none
Crear un BDC en active Directory que sea capaz de autenticar usuarios si se cae PDC RRS feed

  • Pregunta

  • Buen dia a todos los miembros de este foro.

    Formulo mi pregunta, en la empresa donde trabajo, contamos con un dominio en AD (tenemos Windows server 2008). Un servidor se configura como PDC, y el otro como el BDC (usando dcpromo). El problema que tenemos es que cuando se ha llegado a caer (estar offline) el PDC, si un usuario quiere loguearse al BDC, no se autentifica ya que no está levantado el PDC (Nota: si un usuario ya esta logueado en el BDC sigue trabajando normalmente, el problema es que ya no se pueden loguear usuarios adicionales).

    Espero me puedan ayudar con algún artículo para implementar un esquema en el cual si se cae el PDC el BDC sea capaz de autentificar usuarios, para que el BDC sea realmente un Controlador de Dominio de Respaldo.

     

    Gracias y Saludos

    viernes, 30 de septiembre de 2011 3:36

Respuestas

  • A partir de Windows 2000, es decir de Directorio Activo, el concepto de PDC y BDC desapareces, sólo hay DCs. El PDC de Windows NT era el controlador que tenía todo aquello que es único, y de ahí el que fuese así la arquitectira del dominio. En Active Directory se cambia eso a un modelo de roles FSMO (Funciones de FSMO de Active Directory de Windows 2000) que permite que estas funciones sean repartidas entre los DCs, no es necesario que estén todas en un mismo equipo. En Active Directory, no necesario, ni siquiera, que estos roles FSMO puedan estar operativos para el normal funcionamiento de los usuarios, simplemente dependiendo de qué rol es el que falla se producirán unos problemas unos u otros (Cuando falla un roll FSMO...).

    Por otro lado, para que hay la capacidad de que los usuarios se puedan logar, cuando hay dos controladores de dominio y falta uno de ellos, es necesario que el controlador de dominio que queda operativo sea catálogo global (si no hay un catálogo global funcionando en el dominio el único usuario que se puede logar es el administrador de dominio) y además tiene que ser servidor DNS y que los clientes lo tengan configurado como servidor DNS en sus propiedades de TCP/IP (esto es así porque DNS es el esqueleto de Active Directory; cuando un cliente necesita localizar el catálogo globa, la lista de controladores de dominio, los servicios de kerberos, LDAP, etc., lo hace consultando al DNS). Resumiendo: dos cosas son importantes a la hora de tener dos controladores en el dominio, si se quiere que los usuarios puedan seguir trabajando si se cae uno de ellos:

    • Ambos DCs deben ser catálogo global.
    • Ambos DCs deben ser servidores DNS (lo mejor, ademas, es que la zona del dominio sea Active Directory Integrada), y los clientes deben tener a ambos como servidores DNS (uno primario y el otro secundario) en sus propiedades de TCP/IP.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    • Propuesto como respuesta Ismael Borche martes, 4 de octubre de 2011 0:12
    • Marcado como respuesta Ismael Borche jueves, 6 de octubre de 2011 1:30
    lunes, 3 de octubre de 2011 6:29
    Moderador

Todas las respuestas

  • El "BDC" (concepto que no existe desde Windows 2000 Server) es también Global Catalog del dominio?
    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    MCC: Microsoft Community Contributor 2011
    Citrix CCA
    Visita mi blog
    viernes, 30 de septiembre de 2011 10:23
    Moderador
  • Y además de Catálogo global ¿Es servidor DNS y los clientes lo tienen como servidor DNS secundario en sus propiedades de TCP/IP?

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    viernes, 30 de septiembre de 2011 11:23
    Moderador
  • Antes que nada les pregunto, en windows server 2008, cuál es el concepto correcto para definir al "BDC" y "PDC".

    Respecto a las preguntas que me hacen, el BDC también es Global Catalog del dominio, aunque no es DNS, solo existe un DNS, el PDC.

    En esta caso, habría que configurar el BDC como DNS, y como esta integrado con AD, ya no habría que configurar nada adicional para la replicacion del DNS entre PDC y BDC, es correcto?

     

    Gracias por sus respuestas. 

    domingo, 2 de octubre de 2011 3:55
  • A partir de Windows 2000, es decir de Directorio Activo, el concepto de PDC y BDC desapareces, sólo hay DCs. El PDC de Windows NT era el controlador que tenía todo aquello que es único, y de ahí el que fuese así la arquitectira del dominio. En Active Directory se cambia eso a un modelo de roles FSMO (Funciones de FSMO de Active Directory de Windows 2000) que permite que estas funciones sean repartidas entre los DCs, no es necesario que estén todas en un mismo equipo. En Active Directory, no necesario, ni siquiera, que estos roles FSMO puedan estar operativos para el normal funcionamiento de los usuarios, simplemente dependiendo de qué rol es el que falla se producirán unos problemas unos u otros (Cuando falla un roll FSMO...).

    Por otro lado, para que hay la capacidad de que los usuarios se puedan logar, cuando hay dos controladores de dominio y falta uno de ellos, es necesario que el controlador de dominio que queda operativo sea catálogo global (si no hay un catálogo global funcionando en el dominio el único usuario que se puede logar es el administrador de dominio) y además tiene que ser servidor DNS y que los clientes lo tengan configurado como servidor DNS en sus propiedades de TCP/IP (esto es así porque DNS es el esqueleto de Active Directory; cuando un cliente necesita localizar el catálogo globa, la lista de controladores de dominio, los servicios de kerberos, LDAP, etc., lo hace consultando al DNS). Resumiendo: dos cosas son importantes a la hora de tener dos controladores en el dominio, si se quiere que los usuarios puedan seguir trabajando si se cae uno de ellos:

    • Ambos DCs deben ser catálogo global.
    • Ambos DCs deben ser servidores DNS (lo mejor, ademas, es que la zona del dominio sea Active Directory Integrada), y los clientes deben tener a ambos como servidores DNS (uno primario y el otro secundario) en sus propiedades de TCP/IP.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    • Propuesto como respuesta Ismael Borche martes, 4 de octubre de 2011 0:12
    • Marcado como respuesta Ismael Borche jueves, 6 de octubre de 2011 1:30
    lunes, 3 de octubre de 2011 6:29
    Moderador

  • Gracias por su respuesta, haré las configuraciones necesarias y cualquier duda les estará pidiendo ayuda.
    Saludos

    A partir de Windows 2000, es decir de Directorio Activo, el concepto de PDC y BDC desapareces, sólo hay DCs. El PDC de Windows NT era el controlador que tenía todo aquello que es único, y de ahí el que fuese así la arquitectira del dominio. En Active Directory se cambia eso a un modelo de roles FSMO (Funciones de FSMO de Active Directory de Windows 2000) que permite que estas funciones sean repartidas entre los DCs, no es necesario que estén todas en un mismo equipo. En Active Directory, no necesario, ni siquiera, que estos roles FSMO puedan estar operativos para el normal funcionamiento de los usuarios, simplemente dependiendo de qué rol es el que falla se producirán unos problemas unos u otros (Cuando falla un roll FSMO...).

    Por otro lado, para que hay la capacidad de que los usuarios se puedan logar, cuando hay dos controladores de dominio y falta uno de ellos, es necesario que el controlador de dominio que queda operativo sea catálogo global (si no hay un catálogo global funcionando en el dominio el único usuario que se puede logar es el administrador de dominio) y además tiene que ser servidor DNS y que los clientes lo tengan configurado como servidor DNS en sus propiedades de TCP/IP (esto es así porque DNS es el esqueleto de Active Directory; cuando un cliente necesita localizar el catálogo globa, la lista de controladores de dominio, los servicios de kerberos, LDAP, etc., lo hace consultando al DNS). Resumiendo: dos cosas son importantes a la hora de tener dos controladores en el dominio, si se quiere que los usuarios puedan seguir trabajando si se cae uno de ellos:

    • Ambos DCs deben ser catálogo global.
    • Ambos DCs deben ser servidores DNS (lo mejor, ademas, es que la zona del dominio sea Active Directory Integrada), y los clientes deben tener a ambos como servidores DNS (uno primario y el otro secundario) en sus propiedades de TCP/IP.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)

    viernes, 7 de octubre de 2011 2:54
  • Hola Fernando, tengo el mismo problema de Ricardo, a pesar que mi AD es 2008 y ambos servidores con DNS y CG, me ocurre que se me ha caido el primer servidor que instale el AD y las estaciones de trabajo y/o servidores que estan agregados a este AD dejan de conectarse.

    que puede ser?

    slds

    Arturo

    lunes, 9 de abril de 2012 17:54
  • Hola,

    Como se hablo con anterioridad, chequea los siguientes puntos:

    1) Chequear que ambos Domain Controllers sean DNS Server (Punto que segun tu mensaje esta chequeado).

    2) Chequear que ambos Domain Controllers sean GC (Punto que segun tu mensaje esta chequeado).

    3) Ejecutar un nslookup y luego consulta el FQDN de tu dominio, chequea que la respuesta sean todas las IPs de los Domain Controllers productivos y chequeados los primeros dos puntos y no haya una IP de un equipo no valido.

    4) Chequear en los puestos clientes, que configurar DNS les aplica, es importante que siempre haya una IP primaria y una IP secundaria, si la configuracion de red baja por DHCP, chequear la configuracion en el o los scopes.

    5) En la zona integrada a DNS de tu dominio, chequear las sub-zonas "_msdcs", "_tcp" y "_udp" que no haya informacion "incorrecta" sobre tus Domain Controllers.

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    lunes, 9 de abril de 2012 18:09
    Moderador
  • Leonardo, muy buenas tardes, recibe un cordial saludo.  La presente es para hacerte una consulta, ya que tengo actualmente el mismo problema: tengo 2 servidores con win server 2008 R2 y uno es el DC, y otro según lo configuraron como DNS secundario. El problema es que hoy el servidor del DC primario esta caído y los usuarios no pueden autenticarse al dominio. Esta muy raro, ya que por la mañana temprano, al entrar al que es el DNS secundario se veían perfectamente todos los usuarios y algunos si pudieron autenticarse al dominio, sin embargo, de repente, al entra al catálogo de usuarios, estos prácticamente "desaparecieron" y marca un mensaje que dice:

    "No se puede encontrar la información de nombres debido a: el dominio especificado no existe o no se pudo poner en contacto con él. Póngase en contacto con el administrador del sistema para comprobar que su dominio esta configurado correctamente y está conectado actualmente"

    Anteriormente habíamos realizado pruebas apagando el servidor principal y entraban correctamente los usuarios al dominio. ¿Qué puede haber pasado y que puedo hacer? El servidor secundario, por lo que veo es DC y GC.

    Gracias de antemano por su atención.

    Saludos.

    Juan Carlos Barrios Medina

    lunes, 25 de mayo de 2015 23:19