Y siguiendo esta serie de notas para completar la infraestructura propuesta en “Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota I” comenzaremos con lo que pienso introduce la mayor complejidad de configuración
La creación de este nuevo Dominio (neuquen.local) es mucho más compleja, pues no existe contigüidad de nombres con el resto del Bosque (root.guillermod.com.ar)
Por este motivo debemos tener mucho cuidado con la configuración del servicio DNS, tanto la inicial, que utilizaremos como auxiliar, como su posterior reconfiguración a la final y definitiva
Como recordatorio, incluiré nuevamente el diagrama propuesto en la nota inicial de la infraestructura a crear. En este caso crearemos el dominio neuquen.local promoviendo al primer Controlador de Dominio del mismo DC6
Por si les sirve y como experiencia propia con este escenario: sean muy cuidadosos con cada paso, sigan exactamente el orden de los pasos, y recuerden que como estamos en una infraestructura que tiene Sites en muchos casos hay que tomarse su tiempo y esperar la replicación entre los Controladores de Dominio en Sites diferentes
Si lo están haciendo con máquinas virtuales, permítanme una recomendación: antes de comenzar creen “snapshots” de todas las máquinas virtuales, por las dudas que algo falle, y no tener que comenzar desde el principio, o tener que eliminar configuraciones ya hechas
Debemos crear primero una configuración auxiliar para DNS. Esto es así ya que desde “root.guillermod.com.ar” se deberá poder resolver “neuquen.local”, por lo tanto comenzamos en DC1, en la consola DNS creando una zona “neuquen.local” de acuerdo a los siguientes pasos
Es importante que la zona esté integrada en Active Directory, ya que de esa forma se replicará automáticamente a DC6
Para que realmente luego la podamos replicar a DC6 debemos cambiar el valor por omisión y que llegue a todos los Controladores de Dominio con DNS del Bosque (Forest)
Debería haber marcado la opción de permitir actualizaciones seguras y no-seguras pero me olvidé :-(
Lo soluciono unos pasos adelante :-)
Quedará finalmente así. Luego por replicación se agregarán los otros Controladores de Dominio con los registros NS en forma automática
Vamos ahora a la máquina que vamos a promover como Controlador de Dominio para crear el subdominio “neuquen.local”
Este máquina, de acuerdo a lo propuesto incialmente se llamará DC6 y debemos configurar los parámetros de IP de acuerdo a la siguiente captura. Observen que en este caso agregamos un sufijo de conexión, e indicamos que se registre el mismo (en la zona ya creada “neuquen.local”)
Ahora voy a arreglar el error en la configuración de la zona “neuquen.local”. Voy a DC1, consola DNS, ingreso a las propiedades de la zona y cambio el tipo se actualizaciones soportados
Volvemos a DC6, y desde una línea de comandos forzaremos una registración en la correspondiente zona, ejecutando
IPCONFIG /REGISTERDNS
Volvemos a DC1 y verificamos que efectivamente se ha registrado
A diferencia de todos los casos anteriores en esta ocasión he unido DC6 al dominio “root.guillermod.com.ar” como servidor miembro. La finalidad es facilitar el tema permisos y que no esté pidiendo credenciales, o que directamente deniegue ciertas operaciones.
No muestro el procedimiento de unir máquinas a un dominio porque entiendo que todo el que esté leyendo esto lo tiene muy claro
Luego, agrego como se ha hecho en todas las notas anteriores el Rol Active Directory Domain Services, y procederé a demostrar sólo la configuración del mismo
Atención con esta pantalla que tiene datos importantes de configuración. Estaremos creando un nuevo Dominio en un nuevo Arbol (Tree) en un Bosque (Forest) existente. Atención con cada una de las opciones configuradas
Otra diferencia importante con los casos anteriores es que específicamente desmarco la opción de instalar DNS, ya que de esta forma me aseguro que no cambie automáticamente la configuración DNS de IP en esta máquina, y que a través de DC1 puedan resolverse todos los nombres
Y continuamos como siempre
Si en el momento de replicar, se queda y no progresa… tenemos problemas, algo no está funcionando bien :-(
He “peleado” bastante con esto hasta que encontré la forma correcta que son los pasos detallados anteriormente
Si todo va bien, finaliza y reinicia
Si tratan de inciar sesión con ROOT\Administrator van a ver que da un “error extraño”, que no está creada la relación de confianza
Esto es lógico porque todavía no se ha hecho la replicación inicial, así que iniciemos sesión con NEUQUEN\Administrator
Vamos a DC1, abramos la consola DNS y tomemos unos minutos hasta que aparezcan todas las registraciones propias de un Controlador de Dominio, en la zona “neuquen.local”. Pasan varios minutos …
Pueden acelerar un poco si reinician el servicio NETLOGON en DC6, y si ejecutan IPCONFIG /REGISTERDNS pero hay que tomarlo con calma
Un poco más de tiempo de espera y controlamos que se han creado los Objetos Conexión necesarios, hacia y desde DC6. Mucha calma para esto ;-)
Recién cuando todo lo anterior esté confirmado, volvemos a DC6, e instalamos el Rol Servidor DNS
Nos tomamos otros minutos de espera, abrimos en DC6 la consola DNS, y F5, F5, F5, … hasta que aparezcan las zonas
Recordamos que el intervalo mínimo de replicación es el que hemos fijado en notas anteriores: 15 minutos
Ahora si, cerremos la sesión e inciemos con ROOT\Administrator así tendremos los privilegios necesarios para lo que necesitamos hacer
Veamos primero los objetivos que estamos buscando:
- Que la zona “neuquen.local” se replique a todos los Controladores de Dominio con DNS en el propio Dominio
- Que cuando un DNS de “neuquen.local” tenga que resolver un nombre sobre el que no tiene autoridad, que reenvíe el pedido a los servidores DNS de “root.guillermod.com.ar”
- Que los servidores DNS de “root.guillermod.com.ar” sigan pudiendo resolver los nombres de “neuquen.local”
Esto último lo podemos hacer de dos formas diferentes:
- Creando una zona secundaria
- Creando una “Stub Zone”. Lo haré de esta forma, no sólo porque es una opción muy poco conocida y utilizada, sino porque además tiene ventajas
Entonces, estamos en DC6, abrimos la consola DNS y vamos a las propiedades de la zona “neuquen.local” y cambiaremos el ámbito de replicación para que sea sólo en el propio Dominio
No he capturado la pantalla, pero debemos cambiar las propiedades de la zona para permitir únicamente actualizaciones seguras, así mejoramos la seguridad
Ahora, en DC1, procederemos a borrar la zona “neuquen.local” y la reemplazaremos por una “Stub Zone”
Primero eliminamos la zona
Si, estoy seguro
Si, te dije que si, que estoy seguro :-)
Y comenzamos la creación de la “Stub Zone”
Integrándola en Active Directory nos aseguramos que se replicará a todos los Controladores de Dominio con DNS necesarios
En la siguiente captura hay un error, que pido que corrijan, debe replicarse a todos los Controladores de Dominio del Bosque (la primera). De esta forma también se podrán resolver los nombres desde “mza.root.guillermod.com.ar”
Indicamos cuál es el “Master Sever” (desde el cual se recibirá la replicación)
Y finalizamos
Veremos la siguente pantalla. No preocuparnos por ahora
Con las opciones indicadas y un poquito de paciencia …
Llegaremos finalmente a esto
Un buen momento para aclarar un poco de qué se trata una “Stub Zone”. Es similar a una zona secundaria, con la diferencia que sólo se transferirán los registros: SOA, NS y los A correspondientes al SOA y los NS
Escuché hace tiempo a una persona de Microsoft referirse a la “Stub Zone” como “delegación con esteroides” :-D
Funciona casi como una delegación de zona, pero en forma dinámica. Quizás en otro momento trate el tema en una nota aparte
Ahora, en DC6, debemos configurar para que utilice como servidor DNS a sí mismo
Y siempre en DC6, en la consola DNS, configurar los Reenviadores, para que cualquier pedido que no pueda responder, que lo reenvíe a los servidores DNS de “root.guillermod.com.ar” ya que en este caso no es automática la configuración
Dependiendo de la configuración de acceso a Internet de cada organización, puede que esta configuración sea la adecuada, o que usando un procedimiento análogo se definan Reenviadores Condicionales (Conditional Forwarders)
Creo que esta nota contiene la parte más complicada de la configuración que estamos haciendo. En la siguiente nota agregaremos el segundo Controlador de Dominio a este Dominio a fin de tener tolerancia a fallas. Desarrollaremos el tema en Instalación de Active Directory – Promoción del Segundo Controlador de Dominio en un Arbol Diferente – Nota XI
WindowServer 
Comentarios
Hola buen dia. Muy bueno. Solo para otro dia. El tema que me gustaría es ver como haces la transferencia de FSMO , a otro equipos y como recuperas los FSMO , cuando pierdes el equipo que los tenia. ;)) . Saludos
Hola Jorge, hay dos notas justamente sobre el tema :-)
Maestros de Operaciones (FSMO Roles) – Parte 1 | WindowServer:
https://windowserver.wordpress.com/2011/05/10/maestros-de-operaciones-fsmo-roles-parte-1/
Maestros de Operaciones (FSMO Roles) – Parte 2 | WindowServer:
https://windowserver.wordpress.com/2011/05/15/maestros-de-operaciones-fsmo-roles-parte-2/
De la primera de ellas, válidos aún actualmente en W2012
How to view and transfer FSMO roles in Windows Server 2003:
http://support.microsoft.com/kb/324801
http://support.microsoft.com/kb/324801/es
Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller:
http://support.microsoft.com/kb/255504
http://support.microsoft.com/kb/255504/es
Saludos
Esta muy bien este ejemplo, pero tengo una duda… Como se hubiera hecho si el dominio Neuquen ya estuviera creado anteriormente? Teneis alguna guia para ver como se hace la inclusión de un dominio existente en un arbol?
Gracias.
Hola, respondo los dos comentarios en esta respuesta
Cuando se crea un Dominio, uno elije si es un nuevo Bosque, si es un Subdominio en un Bosque existente, si es un nuevo Árbol en un Bosque existente, o si es un Controlador de Dominio adicional en un Dominio que ya existe
Con respecto a la pregunta, si Neuquén fuera un Bosque independiente, entonces no hay forma de unirlo al otro Bosque (Central)
Lo único que se podría llegar a hacer es a través de relaciones de confianza «Forest Trust» o «Externas», pero no hay forma de unir dos Bosques creados independientes
Esto implica que cada uno mantendrá su propio «Schema», Catálogo Global, etc.
Otra posible solución sería la consolidación, migrando usuarios, grupos y máquinas a un Dominio que sea parte del Bosque que quieras conservar. Por ejemplo con ADMT
Hola Jorge.
Increiblemente, siguiendo tus paso, en el punto donde elegimos no instalar DNS y hacerlo después, no consigo que funcione correctamente todo.
Sin embargo si instalo DNS desde principio, al final todo queda perfecto.
¿A que se debe?
Un saludo y mi mas sincera enhorabuena por todo tu enorme y perfecto trabajo.
Hola Tomás, no soy Jorge :), el que contesta en este blog soy Guillermo
Y llendo a tu pregunta, lo he hecho en la forma complicada acostumbrado a los «viejos» Windows. Actualmente sólo se da cuenta y por eso te ha funcionado haciendo que instale el DNS y lo configure
De otra forma antes había que hacer siempre la delegación a mano, y configurar el/los Reenviadores, pero ahora lo hace automáticamente
De todas formas, revisa que desde el Dominio Raíz se puedan resolver los nombres de máquina de los otros Dominios, y por supuesto que las máquinas de los otros Dominios puedan resolver los nombres del Dominio Raíz, y de los otros Dominios
¡Gracias por el comentario! da ganas de seguir :)
Pero ya por esta respuesta que no se trata nunca de «perfecto trabajo» :D
Hola Guillermo.
Primero de todo pedirte disculpas por mi «lapsus» con el nombre» :)
He seguido tus consejos y efectivamente al instalar primero DNS, tuve problems con la resolución de nombre desde los otros dominio al Central, por lo que volví a ejecutar el proceso de la «forma complicada» y ahora si que conseguí que todo funcione correctamente.
Repito que tu trabajo es perfecto, no por los errores que puedas cometer (como todos hacemos), si no porque en este blog he encontrado la mejor manera de estructurar y seguir la evolución de los servidores Windows y me está resfrecnado muchos conceptos que tenía olvidados y adquiriendo otros muchos que no conocía.
Te doy mi mas sincera enhorabuena y muchísimas gracias.
Hola Tomas, ningún problema :)
La resolución de nombres DNS en un ambiente de varios Dominios AD, es algo que por lo menos a mí me gusta siempre hacerla lo más a mano que pueda, y evitar todo lo que sea «automático» porque a veces hace lo que uno necesita y otras no. Por eso trato de hacer las configuraciones de la forma tradicional
Para poner un ejemplo solamente, cuando se crea el subdominio veo que configura «Reenviadores» al dominio raíz, cuando en realidad en la mayoría de los casos debería usar «Reenviadores Condicionales». No tiene mucho sentido que reenvíe todos los pedidos de resolución de Internet a otro Dominio
No estoy de acuerdo totalmente pero es una política de Microsoft que le ha dado muy buenos resultados: «dime qué quieres que yo me encargo de todo». La facilidad de uso ha hecho mucho para que sus productos sean muy usados, pero también ha hecho que algunos sin conocimientos se hayan metido en cada «lío» que mejor ni hablar :D
Gracias nuevamente por tu comentario
Hola Guillermo. Estoy siguiendo, probando y disfrutanto esta serie de notas sobre la Instalación de Active Directory. Lo estoy haciendo con 2008 server R2.
Hasta ahora todo bien (las 9 notas anteriores), excepto en esta nota X, cuando intento añadir un dominio nuevo en un árbol existente. Las opciones son parecidas pero no me deja poner «neuquen.local», porque 2008 server lo toma como un subdominio y solo puedo indicar «neuquen». Lo tienes hecho en 2008 server o tienes alguna sugerencia?
Muchas gracias. Espero que siguas escribiendo estos artículos tan interesantes.
Te estoy muy agradecido y gracias a ti estoy aprendiendo muchísimo.
Hola Ramón, me alegro te sirva esta serie de notas, tienen una implementación bastante completa para permitir comprender muchas de las opciones, y sin embargo no son entradas que reciban muchas visitas (con el trabajo que me dió … :))
Por la pregunta, fijate al principio de la nota que creo que ahí está el tema por el que no te deja. En DC1 creo en forma auxiliar la zona neuquen.local, y DC6 está apuntando para usar como DNS a DC1. Provisoriamente utilizará el DNS de DC1
Otro tema, no recuerdo exactamente cómo mostraba la opción para crear el nuevo Arbol en W2008R2, pero si mal no recuerdo es algo así como «Crear un nuevo árbol en un Bosque existente». No tiene que ser subdominio
Hola Guillermo de nuevo. Es verdad que estas entradas requieren mucho trabajo por tu parte, pero yo las disfruto y aprendo muchísimo, y eso que algunas entradas las tengo que leer varias veces. Pero logras hacer algo aparentemente complicado muy sencillo.
Por cierto, para crear un nuevo dominio en un bosque existente sin que sea subdominio hay que seleccionar después de dcpromo la «Configuración avanzada», así de esta forma aparece una casilla que indica que es un nuevo dominio y no es subdominio.
Muchas gracias por el enorme esfuerzo y ganas que dedicas. Espero y deseo seguir aprendiendo y disfrutanto de este tu blog.
Saludos
Gracias por la aclaración Ramón, no recordaba cómo era exactamente en W2008R2
Queda anotado acá en los comentarios por si le sucede a otras personas
Trackbacks
[…] Vamos avanzando bien en la creación de la infraestructura, en las próximas notas comenzaremos con el Site Neuquen que como hemos visto presenta un tema adicional a configurar pues no hay contigüidad de nombres (root.guillermod.com.ar y neuquen.local) y su configuración no es tan fácil como hasta ahora. Lo veremos en Instalación de Active Directory “Instalación de Active Directory – Promoción del Primer Controlador de Dominio en un Arbol Difere…“ […]
[…] Instalación de Active Directory – Promoción del Primer Controlador de Dominio en un Arbol Difere… […]
[…] Instalación de Active Directory – Promoción del Primer Controlador de Dominio en un Arbol Difere… […]
[…] Instalación de Active Directory – Promoción del Primer Controlador de Dominio en un Arbol Difere… […]