none
Consulta sobre controladores de dominio principal y secundario RRS feed

  • Pregunta

  • Hola buenas ,

    Tenía una consulta sobre un caso: que pasaría si tengo 2 DC, principal y secundario en 2 VM, ambos servidores se caen, a los dias se levanta el secundario y pasan algunos días, digamos 5, y se quiere levantar el main DC. 

    Mi pregunta es: como funciona acá Active Directory? el main DC al levantar se impone ante el otro que ya tiene los cambios actuales? o se impone el que ya está levantado? cuál sería el índice que maneja esto? graciaas!

    jueves, 11 de abril de 2019 9:02

Respuestas

  • Hola, primero aclara que no existen DC ni principal ni secundarios, eso se acabó con NT4. Sí hay uno o algunos que manejan los "FSMO Roles" pero cualquiera de los DCs tiene escritura sobre el AD

    Cuando se replican cambios de un DC a otro se tienen en cuenta tres propiedades del atributo a replicar para definir cuál vale:

    - "Version Number" del atributo, que se incrementa en cada cambio

    - Si el atributo tiene el mismo "Version Number" entonces gana el que tenga el "timestamp" último

    - Y si ninguno de los dos anteriores sirve para "desempatar", entonces Microsoft dice que "gana el DC que tenga el GUID más grande. Esto creo que es una respuesta de tipo "no molestes más" :)

    Resumiendo, no hay principales ni secundarios, gana en cada atributo dependiendo de los casos anteriores

    Y como recomendación, salvo algún problema grave, no conviene tener DCs apagados. Inclusive si se superara el "Tombstone life time" dejarían de replicar, dependiendo de la versión y actualizaciones del Dominio este es normalmente 180 días

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 11 de abril de 2019 11:22
    Moderador
  • HOla buenas,

    AAl final si que pude levantar el DC que estaba caido, y ya sincronizo en teoria con el otro, se comunican por ping sin problema pero por alguna razón desde la replicación en Sitios y Servicios sigue sin encontrar comunicación. De igual forma cuanto intento mirar los FSMO desde el servidor que no tiene los tienes, sigue apareciendo "error" como que aun no conectara del todo con el DC que levanto recientemente... alguna idea?

    gracias

    viernes, 12 de abril de 2019 10:43
  • Hola, te comento lo que yo haría, es experiencia personal, discutible como toda

    Me olvido del que tiene problemas, lo apago y lo saco de la red. No vuelve más salvo reinstalado. Esto es importante si se hace el SEIZE

    En el que queda, que funciona bien, me apodero de los cinco roles

    Windows Server 2012 (R2): Crear un Dominio – “FSMO Roles”: Ver, Mover y Apoderarse (Novedades) | WindowServer
    https://windowserver.wordpress.com/2015/01/06/windows-server-2012-r2-crear-un-dominio-fsmo-roles-ver-mover-y-apoderarse-novedades/

    Hago limpieza en el Dominio quitando todas las referencias al Controlador de Dominio que ya no está ni volverá

    Eliminar un Controlador de Dominio Que Ya No Existe (Fácil) | WindowServer
    https://windowserver.wordpress.com/2012/06/02/eliminar-un-controlador-de-dominio-que-ya-no-existe-fcil/ 

    Finalmente vuelvo a instalar al "viejo", lo configuro como se debe, y lo vuelvo a poner como Controlador de Dominio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 12 de abril de 2019 11:34
    Moderador
  • Hola cmuska, por si te interesa el tema de qué sucede cuando se interrumpe la replicación entre Controladores de Dominio, y cuando hay objetos y atributos que difieren de uno a otro, y si te interesa ver el tema con un poco de profundidad te recomiendo estos dos enlaces, tienen ya varios años de antigüedad pero siguen siendo válidos

    Active Directory Replication – A fondo – Parte 1 | WindowServer
    https://windowserver.wordpress.com/2012/04/14/active-directory-replication-a-fondo-parte-1/

    Active Directory Replication – A fondo – Parte 2 | WindowServer
    https://windowserver.wordpress.com/2012/04/20/active-directory-replication-a-fondo-parte-2/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 12 de abril de 2019 21:22
    Moderador

Todas las respuestas

  • Hola, primero aclara que no existen DC ni principal ni secundarios, eso se acabó con NT4. Sí hay uno o algunos que manejan los "FSMO Roles" pero cualquiera de los DCs tiene escritura sobre el AD

    Cuando se replican cambios de un DC a otro se tienen en cuenta tres propiedades del atributo a replicar para definir cuál vale:

    - "Version Number" del atributo, que se incrementa en cada cambio

    - Si el atributo tiene el mismo "Version Number" entonces gana el que tenga el "timestamp" último

    - Y si ninguno de los dos anteriores sirve para "desempatar", entonces Microsoft dice que "gana el DC que tenga el GUID más grande. Esto creo que es una respuesta de tipo "no molestes más" :)

    Resumiendo, no hay principales ni secundarios, gana en cada atributo dependiendo de los casos anteriores

    Y como recomendación, salvo algún problema grave, no conviene tener DCs apagados. Inclusive si se superara el "Tombstone life time" dejarían de replicar, dependiendo de la versión y actualizaciones del Dominio este es normalmente 180 días

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 11 de abril de 2019 11:22
    Moderador
  • Vale gracias por la aclaratoria, la cuestión es que quizás no se pueda levantar el otro DC que era el que tenía los FSMO y estoy pensando crear otro y replicar, pero como se podría entonces hacer primero la trasnferencia de roles si el DC que los contiene no es accesible?

    Gracias

    jueves, 11 de abril de 2019 11:25
  • Si el que tiene el Dominio y los "FSMO Roles" no levanta, entonces nunca se podrá replicar ninguna información :)

    Los "FSMO Roles" en lo posible se mueven (MOVE), pero en caso de emergencia también es posible apoderarse (SEIZE) de los mismos

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 11 de abril de 2019 11:30
    Moderador
  • Hola, primero aclara que no existen DC ni principal ni secundarios, eso se acabó con NT4. Sí hay uno o algunos que manejan los "FSMO Roles" pero cualquiera de los DCs tiene escritura sobre el AD

    Cuando se replican cambios de un DC a otro se tienen en cuenta tres propiedades del atributo a replicar para definir cuál vale:

    - "Version Number" del atributo, que se incrementa en cada cambio

    - Si el atributo tiene el mismo "Version Number" entonces gana el que tenga el "timestamp" último

    - Y si ninguno de los dos anteriores sirve para "desempatar", entonces Microsoft dice que "gana el DC que tenga el GUID más grande. Esto creo que es una respuesta de tipo "no molestes más" :)

    Resumiendo, no hay principales ni secundarios, gana en cada atributo dependiendo de los casos anteriores

    Y como recomendación, salvo algún problema grave, no conviene tener DCs apagados. Inclusive si se superara el "Tombstone life time" dejarían de replicar, dependiendo de la versión y actualizaciones del Dominio este es normalmente 180 días

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Hola cmuska

    Ampliando sobre esto, Si se caen ambos controladores de dominio Principal y Secundario. En ese momento exacto no va a haber ningun cambio en el dominio, de hecho no habra dominio por lo tanto los equipos estaran indisponibles para iniciar sesión como ejemplo, si por algun motivo se logra iniciar el Controlador de Dominio secundario antes que el que se tiene configurado como principal si el secundario no tiene corrupta la base de datos del directorio activo y digamos puede soportar el dominio este debe ser configurado en ese momento como principal "o como preferido para la autenticacion" para lograr tener de nuevo las capacidades del dominio entonces ahí podrian de nuevo realizarse cambios en la base de datos de directorio activo.

    Ahora suponiendo que la contigencia dura lo suficiente para que no se puedan iniciar los controladores de dominio en 5 días en este caso el Principal que tiene los roles FSMO y ademas es el encargado de realizar duplicación a los otros este en medida consideraria corrupta otra base de datos existente en otro controlador que no sea configurado como principal y por lo tanto se "perderian" los cambio que hubiese realizado algun administrador dicho de esta manera "las bases de datos del directorio activo" NO son modificadas por las operaciones del dominio, pero por interacción del usuario administrador de dominio.

    Gracias por usar los foros de  MSDN.

     

    Pablo Rubio

     ____

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft. 

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

     


    jueves, 11 de abril de 2019 16:02
    Moderador
  • Hola buenas,

    Pues llevo ya unos dias con el DC que contiene los FSMO caido y no creo que pueda recuperarlo... en este caso necesitaria entonces hacer el procedimiento del SEIZE desde el DC que tengo levantado?

    Ya luego intentaria crear otro DC para replicar de nuevo, pero quisiera saber las implicaciones con este procedimiento del seize antes de realizarlo.

    Gracias

    viernes, 12 de abril de 2019 7:35
  • HOla buenas,

    AAl final si que pude levantar el DC que estaba caido, y ya sincronizo en teoria con el otro, se comunican por ping sin problema pero por alguna razón desde la replicación en Sitios y Servicios sigue sin encontrar comunicación. De igual forma cuanto intento mirar los FSMO desde el servidor que no tiene los tienes, sigue apareciendo "error" como que aun no conectara del todo con el DC que levanto recientemente... alguna idea?

    gracias

    viernes, 12 de abril de 2019 10:43
  • Hola, te comento lo que yo haría, es experiencia personal, discutible como toda

    Me olvido del que tiene problemas, lo apago y lo saco de la red. No vuelve más salvo reinstalado. Esto es importante si se hace el SEIZE

    En el que queda, que funciona bien, me apodero de los cinco roles

    Windows Server 2012 (R2): Crear un Dominio – “FSMO Roles”: Ver, Mover y Apoderarse (Novedades) | WindowServer
    https://windowserver.wordpress.com/2015/01/06/windows-server-2012-r2-crear-un-dominio-fsmo-roles-ver-mover-y-apoderarse-novedades/

    Hago limpieza en el Dominio quitando todas las referencias al Controlador de Dominio que ya no está ni volverá

    Eliminar un Controlador de Dominio Que Ya No Existe (Fácil) | WindowServer
    https://windowserver.wordpress.com/2012/06/02/eliminar-un-controlador-de-dominio-que-ya-no-existe-fcil/ 

    Finalmente vuelvo a instalar al "viejo", lo configuro como se debe, y lo vuelvo a poner como Controlador de Dominio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 12 de abril de 2019 11:34
    Moderador
  • Hola
    Gracias por levantar tu consulta en los foros de TechNet. Con respecto a la misma, te hago la recomendación de ingresar al siguiente enlace en donde puedes encontrar una posible solución para tu problema.

    Ejecuta un DCDIAG y reporta los resultados

    https://docs.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc731968(v=ws.11)

    Gracias por usar los foros de TechNet.
    Pablo Sanchezi
     ____
    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.
    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft. 
    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    viernes, 12 de abril de 2019 15:06
    Moderador
  • Hola cmuska, por si te interesa el tema de qué sucede cuando se interrumpe la replicación entre Controladores de Dominio, y cuando hay objetos y atributos que difieren de uno a otro, y si te interesa ver el tema con un poco de profundidad te recomiendo estos dos enlaces, tienen ya varios años de antigüedad pero siguen siendo válidos

    Active Directory Replication – A fondo – Parte 1 | WindowServer
    https://windowserver.wordpress.com/2012/04/14/active-directory-replication-a-fondo-parte-1/

    Active Directory Replication – A fondo – Parte 2 | WindowServer
    https://windowserver.wordpress.com/2012/04/20/active-directory-replication-a-fondo-parte-2/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 12 de abril de 2019 21:22
    Moderador