Continuando esta serie de notas básicas, luego de la configuración hecha en la nota anterior “Windows Server 2012 (R2): Crear un Dominio – Instalación y Configuración del Segundo Controlador de Dominio” en esta nota veremos cómo, con la configuración adecuada, podemos tener tolerancia a fallas sobre los Controladores de Dominio
De la nota anterior habíamos dejado configurados dos Controladores de Dominio: DC1.ad.guillermod.com.ar y DC2.ad.guillermod.com.ar
Ambos Controladores de Dominio están configurados como Catálogo Global (“Global Catalog”), y también son servidores DNS
Para esta demostración, instalé y uní al Dominio una máquina cliente con Windows 8.1
Observemos primero la configuración de IP de cada uno de los tres equipos
DC1 tiene para usar como DNS preferido a sí mismo, y como alternativo a DC2
DC2 está configurado para usar como DNS preferido a sí mismo, y como alternativo a DC1
Y la máquina cliente CL1.ad.guillermod.com.ar tiene configurados para utilizar ambos servidores DNS, preferido a DC1 y alternativo a DC2
Para verificar que ambos son Catálogo Global (“Global Catalog”) podemos observarlo en “Active Directory Users and Computers”. No es la única forma es sólo que está abierta la consola. También se puede ver en "Active Directory Sites and Services", propiedades de "NTDS Settings"
Además podemos ver que ambos están registrados en DNS como Controladores de Dominio de “ad.guillermod.com.ar”
Y que están también registrados como Catálogo Global
Para la demostración he creado una Unidad Organizativa (Test) donde he creado dos usuarios (en realidad con uno alcanza) llamados “User Uno” (U1), y “User Dos” (U2). Estos usuarios nunca han inciado sesión en ninguna máquina; de esta forma me aseguro que al no tener perfil creado en ninguna máquina inevitablemente se deba contactar a un Controlador de Dominio para su autenticación
Inciando sesión como “Administrator” del Dominio en CL1, y desde línea de comando ejecutando el comando “SET” puedo observar el valor de las variables de entorno
Principalmente me interesa “LOGONSERVER” pues me indica cuál es Controlador de Dominio que ha autenticado al usuario actual
Como en la configuración está como DNS preferido DC1 (192.168.1.201) éste es el actual “LOGONSERVER” (No he capturado la pantalla)
Llegado este momento procedo a apagar DC1, quedando sólo DC2 en línea, y trato de iniciar sesión en CL1 con “User Uno”
El hecho de utilizar una cuenta de usuario que nunca ha iniciado sesión en la máquina es para asegurarme que no tenga un perfil local, donde esté almacenada previamente su contraseña
Como CL1, no sabe ni se dio cuenta que DC1 no está en línea, lo tiene configurado como DNS preferido y la información está "cacheada", intentará autenticarlo contra éste, con el consiguiente mensaje de error
Esto sucede porque CL1 abrió un canal seguro de comunicación con DC1, y esté último no está disponible. Por omisión, desde Windows 7, el cliente trata de verificar este canal seguro de comunicación cada 30 minutos, yo para no esperar tanto tiempo simplemente lo reiniciaré
Esperaba que al no contestar el DNS de DC1, inmediatamente CL1 intentaría con DC2, pero no fue así, tuve que reiniciar por segunda vez, para que usara DC2 (DNS alternativo)
Recién entonces la cuenta “User Uno” pudo ser autenticada, y podemos ver que LOGONSERVER ahora es DC2
Publico la nota, porque me ha sorprendido la necesidad de un segundo reinicio, esperaba que con el primero se solucionaría
Y algo más, no lo he mostrado, pero aún con uno de los Controladores de Dominio apagados, si quisieran crear objetos en Active Directory no tendrían ningún problema