Windows Server 2012 (R2): Crear un Dominio – Verificación de la Tolerancia a Fallas

Continuando esta serie de notas básicas, luego de la configuración hecha en la nota anterior “Windows Server 2012 (R2): Crear un Dominio – Instalación y Configuración del Segundo Controlador de Dominio” en esta nota veremos cómo, con la configuración adecuada, podemos tener tolerancia a fallas sobre los Controladores de Dominio

De la nota anterior habíamos dejado configurados dos Controladores de Dominio: DC1.ad.guillermod.com.ar y DC2.ad.guillermod.com.ar
Ambos Controladores de Dominio están configurados como Catálogo Global (“Global Catalog”), y también son servidores DNS

Para esta demostración, instalé y uní al Dominio una máquina cliente con Windows 8.1

Observemos primero la configuración de IP de cada uno de los tres equipos

DC1 tiene para usar como DNS preferido a sí mismo, y como alternativo a DC2

DC2 está configurado para usar como DNS preferido a sí mismo, y como alternativo a DC1

Y la máquina cliente CL1.ad.guillermod.com.ar tiene configurados para utilizar ambos servidores DNS, preferido a DC1 y alternativo a DC2

Para verificar que ambos son Catálogo Global (“Global Catalog”) podemos observarlo en “Active Directory Users and Computers”. No es la única forma es sólo que está abierta la consola. También se puede ver en “Active Directory Sites and Services”, propiedades de “NTDS Settings”

Además podemos ver que ambos están registrados en DNS como Controladores de Dominio de “ad.guillermod.com.ar”

Y que están también registrados como Catálogo Global

Para la demostración he creado una Unidad Organizativa (Test) donde he creado dos usuarios (en realidad con uno alcanza) llamados “User Uno” (U1), y “User Dos” (U2). Estos usuarios nunca han inciado sesión en ninguna máquina; de esta forma me aseguro que al no tener perfil creado en ninguna máquina inevitablemente se deba contactar a un Controlador de Dominio para su autenticación

Inciando sesión como “Administrator” del Dominio en CL1, y desde línea de comando ejecutando el comando “SET” puedo observar el valor de las variables de entorno
Principalmente me interesa “LOGONSERVER” pues me indica cuál es Controlador de Dominio que ha autenticado al usuario actual
Como en la configuración está como DNS preferido DC1 (192.168.1.201) éste es el actual “LOGONSERVER” (No he capturado la pantalla)

Llegado este momento procedo a apagar DC1, quedando sólo DC2 en línea, y trato de iniciar sesión en CL1 con “User Uno”

El hecho de utilizar una cuenta de usuario que nunca ha iniciado sesión en la máquina es para asegurarme que no tenga un perfil local, donde esté almacenada previamente su contraseña

Como CL1, no sabe ni se dio cuenta que DC1 no está en línea, lo tiene configurado como DNS preferido y la información está “cacheada”, intentará autenticarlo contra éste, con el consiguiente mensaje de error

Esto sucede porque CL1 abrió un canal seguro de comunicación con DC1, y esté último no está disponible. Por omisión, desde Windows 7, el cliente trata de verificar este canal seguro de comunicación cada 30 minutos, yo para no esperar tanto tiempo simplemente lo reiniciaré

Esperaba que al no contestar el DNS de DC1, inmediatamente CL1 intentaría con DC2, pero no fue así, tuve que reiniciar por segunda vez, para que usara DC2 (DNS alternativo)

Recién entonces la cuenta “User Uno” pudo ser autenticada, y podemos ver que LOGONSERVER ahora es DC2

Publico la nota, porque me ha sorprendido la necesidad de un segundo reinicio, esperaba que con el primero se solucionaría

Y algo más, no lo he mostrado, pero aún con uno de los Controladores de Dominio apagados, si quisieran crear objetos en Active Directory no tendrían ningún problema

 

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Jairo  On 09/12/2014 at 11:03

    Que tal Guillermo, y hay alguna manera de forzar asi sea por politicas GPO, que los PC clientes loguen de nuevo a su DC preferido cuando éste esté en linea nuevamente? Que las PC clientes no tengan que reiniciar, sino que al cabo de unos minutos u horas refesque el dominio las politicas de toda la organizacion y haga el cambio.. Saludos!

    • Guillermo Delprato  On 09/12/2014 at 12:06

      Hola Jairo, me haz puesto en una duda. Estoy totalmente seguro de haber leído el valor de 30 minutos por omisión, para buscar un “mejor” Controlador de Dominio, pero ahora no lo encuentro :(
      De todas formas hay un parámetro en las GPO que permite especificar este intervalo, pero por lo que leo lo mínimo es 1 hora
      Está en “Computer Configuration / Policies / Administrative Templates / System / Net Logon / DC Locator DNS Records / Force Rediscovery Interval”
      Por omisión son 12 horas, pero el mínimo es 1 hora (3600 seg)

  • Jairo  On 09/12/2014 at 11:22

    Hola de nuevo Guillermo, disculpa, para que haya tolerancia a fallas en cuanto a AD, solo es necesario tener 2 o mas DC que sean catalogo global y su servicio de DNS? Ya con eso puedo hacer por politicas que las PC clientes tengan por defecto el DNS preferido y alternativo y listo?? Solo 1 DC puede tener los roles de Maestro de operaciones y demás? Saludos!

    • Guillermo Delprato  On 09/12/2014 at 12:07

      Las condiciones son:
      – Dos Controladores de Dominio, como mínimo
      – Ambos Catálogo Global
      – Ambos con DNS
      – Que los clientes tengan configurado para usar como DNS a ambos

  • Alejandro  On 09/12/2014 at 14:46

    Hola Guillermo.Windows es así de misterioso.Como siempre , muy bueno y práctico con los ejemplos en el artículo, no así los que publica Microsoft que tiene la particularidad de dormirme en el primer parrafo.Saludos cordiales.

    • Guillermo Delprato  On 09/12/2014 at 17:01

      Hola Alejandro, me alegro no te duermas :)
      Son muy diferentes mis publicaciones a las de Microsoft, por varios motivos, desde la rigurosidad de tener que contemplar todos los públicos y opciones, aunque muchas veces incluyen enlaces a referencias que no tienen ninguna relación con el nivel de la nota
      Comparto el desagrado con respecto a los artículos de Microsoft, sobre todo últimamente. Y para comentarte sólo un caso: hace un tiempo leía una documentación sobre una beta de un producto, y un concepto que no viene al caso, no lo comprendía. Pensé que cuando saliera el producto actualizarían la documentación pero no. Luego encontré un artículo en uno de los blogs de gente de Microsoft, pero estaba “copy/paste”. Al final busqué el tema en un libro, y ¿adivina? el mismo “copy/paste” incomprensible, por lo menos para mí
      Y de las ayudas mejor ni hablar, ni siquiera la búsqueda funciona bien

  • coldfran  On 09/12/2014 at 23:52

    Hola Guillermo, buen día! yo lo hice con las configuraciones de la nota anterior (con las dns cruzadas en los DC1 y DC2), al inicio pensé que no me funcionaba, pero agregando mas usuarios, y haciendo mas pruebas ya me quedó claro :)

    • Guillermo Delprato  On 10/12/2014 at 07:01

      Me alegro coldran que te funcionara. Al estar cruzados los DNSs suele demorar más tiempo el arranque si ambos están apagados, y por eso para estas notas lo terminé configurando para que cada uno se utilice a sí mismo como preferido, y al otro como alternativo

  • cesar rojas  On 10/12/2014 at 10:12

    Hola Guillermo… como siempre cada tutorial es mejor que el otro… y sumamente practico y util.
    Queria sugerirte que evaluaras programar un pool de tutoriales relacionados a GPO, casos especificos como: Papel Tapiz, cambio de contraseña del administardor local de las maquinas, hacer mienbro a un usuario de un grupo local de las maquinas maquina (administradores, usuarios avanzados) y cualquier otra que sea de utilidad y casi un estandar.

    • Guillermo Delprato  On 10/12/2014 at 12:39

      Hola César, no creas que no he pensado lo que sugieres, pero al final luego de evaluarlo no me he decidido y te comento el motivo, hay muchísimas opciones, y cada organización tiene sus propias configuraciones, la cantidad de opciones sería enorme
      De todas formas alguans de las cosas que nombras las he hecho. Por ejemplo
      Soporte Usuario/Escritorio como Administrador Local | WindowServer:
      https://windowserver.wordpress.com/2011/02/26/soporte-usuarioescritorio-como-administrador-local/
      Cambiar la Contraseña de Usuario Local en Forma Remota | WindowServer:
      https://windowserver.wordpress.com/2011/02/26/cambiar-la-contrasea-de-usuario-local-en-forma-remota/
      Habilitar y Renombrar el Administrador Local Usando Group Policies (Directivas de Grupo) | WindowServer:
      https://windowserver.wordpress.com/2014/11/04/habilitar-y-renombrar-el-administrador-local-usando-group-policies-directivas-de-grupo/
      ¡Gracias por tus elogios! :)

      • coldfran  On 10/12/2014 at 13:03

        Me uno al pedido de César, ojalá se anime! si el problema es que cada organización es diferente y tiene sus propias necesidades, podría establecer al inicio cual es la infraestructura a la cual se aplicará y mencionar que es una configuración básica que cada uno puede modificar.

      • Guillermo Delprato  On 10/12/2014 at 15:45

        Hola coldfran, vale la misma respuesta que para César :)
        Hay organizaciones muy grandes, grandes, medianas y chicas, hay algunas con ambiente muy controlado, otras mediano, y otras donde el usuario tiene bastante libertad; hay otras donde los requerimientos de seguridad son muy altos, o altos, o medianos o bajos; y puedo seguir … :)
        Prueba las combinaciones entre todas las opciones a ver cuántas salen :D
        Lo importante es saber *cómo* se aplican las GPOs, el resto es sólo buscar la configuración que uno desea dentro de la GPO
        Hace casi 4 años escribí un artículo sobre cómo funcionan las GPOs, que sin embargo no ha tenido gran cantidad de visitantes: Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer:
        https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/
        Si entiendes eso, lo demás es sólo saber lo que se desea y buscar
        Y una ayuda más, ya que la GPO no tiene opción de búsqueda. En “Microsoft Downloads” busca y descarga “Group Policy Settings Reference” es una planilla de Excel, que sí permite búsquedas usando palabras clave. Ahí están todas las configuraciones posibles

  • José Flores  On 01/07/2015 at 13:22

    Guillermo tengo un par de consultas: la primera, hay alguna forma de saber cuantos usuarios están consumiendo los servicios del DC1 y el DC2?. La segunda, hay alguna forma de forzar que todos los usuarios solo consuman los recursos del DC1? (LOGONSERVER=\\DC01). Saludos!

    • Guillermo Delprato  On 01/07/2015 at 14:11

      Hola José, para lo primero realmente no sé :(
      Habría que investigar si hay alguna forma de poder contar los canales seguros de comunicación entre la máquina cliente y cada DC, pero no sé realmente cómo se podría hacer porque creo que eso se podría hacer solamente desde el cliente

      Para lo segundo forzar “forzadamente” creo que no como no sea apagando el DC. Hay dos alternativas pero sólo serviría para que use el preferido, y a falta de este vaya a un alternativo
      La primera opción sería creando subredes y sitios con lo cual siempre el cliente preferiría al DC del propio Site. Pero esto implicaría además tener por lo menos un Router que interconecte las redes
      Otra opción que quizás es más sencilla, si miras en las registraciones en el DNS de los registros SRV verás que hay dos parámetros: “Priority” y “Weight”, éstos determinan qué DC van a preferir los clientes
      Revisa el siguiente artículo Reducing the workload on the PDC emulator master: Active Directory
      https://technet.microsoft.com/en-us/library/cc787370(v=ws.10).aspx

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: