none
Controlador por fuera del Bosque RRS feed

  • Pregunta

  • Buen día

    Ingenieros,  antemano agradezco su atención y tiempo prestado.

    Tengo la siguiente situación, el la sede de  Bogota tengo un controlador el cual tiene asignado todos los roles de AD, y en la sucursal de CALI tengo otro controlador CG.  Se realizaron unas pruebas en las cuales consisten en tumbar el canal que une a BOGOTA con CALI se realizaron dos escenarios.

    1*  Se tumba el canal y de inmediato se asigna los Roles de AD al Controlador de CALI, de esta forma funciona todo en CALI y los usuarios y app funcionan correctamente.

    2* Se tumba el canal y depues de una hora se intenta asignar los Roles al Controlador de CALI. Pero de esta forma no funciona por que sale que no encuentra conexión, se intenta abrir el AD y DNS pero salen con una X lo cual no permite consultar la BD.

    Después de estas pruebas se evidencia que si se asignan los roles de inmediato funciona, pero si se deja pasar un tiempo ya no deja asignar los roles de AD, se evidencia en los evento que el intento buscar su controlador y nunca se pudo comunicar.

    ay alguna documentación de Microsoft que me diga que tiempo puede durar un controlador sin ver el controlador que tiene  los roles asignados?

    Estaré atento a sus comentarios

    Gracias

    lunes, 1 de agosto de 2016 21:49

Respuestas

  • Hola Jeisson, copio y pego las partes que debemos aclarar, y pongo respuesta en cada una

    ---

    1*  Se tumba el canal y de inmediato se asigna los Roles de AD al Controlador de CALI, de esta forma funciona todo en CALI y los usuarios y app funcionan correctamente.

    [Guillermo] Acá no comprendo. Si te refieres a los roles de autenticación y autorización, entonces siempre ambos Controladores de Dominio los cumplen simultáneamente. Si en cambio te refieres a los "FSMO Roles", estos no se transfieren cuando un Controlador de Dominio se apaga

    RESPUESTA: SI SEÑOR LOS ROLES DE FSMO, TODOS ESTAN EN UNO SOLO
    ---
    Es la única posibilidad que estén solamente en uno, por eso se llaman "Flexible Single Master Operations"

      

    ---

    2* Se tumba el canal y depues de una hora se intenta asignar los Roles al Controlador de CALI. Pero de esta forma no funciona por que sale que no encuentra conexión, se intenta abrir el AD y DNS pero salen con una X lo cual no permite consultar la BD.
    [Guillermo] Hacer esto con los "FSMO Roles" es peligroso, nunca se debe hacer, salvo apoderarse de los roles, en caso que el otro Controlador de Dominio no vuelva a la red. Que no pueda accederse a AD y DNS implica que podría haber un problema configuración IP no correcta

    RESPUESTA: SI ESTO ES CLARO Y DESPUES DE CADA PRUEBA EL CONTROLADOR SE ELIMINA Y CREA UNO NUEVO
    ---
    No puedes hacer eso de crear uno nuevo cada vez, no tiene sentido. También hay que ver cómo es que lo haz "eliminado", porque si no había conexión el otro Controlador de Dominio no se entera de lo que haz hecho

     

    ---

    Después de estas pruebas se evidencia que si se asignan los roles de inmediato funciona, pero si se deja pasar un tiempo ya no deja asignar los roles de AD, se evidencia en los evento que el intento buscar su controlador y nunca se pudo comunicar.
    [Guillermo] Los clientes deben tener confiigurados para usar como DNS ambos Controladores de Dominio, y debe estar correctamente configurados los "Sites", "Subnets" y "Links" para que eso funcione correctamente. Además los clientes durante su autenticación de máquina crearn un canal seguro de comunicación con un Controlador de Dominio. Si éste deja de estar disponible lleva un tiempo hasta que lo crean con otro, y normalmente hay que reinciarlos

    RESPUESTA: SI ES CLARO PERO SI SE CORTA LA COMUNICACION ENTRE LOS DOS CONTROLADORES DESPUES DE UN TIEMPO EL CONTROLADOR QUE NO TIENE LOS ROLES DEJA DE FUNCIONAR, TU SABES POR QUE? CUANTO TIEMPO DA PARA PODER ASIGNAR LOS ROLES EN EL CONTROLADOR QUE ESTA DISPONIBLE?
    ---
    Las únicas operaciones que no te dejará hacer si no hay "FSMOs" son las que dependen de uno de estos roles (modificar Esquema, agregar otros Dominios, etc.). Los Roles FSMO nunca se adquieren por sí mismo un Controlador de Dominio, siempre debe haber otro que los tiene, y los pasa. En ningún caso un Controlador de Dominio los trae desde otro

      

    ---
    ay alguna documentación de Microsoft que me diga que tiempo puede durar un controlador sin ver el controlador que tiene  los roles asignados?

    [Guillermo] Puede vivir toda su vida, sin contactarlo y sin que se produzcan problemas :) El tema aparece sólo cuando se hace una operacion o configuración específica que necesita el rol

    RESPUESTA: SI SEÑOR EL CONTROLADOR PUEDE DURAR EL TIEMPO QUE UNO QUIERA Y CUANDO SUBE YA SE PUEDE UNIR A SU DOMINIO Y FUNCIONA NORMAL, PERO EN MI CASO LO QUE SE QUERIA ERA ASIGNAR LOS ROLES AL CONTROLADOR QUE ESTA DISPONIBLE PERO ESO DESPUES DE UN TIEMPO NO PERMITIO POR QUE SALIA QUE EL CONTROLADOR NO ESTABA LOS DNS NI AD DISPONIBLE 
    ---
    No comprendo lo de "unir a Dominio" porque un Controlador de Dominio siempre está unido a un Dominio, de otra forma no sería Controlador de Dominio
    Independientemente de lo que "se quería", el sistema es una herramienta, no puedes hacer "lo que quieras". No se pueden mover los FSMO si no hay conectividad, y apoderarse por la fuerza puede tener resultados muy muy malos
    Probablemente lo que tengas es una mala configuración DNS. Cada Controlador de Dominio tiene que tener configurado para usar como DNS a sí mismo, y al otro. Y el resto de las máquinas como preferido a su DNS local, y como alternativo al DNS remoto

     

    ---
    Otra cosulta, Si el servidor que tiene asignado los roles de AD, se daña por completo. ay alguna forma que los roles  los tome otro controlador automáticamente?  el proceso lo e realizado manual por linea de comando en el controlador CG disponible asignando los roles, pero el cliente quiere es que esto se realice automáticamente. Si esto no se puede el cliente solicita documentación de Microsoft 
    ---
    Si un Controlador de Dominio se daña, y uno está seguro que no volverá a la red, por supuesto y como haz hecho se puede hacer que el que queda se apodere de los "FSMO Roles". La funcionalidad Global Catalog no tiene relación con los "FSMO Roles" y no es nada parecido, al contrario
    El cliente puede querer lo que quiera, pero si usa un sistema debe adaptarse al sistema. Active Directory es una herramienta, y tiene una forma de uso como cualquier otra que está basada en los conocimientos de su implementación

     

    Un poco de humor: una herramienta por ejemplo es una sierra de corte. Las instrucciones dicen "toma por el mango, apoya la hoja en lo que vas a cortar y muévela alternativamente". Ese cliente quiere tomar por la hoja, mover hacia arriba y abajo, y que ponga un clavo" ja ja ja

    Volviendo al tema, revisa lo que puse antes respecto a la configuración DNS que es casi segro lo que está produciendo el inconveniente de no poder acceder, Y olvídate del tema de los "FSMO Roles" que no tienen relación con el problema

    Revisa el siguiente enlace: Windows Server 2012 (R2): Crear un Dominio – Verificación de la Tolerancia a Fallas | WindowServer:
    https://windowserver.wordpress.com/2014/12/09/windows-server-2012-r2-crear-un-dominio-verificacin-de-la-tolerancia-a-fallas/

      


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    martes, 2 de agosto de 2016 16:27
    Moderador

Todas las respuestas

  • Hola Jesson, respondo entre líneas

    Buen día

    Ingenieros,  antemano agradezco su atención y tiempo prestado.

    Tengo la siguiente situación, el la sede de  Bogota tengo un controlador el cual tiene asignado todos los roles de AD, y en la sucursal de CALI tengo otro controlador CG.  Se realizaron unas pruebas en las cuales consisten en tumbar el canal que une a BOGOTA con CALI se realizaron dos escenarios.
    [Guillermo] ¿El Controlador de Cali tiene instalado y configurado el servicio DNS?

    1*  Se tumba el canal y de inmediato se asigna los Roles de AD al Controlador de CALI, de esta forma funciona todo en CALI y los usuarios y app funcionan correctamente.
    [Guillermo] Acá no comprendo. Si te refieres a los roles de autenticación y autorización, entonces siempre ambos Controladores de Dominio los cumplen simultáneamente. Si en cambio te refieres a los "FSMO Roles", estos no se transfieren cuando un Controlador de Dominio se apaga

    2* Se tumba el canal y depues de una hora se intenta asignar los Roles al Controlador de CALI. Pero de esta forma no funciona por que sale que no encuentra conexión, se intenta abrir el AD y DNS pero salen con una X lo cual no permite consultar la BD.
    [Guillermo] Hacer esto con los "FSMO Roles" es peligroso, nunca se debe hacer, salvo apoderarse de los roles, en caso que el otro Controlador de Dominio no vuelva a la red. Que no pueda accederse a AD y DNS implica que podría haber un problema configuración IP no correcta

    Después de estas pruebas se evidencia que si se asignan los roles de inmediato funciona, pero si se deja pasar un tiempo ya no deja asignar los roles de AD, se evidencia en los evento que el intento buscar su controlador y nunca se pudo comunicar.
    [Guillermo] Los clientes deben tener confiigurados para usar como DNS ambos Controladores de Dominio, y debe estar correctamente configurados los "Sites", "Subnets" y "Links" para que eso funcione correctamente. Además los clientes durante su autenticación de máquina crearn un canal seguro de comunicación con un Controlador de Dominio. Si éste deja de estar disponible lleva un tiempo hasta que lo crean con otro, y normalmente hay que reinciarlos

    ay alguna documentación de Microsoft que me diga que tiempo puede durar un controlador sin ver el controlador que tiene  los roles asignados?
    [Guillermo] Puede vivir toda su vida, sin contactarlo y sin que se produzcan problemas :) El tema aparece sólo cuando se hace una operacion o configuración específica que necesita el rol

    Estaré atento a sus comentarios

    Gracias

    [Guillermo] Dejo unos enlaces relativos al tema

    Maestros de Operaciones (FSMO Roles) – Parte 1 | WindowServer:
    https://windowserver.wordpress.com/2011/05/10/maestros-de-operaciones-fsmo-roles-parte-1/ 

    Windows Server 2012 (R2): Crear un Dominio – “FSMO Roles”: Ver, Mover y Apoderarse (Novedades) | WindowServer:
    https://windowserver.wordpress.com/2015/01/06/windows-server-2012-r2-crear-un-dominio-fsmo-roles-ver-mover-y-apoderarse-novedades/ 

    Configurando Sites (Sitios) en Active Directory | WindowServer:
    https://windowserver.wordpress.com/2013/02/08/configurando-sites-sitios-en-active-directory/ 

    [Edito] Agrego algo más ¿por qué dices "fuera del Bosque"?

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    martes, 2 de agosto de 2016 11:33
    Moderador
  • Buen día

    Ingeniero, gracias por tus respuestas.

    Tengo la siguiente situación, el la sede de  Bogota tengo un controlador el cual tiene asignado todos los roles de AD, y en la sucursal de CALI tengo otro controlador CG.  Se realizaron unas pruebas en las cuales consisten en tumbar el canal que une a BOGOTA con CALI se realizaron dos escenarios.
    [Guillermo] ¿El Controlador de Cali tiene instalado y configurado el servicio DNS?

    RESPUESTA: LOS DOS CONTROLADORES CUENTAN CON EL ROL DE DNS.

    1*  Se tumba el canal y de inmediato se asigna los Roles de AD al Controlador de CALI, de esta forma funciona todo en CALI y los usuarios y app funcionan correctamente.

    [Guillermo] Acá no comprendo. Si te refieres a los roles de autenticación y autorización, entonces siempre ambos Controladores de Dominio los cumplen simultáneamente. Si en cambio te refieres a los "FSMO Roles", estos no se transfieren cuando un Controlador de Dominio se apaga

    RESPUESTA: SI SEÑOR LOS ROLES DE FSMO, TODOS ESTAN EN UNO SOLO

    2* Se tumba el canal y depues de una hora se intenta asignar los Roles al Controlador de CALI. Pero de esta forma no funciona por que sale que no encuentra conexión, se intenta abrir el AD y DNS pero salen con una X lo cual no permite consultar la BD.
    [Guillermo] Hacer esto con los "FSMO Roles" es peligroso, nunca se debe hacer, salvo apoderarse de los roles, en caso que el otro Controlador de Dominio no vuelva a la red. Que no pueda accederse a AD y DNS implica que podría haber un problema configuración IP no correcta

    RESPUESTA: SI ESTO ES CLARO Y DESPUES DE CADA PRUEBA EL CONTROLADOR SE ELIMINA Y CREA UNO NUEVO

    Después de estas pruebas se evidencia que si se asignan los roles de inmediato funciona, pero si se deja pasar un tiempo ya no deja asignar los roles de AD, se evidencia en los evento que el intento buscar su controlador y nunca se pudo comunicar.
    [Guillermo] Los clientes deben tener confiigurados para usar como DNS ambos Controladores de Dominio, y debe estar correctamente configurados los "Sites", "Subnets" y "Links" para que eso funcione correctamente. Además los clientes durante su autenticación de máquina crearn un canal seguro de comunicación con un Controlador de Dominio. Si éste deja de estar disponible lleva un tiempo hasta que lo crean con otro, y normalmente hay que reinciarlos

    RESPUESTA: SI ES CLARO PERO SI SE CORTA LA COMUNICACION ENTRE LOS DOS CONTROLADORES DESPUES DE UN TIEMPO EL CONTROLADOR QUE NO TIENE LOS ROLES DEJA DE FUNCIONAR, TU SABES POR QUE? CUANTO TIEMPO DA PARA PODER ASIGNAR LOS ROLES EN EL CONTROLADOR QUE ESTA DISPONIBLE?

    ay alguna documentación de Microsoft que me diga que tiempo puede durar un controlador sin ver el controlador que tiene  los roles asignados?

    [Guillermo] Puede vivir toda su vida, sin contactarlo y sin que se produzcan problemas :) El tema aparece sólo cuando se hace una operacion o configuración específica que necesita el rol

    RESPUESTA: SI SEÑOR EL CONTROLADOR PUEDE DURAR EL TIEMPO QUE UNO QUIERA Y CUANDO SUBE YA SE PUEDE UNIR A SU DOMINIO Y FUNCIONA NORMAL, PERO EN MI CASO LO QUE SE QUERIA ERA ASIGNAR LOS ROLES AL CONTROLADOR QUE ESTA DISPONIBLE PERO ESO DESPUES DE UN TIEMPO NO PERMITIO POR QUE SALIA QUE EL CONTROLADOR NO ESTABA LOS DNS NI AD DISPONIBLE 

    Otra cosulta, Si el servidor que tiene asignado los roles de AD, se daña por completo. ay alguna forma que los roles  los tome otro controlador automáticamente?  el proceso lo e realizado manual por linea de comando en el controlador CG disponible asignando los roles, pero el cliente quiere es que esto se realice automáticamente. Si esto no se puede el cliente solicita documentación de Microsoft 

    Perdon la letra mayuscula, es solo para diferenciar el uno del otro   


    martes, 2 de agosto de 2016 15:37
  • Hola Jeisson, copio y pego las partes que debemos aclarar, y pongo respuesta en cada una

    ---

    1*  Se tumba el canal y de inmediato se asigna los Roles de AD al Controlador de CALI, de esta forma funciona todo en CALI y los usuarios y app funcionan correctamente.

    [Guillermo] Acá no comprendo. Si te refieres a los roles de autenticación y autorización, entonces siempre ambos Controladores de Dominio los cumplen simultáneamente. Si en cambio te refieres a los "FSMO Roles", estos no se transfieren cuando un Controlador de Dominio se apaga

    RESPUESTA: SI SEÑOR LOS ROLES DE FSMO, TODOS ESTAN EN UNO SOLO
    ---
    Es la única posibilidad que estén solamente en uno, por eso se llaman "Flexible Single Master Operations"

      

    ---

    2* Se tumba el canal y depues de una hora se intenta asignar los Roles al Controlador de CALI. Pero de esta forma no funciona por que sale que no encuentra conexión, se intenta abrir el AD y DNS pero salen con una X lo cual no permite consultar la BD.
    [Guillermo] Hacer esto con los "FSMO Roles" es peligroso, nunca se debe hacer, salvo apoderarse de los roles, en caso que el otro Controlador de Dominio no vuelva a la red. Que no pueda accederse a AD y DNS implica que podría haber un problema configuración IP no correcta

    RESPUESTA: SI ESTO ES CLARO Y DESPUES DE CADA PRUEBA EL CONTROLADOR SE ELIMINA Y CREA UNO NUEVO
    ---
    No puedes hacer eso de crear uno nuevo cada vez, no tiene sentido. También hay que ver cómo es que lo haz "eliminado", porque si no había conexión el otro Controlador de Dominio no se entera de lo que haz hecho

     

    ---

    Después de estas pruebas se evidencia que si se asignan los roles de inmediato funciona, pero si se deja pasar un tiempo ya no deja asignar los roles de AD, se evidencia en los evento que el intento buscar su controlador y nunca se pudo comunicar.
    [Guillermo] Los clientes deben tener confiigurados para usar como DNS ambos Controladores de Dominio, y debe estar correctamente configurados los "Sites", "Subnets" y "Links" para que eso funcione correctamente. Además los clientes durante su autenticación de máquina crearn un canal seguro de comunicación con un Controlador de Dominio. Si éste deja de estar disponible lleva un tiempo hasta que lo crean con otro, y normalmente hay que reinciarlos

    RESPUESTA: SI ES CLARO PERO SI SE CORTA LA COMUNICACION ENTRE LOS DOS CONTROLADORES DESPUES DE UN TIEMPO EL CONTROLADOR QUE NO TIENE LOS ROLES DEJA DE FUNCIONAR, TU SABES POR QUE? CUANTO TIEMPO DA PARA PODER ASIGNAR LOS ROLES EN EL CONTROLADOR QUE ESTA DISPONIBLE?
    ---
    Las únicas operaciones que no te dejará hacer si no hay "FSMOs" son las que dependen de uno de estos roles (modificar Esquema, agregar otros Dominios, etc.). Los Roles FSMO nunca se adquieren por sí mismo un Controlador de Dominio, siempre debe haber otro que los tiene, y los pasa. En ningún caso un Controlador de Dominio los trae desde otro

      

    ---
    ay alguna documentación de Microsoft que me diga que tiempo puede durar un controlador sin ver el controlador que tiene  los roles asignados?

    [Guillermo] Puede vivir toda su vida, sin contactarlo y sin que se produzcan problemas :) El tema aparece sólo cuando se hace una operacion o configuración específica que necesita el rol

    RESPUESTA: SI SEÑOR EL CONTROLADOR PUEDE DURAR EL TIEMPO QUE UNO QUIERA Y CUANDO SUBE YA SE PUEDE UNIR A SU DOMINIO Y FUNCIONA NORMAL, PERO EN MI CASO LO QUE SE QUERIA ERA ASIGNAR LOS ROLES AL CONTROLADOR QUE ESTA DISPONIBLE PERO ESO DESPUES DE UN TIEMPO NO PERMITIO POR QUE SALIA QUE EL CONTROLADOR NO ESTABA LOS DNS NI AD DISPONIBLE 
    ---
    No comprendo lo de "unir a Dominio" porque un Controlador de Dominio siempre está unido a un Dominio, de otra forma no sería Controlador de Dominio
    Independientemente de lo que "se quería", el sistema es una herramienta, no puedes hacer "lo que quieras". No se pueden mover los FSMO si no hay conectividad, y apoderarse por la fuerza puede tener resultados muy muy malos
    Probablemente lo que tengas es una mala configuración DNS. Cada Controlador de Dominio tiene que tener configurado para usar como DNS a sí mismo, y al otro. Y el resto de las máquinas como preferido a su DNS local, y como alternativo al DNS remoto

     

    ---
    Otra cosulta, Si el servidor que tiene asignado los roles de AD, se daña por completo. ay alguna forma que los roles  los tome otro controlador automáticamente?  el proceso lo e realizado manual por linea de comando en el controlador CG disponible asignando los roles, pero el cliente quiere es que esto se realice automáticamente. Si esto no se puede el cliente solicita documentación de Microsoft 
    ---
    Si un Controlador de Dominio se daña, y uno está seguro que no volverá a la red, por supuesto y como haz hecho se puede hacer que el que queda se apodere de los "FSMO Roles". La funcionalidad Global Catalog no tiene relación con los "FSMO Roles" y no es nada parecido, al contrario
    El cliente puede querer lo que quiera, pero si usa un sistema debe adaptarse al sistema. Active Directory es una herramienta, y tiene una forma de uso como cualquier otra que está basada en los conocimientos de su implementación

     

    Un poco de humor: una herramienta por ejemplo es una sierra de corte. Las instrucciones dicen "toma por el mango, apoya la hoja en lo que vas a cortar y muévela alternativamente". Ese cliente quiere tomar por la hoja, mover hacia arriba y abajo, y que ponga un clavo" ja ja ja

    Volviendo al tema, revisa lo que puse antes respecto a la configuración DNS que es casi segro lo que está produciendo el inconveniente de no poder acceder, Y olvídate del tema de los "FSMO Roles" que no tienen relación con el problema

    Revisa el siguiente enlace: Windows Server 2012 (R2): Crear un Dominio – Verificación de la Tolerancia a Fallas | WindowServer:
    https://windowserver.wordpress.com/2014/12/09/windows-server-2012-r2-crear-un-dominio-verificacin-de-la-tolerancia-a-fallas/

      


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    martes, 2 de agosto de 2016 16:27
    Moderador