos: cantidad de usuarios remotos, criticidad de trabajo, performance, confiabilidad y ancho de banda disponible en el enlace, y varios más
      Mientras exista un enlace WAN de por medio, da lo mismo que esté en Uruguay o en China :)
      Lo que determina si poner Controladores de Dominio en los sitios remotos son factores como los que comenté antes, o inclusive si hay que hacer subdominios
      Si están todos los Controladores de Dominio en el sitio central no tiene sentido crear Sites, ya que cualquiera de ellos puede responder de la misma forma

  • Darwin Aguilera  On 23/09/2015 at 19:50

    Hola guillermo pudiera darme una idea general de como configurar un equipo al cual quiero instalarle windows server 2008, para meter maquinas al dominio y aplicar politicas para compartir archivos, entre otros cuales son los pasos que debo seguir gracias y espero tu respuesta

    • Guillermo Delprato  On 24/09/2015 at 07:35

      Hola Darwin, imposible hacer eso acá, primero que nada porque estos espacios están reservados para comentarios sobre la nota, u oriento en un problema cuando puedo
      Aprender a configurar máquinas para crear un Dominio implica conocimiento anterior para no tener luego problemas. Para eso puedes buscar información en Internet que aunque desorganizada hay mucha, o si quieres algo ordenado y guiado debes pensar en tomar cursos de capacitación sobre el tema. En este mismo blog tengo el enlace al que utilizo para cursos de capacitación (http://delprato.blogspot.com)

  • Dago Pacheco  On 08/10/2015 at 10:40

    Estimado Guillermo:

    Primero que todo, muchas gracias por compartir tus conocimientos a través de estos tutoriales, son de muy buena calidad y en particular, respecto al tema de Sites, Links y Subnets de AD, me ha aclarado varias dudas, pero también me ha generado otras que espero me puedas ayudar a resolver.

    Te explico. Tengo una red institucional que se reparte entre varias ciudades a lo largo de Chile, en cada ciudad hay 1 o varias sucursales y se cuenta con un datacenter en Santiago con los servidores centrales. Todas las sucursales están conectadas a través de una MPLS, por lo que en la práctica hay conexión directa desde cualquier sitio hacia otro bidireccionalmente (mesh). La red tiene un dominio y un subdominio que son usados en todas las ciudades.

    Actualmente hay al menos 1 controlador de dominio (DC) para cada dominio/subdominio en cada ciudad, no así para todas las sucursales en una misma ciudad (algunas sucursales son muy pequeñas y no lo ameritan). A nivel de AD solo está configurado 1 Site, con 1 Link y las subredes definidas para ese Site, lo que tengo claro que no es optimo y por lo tanto quiero modificar. Ante esto tengo un par de dudas:

    1) Teniendo en cuenta que la conexión logica entre las sucursales es de tipo Mesh ¿me conviene generar los Sites y sus Link de forma que todos tengan un link hacia cada otro? o ¿defino una topología de tipo estrella para la conexión AD? Lo último me refiero a definir un Site central (datacenter) y que todos los otros Sites tengan un único Link hacia este?

    2) Como dije, algunas sucursales no tienen DC ¿se crea un site para éstas a pesar de que no tengan DC? o ¿o las subredes de estas sucursales se agregan al Site geográficamente más cercano?

    3) En algunas sucursales hay redes NAT definidas, principalmente en laboratorios, las que normalmente usan subred 192.168.0.0/24. Generalmente ocupamos la misma subred en distintas sucursales ya que al ser NAT no generan conflictos, pero para el caso de la estructura de AD ¿sería igual necesario definir distintas redes a pesar de que sean NAT? Esto con el propósito de definir correctamente la subred para su correspondiente Site.

    4) ¿Hay alguna consideración que tener en cuenta para mover un DC que ya está en un Site a uno nuevo? ¿Es recomendable hacerlo uno a uno e ir viendo como se va comportando la replicación en vez de generar toda la estructura y mover todos los DC a los nuevos Site?

    Bueno, esas serían mis dudas.
    Desde ya, muchas gracias.

    Saludos

    • Guillermo Delprato  On 08/10/2015 at 11:44

      Hola Dago ¡Gracias por tu comentario! y ahora vamos a las preguntas
      Aunque primero hay que hacer una aclaración importante, para darte una sugerencia que sea realmente profesional se deberían conocer muchos más datos, así que lo que pueda comentarte son sólo sugerencias generales de configuración
      Por otra parte, también es necesario definir “situación actual” y “objetivos”
      Puedo ver por lo que comentas la “situación actual”. Al haber un únicos Site, que supongo que será el creado por omisión, y que contiene todas las redes y todos los DCs, esto implica que cualquier servicio de AD que necesite un cliente lo hará con cualquier DC de la red, sin importar dónde esté. Normalmente durante el arranque de una máquina arma un canal seguro de comunicación con el primer DC que le responde
      Estando en una red “mesh” esto quizás no sea un problema, todo dependerá del uso de los enlaces

      El objetivo genérico es que una máquina que necesite los servicios de un DC lo haga con “el más cercano posible” evitando hacer tráfico WAN, y además poder controlar y reducir el tráfico de replicación entre los DCs a través de WAN

      Ahora tratando de responder las preguntas:
      1) Si la topología es “mesh” lo lógico sería un único “Site link” que conecte todos los Sites
      2) El tema de crear Sites para lugares donde no hay DC es muy discutido técnicamente. En mi experiencia los creo, y los conecto con “Site Link” al Site más cercano o con mejor conectividad
      3) Con el tema de las redes NAT no sé qué decirte :( porque no me queda claro si son parte del AD o de laboratorio, o ambos. En primera instancia si son parte del Dominio entiendo que habría que asignar la correspondiente red al Site donde estén, pero recordando que NAT es unidireccional y que por ahí difícilmente pase tráfico de AD
      4) Mover un DC de Site normalmente, si todo está funcionando correctamente, no trae ningún inconveniente, lo que sí hay que tener en cuenta es que va a haber un tiempo de convergencia, hasta que cada DC recalcule la nueva topología de replicación, y se creen los objetos conexión necesarios. Yo lo haría uno por vez y por día :) (por las dudas…)

      • Dago Pacheco  On 15/10/2015 at 11:02

        Guillermo,
        Efectivamente en estos momentos estamos en la situación actual en que cualquier DC responde a las peticiones de los usuarios independiente que se encuentren en ciudades distintas cada uno, situación que queremos evitar.
        En relación a tus respuestas, te comento:

        1) Me queda claro que al tener una topología de conexión mesh, nos bastaría con tener un solo SiteLink que contenga todos los Sites de AD, pero con esto me queda la duda, ya que también me recomiendas que los Sites que no tengan DC sean conectados con un SiteLink al Site más cercano. ¿no es redundante tener un SiteLink que contenga todos los Sites y además tener otro que contenga un subconjunto de éstos? ¿se genera algún tipo de conflicto en este caso?

        2) Con respecto a las redes NAT, cuando dije Laboratorio me refería a Laboratorios de Computadores para ser usados por alumnos (ahora me doy cuenta de que podía ser mal interpretado … y si, la institución es de educación). Estos laboratorios son parte del subdominio que tenemos en nuestra institución y si veo en los registros DNS, los equipos de estos laboratorios quedan registrados con la IP NAT interna (la privada). Entonces creo que si quiero que los usuarios de esos laboratorios usen el DC más cercano tendría que definir la SubNet privada en el Site correspondiente, por lo que no podría usar esa misma SubNet en otro Site independiente que el usar las mismas no genere conflicto a nivel de red (al ser NAT). ¿estoy en lo correcto?

        Eso sería. Muchas gracias por tu respuesta.
        Saludos

      • Guillermo Delprato  On 15/10/2015 at 11:46

        Hola Dago
        1) Si configuras un único SiteLink, por ser “mesh”, por supuesto que no hay que crear otros para los sitios que no tengan DC. Una máquina en uno de esos Sites simplemente utilizará el primero que le responda, con el cual creará el canal seguro de comunicación
        Resumiendo, un único SiteLink al que estén conectados todos los Sistes, tenga o no DC
        2) A mi entender no puedes tener máquinas que formen parte de un Dominio “atrás” de un NAT, ya que este servicio es unidireccional, salvo que hicieras un montón de reglas de publicación, pero que además muy importante, no se pueden “ver” las direcciones de las máquinas atrás del NAT con lo cual no hay resolución de nombres

        Mi experiencia en redes de instituciones educativas, es que están completamente separadas la red administrativa de la de alumnos (tendrás muchos “aprendices de hackers” :))
        Sólo convergen en el cortafuegos que da conectividad a Internet, ya que en mi experiencia están separadas no sólo lógicamente, sino además físicamente. Y mucho cuidado en la configuración del cortafuegos ;)
        Si en un sitio se necesita conectividad entre ambas redes, entonces un Router/Cortafuegos, pero “ruteando” y no “nateando”

  • Dago Pacheco  On 15/10/2015 at 15:06

    Ok Guillermo, gracias por tus aclaraciones. Debo agregar de que los DC están todos fuera de la NAT, solo hay PC clientes detrás de ésta, y según leo en este artículo https://support.microsoft.com/en-us/kb/978772 si está probado oficialmente este escenario.
    Saludos

    • Guillermo Delprato  On 15/10/2015 at 15:16

      Como te parezca mejor implementarlo Dago :)
      En el enlace dice que está probado, pero también dice “Support for issues related to Active Directory over NAT will be very limited”

      • Dago Pacheco  On 15/10/2015 at 15:50

        Exacto …. evaluaremos el dejar de usar NAT y también hemos evaluado separar toda la red de alumnos (a pesar de que la tenemos bien bloqueada), pero es un tema mayor por cómo se ha ido armando todo con el tiempo y los servicios que ya dependen de esta configuración.
        De nuevo, muchas gracias por todo.
        Saludos

      • Guillermo Delprato  On 15/10/2015 at 17:11

        De nada Dago :)

  • Adolfo  On 17/12/2015 at 06:43

    Lo primero es agradecerte todo lo que explicas y las ayudas que nos das a muchos.
    Tengo varias preguntas:
    – Hay alguna opcion para poder ver las imagenes? En muchos post no puedo seguir los tutoriales por no dispones de las imagenes.
    – Las reuniones se graban? Es por si aun no pudiendo asistir online, posteriormente se pueden visionar

    Muchas gracias

    • Guillermo Delprato  On 17/12/2015 at 07:11

      Hola Adolfo, gracias por tu comentario, me alegro te sirvan las notas
      El tema de pérdida de imágenes lo he tenido bastante difícil, porque las almacenaba en Onedrive, y de un día para otro hicieron cambios sin ningún aviso, el URL a la imagen cambiaba aprox. cada 24 horas. A partir de eso tuve que cambiar el lugar de almacenamiento, y así lo estoy haciendo si mal no recuerdo desde Junio 2015
      Pero de todas formas no deberían perderse imágenes. Si tienes una nota donde no puedes ver las imágenes te agradecería me indiques cuáles son así trato de arreglar la nota
      Con respecto a las reuniones, no las grabo porque la idea era que sean pocos asistentes con el objetivo de tener mucha interactiviad con preguntas, respuestas, comentarios, diferentes puntos de vista, etc. Y además no quiero que sean “un video más en Internet” :)
      Hace ya tiempo que no hago reuniones, fundamentalmente por “mal comportamiento” de la gente, me han desanimado bastante. Muchos anotados, y pocos que realmente asisten, no cumplen las reglas de inscripción, acuden pero no participan. Son un esfuerzo grande prepararlas tanto por la secuencia de temas como por las máquinas para las demostraciones, y si no cumplen el objetivo realmente no sé si volveré a hacerlas, vamos a ver si puedo arreglar los temas

  • Lucas  On 08/04/2016 at 10:58

    Estimado una consulta, tengo un DC1 y DC2 en buenos aires y un DC3 en Neuquen. El tema que cuando se cae el enlace (Neuquen se queda sin internet) las personas de Neuquen no se loguen a los equipos. Esto es normal o no debería pasar? Aclaro el DC3 que esta en Neuquen ES READ-ONLY,GC

    • Guillermo Delprato  On 08/04/2016 at 12:05

      Hola Lucas, lo que debes tener en Neuquen es ademas de DC y GC, DNS
      Si es un RODC, entonces para que puedan iniciar sesion sin conectividad con central, debes configurar la replicacion de contrasenas de los usuarios de alla
      En el margen izquierdo, Buscar, usa “RODC” que hay varias notas

  • Roberto  On 10/10/2016 at 12:38

    Guillermo buen día, para ser breve, tengo 5 oficinas pero solo dos tienen DC (sitio 1 y 2), puedo crear los sites de los sitios 3,4 y 5 aun sin tener DC en ellos? todos los sitios tienen subredes diferentes. tendría algún problema con esto? puedo yo crear los links o dejo de forma automática que se creen, de antemano muchas gracias!!!

    • Guillermo Delprato  On 10/10/2016 at 14:29

      Hola Roberto, primero definitivamente crear los Sites, y agregar las subredes de cada sitio, esto seguro para los Sitio1 y Sitio2
      Para los que no tienen DC todo depende de varios factores: cómo están interconectados los sitios, y si hay aplicaciones que sean “Site aware” y que tengan el servicio localmente
      Si en los sitios 3, 4 y 5, teniendo en cuenta los enlaces WAN, prefieres que usen un DC determinado, entonces conviene asignar cada una de las redes de estos sitios, a uno de los dos Sitios que tienen DCs
      Por ejemplo: si el 3 está directamente conectado al 1, y 4 y 5 al 2, entonces las subredes del 3 se las asignas al sito del 1, y las de 4 y 5 a las del sitio 2
      Borro el otro mensaje que quedó duplicado

  • Rafa  On 31/10/2016 at 12:45

    Buenas tardes,
    Mi pregunta es la siguiente.
    Tengo una delegación central con un dominio (p.e: central.local)…y varias sucursales que están en grupo de trabajo…estas se conectan mediante linea punto a punto a nuestra base de datos…queremos que estos puestos estén dentro del active directory, pero no queremos poner un controlador en cada sede, es mas, al tener la linea punto a punto, habíamos pensado crear un nuevo dominio en la central (secursales.local o subdominio sucursales.central.local) y que las sucursales se conectasen mediante esa linea punto a punto al servidor.
    En dicho servidor crearía los sites de la sucursales
    192.168.10.x alicante
    192.168.20.x avila
    etc..
    Esto se podría hacer?…Me consumiría mucho ancho de banda?
    Espero que me haya sabido explicar

    Saludos,
    Rafa

    • Guillermo Delprato  On 31/10/2016 at 14:38

      Tener sitios remotos no implica que se debe poner un Controlador de Dominio del Dominio, solamente hay que tener en cuenta que si por alguna causa se cortara la comunicación, en el sitio remoto, aunque los usuario podrán iniciar sesión con “cached credentials” no podrán acceder a recursos compartidos de otras máquinas
      Tener más Dominios lo único que va a provocar, es que además que se complique todo más, el presupuesto aumentará considerablemente
      El consumo de ancho de banda dependerá en cualquier caso de muchos otros factores

  • Carlos Andrés  On 23/02/2017 at 16:41

    Excelente artículo. Sólo una pregunta: Hay una forma correcta y adecuada para eliminar un sitio?

  • jlewis1303  On 24/02/2017 at 16:01

    Buenas tardes sabes que tengo varias sucursales y una sede principal, se sincroniza de central a las sucursales perfecto pero de las sucursales a central no lo hace, y cuando pierde el enlace de una sucursal con la principal los usuarios no pueden loguearse a las maquinas, los DNS de los cliente el 1 pongo la sucursal y el 2 pongo la sede principal ¿ Que puede estar ocurriendo? la empresa utiliza fortinet

  • jlewis1303  On 25/02/2017 at 08:12

    Excelente guillermo te felicito por tu blog sigue asi muchos exitos

  • Alberto  On 24/03/2017 at 10:32

    Hola Guillermo, muy buen tutorial, excelente!! Muchas gracias por compartirlo. Tengo un pequeño problema, tengo un ambiente idéntico al de tu ejemplo, pero cuando trato de agregar el DC2 al dominio en el otro sitio me da el siguiente error:
    DNS was successfully queried for the service location (SRV) resource record used to locate a domain controller for domain “dominio.com”:

    The query was for the SRV record for _ldap._tcp.dc._msdcs.dominio.com

    The following domain controllers were identified by the query:
    dc1.dominio.com

    However no domain controllers could be contacted.

    Common causes of this error include:

    – Host (A) or (AAAA) records that map the names of the domain controllers to their IP addresses are missing or contain incorrect addresses.

    – Domain controllers registered in DNS are not connected to the network or are not running.

    nota: Los servidores están en redes distintas y deben pasar por dos router para comunicarse, todos los puertos entre ellos están abiertos y hay comunicación perfecta entre ambos.

    Saludos y gracias de antemano.

    • Guillermo Delprato  On 24/03/2017 at 17:44

      Hola Alberto, primero revisemos que no son ninguno de esos dos problemas
      – NSLOOKUP debe poder resolver correctamente
      – PING debe recibir respuesta
      – NETDOM QUERY FSMO y que estén en alguno de los Controladores de Dominio los cinco “FSMO Roles”
      Si todo lo anterior es correcto entonces prueba lo siguiente que a mí me ha sucedido en algún caso: en el nuevo DC con el NOTEPAD.EXE ejecutado como administrador, crea un archivo “C:\Windows\System32\drivers\etc\LMHOSTS” (así sin extensión) y agrega una línea ” NombreDC” (sin las comillas por supuesto)

      • Alberto  On 27/03/2017 at 10:28

        Hola Guillermo, gracias por responder!!!
        El PING responde bien, el NSLOOKUP resuelve los nombres sin problemas, ahora, el la consulta con el NETDOM, desde el PDC si me muestra que el servidor tiene los 5 roles, pero desde el servidor que quiero unir al dominio la consulta con NETDOM me devuelve el siguiente error:

        “The specified domain either does not exist or could not be contacted.

        The command failed to complete successfully.”

        Probé lo del LMHOSTS en ambos servidores pero sin resultado.

      • Guillermo Delprato  On 27/03/2017 at 11:08

        Hola Alberto, por ese error las posibilidades son:
        – No hay conectividad IP entre los servidores
        – No consulta al servidor DNS adecuado
        – El servidor DNS existente no tiene los registros necesarios
        – Cortafuegos de por medio
        Es importante que cuando pongas el nombre del Dominio uses la sintaxis DNS (nombreDominio.sufijo)

      • Alberto  On 27/03/2017 at 14:39

        Sí, hay un cortafuegos por delante, 2 cortafuegos, uno en cada sede, el dns es el correcto, es tráfico capa 3, quizás por ahí esté la cosa, realmente no entiendo por qué no la une al dominio.
        Estoy usando la sintaxis nombreDominio.sufijo y me he asegurado que el DNS tenga los records necesarios.

      • Guillermo Delprato  On 27/03/2017 at 15:45

        Se utiliza RPC, eso implica que los puertos a utilizar son aleatorios, entre 1025 y 65525, así que tiene que estar todo abierto por lo menos entre esas dos máquinas

      • Alberto  On 27/03/2017 at 16:07

        Sí, hay full access entre ellos

      • Guillermo Delprato  On 27/03/2017 at 17:49

        ¿Hay algún NAT de por medio? porque el NAT es unidireccional. Debe haber sólo “Routing”, conectividad en ambos sentidos

      • Alberto  On 28/03/2017 at 09:16

        Sí, hay NAT en ambos router, debe ser esa la causa, en ese caso que podría hacer?? Muchas gracias por la ayuda, ha sido un excelente intercambio!!

      • Guillermo Delprato  On 28/03/2017 at 10:08

        NAT se supone que interconecta redes seguras con inseguras. Si el enlace es interno no tiene mucho sentido, y si hay una parte de la red que pasa por Internet entonces sería totalmente insegura hacer la comunicación por la misma
        Si hay que comunicar dos redes seguras, a través de una insegura, se usa VPN sitio a sitio
        Y si si todo es en redes internas (seguras), entonces hay que hacer Routing, no NAT

      • Alberto  On 28/03/2017 at 15:04

        Gracias por la ayuda!! Era por el NAT, solo lo cambié para probar, hay ciertas razones por las que está el NAT, ilógicas algunas pero ahí está, ahora a trabajar para cambiar la mentalidad y quitarlo, son dos redes seguras sin Internet.
        Muchas gracias una vez mas.

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: