none
virtualizar dominio RRS feed

  • Pregunta

  • hola

    estoy persiguiendo una forma de evitar interrumpir a los usuarios de un dominio cuando debo realizar un mantenimiento del servidor...
    dado que el equipo previsto para ello, no lo tengo disponible por el momento, mi idea es virtualizar un 2003 server estandar y convertirlo en dominio... es posible?
    como se configuraría esa maquina virtual para conseguir evitar la interrupcion a los usuarios y puedan registrarse transparentemente?

    gracias
    jueves, 29 de enero de 2009 10:21

Todas las respuestas

  •  

    Hola kuno,

     

          Los pasos serían básicamente los siguientes:

     

          - Instalar sistema operativo en la máquina virtual

          - Instalar servicio DNS

          - Configurar TCP/IP para que apunte al DC actual como DNS primario

          - Ejecutar DCPromo (directamente desde grupo de trabajo, no la añadas al dominio primero como hace mucha gente)

     

          Una vez tengas el nuevo DC y haya replicado correctamente, deberías hacer lo siguiente para tener "alta disponibilidad":

          

           - Definirlo como Catálogo global (consola Sitios y Servicios)

           - Configurar TCP/IP para que apunte a sí mismo como DNS principal y como secundario el otro DNS. De esta forma

             deberían estar todos tus DC's, nunca lo configures para que apunte a un DNS externo, ya que entenderá que es un

             DNS del dominio y dará errores en los tests, ya que intentaría registrar en el DNS externo sus credenciales.

     

           En los clientes de la red, deberías verificar que todos tienen como DNS secundario la IP del nuevo DC/DNS, si no,

           no servirá de nada todo lo que has configurado. Si las máquinas tienen ip automática (DHCP) la cosa es fácil, si no,

           deberás hacerlo a mano o mediante GPO's de AD.

     

           En este punto, si todo ha ido bien, ya tendrías que poder parar el DC principal sin problemas. No sería recomendable que lo parases durante mucho tiempo ya que las funciones FSMO no estarán disponibles, pero esto no afectará si la parada son unas pocas horas. En cuanto a que el DC sea una máquina virtual, no te ocasionará ningún problema.

     

    Suerte!

     

    Carlos.

    MCSA - VMWare VCP

    http://www.serviciohelpdesk.com

     

     

     

    jueves, 29 de enero de 2009 12:13
  • Hola Kuno10, despues de tener el windows server 2003 instalado con la ip fija , configuras el dns con la ip del servidor dns del dominio, despues lo logas al dominio despues de estar logado al dominio lo promocionas como controlador de dominio, despues le asignas como catalogo global tambien tendrias que configurarle dns para que cuando tengas parado el servidor que es dc, dns es decir duplicar todo lo que sea el servidor parado dns dhc wins asi tienes configurar en los pc o en el dhcp que tengan los pcs la dns de los dos servidores por si falla alguno.

    jueves, 29 de enero de 2009 15:19
  • ok... estoy preparando todo para ponerme en marcha...

    una duda, mientras estoy configurando el segundo servidor... puedo fastidiar alguna otra cosa del servidor original?? es decir, puedo llegar a desconectar a los usuarios o algo parecido???

    no tengo dhcp... puedo llegar a configurar los dns de los equipos de la red sin necesidad de ir uno por uno???

    gracias

    saludos
    jueves, 5 de febrero de 2009 8:42
  • Hola Kuno10, al configurar dns, etc... lo usuarios no les afectara nada, lo de configurar el dns si no tienes DHCP, te va tocar ir de equipo a equipo y configurar el DNS
    jueves, 5 de febrero de 2009 9:23
  • me he puesto a configurar el dns... y me surgen muchas dudas... cómo debería hacerlo? es decir, que tipo de zona y tal, para que se adapte a mi necesidad de en caso de mantenimiento del servidor principal, los usuarios accedan por este...

     

    gracias


    saludos
    jueves, 5 de febrero de 2009 16:55
  •  En el primer DC ya está instalado y configurado DNS, seguramente la zona está integrada en AD, puedes verificarlo en las propiedades de la zona.

    Cuando instalas el segundo DC, le instalas DNS sin configurar nada, esperas que replique, y ya tienes todo.

    Lo único a configurar es que cada DNS se apunte como DNS primero a sí mismo y como secundario al otro DC.

    Lo mismo para los clientes que tengan configurados ambos DNSs

     


    Guillermo Delprato - MVP-MCT-MCSE
    jueves, 5 de febrero de 2009 19:23
    Moderador
  • Guillermo... a ver si te he entendido...

    servidor A, direccion ip A
    servidor B, servidor adicional de A, con direccion ip B

    entonces, en el servidor A, debo poner como dns1 la direc. ip A y como dns2 la direc. ip B???
    y en el servidor B, debo poner como dns1 la direc. ip B y como dns2 la direc. ip A???
    en los clientes creo que lo tengo claro, como dns1 direccion ip A y dns2 direccion ip B....

    respecto a lo que comenta cferalba, no lo entiendo muy bien... no sé cómo configurarlo como Catalogo global (supongo que se refiere al segundo servidor (B))

    EDITO: ya he conseguido marcar como catalogo global el CD adicional (B)

    EDITO2: mis clientes tiene direccion ip fija, y luego tengo un rango de dhcp... como podria modificar los dns a todos sin tener que moverme... cferalba, comentas algo de gpos de AD, cómo se hace?

    gracias a todos, me está sirviendo muchisimo vuestra ayuda


    saludos
    lunes, 9 de febrero de 2009 10:16
  • Servidor-A: el original
    Servidor-B: el nuevo que vas a agregar como DC

    Inicialmente el único DNS es Servidor-A, así que para poder promover a Servidor-B le tienes que decir que use como DNS a Servidor-A
    Promocionas a Servidor-B como controlador de dominio.

    Esperas que se produzca la replicación de la información. Déjalo por los menos 1 hora para asegurarse que se armen los Objetos Conexión y comience a replicar.
    Puedes irte a tomar y comer algo :-)

    En  Servidor-B, abres Usuarios y Equipos de AD, y verificas que tienes todas las OUs, cuentas, etc. replicadas.
    Instalas en Servidor-B el servicio DNS.

    Nuevamente, a tomar y comer algo. Esto es un requisito fundamental :-)

    Cuando vuelves abres la consola DNS en Servidor-B, y verificas que tengas las zonas replicadas desde el Servidor-A

    Ahora vas a las propiedades de TCP/IP de los servidores y pones:

    Servidor-A
    - DNS preferido: IP-A
    - DNS alternativo: IP-B

    Servidor-B
    - DNS preferido: IP-B
    - DNS alternativo: IP-A

    En los clientes que reciban o configura para que usen *ambo* DNSs (IP-A e IP-b). Uno como preferido y al otro como alternativo.

    No olvidarse de hacer a Servidor-B como Catálogo Global, que por lo que dices ya lo haz visto cómo se hace :-)

    Otra vez, a tomar y comer algo.

    Cuando vuelves, apagas un servidor y controlas que todo funcione normalmente en los clientes. Ahora apagando el otro servidor y debe suceder igual, todo sigue funcionando para la validación.
    Si lo haces muy rápido, puede ser que los clientes no se conecten porque tienen "cacheada" la respuesta negativa del servidor apagado, pero lo solucionas con IPCONFIG /FLUSHDNS.

    Ahora a hacer dieta, por todas las veces de "ir a tomar y comer algo" :-DDDD


    Guillermo Delprato - MVP-MCT-MCSE
    lunes, 9 de febrero de 2009 11:27
    Moderador
  • Gracias Guillermo... pero por qué me ha dado a mi la impresión que no ha tardado nada en hacer las cosas??? sólo me daba tiempo a tomar un café... nada de comer...

    Un saludo

    saludos
    martes, 10 de febrero de 2009 7:01
  • ¿No será que no le haz dado el tiempo suficiente?
     
    ¿Queda lejos el bar?
    :-DDDDDDDD
    Guillermo Delprato - MVP-MCT-MCSE
    martes, 10 de febrero de 2009 20:26
    Moderador
  • pues la verdad es que si...

    cómo puedo saber si todo está OK?

    gracias

    saludos
    miércoles, 11 de febrero de 2009 7:31
  • NETDIAG y DCDIAG

    Guillermo Delprato - MVP-MCT-MCSE
    miércoles, 11 de febrero de 2009 21:24
    Moderador
  • ok... he utilizado los dos programitas y en el dcdiag me sale el siguiente error: systemlog failed

    En el visor de sucesos me salen estos:

    - Evento MSDTC: MS DTC no pudo procesar correctamente un proceso de promoción o degradación de DC. MS DTC seguirá funcionando y utilizará la configuración de seguridad existente. Detalles del error: %1

    -Evento AutoEnrollment: La inscripción de certificados automática para Sistema local no puede inscribir un certificado Controlador de dominio (0x800706ba). El servidor RPC no está disponible.

    Me he fijado que la Entidad Emisora de Certificados instalada en el primer Servidor (A), no está instalada en B... deberia? esos eventos tienen que ver con esto, verdad?

    muchas gracias

    saludos
    jueves, 12 de febrero de 2009 11:23
  •  Respecto del primer error, pásame el EventID y el Source, así puedo buscar más información

    En relación a que no puede obtener un certificado de DC, esto sólo sucede si la CA es de tipo Enterprise y suelen pasar hasta 6 horas hasta que lo obtiene. Es así "by design", o inclusive si vas a la CA vas a ver que hay varios intentos fallidos, pero al final lo obtiene, reitero si es Enterprise CA, sinó es un "error esperable"

    La CA debe estar instalada en un sólo servidor, salvo que quieras tener más de una CA diferente, independientes o en jerarquía.

    Guillermo Delprato - MVP-MCT-MCSE
    jueves, 12 de febrero de 2009 21:33
    Moderador
  • ok,

    - Evento MSDTC: Origen: MSDTC e ID: 53258

    -Evento AutoEnrollment: Origen: AutoEnrollment e ID: 13

    Respecto a la entidad Certificadora... dudo que sea una version Enterprise, cómo puedo mirarlo?
    y a qué te refieres que sea un error esperable?

    lo del error del dcdiag, sabes por qué puede ser?

    muchas gracias!!!
    saludos
    viernes, 13 de febrero de 2009 9:00
  • No que de Autoridad Certificadora hay versiones diferentes, sino que cuando instalas una en un ambiente de dominio, puedes elegir si la instalas de un tipo o del otro.

    Abre la consola de la CA y cuenta cuántas carpetas tiene colgando. Si son 5 es una CA-Enterprise; si sólo tiene 4 carpetas, entonces es stand-alone (le falta una llamada "Plantillas de Certificado")

    Respecto al error de MSDTC es bastante genérico, revisa este enlace a ver si encuentras alguna opción que aplique
    http://www.eventid.net/display.asp?eventid=53258&eventno=4493&source=MSDTC&phase=1

    Guillermo Delprato - MVP-MCT-MCSE
    viernes, 13 de febrero de 2009 23:07
    Moderador
  • pues es una CA Enterprise... pero ya han pasado más de 6 horas... y el error sigue saliendo... veo en las propiedades algo de redirigir a otro equipo, pero no lo tengo claro...
    He aplicado un tema de permisos en un grupo, guiandome a una posible solución, pero debo esperar unas horitas, para ver si vuelve a salir...

    el error MSDTC ha desaparecido sólo...

    y mira los dos errores que me salen continuamente en el DC "Antiguo" (SBS 2003):

    -Microsoft ISA Server Web Proxy: Origen (el mismo que el titulo), Id: 14141, Descripcion: El servidor ISA detectó un bucle de cadena proxy. Hay un problema en la configuración de la directiva de enrutamiento del servidor ISA.

    He mirado por todos sitios y no llego a encontrar la solución (unos dicen antivirus (mcafee que tengo), ...) A ver si a ti se te ocurre algo...

    el segundo aparece menos actualmente:

    - MSExchangeTransport, idd 7010, Descripcion: Registro del protocolo SMTP para el servidor virtual con el Id. 1, conexión 689. El cliente "118.168.134.233" envió un comando "rcpt" y el servidor SMTP respondió con "550 5.7.1 Unable to relay for poi@mail2000.com.tw  ". El comando completo enviado fue "rcpt TO: <poi@mail2000.com.tw>". Es probable que esto produzca un error en la conexión.

    si se te ocurre algo, me lo comentas...

    gracias

    saludos
    lunes, 16 de febrero de 2009 7:38
  • Respecto a la CA pones "veo en las propiedades algo de redirigir a otro equipo, pero no lo tengo claro..." entonces menos lo tengo yo que no estoy viendo ni de dónde son las propiedades , ni sé qué es lo que dice de redirigir :-DDDD
    Trata de poner el lugar y mensajes exactos para poder darme cuenta de qué es lo que está sucediendo.
    Por favor pega de nuevo el EventID y Source relacionado al problema de la CA

    Respecto de los errores de ISA y Exchange, mejor consulta en los grupos específicos que te podrán dar ayuda
    Guillermo Delprato - MVP-MCT-MCSE
    lunes, 16 de febrero de 2009 13:31
    Moderador
  • los eventos y sources están en este post más arriba...

    solo me queda por resolver el de la CA... el AutoEnrollment...  por la web he visto una posible solución que no me ha funcionado... era la de incluir en el grupo CERTSVC_DCOM_ACCESS el grupo Controladores de dominio...

    Este error sale cada 6 u 8 horas.

    Lo de las propiedades lo he visto aquí: Herr.Adm->Entidad Emisora Certif-> boton derecho sobre la primera cabecera (la que contiene los certificados, en mi caso solo uno)

    gracias!!!

    saludos
    martes, 17 de febrero de 2009 10:01
  • Guillermo, tengo otra duda... y es que al primer servidor acceden usuarios por vpn... debo realizar alguna configuración en el nuevo servidor para tener esa opción habilitada???

    Gracias

    saludos
    miércoles, 18 de febrero de 2009 11:31
  • En las propiedades de la CA, en la ficha General, no hay nada que diga o esté relacionado con redirigir...
    ¿Puedes aclarar esto?

    Guillermo Delprato - MVP-MCT-MCSE
    miércoles, 18 de febrero de 2009 11:50
    Moderador
  • a ver... cuando abro la ventana de la entidad certificadora... en el menú, en acción, es donde sale lo de redirigir la entidad certificadora a otro equipo... ojo! debe estar seleccionado en el arbol la primera rama (entidad certificadora local), si seleccionamos el propio certificado no da la opción.

    y si quito el certificado y lo vuelvo a crear??? (actualmente no lo estoy utilizando, ya que lo creé para ssl con owa y por problemas con el isa, lo he realizado sin ssl). También viene por ahi todo el tema de duplicar el servidor, ya que tengo la intención de "reparar" o actualizar el "antiguo".

    respecto a lo que te comentaba en otro post sobre el vpn? debo implementar o instalar algo en el nuevo?

    gracias

    saludos
    jueves, 19 de febrero de 2009 8:29