none
¿Es necesario un GC? RRS feed

  • Pregunta

  • Hola, quería saber si es necesario tener un Global Catalog en la red. Mi problema es que estoy intentando replicar un servidor pero me da fallos con las carpetas compartidas SYSVOL Y NETLOGON, y no sé si el fallo puede venir por ahí.
    He leído cosas pero creo que no entiendo bien para que sirve el GC y cual es la diferencia entre tenerlo y no tenerlo
    Gracias!
    lunes, 5 de enero de 2009 11:59

Respuestas

  • Ambiente de laboratorio puede ser real o virtual. Si tienes hardware suficiente en real, pero es mucho más práctico con virtualización, por la posibilidad de volver hacia atrás en muchos casos.

    Software de virtualización hay para todos los gustos y presupuestos.

    Gratis hay en MS VirtualPC y VirtualServer, y si tienes W2000 Hyper-V. También hay una versión de Hyper-V para bajar.

    Una competencia fuerte es VMware, que tiene productos gratis (Server) y de pago (Workstation y otros)

    Cada uno tiene ventajas e inconvenientes.

    Pero si tienes una máquina con 1GB de RAM y un procesador más o menos potente puedes correr todo el laboratorio en virtual.

     

    SOA = Start Of Authority: Indica al servidor DNS que puede escribir datos en la base de datos (zona). Uno sólo, y el primero.

    NS = Name Server: Los servidores DNS que tienen copia de la zona, y por lo tanto pueden responder por ella

    A = Host: Resolución de nombre a su correspondiente IP

    CNAME = Canonical Name o Alias: es eso, un alias a un A

    MX = Mail Exchanger: apunta al servidor de mail del dominio

    SRV = Service Locator: permite encontrar servicios en la red.

    En AD, el registro SRV se usa para encontrar a los controladores de dominio, catálogos global, etc.

     

    • Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:22
    viernes, 9 de enero de 2009 21:38
    Moderador

Todas las respuestas

  • Que tal, lo primero que tienes que hacer es buscar la definicion de global catalog, y tratar de entender que es lo que hace este rol, y despues poner una pregunta de lo que no entendiste.....

    lunes, 5 de enero de 2009 22:05
  • Ya me he leido varias cosas y según yo lo veo, creo que es como si dijeramos una base de datos donde se almacena todo lo referente a AD para facilitar busquedas, etc.
    Pero entonces pregunto, realmente si no tienes ningún DC configurado como GC, no pasa nada, es decir, no es necesario.

    Lo que tampoco he entendido es que he leido en algún documento, que el maestro de esquema (windows 2003) no debe ser nunca GC y eso si que no entiendo a que es debido
    martes, 6 de enero de 2009 15:02
  • La funcion del catalogo global va mas allá de solo ser un almacen de informacion referente a la pertenencia de los dominios de cada objeto, otra de sus funciones principales es la de permitir la validacion a los usuarios  hacia el dominio, esto quiere decir que si no hay un catalogo global al momento de iniciar sesion entonces pueden pasar dos cosas, una validarse con informacion de caché y la otra es que el usuario unicamente se pueda validar a su equipo localmente, ademas este rol es capaz de responder a las peticiones de programas acerca de la ubicacion de objetos en todo el bosque del directorio generando poco trafico en la red, por ejemplo Exchange server hace peticiones directamente sobre el Catalogo Global para identificar al usuario sin importar los limites de dominio.

     

    En resumen, sin catalogo global estas frito...

     

    PD: La validacion de usuarios Administradores no se ve afectada por la ausencia del Catalogo Global.

    martes, 6 de enero de 2009 16:42
  • Entonces el catálogo global es necesario para la validación de usuarios. Tengo unas dudas entonces:

    -Si es necesario para validar usuarios, ¿por qué se validan también cuando no hay GC? dices que se validan por información de la caché, en ese caso, que archivos configuran dicha caché. Y otra cosa, si se validan por caché, todos los cambios que se hagan en AD no serán visibles al usuario del dominio, me refiero a cambios en GPO o carpeetas privadas, etc.

    -¿Se supone entonces que el DC que sea GC es el responsable del inicio de sesión en el dominio, sin afectar los roles fsmo a esta tarea?

    -¿Porqué es un maestro de esquema recomiendan que no sea GC?
    miércoles, 7 de enero de 2009 8:13
  • i_berbeu a ver si puedo aclararte algunas de tus dudas

     

    Catálogo Global (GC): es una función adicional que pueden cumplir los controladores de dominio. Normalmente un controldor de dominio mantiene una base con todos los objetos de *su* dominio.

    El GC además tiene una copia de *todos los objetos de todos los dominios del Bosque*, aunque no de todos los atributos de cada objeto.

     

    Se utiliza para:

    • Búsquedas, ya que puedes hacer una búsqueda sobre cualquier objeto aunque no sepas en qué dominio del Bosque está
    • Inicio de sesión, ya que es el que proporciona: a.) Membresía en grupos Universales y b.) Resuelve en algunos casos el "User Principal Name" (usuario@dominio.suf)

    Si no hay GC disponible, un usuario normal inicia sesión con "credenciales cacheadas", lo que le da acceso únicamente al propio equipo.

     

    Iniciar sesión con "credenciales cacheadas" es que la validación de la contraseña se hace contra una copia guardada en el perfil del usuario (c:\documents and settings\usuario...)

    Esto le da acceso al equipo, pero no a otros equipos de la red

     

    El GC no es un rol FSMO, ya que éstos se refieren a un rol que cumple uno por vez, en cambio GCs puedes tener varios.

     

    -----------------------

    El FSMO Maestro de Esquema, *es un controlador de dominio* que es responsable de las modificaciones del Esquema, y no afecta para nada el inicio de sesión de usuarios.

     

     

    miércoles, 7 de enero de 2009 10:38
    Moderador
  • Hola, gracias por la información Guillermo, pero según lo que dices hay unas cosas que no me cuadran, te cuento:

    -en mi red, tengo 2 servers que en algún momento ninguno fue GC (ahora tengo uno configurado como tal), mientras ninguno era GC la gente se logeaba, imagino que con la caché guardada en local como dices que sucede, pero lo curioso es que si que podían acceder a los recursos compartidos en red, es decir, podían acceder a otros equipos de la red, lo cual choca con lo que comentais de que no se puede sin GC (todos los equipos dentro del mismo dominio). A lo mejor es que no lo he entendido bien pero me choca que sin GC la red haya funcionado bien, teniendo en cuenta que según lo que contais parece un recurso bastante importante.

    -Como windows es tan suyo pa sus cosas es posible que haga todo como le sale de ahí aunque no esté configurado como debe, pero me extraña un poco que todo funcione así.

    -Un fallo mío, cuando dije maestro de esquemas, realmente me refería a MAESTRO DE INFRAESTRUCTURAS. Es decir, ¿porqué se recomienda que un GC no sea maestro de infraestructuras?

    Gracias!!

    miércoles, 7 de enero de 2009 11:22
  • Todo cuadra, sólo que un poco temperamental

     

    Ahora en serio, también depende de la infraestructura que tengas, no es lo mismo tener un único dominio que varios, no es lo mismo tener el nivel funcional de dominio en modo Mixto que en modo Nativo 2000 o 2003, porque eso determina si puedes tener grupos universales, o no.

     

    Si tienes un único dominio, o si el nivel funcional del dominio es Mixto, entonces funcionará aunque no tengas GC, porque no se puede usar esta clase de grupos.

     

    El Maestro de Infraestructura, no debe ser GC porque sinó no detecta las inconsistencias.

    Vamos a ver de qué "inconsistencias" estamos hablando.

    Cuando tienes una estructura de varios dominios dentro de un bosque, puede darse el caso que un usuario del DominioA esté dentro de un grupo del DominioB. Esto es con grupos Universales o Locales de Dominio

     

    Si llegaras a mover el usuario del DominioA a un DominioC, entonces habría que en el DominioB modificar todos los punteros a esa cuenta, cambiando la referencia desde el DominioA al DominioC

     

    Luego, la consecuencia es que si no mueves una cuenta de un dominio a otro, puedes vivir tranquilo toda tu vida sin Maestro de Infraestructura

     

     

    miércoles, 7 de enero de 2009 14:16
    Moderador
  • Ya parece que me queda todo un poco más claro. Entonces, el GC se hace fundamental cuando tenemos un AD con varios dominios, y en el caso de un sólo dominio, como es el mío, no es necesario, es decir, se puede pasar sin él. Además al tener un único dominio, no debería haber inconsistencias y por tanto el maestro de infraestructuras puede ser GC sin problemas. Espero que sea eso .

    Entonces, volviendo al problema original, lo de que no se compartan las carpetas SYSVOL y NETLOGON es imposible que venga originado por eso imagino.
    Si sabes Guillermo porque puede ser lo de estas carpetas rogaría que me comentaras algo porque me trae de cabeza y no paro de leer y hacer cosas pero ninguna me funciona

    Gracias!!!!!!!
    miércoles, 7 de enero de 2009 15:02
  • Primer párrafo, todo correcto, es así 

     

    Para lo segundo, pueden ser muchos los motivos, y además se necesita más información para ayudarte.

     

    ¿Cuántos controladores de Dominio?

    ¿No está? ¿no se comparte? o ¿no se replica?

    ¿Se reinstaló alguno?

    ¿Se sacó alguno sin despromoverlo correctamente?

    De cada controlador de domino que tengas anota:

    - Dirección IP

    - Máscara de subred

    - Servidor DNS configurado

     

    Y esto es sólo para comenzar...
    miércoles, 7 de enero de 2009 20:46
    Moderador
  • Te cuento;

    -tengo 2 DC, uno que estaba antes (llamemosle A) y el otro que estoy poniendo nuevo (llamemosle B).
    -
    En el DC nuevo (B), la carpeta SYSVOL está, pero a la que hace referencia el recurso compartido NETLOGON no. Además ninguna de las 2 aparecen compartidas. Y además el contenido de estas no existe, así que imagino que no se replican.
    -En cuanto a si se reinstaló alguno, no te puedo decir porque cuando llegué ya estaba esto así montado: había un server 2003 (A) con AD, DNS, DHCP, FS,... y yo estoy poniendo el DC (B) para que se repliquen y cuando esto ocurra, quitar el servidor (A). Es decir, migramo por cambio de HW.
    -Es posible que se sacara alguno incorrectamente ya que mirando por ahí con herramientas de diagnóstico, vi referencias a otros dos servidores, (C) y (D). Pero usando ntdsutil no podía conectarme a ellos así que los quité con ADSIEdit, cosa que no se si esta del todo bien hecha.
    -Las ips, máscaras, dns, etc... ya me las sé.

    Como sigue la cosa??????
    jueves, 8 de enero de 2009 11:23
  • Primero hay que tener configurado correctamente lo que hay, para luego poner otro DC. Sinó lo único que conseguirás es llevarte los problemas el nuevo servidor.

     

    Si puedes despromover el que haz colocado, yo lo haría, sería lo mejor.

     

    Segundo, sin necesidad de entrar en el ADSIEdit con el que debes tener MUCHO cuidado porque se pueden hacer problemas muy grandes  , te diría que mirando en el Visor de sucesos puedes ver perfectamente si está tratando de replicar con controladores no existentes.

     

    Para eso es necesario aplicar el procedimiento descripto en

    How to remove data in Active Directory after an unsuccessful domain controller demotion:
    http://support.microsoft.com/kb/216498

    Y luego si es necesario

    How to remove completely orphaned Domain Controller:
    http://support.microsoft.com/kb/555846

     

    Si no quieres no pongas las direcciones IP que tienes, pero la mala configuración de esas suele ser el 95% de los problemas. Si es direccionamiento privado, como debería ser, no corres ningún riesgo de seguridad

     

    De otra forma, comienza por acá

    Troubleshooting missing SYSVOL and NETLOGON shares on Windows 2000 domain controllers:
    http://support.microsoft.com/kb/257338

    jueves, 8 de enero de 2009 12:04
    Moderador
  • Pues realmente las IPs no las he puesto porque pensaba que decias que las anotara para mi, aunque también, dado que son de una empresa y no es una red privada no se yo si debería ponerlas. Pero la configuración está así (la IP no es verdadera)
    SERVIDOR A
    IP:195.25.23.51
    mask:255.255.255.0
    dns: 195.22.23.51
    dg: 195.22.23.50

    SERVIDOR B
    IP:195.25.23.20
    mask:255.255.255.0
    dns: 195.22.23.51
    dg: 195.22.23.50

    La configuración está bien casi seguro.

    Otra cueestión es que cuando uso el manual
    How to remove data in Active Directory after an unsuccessful domain controller demotion
    al utilizar ntdsutil y decirle "list servers" sólo me saca 1 servidor (el DC que está configurado desde el principio), mientras que en "Sitios y servicios de AD", dentro de mi sitio me aparecen 3 servidores.
    Voy a probar con el manual de
    How to remove completely orphaned Domain Controller:
    Para ver si con eso puede eliminar esos 2 servidores de más.

    Otra historia que me encontré cuando llegué, es que el dominio se llama "mi_dominio.com", es decir tiene extensión .com cuando se trata de una red local, y encima, existe contratado un dominio "www.mi_dominio.com" en un servidor externo, que da alojamiento web y correo a la empresa. Yo creo que esto puede ser uno de los orígenes, ya que en la empresa siempre que falla la red se debe al DNS.

    El último manual que pones lo he mirado y remirado pero sigo sin conseguir que salga bien. Pienso que el problema está en el servidor A (el antiguo), y entonces las réplicas a otros DC que se introduzcan no se hacen correctamente.
    jueves, 8 de enero de 2009 12:37
  • Si, por supuesto que el problema está en el servidor antiguo, y ese es el que hay que solucionar primero.

     

    No está mal que el domino de AD se llame igual que el de prescencia en Internet, sólo hay que tener cuidado que no se confundan la zona interna con la externa, y a veces hacer alguna configuración manualmente, pero no necesariamente está mal así.

     

    Estar usando direccionamiento de Internet en la red interna es un problema de seguridad.

    Pero de la configuración que pones, está bien si cada controlador está usando como DNS a sí mismo.

     

    En uno de los enlaces que puse está justamente como quitar los servidores en Sitios y Servicios de AD.

     

    Otro puntos importantes a revisar por lo que comentas:

    - Que todos los servicios que tienen arranque "automático" estén realmente arrancados

    - Visor de sucesos: errores relacionados

     

     

    jueves, 8 de enero de 2009 13:14
    Moderador
  • Dices que es un problema de segurida tener en la red interna, IPs públicas???? me imagino que lo dirás por la posibilidad que tienen de conectarse a los equipos desde fuera de la red y eso, debido a que no existe NAT. Pero bueno en principio eso no es problema.

    También dices que cada DC use como DNS a sí mismo??? yo NO lo tengo así configurado, te explico:
    tengo el servidor (A, el antiguo) configurado como DNS, y a ÉL apuntan los dos DC, es decir
    DNS del A= x.x.x.51
    DNS del B= x.x.x.51

    siendo IP del A= x.x.x.51
    esto lo tengo así porque el server B no lo tengo como DNS.

    Los servicios automaticos parecen que están arrancados
    Tengo unos cuantos sucesos de error. Los miro y los pongo a ver
    jueves, 8 de enero de 2009 13:32
  • Si, es un riesgo. La seguridad se trabaja en varios niveles. Por más que tengas cortafuegos, también hay que tomar otras medidas adicionales (y muchas y variadas)

    Por ejemplo, si tu red interna usara direccionamiento privado, no hay forma de enviar por Internet un paquete a esa IP. Si usas direccionamiento público, entonces sí.

     

    Si el direccionamiento que usas no es realmente tuyo (registrado), no podrás acceder a los equipos del que sí lo tiene registrado.

     

    Para facilitar la relevancia de los errores en el visor de sucesos, comienza con el/los primer/os error que se produce/n apenas inicia el servidor, porque los posteriores pueden ser consecuencia del primero, y por lo tanto hay que solucionar éste.

     

    jueves, 8 de enero de 2009 13:57
    Moderador
  • En el visor de sucesos del Servicio de Replicación de Archivos me aparece el siguiente Error

    Id.13540
    El Servicio de replicación de archivos no puede replicar c:\windows\sysvol\domain porque el nombre de la ruta del directorio de ensayo designado para el cliente:
        c:\widows\sysvol\staging\domain
     no es el nombre de la ruta de un directorio local accesible ya existente.

    En el del Servicio DNS:

    Id.4007
    El servidor DNS no pudo abrir la zona _msdcs.dominio.com de Active Directory desde la partición del directorio de aplicaciones ForestDnsZones.dominio.com. Este servidor DNS está configurado para obtener y utilizar información del directorio para esta zona y no puede cargar la zona sin él. Compruebe que Active Directory funciona correctamente y vuelva a cargar la zona. Los datos del suceso son el código de error.

    Id4001
    El servidor DNS no puede abrir la zona X.X.X.in-addr.arpa en Active Directory. Este servidor DNS está configurado para obtener y usar información  del directorio para esta zona y no puede cargarla sin él. Compruebe  que Active Directory está funcionando correctamente y vuelve a cargar  la zona. Los datos del suceso expresan el código de error.


    Id 4007
    El servidor DNS no pudo abrir la zona dominio.com de Active Directory desde la partición del directorio de aplicaciones DomainDnsZones.dominio.com. Este servidor DNS está configurado para obtener y utilizar información del directorio para esta zona y no puede cargar la zona sin él. Compruebe que Active Directory funciona correctamente y vuelva a cargar la zona. Los datos del suceso son el código de error.

    En el de Servicio de directorio

    Id.2088
    Active Directory no puede usar DNS para resolver la dirección IP del siguiente controlador de dominio de origen. Para mantener la consistencia de grupos de seguridad, directiva de grupo, usuarios y equipos y sus contraseñas, Active Directory replicó correctamente el nombre de equipo  NetBIOS o completo del controlador de dominio de origen.
     Una configuración DNS no válida puede estar afectando otras operaciones esenciales en equipos miembro, controladores de dominio o servidores de aplicación en este bosque de Active Directory, incluyendo la autenticación de  inicio de sesión o el acceso a recursos de red.
     Resuelva inmediatamente este error de configuración DNS para que este  controlador de dominio pueda resolver la dirección IP del controlador de dominio de origen por medio de DNS.
     Nombre de servidor alterno:
     ServidorB
    Nombre de host DNS con error:
     f5dcdbd2-6ea6-4a41-8b86-a4af2db34cd5._msdcs.dominio.com
     Nota: De manera predeterminada, sólo se muestran 10 errores DNS por cada periodo de 12 horas, incluso si se produjeron más de 10.  Para registrar todos  los sucesos de error individuales, establezca el siguiente valor del Registro de diagnósticos como 1:
     Ruta del registro:
    HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
      Datos adicionales
    Valor de error:
     11004 El nombre solicitado es válido pero no se encontraron datos del tipo solicitado.

    Aunque este último error creo que lo he solucionado eliminando el ServidorB con ntdsutil

    Hay algún otro error por ahí pero que no creo que tenga demasiado interés en este caso.

    Pienso que como el DNS se víncula a AD, hay un problema en AD que no permite la conexión entre ambos. debido al suceso 2088. Pero no se que podría originar esto

    jueves, 8 de enero de 2009 15:16
  • por si sirve también de algo, haciendo un dcdiag, fallan los siguientes test:
    frsevent
    systemlog

    Haciendo netdiag todo está correcto
    nltest tampoco da ningún fallo
    jueves, 8 de enero de 2009 15:23
  • i_berbeu recuerda que de acá yo no puedo hacer mucho porque no tengo acceso a los equipos para revisar. Eres tú quien tiene que tomar la iniciativa para resolver el problema.

    Por ejemplo, cuando dice

    -----------

    El Servicio de replicación de archivos no puede replicar c:\windows\sysvol\domain porque el nombre de la ruta del directorio de ensayo designado para el cliente:
        c:\widows\sysvol\staging\domain
     no es el nombre de la ruta de un directorio local accesible ya existente.
    ---------------

    ¿Existe o no existe?

    Si está cambiada de nombre ¿cuál es? ¿renombraron el dominio?

     

    ¿Existen en el DNS las zonas domino.com y _msdcs.dominio.com?

    ¿Están los registros correspondientes?

    ¿Tienen permitidas las actualizaciones dinámicas ambas zonas?

    Lo siguiente no tiene ninguna importancia

    "El servidor DNS no puede abrir la zona X.X.X.in-addr.arpa"

    Simplemente no tienes creada la zona inversa, pero AD no la necesita

     

    El error 2088 es solo una consecuencia de los anteriores de DNS, que es evidente que es el que tiene los problemas, y que seguramente lo han dejado así, luego de "tocarlo" los anteriores a ti.

     

    Hay alternativas para probar pero incluyen riesgos, si es que tienes un único controlador, y que deberías probar sólo si tienes una copia de seguridad, que en caso de problemas sepas que puedes recuperar.

    Por ejemplo, borrar ambas zonas en el DNS, crear manualmente la zona dominio.com integrada en AD, forzar la registración con IPCONFIG /REGISTERDNS y Reiniciando el sevicio Netlogon

    Luego deberías utilizar el siguiente procedimiento para mover la zona _msdcs

    How to reconfigure an _msdcs subdomain to a forest-wide DNS application directory partition when you upgrade from Windows 2000 to Windows Server 2003:
    http://support.microsoft.com/kb/817470/en-us

    Y una más, depediendo del ambiente, yo ya estaría pensando en la posibilidad de una reinstalación limpia de un nuevo dominio, porque además de los problemas del DNS todo da para pensar que han "arreglado" más cosas

     

    jueves, 8 de enero de 2009 16:28
    Moderador
  •  

    Creo que deberias comenzar por contactar a una persona que tenga conocimientos de directorio activo antes de intentar hacer algo en tu conotrlador de domino, ya que por lo que he podido ver no tienes ni la mas minima idea de como trabaja el Directorio Activo, se que este es un foro de ayuda, pero, creo que con el nivel de conocimientos que tienes es muy dificil apoyarte, disculpa si mi comentario es ofensivo...

     

    Saludos

    jueves, 8 de enero de 2009 17:04
  • No me ofende tu comentario pero tampoco creo que sean formas de tratar a la gente. Yo a ti no te he pedido ayuda así que no me la tienes porque dar, ni quejarte. Además los foros están para que la gente pregunte cosas que no sabe, no cosas que ya sabe, si no para que....
    Dices que no tengo ni idea de como funciona. Hombre yo no lo diría así. está claro que no soy un superentendido pero he leido miles de cosas ya y algo de idea creo que tengo.
    Pero bueno, que si no te gusta pues no respondas y ya está, así quedas mejor que echando pestes a la gente. El día que tengas tu un problema espero que te traten por lo menos como lo está haciedo guillermo. Muchas gracias
    amartinezy2k.

    Y volviendo a lo mío. Yo creo que es mejor empezar de cero, además es una red de no muchos equipos por lo que a lo mejor me llevaría hasta menos tiempo rehacerlo todo otra vez, que ponerme a solucionar los fallos que yo creo que hay muchos, porque ya fui solucionando fallos que me fueron saliendo gracias a los KB de microsoft pero fueron apareciendo más y por eso pienso que estoy enredando más la maraña.

    Miraré todas esas cosas que me dices a ver si por ahí puedo sacar algo en claro.

    Muchas gracias guillermo
    jueves, 8 de enero de 2009 17:22
  • Cuando un AD viene de hace tiempo con problemas y fue "configurado" por alguien que no sabe, es a veces no sólo más rápido y sencillo, volverlo a crear, sino que además estás seguro que todo está como debe ser.

     

    Todo depende de varios factores, por ejemplo entre otros, el tamaño del AD, la disponibilidad, etc. etc.

     

    Un detalle a tener MUY en cuenta. Ten cuidado si algún usuario a cifrado archivos, porque hay que exportar las claves, o esa información va a quedar inaccesible

     

     

    jueves, 8 de enero de 2009 17:35
    Moderador
  • las carpetas
    c:\windows\sysvol\domain
    c:\windows\sysvol\staging\domain
    existen las dos. no se renombró el dominio ni tienen los nombres cambiados

    En el DNS existen las zonas domino.com y _msdcs.dominio.com
    los registros correspondientes existen, ya que están todos los equipos de la red con sus respectivas IPs. Lo que siempre me he preguntado, a riesgo de que me llamen ignorante, es porqué en el servidor DNS no aparecen referencias a equipos externos (p.ej. www.google.es), no se si es así sieempre o deberían aparecer?? Es la primera vez que administro un windows server y hay cosas que me chocan.

    Ambas zonas tienen permitidas las actualizaciones dinámicas aunque solo de forma segura, ya que creo que es lo correcto.
    Lo de Arpa ya imaginaba que no era algo importante, pero la cosa es que al igual que las otras, la zona inversa está creada.

    Aparte, he visto que como servidores de nombres me aparecen 3 servidores, dentro del dominio, cuando pienso que sólo debría estar el que está configurado como tal, aunque no se si eso realmente afectará.

    La historia es que los que lo "tocaron" antes estuvieron promoviendo y despromoviendo unos cuantos DC y parece que agregaron DNS servers de más, etc. así que hay un pifostio montado muy serio. Por eso también pido ayuda aquí, porque a parte de no ser un experto, me encuentro con un cacao que no se por donde cogerlo.

    Muchas gracias, y espero que no os aburrais de darme consejos, q aunque no lo consiga estoy aprendiendo un montón de cosas.
    jueves, 8 de enero de 2009 17:39
  • Hay que tener dos servidores DNS. Uno que resuelve lo que hagas accesible en Internet y *nada más*. Normalmente mantenido por el ISP.

     

    Y otro DNS interno que resuelve tu AD, y normalmente también Internet.

    Todos los clientes de AD y los controladores deben apuntar *unicamente* como DNS al que resuelve AD. Para que éste DNS resuelva también Interne, la solución más común es configuarle Reenviadores a los DNSs del ISP.

     

    En tu caso que el nombre de los dominios coinciden, como un DNS no puede reenviar un pedido de una zona que es autoridad, hay que crearle a mano el registro A, por ejemplo para www

     

    Los registros "importantes", no son los As, sino los SRVs que son los que permiten encontrar los controladores a lo clientes y los controladores entre sí para replicar.

     

    Es lo normal que en el DNS no aparezcan los nombres de dominios externos. No te extrañe que no aparezca google.com salvo que seas el DNS de google.com

     

    Con registros NS deben aparecer sólo los DNSs que tienen copia de dicha zona (son autoridad para dicha zona)

     

    Hoy ya no sigo, que tengo que salir

     

    jueves, 8 de enero de 2009 17:59
    Moderador
  • Muchas gracias por tus consejos y aclaraciones.
    Me podrías comentar a ver si hay algún manualillo interesante sobre el servidor DNS de windows. Me estoy leyendo ahora uno sobre AD y quiero leer otro sobre DNS para entender del todo como está hecha la configuraci´no de mi red y luego preguntaros más cosillas.
    viernes, 9 de enero de 2009 9:43
  • Hay mucho escrito sobre DNS, desde explicaciones de una página hasta libros completos sobre el tema

     

    Algo como para comenzar sobre DNS lo tienes en http://w2k8-server.spaces.live.com/blog/cns!ACD63A60B4BAF014!192.entry

     

     

    viernes, 9 de enero de 2009 10:46
    Moderador
  • Gracias. le voy a echar un ojo, si tengo dudas o lo que sea te comentaré.

    Por cierto, estoy pensando en crear de nuevo todo en el servidor nuevo. Tengo un par de dudas:
    -Podría en el server nuevo, a la hora de promocionarlo, crear el mismo nombre dde dominio que tengo ahora?? Imagino que si lo pongo en red directamente no me dejará al existir ya uno, pero podría instalarlo desconectándolo físicamente de la red, y en el momento que esté instalado, quitar el otro server y conectar éste????
    Imagino que no es muy correcto y puede traer problemas pero me gustaría tener una opinion tuya ya q tienes experiencia.
    Lo digo porque pensaba si no, crear un nuevo dominio directamente con nombre: mi_dominio.local y luego ir adhiriendo los equipos. El problema de esto es que tendría que ir host a host cambiando los perfiles de todos los usuarios y moviendo los datos que tienen almacenados en estos y es una tarea un poco engorrosa, por eso quería una forma más "llevadera". Si hay alguna otra posibilidad comentamela también.

    Gracias!
    viernes, 9 de enero de 2009 11:10
  • por cierto, el texto qe me has mandado es la Parte 1, las partes 2 y 3 a las que hace referencia sabes si existen, y en tal caso donde están?
    viernes, 9 de enero de 2009 11:12
  • Las partes 2 y siguientes no tuve aun tiempo por ahora de escribirlas

     

    No te conviene que tenga el mismo nombre. Podrías aprovechar inclusive para que no te coincida con el nombre de prescencia en Internet, que te facilitará varias cosas, y mejorará la seguridad. Por ejemplo: ad.empresa.com o corp.empresa.com, interno.empresa.com, etc. O quizás una combinación muy usada empresa.local

     

    Desde ya que crear un dominio nuevo va a llevar su trabajo. Tienes la ventaja que organizas todo como debe ser, y queda todo limpio y ordenado, pero como contrapartida tienes que migrar todas las máquinas, aplicaciones de red y perfiles de usuarios, entre otros. Hay utilitarios para muchas de estas cosas que facilitan el trabajo.

     

    Te sugiero lo hagas primero en un ambiente de prueba, y a medida que vayan surgiendo inconvenientes o dudas armes posts puntuales sobre el tema.

     

    viernes, 9 de enero de 2009 11:36
    Moderador
  • Aunque me lleve tiempo lo más lógico creo que es empezar a hacerlo de nuevo.
    Una última duda:
    Si instalo un server2003 y lo saco del dominio que tengo ahora e instalo AD para un nuevo dominio, ¿aunque estén en la misma subred, no habrá ningún conflicto ni tratará de intercambiar datos ni nada con el dominio antiguo?
    Lo digo porque pensaba instalar el nuevo equipo, con un nuevo dominio, servidor DNS, DHCP, FS, etc. dentro de la misma subred e ir después añadiendo equipos poco a poco hasta que no haya nadie conectado eal otro dominio y entonces poder eliminar el servidor antiguo.
    ¿Esto es viable o hay que quitar primero el antiguo y luego instalar el nuevo?
    Realmente si configuro en el nuevo DNS una zona para el nuevo dominio, el antiguo dominio no debería enterarse.
    Con el que a lo mejor habría problemas sería con el DHCP
    viernes, 9 de enero de 2009 11:58
  • Si y no

     

    Si hay dos DHCPs en la red no tienes control sobre de cuál va a tomar el cliente.Va a ser del primero que responda.

     

    Además no deben producirse conflictos de direcciones IP

     

    Y por último no tienen que producirse colisiones de nombres tanto de DNS como de NetBIOS

    Por ejemplo, si tu domio actual es empresa.com y el nuevo se llamará empresa.local tienes conflicto de nombre NetBIOS.

    Si fuera ad.empresa.com o ad.empresa.local, en esos casos no

     

    Hazme caso y prueba primero todo en un ambiente de laboratorio, antes de tocar el productivo. "Piensas dos veces y trabajas una"

     

    viernes, 9 de enero de 2009 12:15
    Moderador
  • con un entorno de laboratorio a que te refieres, a usar una herramienta para hacerlo de un modo virtual o a que use los equipos físicos pero en un entorno de red distinto al que tengo?
    en caso de que sea lo primero me recomiendas alguna herramienta en particular?

    En cuanto al enlace que me has puesto sobre el DNS me ha hecho gracia porque eso ya lo sabía, pero justo lo que pones para otras entregas, registros A, SOA, intengración con AD, es lo que quería saber, jejeje. Así que cuando lo tengas si es que lo haces algún día comentalo por favor para echarle un vistazo.

    Gracias!!!!!
    viernes, 9 de enero de 2009 12:34
  • Ambiente de laboratorio puede ser real o virtual. Si tienes hardware suficiente en real, pero es mucho más práctico con virtualización, por la posibilidad de volver hacia atrás en muchos casos.

    Software de virtualización hay para todos los gustos y presupuestos.

    Gratis hay en MS VirtualPC y VirtualServer, y si tienes W2000 Hyper-V. También hay una versión de Hyper-V para bajar.

    Una competencia fuerte es VMware, que tiene productos gratis (Server) y de pago (Workstation y otros)

    Cada uno tiene ventajas e inconvenientes.

    Pero si tienes una máquina con 1GB de RAM y un procesador más o menos potente puedes correr todo el laboratorio en virtual.

     

    SOA = Start Of Authority: Indica al servidor DNS que puede escribir datos en la base de datos (zona). Uno sólo, y el primero.

    NS = Name Server: Los servidores DNS que tienen copia de la zona, y por lo tanto pueden responder por ella

    A = Host: Resolución de nombre a su correspondiente IP

    CNAME = Canonical Name o Alias: es eso, un alias a un A

    MX = Mail Exchanger: apunta al servidor de mail del dominio

    SRV = Service Locator: permite encontrar servicios en la red.

    En AD, el registro SRV se usa para encontrar a los controladores de dominio, catálogos global, etc.

     

    • Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:22
    viernes, 9 de enero de 2009 21:38
    Moderador
  • Muchas gracias por todo guillermo, probaré a hacerlo con un laboratorio virtual haber que tal me va. Si tengo dudas o algún fallo o lo que sea te comento a ver si me puedes ayudar.
    Te doy de nuevo las gracias, con gente como tú da gusto, he aprendido muchas cosas con este post
    sábado, 10 de enero de 2009 20:56