none
Eliminar dominio por completo RRS feed

  • Pregunta

  • Hola.

    Escenario:

    He heredado el desastre de otro técnico en una empresa.

    Necesito virtualizar en ESXi un Windows Server 2012. Cuando utilizo el converter, me dice que no puede virtualizar controladores de dominio. Cuando me documento mejor, veo que es una MUY MALA IDEA virtualizar un controlador de dominio unico. Hablan de hacer un demote y un dominio nuevo, pero yo solo tengo un PC.

    El la red solo hay 6 PCs clientes, de los cuales 3 ni siquiera estan en el dominio actualmente.

    El Servidor que hace de controlador de dominio hace de server SQL, servidor de ficheros y tiene instalado el software de servidor de la aplicación de gestión.

    Normalmente reinstalaría de 0 todo el servidor y punto, pero como el cliente ya no paga el soporte de la aplicación de gestión vieja nos piden un dineral para reinstalarla en un servidor nuevo. Ya estoy en vías de que me proporcionen la licencia que mi cliente pago y el procedimiento de migración de forma gratuita, pero de momento la virtualización no puede esperar.

    Peticion:

    No quiero una forma de reparar el dominio, ni moverlo a un entorno virtual, ni reinstalarlo, ni nada, solo quiero información de como eliminar el dominio de forma totalmente segura, con garantías de que ni los PCs cliente que utilizan carpetas compartidas para la aplicación de gestión ni el SQL Server instalado en el controlador de dominio se verán afectados.

    Pregunta:

    Qué pasaría si al iluminado que configuro los clientes y servidores de gestión me puso el path en modo \\servidor.dominio ??

    PS: Ahora entiendo mejor por que los tecnicos recomiendan MS: Dais un trabajo de la hostia xD

    miércoles, 3 de mayo de 2017 10:03

Respuestas

  • Hola Dgoiko, muy compleja la situación para que pueda darte algún consejo desde acá. Y más si se está administrando un sistema Windows desde Linux, es una "mezcla" con la cual no estoy familiarizado y por lo tanto considero casi "peligrosa" :) Pero si es tu gusto, que así sea

    Te aclaro que no me considero un "experto", sólo que he sido MCT ("Trainer Certificado") por muchos años y tuve acceso a muy buena información desde NT3.5 y toda su evolución. No pertenezco, ni represento, ni hago soporte oficial, de Microsoft

    Un comentario sobre el DNS principal y el secundario de Google: el cliente nunca usará el secundario si el primario responde, aunque la respuesta sea "no existe". Cambiará sólo si el primero no respondiera

    Es una situación compleja y difícil de resolver, no puedo darte mucha ayuda porque realmente no estoy familiarizado con ese entorno, sólo tendría en cuenta que antes de cada cambio tener un plan de rollback

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 9 de mayo de 2017 14:55
    • Marcado como respuesta Moderador M jueves, 18 de mayo de 2017 15:18
    martes, 9 de mayo de 2017 10:06
    Moderador

Todas las respuestas

  • Hola Dgoiko, estás en un problema que dudo puedas solucionar como comentas. Tanto las cuentas de usuario como las cuentas de servicio se autentican ya sea en Dominio como en local si fuera Grupo de Trabajo

    En la interfaz de alto nivel el sistema muestra nombres de usuario, pero cuando tiene que identificar a alguien usa el SID ("Security ID") que es algo análogo a un número de docuemto de identidad. Esto implica que aunque dos usuarios se llamen "Dgoiko" son personas diferentes

    Trata de solucionar el tema con la aplicación, porque desde el punto de vista Windows no creo que tengas alternativa

    Desde Windows Server 2012, están soportados los Controladores de Dominio virtualizados, él requisito es que el sistema de virtualización soporte "VM Generation ID". Para que tengas como ejemplo:

    Windows Server 2012: Restaurar un Controlador de Dominio Desde una Instantánea (Domain Controller Restore Snapshot) | WindowServer:
    https://windowserver.wordpress.com/2012/07/18/windows-server-2012-restaurar-un-controlador-de-dominio-desde-una-instantnea-domain-controller-restore-snapshot/ 

    Windows Server 2012: Clonar un Controlador de Dominio Virtual | WindowServer:
    https://windowserver.wordpress.com/2012/07/13/windows-server-2012-clonar-un-controlador-de-dominio-virtual/ 

    Sin querer polemizar, cualquier instalación que no fue bien planificada con los conocimientos necesarios, a la larga trae problemas

    Y si me permites una sugerencia... tener un único Controlador de Dominio es un riesgo muy grande y por eso lo recomendable es por lo menos dos, aunque entiendo que en redes chicas como tienes no justifica, pero entonces lleva una política de copias de seguridad que estés seguro poder restaurar

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 3 de mayo de 2017 16:09
    • Votado como útil Moderador M viernes, 12 de mayo de 2017 14:14
    miércoles, 3 de mayo de 2017 10:33
    Moderador
  • Estoy de acuerdo, yo siempre monto LDAPs redundantes para hacer de DC, siempre que merezca la pena por el volumen de equipos. Normalmente, si el usuario no va a tocar el sistema, lo que hago es montar un DRBD para que los discos esten espejados en ambos PCs, y tengo cubierto todo salvo un problema de corrupción de datos, que soluciono manteniendo snapshots ZFS periódicamente y backups externos de la base de datos LDAP, así como una imagen día 0 con todo funcionando.Incluso si un usuario con clave de root rompe todo a proposito, en 30 min puedo tener el sistema up and running. Nunca me ha afectado un fallo de hardware si la redundancia de red está bien montada.

    Lo monto para que "finja" ser un DC Windows utilizando Samba 4 y listo: se configura con las mismas utilidades de MS con la mitad de problemas, aunque claro, me imagino que un experto en Microsoft encontrara menos problemas que yo para configurar el DC en un server de forma nativa, yo es que he odiado cada GUI que habeis puesto desde el Server 2012, aunque en 2016 parece que habeis corregido el rumbo un poco. Siempre para mi gusto y según mi experiencia, cada uno que aplique las soluciones que mejor se adapten a su entorno y conocimientos, Windows puede ser una buena herramienta en los entornos adecuados, con los técnicos adecuados.

    El problema es que esta instalación no es mia. Es un dominio Windows normal, montado sobre Windows Server 2012 (No la R2; la que es de Windows 8.0) Tengo todo listo para hacer el cambio, esto es lo que he hecho:

    -Creación de cuentas locales en todos los PCs clientes. He movido los datos de las cuentas de dominio manualmente, y para que puedan acceder al servidor mientras tanto he dejado las contraseñas de las cuentas de dominio almacenadas en el gestor de credenciales. Milagrosamente el software de gestión funciona en todas las cuentas del PC. ¡Aleluya! Si dependiese del registro, hasta aquí llegaría mi aventura. Lo unico que no me funciona es una conexión TS de un PC al servidor. ¿Estará restringido a usuarios del dominio? El caso es que ni clave pide. En fin, mal menor, pero si sabes algo agradeceria feedback.

    -He montado un CentOS7 como DNS y le he metido la zona del dominio viejo, por si algun path esta mal puesto y no puedo modificarlo a posteriori. La idea es quitar este DNS si demuestra no hacer falta, pero si algo apunta a loquesea.midominio.local, irá a su sitio aunque no haya DC

    -He preparado el entorno ESXi con una instalación limpia de la máquina, para instalar alli todo lo que no sea esa aplicación. Moveré todas las aplicaciones que si puedo mover una vez funcione el resto. La aplicación que falla en TS irá ahi, por lo que no me preocupa. Como Windows permite 2 instalacuiones virtuales mantendré los dos servidores.

    -Paso a IP estática en los clientes. Los PCs obtenian sus IPs del DC. Pongo como DNS el DC, pero dejo Google como secundario. Como el segmento de red antigüo lo puso un necio está en un rango público (100.100.100.0/24!!!!), por lo que deo dobles IPs en la nueva red reservada para local, asi extingo de paso el 100.100.100.0

    Y esto es lo que planeo hacer cuando mi cliente pueda parar un par de horas la BBDD:

    -Sacar un PC del dominio definitivamente. Si todo sigue funcionando, sacarlos todos.

    -Backup completo de los discos duros del servidor. Tiene que poder arrancar si todo se va al traste.

    -Utilizar la guia de MS para "demotear" un DC, al ser el unico el dominio deberia morir con el

    -Creación de cuentas locales en el servidor para los shares, SQL, etc, por lo visto esto no puede hacerse en un PC que es DC.

    -Permisos en las cuentas para todo

    -Probar que todo funciona. Si lo hace, virtualizar para ESXi y arrancar.

    -Comprobar que ninguna activación de software se ha perdido.

    Según tu experiencia, ¿¿es posible que esto funcione??

    Gracias por tu respuesta.



    • Editado Dgoiko martes, 9 de mayo de 2017 8:47
    martes, 9 de mayo de 2017 8:35
  • Hola Dgoiko, muy compleja la situación para que pueda darte algún consejo desde acá. Y más si se está administrando un sistema Windows desde Linux, es una "mezcla" con la cual no estoy familiarizado y por lo tanto considero casi "peligrosa" :) Pero si es tu gusto, que así sea

    Te aclaro que no me considero un "experto", sólo que he sido MCT ("Trainer Certificado") por muchos años y tuve acceso a muy buena información desde NT3.5 y toda su evolución. No pertenezco, ni represento, ni hago soporte oficial, de Microsoft

    Un comentario sobre el DNS principal y el secundario de Google: el cliente nunca usará el secundario si el primario responde, aunque la respuesta sea "no existe". Cambiará sólo si el primero no respondiera

    Es una situación compleja y difícil de resolver, no puedo darte mucha ayuda porque realmente no estoy familiarizado con ese entorno, sólo tendría en cuenta que antes de cada cambio tener un plan de rollback

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 9 de mayo de 2017 14:55
    • Marcado como respuesta Moderador M jueves, 18 de mayo de 2017 15:18
    martes, 9 de mayo de 2017 10:06
    Moderador