Continuando esta serie de notas básicas, luego de la configuración hecha en la nota anterior “Windows Server 2012 (R2): Crear un Dominio – Instalación y Configuración del Segundo Controlador de Dominio” en esta nota veremos cómo, con la configuración adecuada, podemos tener tolerancia a fallas sobre los Controladores de Dominio
De la nota anterior habíamos dejado configurados dos Controladores de Dominio: DC1.ad.guillermod.com.ar y DC2.ad.guillermod.com.ar
Ambos Controladores de Dominio están configurados como Catálogo Global (“Global Catalog”), y también son servidores DNS
Para esta demostración, instalé y uní al Dominio una máquina cliente con Windows 8.1
Observemos primero la configuración de IP de cada uno de los tres equipos
DC1 tiene para usar como DNS preferido a sí mismo, y como alternativo a DC2
DC2 está configurado para usar como DNS preferido a sí mismo, y como alternativo a DC1
Y la máquina cliente CL1.ad.guillermod.com.ar tiene configurados para utilizar ambos servidores DNS, preferido a DC1 y alternativo a DC2
Para verificar que ambos son Catálogo Global (“Global Catalog”) podemos observarlo en “Active Directory Users and Computers”. No es la única forma es sólo que está abierta la consola. También se puede ver en «Active Directory Sites and Services», propiedades de «NTDS Settings»
Además podemos ver que ambos están registrados en DNS como Controladores de Dominio de “ad.guillermod.com.ar”
Y que están también registrados como Catálogo Global
Para la demostración he creado una Unidad Organizativa (Test) donde he creado dos usuarios (en realidad con uno alcanza) llamados “User Uno” (U1), y “User Dos” (U2). Estos usuarios nunca han inciado sesión en ninguna máquina; de esta forma me aseguro que al no tener perfil creado en ninguna máquina inevitablemente se deba contactar a un Controlador de Dominio para su autenticación
Inciando sesión como “Administrator” del Dominio en CL1, y desde línea de comando ejecutando el comando “SET” puedo observar el valor de las variables de entorno
Principalmente me interesa “LOGONSERVER” pues me indica cuál es Controlador de Dominio que ha autenticado al usuario actual
Como en la configuración está como DNS preferido DC1 (192.168.1.201) éste es el actual “LOGONSERVER” (No he capturado la pantalla)
Llegado este momento procedo a apagar DC1, quedando sólo DC2 en línea, y trato de iniciar sesión en CL1 con “User Uno”
El hecho de utilizar una cuenta de usuario que nunca ha iniciado sesión en la máquina es para asegurarme que no tenga un perfil local, donde esté almacenada previamente su contraseña
Como CL1, no sabe ni se dio cuenta que DC1 no está en línea, lo tiene configurado como DNS preferido y la información está «cacheada», intentará autenticarlo contra éste, con el consiguiente mensaje de error
Esto sucede porque CL1 abrió un canal seguro de comunicación con DC1, y esté último no está disponible. Por omisión, desde Windows 7, el cliente trata de verificar este canal seguro de comunicación cada 30 minutos, yo para no esperar tanto tiempo simplemente lo reiniciaré
Esperaba que al no contestar el DNS de DC1, inmediatamente CL1 intentaría con DC2, pero no fue así, tuve que reiniciar por segunda vez, para que usara DC2 (DNS alternativo)
Recién entonces la cuenta “User Uno” pudo ser autenticada, y podemos ver que LOGONSERVER ahora es DC2
Publico la nota, porque me ha sorprendido la necesidad de un segundo reinicio, esperaba que con el primero se solucionaría
Y algo más, no lo he mostrado, pero aún con uno de los Controladores de Dominio apagados, si quisieran crear objetos en Active Directory no tendrían ningún problema
Comentarios
Que tal Guillermo, y hay alguna manera de forzar asi sea por politicas GPO, que los PC clientes loguen de nuevo a su DC preferido cuando éste esté en linea nuevamente? Que las PC clientes no tengan que reiniciar, sino que al cabo de unos minutos u horas refesque el dominio las politicas de toda la organizacion y haga el cambio.. Saludos!
Hola Jairo, me haz puesto en una duda. Estoy totalmente seguro de haber leído el valor de 30 minutos por omisión, para buscar un «mejor» Controlador de Dominio, pero ahora no lo encuentro :(
De todas formas hay un parámetro en las GPO que permite especificar este intervalo, pero por lo que leo lo mínimo es 1 hora
Está en «Computer Configuration / Policies / Administrative Templates / System / Net Logon / DC Locator DNS Records / Force Rediscovery Interval»
Por omisión son 12 horas, pero el mínimo es 1 hora (3600 seg)
Hola de nuevo Guillermo, disculpa, para que haya tolerancia a fallas en cuanto a AD, solo es necesario tener 2 o mas DC que sean catalogo global y su servicio de DNS? Ya con eso puedo hacer por politicas que las PC clientes tengan por defecto el DNS preferido y alternativo y listo?? Solo 1 DC puede tener los roles de Maestro de operaciones y demás? Saludos!
Las condiciones son:
– Dos Controladores de Dominio, como mínimo
– Ambos Catálogo Global
– Ambos con DNS
– Que los clientes tengan configurado para usar como DNS a ambos
Hola Guillermo.Windows es así de misterioso.Como siempre , muy bueno y práctico con los ejemplos en el artículo, no así los que publica Microsoft que tiene la particularidad de dormirme en el primer parrafo.Saludos cordiales.
Hola Alejandro, me alegro no te duermas :)
Son muy diferentes mis publicaciones a las de Microsoft, por varios motivos, desde la rigurosidad de tener que contemplar todos los públicos y opciones, aunque muchas veces incluyen enlaces a referencias que no tienen ninguna relación con el nivel de la nota
Comparto el desagrado con respecto a los artículos de Microsoft, sobre todo últimamente. Y para comentarte sólo un caso: hace un tiempo leía una documentación sobre una beta de un producto, y un concepto que no viene al caso, no lo comprendía. Pensé que cuando saliera el producto actualizarían la documentación pero no. Luego encontré un artículo en uno de los blogs de gente de Microsoft, pero estaba «copy/paste». Al final busqué el tema en un libro, y ¿adivina? el mismo «copy/paste» incomprensible, por lo menos para mí
Y de las ayudas mejor ni hablar, ni siquiera la búsqueda funciona bien
Hola Guillermo, buen día! yo lo hice con las configuraciones de la nota anterior (con las dns cruzadas en los DC1 y DC2), al inicio pensé que no me funcionaba, pero agregando mas usuarios, y haciendo mas pruebas ya me quedó claro :)
Me alegro coldran que te funcionara. Al estar cruzados los DNSs suele demorar más tiempo el arranque si ambos están apagados, y por eso para estas notas lo terminé configurando para que cada uno se utilice a sí mismo como preferido, y al otro como alternativo
Hola Guillermo… como siempre cada tutorial es mejor que el otro… y sumamente practico y util.
Queria sugerirte que evaluaras programar un pool de tutoriales relacionados a GPO, casos especificos como: Papel Tapiz, cambio de contraseña del administardor local de las maquinas, hacer mienbro a un usuario de un grupo local de las maquinas maquina (administradores, usuarios avanzados) y cualquier otra que sea de utilidad y casi un estandar.
Hola César, no creas que no he pensado lo que sugieres, pero al final luego de evaluarlo no me he decidido y te comento el motivo, hay muchísimas opciones, y cada organización tiene sus propias configuraciones, la cantidad de opciones sería enorme
De todas formas alguans de las cosas que nombras las he hecho. Por ejemplo
Soporte Usuario/Escritorio como Administrador Local | WindowServer:
https://windowserver.wordpress.com/2011/02/26/soporte-usuarioescritorio-como-administrador-local/
Cambiar la Contraseña de Usuario Local en Forma Remota | WindowServer:
https://windowserver.wordpress.com/2011/02/26/cambiar-la-contrasea-de-usuario-local-en-forma-remota/
Habilitar y Renombrar el Administrador Local Usando Group Policies (Directivas de Grupo) | WindowServer:
https://windowserver.wordpress.com/2014/11/04/habilitar-y-renombrar-el-administrador-local-usando-group-policies-directivas-de-grupo/
¡Gracias por tus elogios! :)
Me uno al pedido de César, ojalá se anime! si el problema es que cada organización es diferente y tiene sus propias necesidades, podría establecer al inicio cual es la infraestructura a la cual se aplicará y mencionar que es una configuración básica que cada uno puede modificar.
Hola coldfran, vale la misma respuesta que para César :)
Hay organizaciones muy grandes, grandes, medianas y chicas, hay algunas con ambiente muy controlado, otras mediano, y otras donde el usuario tiene bastante libertad; hay otras donde los requerimientos de seguridad son muy altos, o altos, o medianos o bajos; y puedo seguir … :)
Prueba las combinaciones entre todas las opciones a ver cuántas salen :D
Lo importante es saber *cómo* se aplican las GPOs, el resto es sólo buscar la configuración que uno desea dentro de la GPO
Hace casi 4 años escribí un artículo sobre cómo funcionan las GPOs, que sin embargo no ha tenido gran cantidad de visitantes: Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer:
https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/
Si entiendes eso, lo demás es sólo saber lo que se desea y buscar
Y una ayuda más, ya que la GPO no tiene opción de búsqueda. En «Microsoft Downloads» busca y descarga «Group Policy Settings Reference» es una planilla de Excel, que sí permite búsquedas usando palabras clave. Ahí están todas las configuraciones posibles
Guillermo tengo un par de consultas: la primera, hay alguna forma de saber cuantos usuarios están consumiendo los servicios del DC1 y el DC2?. La segunda, hay alguna forma de forzar que todos los usuarios solo consuman los recursos del DC1? (LOGONSERVER=\\DC01). Saludos!
Hola José, para lo primero realmente no sé :(
Habría que investigar si hay alguna forma de poder contar los canales seguros de comunicación entre la máquina cliente y cada DC, pero no sé realmente cómo se podría hacer porque creo que eso se podría hacer solamente desde el cliente
Para lo segundo forzar «forzadamente» creo que no como no sea apagando el DC. Hay dos alternativas pero sólo serviría para que use el preferido, y a falta de este vaya a un alternativo
La primera opción sería creando subredes y sitios con lo cual siempre el cliente preferiría al DC del propio Site. Pero esto implicaría además tener por lo menos un Router que interconecte las redes
Otra opción que quizás es más sencilla, si miras en las registraciones en el DNS de los registros SRV verás que hay dos parámetros: «Priority» y «Weight», éstos determinan qué DC van a preferir los clientes
Revisa el siguiente artículo Reducing the workload on the PDC emulator master: Active Directory
https://technet.microsoft.com/en-us/library/cc787370(v=ws.10).aspx