none
Controlador de domio nuevo replicado RRS feed

  • Pregunta

  • Buenas,

    Actualmente tengo un bosque con un dominio y 4 controladores de dominio replicados distribuidos en diferentes provincias y comunicados por VPN, tengo los fsmo en un punto central.

    Mi pregunta es para crear un controlador de dominio nuevo replicado, si se pierde la comunicación con el controlador de dominio donde estan los fsmo, se puede haer igualmente si pongo como DNS cualquiera de los otros controladores de dominio siempre y cuando se tanga acceso a ellos no? . 

    Podria entonces crear un nuevo controlador de dominio replicado sin problemas? o es necesario que se haga contra el controlador de dominio que tiene los fsmo?

    Muchas Gracias

    Un Saludo


    David

    martes, 26 de noviembre de 2019 15:06

Todas las respuestas

  • Hola, Panthael (David):

    Desde mi punto de vista, lo recomendable sería que cada sede tuviera su propio DC local replicado por MPLS (en vez de VPN; por velocidad.. y conexión dedicada del ISP) con el resto de DCs. Obviamente, los 2 (dos) DCs con los FSMO repartidos debieran estar ubicados en la sede central de la compañía.
    En cuanto al asunto de los DNS, lo importante no es el número de servidores, sino que estos se encuentren perfectamente replicados; esto es: puedes establecer que cada DC en cada provincia tenga el rol de DNS para responder solicitudes "locales" y replicación al resto de zonas; la metodología sería básicamente la misma con cualquier nuevo DC que agregues a la infraestructura.

    Respondiendo directamente a tus preguntas:
    .- (..) se puede haer igualmente si pongo como DNS cualquiera de los otros DC siempre y cuando se tenga acceso a ellos, no?
    Qué hacer cuando el (o los) DC con todos los FSMO está caído? Bueno, a nivel de infarestructura es algo muy grave.. pero como la solución es extremadamente sencilla y rápida, se pudiera bajar el nivel de criticidad en función de la rapidez con la que se aplica la solución: asignar los FSMO a los servidores más capacitados dentro de la infraestructura (mejor haciendo uso de la herramienta/comando NTDSUTIL). Si tienes replicados a su tiempo todos los DNS, los usuarios apenas se darán cuenta.. y lo "mejor" es que a nivel de roles DNS, en realidad no existe un primario y/o secundario; eso lo estableces por la rapidez de respuesta en base geográfica, para los clientes más cercanos. Dentreo de una única infraestructura (como bien señalas), mientras haya conexión al servidor con el rol, puedes asignar el que más desees.. o incluso añadir uno nuevo.

    .- (..) Podría entonces crear un nuevo DC replicado sin problemas?
    No exactamente: primero debes reasignar los FSMO a un nuevo server (mejor dos.. frente a uno solo) y a partir de ahí, replicar el nuevo DC al nuevo Maestro de Infraestructuras..

    .- (..) es necesario que se haga contra el DC que tiene los FSMO?
    En efecto: ten en cuenta que el FSMO MAESTRO DE INFRAESTRUCTURA controla la estructura física del dominio y dominios con relaciones de confianza, lo que significa que es el "Master" que debe estar accesible para replicar al resto de servidores (y por ende, servicios asociados) cualquier cambio en objetos referenciados de todo el dominio. En otras palabras: cuando "metes" una nueva máquina en el dominio (en especial si es un DC), el MAESTRO DE INFRAESTRUCTURA debe de saberlo y validarlo, sí.. o sí!

    Más info:
    · Ubicación de FSMO y optimización en DCs de AD:
    https://support.microsoft.com/en-us/help/223346/fsmo-placement-and-optimization-on-active-directory-domain-controllers

    Desiderio Ondo || Engineer

    • Propuesto como respuesta Pablo Rubio martes, 26 de noviembre de 2019 17:00
    martes, 26 de noviembre de 2019 16:38
  • Muchas Gracias

    Un Saludo


    David

    martes, 26 de noviembre de 2019 16:43
  • Hola David, y perdona que me meta Desiderio, pero entiendo que puedo agregar algo

    Como todos los DCs de un Dominio tienen una copia de las tres particiones ("Schema", "Configuration" y "Domain"), la replicación la puede recibir desde cualquiera, tenga o no lo FSMO

    Lo que sí hay que tener en cuenta, es que no exista diferencia horario (GMT) y por supuesto que no existan previamente problemas de replicación

    Y aún más, durante el proceso de promoción se puede elegir desde qué DC se hará la replicación, o inclusive usar IFM si los enlaces tuvieran reducido ancho de banda y la replicación fuera muy grande

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Pablo Rubio martes, 26 de noviembre de 2019 17:00
    martes, 26 de noviembre de 2019 16:48
  • Entonces, si por una razón de forma temporal, yo quisiera crear un nuevo controlador de dominio replicado que como digo de forma temporal no tuviera acceso al DC con los fsmo, podria hacerlo sin problemes usando cualquiera de los otros DC replicados, y luego cuando tuviera acceso al DC con los fsmo, ya cambiaria las DNS.

    Funcionaria? se promocionaria correctamente y se replicaria?

    Muchas Gracias

    Un Saludo


    David

    martes, 26 de noviembre de 2019 16:52
  • Al contrario, maese Delprato: agradezco (y MUCHO) tus aportaciones al foro, pues yo tambien aprendo!

    Compañero, los puntos señalados por el compañero Delprato se me había pasado comentarlos (en especial el apartado del desfase horario): todos los DCs de un Dominio tienen una copia de las tres particiones.. y en teoría, la replicación debería poder recibirla desde cualquier otro DC. Ahora bien: reconozco nunca he "jugado" en un entorno con FSMO no asignado, la verdad.. por lo que desconozco el resultado práctico exacto.

    Si tuviera que apostar, diría que sí funcionaría.. pero preferiría recomendarte que tuvieras los FSMO asignados ANTES de proceder, compañero..


    Desiderio Ondo || Engineer

    martes, 26 de noviembre de 2019 17:09
  • Por lo menos en ambiente de laboratorio funciona sin problemas

    Es una demo de prueba con un Bosque y dos Arboles, con Sitios, y RODCs pero si quieres ver el armado completo comienza en la siguiente de las seis notas. Sólo la aclaración que todas son máquinas virtuales, inclusive los Routers que interconectan las diferentes redes, no por VPN

    Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota I | WindowServer
    https://windowserver.wordpress.com/2013/05/24/instalacin-de-active-directory-escenario-completo-situacin-inicial-y-objetivos-nota-i/


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 26 de noviembre de 2019 19:18