Cuando nuestro Dominio Active Directory comprende más de un sitio físico es muy importante que configuremos el Dominio adcuadamente. De esa forma le debemos “explicar” qué sitios, generalmente geográficos, que subredes IP hay en cada uno, y cómo se conectan físicamente estos sitios
De esta forma obtendremos dos beneficios importantes: una reducción y control del tráfico de replicación entre Controladores de Dominio, y además que cuando un cliente busque un servicio de red, desde un Controlador de Dominio hasta cualquier aplicación “Site aware”, trate siempre de encontrarlo localmente sin hacer tráfico sobre enlaces WAN
En esta ocasión aprovecharé la infraestructura ya creada para la nota Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN)
En la misma disponemos ya de dos sitios geográficos interconectados por medio de VPN
Vuelvo a poner el diseño que quedó de la nota anterior
DC1 ya es Controlador de Dominio de root.guillermod.com.ar y DC2 es un servidor miembro del Dominio que luego promoveremos a Controlador de Dominio
Comenzaremos configurando nuestra infraestructura de Sites, Subnets y Links
Sites: aunque no siempre es así, en la mayoría de los casos un Site lo podemos asimilar a un sitio físico, por ejemplo una sucursal, delegación u oficina remota de la organización
Subnets: estas son simplemente las subredes IP que tendremos en cada Site. En un Site inclusive podríamos tener más de una subred IP. Lo que sí debemos tener en cuenta es que no podemos usar la misma subred IP en diferentes Sites ya que de esa forma no funcionaría los Routers :-)
Esta información de Subnets es la que permite conocer en qué Site está cada máquina
Links: estos son las conexiones físicas, independiente del medio, que conectan nuestros Sites. Una aclaración importante porque hay mucha “mentira” dando vueltas por Internet: un Link no está asociado a ningún “path” físico; eso lo manejan los Routers
Definidos los tres elementos importantes comenzaremos la configuración
La configuración por omisión la podemos ver en la consola Active Directory Sites and Services.
El sistema crea por omisión un Site llamado “Default-First-Site-Name” que contiene todas las subredes que podamos crear, y un Link llamado “DEFAULTIPSITELINK”
El motivo de esta configuración es porque si quisieramos comenzar por definir un nuevo sitio obligatoriamente tendríamos que conectarlo al “Default-First-Site-Name” mediante un Link.
Y si quisiéramos comenzar definiendo el Link, deberíamos primero crear por lo menos un segundo Site
Luego no podríamos comenzar :-)
Veamos el aspecto que presenta Active Directory Sites and Services antes de comenzar
Podemos observar que está creado el Site por omisión, que por ahora “contiene” solamente al único Controlador de Dominio; los servidores miembros no aparecen acá, sólo los Controladores de Dominio ya que se trata de manejar la información de replicación de Active Directory
Si revisan un poco la consola verán que en Subnets no hay nada, está vacío
Pero si miran en “Inter-Site Transports” verán que hay dos carpetas que definen qué protocolo se utilizará para la replicación de Active Directory entre los Controladores de Dominio, aclaremos esto ya
La opción SMTP (si, correo electrónico) por experiencia y preguntas creo que no fue nunca utilizada. Básicamente por varios motivos: genera casi el doble de tráfico que la otra, requiere infraestructura de clave pública (mensajes firmados y cifrados para la replicación) y creo que la más importante: el Sysvol no puede replicarse por SMTP, luego la única opción es que en diferentes Sites existan Dominios diferentes, aunque estén dentro del mismo Forest (Bosque)
Resumiendo, importante limitación, configuración de servicios adicional y poca eficiencia
La segunda opción IP, que es donde está creado el “DEFAULTIPSITELINK”, en realidad es RPC (Remote Procedure Call) sobre IP, sin ninguno de los inconvenientes mencionados de la opción anterior
Como la demostración utiliza dos sitios geográficos argentinos (Buenos Aires y Mendoza), suponiendo que estoy en Buenos Aires (BAires) comenzaré renombrando el Site por omisión a BAires
A continuación con botón derecho sobre Subnets indicaré qué subnet IP se está usando en BAires
A continuación crearé el Site llamado Mendoza con botón derecho sobre Sites
Como para poder crearlo es obligatorio asociarlo a un Link utilizaré el DEFAULTIPSITELINK
Y por supuesto el sistema me da las recomendaciones del caso :-)
Siguiendo las recomendacions, que por otra parte son requisito, en forma análoga a como lo hicimos anteriormente crearé una subred asociada al Site Mendoza
Como el DEFAULTIPSITELINK es el Link que quedó comunicando BAires con Mendoza, por claridad lo renombraré
Vamos a mirar y eventualmente cambiar algunas configuraciones que por omisión tiene este Link
Podemos corroborar que efectivamente conecta nuestros dos Sites, e inclusive podemos ver que la frecuencia de replicación entre los Sites será de 3 horas (180 minutos). En este caso he disminuído esta a 15 minutos que es lo mínimo
Si entramos por el botón “Change Schedule” podremos ver que inclusive podemos seleccionar los horarios en los que está permitida la replicación. Por ejemplo si tuviéramos enlaces muy congestionados, que sólo se replique fuera del horario laboral
Observemos cómo queda con lo hecho hasta ahora
Bien, ahora ya podemos comenzar con la promoción de DC2 a Controlador de Dominio.
No pongo las capturas de cómo agregar el Rol, lo doy por conocido, sólo veremos las capturas del proceso de promoción
Lo primero es seleccionar que promoveremos un “Controlador de Dominio adicional en un Dominio existente”
Observen que como hemos creado el Site Mendoza el sistema ya nos ofrece ponerlo en dicho Dominio, esto lo sugiere en base a la dirección IP de DC2 que configuramos que estaba en el Site Mendoza (192.168.2.0/16)
El resto es lo clásico
Luego que reinicia DC2, voy a DC1 y refresco la consola Active Directory Sites and Services y puedo observar que ya aparece DC2 en el Site Mendoza
En pocos momentos aparecerá el primer Objeto Conexión, está creado en DC1 y es que permite la replicación desde DC2 hacia DC1
Si nos apuramos y tratamos con botón derecho sobre el Objeto Conexión de forzar una replicación obtendremos el siguiente mensaje de error. Hay que dejar pasar normalmente de 15 a 30 minutos
Deberíamos aprovechar el tiempo de espera para descansar, pero yo en cambio comienzo a mirar el Event Viewer de DC1 a ver qué eventos relacionados hay
Puedo observar que hay un evento relacionado a la creación del Objeto Conexión antes mencionado
Seguido de una advertencia lógica, pues DC2 aún no ha finalizado su configuración
Me decido esperar unos minutos y finalmente aparecen ya creado ambos Objetos Conexión
El de DC2 a DC1
Y el de DC1 a DC2
Trato de forzar ahora una replicación
Pero vemos que no permite pues los Controladores de Dominio están en diferentes Sites. Me informa que se hará de acuerdo a lo programado (en el Link BAires-Mendoza)
Pero de todas formas, si lo probáramos en realidad miente un poco ;-)
Lo que no puede es replicar el Sysvol, pero el NTDS.DIT lo replica
Si observamos el Event Viewer de DC2 veremos que este ahora se ha hecho cargo del Site Mendoza
Inclusive podemos notar también que es quien se ha hecho cargo de la autenticación del usuario
Y lo último, revisemos que todo esté bien, vamos a Active Directory Uses and Computers para verificar que están ambos Controladores de Dominio ;-)
Hasta acá llegamos esta vez
A partir de una infraestructura que emula dos sitios geográficos hemos implementado un segundo Controlador de Dominio, en un sitio remoto, “explicándole” al sistema cómo es nuestra estructura física, y cómo están conectados los sitios
WindowServer 
Comentarios
Muy bueno.
Gracias Jorge
Excelente, puedes realizar uno de Direct Acces de Windows 2012.
GRacias
Está hecho de hace un tiempo ya :-)
Windows Server 2012: DirectAccess Paso a Paso, Sencillo y Fácil « WindowServer:
https://windowserver.wordpress.com/2012/11/02/windows-server-2012-directaccess-paso-a-paso-sencillo-y-fcil/
Excelente Guillermo, muy bien explicado y en nuestro idioma que es lo mejor. quisiera preguntarte si se trataran de direccionamientos de red distintos, por ejemplo red sitio A 192.168.1.x y en el sitio B 172.31.30.x se manejan de la misma forma?
gracias
M.
Hola Serba, justamente tiene/debe/requiere que en cada sitio sea una red diferente :-)
Los Controladores de Dominio le informan al cliente en qué sitio está justamente usando la dirección IP desde donde se envía el pedido de autenticación
Inclusive, puede haber más de una red en cada sitio
Lo que no se puede es tener la misma red en más de un sitio
Hay que tener en cuenta que lo que realmente determina la red, además de la dirección IP es la máscara de subred
Por ejemplo 192.168.1.0 y 192.168.2.0
– Si la máscara es 255.255.0.0 entonces es la misma red
– Si la máscara es 255.255.255.0 entonces son redes diferentes
Una forma de escribir la máscara de red, es directamente indicando los bit que corresponden a la red. Por ejemplo, en lugar de 255.255.255.0 usar /24, o si fuera 255.255.0.0 sería /16
Tengo ganas de hacer una nota sobre direccionamiento IP :-) me estás haciendo dar más ganas :-)
Hola Guillermo, me gustaria que me aclararas cual es la importancia de crear sitios y si es recomendable utilizar sitios asi esten geograficamente dispersos (ciudades diferentes)
Hola Margarita, si tienes sitios geográficos separados conectados por enlaces WAN es altamente conveniente explicarle eso al sistema con Sites, Links y Subnets
Un Site, aunque en la mayoría de los casos se puede asimilar a un sitio físico, no necesariamente es así. Un Site es una o más subredes IP, con conectividad, permanente, confiable y suficiente ancho de banda para no andar preocupándose del tema. Lo que normalmente asimilamos a una LAN
La infraestructura de Sites, determina fundamentalmente dos cosas:
– Cómo replican los Controladores de Dominio
– Cómo ubican los clientes los servicios de red
Dentro de un Site, el objetivo es que un cambio en AD se replique lo antes posible a todos los Controladores de Dominio. Entre Sites diferentes en cambio el objetivo es poder controlar el tráfico de red
Dentro de un Site, un usuario se puede validar contra cualquier Controlador de Dominio. Si hay diferentes Sites (sitios) es preferible que use uno local, y no otro que esté remoto. Vale lo mismo si se conectara a una réplica DFS
¿Fui claro? :-)
Dentro de una LAN no tienes problemas de ancho de banda
Cuando hay enlaces WAN de por medio, hay que poder controlar en lo posible el tráfico, e inclusive mejorar los tiempos de respuesta a los clientes
Buenas Guillermo,
En primer lugar felicitarte por tu buen trabajo. Es de lo mejorcito que he encontrado en la red y todo muy claro. Supongo que tendras mas tutoriales que prometo echarles un vistazo :) .
Te comento mi situacion para que puedas darme una mejor respuesta. Mi empresa utiliza una centralita de vozip y necesito reducir el trafico no necesario entre las delegaciones ya que la telefonia es lo primero que sufre los problemas de red. TEngo la sede en Barcelona y varias delegaciones como madrid, valencia o portugal. Tengo creados los distintos sites por delegacion, pero un unico link. Esto es correcto??
Antes tenia en cada site puesto que replicara con los DC de todas las delegaciones. Pensando en minimizar replicaciones, he configurado que solo se repliquen con barcelona todas las delegaciones, y que no se repliquen entre ellas el resto de delegaciones. Esto seria practico??
Desde que he hecho este ultimo cambio me salen errores de replica en los DC de las delegaciones. Necesito que reinicien los DC para que no den estos errores?
Siento invadirte con tantas preguntas pero no estoy muy seguro de algunas cosas y prefiero asegurarme. MUchas gracias por todo , y gracias por tu trabajo.
Dame por favor un par de días más para responder, que no estoy en mi lugar habitual, y la conexión es mala mala
Sin Lugar a dudas. Tomate el tiempo que necesites. UN saludo
Hola Diego, ya estoy de vuelta, así que vamos a ver si puedo ayudar
Hay datos que faltarían para poder dar una respuesta más completa, por ejemplo ¿un único Dominio o hay subdominios?
Si están creados correctament los Sites, y cada uno tiene asignada una Subnet, entonces es automático que sólo un Controlador de Dominio (si es un único Dominio) replique desde cada Site con otro
Cambiar a mano la topología de replicación que se genera automáticamente es algo muy delicado y que salvo casos muy especiales no conviene modificar. Quizás el problema que tienes esté relacionado justamente con la asociación Site-Subnet
El tema de tener más de un Link, puede que esté bien o no :)
Le tienes que «explicar» al sistema cómo realmente se conectan los sitios. Si lo que tienes son conexiones de tipo punto-a-punto, entonces no está bien tener un único Link. Hay que crear un Link para cada conexión
Revisa los comentarios anteriores porque puede que por ahí vengan los errores que comentas
Además, si tienes problemas de tráfico por el tema de VoIP, recuerda que en las propiedades de los Links puedes configurar el horario en que se puede utilizar, por lo tanto podrías hacer que replique sólo fuera del horario laboral, o en los momentos de menos actividad
Gracias Guillermo. HAsta que no he estado en el trabajo y he revisado todo no he podido escribirte. Te comento que tenemos un unico dominio para todas las delegaciones. Tenemos delegaciones en Madrid, a coruña, lugo y valencia punto a punto, y con porto por adsl. Tenemos un unico link. Yo para reducir replicaciones borre las replicaciones que tenia y puse solamente que cada site ( cada delegacion esta en un site ) replicara solo con los dos servidores de el site central de barcelona ( Pdcserver y Bdcserver ) En cada site excepto en barcelona hay un unico DC .
Lo que si he visto es que automaticamente me ha creado una replicacion con un o de los DC de otro site. Entiendo que lo hace automaticamente y que lo debo de dejar no?? quito que se repliquen todos con mis dos DC de Barcelona?? Cuando lo quite, tendre que lanzar algun comando para que cree los enlaces de replicacion automaticos??
Crees que deberia de crear un link para cada site ( delegacion ).?
Saludos y muchas gracias por todo
Si las conexiones son punto a punto, entonces eso hay que reconfirarlo. Cada «punto a punto» debe ser un «Link» diferente. Y no crear «Link» entre dos sitios que no estén directamente conectados ¿me explico?
Por ejemplo, si Madrid tiene punto a punto con Lugo, y Madrid tiene punto a punto con Valencia, pero no hay punto a punto entre Lugo y Valencia, entonces hay que crear dos «Links»: «Madrid-Lugo», y «Madrid-Valencia»
Si hubiera una punto a punto entre Lugo y Valencia, entonces sí habría que crear un tercer «Link» «Lugo-Valencia»
Si haz eliminado «Links» y el sistema los vuelve a cerar automáticamente, es porque detecta que los necesita.
Asegúrate lo siguiente:
– Que esté creado cada «Site»
– Que cada «Site» tenga asignadas la/s «Subnet/s» que hay en cada sitio
– Que estén creados los «Links» entre «Sites» de acuerdo a la topología real de conexiones
Si todo está bien configurado, teniendo un único Dominio, al final quedará un único DC de cada Site remoto como entrada/salida de la replicación (Bridgehead Server). Sólo en el «site central» si la topología es tipo estrella puede que quede más de un «Bridgehead Server» a los efectos de que no se sobrecargue a uno sólo (lo hace automáticamente)
Además, no debes preocuparte por la cantidad de Links, que los tenga creados, no implica que los use. Por ejemplo, si apagas durante un tiempo un DC probablemente se creará un nuevo «Link». Cuando vuelva el DC apagado no necesariamente eliminará el creado durante su ausencia
Gracias guillermo por tu rapida respuesta. Te comento como esta la cosa. Las 5 delegaciones de madrid, valencia, lugo y a coruña estan conectadas punto a punto con barcelona. Porto esta conectado por Adsl con Barcelona. Los «links» que hablamos, entiendo que son los enlaces que veo si entro en sites, en una de las sites, en el DC del site, y salen los «links» con otros DC, que curiosamente, valencia aparece automatico en todos los sites, y yo puse a mano los dos de barcelona. He de borrar los que yo puse a mano y esperar que se agreguen solo los automaticos???
POr otro lado , he de crear algun «defaultipsitelink» para cada site con barcelona?
Por lo demas me queda todo bastante claro, muchas gracias y felicidades por tu buen trabajo.
Los «Links» los encuentras/creas en «Intersite Protocols / IP»
Lo que ves en «NTDS Settigns» debajo de cada DC, son los «objetos replicación», o sea, los posibles caminos de replicación entre DCs
De acuerdo a lo que comentas deberías crear los siguientes «Links», cada uno con sus correspondientes 2 «Sites»
– Barcelona-Madrid
– Barcelona-Valencia
– Barcelona-Lugo
– Barcelona-Coruna (No uses la «ñ» que al sistema no le gustan y suele traer problemas) (Si ya sé España, no es Espana :))
– Barcelona-Porto
Tanto el DEFAULTIPSITELINK, como el Default-First-Site-Name, puedes renombrarlos, y configurarlos adecuadamente. Por si te sirve de ayuda en la siguiente nota está explicado para IPv4, pero es todo igual, sólo que cambiando los nombres de los Sites, configurando los «Links» y por supuesto usando direcciones IPv4
Te deben quedar 6 Sites, cada uno con su o sus «Subnets», y 5 «Links»
Implementando IPv6: Promover Controlador de Dominio Remoto | WindowServer:
https://windowserver.wordpress.com/2013/10/09/implementando-ipv6-promover-controlador-de-dominio-remoto/
El «DEFAULTIPSITELINK» simplemente es un nombre por omisión del sistema, no tiene ninguna propiedad en especial. En cambio el «Default-First-Site-Name»sí tiene una propiedad especial, así que no lo borres, simplemente renómbralo por ejemplo a Barcelona si es el sitio central; en él quedarán además de todos los DCs que tengan una IP asociada con la subnet de Barcelona, cualquier otro que no tenga una Subnet definida. No debería haber ninguno de este último caso si todo está bien hecho
Eres muy grande Guillermo :) .
Hare los cambios esta noche si puedo y en cuanto vea resultados te digo si he notado mejoria o me han echado del trabajo, jajajaja. Saludos y que tengas una buena semana.
No te preocupes, siempre se consigue trabajo, y a veces hasta sirve para mejorar :-D
Ahora en serio, había un pequeño error en la contestación anterior que ya corregí. En el últimp párrafo estaban invertidos DEFAULTIPSITELINK y Default-First-Site-Name. El que tiene propiedades especiales es este último
GRacias Guillermo, ya tengo hecho un planing de lo que voy a hacer, solo tengo una duda. Yo ya tengo creado las subredes y los sites, con un unico link, que es como me lo hicieron hace un par de años. Mi duda es, puedo agregar simplemente los links nuevos, e ir cambiando los sites que estan dentro de cada link, o tendria que borrar todos los sites y crearlos de nuevo? Tendria que lanzar algun comando una vez acabara para que cogiese todos los cambios??
Saludos y muchas gracias como siempre
Tener las asociaciones correctas Site-Subnet de cada uno es lo primero
¿Cómo lo haría yo? porque aunque el resultado final sea el mismo se puede hacer de diferentes maneras: trataría de no borrar sino renombrar y reconfigurar
Por ejemplo del «default site» lo renombraría por ejemplo «Barcelona». Crearía otros para cada sitio
Luego renombraría el «default site link», por ejemplo «Barcelona-Madrid» y reconfiguraría para que quede conectando solamente a Barcelona y Madrid. No te apures y sigue leyendo hasta el final …
Y así sucesivamente con cada «site link», la única diferencia es que a los otros hay que crearlos, siempre dentro de la carpeta «IP»
Cuando se hacen cambios en la replicación, pasa un tiempo hasta que esos cambios se replican a todos los DCs, y más todavía si hay sitios diferentes, así que lo primero es la paciencia porque cuando hagas los cambios en los «site links» estarás rompiendo la estructura de replicación ya creada.
Así que yo lo haría fuera de horario laboral, y además por lo menos en primera instancia y para acelerar la replicación, en cada «site-link» le pondría el tiempo mínimo de replicación (15 minutos), y me olvido de todo por lo menos por una hora
Recién entonces comenzaría a ver si todo está replicando correctamente. Revisa la nota que pongo abajo que tiene información muy buena sobre cómo comprobar que la repliación funciona correctamente, incluyendo entre «sites» diferentes
Instalación de Active Directory – Comprobaciones Finales – Nota XII | WindowServer:
https://windowserver.wordpress.com/2013/08/02/instalacin-de-active-directory-comprobaciones-finales-nota-xii/
Buenas de nuevo guillermo,
En principio hice todo como me comentaste y parece que funciona correctamente, al menos de momento. Quiero hacer una pruebas creando algun usuario y ver si replica en las horas programadas.
Lo que si me he encontrado con alguna cosa que creo que no deberia de ser asi.
Como te comente tenia varias delegaciones que he puesto en sites y links diferenciados. TEngo uno que en los NTDS settings deberia de aparecer un enlace automatico con uno de los servidores del site de barcelona ( PDCserver o BDC server ) y no aparece, aunque en uno de los servidores de barcelona ( PDCserver ) si que aparece automaticamente. Osea es como si automaticamente replicara desde barcelona a oporto, pero no al reves.
Otra curiosidad es que en otro site, lugo, se ha creado automaticamente una replicacion con acoruña, cuando estos dos sites estan en links diferentes y en teoria el coste de un site a otro deberia de ser mayor que el coste directo con barcelona.
Es normal que automaticamente haga alguna cosa como esto?? Es mejor que yo ponga la replicacion manualmente y eliminar lo que no deberia de estar? Hay algun comando para reorganizar automaticamente estas replicaciones??
Muchas gracias y que tengas una buena semana
Habría que conocer mucho más de tu infraestructura para poder responderte adecuadamente a estas consultas …
En primera instancia hay que tener en cuenta que en todos los DCs se ejecuta cada 15 minutos un proceso llamado KCC (Knowledge Consistency Checker) que se encarga de crear los objetos conexión necesarios
Que exista replicación «entrante» pero no saliente en un determinado DC puede deberse a varios factores, por ejemplo si hubiera un RODC
Se puede forzar el cálculo en cualquier momento con botón derecho sobre «NTDS» y elegir «Check replication topology»
Y por supuesto que si crees que faltara algún objeto conexión también puedes crearlo manualmente. El sistema es el que decide si lo utilizará o no. Recuerda que tienen sentido a->b no es lo mismo que b->a
Personalmente me fiaría de las utilidades de diagnóstico que están en la nota que puse en la respuesta anterior
Finalmente despues de hacer lo de Check replication topology, se ha estructurado perfectamente. Muchas gracias por tu ayuda guillermo. Ahora tengo otra duda sobre KDC, que voy a ver si encuentro algo en tu fantastico blog. Saludos , gracias, y sigue con tu gran labor.
Hay que darle tiempo hasta que se crean todos los «objetos replicación» y más cuando hay varios «Sites», pero me alegro que lo solucionaras
¿KDC? eso es Kerberos :) y no he escrito nada sobre el tema, porque es muy teórico, quizás en algún momento
¿O era KCC? :D
Si es Kereberos. Es un error que me sale :
El centro de distribución de claves (KDC) no encuentra un certificado adecuado para usarlo en inicios de sesión de Tarjeta inteligente o no se pudo comprobar el certificado de KDC. Es posible que el inicio de sesión de Tarjeta inteligente no funcione correctamente si no se soluciona este problema. Para corregir este problema, compruebe el certificado de KDC existente con certutil.exe o inscriba un nuevo certificado KDC.
Como no hice la migracion yo , no se si es por que hay algo configurado para que haya un servidor CA que no lo hay, o si es por una GPO, o que puede ser. Como no se mucho de este tema estoy informandome bien antes de hacer cualquier cambio. Ya vi que no tenias mucho al respecto, aunque algo relacionado a certificados si que hay, pero creo que no va por ahi el problema.
Gracias de todas formas, tengo tu blog en favoritos para ir echandole un ojo a las novedades. Saludos
Hola Diego, es un «error» que entiendo «no debería ser error»
Según tengo entendido el problema viene por este lado. En cuanto pones una autoridad certificador tipo Enterprise en el Dominio, los Controladores de Dominio automáticamente obtienen un certificado de Controlador de Dominio automáticamente.
Esto es así por si alguien (creo que nadie) usaba replicación por SMTP para firmar y cifrar la replicación
Y todo eso ha quedado
Actualmente, y pensando más en la seguridad, el sistema de alguna forma quiere/sugiere que uses Smart Cards, y por lo tanto trata que el DC obtenga certificado automáticamente
Como en la mayoría de los casos no se usan Smart Cards, pienso que puedes olvidarte de ese «error» que en realidad entiendo que no es
Muchas gracias guillermo, me ha quedado clarisimo, y ha despejado las dudas que tenia. Entiendo que esto es algo interno del Server2008 y que no tengo que tocar nada para que deje de salir la alarma, y que en todo caso no supone ningun problema que aparezca. Pues otro problema solucionado :) UNa vez mas muchisimas gracias . Espero poder ir viendo poco a poco , otros paso a paso que has colgado. UN saludo desde el otro lado del charco :)
:)
Perfecto, pues seguire asi los pasos. En principio es lo que iba a hacer , pero mejor siempre preguntar.
Muchisimas gracias. Si puedo lo hare esta noche y en cuanto compruebe como va te cuento. Saludos y muchas gracias
Hola Guillermo, mi consulta es sobre el tiempo de replicación que le colocas 15 minutos, yo actualmente tengo 4 sucusales, osea 4 controladores de dominio que estás replicando y he visto que si configuración de tiempo de replicación es de 1 hora, está influyendo esto en la demora de replicación cuando creo un usuario en un sitio y demore en aparecer en el otro?
Hola, el intervalo de replicación por omisión es de 3 horas, y el mínimo es el de 15 minutos. Si está configurado en 1 hora es porque en algún momento se modificó manualmente
El valor apropiado depende de varios factores, desde cuán seguido se hagan cambios en Active Directory, hasta cómo estén interconectados los Sitios, por ejemplo, no es lo mismo en estrella (Hub and Spoke) que si estuvieran todos contra todos (Mesh), o hubiera un encadenamiento (A->B->C)
Cuanto más frecuente, más continuo es el tráfico sobre los enlaces; pero si la frecuencia es poca, los cambios demoran en replicarse. Hay que buscar el equilibrio dependiendo del caso
De todas formas hay una forma de solucionar algunos inconvenientes. Por ejemplo, imagina que estás en BAires, y hay que hacer un cambio en una cuenta de usuario que está en Mendoza. Desde Active Directory Users and Computers, con botón derecho puedes seleccionar a qué Controlador de Dominio se conecta la consola.
Te conectas al DC de Mendoza haces el cambio, y el usuario lo tiene en el momento. Que luego recién dentro de unas horas aparezca reflejado en el Controlador de Dominio de BAires no trae problemas
Vale lo mismo si lo que se debe hacer es crear un usuario
Hola Guillermo, exelante el Tuturial. Tengo configurada una instalacion igual a la del ejemplo. El tema es que desde Mendoza solo veo el server y no las PC de Bs As. (en la otra direccion pasa lo mismo) (si puedo hacer ping a todas) Te agradecería una pista. Saludos, Mauricio.
Hola Mauricio ¡gracias por el comentario!
Primero me tienes que aclarar qué es «no veo», permíteme la broma: entre BAires y Mendoza hay más de 1000 Km de distancia :-D
Lo primero es hacer, por ejemplo, un PING con dirección IP (no nombre) porque de esa forma podemos acotar si el problema está a nivel de IP, o de resolución de nombres. Cuidado con los cortafuegos; los DCs por omisión tienen permitido ICMP
Si lo anterior funciona, entonces PING con nombre FQDN. Si esto no funciona entonces hay que investigar por el lado de la configuración de DNS, tanto en los clientes, como en los servidores
¿Está realmente como la nota? en el sentido que ambos DCs son controladores de Dominio del mismo Dominio ¿no haz tenido problemas de replicación? Controla que en las zonas estén los mismos registros
Ahora, si lo que te refieres es al entorno de red, eso no tiene que ver con poder acceder o no, ya que es una forma totalmente independiente del acceso de visualizar la red
Otro dato, las PCs tienen que tener, o bien como puerta de enlace, o bien una entrada en la tabla de routing que le indique que la respuesta a la red «del otro lado» se la tiene que enviar al servidor VPN local
Con más datos quizás pueda ayudar más
Bien día Guillermo, por querer ser breve omití información importante.
Entorno: servidor1 DC (Catalogo Global) 192.168.10.200/24 Sitio1 – servidor2 CD (Catalogo Global) 192.168.20.207/24 Sitio2 del mismo dominio. Las PC tienen IP Fija
Problema: En Servidor1 (En Inicio/red) veo los iconos del servidor 1 y las PC de ese sitio1 + el servidor2 del otro sitio2. (Pero no puedo ver los iconos de las PC del sitio2). Lo mismo a la inversa.
Ping por IP y por Nombre responde en todas direcciones. AD y DNS replican los cambios.
Las PC tienen las mismas Puertas de enlace que sus respectivos servidores que si se ven.
Objetivo: Poder acceder desde sitio1 a los archivos de las PC del sitio2.
Ver y acceder son dos temas totalmente diferentes. Si por ejemplo desde Servidor1 ejecutas \\PCdeSitio2 ¿puedes acceder? (cuidado con los cortafuegos)
La misma prueba desde cualquier PC de Sitio1 ¿pueden acceder a las máquinas de Sitio2 usando \\NombrePC?
Si no pudieran ¿hay PING entre estas máquinas de un sitio y otro? Cuidado con los cortafuegos porque los DCs permiten PING, pero cualquier otra lo impide el cortafuegos
Desde el server1 hago Inicio/Buscar programas y archivos (pongo el \\nombrePC2) y aparece cartel
“El nombre de red especificado ya no está disponible” Desde la PC2 del sitio2, Inicio/ejecutar\\server1 y encuentra el server y me deja abrir los archivos. Usando símbolo se sistema puedo hacer pin a todas la IP y todos los nombres desde todas las PC y server. Todos encuentran todo.
Trataré de empezar de nuevo teniendo cuidado con los cortafuegos y te comentaré los resultados.
Mauricio, no recomiences todo que está bien; es esperable lo que sucede, y paso a comentar
Nunca se me había ocurrido llegar a otro equipo usando «buscar», pero entiendo que no llegas porque esa opcioón busca sólo localmente.
Lo más común es justamente desde Ejecutar con \\NombreDeMáquina, aunque si estuvieras en ambiente de varios Dominios, y lo aconsejable es usar el FQDN. Por ejemplo \\NombrePC.Dominio.Sufijo
Me imagino por dónde vienen tus dudas, el problema viene por el uso de NetBIOS
El entorno de red conocido, es un servicio que depende de resolución de nombres NetBIOS, no usa DNS. Y NetBIOS sin WINS utiliza «Broadcasts» (difusiones) de red, que no pasan a través de Routers (en este caso los servidores VPN) y por eso dices que «no puedes ver», pero sin embargo puedes acceder :-)
En una ambiente de Dominio AD, es imprescindible que el servicio DNS esté correctamente configurado. Si te funciona con sólo poner el nombre de la máquina, es porque tienes un único Dominio, entonces aunque pongas NombrePC, el sistema de resolución de nombres agrega automáticamente el nombre y sufijo del Dominio (NombrePC.dominio.suf)
No es lo mismo, tener todo sobre la misma LAN, que cuando tienes más de una red, o inclusive más de un Dominio, es espacios de nombres no contiguos, en cuyo caso hay que comenzar a trabjar «como se debe» :-)
El entorno de red, por un tema de antigüedad, y en mi opinión personal, es de lo peor. Hice una nota sobre el tema: Por Qué Hay Que Evitar el Entorno de Red | WindowServer:
https://windowserver.wordpress.com/2011/02/26/por-qu-hay-que-evitar-el-entorno-de-red/
Si desde cualquier máquina de cualquiera de las dos redes puedes acceder a las de la otra usando la sintaxis «\\nombrePC» o «\\NombrePC.dominio.sufijo» es que está todo como es esperable
Si pese a todo quisieras el viejo entorno de red, que yo no te recomendaría para nada como puedes ver en la nota anterior, entonces deberías habilitar en todas las máquinas el servicio «Computer Browser» que por omisión está deshabilitado e instalar el servicio WINS en uno o dos servidores, hacer que todos los clientes lo tengan configurado para usarlo, y finalmente armarte de mucha mucha paciencia, porque la lista de máquinas estará bastante desactualizada en el tiempo
Muchas Gracias Guillermo por tus sugerencias. Me pongo a trabajar sobre estos comentarios. Y te mantengo al tanto. Saludos.
es posible ver en la vista RED de windows 7/8 los equipos de otros sitios. (en mi caso es el mismo dominio, es una replica)
Hola David, si te refieres al entorno de red, como era antes no. Se podría probar un método pero no es bueno, ni tan fácil
En las todas las máquinas, iniciar el servicio «Browser» (Examinador), poner un servidor WINS en cada segmento, y configurar entre estos replicación «push-pull»
No recomiendo el entorno de red, genera mucho tráfico, y es muy lento en actualizarse, más si hay varias redes
Hay una nota en el blog sobre el tema: Por Qué Hay Que Evitar el Entorno de Red | WindowServer:
https://windowserver.wordpress.com/2011/02/26/por-qu-hay-que-evitar-el-entorno-de-red/
Guillermo como va?
Te queria hacer una consulta, tengo un AD funcionando en un sitio y ahora vamos a agregar un Exchange en la nube, para ello necesito poder tomar los usuarios del AD en la nube, la pregunta es, conviene hacer una VPN y agregar dicho servidor como un CD adicional y listo o bien crear 2 sitios diferentes, que opinas?
Gracias.
Hola Fernando, todo bien con mucho trabajo
No es algo con lo que me he metido demasiado con nube, y por lo tanto no puedo darte un buen asesoramiento
Hola Guillermo,
Me podrías detallar cuales son los comandos que utilizaste para saber que DC se esta haciendo cargo de la autenticación del usuario. Gracias de antemano.
Hola José, en cliente, desde línea de comandos utilicé el comando SET que muestra las variables de entorno
Específicamente la variable LOGONSERVER es la que indica cuál fue el DC que hizo la autenticación
Hola Guillermo antes que nada muchas gracias por el tutorial esta muy bien explicado.
He replicado un laboratorio muy parecido al tuyo tengo la siguiente arquitectura:
Site 1 Site 2
DC1 10.0.2.1 DC2 172.16.30.1
Subredes Subredes
10.0.2.0/24 172.16.30.0/24
10.10.10.0/24 172.16.10.0/24
Hasta aqui todo bien y funcionando , el problema es que tengo 2 clientes los cuales los conecto al Site 1 o al Site 2 , pero no me autentica el DC local de cada site , por decir si estoy en Cliente 1 con en un segmento de la subred 10.0.2.0/24 no tengo problema , pero si estoy en una subred 10.10.10.0/24 al resolver mi dominio no me contesta primero el DC1 siempre, si no en ocasiones el DC1 y en otras el DC2 , creo que es un problema con el DNS y las subredes pues no tiene un DC en el segmento de la subred , mi duda es como le digo a la subred que resuelva al DC local de cada site.
Nota tengo habilitado el Round Robin y Netmask ordering en el DNS.
Espero haberme explicado bien un saludo y gracias por tu ayuda.
Hola Nestor, lo primero a revisar es que Site1 tengas asociadas ambas redes 10… Y que el Site2 ambas 172.16…
Cada Site debe tener asociadas sus dos correspondientes subredes ¿es así?
Por otro lado, como el cliente no conoce ni aprende por sí solo en qué red está, esa información se la dan sólo los DC, en general es necesario apagar/mover/prender el cliente con cada cambio
Otro tema a tener en cuenta, cuando el DC autentica al cliente le informa en qué Site está, y el cliente guarda esa información en el registro. Por más que lo muevas, el cliente trata de contactar a los DCs del sitio en el que estaba anteriormente, recién ahí, el DC le dice «No, tu ahora estás en SiteX» :)
A veces me ha sucedido tener que dar dos reinicios
Y otra más, por omisión los usuarios inician sesión con credenciales «cacheadas» y antes que levante la red. Cuando hagas pruebas de este tipo que estamos hablando utiliza siempre usarios nuevos, que no hayan iniciado sesión en dicha máquina
Excelente material !!! solo tengo una duda yo tengo en capital federal 2 AD replicados , en ellos tambien albergo 4 sitios sucursales remotas en capital federal estaran a unas 20 cuadras , todas tienen subnets diferentes y llegan por RPV pero en esos sitios no tengo un AD , todo lo concentro en central , esta bien la configuracion asi como la tengo ??
ahora me gustaria agregar una sucursal que abrimos en uruguay , con otra subnet me conviene agregar las pc al dominio en buenos aires o declarar un controlador de dominio en uruguay y configurar sites and service ??
graciasssss
Hola Marcelo ¡gracias por tu comentario!
Entiendo que cuando dices que tienes «2 AD» en realidad te estás refiriendo a 2 Controladores de Dominio, ambos en el mismo Dominio
No hay una «receta mejor y que siempre funcione» para todos los casos. El tener o no Controladores de Dominio en los sitios remotos depende de muchos factores, para nombrar sólo algunos: cantidad de usuarios remotos, criticidad de trabajo, performance, confiabilidad y ancho de banda disponible en el enlace, y varios más
Mientras exista un enlace WAN de por medio, da lo mismo que esté en Uruguay o en China :)
Lo que determina si poner Controladores de Dominio en los sitios remotos son factores como los que comenté antes, o inclusive si hay que hacer subdominios
Si están todos los Controladores de Dominio en el sitio central no tiene sentido crear Sites, ya que cualquiera de ellos puede responder de la misma forma
Hola guillermo pudiera darme una idea general de como configurar un equipo al cual quiero instalarle windows server 2008, para meter maquinas al dominio y aplicar politicas para compartir archivos, entre otros cuales son los pasos que debo seguir gracias y espero tu respuesta
Hola Darwin, imposible hacer eso acá, primero que nada porque estos espacios están reservados para comentarios sobre la nota, u oriento en un problema cuando puedo
Aprender a configurar máquinas para crear un Dominio implica conocimiento anterior para no tener luego problemas. Para eso puedes buscar información en Internet que aunque desorganizada hay mucha, o si quieres algo ordenado y guiado debes pensar en tomar cursos de capacitación sobre el tema. En este mismo blog tengo el enlace al que utilizo para cursos de capacitación (http://delprato.blogspot.com)
Estimado Guillermo:
Primero que todo, muchas gracias por compartir tus conocimientos a través de estos tutoriales, son de muy buena calidad y en particular, respecto al tema de Sites, Links y Subnets de AD, me ha aclarado varias dudas, pero también me ha generado otras que espero me puedas ayudar a resolver.
Te explico. Tengo una red institucional que se reparte entre varias ciudades a lo largo de Chile, en cada ciudad hay 1 o varias sucursales y se cuenta con un datacenter en Santiago con los servidores centrales. Todas las sucursales están conectadas a través de una MPLS, por lo que en la práctica hay conexión directa desde cualquier sitio hacia otro bidireccionalmente (mesh). La red tiene un dominio y un subdominio que son usados en todas las ciudades.
Actualmente hay al menos 1 controlador de dominio (DC) para cada dominio/subdominio en cada ciudad, no así para todas las sucursales en una misma ciudad (algunas sucursales son muy pequeñas y no lo ameritan). A nivel de AD solo está configurado 1 Site, con 1 Link y las subredes definidas para ese Site, lo que tengo claro que no es optimo y por lo tanto quiero modificar. Ante esto tengo un par de dudas:
1) Teniendo en cuenta que la conexión logica entre las sucursales es de tipo Mesh ¿me conviene generar los Sites y sus Link de forma que todos tengan un link hacia cada otro? o ¿defino una topología de tipo estrella para la conexión AD? Lo último me refiero a definir un Site central (datacenter) y que todos los otros Sites tengan un único Link hacia este?
2) Como dije, algunas sucursales no tienen DC ¿se crea un site para éstas a pesar de que no tengan DC? o ¿o las subredes de estas sucursales se agregan al Site geográficamente más cercano?
3) En algunas sucursales hay redes NAT definidas, principalmente en laboratorios, las que normalmente usan subred 192.168.0.0/24. Generalmente ocupamos la misma subred en distintas sucursales ya que al ser NAT no generan conflictos, pero para el caso de la estructura de AD ¿sería igual necesario definir distintas redes a pesar de que sean NAT? Esto con el propósito de definir correctamente la subred para su correspondiente Site.
4) ¿Hay alguna consideración que tener en cuenta para mover un DC que ya está en un Site a uno nuevo? ¿Es recomendable hacerlo uno a uno e ir viendo como se va comportando la replicación en vez de generar toda la estructura y mover todos los DC a los nuevos Site?
Bueno, esas serían mis dudas.
Desde ya, muchas gracias.
Saludos
Hola Dago ¡Gracias por tu comentario! y ahora vamos a las preguntas
Aunque primero hay que hacer una aclaración importante, para darte una sugerencia que sea realmente profesional se deberían conocer muchos más datos, así que lo que pueda comentarte son sólo sugerencias generales de configuración
Por otra parte, también es necesario definir «situación actual» y «objetivos»
Puedo ver por lo que comentas la «situación actual». Al haber un únicos Site, que supongo que será el creado por omisión, y que contiene todas las redes y todos los DCs, esto implica que cualquier servicio de AD que necesite un cliente lo hará con cualquier DC de la red, sin importar dónde esté. Normalmente durante el arranque de una máquina arma un canal seguro de comunicación con el primer DC que le responde
Estando en una red «mesh» esto quizás no sea un problema, todo dependerá del uso de los enlaces
El objetivo genérico es que una máquina que necesite los servicios de un DC lo haga con «el más cercano posible» evitando hacer tráfico WAN, y además poder controlar y reducir el tráfico de replicación entre los DCs a través de WAN
Ahora tratando de responder las preguntas:
1) Si la topología es «mesh» lo lógico sería un único «Site link» que conecte todos los Sites
2) El tema de crear Sites para lugares donde no hay DC es muy discutido técnicamente. En mi experiencia los creo, y los conecto con «Site Link» al Site más cercano o con mejor conectividad
3) Con el tema de las redes NAT no sé qué decirte :( porque no me queda claro si son parte del AD o de laboratorio, o ambos. En primera instancia si son parte del Dominio entiendo que habría que asignar la correspondiente red al Site donde estén, pero recordando que NAT es unidireccional y que por ahí difícilmente pase tráfico de AD
4) Mover un DC de Site normalmente, si todo está funcionando correctamente, no trae ningún inconveniente, lo que sí hay que tener en cuenta es que va a haber un tiempo de convergencia, hasta que cada DC recalcule la nueva topología de replicación, y se creen los objetos conexión necesarios. Yo lo haría uno por vez y por día :) (por las dudas…)
Guillermo,
Efectivamente en estos momentos estamos en la situación actual en que cualquier DC responde a las peticiones de los usuarios independiente que se encuentren en ciudades distintas cada uno, situación que queremos evitar.
En relación a tus respuestas, te comento:
1) Me queda claro que al tener una topología de conexión mesh, nos bastaría con tener un solo SiteLink que contenga todos los Sites de AD, pero con esto me queda la duda, ya que también me recomiendas que los Sites que no tengan DC sean conectados con un SiteLink al Site más cercano. ¿no es redundante tener un SiteLink que contenga todos los Sites y además tener otro que contenga un subconjunto de éstos? ¿se genera algún tipo de conflicto en este caso?
2) Con respecto a las redes NAT, cuando dije Laboratorio me refería a Laboratorios de Computadores para ser usados por alumnos (ahora me doy cuenta de que podía ser mal interpretado … y si, la institución es de educación). Estos laboratorios son parte del subdominio que tenemos en nuestra institución y si veo en los registros DNS, los equipos de estos laboratorios quedan registrados con la IP NAT interna (la privada). Entonces creo que si quiero que los usuarios de esos laboratorios usen el DC más cercano tendría que definir la SubNet privada en el Site correspondiente, por lo que no podría usar esa misma SubNet en otro Site independiente que el usar las mismas no genere conflicto a nivel de red (al ser NAT). ¿estoy en lo correcto?
Eso sería. Muchas gracias por tu respuesta.
Saludos
Hola Dago
1) Si configuras un único SiteLink, por ser «mesh», por supuesto que no hay que crear otros para los sitios que no tengan DC. Una máquina en uno de esos Sites simplemente utilizará el primero que le responda, con el cual creará el canal seguro de comunicación
Resumiendo, un único SiteLink al que estén conectados todos los Sistes, tenga o no DC
2) A mi entender no puedes tener máquinas que formen parte de un Dominio «atrás» de un NAT, ya que este servicio es unidireccional, salvo que hicieras un montón de reglas de publicación, pero que además muy importante, no se pueden «ver» las direcciones de las máquinas atrás del NAT con lo cual no hay resolución de nombres
Mi experiencia en redes de instituciones educativas, es que están completamente separadas la red administrativa de la de alumnos (tendrás muchos «aprendices de hackers» :))
Sólo convergen en el cortafuegos que da conectividad a Internet, ya que en mi experiencia están separadas no sólo lógicamente, sino además físicamente. Y mucho cuidado en la configuración del cortafuegos ;)
Si en un sitio se necesita conectividad entre ambas redes, entonces un Router/Cortafuegos, pero «ruteando» y no «nateando»
Ok Guillermo, gracias por tus aclaraciones. Debo agregar de que los DC están todos fuera de la NAT, solo hay PC clientes detrás de ésta, y según leo en este artículo https://support.microsoft.com/en-us/kb/978772 si está probado oficialmente este escenario.
Saludos
Como te parezca mejor implementarlo Dago :)
En el enlace dice que está probado, pero también dice «Support for issues related to Active Directory over NAT will be very limited»
Exacto …. evaluaremos el dejar de usar NAT y también hemos evaluado separar toda la red de alumnos (a pesar de que la tenemos bien bloqueada), pero es un tema mayor por cómo se ha ido armando todo con el tiempo y los servicios que ya dependen de esta configuración.
De nuevo, muchas gracias por todo.
Saludos
De nada Dago :)
Lo primero es agradecerte todo lo que explicas y las ayudas que nos das a muchos.
Tengo varias preguntas:
– Hay alguna opcion para poder ver las imagenes? En muchos post no puedo seguir los tutoriales por no dispones de las imagenes.
– Las reuniones se graban? Es por si aun no pudiendo asistir online, posteriormente se pueden visionar
Muchas gracias
Hola Adolfo, gracias por tu comentario, me alegro te sirvan las notas
El tema de pérdida de imágenes lo he tenido bastante difícil, porque las almacenaba en Onedrive, y de un día para otro hicieron cambios sin ningún aviso, el URL a la imagen cambiaba aprox. cada 24 horas. A partir de eso tuve que cambiar el lugar de almacenamiento, y así lo estoy haciendo si mal no recuerdo desde Junio 2015
Pero de todas formas no deberían perderse imágenes. Si tienes una nota donde no puedes ver las imágenes te agradecería me indiques cuáles son así trato de arreglar la nota
Con respecto a las reuniones, no las grabo porque la idea era que sean pocos asistentes con el objetivo de tener mucha interactiviad con preguntas, respuestas, comentarios, diferentes puntos de vista, etc. Y además no quiero que sean «un video más en Internet» :)
Hace ya tiempo que no hago reuniones, fundamentalmente por «mal comportamiento» de la gente, me han desanimado bastante. Muchos anotados, y pocos que realmente asisten, no cumplen las reglas de inscripción, acuden pero no participan. Son un esfuerzo grande prepararlas tanto por la secuencia de temas como por las máquinas para las demostraciones, y si no cumplen el objetivo realmente no sé si volveré a hacerlas, vamos a ver si puedo arreglar los temas
Estimado una consulta, tengo un DC1 y DC2 en buenos aires y un DC3 en Neuquen. El tema que cuando se cae el enlace (Neuquen se queda sin internet) las personas de Neuquen no se loguen a los equipos. Esto es normal o no debería pasar? Aclaro el DC3 que esta en Neuquen ES READ-ONLY,GC
Hola Lucas, lo que debes tener en Neuquen es ademas de DC y GC, DNS
Si es un RODC, entonces para que puedan iniciar sesion sin conectividad con central, debes configurar la replicacion de contrasenas de los usuarios de alla
En el margen izquierdo, Buscar, usa «RODC» que hay varias notas
Guillermo buen día, para ser breve, tengo 5 oficinas pero solo dos tienen DC (sitio 1 y 2), puedo crear los sites de los sitios 3,4 y 5 aun sin tener DC en ellos? todos los sitios tienen subredes diferentes. tendría algún problema con esto? puedo yo crear los links o dejo de forma automática que se creen, de antemano muchas gracias!!!
Hola Roberto, primero definitivamente crear los Sites, y agregar las subredes de cada sitio, esto seguro para los Sitio1 y Sitio2
Para los que no tienen DC todo depende de varios factores: cómo están interconectados los sitios, y si hay aplicaciones que sean «Site aware» y que tengan el servicio localmente
Si en los sitios 3, 4 y 5, teniendo en cuenta los enlaces WAN, prefieres que usen un DC determinado, entonces conviene asignar cada una de las redes de estos sitios, a uno de los dos Sitios que tienen DCs
Por ejemplo: si el 3 está directamente conectado al 1, y 4 y 5 al 2, entonces las subredes del 3 se las asignas al sito del 1, y las de 4 y 5 a las del sitio 2
Borro el otro mensaje que quedó duplicado
Buenas tardes,
Mi pregunta es la siguiente.
Tengo una delegación central con un dominio (p.e: central.local)…y varias sucursales que están en grupo de trabajo…estas se conectan mediante linea punto a punto a nuestra base de datos…queremos que estos puestos estén dentro del active directory, pero no queremos poner un controlador en cada sede, es mas, al tener la linea punto a punto, habíamos pensado crear un nuevo dominio en la central (secursales.local o subdominio sucursales.central.local) y que las sucursales se conectasen mediante esa linea punto a punto al servidor.
En dicho servidor crearía los sites de la sucursales
192.168.10.x alicante
192.168.20.x avila
etc..
Esto se podría hacer?…Me consumiría mucho ancho de banda?
Espero que me haya sabido explicar
Saludos,
Rafa
Tener sitios remotos no implica que se debe poner un Controlador de Dominio del Dominio, solamente hay que tener en cuenta que si por alguna causa se cortara la comunicación, en el sitio remoto, aunque los usuario podrán iniciar sesión con «cached credentials» no podrán acceder a recursos compartidos de otras máquinas
Tener más Dominios lo único que va a provocar, es que además que se complique todo más, el presupuesto aumentará considerablemente
El consumo de ancho de banda dependerá en cualquier caso de muchos otros factores
Excelente artículo. Sólo una pregunta: Hay una forma correcta y adecuada para eliminar un sitio?
Hola Carlos, si, borrando el Sitio y luego las Subnets y Links
Buenas tardes sabes que tengo varias sucursales y una sede principal, se sincroniza de central a las sucursales perfecto pero de las sucursales a central no lo hace, y cuando pierde el enlace de una sucursal con la principal los usuarios no pueden loguearse a las maquinas, los DNS de los cliente el 1 pongo la sucursal y el 2 pongo la sede principal ¿ Que puede estar ocurriendo? la empresa utiliza fortinet
Tal como dice el encabezado, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Excelente guillermo te felicito por tu blog sigue asi muchos exitos
¡Gracias! :)
Hola Guillermo, muy buen tutorial, excelente!! Muchas gracias por compartirlo. Tengo un pequeño problema, tengo un ambiente idéntico al de tu ejemplo, pero cuando trato de agregar el DC2 al dominio en el otro sitio me da el siguiente error:
DNS was successfully queried for the service location (SRV) resource record used to locate a domain controller for domain «dominio.com»:
The query was for the SRV record for _ldap._tcp.dc._msdcs.dominio.com
The following domain controllers were identified by the query:
dc1.dominio.com
However no domain controllers could be contacted.
Common causes of this error include:
– Host (A) or (AAAA) records that map the names of the domain controllers to their IP addresses are missing or contain incorrect addresses.
– Domain controllers registered in DNS are not connected to the network or are not running.
nota: Los servidores están en redes distintas y deben pasar por dos router para comunicarse, todos los puertos entre ellos están abiertos y hay comunicación perfecta entre ambos.
Saludos y gracias de antemano.
Hola Alberto, primero revisemos que no son ninguno de esos dos problemas
– NSLOOKUP debe poder resolver correctamente
– PING debe recibir respuesta
– NETDOM QUERY FSMO y que estén en alguno de los Controladores de Dominio los cinco «FSMO Roles»
Si todo lo anterior es correcto entonces prueba lo siguiente que a mí me ha sucedido en algún caso: en el nuevo DC con el NOTEPAD.EXE ejecutado como administrador, crea un archivo «C:\Windows\System32\drivers\etc\LMHOSTS» (así sin extensión) y agrega una línea » NombreDC» (sin las comillas por supuesto)
Hola Guillermo, gracias por responder!!!
El PING responde bien, el NSLOOKUP resuelve los nombres sin problemas, ahora, el la consulta con el NETDOM, desde el PDC si me muestra que el servidor tiene los 5 roles, pero desde el servidor que quiero unir al dominio la consulta con NETDOM me devuelve el siguiente error:
«The specified domain either does not exist or could not be contacted.
The command failed to complete successfully.»
Probé lo del LMHOSTS en ambos servidores pero sin resultado.
Hola Alberto, por ese error las posibilidades son:
– No hay conectividad IP entre los servidores
– No consulta al servidor DNS adecuado
– El servidor DNS existente no tiene los registros necesarios
– Cortafuegos de por medio
Es importante que cuando pongas el nombre del Dominio uses la sintaxis DNS (nombreDominio.sufijo)
Sí, hay un cortafuegos por delante, 2 cortafuegos, uno en cada sede, el dns es el correcto, es tráfico capa 3, quizás por ahí esté la cosa, realmente no entiendo por qué no la une al dominio.
Estoy usando la sintaxis nombreDominio.sufijo y me he asegurado que el DNS tenga los records necesarios.
Se utiliza RPC, eso implica que los puertos a utilizar son aleatorios, entre 1025 y 65525, así que tiene que estar todo abierto por lo menos entre esas dos máquinas
Sí, hay full access entre ellos
¿Hay algún NAT de por medio? porque el NAT es unidireccional. Debe haber sólo «Routing», conectividad en ambos sentidos
Sí, hay NAT en ambos router, debe ser esa la causa, en ese caso que podría hacer?? Muchas gracias por la ayuda, ha sido un excelente intercambio!!
NAT se supone que interconecta redes seguras con inseguras. Si el enlace es interno no tiene mucho sentido, y si hay una parte de la red que pasa por Internet entonces sería totalmente insegura hacer la comunicación por la misma
Si hay que comunicar dos redes seguras, a través de una insegura, se usa VPN sitio a sitio
Y si si todo es en redes internas (seguras), entonces hay que hacer Routing, no NAT
Gracias por la ayuda!! Era por el NAT, solo lo cambié para probar, hay ciertas razones por las que está el NAT, ilógicas algunas pero ahí está, ahora a trabajar para cambiar la mentalidad y quitarlo, son dos redes seguras sin Internet.
Muchas gracias una vez mas.
Buenas tardes, cuando creo un sitio, no me crea la carpeta server, ni la configuracion del sitio NTDS Site Settings, por que puede ser?
Revisa porque te debe haber faltado alguna parte, el Site-link o las subredes
Excelente explicacion, muchas gracias! Tengo una duda, yo cree el segundo controlador de dominio en el mismo site (bs as) pero en realidad no esta en el mismo lugar. Como tengo que hacer? se puede crear el nuevo site donde realmente esta, despues de haber agregado el DC y luego moverlo? Que deberia hacer? Gracias
Hola juan, no hay problema pero debes primero crear el nuevo «Site», la «Subnet» y modificar el «Link» para que conecte ambos «Sites». Luego en la misma consola mover el DC al nuevo «Site»
Demorará un tiempo en hacer la nueva conexión y comenzar a replicar, pero no deberías tener problemas
Hola Guillermo,
Esta informacion de sites and services como aplica en una infraestructura que solo tiene un site, y simplemente hay dos DC replicando en caso que uno falle? He de añadir que ambos DC estan en la misma VLAN, y el trafico no esta restringido entre ellas. Como hacen los clientes para determinar cual DC autenticar? Supongo que al estar ambos en el mismo site, y las dos subredes en el mismo, simplemente haran uso del registro SRV que tendra la IP de un DC, o del otro. Estoy en lo cierto? Saludos!
Hola Matías, si hay un único sitio, todo LAN, no hay que hacer nada más, ni «Sites», ni «Subnets» ni «Site links». Cuando un cliente necesita autenticar pregunta a los DNS por los Controladores de Dominio, el DNS devuelve las IPs de todos los que conoce, el cliente envía un pedido de autenticación a todos, y se queda con el primero que responda. Si uno no estuviera en línea simplemente lo haría con el otro
Si en cambio hubieran varios «Sites» entonces la pregunta al DNS es algo así como «Dame la lista de los Controladores de Dominio en el Site X»
Exacto, usa los registros SRV, para encontrar a los Controladores de Dominio
Hola Guillermo. Primero felicitarte, excelente explicación. En mi organización tenemos varias sedes físicamente y en cada una de ellas tenemos un controladores AD Global Catalog en 2008R2, estamos cambiando a que los controladores sean WS 2016.
En la sede de mi concesión he levantado un nuevo controlador AD GC WS20016 con los servicios DNS y DHCP, en el AD W2008R2 he deshabilitado el DHCP. Y hasta el momento todo anda bien. La consulta va para dar de baja el AD W2008R2 que procedimiento debería seguir para no afectar a los usuarios. Gracias.
Hola, se «despromueven» con el mismo asistente con el que se los promovió DCPROMO.EXE. Antes de eso conviene tenerlos apagados un tiempo hasta asegurarse que todo siga funcionando bien sin ellos
Gracias por tu tiempo Guillermo
Excelente tutorial! muy prolijo. Ahora mi consulta es: como deben configurarse los DNS en cada uno de los sites. O sea, tengo en cada sites dos DC con el rol de DNS…como seria la mejor configuracion? Es necesario crear las zonas de busqueda directa e inversa?
Normalmente la configuración final, luego de la instalación de todos los DCs y con la información replicada es que cada uno apunte a sí mismo y a otro, que puede estar en su mismo «Site» o en otro diferente
Las zonas directas del Dominio AD son requeridas sí o sí, y esto lo hace y configura el asistente de promoción, y las configura adecuadamente
La zona inversa no es requerida, puedes crearla a mano, o no
Gracias Guillermo por la respuesta. Si correcto, la zona directa es requerida. Ahora en la busqueda inversa (si llegara a crearla…), deberia configurar la subnet que corresponde a cada sites?? Por ej. Site A 10.31.X.X / Site B 10.11.X.X?
Las zonas inversas no tienen relación con la configuración de «Sites». Se definen en el DNS para cada red IP usada
Trackbacks
[…] a las dos anteriores Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) y Configurando Sites (Sitios) en Active Directory voy a desarrollar una funcionalidad poco comprendida como es el RODC (Read Only Domain […]
[…] a las dos anteriores Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) y Configurando Sites (Sitios) en Active Directory voy a desarrollar una funcionalidad poco comprendida como es el RODC (Read Only Domain Controller) […]
[…] Como ya hemos visto en otras ocasiones, debemos configurar el sistema creando los Sites, Subnets y Links tal como lo he mostrado en Configurando Sites (Sitios) en Active Directory […]
[…] Como ya hemos visto en otras ocasiones, debemos configurar el sistema creando los Sites, Subnets y Links tal como lo he mostrado en Configurando Sites (Sitios) en Active Directory […]
[…] Como ya hemos visto en otras ocasiones, debemos configurar el sistema creando los Sites, Subnets y Links tal como lo he mostrado en Configurando Sites (Sitios) en Active Directory […]
[…] Entiendo que con esta configuración de “Sites”, “Subnets” y “Links” no debería nadie tener dificultad para crearla, pero si quieren ver el tema con más detalle pueden consultar una nota que hice anteriormente sobre el tema: “Configurando Sites (Sitios) en Active Directory” […]
[…] Como ya hemos hechos en notas anteriores está configurada la infraestructura de “Sites”, “Subnets” y “Site-links”. Pero si alguien tiene dudas en cómo configurarlo puede revisar la siguiente nota: “Configurando Sites (Sitios) en Active Directory” […]
[…] Como ya hemos hecho en notas anteriores está configurada la infraestructura de “Sites”, “Subnets” y “Links”. Pero si alguien tiene dudas en cómo configurarlo puede revisar la siguiente nota; “Configurando Sites (Sitios) en Active Directory” […]