Continuando con el tema que comenzamos en la nota anterior (“Windows Server 2012 (R2) – Crear un Dominio – Instalación del Primer Controlador de Dominio”), en esta nota veremos cómo instalar un segundo Controlador de Dominio para el Dominio Active Directory existente
Específicamente veremos qué configuración necesitamos tener para obtener tolerancia a fallos, y otras que son por conveniencia
Recuerdo que de la nota anterior ya tenemos instalado y configurado el primer Controlador de Dominio “dc1.ad.guillermod.com.ar” con configuración IP 192.168.1.201/24 con el cual se ha creado el Dominio
Así que para continuar debemos tener instalado un segundo servidor. Atención a un detalle importante: este segundo servidor no puede ser un clonado del primero, salvo que se haya ejeuctado SYSPREP con los modificadores adecuados, ya que de otra forma el sistema no permitirá promover dos Controladores de Dominio con el mismo SID
Igual que en el caso anterior, lo primero que debemos configurar son los parámetros de IP. En mi caso le he puesto 192.168.1.202/24, y muy importante que tenga configurado para usar como DNS al otro Controlador de Dominio ya instalado; esta es la única forma para que pueda resolver los nombres necesarios del Dominio Active Directory
El siguiente paso es colocarle el nombre adecuado, en mi caso “DC2” y reinciar si es necesario. Pero observen que lo he dejado en grupo de trabajo, sin unirlo al Dominio. Existe el concepto generalizado que para promoverlo tiene que estar previamente unido al Dominio, y esto no es necesario
Igual que en el caso anterior debemos instalar la funcionalidad “Active Directory Domain Services”, que no demostraré ya que es exactamente igual que lo que hicimos en DC1. Sólo mostraré la parte de promoción como Controlador de Dominio
Debemos seleccionar primero la opción de instalar un Controlador de Dominio adicional en un Dominio existente, y luego conviene ingresar una cuenta que tenga privilegios, por los menos de Domain Admin del Dominio
Al suministrar las credenciales correspondientes, observen que ha completado automáticamente el nombre del Dominio al que deseamos agregar a este Controlador de Dominio
Es importante, si queremos tener tolerancia a fallos sobre el servicio, que este Controlador de Dominio tenga instalado el servicio DNS y sea Catálogo Global, no se olviden de controlar que ambas opciones estén marcadas
Y además ingresar la correspondiente contraseña de ADRM de este Controlador de Dominio. Si hay dudas del motivo consulte la nota anterior ;-)
Por los motivos que explicamos en la nota anterior, hay que desmarcar que trate de ejecutar la delegación en el DNS superior
No hay mucho para seleccionar en este caso sobre desde cuál Controlador de Dominio replicará, ya que tenemos solamente uno
Y seguimos el asistente, tal cual el caso anterior, y como muestran las siguientes pantallas
Esperemos que reincie totalmente, por lo menos que llegue hasta el cuadro de inicio de sesión, y vamos a DC1 para ver si todo ha sucedido correctamente
Una de las primeras cosas que podemos hacer es abrir “Active Directory Users and Computers” y ver que se ha creado la cuenta de máquina correspondiente en la Unidad Organizativa «Domain Controllers»
Otra forma de verificar es en la consola de DNS verificar que se ha creado el correspondiente registro A (“Host”)
Los registros en la zona “_msdcs” pueden demorar un poquito de tiempo, pues dichas registraciones las hace el servicio NETLOGON, pero es importante verificar que estén presentes. Recordar que las consolas MSC no refrescan automáticamente, debemos pulsar F5
Y una configuración más a revisar, y muy importante para la replicación, es usar el “Active Directory Sites and Services”. A esta altura ya seguramente aparecerán en el “Default-First-Site-Name” ambos Controladores de Dominio
Aunque ya seguramente podremos observar que se ha creado el objeto replicación desde DC2 a DC1, seguramente aún no está creado el que replica desde DC1 hacia DC2
Tener paciencia … ;-) que si hicimos todo bien se creará en unos minutos, a veces se toma hasta 20, así que es mejor dejar todo sin tocar, y cada tanto hacer un refresco de pantalla hasta que aparezca el nuevo objeto conexión que replica desde DC1 hacia DC2
Y por supuesto tiene que estar también el que replica desde DC2 hacia DC1
Si queremos estar aún más seguros, y que la replicación funcione correctamente, podemos forzarla con botón derecho sobre cada objeto conexión y seleccionando para que replique ya («Replicate now»)
Primero desde DC2 hacia DC1
Y luego desde DC1 hacia DC2
Como ambos Controladores de Dominio, ya replican entre sí, tienen el servicio DNS, y como configuramos durante los asistentes son Catálogo Global, para tener tolerancia a fallos, tanto los Controladores de Dominio, como todas las máquinas del Dominio deben tener configurados a ambos como servidores DNS
No proseguir con lo siguiente hasta no asegurarse que se han creado ambos objetos conexión, y que la replicación se hace exitosamente
Hay muy largas discusiones, inclusive “entre gente que sabe”, sobre si cada Controlador de Dominio debe usar como preferido al otro, y como alternativo a sí mismo, o al revés, como preferido a sí mismo y como alternativo al otro
Funciona de ambas formas, pero yo sigo con la costumbre de los viejos Windows Server 2000 donde obligatoriamente había que “cruzarlos”. Es decir que usen como preferido al otro, y como alternativo a sí mismo
Otro tema que se habla mucho en Internet, es que hay que reemplazar la configuración por omisión que toma como dirección propia de DNS a la dirección de “loopback” (127.0.0.1), o no
Personalmente no he tenido problemas con dejar 127.0.0.1 pero la mayoría prefiere reemplazar por el valor correspondiente a la dirección IP real
Entonces para “cruzarlos” en DC1 debemos poner como preferido a DC2
Y en DC2 poner como preferido a DC1
Bueno, llegamos hasta acá. Si hay pedidos veré de continuar estas notas agregando un Dominio al Bosque existente, o aún un nuevo Árbol
También, y a una sugerencia muy buena que he recibido, aprovecharé la infraestructura para mostrar la tolerancia a fallas, maestros de operaciones, procedimientos ante fallos, etc.
WindowServer 
Comentarios
Me parece que las 2 últimas imágenes(sobre cruzar el DNS) no van de acuerdo con lo mencionado.
Hola coldfran, tienes razón, las últimas dos imágenes corresponden a lo que queda por omisión, y donde hay que hacer los cambios si uno quiere tanto «cruzarlos» como el cambio de la dirección de «loopback» (127.0.0.)
Gracias por el aviso
Hola, buen día! para qué sirve la la zona “_msdcs”, la verdad nunca la he tenido en cuenta :(
Buenas tardes por acá coldfran. Son ahora las 6 de la tarde :)
La zona que comienza con «_msdcs» es la «zona mágica» para Active Directory :)
Si miras el contenido verás que la mayoría de los registros son de tipo SRV. Este tipo de registros sirven para encontrar quién provee determinado servicio en la red
Luego revisando un poco verás que por ejemplo hay registros de Kerberos (quien provee el servicio de autenticación); verás también que hay registros de LDAP [Lightweight Directory Access Protocol] que son los controladores de Dominio
Verás también que hay carpetas por cada Site creado en la red, otra con GC (Global Catalo), PDC (Emulador Primary Domain Controller), y varias más
Un ejemplo de uso, cuando un cliente pregunta al DNS: «Dame la lista de los Controladores de Dominio de X-Dominio en ‘mi sitio'» para poder hacer una autenticación en un Controlador de Dominio local (en el mismo sitio)
Y no sigo, porque me vas a hacer escrbir una nota nueva como comentario :-)
Sólo un detalle más, no contiene lo mismo la zona «_msdcs.dominio.raiz» que la «_msdcs.sub.dominio.raiz» Por ejemplo, esta última no contiene la carpeta GC
Hola, soy de Perú, así que creo que tenemos 2 horas de diferencia :)
ojalá tenga tiempo y pueda hacer una nota completa sobre esta zona que no encuentro información digerible, será porque me faltan mas fundamentos :)
Hola coldfran, tendré en cuenta el tema de la nota
Pero insisto, trata de investigar un poco, y verás que cada servicio de Active Directory está en una «carpeta» que por su nombre indica o da por lo menos una pista del tipo de pregunta que responderá
Por ejemplo, lo que está dentro GC y nombre del Site, es para responder al que pregunte justamente eso
Hola, me ha gustado mucho la entrada pero tengo curiosidad por el final, yo hago la configuración contraria, es decir loopback de primero y el cruzado de segundo. Ya sé que el tráfico DNS no es gran cosa pero prefiero así, a veces están en sites distintos y además si bajas uno por mantenimiento no está intentando todo el rato ir al otro a consultar… y lo de loopback pues no sé, si por ejemplo tienes la red tirada sigues teniendo resolución dns por ejemplo.
¿Por qué motivos usas tú ese sistema?
Hola Jesús, justamente por lo que nombras es que comienzan las discusiones. Además es para tener en cuenta si están en el mismo o diferentes «Sites», si se reinician individualmente, o si en algún momento hay que reiniciar todos simultáneamente
Por eso puse en la nota, que hay discusión con el tema. En realidad es que no hay una «mejor configuración», o en realidad sí hay, pero depende totalmente del ambiente
Funciona de ambas formas a partir de W2003, no como sucedía ocn W2000, si la configuración no es la adecuada para tu configuración te das cuenta cuando se hace un reinicio
Hola he visto varios post de configuración de windows server en tu blog muy buenos, estuve navegando y no he podido encontrar un tema que me ayude con un problema de configuración; tengo dos servidores con widows server 2012 cada uno con tres tarjetas de red cada uno está en un área diferente en el mismo edificio y dónde está cada servidor hay una conexión isp de proveedores distintos, lo que quiero hacer es tener dos lan local bajo el mismo dominio y cada una utilice la conexión isp que tiene cerca cómo puedo hacer esta configuración con windows, soy nuevo en esto así que tengo mis dudas. Actualmente sólo he configurado un servidor con su controlador de dominio, dns y dhcp para un área usando el rango de ip 10.1.3; cómo puedo hacer para configurar la otra red en el mismo dominio y creando otro ámbito dhcp.
Hola Edwar, este no es un sitio de soporte ni puedo hacer diseño de redes a través de estos comentarios ya que se necesitarían muchos datos y la extensión no da para eso. Estos comentarios están para aclaraciones o preguntas sobre la nota. De todas formas trataré de ayudarte un poco con el tema, seguiré el orden en el que comentas, aunque no es el orden en que se deben resolver
– No es bueno, y trae problemas que un Controlador de Dominio tenga más de una dirección IP, salvo que hagas un «team» con las placas
– Para tener dos ISPs se requiere que cada cliente tenga configurado su correspondiente «Default Gateway» diferente; esto se hace generalmente con 2 DHCPs diferentes, o trabajo específico en la configuración del DHCP por ejemplo usando clases. Otra opción en general usada, es un «Router» con doble WAN donde se configura prioridad, balance, tolerancia a fallas, etc.
– Tener 2 LAN implica tener internamanete un «Router» que las interconecte a nivel IP ¿estás seguro que es lo que necesitas? esto normalmente hay que justificarlo pues dará más trabajo de configuración y mantenimiento
– Otro tema muy importante que no nombras pero es fundamental definir bien desde el principio es si vas a tener un único Dominio o más, el nombre, no confundirlo con el de prescencia en Internet, etc. etc.
Si puedo darte un consejo, primero piensa en los objetivos, luego en cómo se alcanzan. Por nombrarte sólo uno: en los objetivos no puede estar «tener 2 LAN» eso es sólo una consecuencia de un objetivo :)
Hola Guillermo gracias por las sugerencias, quiero hacerte una consulta respecto al tema, he procedido a crear e instalar el segundo controlador de dominio pero en las opciones de controlador de dominio tú sugieres que se marquen las primeras dos (Servidor de sistema de nombres de dominio (DNS) y Catálogo Glogal (GC)) pero por la primera opción me sale en gris al igual como cuando se hace la instalación del primer controlador de dominio.
Me da el mensaje que no se puede instalar el DNS en este controlador de dominio porque este dominio no hospeda ningún DNS; cómo soluciono este problema.
Hola Edwar, revisa lo siguiente:
– Que el nuevo DC tenga configuración IP manual, no por DHCP
– Que tenga configurado como DNS *sólo* al otro DC
– Que cuando pongas el nombre del Dominio, utilices el nombre DNS, esto es, «nombre.sufijo». Y no «nombre»
Hola Guillermo Delprato, siguiendo el paso a paso me encontre con el mensaje «no es posible crear una delegacion para este servidor DNS, por que la zona principal autoritativa no se encuentra o no ejecuta el servidor DNS de Windows…» alguna idea al respecto
Hola David, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Y lo más importante es que si no das datos nadie pordrá ayudarte :)
Buenas Guillermo… Se podria clonar la VM y cambiarle el SID con el software NEWSID???
Gracias y un Saludo
Hola Andy, si por supuesto se puede. Si cambia el SID es «otra máquina»
Gracias Guillermo el problema era con el nombre de Dominio por defecto te pone el nombre NetBIOS al poner el nombre completo ya funciona.
Es así Edwar, en ambiente de Dominio, sí o sí hay que usar DNS :)
Buenas,, UNa consulta, teniendo como dns primario un w 2012 r2,
¿es posible poner un windows 2003 como servidor de dominio secundario? o existen incompatibildades?
Gracias
Hola matiasretamozo, lo importante es si el W2012R2 es sólo DNS o si además de Controlador de Dominio
Si es sólo DNS no debería haber ningún problema. Habría que revisar sólo qué tipo de actualizaciones están permitidas (dinámicas o no, seguras o no)
Si en cambio el W2012R2 es DNS y Controlador de Dominio, el tema pasaría por el nivel funcional del Dominio. En este caso necesariamente el nivel funcional del Dominio debería ser no superior a W2003
Si el nivel del dominio fuera W2012 o W2012R2, entonces no podrás agregar Controladores de Dominio inferiores a este nivel
Hola mira yo necesitaria saber como dejar el server para una lan de oficina, actualmente realize todos los pasos hasta cuando agregas el 2do servidor, en este caso no quiero tener 2 servidores la idea es dejar uno solo, con finalidad de compartir la impresora y los archivos de datos, actualmente hay un server configurado con vpn y demas pero lo quiero apagar y sacar cuando tenga el nuevo en funcion.
Hola jonatan, primero aclararte que este no es un blog de soporte y menos de consultoría, sólo oriento cuando puedo
Si tienes un único Controlador de Dominio no tienes tolerancia a fallas, piensa solamente qué pasaría si esa máquina dejara de funcionar, y no va a valer que lo reinstales con los mismo nombres, así que piensa bien en eso
No es lo mejor, pero se pueden compartir archivos e impresoras en un Controlador de Dominio, lo que sí no es conveniente para nada, y te puede traer problemas es que sea servidor VPN
Buenas tardes para todos, Guillermo quiero felicitarte y darte las gracias por compartir informacion y tu conocimiento, excelente informacion.
He seguido paso a paso tus indicaciones y todo funciono perfecto, quiero saber si sabes de algun metodo o configuracion para replicar informacion entre los 2 servidores.
Muchas Gracias
Hola Hector ¡Gracias!
La replicación de Active Directory se configura automáticamente entre los Controladores de Dominio
Pero si te refiers a carpetas y archivos, entonces es con DFS
Revisa estos dos artículos
Sistema Distribuido de Archivos (DFS = “Distributed File System”) ¿Realmente lo Conoce? | WindowServer:
https://windowserver.wordpress.com/2014/07/01/sistema-distribuido-de-archivos-dfs-distributed-file-system-realmente-lo-conoce/
Sistema Distribuído de Archivos (DFS = “Distributed File System”) Replicación y Sincronización de Datos | WindowServer:
https://windowserver.wordpress.com/2014/07/03/sistema-distribudo-de-archivos-dfs-distributed-file-system-replicacin-y-sincronizacin-de-datos/
Muy buenas tardes disculpa la pregunta muy bueno tus tutoriales son excelentes pero una pregunta como hago para acceder a los dns locales desde el internet ? me podrias ayudar con un link de documentacion o temas relacionados para poder consultar ?
Gracias…
Hola Jose, nunca se tiene que poder acceder desde Internet a los DNSs internos, es un tema fundamental de seguridad
¿O lo que me preguntas es al revés? para que los DNSs internos puedan acceder a DNSs de Internet
Esto se hace configurando en las propiedades del servidor DNS, en la ficha Reenviadores a DNSs por ejemplo del ISP o los de Google si quieres
Felicidades por el post. Muy bueno.
Tengo una consulta. Imaginate que hemos hecho lo que dices. Y que después, hemos eliminado DC1, de controlador del dominio.
Por qué ha desaparecido el dominio en DC2 y no podemos ver nada? Nos lo hemos cargado todo?
Hola Iván, gracias por tu comentario
Primero quisiera saber qué es exactamente «desapareció el Dominio» ¿qué error da cuando quieres accederlo?
Nunca hay que eliminar, nunca, nunca, primero se apaga durante un tiempo, se controla que todo siga funcionando, y recién luego se hace el proceso de des-promoción para que no queden rastros que generan errores
Ahora a la pregunta, aunque no interpreto que «desaparció» ¿le diste tiempo a que replicara la información? ¿replicó en algún momento? ¿cada DC tenía como DNS a ambos?
Guillermo, ha sido peor el remedio que la enfermedad. Creíamos que sí había replicado, porque el DC1 se reinicia cada hora y cuando reiniciaba veíamos dominio en DC2. Por otro lado, cada DC tenía como DNS al otro.
Bueno, lo que hicimos es volcar un backup(donde DC2 no era controlador dominio) del AD en DC1. Ahora DC2, no ve el dominio del cual es controlador del dominio y salta el mensaje «The target principal name is incorrect». Estoy probando mil manuales, pero no ayuda.
Muchas gracias de nuevo, por tu ayuda y paciencia.
Hola Iván, es evidente que no haz seguido la nota y específicamente las recomendaciones para verificar la replicación
Sin haber replicado no tiene sentido recuperar de un backup, y menos aún de uno en otro porque en ese caso quedan los SIDs duplicados
Entiendo que es un ambiente de pruebas, así que lo recomendable es que comiences desde el principio, y oberva en todas las frases de la nota la palabra «verificar que» :)
Buenos días Guillermo, que tal estas, resulta que tengo un controlador de dominio ya configurado y con ciertos roles, lo que pretendo es evitar lo siguiente.
Imagínate que una persona llegue a mi equipo de dominio e ingrese un programa como el Hirens y trate de quebrar la contraseña de mi dominio eso sería catastrófico.
Lo que pretendo es que cuando una personas mal intencionadas ejecuten el programa Hirens en mi servidor, la contraseña no cambie, para tal razón escuche de algo que se llama recursividad de contraseña en controladores de dominio, pero no sé cómo se hace.
Seria de mucha ayuda que tú como master me brindes de tu grandiosa ayudar y sobre todos con tus conocimientos amplios, te dejo mi correo personal, en el dado caso que sepas algo.
ab@hc
Hola Roberto, gracias por tu comentario.
Lo primero cuando se comienza a hablar de seguridad, es «Seguridad Física». Un servidor no puede de ninguna forma estar en un lugar físico donde «alguien» tenga acceso al mismo
Los servidores deben estar en un ambiente seguro y controlado, piensa solamente que por lo que comentas hasta podrían llevarse el servidor, o agregarle hardware malicioso. Por ejemplo, hace ya muchos años que existe un dispositivo que se intercala en la conexión del teclado, y es en realidad una memoria que guarda todo o que se ha tecleado
Primero seguridad física, luego puedes todo lo demás
Eliminé tu dirección de correo, porque estos comentarios son públicos, y si aparece así te tapará el spam. Además mi ayuda es sólo para el tema de la nota y oriento cuando puedo
Borré también el comentario duplicado
Buenas! Genial manual…lo he seguido paso a paso…pero me he atascado. Estoy haciendo un nuevo dominio para crear nuevas cuentas. A la hora de configurar el controlador, en dns primaria si pongo 127.0.0.1 el servidor sale a Internet sin problemas. He metido ya un equipo de prueba, y dns primaria he probado con 127.0.0.1 y con la dirección ip del servidor controlador de dominio pero no navega… se queda resolviendo host… si uso las dns de google si navega…pero en otro caso no…¿qué estoy haciendo mal? mil gracias
Hola Victor, me alegro te sirva la nota ¡Gracias por tu comentario!
Primero una aclaración importante, no debes confundir «Dominio» y «Controlador de Dominio». Esta nota es como agregar un segundo Controlador de Dominio, a un Dominio ya existente
Crear un nuevo Dominio es otro procedimiento diferente
La dirección 127.0.0.1 es la propia dirección IP, sea esta cual fuera. Es lo llamado «localhost»
Que el Controlador de Dominio tenga esta dirección como servidor DNS es correcto. Pero cualquier otra máquina que quieras de alguna forma agregar a tu Active Directory, tiene que tener configurado para usar como DNS, la dirección IP real del Controlador de Dominio
Para que resuelva nombres de Internet, lo normal es en la consola DNS, propiedades del servidor, configurar en la ficha «Reenviadores» para que lo que no pueda resolver se lo pregunte a un servidor externo (el del ISP, los de Google, o el que quieras que sepa que resuelve rápido y bien
Mil gracias. He hablado rápido y mal y además usando la página que no era… te pido perdón, pero estaba navegando a ver si daba con la solución que me tiene pillado. Estoy en la fase anterior… en la de crear un controlador de dominio. En principio, esto está hecho bien. La DNS primaria es la 127.0.0.1, navega y sale a la red sin problemas. Pero, al rato, deja de navegar…sale la exclamación en conexiones y se queda sin funcionar. Si vuelvo a configurar las dns, pongo las de google y vuelvo a cambiarlas. Funciona…
Lo que me tiene atascado es otra máquina que estoy agregando al active directory. Está dentro, sin problema, y aparece registrado en el servidor de dns (zonas de búsqueda directa) pero esa máquina no navega y tiene configurada como DNS la IP del Servidor.
En la ficha de reenviadores, le he puesto la de google… desde la maquina si hace tracert pero sigue sin navegar.
Hay un error que me mosquea, de todas formas: «el servidor dns no pudo abrir el socket para la dirección 10.0.0.215». Aunque es cierto que ese error me dio a las 8 de la mañana.
Mil gracias de antemano
Hola Victor, si a cualquier máquina que forma parte de un Dominio AD le pones, aunque sea como alternativo un servidor DNS que no sea el que resuelve tu propoio Dominio AD, vas a tener problemas … :)
Para que resuelva Internet, en la consola de DNS, propiedades del servidor, ficha Reenviadores, y ahí le configuras los de Google
Dices que sale la exclamación en conexiones, no comprendo dónde ¿en el icono en la barra de tareas o en la consola DNS?
La forma que usa Windows para detectar si tiene conectividad a Internet, está explicada en esta nota: Cómo Detecta Windows Conectividad a Internet | WindowServer:
https://windowserver.wordpress.com/2011/10/22/cmo-detecta-windows-conectividad-a-internet/
Para no tener problemas con conectarse a Internet asegúrate la configuración de DNS, como puse antes, y que la Puerta de Enlace sea la dirección interna del Router. Los clientes no deben apuntar al Router como DNS, sólo Puerta de Enlace
A esa máquina que no navega, que apunte como DNS al Controlador de Dominio, salvo que sea también Controlador de Dominio
Y con respecto a esa dirección IP 10.0.0.215 como no seas tú que la asignaste a la máquina, habrá que acudir a un adivino :)
Victor, no puedo ni quiero usar estos comentarios para soporte, oriento cuando puedo, pero no son para eso. Si tienes más dudas puedes acudir a un foro de soporte, por ejemplo los de Microsoft Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Yo respondo también en ese foro :)
Hola, trabajo con win 2012 std y win2008 std, quiero promover el 2012 para que sea dc principal, ya están todos los roles trasladados al 2012, pero el 2008 sigue como principal, cuando trato de despromover el 2008, sale un mensaje que no puede encontrar un controlador en el dominio. Que puede estar faltando.
Hola Sixto, seguramente es un problema de DNS que no está correctamente configurado. Asegúrate que el «viejo DC», esté usando como DNS al «nuevo DC». Y que el «nuevo DC» esté configurado para usar como DNS a sí mismo. Que no aparezca otro DNS y menos externo
Por otro lado, antes de despromoverlo, mantenlo apagado un tiempo para asegurarte que todo siga trabajando normalmente, ya que una vez que lo despromueves no habrá forma de arreglar problemas que dependan de él
Hola Guillermo. Primero que todo, muy buenos todos tus manuales. Gracias por tu trabajo.
Mi problema es el siguiente: Al agregar el segundo controlador de dominio, me aparecen estos dos errores, alternativamente. El primero «Error de comprobación de replica. No se pudo establecer contacto con un controlador de dominio de Active Directory para el dominio «nombre.sufijo».» y el segundo «No se pudo iniciar sesión en el dominio con la credencial especificada. Proporcione una credencial válida e intentelo de nuevo.».
Lo he intentado unido, y sin estar unido, al dominio, siempre como Administrador. El DNS de la tarjeta de red es la IP del controlador principal,… Los dos son Windows Server 2012 R2. No se que esta pasando.
Gracias por tu atención.
Hola Jesús ¿el primer Controlador de Dominio tiene una única dirección IP o más de una?
Para poder promover un Controlador de Dominio adicional, lo mismo que para unir máquinas a un Dominio AD, hacen falta dos condiciones:
– Que tengas conectividad IP usando direcciones IP. Esto informa conectividad
– Que se pueda resolver los nombres DNS del Dominio. NSLOOKUP
Con estas dos condiciones ya no debería haber problema
Quizás una pregunta ¿haz clonado una instalación? ¿le haz cambiado el SID? (SYSPREP)
Hola Guillermo. Has acertado. Tenia configuradas 2 de tarjetas de red, (una para la red y otra para el nas, en rangos diferentes) y aunque tenia desmarcado el registrar en DNS y deshabilitado netbios para la red nas, el DC la registraba igualmente. Me he pasado de listo al querer saltarme la norma de una sola interface para el controlador. :).
Ya he creado un Team de las NIC y todo a funcionar perfectamente.
Muchas gracias por tu pronta y acertada respuesta.
Es así Jesús, una máquina con DNS registra todas sus direcciones IP, aunque le digas que no. Es un problema
hola amigo, te escribo de guatemala. Estamos haciendo un proyecto de la univesidad. tenemos que hacer un servidor DHCP. estamos trabajando con VMware y con vsphere client. instalamos el server 2012 y luego empezamos a hacer la configuración del servidor, el problema es que al conectar una maquina no nos da la ip que debería dar el servidor DHCP. me podrías explicar como puedo verificar que mi maquina está adquiriendo un IP asignada por el servidor DHCP… ? estoy a la espera de tu respuesta, Gracias.
Hola Eddy Salazar Galindo, estos son comentarios sobre la nota y oriento cuando puedo y la pregunta trata sobre el tema de la nota
Deberías preguntar en un foro de soporte de VMware
Guillermo, Buenas tardes. ¿Cómo estás? Llevo un tiempo sin molestarte así que volví para no perder la práctica, jaj.
Cómo bien detallás he encontrado varias opiniones encontradas con respecto a si cruzar o no los DNS al tener dos controladores de dominio.
Si se cruzan ¿esto no genera un tráfico innecesario entre los controladores?
Por ejemplo si hago una consulta a un sitio web desde un equipo «CL1» con DNS primario la IP de DC01 y DNS secundario la IP de DC02: esto hace que la consulta se haga de la siguiente forma: «CL1 –> DC01 –> DC02 –> WAN» o DC01 la resuelve salvo que esté ocupado y en ese caso lo deriva a DC02?
Hola Federico, ninguna molestia :)
El tema de tener los DNS «cruzados» es algo que se remonta a W2000. Cuando recién salió, si no se hacía, no replicaban
A partir de no me acuerdo qué SP, ya se solucionó
El tráfico que genera un DC registrándose con otro, es totalmente despreciable. Sólo la verificación de si hay cambios para replicar ya produce mucho más
Ahora con respecto a la resolución de nombres, no, no funciona así como dices. Cuando un cliente le pregunta al DNS que tenga configurado, si este puede resolver locamente, ya responde. Y si no puede resolver usa los Reenviadores, que son DNSs externos.
Nunca un DNS que es autoridad para una zona, puede reenviar un pedido de resolución de la propia zona; responde con «la respuesta» o «no existe», pero no consulta a otro
Para nombres de Internet, como no es autoridad (no tiene localmente la zona), si no tiene la información «cacheada» reenvía el pedido de resolución a los Reenviadores que tenga configurados
Siempre va a ser: CL1 -> DC1 -> Reenviadores si no pudiera resolver localmente
Perfecto Guillermo, muchas gracias por tu tiempo y aclarar mis dudas!
Buenas, el tema es que yo realice estos pasos en maquinas virtuales, cuyos rangos no tienen acceso a la red en la que estan las computadoras fisicas, ej: los servers estan en el rango 192.168.2.1 y las compuradas en el rango 192.168.1.1, como puedo hacer para vincular los rangos ?
Hola Ivan, la única forma de intercomunicar dos redes IP es a través de un Router
En una máquina separada, con una interfaz de red en cada red, puedes configurarlo con Acceso Remoto, y siguiendo el asistente de enrutamiento LAN
Logre hacer que los servidores vean a las computadoras mediante ping, pero no logre que las computadoras vean a los servidores. El tema es asi, el equipo que contiene los virtuales esta dentro de la misma red que las computadoras (192.168.1.1) pero los virtuales (VMware) tienen asignado el rango 192.168.2.1 en su adaptador virtual. la IP del equipo donde tengo los virtuales es 192.168.1.100 y posee los 2 adaptadores. Ej: desde el servidor 192.168.2.3 puedo hacer ping a la computadora 192.168.1.104, pero desde esa computadora no puedo hacer ping a la 192.168.2.3.
Hola Ivan, ya haz dado un dato fundamental: VMware :) Supongo que Workstation
Todo se puede hacer mucho más sencillo, no necesitas que el host tenga dos adaptadores de red, esa configuración complica la configuración
En VMware tienes una red «Host Only» y eso genera un adaptador virtual en el host (VMnet1). Además de «NAT» (VMnet8)
Te comento cómo lo hago yo en esos casos. Conecto todas las virtuales a VMNet2 (aislada), y luego una máquina configurada como Router, con dos interfaces de red, una en VMNet2, y otra en VMNet1 («Bridging»). En esta máquina configuro Routing
Todo lo anterior con una única placa de red en el host. Debes asegurarte que la red «Bridging» (VMNet09) esté conectada a la placa de red correcta del host
Si de una lado puedes hacer PING a otro, pero no a la inversa, es porque en lugar de Routing haz configurado NAT. Este último es unidireccional
Por supuesto todas las virtuales tienen que tener como Puerta de Enlace la máquina que hace Routing, y además las máquinas de la red tienen que tener una entrada en la tabla de enrutamiento informando que para llegar a la red de las virtuales se lo tienen que enviar a la máquina que hace Routing, incluyendo al Router que conecta a Internet si quieres que estas virtuales tengan conexión a Internet
Por último, estos son comentarios sobre la nota, no es un foro de soporte, si tienes dudas en la configuración de redes de VMware por favor acude a un foro de soporte del mismo
Hola, todos sabemos que el DC1 tendria todos los roles FSMO, pero que roles FSMO deberia tener el DC2?, en caso de que falle el DC1 seria logico que DC2 mantuviera los servicios de directorio y dns trabajando, poder crear usuarios, etc…, para eso necesitaria los roles FSMO, me podria alguien aclarar esa duda?
Normalmente para la mayoría de las situaciones se mantienen en la misma máquina los 5 «FSMO Roles». En alguna ocasión y teniendo en cuenta que el único que consume un poco más de recursos es el «PDC Emulator» se suelen separar en una máquina los que son a nivel de Bosque, y en otra los que son a nivel de Dominio
Si la máquina que tiene los FSMO no está en línea normalmente no sucede nada, salvo que justo se haga una operación que requiera los roles, crear usuarios no requiere ningún FSMO
Te dejo dos enlaces relativos al tema de qué funciones cumple cada uno de los «FSMO Roles»
Maestros de Operaciones (FSMO Roles) – Parte 1 | WindowServer
https://windowserver.wordpress.com/2011/05/10/maestros-de-operaciones-fsmo-roles-parte-1/
Maestros de Operaciones (FSMO Roles) – Parte 2 | WindowServer
https://windowserver.wordpress.com/2011/05/15/maestros-de-operaciones-fsmo-roles-parte-2/
Excelente!! tutorial despejo las dudas que tenia, Muchas Gracias
¡Me alegro Oscar! :)
Buenas Guillermo,
He configurado el segundo controlador de dominio y también salio perfecto, una consulta que querría hacer, sobre el laboratorio que estoy trabajando.
¿Tras la configuración inicial de los controladores de Dominio debería seguir con las configuraciones de los servers de DHCP, NAT y Exchange o seria mejor detenerme y configurar todo el DNS primero para que cuando instale el Exchange ya este todo preparado?
Gracias por todo
Un saludo,
Hola Mariano, siendo un laboratorio de prueba todo depende del objetivo que busques por lo que dependerá sobre qué servicios quieres practicar. Con Exchange no me meto :D
Guillermo muy buena la explicación, soy realmente nuevo en esto pero es muy interesante. Quería saber como crear el 2do servidor, ya que, cuando cambio la ip fija y quiero cambiar el nombre a DC2 no puedo ponerlo en workgroup, solo en el dominio. Entiendo que debería tener un segundo servidor antes de cambiarle el nombre pero no encuentro la manera de crearlo. Todo va relacionado a el dominio. Se que no es para soporte pero realmente estoy bloqueado con esto.
Muchas gracias
Hola Facundo, no comprendo bien la pregunta, porque esta segunda máquina es una recién instalada, que siempre queda en Grupo de Trabajo, siempre se le puede asignar la configuración IP necesaria, y ponerle el nombre adecuado
¿No te estarás complicando con el Sysprep.exe? que si es el caso anterior no se necesita
El segundo servidor tiene que crearse en un servidor fisico diferente? eso es lo que no termino de comprender. Puede ser Virtual el 2do servidor?.
En la explicación pones que hay que crear un 2do servidor, y luego cambiar el nombre. Lo que no logro comprender es como crearlo para poder cambiar la ip fija y el nombre. Tengo que crear uno virtual instalar el s.o ahi y crear uno nuevo ?. Perdon por las mil preguntas. Muchas gracias
Cuando se habla de «otro servidor» se supone que es una máquina diferente, pueden ser físicas o virtuales, es indistinto para la práctica, lo único a cumplir sí o sí, es que tengan conectividad de red
Buenas tarde, Un gusto saludarlo, fijate que tengo una duda, instale un segundo controlador de dominio y todo salio bien. para hacer pruebas apago el principal para ver que la replicacion sea 100% pero al momento de aparse el principal el secundario no tengo acceso a: usuarios y maquinas ni al Group Policy management, solo tengo acceso al DNS.
Cual puede ser la causa?
Gracias.
Primero que nada revisa que los todas las máquinas tengan configurado para usar como DNS a ambos. También revisa que la replicación se haya completado
Y si lo haces con los clientes en línea, debes esperar bastante o más fácil, reinícialos
Disculpa la pregunta, quiza para muchos sea obvio, pero para mi no lo es, ¿Cómo sé que al iniciar sesión desde mi cliente, éste está recibiendo el certificado distribuido? Podrás poner pantallas o explicar un poco más. Yo ya inicie sesión en una Pc del dominio y todo bien, pero no sé si está recibiendo los certificados. MIL GRACIAS
Hola Salomón, no tengo idea a qué certificado te refieres, no está relacionado para nada con la nota. Por omisión ni las máquinas ni los usuarios del Dominio reciben certificados
Hola Guillermo!
La delegacion en el dominio superior, significa que tu zona contoso.com, pasaria a ser delegada al DNS que se encargue de .com?, en el caso de habilitarlo, eso no daria error?
Saludos!
Al contrario, los DNS de «.com» delegan la resolución de nombres «loQueSea.contoso.com» a los DNSs de «contoso.com»
Ejemplo para Argentina, que usa «.ar» pero que luego emula en forma parecida al árbol de Internet. El dominio «.» delega al «.ar». El «.ar» delega a «com.ar» y este último delega a «loQueSea.com.ar»
Quizás esta nota te aclare más: DNS: Delegación de Dominios | WindowServer
https://windowserver.wordpress.com/2016/02/09/dns-delegacin-de-dominios/
Trackbacks
[…] esta nota llegamos hasta acá. En la próxima nota instalaremos un segundo Controlador de Dominio, por lo cual veremos la configuración de partida, […]
[…] esta serie de notas básicas, luego de la configuración hecha en la nota anterior “Windows Server 2012 (R2): Crear un Dominio – Instalación y Configuración del Segundo Controlador…” en esta nota veremos cómo, con la configuración adecuada, podemos tener tolerancia a fallas […]
[…] esta nota llegamos hasta acá. En la próxima nota instalaremos un segundo Controlador de Dominio, por lo cual veremos la configuración de partida, […]