Levantar nuevo DC

Ese segundo DC, es Global Catalog?


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights. You assume all risk for your use.

"Javier Terán González" escribió en el mensaje news:
Buenas noches.

Tengo un Dominio un un DC catalogo global y con los 5 roles del dominio... y tengo otro controlador de dominio de replica del primero pero que no tiene ninguno de los roles.

Si el primero cae ¿De que sirve el segundo DC? si le pongo a él sólo me dice que el dominio no está disponible.

¿Se puede recuperar el dominio a partir del que no era el principal?

Un saludo.

Si. Yo creo que los dos eran catálogo global.



"Marc [MVP Windows]" escribió en el mensaje de
noticias:##Z$

Ese segundo DC, es Global Catalog?


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:
Buenas noches.

Tengo un Dominio un un DC catalogo global y con los 5 roles del dominio...
y tengo otro controlador de dominio de replica del primero pero que no
tiene ninguno de los roles.

Si el primero cae ¿De que sirve el segundo DC? si le pongo a él sólo
me dice que el dominio no está disponible.

¿Se puede recuperar el dominio a partir del que no era el principal?

Un saludo.

Si no lo es, los usuarios no harán login si el primero se cae...

Luego, sobre los roles pues:

Maestro de esquema

El DC responsable del Maestro de esquema (Schema Master) es quien realiza las actualizaciones en el esquema del directorio

Este DC es el único que puede procesar las actualizaciones al esquema del directorio. Una vez completada la actualización del Esquema, se replica desde el maestro de esquema a todos los demás DC del directorio.

Únicamente hay un maestro de esquema por cada directorio (léase Bosque).

Maestro de nombres de dominio

El DC responsable del Maestro de Nombres (Naming Master) es responsable de realizar los cambios en el espacio de nombres de dominio del bosque del directorio

Este DC es el único que puede agregar o quitar un dominio del directorio.
También puede agregar o quitar referencias cruzadas a dominios en directorios externos (Relaciones de confianza).

Únicamente hay un Maestro de Nombres por cada Bosque.

Función de Maestro RID
El DC responsable del maestro RID (RID Master) es el único capaz de procesar las peticiones de grupos RID de todos los DC de un dominio.

También es responsable de quitar objetos de un dominio y ponerlos en otro durante una operación de movimiento de objetos (Migraciones).

Cuando un DC crea un objeto principal de seguridad, como un usuario o un grupo, adjunta al objeto un Identificador de seguridad exclusivo (SID). El SID está formado por un SID de dominio (que es igual para todos los SID creados en el mismo dominio) y un Id. relativo (RID) único para cada SID principal de seguridad creado en un dominio.
A cada DC en un dominio Windows 200x de un dominio se le asigna un grupo de RID (RID Pool) que puede asignar a los principales de seguridad que crea.

Cuando el conjunto de RID asignado a un DC supera un determinado umbral, el DC envía al maestro RID una petición para obtener RID adicionales.

El maestro RID del dominio responde a la petición obteniendo un conjunto de RID de entre aquellos del dominio que no habían sido asignados aún y asociándolo al conjunto correspondiente al DC que realizó la petición.
Hay un único maestro RID por cada dominio.

Función de Emulador PDC
El emulador PDC (PDC Emulator) es necesario para sincronizar la hora en una empresa. Windows 200x incluye el servicio de hora W32Time (hora de Windows), requerido por el protocolo de autenticación Kerberos.

Todos los equipos de una empresa basados en Windows 200x utilizan la misma hora.

La función del servicio de hora es permitir que el servicio de hora de Windows utilice una relación jerárquica que controle las relaciones de autoridad y no permita la creación de bucles, de forma que se garantice el uso de una hora común.
En un dominio de Windows 200x, la función emulador PDC tiene funciones siguientes:

n Los cambios de contraseña realizados por otros DC del dominio se replican de forma preferente al emulador PDC.
n Los errores de autenticación que se producen en un determinado DC de un dominio debidos al uso incorrecto de contraseñas se reenvían al emulador PDC antes de mostrar al usuario un mensaje de error por contraseña incorrecta.
n El bloqueo de cuentas se procesa en el emulador PDC.

n El emulador PDC ejecuta todas las funcionalidades que un PDC de Microsoft Windows NT 4.0 o anterior para los clientes basados en Windows NT 4.0 o versiones anteriores.
Esta parte de la función del emulador PDC se vuelve innecesaria cuando todas las estaciones de trabajo, servidores miembro y controladores de dominio que están ejecutando Windows NT 4.0 o una versión anterior se actualizan todos a Windows 200x.


Hay un único emulador PDC por cada dominio.

Función de Infraestructura

Cuando un objeto de un dominio hace referencia a otro objeto de otro dominio, la referencia se representa mediante el GUID, el SID (si se trata de una referencia a un principal de seguridad) y el DN del objeto al que se hace referencia.

El DC responsable de la función de Infraestructura (Infrastructure Master) es quien actualizará SID y el nombre completo de un objeto en una referencia entre objetos de diferentes dominios

No es aconsejable tener el IM en un servidor que sea Global Catalog.

Hay un único rol de Infraestructura por cada dominio.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights. You assume all risk for your use.

"Javier Terán González" escribió en el mensaje news:

Si. Yo creo que los dos eran catálogo global.



"Marc [MVP Windows]" escribió en el mensaje de
noticias:##Z$

Ese segundo DC, es Global Catalog?


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:
Buenas noches.

Tengo un Dominio un un DC catalogo global y con los 5 roles del dominio...
y tengo otro controlador de dominio de replica del primero pero que no
tiene ninguno de los roles.

Si el primero cae ¿De que sirve el segundo DC? si le pongo a él sólo
me dice que el dominio no está disponible.

¿Se puede recuperar el dominio a partir del que no era el principal?

Un saludo.

gracias por la información.

Pero entonces. Si se cae el DC que tiene los 5 roles principales (este es el
caso)... sólo se puede recuperar el dominio tirando de un backup y
recuperando ese servidor... ?

No se puede recuperar el dominio obligando al segundo DC a que de repente
tenga esos 5 roles sin que el principal esté operativo?

Me imagino lo que me vas a decir, pero me parece un poco chungo.. Al final,
aunque tengas 10 DC dependes del que tenga los roles
Un saludo

"Marc [MVP Windows]" escribió en el mensaje de
noticias:

Si no lo es, los usuarios no harán login si el primero se cae...

Luego, sobre los roles pues:

Maestro de esquema

El DC responsable del Maestro de esquema (Schema Master) es quien realiza
las actualizaciones en el esquema del directorio

Este DC es el único que puede procesar las actualizaciones al esquema del
directorio. Una vez completada la actualización del Esquema, se replica
desde el maestro de esquema a todos los demás DC del directorio.

Únicamente hay un maestro de esquema por cada directorio (léase Bosque).

Maestro de nombres de dominio

El DC responsable del Maestro de Nombres (Naming Master) es responsable de
realizar los cambios en el espacio de nombres de dominio del bosque del
directorio

Este DC es el único que puede agregar o quitar un dominio del directorio.
También puede agregar o quitar referencias cruzadas a dominios en
directorios externos (Relaciones de confianza).

Únicamente hay un Maestro de Nombres por cada Bosque.

Función de Maestro RID
El DC responsable del maestro RID (RID Master) es el único capaz de
procesar las peticiones de grupos RID de todos los DC de un dominio.

También es responsable de quitar objetos de un dominio y ponerlos en otro
durante una operación de movimiento de objetos (Migraciones).

Cuando un DC crea un objeto principal de seguridad, como un usuario o un
grupo, adjunta al objeto un Identificador de seguridad exclusivo (SID). El
SID está formado por un SID de dominio (que es igual para todos los SID
creados en el mismo dominio) y un Id. relativo (RID) único para cada SID
principal de seguridad creado en un dominio.
A cada DC en un dominio Windows 200x de un dominio se le asigna un grupo
de RID (RID Pool) que puede asignar a los principales de seguridad que
crea.

Cuando el conjunto de RID asignado a un DC supera un determinado umbral,
el DC envía al maestro RID una petición para obtener RID adicionales.

El maestro RID del dominio responde a la petición obteniendo un conjunto
de RID de entre aquellos del dominio que no habían sido asignados aún y
asociándolo al conjunto correspondiente al DC que realizó la petición.
Hay un único maestro RID por cada dominio.

Función de Emulador PDC
El emulador PDC (PDC Emulator) es necesario para sincronizar la hora en
una empresa. Windows 200x incluye el servicio de hora W32Time (hora de
Windows), requerido por el protocolo de autenticación Kerberos.

Todos los equipos de una empresa basados en Windows 200x utilizan la misma
hora.

La función del servicio de hora es permitir que el servicio de hora de
Windows utilice una relación jerárquica que controle las relaciones de
autoridad y no permita la creación de bucles, de forma que se garantice el
uso de una hora común.
En un dominio de Windows 200x, la función emulador PDC tiene funciones
siguientes:

n Los cambios de contraseña realizados por otros DC del dominio se
replican de forma preferente al emulador PDC.
n Los errores de autenticación que se producen en un determinado DC de un
dominio debidos al uso incorrecto de contraseñas se reenvían al emulador
PDC antes de mostrar al usuario un mensaje de error por contraseña
incorrecta.
n El bloqueo de cuentas se procesa en el emulador PDC.

n El emulador PDC ejecuta todas las funcionalidades que un PDC de
Microsoft Windows NT 4.0 o anterior para los clientes basados en Windows
NT 4.0 o versiones anteriores.
Esta parte de la función del emulador PDC se vuelve innecesaria cuando
todas las estaciones de trabajo, servidores miembro y controladores de
dominio que están ejecutando Windows NT 4.0 o una versión anterior se
actualizan todos a Windows 200x.


Hay un único emulador PDC por cada dominio.

Función de Infraestructura

Cuando un objeto de un dominio hace referencia a otro objeto de otro
dominio, la referencia se representa mediante el GUID, el SID (si se trata
de una referencia a un principal de seguridad) y el DN del objeto al que
se hace referencia.

El DC responsable de la función de Infraestructura (Infrastructure Master)
es quien actualizará SID y el nombre completo de un objeto en una
referencia entre objetos de diferentes dominios

No es aconsejable tener el IM en un servidor que sea Global Catalog.

Hay un único rol de Infraestructura por cada dominio.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

Si. Yo creo que los dos eran catálogo global.



"Marc [MVP Windows]" escribió en el mensaje de
noticias:##Z$

Ese segundo DC, es Global Catalog?


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:
Buenas noches.

Tengo un Dominio un un DC catalogo global y con los 5 roles del
dominio...
y tengo otro controlador de dominio de replica del primero pero que no
tiene ninguno de los roles.

Si el primero cae ¿De que sirve el segundo DC? si le pongo a él sólo
me dice que el dominio no está disponible.

¿Se puede recuperar el dominio a partir del que no era el principal?

Un saludo.

No, no haría falta tirar de backup. Bastaría forzar una transferencia de roles a un nuevo DC con la herramienta "ntdsutil" y el comando "seize".

Después, con el mismo "ntdsutil" eliminas los datos del DC muerto, y el DC muerto lo formateas y lo instalas de nuevo (a ser posible, con un nombre distinto del que tenías)

Sobre los roles en sí, en entornos de un bosque con un dominio, si se caen los del bosque no te sueles dar cuenta. Los que realmente afectan, en mayor o menor medida, son los FSMO de dominio: RID Master, PDC Emulator y Infraestructure Master.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights. You assume all risk for your use.

"Javier Terán González" escribió en el mensaje news:

gracias por la información.

Pero entonces. Si se cae el DC que tiene los 5 roles principales (este es el
caso)... sólo se puede recuperar el dominio tirando de un backup y
recuperando ese servidor... ?

No se puede recuperar el dominio obligando al segundo DC a que de repente
tenga esos 5 roles sin que el principal esté operativo?

Me imagino lo que me vas a decir, pero me parece un poco chungo.. Al final,
aunque tengas 10 DC dependes del que tenga los roles
Un saludo

"Marc [MVP Windows]" escribió en el mensaje de
noticias:

Si no lo es, los usuarios no harán login si el primero se cae...

Luego, sobre los roles pues:

Maestro de esquema

El DC responsable del Maestro de esquema (Schema Master) es quien realiza
las actualizaciones en el esquema del directorio

Este DC es el único que puede procesar las actualizaciones al esquema del
directorio. Una vez completada la actualización del Esquema, se replica
desde el maestro de esquema a todos los demás DC del directorio.

Únicamente hay un maestro de esquema por cada directorio (léase Bosque).

Maestro de nombres de dominio

El DC responsable del Maestro de Nombres (Naming Master) es responsable de
realizar los cambios en el espacio de nombres de dominio del bosque del
directorio

Este DC es el único que puede agregar o quitar un dominio del directorio.
También puede agregar o quitar referencias cruzadas a dominios en
directorios externos (Relaciones de confianza).

Únicamente hay un Maestro de Nombres por cada Bosque.

Función de Maestro RID
El DC responsable del maestro RID (RID Master) es el único capaz de
procesar las peticiones de grupos RID de todos los DC de un dominio.

También es responsable de quitar objetos de un dominio y ponerlos en otro
durante una operación de movimiento de objetos (Migraciones).

Cuando un DC crea un objeto principal de seguridad, como un usuario o un
grupo, adjunta al objeto un Identificador de seguridad exclusivo (SID). El
SID está formado por un SID de dominio (que es igual para todos los SID
creados en el mismo dominio) y un Id. relativo (RID) único para cada SID
principal de seguridad creado en un dominio.
A cada DC en un dominio Windows 200x de un dominio se le asigna un grupo
de RID (RID Pool) que puede asignar a los principales de seguridad que
crea.

Cuando el conjunto de RID asignado a un DC supera un determinado umbral,
el DC envía al maestro RID una petición para obtener RID adicionales.

El maestro RID del dominio responde a la petición obteniendo un conjunto
de RID de entre aquellos del dominio que no habían sido asignados aún y
asociándolo al conjunto correspondiente al DC que realizó la petición.
Hay un único maestro RID por cada dominio.

Función de Emulador PDC
El emulador PDC (PDC Emulator) es necesario para sincronizar la hora en
una empresa. Windows 200x incluye el servicio de hora W32Time (hora de
Windows), requerido por el protocolo de autenticación Kerberos.

Todos los equipos de una empresa basados en Windows 200x utilizan la misma
hora.

La función del servicio de hora es permitir que el servicio de hora de
Windows utilice una relación jerárquica que controle las relaciones de
autoridad y no permita la creación de bucles, de forma que se garantice el
uso de una hora común.
En un dominio de Windows 200x, la función emulador PDC tiene funciones
siguientes:

n Los cambios de contraseña realizados por otros DC del dominio se
replican de forma preferente al emulador PDC.
n Los errores de autenticación que se producen en un determinado DC de un
dominio debidos al uso incorrecto de contraseñas se reenvían al emulador
PDC antes de mostrar al usuario un mensaje de error por contraseña
incorrecta.
n El bloqueo de cuentas se procesa en el emulador PDC.

n El emulador PDC ejecuta todas las funcionalidades que un PDC de
Microsoft Windows NT 4.0 o anterior para los clientes basados en Windows
NT 4.0 o versiones anteriores.
Esta parte de la función del emulador PDC se vuelve innecesaria cuando
todas las estaciones de trabajo, servidores miembro y controladores de
dominio que están ejecutando Windows NT 4.0 o una versión anterior se
actualizan todos a Windows 200x.


Hay un único emulador PDC por cada dominio.

Función de Infraestructura

Cuando un objeto de un dominio hace referencia a otro objeto de otro
dominio, la referencia se representa mediante el GUID, el SID (si se trata
de una referencia a un principal de seguridad) y el DN del objeto al que
se hace referencia.

El DC responsable de la función de Infraestructura (Infrastructure Master)
es quien actualizará SID y el nombre completo de un objeto en una
referencia entre objetos de diferentes dominios

No es aconsejable tener el IM en un servidor que sea Global Catalog.

Hay un único rol de Infraestructura por cada dominio.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

Si. Yo creo que los dos eran catálogo global.



"Marc [MVP Windows]" escribió en el mensaje de
noticias:##Z$

Ese segundo DC, es Global Catalog?


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:
Buenas noches.

Tengo un Dominio un un DC catalogo global y con los 5 roles del
dominio...
y tengo otro controlador de dominio de replica del primero pero que no
tiene ninguno de los roles.

Si el primero cae ¿De que sirve el segundo DC? si le pongo a él sólo
me dice que el dominio no está disponible.

¿Se puede recuperar el dominio a partir del que no era el principal?

Un saludo.