Windows Server 2012 (R2): Crear un Dominio – Instalación y Configuración del Segundo Controlador de Dominio

Continuando con el tema que comenzamos en la nota anterior (“Windows Server 2012 (R2) – Crear un Dominio – Instalación del Primer Controlador de Dominio”), en esta nota veremos cómo instalar un segundo Controlador de Dominio para el Dominio Active Directory existente

Específicamente veremos qué configuración necesitamos tener para obtener tolerancia a fallos, y otras que son por conveniencia

Recuerdo que de la nota anterior ya tenemos instalado y configurado el primer Controlador de Dominio “dc1.ad.guillermod.com.ar” con configuración IP 192.168.1.201/24 con el cual se ha creado el Dominio

Así que para continuar debemos tener instalado un segundo servidor. Atención a un detalle importante: este segundo servidor no puede ser un clonado del primero, salvo que se haya ejeuctado SYSPREP con los modificadores adecuados, ya que de otra forma el sistema no permitirá promover dos Controladores de Dominio con el mismo SID

Igual que en el caso anterior, lo primero que debemos configurar son los parámetros de IP. En mi caso le he puesto 192.168.1.202/24, y muy importante que tenga configurado para usar como DNS al otro Controlador de Dominio ya instalado; esta es la única forma para que pueda resolver los nombres necesarios del Dominio Active Directory

El siguiente paso es colocarle el nombre adecuado, en mi caso “DC2” y reinciar si es necesario. Pero observen que lo he dejado en grupo de trabajo, sin unirlo al Dominio. Existe el concepto generalizado que para promoverlo tiene que estar previamente unido al Dominio, y esto no es necesario

Igual que en el caso anterior debemos instalar la funcionalidad “Active Directory Domain Services”, que no demostraré ya que es exactamente igual que lo que hicimos en DC1. Sólo mostraré la parte de promoción como Controlador de Dominio

Debemos seleccionar primero la opción de instalar un Controlador de Dominio adicional en un Dominio existente, y luego conviene ingresar una cuenta que tenga privilegios, por los menos de Domain Admin del Dominio

Al suministrar las credenciales correspondientes, observen que ha completado automáticamente el nombre del Dominio al que deseamos agregar a este Controlador de Dominio

Es importante, si queremos tener tolerancia a fallos sobre el servicio, que este Controlador de Dominio tenga instalado el servicio DNS y sea Catálogo Global, no se olviden de controlar que ambas opciones estén marcadas
Y además ingresar la correspondiente contraseña de ADRM de este Controlador de Dominio. Si hay dudas del motivo consulte la nota anterior ;-)

Por los motivos que explicamos en la nota anterior, hay que desmarcar que trate de ejecutar la delegación en el DNS superior

No hay mucho para seleccionar en este caso sobre desde cuál Controlador de Dominio replicará, ya que tenemos solamente uno

Y seguimos el asistente, tal cual el caso anterior, y como muestran las siguientes pantallas

Esperemos que reincie totalmente, por lo menos que llegue hasta el cuadro de inicio de sesión, y vamos a DC1 para ver si todo ha sucedido correctamente

Una de las primeras cosas que podemos hacer es abrir “Active Directory Users and Computers” y ver que se ha creado la cuenta de máquina correspondiente en la Unidad Organizativa “Domain Controllers”

Otra forma de verificar es en la consola de DNS verificar que se ha creado el correspondiente registro A (“Host”)

Los registros en la zona “_msdcs” pueden demorar un poquito de tiempo, pues dichas registraciones las hace el servicio NETLOGON, pero es importante verificar que estén presentes. Recordar que las consolas MSC no refrescan automáticamente, debemos pulsar F5

Y una configuración más a revisar, y muy importante para la replicación, es usar el “Active Directory Sites and Services”. A esta altura ya seguramente aparecerán en el “Default-First-Site-Name” ambos Controladores de Dominio
Aunque ya seguramente podremos observar que se ha creado el objeto replicación desde DC2 a DC1, seguramente aún no está creado el que replica desde DC1 hacia DC2

Tener paciencia … ;-) que si hicimos todo bien se creará en unos minutos, a veces se toma hasta 20, así que es mejor dejar todo sin tocar, y cada tanto hacer un refresco de pantalla hasta que aparezca el nuevo objeto conexión que replica desde DC1 hacia DC2

Y por supuesto tiene que estar también el que replica desde DC2 hacia DC1

Si queremos estar aún más seguros, y que la replicación funcione correctamente, podemos forzarla con botón derecho sobre cada objeto conexión y seleccionando para que replique ya (“Replicate now”)

Primero desde DC2 hacia DC1

Y luego desde DC1 hacia DC2

Como ambos Controladores de Dominio, ya replican entre sí,  tienen el servicio DNS, y como configuramos durante los asistentes son Catálogo Global, para tener tolerancia a fallos, tanto los Controladores de Dominio, como todas las máquinas del Dominio deben tener configurados a ambos como servidores DNS

No proseguir con lo siguiente hasta no asegurarse que se han creado ambos objetos conexión, y que la replicación se hace exitosamente

Hay muy largas discusiones, inclusive “entre gente que sabe”, sobre si cada Controlador de Dominio debe usar como preferido al otro, y como alternativo a sí mismo, o al revés, como preferido a sí mismo y como alternativo al otro
Funciona de ambas formas, pero yo sigo con la costumbre de los viejos Windows Server 2000 donde obligatoriamente había que “cruzarlos”. Es decir que usen como preferido al otro, y como alternativo a sí mismo

Otro tema que se habla mucho en Internet, es que hay que reemplazar la configuración por omisión que toma como dirección propia de DNS a la dirección de “loopback” (127.0.0.1), o no
Personalmente no he tenido problemas con dejar 127.0.0.1 pero la mayoría prefiere reemplazar por el valor correspondiente a la dirección IP real

Entonces para “cruzarlos” en DC1 debemos poner como preferido a DC2

Y en DC2 poner como preferido a DC1

 

Bueno, llegamos hasta acá. Si hay pedidos veré de continuar estas notas agregando un Dominio al Bosque existente, o aún un nuevo Árbol

También, y a una sugerencia muy buena que he recibido, aprovecharé la infraestructura para mostrar la tolerancia a fallas, maestros de operaciones, procedimientos ante fallos, etc.

 

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • coldfran  On 03/12/2014 at 02:57

    Me parece que las 2 últimas imágenes(sobre cruzar el DNS) no van de acuerdo con lo mencionado.

    • Guillermo Delprato  On 03/12/2014 at 06:49

      Hola coldfran, tienes razón, las últimas dos imágenes corresponden a lo que queda por omisión, y donde hay que hacer los cambios si uno quiere tanto “cruzarlos” como el cambio de la dirección de “loopback” (127.0.0.)
      Gracias por el aviso

  • coldfran  On 03/12/2014 at 18:01

    Hola, buen día! para qué sirve la la zona “_msdcs”, la verdad nunca la he tenido en cuenta :(

    • Guillermo Delprato  On 03/12/2014 at 18:32

      Buenas tardes por acá coldfran. Son ahora las 6 de la tarde :)
      La zona que comienza con “_msdcs” es la “zona mágica” para Active Directory :)
      Si miras el contenido verás que la mayoría de los registros son de tipo SRV. Este tipo de registros sirven para encontrar quién provee determinado servicio en la red
      Luego revisando un poco verás que por ejemplo hay registros de Kerberos (quien provee el servicio de autenticación); verás también que hay registros de LDAP [Lightweight Directory Access Protocol] que son los controladores de Dominio
      Verás también que hay carpetas por cada Site creado en la red, otra con GC (Global Catalo), PDC (Emulador Primary Domain Controller), y varias más
      Un ejemplo de uso, cuando un cliente pregunta al DNS: “Dame la lista de los Controladores de Dominio de X-Dominio en ‘mi sitio'” para poder hacer una autenticación en un Controlador de Dominio local (en el mismo sitio)
      Y no sigo, porque me vas a hacer escrbir una nota nueva como comentario :-)
      Sólo un detalle más, no contiene lo mismo la zona “_msdcs.dominio.raiz” que la “_msdcs.sub.dominio.raiz” Por ejemplo, esta última no contiene la carpeta GC

      • coldfran  On 03/12/2014 at 20:20

        Hola, soy de Perú, así que creo que tenemos 2 horas de diferencia :)
        ojalá tenga tiempo y pueda hacer una nota completa sobre esta zona que no encuentro información digerible, será porque me faltan mas fundamentos :)

      • Guillermo Delprato  On 04/12/2014 at 08:19

        Hola coldfran, tendré en cuenta el tema de la nota
        Pero insisto, trata de investigar un poco, y verás que cada servicio de Active Directory está en una “carpeta” que por su nombre indica o da por lo menos una pista del tipo de pregunta que responderá
        Por ejemplo, lo que está dentro GC y nombre del Site, es para responder al que pregunte justamente eso

  • Jesús Rodríguez  On 03/12/2014 at 18:43

    Hola, me ha gustado mucho la entrada pero tengo curiosidad por el final, yo hago la configuración contraria, es decir loopback de primero y el cruzado de segundo. Ya sé que el tráfico DNS no es gran cosa pero prefiero así, a veces están en sites distintos y además si bajas uno por mantenimiento no está intentando todo el rato ir al otro a consultar… y lo de loopback pues no sé, si por ejemplo tienes la red tirada sigues teniendo resolución dns por ejemplo.

    ¿Por qué motivos usas tú ese sistema?

    • Guillermo Delprato  On 03/12/2014 at 19:05

      Hola Jesús, justamente por lo que nombras es que comienzan las discusiones. Además es para tener en cuenta si están en el mismo o diferentes “Sites”, si se reinician individualmente, o si en algún momento hay que reiniciar todos simultáneamente
      Por eso puse en la nota, que hay discusión con el tema. En realidad es que no hay una “mejor configuración”, o en realidad sí hay, pero depende totalmente del ambiente
      Funciona de ambas formas a partir de W2003, no como sucedía ocn W2000, si la configuración no es la adecuada para tu configuración te das cuenta cuando se hace un reinicio

  • Edwar Sibrian  On 13/04/2015 at 19:14

    Hola he visto varios post de configuración de windows server en tu blog muy buenos, estuve navegando y no he podido encontrar un tema que me ayude con un problema de configuración; tengo dos servidores con widows server 2012 cada uno con tres tarjetas de red cada uno está en un área diferente en el mismo edificio y dónde está cada servidor hay una conexión isp de proveedores distintos, lo que quiero hacer es tener dos lan local bajo el mismo dominio y cada una utilice la conexión isp que tiene cerca cómo puedo hacer esta configuración con windows, soy nuevo en esto así que tengo mis dudas. Actualmente sólo he configurado un servidor con su controlador de dominio, dns y dhcp para un área usando el rango de ip 10.1.3; cómo puedo hacer para configurar la otra red en el mismo dominio y creando otro ámbito dhcp.

    • Guillermo Delprato  On 14/04/2015 at 08:49

      Hola Edwar, este no es un sitio de soporte ni puedo hacer diseño de redes a través de estos comentarios ya que se necesitarían muchos datos y la extensión no da para eso. Estos comentarios están para aclaraciones o preguntas sobre la nota. De todas formas trataré de ayudarte un poco con el tema, seguiré el orden en el que comentas, aunque no es el orden en que se deben resolver

      – No es bueno, y trae problemas que un Controlador de Dominio tenga más de una dirección IP, salvo que hagas un “team” con las placas
      – Para tener dos ISPs se requiere que cada cliente tenga configurado su correspondiente “Default Gateway” diferente; esto se hace generalmente con 2 DHCPs diferentes, o trabajo específico en la configuración del DHCP por ejemplo usando clases. Otra opción en general usada, es un “Router” con doble WAN donde se configura prioridad, balance, tolerancia a fallas, etc.
      – Tener 2 LAN implica tener internamanete un “Router” que las interconecte a nivel IP ¿estás seguro que es lo que necesitas? esto normalmente hay que justificarlo pues dará más trabajo de configuración y mantenimiento

      – Otro tema muy importante que no nombras pero es fundamental definir bien desde el principio es si vas a tener un único Dominio o más, el nombre, no confundirlo con el de prescencia en Internet, etc. etc.

      Si puedo darte un consejo, primero piensa en los objetivos, luego en cómo se alcanzan. Por nombrarte sólo uno: en los objetivos no puede estar “tener 2 LAN” eso es sólo una consecuencia de un objetivo :)

      • Edwar Sibrian  On 15/04/2015 at 18:27

        Hola Guillermo gracias por las sugerencias, quiero hacerte una consulta respecto al tema, he procedido a crear e instalar el segundo controlador de dominio pero en las opciones de controlador de dominio tú sugieres que se marquen las primeras dos (Servidor de sistema de nombres de dominio (DNS) y Catálogo Glogal (GC)) pero por la primera opción me sale en gris al igual como cuando se hace la instalación del primer controlador de dominio.
        Me da el mensaje que no se puede instalar el DNS en este controlador de dominio porque este dominio no hospeda ningún DNS; cómo soluciono este problema.

      • Guillermo Delprato  On 15/04/2015 at 19:12

        Hola Edwar, revisa lo siguiente:
        – Que el nuevo DC tenga configuración IP manual, no por DHCP
        – Que tenga configurado como DNS *sólo* al otro DC
        – Que cuando pongas el nombre del Dominio, utilices el nombre DNS, esto es, “nombre.sufijo”. Y no “nombre”

  • Andy Brown  On 14/04/2015 at 19:42

    Buenas Guillermo… Se podria clonar la VM y cambiarle el SID con el software NEWSID???
    Gracias y un Saludo

  • Edwar Sibrian  On 15/04/2015 at 19:49

    Gracias Guillermo el problema era con el nombre de Dominio por defecto te pone el nombre NetBIOS al poner el nombre completo ya funciona.

  • matiasretamozo  On 22/04/2015 at 19:13

    Buenas,, UNa consulta, teniendo como dns primario un w 2012 r2,
    ¿es posible poner un windows 2003 como servidor de dominio secundario? o existen incompatibildades?
    Gracias

    • Guillermo Delprato  On 23/04/2015 at 07:14

      Hola matiasretamozo, lo importante es si el W2012R2 es sólo DNS o si además de Controlador de Dominio

      Si es sólo DNS no debería haber ningún problema. Habría que revisar sólo qué tipo de actualizaciones están permitidas (dinámicas o no, seguras o no)

      Si en cambio el W2012R2 es DNS y Controlador de Dominio, el tema pasaría por el nivel funcional del Dominio. En este caso necesariamente el nivel funcional del Dominio debería ser no superior a W2003
      Si el nivel del dominio fuera W2012 o W2012R2, entonces no podrás agregar Controladores de Dominio inferiores a este nivel

  • jonatan  On 06/05/2015 at 13:31

    Hola mira yo necesitaria saber como dejar el server para una lan de oficina, actualmente realize todos los pasos hasta cuando agregas el 2do servidor, en este caso no quiero tener 2 servidores la idea es dejar uno solo, con finalidad de compartir la impresora y los archivos de datos, actualmente hay un server configurado con vpn y demas pero lo quiero apagar y sacar cuando tenga el nuevo en funcion.

    • Guillermo Delprato  On 06/05/2015 at 15:36

      Hola jonatan, primero aclararte que este no es un blog de soporte y menos de consultoría, sólo oriento cuando puedo
      Si tienes un único Controlador de Dominio no tienes tolerancia a fallas, piensa solamente qué pasaría si esa máquina dejara de funcionar, y no va a valer que lo reinstales con los mismo nombres, así que piensa bien en eso
      No es lo mejor, pero se pueden compartir archivos e impresoras en un Controlador de Dominio, lo que sí no es conveniente para nada, y te puede traer problemas es que sea servidor VPN

  • Jose Villareal  On 28/08/2015 at 13:50

    Muy buenas tardes disculpa la pregunta muy bueno tus tutoriales son excelentes pero una pregunta como hago para acceder a los dns locales desde el internet ? me podrias ayudar con un link de documentacion o temas relacionados para poder consultar ?

    Gracias…

    • Guillermo Delprato  On 28/08/2015 at 17:24

      Hola Jose, nunca se tiene que poder acceder desde Internet a los DNSs internos, es un tema fundamental de seguridad

      ¿O lo que me preguntas es al revés? para que los DNSs internos puedan acceder a DNSs de Internet
      Esto se hace configurando en las propiedades del servidor DNS, en la ficha Reenviadores a DNSs por ejemplo del ISP o los de Google si quieres

  • Iván  On 18/01/2016 at 10:30

    Felicidades por el post. Muy bueno.
    Tengo una consulta. Imaginate que hemos hecho lo que dices. Y que después, hemos eliminado DC1, de controlador del dominio.
    Por qué ha desaparecido el dominio en DC2 y no podemos ver nada? Nos lo hemos cargado todo?

    • Guillermo Delprato  On 18/01/2016 at 11:23

      Hola Iván, gracias por tu comentario
      Primero quisiera saber qué es exactamente “desapareció el Dominio” ¿qué error da cuando quieres accederlo?
      Nunca hay que eliminar, nunca, nunca, primero se apaga durante un tiempo, se controla que todo siga funcionando, y recién luego se hace el proceso de des-promoción para que no queden rastros que generan errores
      Ahora a la pregunta, aunque no interpreto que “desaparció” ¿le diste tiempo a que replicara la información? ¿replicó en algún momento? ¿cada DC tenía como DNS a ambos?

      • Iván  On 19/01/2016 at 13:05

        Guillermo, ha sido peor el remedio que la enfermedad. Creíamos que sí había replicado, porque el DC1 se reinicia cada hora y cuando reiniciaba veíamos dominio en DC2. Por otro lado, cada DC tenía como DNS al otro.
        Bueno, lo que hicimos es volcar un backup(donde DC2 no era controlador dominio) del AD en DC1. Ahora DC2, no ve el dominio del cual es controlador del dominio y salta el mensaje “The target principal name is incorrect”. Estoy probando mil manuales, pero no ayuda.
        Muchas gracias de nuevo, por tu ayuda y paciencia.

      • Guillermo Delprato  On 19/01/2016 at 13:51

        Hola Iván, es evidente que no haz seguido la nota y específicamente las recomendaciones para verificar la replicación
        Sin haber replicado no tiene sentido recuperar de un backup, y menos aún de uno en otro porque en ese caso quedan los SIDs duplicados
        Entiendo que es un ambiente de pruebas, así que lo recomendable es que comiences desde el principio, y oberva en todas las frases de la nota la palabra “verificar que” :)

  • Roberto  On 18/01/2016 at 13:22

    Buenos días Guillermo, que tal estas, resulta que tengo un controlador de dominio ya configurado y con ciertos roles, lo que pretendo es evitar lo siguiente.
    Imagínate que una persona llegue a mi equipo de dominio e ingrese un programa como el Hirens y trate de quebrar la contraseña de mi dominio eso sería catastrófico.
    Lo que pretendo es que cuando una personas mal intencionadas ejecuten el programa Hirens en mi servidor, la contraseña no cambie, para tal razón escuche de algo que se llama recursividad de contraseña en controladores de dominio, pero no sé cómo se hace.
    Seria de mucha ayuda que tú como master me brindes de tu grandiosa ayudar y sobre todos con tus conocimientos amplios, te dejo mi correo personal, en el dado caso que sepas algo.
    ab@hc

    • Guillermo Delprato  On 18/01/2016 at 16:07

      Hola Roberto, gracias por tu comentario.
      Lo primero cuando se comienza a hablar de seguridad, es “Seguridad Física”. Un servidor no puede de ninguna forma estar en un lugar físico donde “alguien” tenga acceso al mismo
      Los servidores deben estar en un ambiente seguro y controlado, piensa solamente que por lo que comentas hasta podrían llevarse el servidor, o agregarle hardware malicioso. Por ejemplo, hace ya muchos años que existe un dispositivo que se intercala en la conexión del teclado, y es en realidad una memoria que guarda todo o que se ha tecleado
      Primero seguridad física, luego puedes todo lo demás
      Eliminé tu dirección de correo, porque estos comentarios son públicos, y si aparece así te tapará el spam. Además mi ayuda es sólo para el tema de la nota y oriento cuando puedo
      Borré también el comentario duplicado

  • victor  On 08/02/2016 at 13:07

    Buenas! Genial manual…lo he seguido paso a paso…pero me he atascado. Estoy haciendo un nuevo dominio para crear nuevas cuentas. A la hora de configurar el controlador, en dns primaria si pongo 127.0.0.1 el servidor sale a Internet sin problemas. He metido ya un equipo de prueba, y dns primaria he probado con 127.0.0.1 y con la dirección ip del servidor controlador de dominio pero no navega… se queda resolviendo host… si uso las dns de google si navega…pero en otro caso no…¿qué estoy haciendo mal? mil gracias

    • Guillermo Delprato  On 08/02/2016 at 13:46

      Hola Victor, me alegro te sirva la nota ¡Gracias por tu comentario!
      Primero una aclaración importante, no debes confundir “Dominio” y “Controlador de Dominio”. Esta nota es como agregar un segundo Controlador de Dominio, a un Dominio ya existente
      Crear un nuevo Dominio es otro procedimiento diferente
      La dirección 127.0.0.1 es la propia dirección IP, sea esta cual fuera. Es lo llamado “localhost”
      Que el Controlador de Dominio tenga esta dirección como servidor DNS es correcto. Pero cualquier otra máquina que quieras de alguna forma agregar a tu Active Directory, tiene que tener configurado para usar como DNS, la dirección IP real del Controlador de Dominio

      Para que resuelva nombres de Internet, lo normal es en la consola DNS, propiedades del servidor, configurar en la ficha “Reenviadores” para que lo que no pueda resolver se lo pregunte a un servidor externo (el del ISP, los de Google, o el que quieras que sepa que resuelve rápido y bien

      • victor  On 09/02/2016 at 14:31

        Mil gracias. He hablado rápido y mal y además usando la página que no era… te pido perdón, pero estaba navegando a ver si daba con la solución que me tiene pillado. Estoy en la fase anterior… en la de crear un controlador de dominio. En principio, esto está hecho bien. La DNS primaria es la 127.0.0.1, navega y sale a la red sin problemas. Pero, al rato, deja de navegar…sale la exclamación en conexiones y se queda sin funcionar. Si vuelvo a configurar las dns, pongo las de google y vuelvo a cambiarlas. Funciona…

        Lo que me tiene atascado es otra máquina que estoy agregando al active directory. Está dentro, sin problema, y aparece registrado en el servidor de dns (zonas de búsqueda directa) pero esa máquina no navega y tiene configurada como DNS la IP del Servidor.

        En la ficha de reenviadores, le he puesto la de google… desde la maquina si hace tracert pero sigue sin navegar.

        Hay un error que me mosquea, de todas formas: “el servidor dns no pudo abrir el socket para la dirección 10.0.0.215”. Aunque es cierto que ese error me dio a las 8 de la mañana.

        Mil gracias de antemano

      • Guillermo Delprato  On 09/02/2016 at 18:50

        Hola Victor, si a cualquier máquina que forma parte de un Dominio AD le pones, aunque sea como alternativo un servidor DNS que no sea el que resuelve tu propoio Dominio AD, vas a tener problemas … :)
        Para que resuelva Internet, en la consola de DNS, propiedades del servidor, ficha Reenviadores, y ahí le configuras los de Google
        Dices que sale la exclamación en conexiones, no comprendo dónde ¿en el icono en la barra de tareas o en la consola DNS?
        La forma que usa Windows para detectar si tiene conectividad a Internet, está explicada en esta nota: Cómo Detecta Windows Conectividad a Internet | WindowServer:
        https://windowserver.wordpress.com/2011/10/22/cmo-detecta-windows-conectividad-a-internet/
        Para no tener problemas con conectarse a Internet asegúrate la configuración de DNS, como puse antes, y que la Puerta de Enlace sea la dirección interna del Router. Los clientes no deben apuntar al Router como DNS, sólo Puerta de Enlace
        A esa máquina que no navega, que apunte como DNS al Controlador de Dominio, salvo que sea también Controlador de Dominio
        Y con respecto a esa dirección IP 10.0.0.215 como no seas tú que la asignaste a la máquina, habrá que acudir a un adivino :)

        Victor, no puedo ni quiero usar estos comentarios para soporte, oriento cuando puedo, pero no son para eso. Si tienes más dudas puedes acudir a un foro de soporte, por ejemplo los de Microsoft Technet en https://social.technet.microsoft.com/Forums/es-ES/home
        Yo respondo también en ese foro :)

  • Sixto Plasencia  On 10/04/2016 at 00:06

    Hola, trabajo con win 2012 std y win2008 std, quiero promover el 2012 para que sea dc principal, ya están todos los roles trasladados al 2012, pero el 2008 sigue como principal, cuando trato de despromover el 2008, sale un mensaje que no puede encontrar un controlador en el dominio. Que puede estar faltando.

    • Guillermo Delprato  On 11/04/2016 at 09:03

      Hola Sixto, seguramente es un problema de DNS que no está correctamente configurado. Asegúrate que el “viejo DC”, esté usando como DNS al “nuevo DC”. Y que el “nuevo DC” esté configurado para usar como DNS a sí mismo. Que no aparezca otro DNS y menos externo
      Por otro lado, antes de despromoverlo, mantenlo apagado un tiempo para asegurarte que todo siga trabajando normalmente, ya que una vez que lo despromueves no habrá forma de arreglar problemas que dependan de él

  • Jesús  On 20/04/2016 at 12:37

    Hola Guillermo. Primero que todo, muy buenos todos tus manuales. Gracias por tu trabajo.
    Mi problema es el siguiente: Al agregar el segundo controlador de dominio, me aparecen estos dos errores, alternativamente. El primero “Error de comprobación de replica. No se pudo establecer contacto con un controlador de dominio de Active Directory para el dominio “nombre.sufijo”.” y el segundo “No se pudo iniciar sesión en el dominio con la credencial especificada. Proporcione una credencial válida e intentelo de nuevo.”.
    Lo he intentado unido, y sin estar unido, al dominio, siempre como Administrador. El DNS de la tarjeta de red es la IP del controlador principal,… Los dos son Windows Server 2012 R2. No se que esta pasando.

    Gracias por tu atención.

    • Guillermo Delprato  On 20/04/2016 at 13:14

      Hola Jesús ¿el primer Controlador de Dominio tiene una única dirección IP o más de una?
      Para poder promover un Controlador de Dominio adicional, lo mismo que para unir máquinas a un Dominio AD, hacen falta dos condiciones:
      – Que tengas conectividad IP usando direcciones IP. Esto informa conectividad
      – Que se pueda resolver los nombres DNS del Dominio. NSLOOKUP
      Con estas dos condiciones ya no debería haber problema

      Quizás una pregunta ¿haz clonado una instalación? ¿le haz cambiado el SID? (SYSPREP)

      • Jesús  On 21/04/2016 at 06:44

        Hola Guillermo. Has acertado. Tenia configuradas 2 de tarjetas de red, (una para la red y otra para el nas, en rangos diferentes) y aunque tenia desmarcado el registrar en DNS y deshabilitado netbios para la red nas, el DC la registraba igualmente. Me he pasado de listo al querer saltarme la norma de una sola interface para el controlador. :).
        Ya he creado un Team de las NIC y todo a funcionar perfectamente.
        Muchas gracias por tu pronta y acertada respuesta.

      • Guillermo Delprato  On 21/04/2016 at 07:05

        Es así Jesús, una máquina con DNS registra todas sus direcciones IP, aunque le digas que no. Es un problema

  • Eddy Salazar Galindo  On 27/04/2016 at 14:04

    hola amigo, te escribo de guatemala. Estamos haciendo un proyecto de la univesidad. tenemos que hacer un servidor DHCP. estamos trabajando con VMware y con vsphere client. instalamos el server 2012 y luego empezamos a hacer la configuración del servidor, el problema es que al conectar una maquina no nos da la ip que debería dar el servidor DHCP. me podrías explicar como puedo verificar que mi maquina está adquiriendo un IP asignada por el servidor DHCP… ? estoy a la espera de tu respuesta, Gracias.

    • Guillermo Delprato  On 27/04/2016 at 14:50

      Hola Eddy Salazar Galindo, estos son comentarios sobre la nota y oriento cuando puedo y la pregunta trata sobre el tema de la nota
      Deberías preguntar en un foro de soporte de VMware

  • federicodeluca  On 24/06/2016 at 11:40

    Guillermo, Buenas tardes. ¿Cómo estás? Llevo un tiempo sin molestarte así que volví para no perder la práctica, jaj.
    Cómo bien detallás he encontrado varias opiniones encontradas con respecto a si cruzar o no los DNS al tener dos controladores de dominio.
    Si se cruzan ¿esto no genera un tráfico innecesario entre los controladores?

    Por ejemplo si hago una consulta a un sitio web desde un equipo “CL1” con DNS primario la IP de DC01 y DNS secundario la IP de DC02: esto hace que la consulta se haga de la siguiente forma: “CL1 –> DC01 –> DC02 –> WAN” o DC01 la resuelve salvo que esté ocupado y en ese caso lo deriva a DC02?

    • Guillermo Delprato  On 24/06/2016 at 12:59

      Hola Federico, ninguna molestia :)
      El tema de tener los DNS “cruzados” es algo que se remonta a W2000. Cuando recién salió, si no se hacía, no replicaban
      A partir de no me acuerdo qué SP, ya se solucionó
      El tráfico que genera un DC registrándose con otro, es totalmente despreciable. Sólo la verificación de si hay cambios para replicar ya produce mucho más
      Ahora con respecto a la resolución de nombres, no, no funciona así como dices. Cuando un cliente le pregunta al DNS que tenga configurado, si este puede resolver locamente, ya responde. Y si no puede resolver usa los Reenviadores, que son DNSs externos.
      Nunca un DNS que es autoridad para una zona, puede reenviar un pedido de resolución de la propia zona; responde con “la respuesta” o “no existe”, pero no consulta a otro
      Para nombres de Internet, como no es autoridad (no tiene localmente la zona), si no tiene la información “cacheada” reenvía el pedido de resolución a los Reenviadores que tenga configurados
      Siempre va a ser: CL1 -> DC1 -> Reenviadores si no pudiera resolver localmente

      • federicodeluca  On 27/06/2016 at 12:38

        Perfecto Guillermo, muchas gracias por tu tiempo y aclarar mis dudas!

  • Ivan Alejandro Zura  On 28/06/2016 at 19:04

    Buenas, el tema es que yo realice estos pasos en maquinas virtuales, cuyos rangos no tienen acceso a la red en la que estan las computadoras fisicas, ej: los servers estan en el rango 192.168.2.1 y las compuradas en el rango 192.168.1.1, como puedo hacer para vincular los rangos ?

    • Guillermo Delprato  On 28/06/2016 at 19:13

      Hola Ivan, la única forma de intercomunicar dos redes IP es a través de un Router
      En una máquina separada, con una interfaz de red en cada red, puedes configurarlo con Acceso Remoto, y siguiendo el asistente de enrutamiento LAN

      • Ivan Alejandro Zura  On 28/06/2016 at 19:37

        Logre hacer que los servidores vean a las computadoras mediante ping, pero no logre que las computadoras vean a los servidores. El tema es asi, el equipo que contiene los virtuales esta dentro de la misma red que las computadoras (192.168.1.1) pero los virtuales (VMware) tienen asignado el rango 192.168.2.1 en su adaptador virtual. la IP del equipo donde tengo los virtuales es 192.168.1.100 y posee los 2 adaptadores. Ej: desde el servidor 192.168.2.3 puedo hacer ping a la computadora 192.168.1.104, pero desde esa computadora no puedo hacer ping a la 192.168.2.3.

      • Guillermo Delprato  On 29/06/2016 at 07:48

        Hola Ivan, ya haz dado un dato fundamental: VMware :) Supongo que Workstation
        Todo se puede hacer mucho más sencillo, no necesitas que el host tenga dos adaptadores de red, esa configuración complica la configuración
        En VMware tienes una red “Host Only” y eso genera un adaptador virtual en el host (VMnet1). Además de “NAT” (VMnet8)
        Te comento cómo lo hago yo en esos casos. Conecto todas las virtuales a VMNet2 (aislada), y luego una máquina configurada como Router, con dos interfaces de red, una en VMNet2, y otra en VMNet1 (“Bridging”). En esta máquina configuro Routing
        Todo lo anterior con una única placa de red en el host. Debes asegurarte que la red “Bridging” (VMNet09) esté conectada a la placa de red correcta del host
        Si de una lado puedes hacer PING a otro, pero no a la inversa, es porque en lugar de Routing haz configurado NAT. Este último es unidireccional
        Por supuesto todas las virtuales tienen que tener como Puerta de Enlace la máquina que hace Routing, y además las máquinas de la red tienen que tener una entrada en la tabla de enrutamiento informando que para llegar a la red de las virtuales se lo tienen que enviar a la máquina que hace Routing, incluyendo al Router que conecta a Internet si quieres que estas virtuales tengan conexión a Internet
        Por último, estos son comentarios sobre la nota, no es un foro de soporte, si tienes dudas en la configuración de redes de VMware por favor acude a un foro de soporte del mismo

  • jayro moreno  On 19/10/2016 at 14:18

    Hola, todos sabemos que el DC1 tendria todos los roles FSMO, pero que roles FSMO deberia tener el DC2?, en caso de que falle el DC1 seria logico que DC2 mantuviera los servicios de directorio y dns trabajando, poder crear usuarios, etc…, para eso necesitaria los roles FSMO, me podria alguien aclarar esa duda?

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: