Iniciar sesión
 
InicioWindows Server 2012Windows Server 2008 R2Windows Server 2003LibraryForos
Windows Server TechCenter >
Replicar solo algunos usuarios o Unidades Organizativas del Dominio Principal

Answered Replicar solo algunos usuarios o Unidades Organizativas del Dominio Principal

  • viernes, 18 de mayo de 2012 10:32
     
     
    Inicie sesión para votar
    0

    Buenos dias,

    Mi pregunta es la siguiente. Es posible replicar desde un dominio principal tan solo algunas Unidades organizativas, grupos y usuarios hacia un dominio Adicional??

    Si no es con dominios adicionales, ¿como podría hacerlo?

    Muchas Gracias.

    David

    David

     

Todas las respuestas

  • viernes, 18 de mayo de 2012 12:24
    Moderador
     
     Respondida
    Inicie sesión para votar
    1

    panthael, no hay replicación de Unidades Organizativas ni usuarios hacia otros dominios

    Si te refieres a replicación entre Controladores de Dominio de un mismo Dominio, entonces se replicará toda la información, no se puede limitar la replicación.
    El propósito de esto último es para tener tolerancia a fallas. Si no estuviera toda la info replicada no se podría cumplir con lo primero

     

    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

     
  • viernes, 18 de mayo de 2012 12:44
    Moderador
     
     Respondida
    Inicie sesión para votar
    1
    Tal cual como menciona guillermo, no es posible. Lo que me pregunto es ... por alguna razon en es especial querrias eso ? :) Quizas si nos cuentas la problematica podamos aconsejarte de mejor manera.

    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

     
  • viernes, 18 de mayo de 2012 12:52
    Moderador
     
     Respondida
    Inicie sesión para votar
    1

    Hola,

    Me uno a la consulta de Sebastian.. y me interesaria conocer un poco mas el ambiente, la problematica y/o situacion que deseas implementar, para saber en que se te puede ayudar porque tal vez, como bien indica Guillermo no se puede liminar una replicacion, pero si hablamos de dos dominios, se puede implementar una solucion que te ayude a encontrar lo que estas buscando.-

    Salu2

    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

     
  • viernes, 18 de mayo de 2012 13:38
     
     Respondida
    Inicie sesión para votar
    1

    Hola Panthael:

    Ha sido unanime la respuesta que te han dado por que es asi la forma correcta en que trabaja el S.O., claro esta esto no quiere decir que se pueda adaptar a las necesidades de tu empresa.

    Por lo que puedo deducir es que quieres tener todos tus departamentos de la empresa juntos (bajo un DOMINIO) pero a la vez no revueltos (departamentos independientes o autonomos) de ser asi esplicanos tu estructura de red tu ambiente de trabajo y las caracterisiticas de hardware que tienes disponibles creeme que puede haber alguna solucion solo es cuestion de plantear una estrategia o plan de trabajo basado en un buen diseño de lo que quiera que sea tu entorno de trabajo.

    saludos,

    Marcial Espitia - Panamá, Ciudad de Panamá | marciale@hotmail.com | Skype: marcialespitia | Twitter: @marcialespitia

     
  • domingo, 20 de mayo de 2012 18:35
     
     
    Inicie sesión para votar
    0

    Buenas A todos,

    Ante todo muhcas gracias por vuestras respuestas.

    Mi necesidad es la siguiente a partir de un DC que tenemos en un servidor externo, necesitamos montar dominios o subdominios o dominios adicionales que se relacionen con el raiz, pero que solo los usuarios que pertenecen a cada delegación esten replicados en el dominio que tendremos en esa delegación.

    La idea es que damos de alta usuarios en el dominio principal, en UO las cuales pertenecen a cada delegación y claro necesitamos no tener que dar de alta estos usuarios en cada delegación, es más si reiniciamos un password o cualquier política, quede pues reiniciada o aplicada en cada delegación dependiendo que si pertenece esa UO, o grupo o usuarios a esa delegación.

    Quizas no me haya explicado demasiado bien, perdonad si teneis alguna duda ante esta explicación por favor hacédmelo saber.

    Muchas Gracias

    David

    David

     
  • domingo, 20 de mayo de 2012 21:16
    Moderador
     
     Respondida
    Inicie sesión para votar
    1

    Los usuarios se crean en el dominio correspondiente, si tu quieres moverte a un escenario donde tengas un root domain, y luego dominios child por cada una de las unidades de negocio, o lo que fuera, deberias crear los usuarios en los dominios correspondientes que precises, ahora si tu lo que quieres es crear los usuarios en el dominio root, y utilizarlo desde los dominios child mediante las relaciones de confianza transitivas podras hacer esto, pero los usuarios pertenecen al dominio donde tu los has creado y por diseño no es posible replicarlo a servidores de otros dominios.

    Si bien entiendo la necesidad, no entiendo por que precisas montar dominios o subdominios adicionales ...

    Creo que seria bueno le des una mirada a este documento para ver las distintas opciones que tienes de acuerdo a tus necesidades y luego plantees las dudas correspondientes aqui.

    http://technet.microsoft.com/en-us/library/bb727085.aspx#EHAA

    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos


     
  • lunes, 21 de mayo de 2012 7:46
     
     
    Inicie sesión para votar
    0

    Buenas de nuevo.

    Estoy leyendo el artículo que me has recomendado.

    Mi escenario no es muy grande. Por el momento 2 delegaciones.

    La idea del dominio Root era para centralizar el cambio de password que realizamos a través de un aplicativo que cambia el password en el dominio Root a través de LDAPS.

    Si la idea es crear los usuarios tan solo en el dominio que pertenecen y ninguno en el root como podría centralizar este cambio de password?

    Entiendo la idea de los dominios adicionales ahora, y supongo que no es lo correcto, pero entonces, el tener un dominio raiz, centralizado para que sirve realmente?.

    Se que podría comenzar a buscar información , de hecho siempre me muevo así y saco los problemas de esta forma, pero esta vez voy a contrareloj por eso acudo a vosotros.

    Muchas Gracias

    David

    David

     
  • lunes, 21 de mayo de 2012 18:06
    Moderador
     
     Respondida
    Inicie sesión para votar
    1

    Tener más de un Dominio siempre es más complicado, aunque por supuesto hay situaciones que lo justifican, tanto desde el punto de vista administración (que se descentraliza en varios aspectos), como en la cantidad de servidores que se necesitan (recomendable dos controladores de dominio por cada dominio)

    Por lo que veo de tu mensaje dudo mucho que realmente sean necesarios más de un Dominio.

    Una opción que a lo mejor te sirve, si el tema es que en cada delegación esté replicado lo mínimo necesario, que generalmente se hace por temas de seguridad cuando en las delegaciones no hay seguridad física sobre los servidores, es poner RODC (Read Only Domain Controllers)

    Resumiendo, creas un único Dominio, pero en cada sucursal pones un RODC, en este además de ser sólo lectura (por seguridad), se replican las contraseñas solamente de las cuentas que quieras, no todas
    Cualquier cambio de contraseña se hace desde cualquier sitio, pero se hará siempre sobre los Controladores de Dominio del sitio central, pero puedes configurar que se repliquen a cada delegación solamente las contraseñas de los usuarios de dicha delegación

    ¿Te sirve algo así?

     

    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

     
  • lunes, 21 de mayo de 2012 20:10
     
     
    Inicie sesión para votar
    0

    Buenas Noches Guillermo.

    Los usuarios entonces estan dados de alta en el Controlador de dominio Raiz ?

    Ahora creo un RODC para una delegación y otro para la siguiente.

    Los usuarios se replican a esta rodc o simplemente estan en el DC raiz y se tiene que mantener la conexión con la delegación central abierta siempre para que los clientes de cualquiera de las dos delegaciones puedan entrar en dominio?

    Realmente si el RODC no requiere de una conexión constante con el DC raiz, creo que es lo que busco.

    Ya me comentaras cuando puedas.

    Muchas Gracias por tu atención

    DAvid

    David

     
  • lunes, 21 de mayo de 2012 21:06
    Moderador
     
     Respondida
    Inicie sesión para votar
    1

    Los usuarios están y son creados en el Dominio, que tienen una base de datos llamada NTDS.DIT

    Esta base está replicada en todos los Controladores de Dominio del Dominio.

    Los Controladores de Dominio "normales" tiene una réplica completa de todo

    Los Controladores de Dominio RODC, tienen todo menos las contraseñas de los usuarios, salvo las que marques específicamente que se repliquen a determinado RODC

    El RODC requiere conexión con otro Controlador de Dominio "normal", aunque no constante. La idea atrás de un RODC, además de lo que te comenté antes, es que si no hay conexión, un usuario cuya contraseña esté replicada pueda iniciar sesión normalmente.
    Si no hubiera conexión, y un usuario cuya contraseña no está replicada, trata de inciar sesión, no podrá

    En condiciones normales, esto es hay conexión, si el RODC puede autenticar al usuario usando sus propios datos, lo hace. Si no puede (porque no tiene almacenada la contraseña) entonces se debe contactar a otro Controlador de Dominio que sí la tenga.

    Resumiendo, no se necesita una conexión constante, pero se necesita que se conecten :)

    Yo mañana no aparezco por acá, tengo "un día de trabajo de esos", vuelvo recién pasado mañana, pero seguramente algún compañero te podrá ayudar si estás apurado

     

    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

     
  • martes, 22 de mayo de 2012 7:47
     
     
    Inicie sesión para votar
    0

    Muchas Gracias Guillermo,

    Se me estan abriendo diversas posibilidades con lo que me explicas.

    Solo una cosa, más si no estas hoy y no hay nadie que pueda contestar, no te preocupes, ya me diras.

    La replicación desde el DC principal al RODC se puede programar por tiempo?, o sea, quiero que cada 15 minutos me replique todos los passwords o lo que sea, desde el DC root al RODC.

    Y la última pregunta, es posible crear un RODC de un DC adicional?

    Muchas Gracias

    David

    David

     
  • miércoles, 23 de mayo de 2012 17:59
    Moderador
     
     Respondida
    Inicie sesión para votar
    1

    Configurando Sites, puedes no sólo controlar cada cuánto replica, sino además en los días y horarios que lo permites :)

    Lo que no puedes es que replique "únicamente las passwords", replicará todo lo que sea necesario. Recuerda que tiene copia de todo, menos las contraseñas, y salvo las que marques para que se repliquen

    Aclaración conceptual, el DC no es "root". El "root" es el Dominio AD

    Y con respecto a lo último no. Un RODC se instala como RODC y muere como RODC. Y la explicación es sencilla, si fuera un DC normal ya tiene copia local de todas las contraseñas, y no hay forma de eliminarlas selectivamente.

     

    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

     
  • jueves, 24 de mayo de 2012 15:05
     
     
    Inicie sesión para votar
    0

    Muchas Gracias a todos por vuestra ayuda, sobre todo porque las rectificaciones de mis conceptos erroneos sobre active directory y demás me han ayudado.

    Os lanzo la última pregunta, ¿es posible evitar que la replicación sea bidireccional? Osea, quiero que el controlador de dominio sea el que replique a los controladores de dominio adicional y no viceversa.

    A esto último que me has comentado, sobre horarios de replicación, dentro de sites me permite configurar cuando se va a replicar y veo que lo máximo es 4 veces en una hora, ¿es posible depurar y hacerlo antes?

    Muchas Gracias de nuevo

    David

    David

     
  • jueves, 24 de mayo de 2012 15:44
    Moderador
     
     Respondida
    Inicie sesión para votar
    1

    Hola,

    La replicacion siempre es bidireccional, no puedes modificar eso ya que tiene esa metodologia por diseño, hay una alternativa de replicacion DE CAMBIOS en forma unidireccional, cuando del otro lado pones un RODC, ya que los cambios siempre se realizaran en el DCFull y se replicaran hacia el RODC lo modificado en la base, no en forma inversa.-

    Para mejorar la replicacion a nivel tiempos, puedes implementar lo que se llama Change Notification: http://msdn.microsoft.com/en-us/library/windows/desktop/aa772153(v=vs.85).aspx

    Salu2

    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

     
  • jueves, 24 de mayo de 2012 22:36
    Moderador
     
     Respondida
    Inicie sesión para votar
    1

    Hola panthael, por un lado lo que comenta Leo que es totalmente correcto, pero queda la segunda parte de tu pregunta

    El cuadro que estás viendo de máximo 4 por hora, es cada cuanto controla, pero la frecuencia y días de replicación la configuras desde el botón "Schedule" (que no lo tengo en español a la vista ahora)

     

    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

     
  • viernes, 25 de mayo de 2012 7:36
     
     
    Inicie sesión para votar
    0

    Bueno, voy estrechando más el diseño de mi escenario gracias a vosotros.

    Cuando creas un usuario y en el perfil le dices \\servidor\recursocompartido. Es posible que la variable servidor no quede fijada al nombre host si no al nombre host en el que se encuentre el usuario en ese momento. Me explico, si esta en logroño, mi servidor se llamará SERVIDOR1 ( por ejemplo ), pero la estructura de uo y grupos y usuarios será la misma que en madrid, donde el servidor se llama SERVIDOR2, si cuando creas el usuario en el DC le dices que por defecto este usuario pertenece a logroño con lo cual su servidor se llama SERVIDOR1, cuando tenga que viajar a madrid, e inicie sesión en el servidor de la empresa de ese lugar le dará error de perfil pues no coincidirá el nombre de servidor asignado para su perfil con el nombre de servidor donde se encuentra actualmente.

    Muchas Gracias

    Un Saludo

    Por cierto, solo se puede dar un 1 al voto? no se puede calificar la calidad de respuesta?

    David

    David

     
  • viernes, 25 de mayo de 2012 10:09
    Moderador
     
     Respondida
    Inicie sesión para votar
    0

    panthael, este hilo ya se fue por muchos temas, y para mantener el foro aunque sea "un poco ordenado" :) tratamos que eso no suceda

    Sólo leyendo el principio de la pregunta ya te respondo: no. Tienes mucha confusión :)

    Por favor, pon una pregunta nueva para comenzar un nuevo hilo, y en el foro que corresponda
    http://social.technet.microsoft.com/forums/es-es/categories/

    Gracias

     

     

    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.