Instalación de Active Directory – Promoción del Primer Controlador de Dominio en un Arbol Diferente – Nota X

Y siguiendo esta serie de notas para completar la infraestructura propuesta en “Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota I” comenzaremos con lo que pienso introduce la mayor complejidad de configuración

La creación de este nuevo Dominio (neuquen.local) es mucho más compleja, pues no existe contigüidad de nombres con el resto del Bosque (root.guillermod.com.ar)

Por este motivo debemos tener mucho cuidado con la configuración del servicio DNS, tanto la inicial, que utilizaremos como auxiliar, como su posterior reconfiguración a la final y definitiva

Como recordatorio, incluiré nuevamente el diagrama propuesto en la nota inicial de la infraestructura a crear. En este caso crearemos el dominio neuquen.local promoviendo al primer Controlador de Dominio del mismo DC6

Por si les sirve y como experiencia propia con este escenario: sean muy cuidadosos con cada paso, sigan exactamente el orden de los pasos, y recuerden que como estamos en una infraestructura que tiene Sites en muchos casos hay que tomarse su tiempo y esperar la replicación entre los Controladores de Dominio en Sites diferentes
Si lo están haciendo con máquinas virtuales, permítanme una recomendación: antes de comenzar creen “snapshots” de todas las máquinas virtuales, por las dudas que algo falle, y no tener que comenzar desde el principio, o tener que eliminar configuraciones ya hechas

Debemos crear primero una configuración auxiliar para DNS. Esto es así ya que desde “root.guillermod.com.ar” se deberá poder resolver “neuquen.local”, por lo tanto comenzamos en DC1, en la consola DNS creando una zona “neuquen.local” de acuerdo a los siguientes pasos

Es importante que la zona esté integrada en Active Directory, ya que de esa forma se replicará automáticamente a DC6

Para que realmente luego la podamos replicar a DC6 debemos cambiar el valor por omisión y que llegue a todos los Controladores de Dominio con DNS del Bosque (Forest)

Debería haber marcado la opción de permitir actualizaciones seguras y no-seguras pero me olvidé 🙁
Lo soluciono unos pasos adelante 🙂

Quedará finalmente así. Luego por replicación se agregarán los otros Controladores de Dominio con los registros NS en forma automática

Vamos ahora a la máquina que vamos a promover como Controlador de Dominio para crear el subdominio “neuquen.local”
Este máquina, de acuerdo a lo propuesto incialmente se llamará DC6 y debemos configurar los parámetros de IP de acuerdo a la siguiente captura. Observen que en este caso agregamos un sufijo de conexión, e indicamos que se registre el mismo (en la zona ya creada “neuquen.local”)

Ahora voy a arreglar el error en la configuración de la zona “neuquen.local”. Voy a DC1, consola DNS, ingreso a las propiedades de la zona y cambio el tipo se actualizaciones soportados

Volvemos a DC6, y desde una línea de comandos forzaremos una registración en la correspondiente zona, ejecutando

IPCONFIG /REGISTERDNS

Volvemos a DC1 y verificamos que efectivamente se ha registrado

A diferencia de todos los casos anteriores en esta ocasión he unido DC6 al dominio “root.guillermod.com.ar” como servidor miembro. La finalidad es facilitar el tema permisos y que no esté pidiendo credenciales, o que directamente deniegue ciertas operaciones.

No muestro el procedimiento de unir máquinas a un dominio porque entiendo que todo el que esté leyendo esto lo tiene muy claro

Luego, agrego como se ha hecho en todas las notas anteriores el Rol Active Directory Domain Services, y procederé a demostrar sólo la configuración del mismo

Atención con esta pantalla que tiene datos importantes de configuración. Estaremos creando un nuevo Dominio en un nuevo Arbol (Tree) en un Bosque (Forest) existente. Atención con cada una de las opciones configuradas

Otra diferencia importante con los casos anteriores es que específicamente desmarco la opción de instalar DNS, ya que de esta forma me aseguro que no cambie automáticamente la configuración DNS de IP en esta máquina, y que a través de DC1 puedan resolverse todos los nombres

Y continuamos como siempre

Si en el momento de replicar, se queda y no progresa… tenemos problemas, algo no está funcionando bien 🙁
He “peleado” bastante con esto hasta que encontré la forma correcta que son los pasos detallados anteriormente

Si todo va bien, finaliza y reinicia

Si tratan de inciar sesión con ROOT\Administrator van a ver que da un “error extraño”, que no está creada la relación de confianza

Esto es lógico porque todavía no se ha hecho la replicación inicial, así que iniciemos sesión con NEUQUEN\Administrator

Vamos a DC1, abramos la consola DNS y tomemos unos minutos hasta que aparezcan todas las registraciones propias de un Controlador de Dominio, en la zona “neuquen.local”. Pasan varios minutos …

Pueden acelerar un poco si reinician el servicio NETLOGON en DC6, y si ejecutan IPCONFIG /REGISTERDNS pero hay que tomarlo con calma

Un poco más de tiempo de espera y controlamos que se han creado los Objetos Conexión necesarios, hacia y desde DC6. Mucha calma para esto 😉

Recién cuando todo lo anterior esté confirmado, volvemos a DC6, e instalamos el Rol Servidor DNS

Nos tomamos otros minutos de espera, abrimos en DC6 la consola DNS, y F5, F5, F5, … hasta que aparezcan las zonas

Recordamos que el intervalo mínimo de replicación es el que hemos fijado en notas anteriores: 15 minutos

Ahora si, cerremos la sesión e inciemos con ROOT\Administrator así tendremos los privilegios necesarios para lo que necesitamos hacer

Veamos primero los objetivos que estamos buscando:

  • Que la zona “neuquen.local” se replique a todos los Controladores de Dominio con DNS en el propio Dominio
  • Que cuando un DNS de “neuquen.local” tenga que resolver un nombre sobre el que no tiene autoridad, que reenvíe el pedido a los servidores DNS de “root.guillermod.com.ar”
  • Que los servidores DNS de “root.guillermod.com.ar” sigan pudiendo resolver los nombres de “neuquen.local”
    Esto último lo podemos hacer de dos formas diferentes:
  • Creando una zona secundaria
  • Creando una “Stub Zone”. Lo haré de esta forma, no sólo porque es una opción muy poco conocida y utilizada, sino porque además tiene ventajas

Entonces, estamos en DC6, abrimos la consola DNS y vamos a las propiedades de la zona “neuquen.local” y cambiaremos el ámbito de replicación para que sea sólo en el propio Dominio

No he capturado la pantalla, pero debemos cambiar las propiedades de la zona para permitir únicamente actualizaciones seguras, así mejoramos la seguridad

Ahora, en DC1, procederemos a borrar la zona “neuquen.local” y la reemplazaremos por una “Stub Zone”

Primero eliminamos la zona

Si, estoy seguro

Si, te dije que si, que estoy seguro 🙂

Y comenzamos la creación de la “Stub Zone”

Integrándola en Active Directory nos aseguramos que se replicará a todos los Controladores de Dominio con DNS necesarios

En la siguiente captura hay un error, que pido que corrijan, debe replicarse a todos los Controladores de Dominio del Bosque (la primera). De esta forma también se podrán resolver los nombres desde “mza.root.guillermod.com.ar”

Indicamos cuál es el “Master Sever” (desde el cual se recibirá la replicación)

Y finalizamos

Veremos la siguente pantalla. No preocuparnos por ahora

Con las opciones indicadas y un poquito de paciencia …

Llegaremos finalmente a esto

Un buen momento para aclarar un poco de qué se trata una “Stub Zone”. Es similar a una zona secundaria, con la diferencia que sólo se transferirán los registros: SOA, NS y los A correspondientes al SOA y los NS

Escuché hace tiempo a una persona de Microsoft referirse a la “Stub Zone” como “delegación con esteroides” 😀
Funciona casi como una delegación de zona, pero en forma dinámica. Quizás en otro momento trate el tema en una nota aparte

Ahora, en DC6, debemos configurar para que utilice como servidor DNS a sí mismo

Y siempre en DC6, en la consola DNS, configurar los Reenviadores, para que cualquier pedido que no pueda responder, que lo reenvíe a los servidores DNS de “root.guillermod.com.ar” ya que en este caso no es automática la configuración

Dependiendo de la configuración de acceso a Internet de cada organización, puede que esta configuración sea la adecuada, o que usando un procedimiento análogo se definan Reenviadores Condicionales (Conditional Forwarders)

Creo que esta nota contiene la parte más complicada de la configuración que estamos haciendo. En la siguiente nota agregaremos el segundo Controlador de Dominio a este Dominio a fin de tener tolerancia a fallas. Desarrollaremos el tema en Instalación de Active Directory – Promoción del Segundo Controlador de Dominio en un Arbol Diferente – Nota XI

By Guillermo Delprato, on 20 julio, 2013 at 14:53, under Active Directory - Directorio Activo, How To - Step-by-step - Paso a paso, Hyper-V, Windows Server 2012. Tags: , , , , . No hay comentarios
Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *