Teniendo ya hecha de la nota anterior la configuración del primer Controlador de Dominio, veremos en esta cómo configurar un segundo Controlador de Dominio y la configuración necesaria para tener tolerancia a fallas sobre el servicio Active Directory
Como recordatorio, incluiré nuevamente el diagrama propuesto en la nota inicial de la infraestructura a crear. En esta nota instalaremos y configuraremos DC2
Debemos disponer de una instalación de Windows Server 2012, no vale una instalación clonada, donde previamente le he asignado el nombre DC2 de acuerdo a lo planificado, y he configurado adecuadamente el direccionamiento IP
Esto último es simplemente ponerle dirección IP fija (192.168.0.202), y configurar para que use como DNS al servidor ya existente (192.168.0.1)
Luego de esto lo he unido al Dominio existente, y he iniciado sesión como administrador del dominio (ROOT\Administrator)
Se instalará el Rol “Active Directory Domain Services” de igual forma que en la nota anterior, salvo que diferirá en el momento de la configuración, que deberá ser hecha como se indica a continuación
En este caso, para agregar un Controlador de Dominio adicional en un Dominio existente, elegiremos “Add a domain controller to an existing domain”
Si hemos iniciado sesión con la cuenta de administrador del Dominio, ya estarán correctos los datos correspondientes al nombre del Dominio, y la cuenta con privilegios suficientes. Si así no fuera, utilizar los botones “Select…” y “Change” para seleccionarlos como muestra la figura
Vemos, que por omisión, ya nos ofrece que tenga el servicio DNS y que sea Catálogo Global. Como no hemos configurado aún los Sites podemos dejar el valor por omisión. Sólo deberemos ingresar la contraseña correspondiente a “Directory Service Restore Mode” (ver las consideraciones en la nota anterior)
Observen en la siguiente pantalla que podemos seleccionar desde qué Controlador de Dominio se hará la replicación inicial; en nuestro caso no tiene sentido elegir cuál pues tenemos uno sólo
También está la opción IFM (Install From Media), esta opción puede ser útil en algunos casos. Si tuviéramos un Dominio “grande” y fuera a través de un enlace WAN con poco ancho de banda disponible, podríamos hacer una especie de copia de seguridad de Active Directory, transportarla al sitio remoto, y hacer que tome gran parte de la información (no toda) desde esta copia local
Para el resto, las mismas consideraciones que ya he hecho en la nota anterior
Cuando finalice, se reinciará el equipo, e iniciaremos sesión con la cuenta de administrador del Dominio (ROOT\Administrator)
Si todo estuvo bien, en pocos minutos, aunque puede demorar hasta 30 minutos, se crearán los “Objetos Conexión” entre los Controladores de Dominio que servirán para la replicación de Active Directory
Pero como somos “ansiosos” 😀 vamos a ver cómo acelerar el proceso
Vamos a DC1, y abramos “Active Directory Sites and Services” (Sitios y Servicios de Active Directory) y sobre el lado izquierdo despleguemos. Sites / Default-First-Site-Name / Servers / DC1 / NTDS Settings
Veremos sobre el lado derecho que no está creado el Objeto Conexión para recibir información desde DC2
Entonces con botón derecho sobre “NTDS Settings” elegiimos “All Tasks / Check Replication Topology”
Nos informará que debemos refrescar la información, así que sobre Sites pulsamos F5, y volvemos a donde estábamos y veremos el Objeto Conexión que permite la replicación desde DC2 a DC1
Para confirmar, con botón derecho sobre el Objeto Conexión, elegimos “Replicate Now” y observermos que se replica correctamente
Si diera algún mensaje que no puede replicar, no asustarse, esperar unos minutos, y nuevamente F5 y “Replicate Now”
Ahora iniciamos sesión en DC2 y procedemos de forma análoga
Ya que estamos en DC2, ingresemos a la consola de administración de DNS y observemos que la información de DNS ya fue replicada, que están registrados ambos Controladores de Dominio, y como la zona está integrada en Active Directory, DC2 informa que el SOA es DC2
Ahora vamos a DC1, y observemos que como cualquiera de los Controladores de Dominio puede efectuar cambios en la zona, DC1 dice que el SOA es DC1
Noten además, que en ambos DNS, los dos Controladores de Dominio están registrados como NS (Name Servers), o sea que ambos pueden responder en forma autoritaria por la zona
Como buena y usual costumbre, aunque no es un requerido, es conveniente “cruzar los DNSs”. O sea que DC1 use como DNS preferido a DC2 y a sí mismo como alternativo. Y análogamente para DC2, así que los “cruzaré” 😀
Sobre este tema veré si luego hago una nota adicional para notar las ventajas e inconvenientes en cada caso
En DC1
Y en DC2
Demostración Tolerancia a Fallas
Como está todo hasta ahora el sistema ya es tolerante a fallas, lo único a considerar es que todos los clientes del Dominio estén configurados para usar como servidor DNS tanto a DC1 como a DC2
Esto es así, porque tanto DC1 como DC2 son Controladores de Dominio, que son Catálogo Global, y además servidores DNS
La prueba, que no mostraré acá, es muy sencilla. Creen dos usuarios de prueba, y asegúrense que estén replicados en ambos Controladores de Dominio
Pongan cualquier cliente de Dominio a gusto, Windows 7 o Windows 8
Apaguen un Controlador de Domino, e inicien sesión con uno de los nuevos usuarios, debería poder iniciar sesión correctamente
Ahora invertimos, iniciamos el Controlador de Dominio que estaba apagado (darle tiempo que inicie Active Directory), y apagamos el Controlador de Dominio que estaba encendido. Vamos al cliente e iniciamos sesión con el segundo usuario nuevo. Debería poder iniciar sesión correctamente
El motivo de utilizar usuario nuevos, es para evitar que el inicio de sesión sea usando “cached credentials”, esto es, que necesariamente la máquina cliente deba contactar a un Controlador de Dominio, para autenticar al usuario
Por más información sobre tolerancia a fallas en Controladores de Domino pueden ver el siguiente enlace Controladores de Dominio: Tolerancia a Fallas
Continuaremos la creación de la infraestructura propuesta en al próxima nota: Instalación de Active Directory – Creando la Infraestructura de Sitios, Subredes y Enlaces (Sites-Subnets-Links) – Nota IV
