Instalación de Active Directory – Promoción del Primer Controlador de Dominio de un Site Remoto (Mza) – Nota VII

Siguiendo adelante con la implementación de la infraestructura planteada en la primera nota (Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota I) comenzaremos en esta nota con las configuraciones más complejas

En esta nota veremos la creación del subdominio en el sitio remoto (Mendoza) y veremos los cambios de configuración que hace el sistema automáticamente, y haremos consideraciones sobre los mismos

Como recordatorio, incluiré nuevamente el diagrama propuesto en la nota inicial de la infraestructura a crear. En esta nota promoveremos a Controlador de Dominio a DC4, creando el subdominio mza.root.guillermod.com.ar en el Site Mendoza

Como en notas anteriores, ya tengo instalado un Windows Server 2012, llamado DC4 en grupo de trabajo (Workgroup) con la configuración necesaria de IPv4. Las direcciones están de acuerdo a lo planificado

Antes de seguir adelante es importante asegurarnos que todo funciona de acuerdo a lo esperado. Se deben poder cumplir dos condiciones básicas: conectividad de red y resolución de nombres

Para la primera hacemos PING a el resto de los Controladores de Dominio, local (DC3) y remotos (DC1 y DC2). Debemos recibir respuesta en todos los casos

Para la segunda ejecutamos “NSLOOKUP root.guillermod.com.ar” debiendo recibir como respuesta las direcciones IP de los tres Controladores de Dominio que tenemos instalados y en funcionamiento

¿Todo bien? Seguimos adelante

Como ya todos sabemos instalamos el rol Active Directory Domain Services y comenzamos con la configuración y promoción de DC4 como Controlador de Dominio siguiendo el asistente

La siguiente pantalla es una de las más importantes para definir correctamente lo que tenemos como objetivo, esto es crear un subdominio nuevo en un Bosque (Forest) existente
Para esto marcaremos la opción “Add a new domain to an existing forest”, especificaremos que se trata de un “Child Domain” (Dominio Hijo o Subdominio), indicaremos los nombres del “dominio padre” y del “dominio hijo”, y por supuesto las credenciales de un usuario con privilegios suficientes para agregar Dominios al Bosque (Enterprise Admins)

Gracias a que creamos con anterioriedad la infraestructura de Sites, ya se seleccionará automáticamente el correspondiente Site (Mendoza) y sólo debemos agregar la contraseña de DSRM (Directory Service Restore Mode)

Ahora, por fin, es necesaria la creación de la delegación de Dominio en DNS :-)
Verifiquen que los datos sean correctos

El resto sin comentarios porque ya son opciones conocidas de las notas anteriores

Luego del reinicio podemos observar que nos sugiere iniciar sesión con la cuenta de administrador de este subdominio. Como la idea que tengo es revisar toda la configuración de replicación, para tener todos los privilegios necesarios, cambiaré, e iniciaré sesión como administrador del Dominio Raíz (ROOT)

Lo primero a revisar: que esté creado el nuevo Dominio

Ahora vamos a revisar el tema replicación. Observo que ya se ha creado el Objeto conexión que replica desde DC3 hacia DC4. Es lo esperable ya que DC3 se encuenetra en el mismo Site que DC4

Pero si intento forzar la replicación (botón derecho “Replicate now”), sorpresa

¿Cómo acceso denegado? No preocuparse hay que darle tiempo que se armen todos los Objetos Conexión. El mensaje no es el espeardo, podríamos decir que se trata de un “pequeño bug” pero si esperamos unos minutos veremos que se soluciona

Dejo todo como está por unos minutos. Podrían ser hasta 30 minutos
¿Y ahora?

Ahora si

Vemos que además se ha creado un Objeto Conexión desde DC4 a DC2, pero como es lógico al tratar de forzar la replicación entre Sites diferentes el sistema avisa que no puede. Lo imporante es verificar que la conexión esté hecha y el sistema la tome como válida

Observemos qué cambios ha hecho en la configuración de IPv4

Ha configurado como DNS preferido a sí mismo, y al original como alternativo. Cuando tengamos configurado el siguiente Controlador de Dominio con DNS en este subdominio cambiaremos esta configuración

Otro punto a revisar es que en cualquiera de los otros Controladores de Dominio, en la configuración de DNS, se halla creado la correspondiente delegación de subdominio que nos propuso durante el asistente. Todo correcto por lo que se observa en la siguiente captura

Y además debemos controlar como se ha configurado DNS en DC4 para que pueda resolver el nombre del Dominio Raíz, que lo hace mendiante Reenviadores (Forwarders)
Dependiendo de nuestra configuración, luego veremos si es conventiente reemplazarlos por Reenviadores Condicionales (Conditional Forwarders)

Todo correcto

Algo importante a comentar, si observamos la consola DNS en DC4 veremos que se ha creado la zona “mza.root.guillermod.com.ar”, pero además se ha replicado la zona “_msdcs.root.guillermod.com.ar” y esto es muy importante ya que en esta zona, entre otros datos, es el único lugar donde se registran los Catálogo Global, y que será la que permitirá encontrarlos, aún en el subdominio

En la próxima nota agregaremos un segundo Controlador de Domino a este Domino que recién creamos por tolerancia a fallas en Instalación de Active Directory – Promoción del Segundo Controlador de Dominio de un Site Remoto (Mza) – Nota VIII

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Edgar  On 02/07/2013 at 09:03

    Saludos Guillermo

    He seguido tu blog y he encontrado muchos temas que han sido de gran ayuda en mi trabajo y por ello te doy las gracias y te motivo que sigas adelante con esta valiosa tarea en apoyo a la comunidad.

    Quisiera comentarte algo que ha sucedito en mi empresa a ver si me puedes ayudar.

    Recientemente adquirimos un servidor nuevo e instalamos la versión de prueba de 180 dias de Windows Server 2012 Standar. Sobre este SO instalamos Active Directory, un servidor virtual con Hyper-V y otros servicios adicionales. Resulta que ahora que hemos adquirido la licencia comercial y queremos activar la llave, aparece un mensaje que dice que no se puede hacer la activación porque está instalado un Controlador de Dominio. Entonces, he pensado en hacer el siguiente procedimiento y quisiera que lo validaras:

    1. Hacer backup del tipo Sistem State para respaldar AD DS.
    2. Degradar el Controlador de Dominio
    3. Activar la licencia de Windows Server
    3. Promover nuevamente el Controlador de Dominio
    4. Respaturar Active Directory desde el backup previamente guardado.

    No se si este procedimiento es el correcto y funcionará o si tengo otra alternativa que me puedas sugerir.

    De antemano gracias por tu respuesta y éxitos en tus labores.

    Edgar.

    • Delprato  On 02/07/2013 at 20:08

      Primero que nada ¡Gracias por el comentario!

      El procedimiento que nombras quizás funcione, no me animo a asegurarte porque el System State incluye muchas más cosas que Active Directory, piensa solamente que entre otras incluye el registro (Registry) con lo que la “bomba” podría quedar activada

      Otra idea que se me ocurre, y que creo que podría ser más fácil, y segura, aunque necesitarás una máquina adicional (no necesariamente con hardware de servidor)

      Es instalar un DC “auxiliar”, luego despromover el primero, reinstalarlo, repromoverlo, y despromover y quitar el DC “auxiliar”
      Por supuesto que antes de comenzar tener un “backup full” es lo primero que haría, por las dudas ;-)

      Revisa esta nota que pongo abajo, que tiene en grandes rasgos cómo es el procedimiento para hacer un “mudanza por cambio de hardware”, aunque en tu caso sería en realidad una “mudanza por cambio de software”
      Deberías hacerlo una vez para pasar del actual al “auxiliar”, y luego una segunda vez para pasar al “auxiliar” a la instalación definitiva

      Cambiar Controlador de Dominio | WindowServer:
      https://windowserver.wordpress.com/2011/02/26/cambiar-controlador-de-dominio/

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: