Crear un DC adicional para un dominio existente (Tolerancia a fallos) · ¿Qué pasa si nuestro controlador de domino principal cae debido a un fallo? · ¿Qué se puede hacer para conseguir que el sistema siga funcionando? Las acciones a realizar se enmarcaran dentro la denominada Política de Tolerancia a Fallos Cero. La idea consiste en añadir redundancia al equipo controlador de dominio, es decir añadir un segundo controlador de dominio con el objetivo de ofrecer apoyo y respaldo al controlador principal. En caso de error del controlador principal, debe poder relevarlo y continuar dando servicio a la red como si no hubiera pasado nada. Clonamos nuestra máquina WServer2003 en VMware y despromocionamos el servidor con (dcpromo) para poder tener una máquina limpia, le indicamos que es el último controlador en el dominio. Cambiamos el nombre de la máquina a ‘S2k3ServMiembro’ Cambiamos la dirección IP de nuestro nuevo servidor a la de la foto. La IP 192.168.19.1 es la de nuestro Server principal
Verificamos que nuestro servidor clonado no tenga ningún servidor activo (DHCP, DNS, Terminal Server, etc…) y desinstalamos si estuvieran activos. De nuestro Servidor Miembro, desconectamos la tarjeta de red correspondiente a la interfaz NAT para sólo tener conexión con el Servidor Principal. Ahora una vez realizados estos cambios, arrancamos nuestro servidor principal. Vamos a realizar un Ping entre las dos máquinas para ver que están en la misma red y no hay conflictos de IP. Todo correcto, se ven las dos máquinas
Ahora vamos a ingresar en el dominio el Servidor nuevo o Servidor miembro, ejecutamos en el (dcpromo) y elegimos la opción ‘Controlador de dominio adicional para un dominio existente’. De esta manera este servidor realizará una clonación de la base de datos del ‘Active Directory’ del servidor principal Dentro de las credenciales de red, utilizamos el usuario Administrador del servidor principal con su contraseña y escribimos el nombre de nuestro dominio ‘weasel.org’
En la siguiente pantalla, le damos a ‘Examinar’ y elegimos nuestro dominio existente. En la pantalla donde nos pida la contraseña de Admin. del modo de restauración de servicios de directorio, escribimos la misma que tenga nuestro servidor miembro ‘Administrador1’. Con esto ya nos meterá a nuestro Servidor Miembro en el dominio ‘weasel.org’ siendo este una clonación de la base de datos del Active Directory.
Active Directory Servidor Principal (Server2k3-Rober)
Usuarios
Controladores dominio
Si vemos que en nuestras zonas de búsqueda directa tenemos alguna dirección IP que nos ha dado la tarjeta conectada a la red NAT, vamos a quitarla y luego sobre el nombre del DNS, limpiamos la cache y reiniciar el servicio. También en la pestaña Interfaces de las propiedades de nuestro DNS vamos a asegurarnos que solo disponga de la interfaz de nuestro propio servidor
Para entrar ahora en el servidor dentro del dominio, entramos con la contraseña del Server Principal ‘Administrador’ Active Directory Servidor Miembro (S2k3ServMiembro) Usuarios Controladores dominio
Vemos como el Servidor Miembro, no tiene ni DHCP, ni DNS
Metemos un usuario nuevo ‘PruebasReplicado’ con contraseña ‘Prueba1’ en nuestro server principal y vemos como nos lo replica en el secundario
Arrancamos nuestra máquina W7 cliente que está dentro del dominio (W7-PruebasCasa) e iniciamos sesión con un usuario global del dominio (Administrador@weasel.org), le cambiamos la dirección IP por una estática con las DNS del servidor principal y del secundario.
Cerramos la sesión del W7 y tumbamos el Servidor con el dominio principal. Luego probamos a iniciar sesión en el dominio, con el Servidor Miembro únicamente en activo y el mismo usuario global del dominio (Administrador@weasel.org). Vemos como nos inicia sesión Realizamos un ping a nuestro Servidor Miembro y vemos que funciona (Ping 192.168.19.2) Realizamos un ping a nuestro nombre del Servidor miembro y vemos que también funciona (Ping s2k3servmiembro)
Realizando el comando nslookup para comprobar la resolución DNS, vemos que nos resuelve con la IP del Servidor Principal, pero este está caído
Pasamos a crear la zona DNS en el Servidor Miembro, para ello arrancamos de nuevo nuestro Servidor Principal Inicio Administre su servidor agregar o quitar una función Servidor DNS Crear una zona de búsqueda directa Este servidor mantiene la zona Este servidor mantiene la zona weasel.org Permitir sólo actualizaciones dinámicas seguras No, no reenviar consultas
Ahora una vez creado la zona DNS, vemos como el comando ‘nslookup’ desde nuestra máquina W7 ya resuelve perfectamente.
Con el comando ‘Set logonserver’ desde la consola de comandos vamos a verificar a que servidor se está conectando nuestra máquina W7. 1º tumbamos nuestro servidor principal y dejamos unicamente el Servidor Miembro. Reiniciamos sesión en W7 y realizamos un ‘set logonserver’ Vemos como se ha conectado al servidor secundario (Ser2k3ServMiembro)
2º, levantamos el Server principal, tumbamos nuestro servidor alternativo y reiniciamos sesión en W7. Vemos como se nos ha conectado a nuestro servidor principal (Server2k3-Roberto), este paso lo ha realizado correctamente a la segunda vez que hemos iniciado sesión.
En el caso de querer realizar una Desinstalación del ‘Active Directory’ Hemos visto que en el proceso de creación de un controlador secundario de dominio es necesario tener arrancado el controlador primario para compartir la base de datos del ‘Active Directory’. Este mismo hecho es necesario en el proceso de desinstalación: 1) No se puede desinstalar el AD del controlador principal sino está arrancado el controlador adicional y viceversa. 2) Con ambas máquinas activadas, la secuencia de desinstalación del ‘Active Directory’ debe de hacerse primero en el adicional (sin indicar que es el ultimo controlador de dominio en el dominio), y después en el principal. - ¿Cómo se puede hacer para desinstalar el AD en el controlador secundario si el primario ha caído y es inservible? Se debe crear el secundario como primario, es decir, pasarle las credenciales de maestro de operaciones.
Catálogo Global
Descripción del catálogo global Se aplica a: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 El catálogo global es el conjunto de todos los objetos de un bosque de los Servicios de dominio de Active Directory (AD DS). Un servidor de catálogo global es un controlador de dominio que almacena una copia completa de todos los objetos del directorio para su dominio host y una copia parcial de solo lectura de todos los objetos del resto de dominios del bosque. Los servidores del catálogo global responden a las consultas del catálogo global. Atributos que se replican en el catálogo global Las copias parciales de solo lectura de los objetos que componen el catálogo global se describen como "parciales" porque incluyen un conjunto limitado de atributos: los atributos que requieren el esquema junto con los atributos que se usan con mayor frecuencia en operaciones de búsqueda de usuarios. Estos atributos se marcan para su inclusión en el conjunto de atributos parciales (PAS) como parte de sus definiciones de esquema. El almacenamiento de los atributos buscados con más frecuencia de todos los objetos del dominio del catálogo global hace que las búsquedas sean más eficaces para los usuarios sin afectar al rendimiento de la red con referencias innecesarias a controladores de dominio y sin requerir que un servidor de catálogo global almacene grandes cantidades de datos que no son necesarios. Funcionalidad del catálogo global Cuando se instala AD DS, se crea el catálogo global para un nuevo bosque automáticamente en el primer controlador de dominio del bosque. Se puede agregar la funcionalidad de catálogo global a otros controladores de dominio adicionales. También se puede quitar el catálogo global de un controlador de dominio. Un servidor de catálogo global: • Busca objetos. El catálogo global permite búsquedas de usuario de información de directorio a través de todos los dominios de un bosque, independientemente del lugar donde están almacenados los datos. Las búsquedas dentro de un bosque se llevan a cabo con la velocidad máxima y el tráfico de red mínimo. Cuando un usuario busca personas o impresoras en el menú Inicio o selecciona la opción Todo el directorio en una consulta, ese usuario busca el catálogo global. Cuando el usuario introduce una consulta de búsqueda, la solicitud se dirige al puerto del catálogo global predeterminado 3268 y se envía a un servidor de catálogo global para su resolución. • Proporciona autenticación de nombre principal de usuario. Un servidor de catálogo global resuelve un nombre principal de usuario (UPN) cuando el controlador de dominio de autenticación no conoce la cuenta de usuario. Por ejemplo, si una cuenta de un usuario está ubicada en sales1.cohovineyard.com y el usuario inicia sesión con un UPN de luis@sales1.cohovineyard.com de un equipo que está ubicado en sales2.cohovineyard.com, el controlador de dominio de sales2.cohovineyard.com no podrá encontrar la cuenta del usuario y deberá ponerse en contacto con un servidor de catálogo global para completar el proceso de inicio de sesión. • Valida referencias de objeto de un bosque. Los controladores de dominio usan el catálogo global para validar las referencias a objetos de otros dominios del bosque. Cuando un controlador de dominio contiene un objeto de directorio con un atributo que contiene una referencia a un objeto de otro dominio, el controlador de dominio valida la referencia poniéndose en contacto con un servidor de catálogo global. • Proporciona información de pertenencia a grupos universales en un entorno de varios dominios. Un controlador de dominio siempre puede descubrir grupos locales de dominio y pertenencias al grupo global de cualquier usuario de su dominio, y la pertenencia de estos grupos no se replica en el catálogo global. En un bosque de un único dominio, un controlador de dominio también puede descubrir pertenencias a grupos universales. Sin embargo, los grupos universales pueden tener miembros en diferentes dominios. Por este motivo, el atributo member de los grupos universales, que contiene la lista de miembros del grupo, se replica en el catálogo global. Cuando un usuario de un bosque de varios dominios inicia sesión en un dominio donde se permiten los grupos universales, el controlador de dominio debe ponerse en contacto con un servidor de catálogo global para recuperar cualquier pertenencia a grupos universales que el usuario pueda tener en otros dominios. Si un servidor de catálogo global no está disponible cuando un usuario inicia sesión en un dominio donde hay grupos universales disponibles, el equipo cliente del usuario puede usar credenciales almacenadas en caché para iniciar sesión si el usuario ha iniciado sesión en el dominio con anterioridad. Si el usuario no ha iniciado sesión en el dominio previamente, el usuario solo puede iniciar sesión en el equipo local.
Vamos a hacer que nuestro segundo servidor sea Catálogo Global tal y como nos lo recomienda Windows Para activar el catálogo global, vamos a Inicio Herramientas administrativas Sitios y servicios de Active Directory Sobre nuestro servidor miembro, botón derecho propiedades (sobre NTDS Settings)
Vemos como no tiene marcada la opción de ‘Catálogo global’, se la activamos.