none
Problemas DC principal RRS feed

  • Pregunta

  • Buenos días,

    Tengo un dominio con dos controladores de dominio, el primero como principal y el segundo como secundario. El catalogo global y las funciones maestras de dominio están configuradas por defecto. El segundo servidor tiene instalado el sqlserver. Ambos tienen el servidor dns integrado el directorio activo. El problema viene cuando se me estropeo el servidor principal y tuve que mandarlo al servicio técnico. El dominio siguió funcionando mediante el secundario (con algún que otro problema). Cuando recupere el servidor principal, tuve que reinstalar el dominio mediante dcpromo y lo coloque en su sitio. Encendí los servidores escalonadamente empezando por el principal, pero los DCs no se veían correctamente en el dominio y los equipos empezaron a dar problemas de permisos. Mi solución fue, dcpromo /forceremoval en el segundo servidor y promocionarlo otra vez como secundario. Tuve que reinstalar el sqlserver, ya que daba error en algunos servicios aunque le cambie correctamente para que iniciara los servicios como administrador de dominio y contraseña correcta, el servicio de microsoft search seguía dando error. Después de reinstalar el sql server funcionaba correctamente. Tuve que insertar nuevamente los equipos el dominio para que funcionasen correctamente.

    Mi pregunta es: ¿hay forma mas sencilla para recuperar el dominio sin que tenga que crear uno nuevo? y ¿cual seria la configuración correcta de los dc para que cuando falle el principal puedan funcionar con todas las funciones (por ejem. tengo que instalar el catalogo global en el secundario o alguna función maestra)?

    Gracias por todo.

    martes, 12 de septiembre de 2006 8:32

Respuestas

  • Hola Irete,

    En windows 2000 y 2003 todos los dcs son maestros, si se realizan las operaciones correctamente la tolerancia a fallos esta garantizada.

    Solo ciertos roles llamados FSMO simplificando los FSMO corren especificamente en el primer DC que se instalo en el forest y en cada dominio o en los servidores que se designen, pero en caso de que los DCs que corran esos roles, no esten disponibles, es muy sencillo pasar los roles a otros DCs.

    Los global catalog tambien se pueden hacer y quitar sin problemas, dado que los puestos los encuentran a traves del DNS y la información necesaria se extrae de los DCs vivos.

    Asi que mientras que tengas dos dcs en cada dominio y solo se te rompa uno, no tienes que tener ningun problema, siempre y cuando todos los roles especiales esten corriendo en el DC vivo, si no es asi, tienes que actuar dependiendo de que el servidor en el que esten los roles vaya a volver o no.

    Si va a volver y puedes esperar, no pasara nada, salvo con ciertas acciones como meter maquinas en el domino, crear nuevos dominios, etc.

    Si por el contrario crees que no volvera o que tardara mucho tienes que usar la herramienta ntdsutil para hacer un "seize" de los roles y ponerlos en un DC vivo, despues de esto todo funcionara correctamente.

    Segun la versión del directorio que tengas el tombstone ira de 60 a 180 dias,si un DC ha estado incomunicado durante mas dias que los marcados por el tombstone, ese DC no podra replicar.

    En tu caso, todo hubiera pasado por:

    Poner en el servidor vivo como DNS primario a si mismo.

    Hacer que los puestos tengan como servidor DNS primario a este servidor.

    Usar NTDSUtil para hacer un seize de los roles.

    Usar NTDSUtil para hacer un metadatacleanup con el fin de limpiar la información del DC antiguo en el AD.

    Hacer GC al DC.

    Cuando llegara el servidor antiguo, antes de ponerlo en red, formatearlo e instalarlo de nuevo con otro nombre y actualizado.

    Poner como dns primario al DC que tienes vivo.

    Instalar el servicio de DNS.

    Hacer DCPromo.

    Cuando reinicie, comprobar que todo esta bien con dcdiag y replmon.

    Poner en el dc que has puesto nuevo como dns primario a si mismo, como secundario al otro y al reves en el servidor que ya tenias.

    Modificar el DHCP para que ponga este DNS como secundario en los puestos.

    Marcar como GC si fuera necesario.

    Distribuir los FSMO de acuerdo al articulo: http://support.microsoft.com/kb/223346/

    Independientemente de esto, te recomiendo que te asegures de tener backups del System State de los DC para tener copias del AD, por si se te rompieran los dos DCs.

    Un saludo.

    Buenas practicas para el uso de los foros
    Si la respuesta te es de utilidad marca la pregunta como respondida, ayudaras a mantener el foro util para todos y asi agradeces las respuestas.
    No pongas las preguntas en mas de un foro.

    Daniel Matey.
    MCSE, MCSA, MCSD, MCDBA.
    Blog: http://dmatey.spaces.live.com

     

     

     

     

     

    martes, 12 de septiembre de 2006 9:12

Todas las respuestas

  • Hola Irete,

    En windows 2000 y 2003 todos los dcs son maestros, si se realizan las operaciones correctamente la tolerancia a fallos esta garantizada.

    Solo ciertos roles llamados FSMO simplificando los FSMO corren especificamente en el primer DC que se instalo en el forest y en cada dominio o en los servidores que se designen, pero en caso de que los DCs que corran esos roles, no esten disponibles, es muy sencillo pasar los roles a otros DCs.

    Los global catalog tambien se pueden hacer y quitar sin problemas, dado que los puestos los encuentran a traves del DNS y la información necesaria se extrae de los DCs vivos.

    Asi que mientras que tengas dos dcs en cada dominio y solo se te rompa uno, no tienes que tener ningun problema, siempre y cuando todos los roles especiales esten corriendo en el DC vivo, si no es asi, tienes que actuar dependiendo de que el servidor en el que esten los roles vaya a volver o no.

    Si va a volver y puedes esperar, no pasara nada, salvo con ciertas acciones como meter maquinas en el domino, crear nuevos dominios, etc.

    Si por el contrario crees que no volvera o que tardara mucho tienes que usar la herramienta ntdsutil para hacer un "seize" de los roles y ponerlos en un DC vivo, despues de esto todo funcionara correctamente.

    Segun la versión del directorio que tengas el tombstone ira de 60 a 180 dias,si un DC ha estado incomunicado durante mas dias que los marcados por el tombstone, ese DC no podra replicar.

    En tu caso, todo hubiera pasado por:

    Poner en el servidor vivo como DNS primario a si mismo.

    Hacer que los puestos tengan como servidor DNS primario a este servidor.

    Usar NTDSUtil para hacer un seize de los roles.

    Usar NTDSUtil para hacer un metadatacleanup con el fin de limpiar la información del DC antiguo en el AD.

    Hacer GC al DC.

    Cuando llegara el servidor antiguo, antes de ponerlo en red, formatearlo e instalarlo de nuevo con otro nombre y actualizado.

    Poner como dns primario al DC que tienes vivo.

    Instalar el servicio de DNS.

    Hacer DCPromo.

    Cuando reinicie, comprobar que todo esta bien con dcdiag y replmon.

    Poner en el dc que has puesto nuevo como dns primario a si mismo, como secundario al otro y al reves en el servidor que ya tenias.

    Modificar el DHCP para que ponga este DNS como secundario en los puestos.

    Marcar como GC si fuera necesario.

    Distribuir los FSMO de acuerdo al articulo: http://support.microsoft.com/kb/223346/

    Independientemente de esto, te recomiendo que te asegures de tener backups del System State de los DC para tener copias del AD, por si se te rompieran los dos DCs.

    Un saludo.

    Buenas practicas para el uso de los foros
    Si la respuesta te es de utilidad marca la pregunta como respondida, ayudaras a mantener el foro util para todos y asi agradeces las respuestas.
    No pongas las preguntas en mas de un foro.

    Daniel Matey.
    MCSE, MCSA, MCSD, MCDBA.
    Blog: http://dmatey.spaces.live.com

     

     

     

     

     

    martes, 12 de septiembre de 2006 9:12
  • Muchas gracias por la respuesta
    una ultima pregunta
    "Cuando llegara el servidor antiguo, antes de ponerlo en red, formatearlo e instalarlo de nuevo con otro nombre y actualizado."
    Se podria de alguna forma mantener el nombre del servidor?

    martes, 26 de septiembre de 2006 19:55