none
Servidor de DNS en un bosque de controladores de dominio RRS feed

  • Pregunta

  • Buenas a todos,

    tengo un controlador de dominio y 6 adicionales, hasta hace poco se replicaban bien , pero vi en uno de ellos algunos fallos de grouppolicy, después de tocar el servidor de dns del controlador de dominio , ha pasado algo, he visto un monton de errores en mi controlador de dominio y al cabo de un rato se ha estabilizado pero veo fallos en algunas máquinas cliente que están dentro del dominio.

    Los Adicionales se conectan al controlador de dominio por VPN, a través de otra red, osea tenemos la red interna y después una red de vpn.

    Ahora no puedo replicar uno de los adicionales, da un error de RPC, el resto aparentemente van bien.

    como puedo saber cual es el buen funcionamiento de un servidor de DNS de un contrlador de dominio, como configurarlo correctamente?

    Es normal que todas las entradas del contrlador de dominio se repliquen a los adicionales?

    En los sites creados en el controlador de dominio, están los servidores de los adicionales, en la ventana de la derecha deben estar todos los dominios adicionales que existen? deben replicarse todos con todos?

    Perdon por tanta pregunta pero estoy en momento de crisis ahora mismo.

    Muchas Gracias

    David


    David

    jueves, 11 de abril de 2013 10:36

Respuestas

  • Respondo entre párrafos

    Cierto el controlador de dominio (Para mi principal pues es el primero que di de alta), a parte de la red externa, tiene una interna y 2 clientes VPN, esto hace en realidad 3 redes distintas.

    Realmente los únicos que se conectan a través de las VPN son los controladores de dominio adicional con el controlador de dominio.

    Pensamos en su momento en hardware para hacer VPN punto a punto, también en software dentro de los firewalls, de todas formas, con esto conseguiríamos que los controladores trabajasen dentro de una misma red, pero el problema es como te dije en mi correo anterior , cada delegación tiene su rango de red, el controlador de dominio adicional de cada red se comunica a través de la red de vpn con el controlador de dominio para replicarse.

    [Guillermo] Que las conexiones entre sitios se armen por hardware, justamente implica que *deben* estar en redes diferentes. La VPN nunca pasará tráfico de la misma red

    De esta forma, siempre necesitaré esa segunda tarjeta de red , al menos para poder comunicarme con el resto de controladores de dominio adicional.

    [Guillermo] No ¿por qué motivo?

    ¿Una Pregunta, los controladores de dominio adicional deben replicarse todos con todos, o solo contra el controlador de dominio (EL primero que dimos de alta)?

    [Guillermo] Esta pregunta me crea una duda importante... voy al párrafo siguiente y sigo leyendo, pero temo "algo feo" :-)

    Cuando abro SITES en el controlador de dominio veo que tengo un default site por cada controlador de dominio adicional, y dentro de estos en la ventana de la derecha, veo algunos controladores de dominio adicional, no están todos, algunos están en unos sites y otros en otros, yo cuando provoco una replicación siempre lo hago partiendo desde el controlador de dominio (Principal) hacia los controladores adicionales.

    [Guillermo] De ninguna forma puedes tener varios "default sites", o hay uno solo, o uno nombrado diferente por cada Site. Todo depende si haz hecho la configuración necesaria (deben existir varios Sites), o no (todos en el mismo Default Site
    Que no estén todos los DCs es grave porque, o no están replicando, o en realidad lo que tienes son diferentes dominios que se llaman igual (esto sería un problema grave)
    Qué Controlador de Dominio replica con cuál otro depende si tienes hecha correctamente la parte de Sites y por supuesto de la cantidad de dominios. Si están todos dentro del mismo Site se debería armar un "doble anillo" de replicación. Si están en Sites diferentes debería haber una replicación desde un DC de un Site al otro, y uno inverso, no más

    Es cierto el servidor de DNS crea tantas entradas de ese controlador de dominio como IP's Tiene, supongo que por eso tengo a menudo problemas de replicación entre otras cosas.

    [Guillermo] En las propiedades de una conexión, propiedades de TCP/IP, botón Avanzadas, puedes desmarcar la opción para que se registre en el DNS

    Respecto a los catálogos globales, los clientes de cada red pueden autenticarse contra sus controladores de dominio adicional sin necesidad de que estos tengan comunicación con el controlador de dominio que entiendo es catálogo global. Es posible que al crear los controladores de dominio adicional, hiciera que fueran catálogos globales?? como puedo averiguar esto??? Quiere decir que cualquiera de ellos puede ser controlador de dominio (Principal)? , esto lo digo porque quiero pasar a server 2012 pero sin perder todos los usuarios, passwords, roles, etc,. Como me recomiendas que haga este paso???

    [Guillermo] Depende la versión de sistema operativo un DC es Catálogo Global por omisión o no. Para hacer las pruebas de ver si un usuario puede iniciar sesión hay que hacerlo con un usuario nuevo, ya que por omisión utiliza "Cached credentials"
    Para saber si es Catálogo Global, lo ves en las propiedades de "NTDS Settigns" debajo del servidor en "ADSites and Services"
    No uses la palabra "principal" porque no hay "DC principal", tampoco tiene relación con que sea Catálogo Global. Algunos lo llaman así al que tienes los "FSMO Roles", pero el término "principal" finalizó con NT4

    Por el tema Sites, revisa el siguiente enlace
    Configurando Sites (Sitios) en Active Directory | WindowServer:
    http://windowserver.wordpress.com/2013/02/08/configurando-sites-sitios-en-active-directory/

    En fin, no te mareo más , muchas gracias por tu ayuda.

    Un Saludo

    David


    David



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 12 de abril de 2013 12:00
    Moderador

Todas las respuestas

  • Si son todos "controladores de dominio adicionales" entonces tienes un único dominio, y por lo tanto toda la información de AD debe estar replicada en todos.
    Si, como es normal, la zona DNS está integrada en AD, es lógico que esté replicada en todos

    Cada controlador de dominio debe tener configurado para usar como DNS, a otro controlador de dominio y a sí mismo

    Para probar la resolución de nombres DNS se utiliza el comando NSLOOKUP

    Desde cada controlador de dominio y cliente se tienen que poder resolver los nombres de todos los controladores de dominio, y del nombre del dominio

    Por lo que dices pienso que el problema puede venir por: los controladores de dominio locales y remotos ¿cuántas interfases de red tienen? ¿son los VPN? ¿tienen más de una placa de red? ¿son los que hacen la conexión VPN?

    Controladores de dominio con más de una dirección IP es conocido que causan problemas (multihomed domain controllers si quieres buscar sobre el tema)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 11 de abril de 2013 12:11
    Moderador
  • Buenas Guillermo,

    El servidor que tengo en un hosting remoto fue el primer controlador de dominio con el cual di de alta ese dominio (Entiendo que al ser el primero, debe ser catálogo Global, no?). Después di de alta 4 controladores de dominio adicionales.

    cada uno de ellos está en una delegación diferente, cada uno de ellos tiene un rango de red diferente. Para que se comuniquen con el controlador de dominio creé una VPN,

    Controlador de dominio y adicionales tienen una red a parte del mismo rango a través de la cual se replican, osea, si el controlador de dominio tiene la ip 192.168.0.15 , las tarjetas de red de VPN de cada dominio adicional tienen una ip de esa red y como servidor DNS la 192.168.0.15, de esta forma creé los controladores de dominio adicional.

    Después cada controlador de dominio adicional tiene su rango de red y como servidor DNS se tiene a si mismo. (Nunca he hecho que se tenga a si mismo y a otro controlador de dominio.

    EL controlador de dominio remoto , (El primero que creamos) hace conexiones VPN con servidores de VPN en cada delegación, adquiriendo así una ip del Rango de Red que te he dicho antes 192.168.0.x . El resto de controladores de dominios adicionales tienen una tarjeta de red como he dicho antes con una ip de ese rango y como servidor DNS la ip asignada por el server VPN al controlador de dominio.

    Tenemos pues que cada controlador de dominio adicional tiene 2 tarjetas de red y el controlador de dominio remoto, tiene 2 clientes VPN conectados a dos servidores VPN remotos, su tarjeta de red externa ( La del hosting ) y una tarjeta de red interna que nos comunica con el resto de servidores que tenemos en ese hosting del rango 192.168.1.x lo cual nos permite la comunicación interna mucho más fluida.

    Guillermo, no se si me he explicado bien.

    Después de todo el lio que hemos tenido ahora me encuentro que un terminal server que esta dentro de la red interna del hosting que está en dominio, antes iba muy rápido al conectar y ahora tarda cada cliente almenos 1:30 minutos, dando warnings después de winlogon (tiempo demasiado alto de login, unos 390 segundos) durante los cuales se queda aplicando configuración o bien aplicando políticas. También tengo Warnings de user profile service o errores de grouppolicy, esto en el terminal server y en el dominio tengo bastantes errores de WINLOGON.

    En fin, estoy algo desesperado con este tema. Me está quitando sueño....

    Como lo ves todo lo que te he explicado

    Muchas Gracias por tu paciencia y atención Guillermo

    David


    David

    jueves, 11 de abril de 2013 15:35
  • Es un tema complicado lo que tienes porque además del tema de tener dos conexiones de red, se suma una tercera o más, por cada VPN
    Para que veas uno sólo de los problemas, si miras en el DNS vas a ver que los DCs registran todas sus IPs, y un cliente que está en una red determinada puede tratar de conectarse al mismo DC pero a una IP "remota", que además si son VPNs seguramente estarán filtradas

    "La solución" a todos los problemas es que las VPNs no se hagan desde los controladores de dominio ¿cómo andas de presupuesto? ;-)
    O inclusive se pueden hacer desde los Routers seguramente, y eliminas todos los problemas de "multi-homed"

    Por otro lado, siempre es conveniente que todos los equipos tengan configurados dos servidores DNS, uno local y otro remoto. En el caso de los controladores de dominio, yo prefiero primero remoto y luego a sí mismo, porque AD suele levantar antes que DNS y de esa forma se acelera el arranque. En los W2000 era obligatoria esa configuración

    Por la infraestructura que comentas, un único dominio, te conviene que todos los DCs sean Catálogo Global, no incrementas tráfico, y requerda que cada vez que un usuario se autentica hay que contactar a un Catálogo Global

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 11 de abril de 2013 17:09
    Moderador
  • Cierto el controlador de dominio (Para mi principal pues es el primero que di de alta), a parte de la red externa, tiene una interna y 2 clientes VPN, esto hace en realidad 3 redes distintas.

    Realmente los únicos que se conectan a través de las VPN son los controladores de dominio adicional con el controlador de dominio.

    Pensamos en su momento en hardware para hacer VPN punto a punto, también en software dentro de los firewalls, de todas formas, con esto conseguiríamos que los controladores trabajasen dentro de una misma red, pero el problema es como te dije en mi correo anterior , cada delegación tiene su rango de red, el controlador de dominio adicional de cada red se comunica a través de la red de vpn con el controlador de dominio para replicarse.

    De esta forma, siempre necesitaré esa segunda tarjeta de red , al menos para poder comunicarme con el resto de controladores de dominio adicional.

    ¿Una Pregunta, los controladores de dominio adicional deben replicarse todos con todos, o solo contra el controlador de dominio (EL primero que dimos de alta)?

    Cuando abro SITES en el controlador de dominio veo que tengo un default site por cada controlador de dominio adicional, y dentro de estos en la ventana de la derecha, veo algunos controladores de dominio adicional, no están todos, algunos están en unos sites y otros en otros, yo cuando provoco una replicación siempre lo hago partiendo desde el controlador de dominio (Principal) hacia los controladores adicionales.

    Es cierto el servidor de DNS crea tantas entradas de ese controlador de dominio como IP's Tiene, supongo que por eso tengo a menudo problemas de replicación entre otras cosas.

    Respecto a los catálogos globales, los clientes de cada red pueden autenticarse contra sus controladores de dominio adicional sin necesidad de que estos tengan comunicación con el controlador de dominio que entiendo es catálogo global. Es posible que al crear los controladores de dominio adicional, hiciera que fueran catálogos globales?? como puedo averiguar esto??? Quiere decir que cualquiera de ellos puede ser controlador de dominio (Principal)? , esto lo digo porque quiero pasar a server 2012 pero sin perder todos los usuarios, passwords, roles, etc,. Como me recomiendas que haga este paso???

    En fin, no te mareo más , muchas gracias por tu ayuda.

    Un Saludo

    David


    David

    jueves, 11 de abril de 2013 22:01
  • Respondo entre párrafos

    Cierto el controlador de dominio (Para mi principal pues es el primero que di de alta), a parte de la red externa, tiene una interna y 2 clientes VPN, esto hace en realidad 3 redes distintas.

    Realmente los únicos que se conectan a través de las VPN son los controladores de dominio adicional con el controlador de dominio.

    Pensamos en su momento en hardware para hacer VPN punto a punto, también en software dentro de los firewalls, de todas formas, con esto conseguiríamos que los controladores trabajasen dentro de una misma red, pero el problema es como te dije en mi correo anterior , cada delegación tiene su rango de red, el controlador de dominio adicional de cada red se comunica a través de la red de vpn con el controlador de dominio para replicarse.

    [Guillermo] Que las conexiones entre sitios se armen por hardware, justamente implica que *deben* estar en redes diferentes. La VPN nunca pasará tráfico de la misma red

    De esta forma, siempre necesitaré esa segunda tarjeta de red , al menos para poder comunicarme con el resto de controladores de dominio adicional.

    [Guillermo] No ¿por qué motivo?

    ¿Una Pregunta, los controladores de dominio adicional deben replicarse todos con todos, o solo contra el controlador de dominio (EL primero que dimos de alta)?

    [Guillermo] Esta pregunta me crea una duda importante... voy al párrafo siguiente y sigo leyendo, pero temo "algo feo" :-)

    Cuando abro SITES en el controlador de dominio veo que tengo un default site por cada controlador de dominio adicional, y dentro de estos en la ventana de la derecha, veo algunos controladores de dominio adicional, no están todos, algunos están en unos sites y otros en otros, yo cuando provoco una replicación siempre lo hago partiendo desde el controlador de dominio (Principal) hacia los controladores adicionales.

    [Guillermo] De ninguna forma puedes tener varios "default sites", o hay uno solo, o uno nombrado diferente por cada Site. Todo depende si haz hecho la configuración necesaria (deben existir varios Sites), o no (todos en el mismo Default Site
    Que no estén todos los DCs es grave porque, o no están replicando, o en realidad lo que tienes son diferentes dominios que se llaman igual (esto sería un problema grave)
    Qué Controlador de Dominio replica con cuál otro depende si tienes hecha correctamente la parte de Sites y por supuesto de la cantidad de dominios. Si están todos dentro del mismo Site se debería armar un "doble anillo" de replicación. Si están en Sites diferentes debería haber una replicación desde un DC de un Site al otro, y uno inverso, no más

    Es cierto el servidor de DNS crea tantas entradas de ese controlador de dominio como IP's Tiene, supongo que por eso tengo a menudo problemas de replicación entre otras cosas.

    [Guillermo] En las propiedades de una conexión, propiedades de TCP/IP, botón Avanzadas, puedes desmarcar la opción para que se registre en el DNS

    Respecto a los catálogos globales, los clientes de cada red pueden autenticarse contra sus controladores de dominio adicional sin necesidad de que estos tengan comunicación con el controlador de dominio que entiendo es catálogo global. Es posible que al crear los controladores de dominio adicional, hiciera que fueran catálogos globales?? como puedo averiguar esto??? Quiere decir que cualquiera de ellos puede ser controlador de dominio (Principal)? , esto lo digo porque quiero pasar a server 2012 pero sin perder todos los usuarios, passwords, roles, etc,. Como me recomiendas que haga este paso???

    [Guillermo] Depende la versión de sistema operativo un DC es Catálogo Global por omisión o no. Para hacer las pruebas de ver si un usuario puede iniciar sesión hay que hacerlo con un usuario nuevo, ya que por omisión utiliza "Cached credentials"
    Para saber si es Catálogo Global, lo ves en las propiedades de "NTDS Settigns" debajo del servidor en "ADSites and Services"
    No uses la palabra "principal" porque no hay "DC principal", tampoco tiene relación con que sea Catálogo Global. Algunos lo llaman así al que tienes los "FSMO Roles", pero el término "principal" finalizó con NT4

    Por el tema Sites, revisa el siguiente enlace
    Configurando Sites (Sitios) en Active Directory | WindowServer:
    http://windowserver.wordpress.com/2013/02/08/configurando-sites-sitios-en-active-directory/

    En fin, no te mareo más , muchas gracias por tu ayuda.

    Un Saludo

    David


    David



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 12 de abril de 2013 12:00
    Moderador
  • Perdón por no haber contestado antes. Estoy hasta el cuello de trabajo Me ha ido muy bien tu respuesta Guillermo. Muchas gracias David

    David

    sábado, 27 de abril de 2013 9:48
  • Buenas Guillermo,

    Perdona que retome esta conversación pero veo información referente a crear una VPN entre 2 situaciones geográficas distantes, donde tengo en ella un controlador de dominio y en otra requiero crear un controlador de dominio adicional a partir de la primera. Cada sitio tiene su red la cual una es diferente de otra.

    La situación que debo reproducir es una VPN site to site?.

    Me puedes pasar alguna url donde se explique este escenario un poco?

    De nuevo perdona si reitero sobre este hilo de conversación

    Muchas Gracias

    David


    David

    martes, 7 de mayo de 2013 10:07
  • Exactamente lo que debes crear es una VPN Site-to-Site, pero ten en cuenta que es altamente recomendable que en la configuración de la misma no intervengan los controladores de dominio. Esto es, que los controladores de dominio no sean los servidores VPN. Eso es así tanto por problemas de seguridad, como por los problema que trae un controlador de dominio con más de una dirección IP

    Tengo hechos los paso a paso, tanto con W2003, W2008 y W2012

    Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) | WindowServer:
    http://windowserver.wordpress.com/2013/02/02/windows-server-2012-conectando-sitios-por-vpn-site-to-site-vpn/

    Demostración Conectando Redes por VPN con PPTP – (Site to Site VPN) | WindowServer:
    http://windowserver.wordpress.com/2012/03/24/demostracin-conectando-redes-por-vpn-con-pptp-site-to-site-vpn/

    Conectando Sitios con VPN (RRAS e ISA ) | WindowServer:
    http://windowserver.wordpress.com/2011/02/10/conectando-sitios-con-vpn-rras-e-isa/

    En este último la implementación de certificados digitales, es únicamente si la VPN la vas a crear por L2TP+IPsec. Con PPTP no hacen falta

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 7 de mayo de 2013 12:04
    Moderador
  • Buenas Muy buenas Guillermo, Perdona no haber contestado al hilo antes. Realmente tus blogs sobre temas varios de server 2012 que es el que yo uso han sido de una utilidad increíble, he solucionado problemas y sobre todo he aprendido mucho. Muchas gracias. Este del VPN site to site ha sido de una utilidad muy grande. He montado la infraestructura que necesitaba, solucionado lo de las tarjetas dobles en controladores de dominios y lo más importante , me ha quedado claro por fin nomenclaturas como Dominio, controlador de dominio, PDC emulado y controladores adicionales, entre otras cosas como los FSMO.

    Muchas Gracias.

    Un Saludo

    David


    David

    lunes, 27 de mayo de 2013 7:33