Instalación de Active Directory – Promoción del Segundo Controlador de Dominio y Configuración de Tolerancia a Fallas – Nota III

Teniendo ya hecha de la nota anterior la configuración del primer Controlador de Dominio, veremos en esta cómo configurar un segundo Controlador de Dominio y la configuración necesaria para tener tolerancia a fallas sobre el servicio Active Directory

Como recordatorio, incluiré nuevamente el diagrama propuesto en la nota inicial de la infraestructura a crear. En esta nota instalaremos y configuraremos DC2

Debemos disponer de una instalación de Windows Server 2012, no vale una instalación clonada, donde previamente le he asignado el nombre DC2 de acuerdo a lo planificado, y he configurado adecuadamente el direccionamiento IP

Esto último es simplemente ponerle dirección IP fija (192.168.0.202), y configurar para que use como DNS al servidor ya existente (192.168.0.1)

Luego de esto lo he unido al Dominio existente, y he iniciado sesión como administrador del dominio (ROOT\Administrator)

Se instalará el Rol “Active Directory Domain Services” de igual forma que en la nota anterior, salvo que diferirá en el momento de la configuración, que deberá ser hecha como se indica a continuación

En este caso, para agregar un Controlador de Dominio adicional en un Dominio existente, elegiremos “Add a domain controller to an existing domain”
Si hemos iniciado sesión con la cuenta de administrador del Dominio, ya estarán correctos los datos correspondientes al nombre del Dominio, y la cuenta con privilegios suficientes. Si así no fuera, utilizar los botones “Select…” y “Change” para seleccionarlos como muestra la figura

Vemos, que por omisión, ya nos ofrece que tenga el servicio DNS y que sea Catálogo Global. Como no hemos configurado aún los Sites podemos dejar el valor por omisión. Sólo deberemos ingresar la contraseña correspondiente a “Directory Service Restore Mode” (ver las consideraciones en la nota anterior)

Observen en la siguiente pantalla que podemos seleccionar desde qué Controlador de Dominio se hará la replicación inicial; en nuestro caso no tiene sentido elegir cuál pues tenemos uno sólo
También está la opción IFM (Install From Media), esta opción puede ser útil en algunos casos. Si tuviéramos un Dominio “grande” y fuera a través de un enlace WAN con poco ancho de banda disponible, podríamos hacer una especie de copia de seguridad de Active Directory, transportarla al sitio remoto, y hacer que tome gran parte de la información (no toda) desde esta copia local

Para el resto, las mismas consideraciones que ya he hecho en la nota anterior

Cuando finalice, se reinciará el equipo, e iniciaremos sesión con la cuenta de administrador del Dominio (ROOT\Administrator)

Si todo estuvo bien, en pocos minutos, aunque puede demorar hasta 30 minutos, se crearán los “Objetos Conexión” entre los Controladores de Dominio que servirán para la replicación de Active Directory

Pero como somos “ansiosos” 😀 vamos a ver cómo acelerar el proceso

Vamos a DC1, y abramos “Active Directory Sites and Services” (Sitios y Servicios de Active Directory) y sobre el lado izquierdo despleguemos. Sites / Default-First-Site-Name / Servers / DC1 / NTDS Settings
Veremos sobre el lado derecho que no está creado el Objeto Conexión para recibir información desde DC2

Entonces con botón derecho sobre “NTDS Settings” elegiimos “All Tasks / Check Replication Topology”

Nos informará que debemos refrescar la información, así que sobre Sites pulsamos F5, y volvemos a donde estábamos y veremos el Objeto Conexión que permite la replicación desde DC2 a DC1

Para confirmar, con botón derecho sobre el Objeto Conexión, elegimos “Replicate Now” y observermos que se replica correctamente

Si diera algún mensaje que no puede replicar, no asustarse, esperar unos minutos, y nuevamente F5 y “Replicate Now”

Ahora iniciamos sesión en DC2 y procedemos de forma análoga

Ya que estamos en DC2, ingresemos a la consola de administración de DNS y observemos que la información de DNS ya fue replicada, que están registrados ambos Controladores de Dominio, y como la zona está integrada en Active Directory, DC2 informa que el SOA es DC2

Ahora vamos a DC1, y observemos que como cualquiera de los Controladores de Dominio puede efectuar cambios en la zona, DC1 dice que el SOA es DC1

Noten además, que en ambos DNS, los dos Controladores de Dominio están registrados como NS (Name Servers), o sea que ambos pueden responder en forma autoritaria por la zona

Como buena y usual costumbre, aunque no es un requerido, es conveniente “cruzar los DNSs”. O sea que DC1 use como DNS preferido a DC2 y a sí mismo como alternativo. Y análogamente para DC2, así que los “cruzaré” 😀
Sobre este tema veré si luego hago una nota adicional para notar las ventajas e inconvenientes en cada caso

En DC1

Y en DC2

 

Demostración Tolerancia a Fallas

Como está todo hasta ahora el sistema ya es tolerante a fallas, lo único a considerar es que todos los clientes del Dominio estén configurados para usar como servidor DNS tanto a DC1 como a DC2

Esto es así, porque tanto DC1 como DC2 son Controladores de Dominio, que son Catálogo Global, y además servidores DNS

La prueba, que no mostraré acá, es muy sencilla. Creen dos usuarios de prueba, y asegúrense que estén replicados en ambos Controladores de Dominio

Pongan cualquier cliente de Dominio a gusto, Windows 7 o Windows 8

Apaguen un Controlador de Domino, e inicien sesión con uno de los nuevos usuarios, debería poder iniciar sesión correctamente

Ahora invertimos, iniciamos el Controlador de Dominio que estaba apagado (darle tiempo que inicie Active Directory), y apagamos el Controlador de Dominio que estaba encendido. Vamos al cliente e iniciamos sesión con el segundo usuario nuevo. Debería poder iniciar sesión correctamente

El motivo de utilizar usuario nuevos, es para evitar que el inicio de sesión sea usando “cached credentials”, esto es, que necesariamente la máquina cliente deba contactar a un Controlador de Dominio, para autenticar al usuario

Por más información sobre tolerancia a fallas en Controladores de Domino pueden ver el siguiente enlace Controladores de Dominio: Tolerancia a Fallas

 

Continuaremos la creación de la infraestructura propuesta en al próxima nota: Instalación de Active Directory – Creando la Infraestructura de Sitios, Subredes y Enlaces (Sites-Subnets-Links) – Nota IV

Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *