Cuando se hacen notas para un blog como este, una pregunta que uno se hace es “¿a qué nivel de conocimientos apunto?” Hasta ahora en general me he inclinado por un nivel medio de conocimientos previos, ya que hice algunas notas apuntando al que tenga conocimientos avanzados y no fueron muy populares
Así que en esta ocasión, comenzaré con algo básico, como es la creación de un Dominio Active Directory desde el principio
Haré dos notas correlativas, en esta primera crearemos el Dominio, y en la segunda agregaremos un Controlador de Dominio adicional al Dominio existente. En esta última veremos la configuración inicial necesaria, y verificaremos que fue agregado exitosamente, y nombraremos las condiciones para que provea tolerancia a fallas sobre el servicio
[Actualización] Debido a la gran popularidad de esta nota, he creado un video en Youtube con esta misma demostración (https://youtu.be/IR5LixTrpkE)
Antes de comenzar con cualquier configuración hay que tener definidas algunas opciones, pero las más básicas incluyen:
- Cómo se llamará el Dominio
Debe seguir las convenciones de nombres de DNS, y es independiente del dominio con el que se tenga prescencia en Internet. Son dos cosas totalmente diferentes “dominio Active Directory” y “dominio de Internet”
Y para los de habla española, recordar que no incluya vocales acentuadas o la letra “ñ” ya que traen problemas luego - Cómo será la convención de nombres para los Controladores de Dominio
- Qué configuración de red tendrá, que deberá ser ingresada manualmente, y no como cliente de DHCP
Así que lo primero que debemos hacer luego de instalar el servidor es asignarle la configuración IP. Esto variará con cada instalación, yo he elegido la red 192.168.1.0/24 que no es una red recomendable
Observen que la configuración de servidor DNS está en blanco
Luego de lo anterior debemos asignarle al servidor que será Controlador de Dominio un nombre adecuado, de acuerdo a la convención de nombres que tengamos
Y reiniciamos la máquina, ya que es requerido por el cambio de nombre
Luego del reinicio e iniciando sesión con una cuenta de administrador local procederemos a instalar la funcionalidad de acuerdo a como se muestra en las siguientes pantallas
Cuando seleccionemos “Active Directory Domain Services” solicitará la instalación de componentes adicionales, que por supuesto lo aceptaremos
Finalizada la instalación, y ya en el último paso, debemos promover al equipo como Controlador de Dominio configurándolo de acuerdo a la necesidad
La opción ofrecida por omisión es crear un nuevo Bosque (“Forest”), que es lo que debemos seleccionar cuando estamos creando nuestro primer Dominio Active Directory. Sólo debemos ingresar el nombre del Dominio a crear
Vamos a detenernos un tiempo en esta pantalla porque hay configuraciones importantes. Salvo que posteriormente vayamos a instalar Controladores de Dominio con versiones anteriores del sistema operativo, no convendrá disminuir los niveles funcionales.
Y es muy importante colocar una contraseña segura de “Directory Service Restore Mode” (DSRM). Esta contraseña es necesaria si tuviéramos que hacer una restauración desde una copia de seguridad del Controlador de Dominio. Esta contraseña no tiene relación con la cuenta de administrador del Dominio, no se sincroniza, y es individual para cada Controlador de Dominio
Es normal que no pueda efectuar la delegación en el DNS superior, y en nuestro caso sería un problema grave de seguridad si pudiera delegar en un dominio de Internet, nuestro Dominio Active Directory. Así que a ignorar la advertencia y continuar
Sugiere el nombre NetBIOS del Dominio, que salvo que esté duplicado en la red, siempre será la parte más a la izquierda del nombre de Dominio que hayamos colocado
Salvo que tengamos en nuestro servidor más de un disco físico y esperemos que nuestro Active Directory sea “muy grande”, no conviene cambiar las ubicaciones de los archivos
Como aclaración: mover la base y los logs es muy sencillo luego, pero cambiar la ubicación de SYSVOL es problemático
Verificamos si todo lo que seleccionamos es lo que realmente deseamos
Y vemos que el sistema nos da algunas advertencias. Entiendo que nadie a esta altura tendrá servidores NT 4.0, y por el tema delegación DNS ya lo hemos visto, así que podemos seguir adelante tranquilos
Observen que informa que se reiniciará la máquina automáticamente al finalizar el proceso
Luego del reinicio podremos iniciar sesión con el administrador del Dominio, ya no administrador local, aunque su configuración en este caso se ha migrado
Podemos observar que ya es Controlador de Domino de, en mi caso, “ad.guillermod.com.ar”
También ya tenemos instaladas las aplicaciones de más uso para administrar nuestro Dominio
Si abrimos “Active Directory Users and Computers” veremos que está creada la correspondiente cuenta de máquina en la Unidad Organizativa “Domain Controllers”
También podemos observar que se han creado las correspondientes zonas DNS (en la consola DNS), y se han creado los registros correspondientes. Tanto en la zona con el nombre del Dominio, como en la zona que comienza con «_msdcs.»
En esta nota llegamos hasta acá. En la próxima nota instalaremos un segundo Controlador de Dominio, por lo cual veremos la configuración de partida, el proceso de promoción, y las configuraciones finales que hay que efectuar a fin de proveer tolerancia a fallos
WindowServer 
Comentarios
Por fin algo que pueden hacer los humanos. Gracias
Ja ja ja me haz hecho reir sanfred
Me alegro que éste lo puedas hacer
Una consulta por favor Guillermo, utilizas alguna máquina virtual para estas prácticas.?
Hola Javier, todas las máquinas que ves en las notas del blog son virtuales :)
Utilizo VMware Workstation que es ideal para este tipo de cosas
Listo Guillermo, muchas gracias.
Me gustan más las XI notas jeje… gracias por el aporte
Es así Sergio, nunca se puede con todos
Trato de mantener equilibrio, pero nunca todos van a estar contentos :)
¡Gracias!
Saludos Guillermo, ¿por qué dices que la red 192.168.1.0/24 no es recomendable?
Hola Albis, para responder rápido: porque es la que usan casi todos :)
Ahora vamos a los detalles y los por qué: casi todos usan 192.168.0.0/24; 192.168.1.0/24; 10.0.0.0 o 172.16.0.0/16 y esto puede ser un problema, por dos motivos fundamentalmente:
– Por la seguridad, si alguien se introduce maliciosamente en la red, ya sea por Internet, o conectando una máquina localmente, le facilitas conectarse a la red, enseguida la encuentra
– Nunca sabes cuándo tendrás que interconectar tu red con otra a través de un «Router», y si ambas usan el mismo direccionamiento IP esto no será posible
q tal me sale este error https://drive.google.com/a/titan.pe/file/d/0B72VD6IlkUU7YnJ1Q0d5c2hlbDg/view?usp=sharing
Hola Jonell, no puedo ver la captura, pide usuario/contraseña, debes poner el enlace público para que pueda verla
disculpa, aqui esta el enlace https://drive.google.com/file/d/0B72VD6IlkUU7YnJ1Q0d5c2hlbDg/view?usp=sharing
Jonell, el cuadro informa cuál es el problema :)
La contraseña del administrador local (antes de la promoción) debe ser compleja, esto es_
– Letras Mayúsculas
– Letras Minúsculas
– Números
– Símbolos
La contraseña debe tener por lo menos 7 caracteres, y contener por lo menos de 3 de los grupos anteriores
Ejemplos: P@ssw0rd, C0ntras3ña,cuiDaD0. No uses ninguno de estos ejemplos que son conocidos
Buenos dias, veran a mi me da error en la ruta de NTDS, diciendo que no es una ruta valida y ponga una de un disco duro.
¿A que se debe?
Hola Xijet13, ¿le estás poniendo una ruta a un disco removible? porque no se puede tener la base o los logs de AD en un disco que el sistema considere removible
Es posible que sea eso, ya que me muevo de mi pueblo a la ciudad entre semana, no puedo disponer de un sobremesa y tengo el HDD sobremesa metido en un adaptador para tenerlo como externo.
Pero tengo el Windows Server en el HDD-adaptador, conectado al portatil como el SO principal. ¿Aun asi le afecta que sea extraible?
Es evidente que sí :)
Otro dato importante es un Controlador de Dominio debe tener seguridad física, y no creo que sea una buena idea mover el disco entre diferentes lugares geográficos. Desde problemas de seguridad, cambios de IP, cambios de hardware, etc.
Hola buenos dias, Guillermo estoy muy agradecido por el articulo que publicas de como instalar un dc pero necesitaría poder entender algunas cosas para la instalación que voy a realizar.
La idea es instalar un router para que disque y de los servicios de internet a los demás equipos.
Consulta
Debo de tener 2 tarjetas de red en el equipo con win server 2012 una con ip fija y otra con ip dinamica que lo asigne el router.
Cual es la forma recomendable de instalar el server en este caso.
Agradezco tu respuesta.
Gracias
Hola Ignacio, primero lo importante, un Controlador de Dominio de ninguna forma conviene que sea el que comparte Internet. Por muchos motivos, tanto por seguridad, como que al tener que ser DNS te traerá problemas con Active Diretory
Una posibilidad si el Router hace la llamada a Internet, es que la placa LAN del router la conectes a un Switch, y de ahí tomen el resto de las máquinas. El problema de esta configuración es que la única protección contra ataques desde Internet es el Router, que dependiendo del mismo podrá dar mejor o peor protección
Algo importante, cuidado no confundas «Dominio Active Directory» con «Dominio de Internet», hago la aclaración por las dudas :)
Lo recomendable, sería Router – Cortafuegos – Switch
Ok muchas gracias Guillermo por tu pronta respuesta, a ver si entiendo lo que tu me explicaste anteriormente.
El router lo conecto al switch el disca pppoe y da el acceso a internet a todos los equipos tanto sea el servidor como los demas pc.
Al servidor le asigno una ip que el router por dhcp no la entregue.
Y como para entender un poco mas el servicio de dhcp lo debe dar el router o el servidor?
En la configuracion de red del servidor debo de asignar el dns del servidor windows o sea si el equipo servidor tiene la direccion ip 192.168.10.20 debo de asignar esa misma al dns en la configuracion de la red y los demas valores cargarlos donde dice puerta de enlace la ip del router.
Ese router tambien quiero que de wifi dentro de la red es posible hacerlo sin comprometer la red.
Que tipo de firewall debo de instalar entre el router y los demas equipos.
Muchas gracias y disculpa por entender poco del tema estoy intentando aprender sobre servidores.
Gracias
El servicio DHCP lo puede dar cualquiera de los dos tanto el Router, como el servidor, salvo que fueras a montar Active Directory
En este caso hay que deshabilitar el DHCP del Router y configurarlo adecuadamente en el servidor, porque todos los clientes de Active Directory deben usar como DNS únicamente al Controlador de Dominio. En esta máquina, luego en DNS le debes configurar reenviadores a los del ISP, Google o los que quieras
En este caso el servidor debe usar una única interfaz de red, no las dos, y debe tener IP fija dentro del rango de la red que tiene internamente el Router
Ok muchas gracias Guillermo estube leyendo sobre dns y la verdad tus articulos estan muy bien puedo entende casi todo lo que hablas en ellos.
Mi duda surgue cuando tu me comentas que debo de configurar renviadores he leido algun articulo que tu publicaste pero sigo sin comprender en como se aplica en mi caso y como debo de configurarlo en el servidor.
Quizas la forma en la que yo voy a montar el servidor no es el comun router que disca pppoe + switch.
Tu me podras aclarar estas dudas
Gracias.
Pd ya soy fan de tus articulos
El tema es así Ignacio, todos las máquinas que forman parte de un Dominio Active Directory, deben tener configurado para usar como DNS a el o los Controladores de Dominio con DNS. Nunca deben tener configurado un DNS externo. Es la única forma para que funcione bien el Dominio
¿Entonces cómo hacen los clientes para resolver nombres de Internet?
Los clientes le preguntan al DNS que está funcionando en el Controlador de Dominio, como este no puede responder porque no sabe, reenvia el pedido a un DNS de Internet (ISP o Google).
El DNS recibe la respuesta, y se la da al cliente
:)
Gracias Gulillermo entonces la solucion es agegar en el protocolo de red tcp ip un segundo dns como google o el proveedor de isp.
Y al tener los dns del equipo localhost y el de google AD funciona correcatmente porque la salida a internet la resuelve el segundo dns y todo lo referente a AD lo resuelve el propio servidor, esto es correcto?
Te agradezco por tus respuestas ya que voy entendiendo cada vez mas este tema.
Saludos
Ignacio
No Ignacio. Como puse antes: todas las máquinas del Dominio tienen que tener configurado como DNS *únicamente* a el o los Controladores de Dominio
En el DNS de el o los Controladores de Dominio, configurarle en la ficha correspondiente los «Reenviadores»
Los Reenviadores, del ISP o de Google, son los que harán la resolución de nombres externos
ok muchas gracias Guillermo de esa manera ya pude navegar a internet
Saludos
Ignacio
hola guillermo, me parece que eso que comentaste del controlador de dominio y el internet ,no es asi tan al menos que este entendiendote mal … a ver tu dices que «un Controlador de Dominio de ninguna forma conviene que sea el que comparte Internet. Por muchos motivos, tanto por seguridad, como que al tener que ser DNS te traerá problemas con Active Diretory»…hERMANO si me hablas de seguridad precissamente un servidor bien armado es quein lo provee..Quien debe entregar las IP es un servidor el cual entre todo goza de firewall, reglas y eso por citar una sola proteccion…segundo quien debe dar internet tambien es el servidor mas nadie, tan sencillo y quien debe resolver los nombres de dominio es el servidor el cual gustosamente se encargara de entregarle a los clientes todos sus pedidos…asi funciona o debe ser…. nada de router administrando seguridad de una red o entregando IP….es mi apreciacion hermano
Hola Carlos, voy a aclararte algunos puntos y motivos por los que esas son recomendaciones que están en cualquier documentación de seguridad
– ¿Qué es lo que contiene un Controlador de Dominio? Contiene lo más valioso que tiene la red: todos los nombres de usuarios y sus correspondientes contraseñas. Cualquiera que tenga acceso a eso se hace con toda tu red, y si tiene un poco de habilidad le saca provecho sin que siquiera te des cuenta hasta que sea tarde
Por lo tanto exponerlo con una conexión de red directa a Internet es la peor opción
¿Tu guardas tus ahorros en la puerta de entrada a la casa? :)
Una recomendación básica de seguridad, que debería aplicarse en todos los casos que sea posible es justamente que no se pueda acceder externamente a ninguna máquina de la red interna, y todavía mucho menos a un Controlador de Dominio que ya hemos visto qué información contiene
– El que debe proveer a acceso a Internet, puede ser un servidor, pero en todo caso y en red empresarial, eso debería hacerlo un Router con cortafuegos, y no justamente uno de bajo costo u hogareño. Hay quien «vende» la idea como que es seguro un «Cortafuegos por NAT» cuando eso es una gran mentira.
Si no hay presupuesto para un Router-Cortafuegos «de verdad» se puede usar un servidor «adecuadamente» configurado y asegurado, pero una buena recomendación es que sea sólo para eso, ni siquiera parte del Dominio, pues puede tener «cacheadas» contraseñas de usuarios o más comúnmente de un administrador del Dominio
– Y para nombrarte un inconveniente si el Controlador de Dominio fuera además el que comparte Internet. Va a tener dos interfaces de red y va a tener instalado DNS para que esté integrado en Active Directory. Es la configuración normal y recomendada de seguridad por la integración que hace Active Directory con DNS integrando las zonas, y permitiendo únicamente actualizaciones seguras
Bien, un DNS registra en sí mismo todas las interfaces de red que tenga, independientemente que le desmarques la opción para que no lo haga
Entonces cuando un cliente pregunte por «NombreDC.dominio.sufijo» el DNS responderá con ambas direcciones, tanto la interna como la externa. Si el cliente elije, porque es quien lo maneja, la dirección externa no podrá comunicarse
Puedes buscar en internet por «multihomed domain controllers»
Por lo tanto, y por otros motivos que sería largo detallar acá, un Controlador de Dominio debería ser solamente eso (con la excepción de DNS interno), y jamás tener una conexión directa a Internet y otros servicios
Evidentemente además estás pensando que todos los Routers que existen son «routers hogareños», y eso no es correcto ¿o por qué crees que hay empresas que gastan miles de dolares en sus Routers?
tengo un lijero problema con linux alguien xaki m podria ayudar?
Hola Diego, esto no es un foro, lo que ves son comentarios sobre la nota, o por lo menos el tema de la nota
Tampco trata sobre Linux, así que recurre a un foro de soporte del mismo
man cuando cambio del servidor en windows server 2012 que debo tener en cuenta lo primero, crear el mismo dominio y reglas de usuario? no pueden conectarse al nuevo servidor
Crear un nuevo Dominio con el mismo nombre no sirve, aunque se llame igual es otro
Si vas a poner un servidor nuevo, entonces en el siguiente enlaces tienes los pasos, aunque sin entrar en los detalles de cada uno: Cambiar Controlador de Dominio | WindowServer
https://windowserver.wordpress.com/2011/02/26/cambiar-controlador-de-dominio/
Si tienes más de un controlador de dominio entonces revisa estos otros dos enlaces:
Windows Server 2012 R2: Cambiar o Reinstalar un Controlador de Dominio Que Funciona | WindowServer
https://windowserver.wordpress.com/2015/06/16/windows-server-2012-r2-cambiar-o-reinstalar-un-controlador-de-dominio-que-funciona/
Windows Server 2012 R2: Cambiar o Reinstalar un Controlador de Dominio Que Se Ha Perdido | WindowServer
https://windowserver.wordpress.com/2015/06/23/windows-server-2012-r2-cambiar-o-reinstalar-un-controlador-de-dominio-que-se-ha-perdido/
Buenas tardes y enhorabuena por el blog. Mi pregunta es la siguiente . Tengo que administrar un grupo de 2 empresas separadas 50 kms pero unidas a través de una vpn. Solo algunos usuarios de cada empresa tienen que acceder a archivos de ambas empresas y mi duda es si debo de crear dos dominios de active directory cada uno con sus usuarios (ejemplo empresa1.local empresa2.local) o es mejor un solo dominio (ejemplo grupo.local)
Quisiera tu consejo para comenzar con buen pie la creación del dominio
Hola Marcos, gracias por el comentario
El espacio para comentarios son para las notas, y respondo u oriento cuando puedo, pero ni lo puedo utilizar para diseño de Active Directory, ni alcanza con los datos que haz puesto
Si quieres, en el blog, hay una nota resumen de conceptos de Active Directory que quizás te sea útil: Active Directory – Resumen (Relacionando Notas) | WindowServer:
https://windowserver.wordpress.com/2013/03/01/active-directory-resumen-relacionando-notas/
Buenas Ignacio. Veo que es muy facil de instalar un server 2012. Mi duda es, si yo sigo estos pasos realizándolo bajo vmware workstation es posible que puede meter a 5 equipos dentro de la red dentro del servidor de dominio? Me explico? No voy a instalar el server en un equipo físico, será virtual y las demas computadoras meterlas (que pertenezca al dominio ) en red porque quiero utilizar el programa ePolicity Orchestator de MCafee…. mil gracias a vos por tu tutorial. ( espero que este me sirva para poder empezar lo antes posible) :D
Saludos
Hola Diego, el único que responde consultas acá soy yo Guillermo, esto no es un foro :D
Aunque los comentarios están reservados para la nota específicamente, cuando puedo ayudo y oriento, sólo eso
Aclárame por favor la pregunta porque no termino de comprender
Un servidor físico, donde quieres poner un Controlador de Dominio, al que agregarás 5 equipos que son máquinas físicas ¿es así?
Si me aclaras quizás pueda ayudar
Respecto a VMware, todas las demostraciones que veas en este blog están hechas con máquinas virtuales sobre VMware Workstation
Borro uno de tus mensajes porque quedó duplicado
Hola Guillermo, perdona me confundí de nombre porque estube leyendo todos los comtarios.
Quiero seguir este tutorial para instalar windows 2012 en vmware en mi computadora que es windows 10. De ahí lo de querer utilizar vmware… y meter 5 pcs al servidor virtual (windows server 2012 instalado en un vmware con windows 10)
Diego, si quieres virtualizar es porque el sistema es x64. En Windows 10, salvo la versión Home puedes virtualizar con Hyper-V, sin necesidad de VMware Workstation, aunque este tiene actualmente los mismos requerimientos
Tener en funcionamiento 6 máquinas virtuales, también tiene sus requerimientos de hardware. No creo que lo puedas hacer con menos de 16GB RAM, y por supuesto discos muy rápidos lo mismo que el micro
Si, creo que maquina tengo. i7 con 32GB de ram. Probare tu guia para tener un servidor w2012 virtualizado.
Un saludo. (Sigo tu blog.)
Diego
Diego, por si te sirven, si en la categoría en el margen izquierdo seleccionas VMware, hay 8 notas sobre instalación y uso.
Con i7 y 32GB RAM es lo que uso yo también para las notas, he llegado a 10 VMs simultáneas
En mi experiencia no le des a ninguna máquina para pruebas más de 2GB RAM y 1 procesador no hay mejora perceptible
Lo que sí hay que tener cuidado es que en tu caso, igual al mío, lo que marca el ritmo es el acceso a disco. En estos momentos en Argentina el precio de los SSD grandes está prohibitivos, pero lo tengo bastante encaminado con un RAID0 de 3 discos rápidos. O inclusive en algún caso he utilizado una máquina «vieja» como SAN con iSCSI con placas de 1GB aceptablemente también para algunas VMs
Hola Guillermo un placer saludarte, tengo una consulta, existe una regla o recomendación MSoft de como se podría dimensionar un Domain Controller en función de la cantidad de usuarios que se crearán, procesos de autenticación, uso de GPOs, DNS integrado en AD, etc, Apelo a tu experiencia para por ejemplo , saber que tipo de configuración de HW debiese tener un DC para soportar entre 900 y 1000 usuarios, cuentas de computadora, OUs corporativas, etc.
gracias!
Serba
Hola Serba, placer mío también
Cuando se trata de grandes ambientes, nada mejor que revisar la documentación oficial, porque puede ser algo nada fácil ;)
Te paso un enlace que tiene mucha info: Capacity Planning for Active Directory Domain Services – TechNet Articles – United States (English) – TechNet Wiki
http://social.technet.microsoft.com/wiki/contents/articles/14355.capacity-planning-for-active-directory-domain-services.aspx
Hola Guillermo, gracias por la ayuda, ahora bien, solo una duda, yo ya tengo cuentas creadas como local (se ha estado usando el server por 3 meses), al promover el server, estas cuentas persisten ?
Gracias.
Hola Mario, cuando se promueve el primer Controlador de Dominio creando el Dominio se mantienen todos los usuarios y grupos creados anteriormente
estimado en que momento te pide el password de Admin de dominio?
Hola Eduardo, al promover el primer Controlador de Dominio de un Dominio, es el único caso que migra las cuentas locales al Dominio, por lo tanto la misma cuenta «Administrador Local» pasa a ser ahora el «Administrador del Dominio»
Hola,
Una duda muy intereante, aunque lo recomienda MS usar un controlador de dominio como DNS, se puede tener un servidor DNS diferente, en este caso como se haría y pros y contras-?
Muchas gracias
Hola chengdu, si se puede, el único requisito es que soporte registros tipo SRV
¿Cómo se haría? pues todo depende del DNS que pongas, si soporta DNS dinámico o no, ya que si así no fuera tienes que crear todos los registros necesarios a mano
Tendrías como contra no poder permitir registraciones dinámicas seguras, y además perderías la ventaja de que como todos los Controladores de Dominio tienen privilegio de escritura sobre sus zonas generas un único punto de falla (el único SOA que te quedaría). Además las transferencias de zona cifradas, y aprovechando la replicación sobre la infraestructura de «Sites» que maneja AD
Desconozco si alguna implementación de Linux te permite una funcionalidad semejante
Pregunta:
Aunque ya sabemos los requisitos minimos para un controlador de dominio en Windows 2012, cual es lo normal según tu experiencia para un dominio con unos 300 usuarios?
Saludos
chengdu, un Controlador de Dominio que sea sólo eso, y no servidor de archivos, web, correo, etc. etc. consume muy pocos recursos en general. Cualquier servidor «decente» te sirve. Lo que sí es importante es tener por lo menos dos para tener tolerancia a fallas
Acá tienes una guía para calcular: Capacity Planning for Active Directory Domain Services – TechNet Articles – United States (English) – TechNet Wiki
http://social.technet.microsoft.com/wiki/contents/articles/14355.capacity-planning-for-active-directory-domain-services.aspx
QUE PASARIA SI ESTOY CAMBIANDO CONSTANTEMENTE LA CONTRASEÑA DEL SERVIDOR POR DIA CUANDO LA FECHA MAXIMA ES DE UN MES? Y LA MINIMA DE UN DIA?
—
si cambio a diario la contraseña diario:::
((tomando en cuenta que esta como minimo 1 y como maximo 30))
puedo causar algún conflicto mayor?
se desestabiliza el sistema?
Hola Rosalino, uní tus dos mensajes
Al sistema no le pasa nada, lo que no tiene es sentido lógico
gracias
Hola guillermo buenas tardes, quisiera saber el procedimiento para implementar un servidor de dns público… Gracias o me podrías orientar…
Hola José, no es este el lugar para hacer esas preguntas
Para que sea público de Internet necesitas por lo menos dos servidores DNS, configurados en forma totalmente manual, y por supuesto la delegación en el dominio superior
Hola disculpa a mi me sale este error: verification of prerequisites domain controller promotion dns services are required to proceed complete the dns client configuration before you proceed check completed.
Por lo que dice el mensaje es que está faltando la instalación del servicio DNS
¿Lo haz desmarcado durante el asistente? porque tiene que instalar el servicio, o por lo menos apuntar a un DNS apropiado
que tal amigo Guillermo… estoy trabajando en un server para montar un sistema administrativo en la empresa en la que me acaban de contratar, soy nuevo con windows server, pero ya he logrado montar uno con AD, dhcp, nat, y todos los demás servicios involucrados con 2 tarjetas de red. ahora con esta configuración y después de indagar un poco y hacer pruebas no pude limita la velocidad de internet para cada user o ip, y algunas otras cosas.
se me ocurrió usar como router (puerta de enlace) a un pc mikrotik (con 2 tarjetas de red)(para aprovechar algunas bondades de el), lo configure con ip estática y todo bien hasta ahora.
pienso instalar el AD en un windows server 2012 r2 en un equipo con una sola interface de red como mencionas en los comentarios de arriba…
también por lo que te entendí, el dhcp debe de ser instalado en el equipo con AD.
ahora mi duda, como configurar en el windows server (dns, puerta de enlace y cualquier otro) para que siga siendo el router externo quien provea de internet pero por medio de la ip que asigna el dhcp del windows server y que también tengan intenet los equipos aun si no pertenecen al dominio…
asea que los dos server estén bien sincronizado para proveer los servicios que les correspondan sin afectar al otro…
mas o menos eso, agradezco con lo que me puedas aconsejar gracias gracias…
Hola Daniel, algunos consejos generales
– Limitar la velocidad de la conectividad a Internet, hay que hacerla en el Router que haga la conexión, si se puede. No hay forma desde AD
– El Controlador de Dominio, o deberías tener dos para tener tolerancia a fallas, debe tener una única interfaz de red
– El servicio DHCP puede estar instalado en cualquier máquina, lo importante es que suministre los parámetros correctos: además de dirección y máscara, la puerta de enlace apuntando al Router, pero la dirección del DNS únicamente a el o los Controladores de Dominio. Luego en la configuración del servicio DNS se configuran Reenviadores, normalmente a los del ISP
– Con lo anterior creo que respondí esta última pregunta :)
hola, no se si viene al caso pero ahi va. tengo instalado un controlador de dominio en ws2012 r2 y todo perfecto, hasta que trate de incluir en el dominio un servidor con el mismo sistema operativo para servicios de clientes ligeros con citrix pvs 7.6, cuando lo agrego al dominio no me deja ejecutar la consola de citrix, la abre y tumba inmediatamente. asi mismo con la configuraci’on wizard. probe instalar este software ya con el servidor en el dominio y nada.
ayuda si puedes
Hola gianny, que no te deje abrir la consola de Citrix no tiene realción con esto, por favor consulta al soporte de Citrix
Muchisimas gracias por este tutorial, es fantástico!
Tengo un DC con Windows Server 2k12 Foundation y ahora quiero añadir un Windows Server 2k12 Standard a ese dominio. Todo perfecto, sin embargo no consigo que el Foundation replique las carpetas de SYSVOL y NETLOGON.
La finalidad de todo esto, es pasar todo lo que está en el Foundation al Standard, hacerlo controlador primario y hacer un dcpromo del Foundation.
Me gustaría saber simplemente lo del SYSVOL y NETLOGON ya que no consigo que se repliquen.
Un saludo
Hola Daniel ¡Me alegro te sirva!
Para agregar un segundo Controlador de Dominio, usa el procedimiento del enlace que pongo abajo. Lo más importante es que incialmente esté configurado para usar como DNS únicamente al Controlador de Dominio ya existente
Windows Server 2012 (R2): Crear un Dominio – Instalación y Configuración del Segundo Controlador de Dominio | WindowServer
https://windowserver.wordpress.com/2014/12/02/windows-server-2012-r2-crear-un-dominio-instalacin-y-configuracin-del-segundo-controlador-de-dominio/
Otro tema que no sé si te va a dejar fácilmente es despromover el Foundation, por las especificaciones de licenciamiento que tiene. Y no es con DCPROMO sino quitando el rol
Algo importante, antes de despromover el Foundation debes asegurarte que todo seguirá funcionando correctamente. Entonces el tema es apagarlo unos días hasta verificar que todo anda bien, y recién luego despromoverlo
Gracias por responder nuevamente y con rapidez. He seguido todos los pasos al pie de la letra. La cuestion es que siempre me está saliendo Errores de DFSR (5008 y 4612):
– 5008: El servicio de replicacion DFS no pudo comunicarse con el asociado «DC-PRINCIPAL» para el grupo de replicacion de Domain System Volume.
– 4612: El servicio de replicacion DFS inicializo SYSVOL en la ruta local «C:\Windows\…» y está esperando a realizar la replicacion inicial.
Solo me gustaría saber como hacer para que una vez que haya agregado el DC secundario al dominio, automaticamente replique el directorio «SYSVOL» siendo ambos Windows Server 2012..
Un saludo
Es evidente que no todo está «al pie de la letra» :)
Revisa que exista conectividad entre ambos (PING ), y luego en el que vas a promover comprueba la resolución de nombres (NSLOOKUP NombreDC.dominio.sufijo)
Y por último, recuerda que los nombres de Dominio deben contener un «.» El Dominio no puede llamarse «dominio» tiene que ser «dominio.algo»
Si con esto no pudieras solucionar el problema, por favor acude a un foro de soporte, por ejemplo los de Technet en español en https://social.technet.microsoft.com/forums/es-es/home
Buenas nuevamente, tras realizar varias pruebas me he percatado de lo siguiente:
– He montado una maquina virtual con 2 Windows Server 2012 y he realizado todo el proceso. ¿Resultado? Todo se replica correctamente.
– En el caso real. Mi pregunta es la siguiente: para que la replicación se realice correctamente, ambos servidores deben estar en la misma red, no?, es que estoy intentando hacer la migración mediante una VPN conectada a la red donde se encuentra el servidor principal.
¿Podría ser esa la causa de que no se replique?
Un saludo
Hola Daniel, no necesitan estar en la misma red, pero si están conectados por VPN hay que tener en cuenta otros detalles
Por un lado, asegurarse que no esté prohibido ningún protocolo y puerto, ya que se utiliza RPC con lo cual el puerto es impredecible
Y además, en algún caso similar al tuyo me ha sucedido algo raro. Aunque se supone que el sistema utiliza solamente resolución DNS, los servidores «no terminaban de verse». Lo solucioné usando resolución NetBIOS
Si como es normal no está implementado WINS, se puede hacer editando el archivo LMHOSTS en cada máquina. Cuidado con esto, para que se use este archivo debe llamarse LMHOSTS, y no tener ninguna extensión, ni .SAM ni .TXT
Otra que debes tener en cuenta es que una VPN, en general es muy lenta debido al cifrado + exceso de tráfico + descifrado
Buenas tardes, deje en favorito este post, ya que me fascino demasiado.
no se si tengo derecho a preguntar, pero me atrevo, agradesco de ante mano la respuesta y me disculpo por el abuso de hacerlo:
Tengo instalado un Modem que jala internet y lo pasa a un rauter, este da conexión inalambrica a 23 computadoras de usuarios de una mini empresa que estamos levantando.
lamentablemente el internet es un desastre porque el rauter es muy limitado y no puedo controlar el acceso o consumo de internet de los usuarios.
he bajado una versión de prueba del server 2012.
no tengo plata para comprar un rack y tirar un cableado.
La pregunta es, aun que, la seguridad no sea tan buena de la red, puedo configurar el server y crear un dominio con este tipo de configuración inalambrica para controlar el consumo y el acceso a internet de mis usuarios.
donde puedo conseguir un manual para lograr tal cosa.
MILLONES DE GRACIAS
Hola Dany, montar un ambiente de Dominio sobre una red inalámbrica no es una buena idea, no tiene sentido implementar un ambiente seguro como es un Dominio sobre una red que no es segura
Además, no hay componentes en el sistema operativo que te permitan controlar el consumo y acceso a Internet de los usuarios. Esto se hace a través de un Router/Cortafuegos
hola guillermo, millones de gracias por responder, se que no es buena idea y se que no es seguro, pero al menos podre tener el control de las computadoras de mis usuarios, que instalan, bloquear entradas, etc.
aun con todas estas desventajas que tu mencionas me encantaria hacerlo, una por tratar de tener un poquititito de control y otra por aprender.
gracias mil
Para tener control sobre los usuarios, estos simplemente no deben ser administradores de sus máquinas, sólo usuarios normales
No es buena idea aprender sobre un Dominio productivo :) puedes llegar a hacer que se pierda todo
Para aprender nada mejor que tener un ambiente con máquinas virtuales, puedes tener varias en una, y además puedes congelar estados que ante un problema te facilita volver todo atrás
Buenas otra vez,
Tengo una duda que no consigo resolver.
Tengo un Windows Server Foundation y me ha saltado el mensaje:
«The server does not comply with the End User License Agreement (EULA) because it belongs to a domain that contains more than 15 user accounts.»
Es posible que al exceder el limite de usuario y me aparezca el error del CLUF, deje de funcionar las Copias de Seguridad de Windows y que no pueda hacer replicaciones entre Controladores de Dominios?
Muchas gracias
Es así Daniel, la versión Foundation tiene limitaciones y condicionantes
En ambiente de Dominio (uno único) debe ser el Controlador de Dominio con todos los «FSMO Roles», y el Dominio no puede tener más de 15 cuentas. Son requisitos de la versión Foundation
oigan logre instalar el windows server e implementarlo via inalambrica, ingreso mi cliente al dominio y todo va perfecto, alguien tiene un link o manual que me pase para ver como funciona lo de las politicas
Primero lo importante, esto no es un foro de soporte, son comentarios sobre la nota, y sólo ayudo cuando puedo
Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer:
https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/
Y si quieres más información haz la búsqueda en el sitio con las palabras directivas grupo
Hola, soy nuevo en esto de Server 2012 y tengo problemas con las IP de mis pc locales, no puedo acceder a alguna de ellas ni me dan ping de respuesta. Que puedo hacer. Ya las he borrado y vuelto a poner desde cero pero nada. Me puedes ayudar?
Hola Keiler, esto no es un foro de soporte, son comentarios sobre la nota y cuando puedo ayudo
El problema no tiene relación con que el sistema operativo sea servidor o no, es un problema de configuración IP
Pon la pregunta en un foro de soporte, por ejemplo https://social.technet.microsoft.com/Forums/es-ES/home
Para que puedan ayudarte debes dar más datos, si las direcciones están puestas a mano o por DHCP, cuáles son, etc.
Borro tu otro mensaje ya que está duplicado
Hola Guillermo, excelente articulo.
Estoy por montar un nuevo controlador de dominio. Hay un tema que no me queda muy claro y es el relacionado al nombre del dominio que colocaremos. He leido y visto en algunos sitios que ya no se recomienda utilizar sufijos como .local, .lan, .corp, etc. Me gustaría conocer tu opinión al respecto y si es posible o conoces algún lugar donde pueda obtener información relacionada, pasármela.
Un saludo y muchas gracias por compartir esta clase de conocimientos.
Hola Osvaldo, hay muchas recomendaciones y de todas las formas, pero es un caso a estudiar en cada ocasión
Yo particularmente, en general estoy usando un subdominio del de prescencia en Internet, para darte un ejemplo, todas las últimas notas del blog son ad.guillermod.com.ar
Muchas gracias Guillermo por tus comentarios.
Guillermo buenas tardes; tengo una duda con respecto a la configuracion de red; en el caso en el que solo exista un DC en el dominio que valores deben tener los DNS? Los que brinda el ISP o en su defecto la misma IP del DC1.
Mi correo es ngxxxxx@yyyyyyit.com.
Muchas gracias.
Hola Nazhir, todas las máquinas que forman parte de un Dominio deben usar como DNS únicamente a el o los Controladores de Dominio, nunca otro
Para que resuelvan Internet, en la consola DNS debes configurar Reenviadores, a los del ISP, Google, o a los que quieras que hagan la resolución externa
Edité tu correo, porque además que nunca en los blogs o foros se responde directamente, sino porque además hay «robots» en Internet que se dedican justamente a eso, buscar direcciones y agregarlas a listas de spam
Buenas tardes Guillermo, antes que nada agradecerte por el material que brindas, realmente es excelente..
Necesitaba hacerte una consulta, con respecto al HyperV, en el mundo de la virtualizacion sabemos que existen distintos tipos de Hypervisor 1,2 o 3.. mi consulta es sabiendo que el tipo 1 esta basado sin sistema operativo en el equipo anfitrión veo que en muchos ejemplos ponen a Hyper-V.. esto quiere decir que se puede instalar sin depender de un SO base?
Gracias!
¡Me alegro te sirvan las publicaciones! :)
Hyper-V va siempre siempre directo sobre hardware. Inclusive cuando en un servidor Windows instalas la funcionalidad, la que «era» la máquina real se transforma en una «virtual privilegiada»
Y además, como una prueba más tienes «Hyper-V Server» que es justamente eso, sólo el hipervisor
Busca en el blog con «(Gratis)» que hay cuatro notas sobre «Hyper-V Server»
Guillermo no conoces acerca de ningun parche de seguridad para Server 2012 o algun firewall para este pq eh probado unos cuantos y no m convencen y además la tarea de crear un Firewall no es nada facil y m tomaría un tiempo q no tengo Gracias
Parches de seguridad hay muchos y provienen de Windows Update, cortafuegos básico viene incluido con el propio sistema operativo, y si te refieres a cortafuegos «en serio» eso se hace con productos especializados ya sean por software y hardware
Estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo
Buenas tardes guillermo una pregunta o mejor dicho tengo una duda si yo tengo configurado un servidor como controlador de dominio y quiero agregar un servidor mas a este dominio porque va a ser de aplicacion para la empresa en la que estoy debebia de configurarle a este servidor que voy a unir al grupo de dominio de la empresa el dns y porque ????
Para tener tolerancia a fallas
Windows Server 2012 (R2): Crear un Dominio – Instalación y Configuración del Segundo Controlador de Dominio | WindowServer:
https://windowserver.wordpress.com/2014/12/02/windows-server-2012-r2-crear-un-dominio-instalacin-y-configuracin-del-segundo-controlador-de-dominio/
Windows Server 2012 (R2): Crear un Dominio – Verificación de la Tolerancia a Fallas | WindowServer:
https://windowserver.wordpress.com/2014/12/09/windows-server-2012-r2-crear-un-dominio-verificacin-de-la-tolerancia-a-fallas/
Muy buen aporte, muy claro y al grano, gracias y felicitaciones.
¡Gracias! :)
Hola que tal Guillermo. Me gustaría saber si es posible instalar dos o mas dns en un mismo server?
Gracias de antemano.
En la consola de administración de DNS puedes agregar todas las zonas para todos los dominios que quieras, pero el servicio es siempre el mismo
Hola Guillermo,
Muchas gracias por todos los aportes que has compartido y tu ayuda en Technet, estas siendo fundamental para ampliar mis conocimientos.
He configurado en DNS y todo ok, lo único que agregue fue la configuración de la zona inversa.
Un cordial saludo,
Hola Mariano, me alegro te pueda haber ayudado :)
El tema de la zona inversa se suele crear porque puede ayudar en la resolución de algunos problemas, aunque para AD no necesaria, no la utiliza
Si te interesa el tema DNS, en el blog hay unas cuantas notas sobre este servicio, desde cómo funciona, prácticas, tipos de zonas, etc.
Perfecto, voy a echar un vistazo. Un saludo.
hola guillermo tengo un inconveniente cuando creo mis zonas. cuando ya estan creadas que pruebo con un nslookup me sale el nombre del equipo seguido del nombre de dominio, luego ingreso a la zona directa borro el host que se registra pero luego sale otra vez. como puedo soluciona eso.
saludos!!
Para que una interfaz no se registre en DNS debes desmarcar la opción en las propiedades avanzadas de TCP, pero cuidado si estás en Dominio porque en ese caso además habría que borrar el SOA y NS del mismo
https://support.microsoft.com/en-us/help/2023004/steps-to-avoid-registering-unwanted-nic-s-in-dns-on-a-mulithomed-domai
Buenos dias a todos los que aqui buscan buenas respuestas a los grande y pequeños problemas de la administracion de redes. Puede tumbarme algun servicio o al servidor cuando conf. los usuarios que inician-sesion-en-windows-server/. Es que necesito tener guardado esos logs. Si alguien me puede ayudar lo agradeceria mucho. Sl2
Estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Hola Guillermo, tengo una duda acerca del controlador de dominio adicional al dominio existente, este funciona como un respaldo por si llega a fallar o cual es la función.
Mucho más que respaldo, además reparto de carga y
Controladores de Dominio: Tolerancia a Fallas | WindowServer
https://windowserver.wordpress.com/2011/05/25/controladores-de-dominio-tolerancia-a-fallas/
Hola… Mira, te comento, estoy utilizando VMWARE. No puedo ingresar mi PC FISICA (que aloja la virtual con el AD) al dominio.
Mi PC FISICA tiene un adaptador de red, que tambien esta configurado como puente en la virtual con ip 10.0.0.1, el cual configure con IP 10.0.0.4, es decir que tanto la PC FISICA como la VIRTUAL estan en el mismo rango.
Si yo hago PING entre las PC no hay problema, el problema es que cuando intento ingresarla al dominio dice «el nombre DNS no existe».
No se que hacer!
Desde ya muchas gracias.
como dato, si yo haco «NSLOOKUP» en la virtual, me da
» Default server: unKnown
Address: fe80::1 «
Hola Nwlaon, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Para hacer sólo algunos comentarios:
– No puedes unir la máquina física al Dominio, ya que el Controlador de Dominio obligatoriamente comenzará después
– No debes hacer «bridging», para esto están las redes de VMware
– El error que nombras es porque no está bien configurada la conexión de red con respecto a qué DNS utilizar
Muchas gracias por el aporte. Me ha servido de muchisima ayuda.
Me alegro te haya servidor David
buenas tardes Guillermo, una consulta si yo hago todo lo anterior en una maquina virtual ¿la maquina física, que también tiene windows server 2012, también tengo que agregarla al dominio?
Hola Eduardo, no, y tampoco conviene
Hola Gillermo tengo una duda despues de hacer todo esto planteado en el video y en las imagenes como conecto las pc al dominio porfa necesito ayuda
dime si tienes algun otro video donde explikes esto es k necesito poner un dominio en mi empresa , ya k tengo a ynos cuantos inventores k se me estan yendo por fuera de mi proxy ya k yo tengo un /24 en mi red WAN y no tengo como restringir esos ip
Estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Hola,
Hemos creado el dominio para nuestra pequeña oficina y configurado el DC. Pero en el mismo equipo DC en el escritorio, en el icono de red no aparece el nombre del dominio como debería aparecer, y no encontramos algún comentario sobre el problema, ¿alguien nos puede echar un cable?
Hola erik121, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Gracias hermano , no puedo expresar por acá lo mucho que me has ayudado y ayudas aun con el conocimiento impartido en este blog. Uno de los primeros temas que leí de tu blog un abrazo desde lo lejos y muchas gracias.
Me alegro te sirva el blog Juan Carlos ¡Gracias!
Muchas gracias!! Señor Guillermo todo lo que hace usted es muy valioso. Estoy empezando en el mundo de AD y sus notas me estan ayudando muchisimo para poder entender a profundidad los conceptos que uno debe tener. Sin más me atreveria a decir que seria magnifico que hiciera un libro con todo esos conocimientos. Saludos desde Lima – Peru
Hola Alexander, gracias por tu comentario. Sólo un comentario, estas notas están hechas sólo como prácticas de los cursos que daba anteriormente, no tienen prácticamente nada de la parte teórica, se te va a ser difícil comprender los conceptos de base sólo con estas notas
El tema de escribir un libro es algo que lleva muchísimo trabajo, no tienes idea :) Hace muchos años escribí uno, nunca publicado, y no te das una idea lo que cuesta. Como otro ejemplo, hace tiempo hice un curso en línea sobre AD, sólo 10 módulos, y el trabajo que llevó fue enorme porque es muy difícil hacerlos en un orden lógico que permita que cada tema que se agregue tenga los fundamentos de lo anterior. Encima en este momento hay muchísimos administradores de sistemas que ni siquiera tienen conocimientos básicos de redes o TCP/IP así te imaginas …
Gracias nuevamente
Trackbacks
[…] con el tema que comenzamos en la nota anterior (“Windows Server 2012 (R2) – Crear un Dominio – Instalación del Primer Controlador de Dom…”), en esta nota veremos cómo instalar un segundo Controlador de Dominio para el Dominio Active […]
[…] proceso es totalmente similar al de versiones anteriores (“Windows Server 2012 (R2): Crear un Dominio – Instalación del Primer Controlador de Dominio”) aunque veo que ha quedado una “desprolijidad” de la versión “Technical Preview”, aún […]