none
Consulta Catalogo Global RRS feed

  • Pregunta

  • Hola, tengo en mi empresa un dominio con 3 DC todos con DNS integrado en AD

    Actualmente sólo uno de ellos es GC

    ¿Qué pasaría si este DC fallara? ¿Podrían iniciar sesión los usuarios si no hay un GC disponible en un dominio único?

    ¿Qué ventajas e inconvenientes tiene configurar los 3 DC como GC?

    Gracias
    lunes, 15 de febrero de 2010 16:07

Respuestas

  • Si no hay un GC disponible los usuarios no podrian iniciar sesion ya que no podrian consular por la pertenencia a grupos universales. De todas maneras hay ciertas situaciones como credenciales cacheadas , cuentas de admin las cuales permiten loguear sin contactar a un GC.

    Para informacion mas detallada puedes consultar en la siguiente nota de soporte

    http://support.microsoft.com/kb/216970

    En cuanto a la recomendacion es tener como minimo dos DC y que ambos sean GC y DNS en cada Sitio.



    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP: Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use. --
    martes, 16 de febrero de 2010 0:19
    Moderador
  • Hola Zidac:

    Lo que te indica Sebastian del Rio es correcto, pero quiero agregar que en tu caso que tienes 3 controladores de dominio, y solo uno es catalogo global, este (el catalogo global), no debe estar en el mismo DC que el maestro de operaciones de infraestructura, ahora no tengo a la mano la información, pero si esta así no se replican todas las funciones de maestro de operaciones correctamente. Esto en si no es un problema mientras no falle el DC en el que conviven maestro de operaciones de infraestructura y catalogo global. Pero en caso de que falle este en los otros controladores de dominio no tendrías replicado por completo las funciones de maestro de operaciones.

    La recomendación es  que lo pongas en los tres ó en caso de que solo lo quieras poner en dos, que ninguno de los dos sea el maestro de operaciones de infraestructura.

    Juan Valenzuela

    MCT, MCSA, MCSE, MCITP, MCTS

    martes, 16 de febrero de 2010 1:36
  • Hola ZIDAC, efectivamente como te indica Sebastian si en tu actual situación tuvieras un problema con el GC tus usuarios no podrían validarse, es altamente recomendable que tengas por lo menos un segundo GC. Por otra parte como te indica Juan el rol de maestro de infraestructura no deberia estar sobre un servidor que sea GC. En tu caso lo ideal es que tengas el maestro de infraestructura en un DC y que los otros dos sean GC's (uno de los dos podria mantener el resto de roles y el otro ser simplemente GC) en caso de algun problema siempre estarias cubierto. Por una parte tienes duplicado el GC y por otra podrias transpasar roles entre los DC's restantes en caso de fallo de alguno de ellos.

    Un saludo

    Grego J.

    martes, 16 de febrero de 2010 10:24
  • Solo para dejarlo asentado :)

    He trabajado en casos donde en mas de 100 Domain controllers no teniamos un GC disponible , ( Si , aunque sea dificil de creer ) al tratar de anunciar un GC no se podia debido a que habia problemas de replicacion en la red , ya que cuando tu configuras un server para ser GC el no se anuncia hasta que TODOS los DCs del forest sepan de su existencia en ese caso habria problemas de replicacion en los 100 DCs.

    Una forma facil de salir de esa situacion es deshabilitando el requerimiento para que los logons precisen de un GC , este procedimiento solo debe usarse en casos de contingencia , pero por si alguien llega al hilo dejo aqui la nota relacionada :)


    How to disable the requirement that a global catalog server be available to validate user logons


    En cuanto al tema de GC y Infrastructure Master siempre causa un poco de confusion , en cierta forma es verdad de que no puede estar en un GC y en cierta forma no :), ya que no puede estar en un GC solo si todas las maquinas no son GC :) vamos a tratar de explicar esto , 

    La funcion del IM es comparar objetos del dominio local con los otros dominios en el mismo forest, por lo cual si el servidor que hostea el IM es tambien Global Catalog el nunca va a ver ninguna diferencia en los otros dominios ya que tiene toda la informacion local , por tener una copia parcial de los otros dominios por lo cual en este caso no tendria sentido la funcion del IM. Si tu tienes por ejemplo 3 servers y los tres son GC no hay necesidad de poner el IM en otro server , eso seria una configuracion valida ya que todos estarian al tanto de la informacion de todos los dominios , por lo cual la conclusion es , si TODOS los servers del dominio son GC no hay necesidad de mover el IM =) y no seria una mala configuracion.


    "So the following infrastructure is a valid configuration:

    One domain:
    R-DC1 (GC + IM)
    R-DC2 (GC)
    R-DC3-x (must be GC)

    Other domain:
    O-DC1 (GC)
    O-DC2 (IM)
    O-DC3-x (might or might not be GC, does not matter)

    The first domain does not need to pull updates since the GCs know everything, the other domain has the IM running on a non-GC so it pulls the updates and replicates them to other DCs.

    The following KB states that correctly:
    http://support.microsoft.com/kb/223346/EN-US/
     
    So to be short:
    The Infrastructure Master is not allowed to run on a Global Catalog Server if either
    • there are multiple Domains in the Forest
    • there are Domain Controllers in the same Domain which are not Global Catalog Servers
     
    The Infrastructure Master is allowed to run on a Global Catalog Server in a Domain if either
    • there's only one Domain in the Forest
    • every Domain Controller in the Domain in question is Global Catalog Server
    "


    Para mas informacion pueden consultar el siguiente articulo de MSMVPS :)




    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP: Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use. --
    martes, 16 de febrero de 2010 11:00
    Moderador
  • Buenos dias Zidac , 

    1 ) Probablemente hayan sido credenciales cacheadas.

    2 ) En caso de caida del servidor , no podrias anunciar otro catalogo global , ya que para anunciarlo TODOS los dcs del forest deberian estar al tanto antes de que el GC sea anunciado.

    Dejame saber si tienes alguna duda.

    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP: Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use. --
    martes, 16 de febrero de 2010 23:03
    Moderador

Todas las respuestas

  • Si no hay un GC disponible los usuarios no podrian iniciar sesion ya que no podrian consular por la pertenencia a grupos universales. De todas maneras hay ciertas situaciones como credenciales cacheadas , cuentas de admin las cuales permiten loguear sin contactar a un GC.

    Para informacion mas detallada puedes consultar en la siguiente nota de soporte

    http://support.microsoft.com/kb/216970

    En cuanto a la recomendacion es tener como minimo dos DC y que ambos sean GC y DNS en cada Sitio.



    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP: Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use. --
    martes, 16 de febrero de 2010 0:19
    Moderador
  • Hola Zidac:

    Lo que te indica Sebastian del Rio es correcto, pero quiero agregar que en tu caso que tienes 3 controladores de dominio, y solo uno es catalogo global, este (el catalogo global), no debe estar en el mismo DC que el maestro de operaciones de infraestructura, ahora no tengo a la mano la información, pero si esta así no se replican todas las funciones de maestro de operaciones correctamente. Esto en si no es un problema mientras no falle el DC en el que conviven maestro de operaciones de infraestructura y catalogo global. Pero en caso de que falle este en los otros controladores de dominio no tendrías replicado por completo las funciones de maestro de operaciones.

    La recomendación es  que lo pongas en los tres ó en caso de que solo lo quieras poner en dos, que ninguno de los dos sea el maestro de operaciones de infraestructura.

    Juan Valenzuela

    MCT, MCSA, MCSE, MCITP, MCTS

    martes, 16 de febrero de 2010 1:36
  • Hola ZIDAC, efectivamente como te indica Sebastian si en tu actual situación tuvieras un problema con el GC tus usuarios no podrían validarse, es altamente recomendable que tengas por lo menos un segundo GC. Por otra parte como te indica Juan el rol de maestro de infraestructura no deberia estar sobre un servidor que sea GC. En tu caso lo ideal es que tengas el maestro de infraestructura en un DC y que los otros dos sean GC's (uno de los dos podria mantener el resto de roles y el otro ser simplemente GC) en caso de algun problema siempre estarias cubierto. Por una parte tienes duplicado el GC y por otra podrias transpasar roles entre los DC's restantes en caso de fallo de alguno de ellos.

    Un saludo

    Grego J.

    martes, 16 de febrero de 2010 10:24
  • Solo para dejarlo asentado :)

    He trabajado en casos donde en mas de 100 Domain controllers no teniamos un GC disponible , ( Si , aunque sea dificil de creer ) al tratar de anunciar un GC no se podia debido a que habia problemas de replicacion en la red , ya que cuando tu configuras un server para ser GC el no se anuncia hasta que TODOS los DCs del forest sepan de su existencia en ese caso habria problemas de replicacion en los 100 DCs.

    Una forma facil de salir de esa situacion es deshabilitando el requerimiento para que los logons precisen de un GC , este procedimiento solo debe usarse en casos de contingencia , pero por si alguien llega al hilo dejo aqui la nota relacionada :)


    How to disable the requirement that a global catalog server be available to validate user logons


    En cuanto al tema de GC y Infrastructure Master siempre causa un poco de confusion , en cierta forma es verdad de que no puede estar en un GC y en cierta forma no :), ya que no puede estar en un GC solo si todas las maquinas no son GC :) vamos a tratar de explicar esto , 

    La funcion del IM es comparar objetos del dominio local con los otros dominios en el mismo forest, por lo cual si el servidor que hostea el IM es tambien Global Catalog el nunca va a ver ninguna diferencia en los otros dominios ya que tiene toda la informacion local , por tener una copia parcial de los otros dominios por lo cual en este caso no tendria sentido la funcion del IM. Si tu tienes por ejemplo 3 servers y los tres son GC no hay necesidad de poner el IM en otro server , eso seria una configuracion valida ya que todos estarian al tanto de la informacion de todos los dominios , por lo cual la conclusion es , si TODOS los servers del dominio son GC no hay necesidad de mover el IM =) y no seria una mala configuracion.


    "So the following infrastructure is a valid configuration:

    One domain:
    R-DC1 (GC + IM)
    R-DC2 (GC)
    R-DC3-x (must be GC)

    Other domain:
    O-DC1 (GC)
    O-DC2 (IM)
    O-DC3-x (might or might not be GC, does not matter)

    The first domain does not need to pull updates since the GCs know everything, the other domain has the IM running on a non-GC so it pulls the updates and replicates them to other DCs.

    The following KB states that correctly:
    http://support.microsoft.com/kb/223346/EN-US/
     
    So to be short:
    The Infrastructure Master is not allowed to run on a Global Catalog Server if either
    • there are multiple Domains in the Forest
    • there are Domain Controllers in the same Domain which are not Global Catalog Servers
     
    The Infrastructure Master is allowed to run on a Global Catalog Server in a Domain if either
    • there's only one Domain in the Forest
    • every Domain Controller in the Domain in question is Global Catalog Server
    "


    Para mas informacion pueden consultar el siguiente articulo de MSMVPS :)




    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP: Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use. --
    martes, 16 de febrero de 2010 11:00
    Moderador
  • Creo haber entendido todo, pero he realizado una prueba con mi dominio y el resultado es el siguiente:

    1) He quitado todos los GC de mi dominio y he iniciado sesión con un cliente y no he tenido problemas. Se supone que debe haber un GC en el dominio disponible, entonces.. ¿Por qué he iniciado sesión sin problemas?

    2) Si sólo tengo un GC y este cae, puedo habilitar sin problemas otro DC como GC. Entonces ¿por qué es conveniente tener todos los DC en el dominio como GC?

    Gracias
    martes, 16 de febrero de 2010 18:25
  • Buenos dias Zidac , 

    1 ) Probablemente hayan sido credenciales cacheadas.

    2 ) En caso de caida del servidor , no podrias anunciar otro catalogo global , ya que para anunciarlo TODOS los dcs del forest deberian estar al tanto antes de que el GC sea anunciado.

    Dejame saber si tienes alguna duda.

    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP: Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use. --
    martes, 16 de febrero de 2010 23:03
    Moderador
  • Sólo aclarar que el Infrastructre Master no debe ser catálogo global en bosques multidominio. En bosques de dominio único no tiene problema que sea GC.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    viernes, 19 de febrero de 2010 7:49
    Moderador
  • Buenos dias ,
    Para agregar al hilo por si alguien mas llega , la regla de "No correr el IM en la misma maquina que el GC" tiene ciertas excepciones , y son las siguientes, de acuerdo a un Single domain forest ( Unico Dominio) , o Multidomain forest ( Mas de un dominio en el forest). 



    • Single domain forest: 

      In a forest that contains a single Active Directory domain, there are no phantoms, and so the infrastructure master has no work to do. The infrastructure master may be placed on any domain controller in the domain, regardless of whether that domain controller hosts the global catalog or not.
    • Multidomain forest where every domain controller in a domain holds the global catalog: 

      If every domain controller in a domain that is part of a multidomain forest also hosts the global catalog, there are no phantoms or work for the infrastructure master to do. The infrastructure master may be put on any domain controller in that domain
      .
    Para mas informacion : 



    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP: Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use. --
    viernes, 19 de febrero de 2010 13:40
    Moderador