none
Catálogo global, una duda sobre un post leido hace unos minutos RRS feed

  • Pregunta

  • Buenas,

       Quería haceros una pregunta. Como suelo hacer, antes de hacerla, busco hilos parecidos , por si así no hace falta mi pregunta y ya está resuelta.

    El caso es que es muy parecida a una que se plantea sobre la ubicación o más bien necesidad de los Catálogos globales en A.D :

    En el post se dice que si sólo tienes un dominio, no hace falta GC (Catálogo global), pero en el mismo hilo se dice que sí es necesario para autenticación de los usuarios (aparte de tener copia de objetos de otros dominios).

    Entonces: Tengo un dominio (mi caso) , no me hace falta GC?  Porque parece que no porque sñolo es un dominio pero luego parece que si porque autentica a los usuarios.

    Yo, en mi dominio, tengo ambos DC como Catálogos globales, por redundancia, por si un DC cae, pero ahora me surge esta duda.

    Otra duda que me surge es:

    De siempre he leido que se recomienda un Catálogo Global por Site, para que en ese Site se logen los usuarios sin tener que ir a buscar a otro DC de otro Site, esto es así?  y , en caso afirmativo, ¿no se está diciendo implicitamente que añun teniendo un solo dominio, tengamos varios catálogos globales (si tenemos varios sites pero también por redundancia)

    Muchas gracias por adelantado !


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    lunes, 8 de noviembre de 2010 10:51

Respuestas

  • Si tienes un dominio y 2 DCs, los 2 DCs deben ser GC (el GC no se traspasa solo en caso de caída de otro DC que lo lleve; o se es GC,o no se es :-)

    Lo mismo pasa con los FSMO, si se cae un DC con los FSMO, y ese DC no se va a poder recuperar, debe forzarse el traspaso de los FSMO (en la ayuda de windows, busca por FSMO o Maestro de oepraciones, tienes toda la info más básica que sirve de base)


    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    • Marcado como respuesta Javier_Inglés lunes, 8 de noviembre de 2010 14:27
    lunes, 8 de noviembre de 2010 13:01

Todas las respuestas

  • Dónde has leído que si tienes un dominio no hace falta GC??? Eso es imposible; tengas uno o varios dominiios, GC SIEMPRE se necesita (y por defecto, el primer DC de cada dominio lo es). O lo has leido mal o se han confundido socio; otra cosa es la distribución del GC entre DCs, eso ya es otro asunto, pero siempre debe haber al menos 1 por dominio. Y si sólo tienes 1 dominio, lo recomendado es que todos los DCs sean GC.
    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    lunes, 8 de noviembre de 2010 10:55
  • Buenas !

    Gracias por la pronta respuesta:

    Cito textualemtente:

    "Si tienes un único dominio, o si el nivel funcional del dominio es Mixto, entonces funcionará aunque no tengas GC, porque no se puede usar esta clase de grupos" . La Afirmación está hecha por un moderador, al que he tenido el placer de que me conteste alguna pregunta y es genial, pero dice eso y me llevó a confusión.

    Efectivamente, yo sabía que el primer DC del dominio va a tener los FSMO, el GC, ... pero ya te comento que la frase, sacada del hilo que investigué antes de poner mi pregunta, me hizo confundirme.

    Una pregunta sobre los roles del Catáologo globlal:

    1. Autentican a los usuarios (sino hay CG, entrarán por caché, pero no tendrán acceso a Recursos)

    2.Mantienen una base de datos de sólo lectura con los objetos (más importantes) de todos los demás dominios del bosque

    Son correctas estas dos afirmaciones?

    Muchas gracias, un saludo enorme !

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    lunes, 8 de noviembre de 2010 11:04
  • Pon el hilo entero en contexto, un GC  no es neceesario en caso de que quieras usar en un único dominio grupos universales, puesto que estos dependen de él. Si no está disponible un GC no te interfiere en ese caso, pero eso no quiere decir que no puedas tener uno...

    Para las otras afirmaciones, te aconsejo la lectura siguiente ya que te responde esas dudas y otras que puedas tener:

    http://technet.microsoft.com/en-us/library/cc728188(WS.10).aspx


    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    lunes, 8 de noviembre de 2010 11:11
  • Gracias Javier de nuevo, el hilo:

    http://social.technet.microsoft.com/Forums/es-ES/wsades/thread/3e332cc3-ba8d-44e9-af81-5ec12b33c8a5 .

    Es la respuesta de mi admirado Guillermo, la respuesta 8 de todo el hilo, que por cierto también viene a decir lo que comentas de los grupos universales en una de sus respuestas.

    Otra pregunta:

    Varias de los sites que tengo, no tienen DC porque son oficinas con 3 ordenadores y no tienen DC, ni por tanto, CG. Sé que buscan al iniciarse a un catálogo global por cercanía geográfica, y sé que esto es configurable, pero tenía un manual por ahí a ese respecto y no lo localizo, pero quería, si es posible, me confirmaras que en este tipo de pequeñas oficinas que sólo tienen 3 pc´s, puedo configurar a que site quiero que vayan a buscar un DC por WAN para autenticarse.

    Muchas gracias !


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    lunes, 8 de noviembre de 2010 11:19
  • Por eso te decía, Guillermo (que a parte de Moderador es MVP) no falla en ese tipo de respuestas ;-), es un crack.

    Para tu caso, simplemente en el site que tengas configurado con aldún DC+GC, etc y con el que tenga counicación dicha sede remota, agrega su subnet al site; de esa forma,los PCs clientes de dicha subred intentaránsimepre acceder a los DCs de dicho site


    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    lunes, 8 de noviembre de 2010 11:24
  • Gracias Javier, muy clarificadora tu respuesta, agradezco mucho tu tiempo.

    Sé que Guillermo, por los posts que he leido de él, es un crack, pero me dejó confundido, logicamente por mi inexperiencia, además, imagino que las medallas que tiene en su Avatar o como se digga, no son gratuitas, jeje.

    Sois un c

    Crack ambos !

    Gracias !

    P.D:  ¿Crees que el factor distancia es determinante para estas búsquedas de CG via WAN (a igualdad de velocidad entre sites) ? Es decir, este site pequeño de 3 pc´s está en Málaga y tengo DC´s en Madrid y Barcelona. Yo diría que la diferencia es muy mínima al buscar los de Málaga un CG en Madrid o BCN ya que los enlacces WAN tienen la misma velocidad y sospecho que 500 kms para estas cosas no son nada, pero no estoy seguro y lo pregunto pra mejorar eficiencias.

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    lunes, 8 de noviembre de 2010 11:35
  • Eso ya depende de la calidad de la línea de datos socio; si el enlace es a la misma velocidad entre sedes, puedes ver tiempos de respuesta y latencia por si acaso para ver qué línea parece más fiable para usarla, aunque para una sede de 3PCs yo la pondría contra la sede que se suponga sea la central
    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    lunes, 8 de noviembre de 2010 11:48
  • ok Javier, muchas gracias, perdona la ignorancia Javier, pero que es los tiempos de respuesta y latencia? Te refieres a cuando haces ping y te aparecen los tiempos de respuesta a dichos pings o estoy totalmente fuera de contexto ! .

    Esto creo que va a sonar muy simple pero: ¿Hago ping desde la oficina de 3 pc´s hacia los CG de Madrid y BCN para ver que tiempo tardan en responder y así decidir? La oficina central es la de Madrid.

    Quizás debería investigar yo un poco más acerca acerca de temas de latencia y respuestas, porque no lo entiendo en este conexto, pero si me lo pudieras decir en dos o 3 frases, sino es mucho pedir.

    Gracias !

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    lunes, 8 de noviembre de 2010 11:58
  • Básicamente es lo que has dicho; tira un ping desde un PC de la sede pequeña a la IP del DC de madrid y otro al de bcn, y mira los tiempos de respuesta y el TTL para compararlos (los que tengan menos tiempo de respuesta y saltos serían los ideales)


    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    lunes, 8 de noviembre de 2010 12:32
  • Genial !

    Infinitamente agradecido Javier !

    Otra cosa: Estoy haciendo (en un entorno virtualizado de pruebas donde tengo un dominio) , estoy haciendo pruebas. En dicho entorno tengo dos dc´s, he quitado ambos como Catálogos globales, para ver como se comportaba Active Directory, y lo dejé un rato porque no sé los tiempos que ese cambio puede verse en los clientes.

    El caso es que he conseguido, tras un tiempo de espera de 15 minutos aprox, logarme con diferentes usuarios a un XP cliente del dominio. Para más seguridad he creado un nuevo usuario en una OU, y estoy haciendo pruebas con ellos, pero el caso y lo que quería comentar es que haciendo DCDIAG , salen 200 errores, volveré a ponerlos como CG y ver si salen de nuevo esos cientos de errores en DCDiag. No he mirado el visor de eventos pero si ya en DCDiag salen tantos errores , y teniendo en cuenta que lo único que he hecho es quitar ambos controladores de dominio como Catálogo Gloabal, pues parece clara la cuestión.

    Sólo quería comentarlo por si puede servir a algun que vea muuuchos errores en DCDiag y pueda tirar por ahí, aunque es raro una empresa sin ningún CG porque como bien me dijiste, el primer controlador de dominio es siempre Catálogo Global (CG).

    A lo cual me surge una duda:

    -Monto un Active Directory, con sólo un CG , pero dos DC, DC1 y luego DC2.

    -Este CG  (DC1) cae por hardware, etc, y me queda uno que tendré por redundancia, pero que no es CG.

    -Ahí si me empezarán a salir problemas porque sino degrado correctamente DC1 (el primero que ha muerto y era CG), creo que DC2 no asumirá el papel de CG por sí solo ¿o al quitar DC1 (mal despromocionado por caida de Hardware) ,  de Active Directory según procedimientos que aparecen muy fácil y son fáciles de hacer, al quitarlo siguiendo estos manuales, el otro DC asumirá el catálogo global al detectar Active Directory que es el que queda ?

    Gracias mil !!


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    lunes, 8 de noviembre de 2010 12:45
  • Si tienes un dominio y 2 DCs, los 2 DCs deben ser GC (el GC no se traspasa solo en caso de caída de otro DC que lo lleve; o se es GC,o no se es :-)

    Lo mismo pasa con los FSMO, si se cae un DC con los FSMO, y ese DC no se va a poder recuperar, debe forzarse el traspaso de los FSMO (en la ayuda de windows, busca por FSMO o Maestro de oepraciones, tienes toda la info más básica que sirve de base)


    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    • Marcado como respuesta Javier_Inglés lunes, 8 de noviembre de 2010 14:27
    lunes, 8 de noviembre de 2010 13:01
  • Muchas gracias Javier,

     

    Lo de los FSMO siempre lo he tenido claro, se va uno a NTDUTIL y allí fuerzas con "seize fsmo correspondiente" a que el controlador de dominio coja los que ha perdido el servidor caido sin una degradación controlada , lo que no sabía o nunca me había planteado era el tema de,  si se hacía una degradación controlada de un DC, se pasaba el CG al otro controlador o a uno de ellos.

    Muchas gracias por todo, por tu tiempo !!

     

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    • Marcado como respuesta Luis Olias lunes, 8 de noviembre de 2010 14:25
    • Desmarcado como respuesta Javier_Inglés lunes, 8 de noviembre de 2010 14:27
    lunes, 8 de noviembre de 2010 14:25