Levantar nuevo DC

No, no haría falta tirar de backup. Bastaría forzar una transferencia de
roles a un nuevo DC con la herramienta "ntdsutil" y el comando "seize".

Después, con el mismo "ntdsutil" eliminas los datos del DC muerto, y el DC
muerto lo formateas y lo instalas de nuevo (a ser posible, con un nombre
distinto del que tenías)

Sobre los roles en sí, en entornos de un bosque con un dominio, si se caen
los del bosque no te sueles dar cuenta. Los que realmente afectan, en
mayor o menor medida, son los FSMO de dominio: RID Master, PDC Emulator y
Infraestructure Master.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

gracias por la información.

Pero entonces. Si se cae el DC que tiene los 5 roles principales (este es
el
caso)... sólo se puede recuperar el dominio tirando de un backup y
recuperando ese servidor... ?

No se puede recuperar el dominio obligando al segundo DC a que de repente
tenga esos 5 roles sin que el principal esté operativo?

Me imagino lo que me vas a decir, pero me parece un poco chungo.. Al
final,
aunque tengas 10 DC dependes del que tenga los roles
Un saludo

"Marc [MVP Windows]" escribió en el mensaje de
noticias:

Si no lo es, los usuarios no harán login si el primero se cae...

Luego, sobre los roles pues:

Maestro de esquema

El DC responsable del Maestro de esquema (Schema Master) es quien
realiza
las actualizaciones en el esquema del directorio

Este DC es el único que puede procesar las actualizaciones al esquema
del
directorio. Una vez completada la actualización del Esquema, se replica
desde el maestro de esquema a todos los demás DC del directorio.

Únicamente hay un maestro de esquema por cada directorio (léase Bosque).

Maestro de nombres de dominio

El DC responsable del Maestro de Nombres (Naming Master) es responsable
de
realizar los cambios en el espacio de nombres de dominio del bosque del
directorio

Este DC es el único que puede agregar o quitar un dominio del
directorio.
También puede agregar o quitar referencias cruzadas a dominios en
directorios externos (Relaciones de confianza).

Únicamente hay un Maestro de Nombres por cada Bosque.

Función de Maestro RID
El DC responsable del maestro RID (RID Master) es el único capaz de
procesar las peticiones de grupos RID de todos los DC de un dominio.

También es responsable de quitar objetos de un dominio y ponerlos en
otro
durante una operación de movimiento de objetos (Migraciones).

Cuando un DC crea un objeto principal de seguridad, como un usuario o un
grupo, adjunta al objeto un Identificador de seguridad exclusivo (SID).
El
SID está formado por un SID de dominio (que es igual para todos los SID
creados en el mismo dominio) y un Id. relativo (RID) único para cada SID
principal de seguridad creado en un dominio.
A cada DC en un dominio Windows 200x de un dominio se le asigna un grupo
de RID (RID Pool) que puede asignar a los principales de seguridad que
crea.

Cuando el conjunto de RID asignado a un DC supera un determinado umbral,
el DC envía al maestro RID una petición para obtener RID adicionales.

El maestro RID del dominio responde a la petición obteniendo un conjunto
de RID de entre aquellos del dominio que no habían sido asignados aún y
asociándolo al conjunto correspondiente al DC que realizó la petición.
Hay un único maestro RID por cada dominio.

Función de Emulador PDC
El emulador PDC (PDC Emulator) es necesario para sincronizar la hora en
una empresa. Windows 200x incluye el servicio de hora W32Time (hora de
Windows), requerido por el protocolo de autenticación Kerberos.

Todos los equipos de una empresa basados en Windows 200x utilizan la
misma
hora.

La función del servicio de hora es permitir que el servicio de hora de
Windows utilice una relación jerárquica que controle las relaciones de
autoridad y no permita la creación de bucles, de forma que se garantice
el
uso de una hora común.
En un dominio de Windows 200x, la función emulador PDC tiene funciones
siguientes:

n Los cambios de contraseña realizados por otros DC del dominio se
replican de forma preferente al emulador PDC.
n Los errores de autenticación que se producen en un determinado DC de
un
dominio debidos al uso incorrecto de contraseñas se reenvían al emulador
PDC antes de mostrar al usuario un mensaje de error por contraseña
incorrecta.
n El bloqueo de cuentas se procesa en el emulador PDC.

n El emulador PDC ejecuta todas las funcionalidades que un PDC de
Microsoft Windows NT 4.0 o anterior para los clientes basados en Windows
NT 4.0 o versiones anteriores.
Esta parte de la función del emulador PDC se vuelve innecesaria cuando
todas las estaciones de trabajo, servidores miembro y controladores de
dominio que están ejecutando Windows NT 4.0 o una versión anterior se
actualizan todos a Windows 200x.


Hay un único emulador PDC por cada dominio.

Función de Infraestructura

Cuando un objeto de un dominio hace referencia a otro objeto de otro
dominio, la referencia se representa mediante el GUID, el SID (si se
trata
de una referencia a un principal de seguridad) y el DN del objeto al que
se hace referencia.

El DC responsable de la función de Infraestructura (Infrastructure
Master)
es quien actualizará SID y el nombre completo de un objeto en una
referencia entre objetos de diferentes dominios

No es aconsejable tener el IM en un servidor que sea Global Catalog.

Hay un único rol de Infraestructura por cada dominio.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

Si. Yo creo que los dos eran catálogo global.



"Marc [MVP Windows]" escribió en el mensaje de
noticias:##Z$

Ese segundo DC, es Global Catalog?


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:
Buenas noches.

Tengo un Dominio un un DC catalogo global y con los 5 roles del
dominio...
y tengo otro controlador de dominio de replica del primero pero que no
tiene ninguno de los roles.

Si el primero cae ¿De que sirve el segundo DC? si le pongo a él
sólo
me dice que el dominio no está disponible.

¿Se puede recuperar el dominio a partir del que no era el principal?

Un saludo.

Creo que voy a probar eso en una máquina virtual replica de mi DC secundario
para estar preparado por si me ocurre eso.

Gracias y ya te preguntaré algo mas si no lo consigo ;-)

Un saludo.



"Marc [MVP Windows]" escribió en el mensaje de
noticias:

No, no haría falta tirar de backup. Bastaría forzar una transferencia de
roles a un nuevo DC con la herramienta "ntdsutil" y el comando "seize".

Después, con el mismo "ntdsutil" eliminas los datos del DC muerto, y el DC
muerto lo formateas y lo instalas de nuevo (a ser posible, con un nombre
distinto del que tenías)

Sobre los roles en sí, en entornos de un bosque con un dominio, si se caen
los del bosque no te sueles dar cuenta. Los que realmente afectan, en
mayor o menor medida, son los FSMO de dominio: RID Master, PDC Emulator y
Infraestructure Master.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

gracias por la información.

Pero entonces. Si se cae el DC que tiene los 5 roles principales (este es
el
caso)... sólo se puede recuperar el dominio tirando de un backup y
recuperando ese servidor... ?

No se puede recuperar el dominio obligando al segundo DC a que de repente
tenga esos 5 roles sin que el principal esté operativo?

Me imagino lo que me vas a decir, pero me parece un poco chungo.. Al
final,
aunque tengas 10 DC dependes del que tenga los roles
Un saludo

"Marc [MVP Windows]" escribió en el mensaje de
noticias:

Si no lo es, los usuarios no harán login si el primero se cae...

Luego, sobre los roles pues:

Maestro de esquema

El DC responsable del Maestro de esquema (Schema Master) es quien
realiza
las actualizaciones en el esquema del directorio

Este DC es el único que puede procesar las actualizaciones al esquema
del
directorio. Una vez completada la actualización del Esquema, se replica
desde el maestro de esquema a todos los demás DC del directorio.

Únicamente hay un maestro de esquema por cada directorio (léase Bosque).

Maestro de nombres de dominio

El DC responsable del Maestro de Nombres (Naming Master) es responsable
de
realizar los cambios en el espacio de nombres de dominio del bosque del
directorio

Este DC es el único que puede agregar o quitar un dominio del
directorio.
También puede agregar o quitar referencias cruzadas a dominios en
directorios externos (Relaciones de confianza).

Únicamente hay un Maestro de Nombres por cada Bosque.

Función de Maestro RID
El DC responsable del maestro RID (RID Master) es el único capaz de
procesar las peticiones de grupos RID de todos los DC de un dominio.

También es responsable de quitar objetos de un dominio y ponerlos en
otro
durante una operación de movimiento de objetos (Migraciones).

Cuando un DC crea un objeto principal de seguridad, como un usuario o un
grupo, adjunta al objeto un Identificador de seguridad exclusivo (SID).
El
SID está formado por un SID de dominio (que es igual para todos los SID
creados en el mismo dominio) y un Id. relativo (RID) único para cada SID
principal de seguridad creado en un dominio.
A cada DC en un dominio Windows 200x de un dominio se le asigna un grupo
de RID (RID Pool) que puede asignar a los principales de seguridad que
crea.

Cuando el conjunto de RID asignado a un DC supera un determinado umbral,
el DC envía al maestro RID una petición para obtener RID adicionales.

El maestro RID del dominio responde a la petición obteniendo un conjunto
de RID de entre aquellos del dominio que no habían sido asignados aún y
asociándolo al conjunto correspondiente al DC que realizó la petición.
Hay un único maestro RID por cada dominio.

Función de Emulador PDC
El emulador PDC (PDC Emulator) es necesario para sincronizar la hora en
una empresa. Windows 200x incluye el servicio de hora W32Time (hora de
Windows), requerido por el protocolo de autenticación Kerberos.

Todos los equipos de una empresa basados en Windows 200x utilizan la
misma
hora.

La función del servicio de hora es permitir que el servicio de hora de
Windows utilice una relación jerárquica que controle las relaciones de
autoridad y no permita la creación de bucles, de forma que se garantice
el
uso de una hora común.
En un dominio de Windows 200x, la función emulador PDC tiene funciones
siguientes:

n Los cambios de contraseña realizados por otros DC del dominio se
replican de forma preferente al emulador PDC.
n Los errores de autenticación que se producen en un determinado DC de
un
dominio debidos al uso incorrecto de contraseñas se reenvían al emulador
PDC antes de mostrar al usuario un mensaje de error por contraseña
incorrecta.
n El bloqueo de cuentas se procesa en el emulador PDC.

n El emulador PDC ejecuta todas las funcionalidades que un PDC de
Microsoft Windows NT 4.0 o anterior para los clientes basados en Windows
NT 4.0 o versiones anteriores.
Esta parte de la función del emulador PDC se vuelve innecesaria cuando
todas las estaciones de trabajo, servidores miembro y controladores de
dominio que están ejecutando Windows NT 4.0 o una versión anterior se
actualizan todos a Windows 200x.


Hay un único emulador PDC por cada dominio.

Función de Infraestructura

Cuando un objeto de un dominio hace referencia a otro objeto de otro
dominio, la referencia se representa mediante el GUID, el SID (si se
trata
de una referencia a un principal de seguridad) y el DN del objeto al que
se hace referencia.

El DC responsable de la función de Infraestructura (Infrastructure
Master)
es quien actualizará SID y el nombre completo de un objeto en una
referencia entre objetos de diferentes dominios

No es aconsejable tener el IM en un servidor que sea Global Catalog.

Hay un único rol de Infraestructura por cada dominio.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

Si. Yo creo que los dos eran catálogo global.



"Marc [MVP Windows]" escribió en el mensaje de
noticias:##Z$

Ese segundo DC, es Global Catalog?


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:
Buenas noches.

Tengo un Dominio un un DC catalogo global y con los 5 roles del
dominio...
y tengo otro controlador de dominio de replica del primero pero que no
tiene ninguno de los roles.

Si el primero cae ¿De que sirve el segundo DC? si le pongo a él
sólo
me dice que el dominio no está disponible.

¿Se puede recuperar el dominio a partir del que no era el principal?

Un saludo.

Te "paso" el link donde se explica el proceso del "seize"

Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a un
controlador de dominio
http://support.microsoft.com/kb/255504


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

Creo que voy a probar eso en una máquina virtual replica de mi DC
secundario
para estar preparado por si me ocurre eso.

Gracias y ya te preguntaré algo mas si no lo consigo ;-)

Un saludo.



"Marc [MVP Windows]" escribió en el mensaje de
noticias:

No, no haría falta tirar de backup. Bastaría forzar una transferencia de
roles a un nuevo DC con la herramienta "ntdsutil" y el comando "seize".

Después, con el mismo "ntdsutil" eliminas los datos del DC muerto, y el
DC
muerto lo formateas y lo instalas de nuevo (a ser posible, con un nombre
distinto del que tenías)

Sobre los roles en sí, en entornos de un bosque con un dominio, si se
caen
los del bosque no te sueles dar cuenta. Los que realmente afectan, en
mayor o menor medida, son los FSMO de dominio: RID Master, PDC Emulator
y
Infraestructure Master.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

gracias por la información.

Pero entonces. Si se cae el DC que tiene los 5 roles principales (este
es
el
caso)... sólo se puede recuperar el dominio tirando de un backup y
recuperando ese servidor... ?

No se puede recuperar el dominio obligando al segundo DC a que de
repente
tenga esos 5 roles sin que el principal esté operativo?

Me imagino lo que me vas a decir, pero me parece un poco chungo.. Al
final,
aunque tengas 10 DC dependes del que tenga los roles
Un saludo

"Marc [MVP Windows]" escribió en el mensaje de
noticias:

Si no lo es, los usuarios no harán login si el primero se cae...

Luego, sobre los roles pues:

Maestro de esquema

El DC responsable del Maestro de esquema (Schema Master) es quien
realiza
las actualizaciones en el esquema del directorio

Este DC es el único que puede procesar las actualizaciones al esquema
del
directorio. Una vez completada la actualización del Esquema, se
replica
desde el maestro de esquema a todos los demás DC del directorio.

Únicamente hay un maestro de esquema por cada directorio (léase
Bosque).

Maestro de nombres de dominio

El DC responsable del Maestro de Nombres (Naming Master) es
responsable
de
realizar los cambios en el espacio de nombres de dominio del bosque
del
directorio

Este DC es el único que puede agregar o quitar un dominio del
directorio.
También puede agregar o quitar referencias cruzadas a dominios en
directorios externos (Relaciones de confianza).

Únicamente hay un Maestro de Nombres por cada Bosque.

Función de Maestro RID
El DC responsable del maestro RID (RID Master) es el único capaz de
procesar las peticiones de grupos RID de todos los DC de un dominio.

También es responsable de quitar objetos de un dominio y ponerlos en
otro
durante una operación de movimiento de objetos (Migraciones).

Cuando un DC crea un objeto principal de seguridad, como un usuario o
un
grupo, adjunta al objeto un Identificador de seguridad exclusivo
(SID).
El
SID está formado por un SID de dominio (que es igual para todos los
SID
creados en el mismo dominio) y un Id. relativo (RID) único para cada
SID
principal de seguridad creado en un dominio.
A cada DC en un dominio Windows 200x de un dominio se le asigna un
grupo
de RID (RID Pool) que puede asignar a los principales de seguridad que
crea.

Cuando el conjunto de RID asignado a un DC supera un determinado
umbral,
el DC envía al maestro RID una petición para obtener RID adicionales.

El maestro RID del dominio responde a la petición obteniendo un
conjunto
de RID de entre aquellos del dominio que no habían sido asignados aún
y
asociándolo al conjunto correspondiente al DC que realizó la petición.
Hay un único maestro RID por cada dominio.

Función de Emulador PDC
El emulador PDC (PDC Emulator) es necesario para sincronizar la hora
en
una empresa. Windows 200x incluye el servicio de hora W32Time (hora de
Windows), requerido por el protocolo de autenticación Kerberos.

Todos los equipos de una empresa basados en Windows 200x utilizan la
misma
hora.

La función del servicio de hora es permitir que el servicio de hora de
Windows utilice una relación jerárquica que controle las relaciones de
autoridad y no permita la creación de bucles, de forma que se
garantice
el
uso de una hora común.
En un dominio de Windows 200x, la función emulador PDC tiene funciones
siguientes:

n Los cambios de contraseña realizados por otros DC del dominio se
replican de forma preferente al emulador PDC.
n Los errores de autenticación que se producen en un determinado DC
de
un
dominio debidos al uso incorrecto de contraseñas se reenvían al
emulador
PDC antes de mostrar al usuario un mensaje de error por contraseña
incorrecta.
n El bloqueo de cuentas se procesa en el emulador PDC.

n El emulador PDC ejecuta todas las funcionalidades que un PDC de
Microsoft Windows NT 4.0 o anterior para los clientes basados en
Windows
NT 4.0 o versiones anteriores.
Esta parte de la función del emulador PDC se vuelve innecesaria cuando
todas las estaciones de trabajo, servidores miembro y controladores de
dominio que están ejecutando Windows NT 4.0 o una versión anterior se
actualizan todos a Windows 200x.


Hay un único emulador PDC por cada dominio.

Función de Infraestructura

Cuando un objeto de un dominio hace referencia a otro objeto de otro
dominio, la referencia se representa mediante el GUID, el SID (si se
trata
de una referencia a un principal de seguridad) y el DN del objeto al
que
se hace referencia.

El DC responsable de la función de Infraestructura (Infrastructure
Master)
es quien actualizará SID y el nombre completo de un objeto en una
referencia entre objetos de diferentes dominios

No es aconsejable tener el IM en un servidor que sea Global Catalog.

Hay un único rol de Infraestructura por cada dominio.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

Si. Yo creo que los dos eran catálogo global.



"Marc [MVP Windows]" escribió en el mensaje
de
noticias:##Z$

Ese segundo DC, es Global Catalog?


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:
Buenas noches.

Tengo un Dominio un un DC catalogo global y con los 5 roles del
dominio...
y tengo otro controlador de dominio de replica del primero pero que
no
tiene ninguno de los roles.

Si el primero cae ¿De que sirve el segundo DC? si le pongo a él
sólo
me dice que el dominio no está disponible.

¿Se puede recuperar el dominio a partir del que no era el principal?

Un saludo.

OK

"Marc [MVP Windows]" escribió en el mensaje de
noticias:

Te "paso" el link donde se explica el proceso del "seize"

Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a un
controlador de dominio
http://support.microsoft.com/kb/255504


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

Creo que voy a probar eso en una máquina virtual replica de mi DC
secundario
para estar preparado por si me ocurre eso.

Gracias y ya te preguntaré algo mas si no lo consigo ;-)

Un saludo.



"Marc [MVP Windows]" escribió en el mensaje de
noticias:

No, no haría falta tirar de backup. Bastaría forzar una transferencia
de
roles a un nuevo DC con la herramienta "ntdsutil" y el comando "seize".

Después, con el mismo "ntdsutil" eliminas los datos del DC muerto, y el
DC
muerto lo formateas y lo instalas de nuevo (a ser posible, con un
nombre
distinto del que tenías)

Sobre los roles en sí, en entornos de un bosque con un dominio, si se
caen
los del bosque no te sueles dar cuenta. Los que realmente afectan, en
mayor o menor medida, son los FSMO de dominio: RID Master, PDC Emulator
y
Infraestructure Master.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

gracias por la información.

Pero entonces. Si se cae el DC que tiene los 5 roles principales (este
es
el
caso)... sólo se puede recuperar el dominio tirando de un backup y
recuperando ese servidor... ?

No se puede recuperar el dominio obligando al segundo DC a que de
repente
tenga esos 5 roles sin que el principal esté operativo?

Me imagino lo que me vas a decir, pero me parece un poco chungo.. Al
final,
aunque tengas 10 DC dependes del que tenga los roles
Un saludo

"Marc [MVP Windows]" escribió en el mensaje de
noticias:

Si no lo es, los usuarios no harán login si el primero se cae...

Luego, sobre los roles pues:

Maestro de esquema

El DC responsable del Maestro de esquema (Schema Master) es quien
realiza
las actualizaciones en el esquema del directorio

Este DC es el único que puede procesar las actualizaciones al esquema
del
directorio. Una vez completada la actualización del Esquema, se
replica
desde el maestro de esquema a todos los demás DC del directorio.

Únicamente hay un maestro de esquema por cada directorio (léase
Bosque).

Maestro de nombres de dominio

El DC responsable del Maestro de Nombres (Naming Master) es
responsable
de
realizar los cambios en el espacio de nombres de dominio del bosque
del
directorio

Este DC es el único que puede agregar o quitar un dominio del
directorio.
También puede agregar o quitar referencias cruzadas a dominios en
directorios externos (Relaciones de confianza).

Únicamente hay un Maestro de Nombres por cada Bosque.

Función de Maestro RID
El DC responsable del maestro RID (RID Master) es el único capaz de
procesar las peticiones de grupos RID de todos los DC de un dominio.

También es responsable de quitar objetos de un dominio y ponerlos en
otro
durante una operación de movimiento de objetos (Migraciones).

Cuando un DC crea un objeto principal de seguridad, como un usuario o
un
grupo, adjunta al objeto un Identificador de seguridad exclusivo
(SID).
El
SID está formado por un SID de dominio (que es igual para todos los
SID
creados en el mismo dominio) y un Id. relativo (RID) único para cada
SID
principal de seguridad creado en un dominio.
A cada DC en un dominio Windows 200x de un dominio se le asigna un
grupo
de RID (RID Pool) que puede asignar a los principales de seguridad
que
crea.

Cuando el conjunto de RID asignado a un DC supera un determinado
umbral,
el DC envía al maestro RID una petición para obtener RID adicionales.

El maestro RID del dominio responde a la petición obteniendo un
conjunto
de RID de entre aquellos del dominio que no habían sido asignados aún
y
asociándolo al conjunto correspondiente al DC que realizó la
petición.
Hay un único maestro RID por cada dominio.

Función de Emulador PDC
El emulador PDC (PDC Emulator) es necesario para sincronizar la hora
en
una empresa. Windows 200x incluye el servicio de hora W32Time (hora
de
Windows), requerido por el protocolo de autenticación Kerberos.

Todos los equipos de una empresa basados en Windows 200x utilizan la
misma
hora.

La función del servicio de hora es permitir que el servicio de hora
de
Windows utilice una relación jerárquica que controle las relaciones
de
autoridad y no permita la creación de bucles, de forma que se
garantice
el
uso de una hora común.
En un dominio de Windows 200x, la función emulador PDC tiene
funciones
siguientes:

n Los cambios de contraseña realizados por otros DC del dominio se
replican de forma preferente al emulador PDC.
n Los errores de autenticación que se producen en un determinado DC
de
un
dominio debidos al uso incorrecto de contraseñas se reenvían al
emulador
PDC antes de mostrar al usuario un mensaje de error por contraseña
incorrecta.
n El bloqueo de cuentas se procesa en el emulador PDC.

n El emulador PDC ejecuta todas las funcionalidades que un PDC de
Microsoft Windows NT 4.0 o anterior para los clientes basados en
Windows
NT 4.0 o versiones anteriores.
Esta parte de la función del emulador PDC se vuelve innecesaria
cuando
todas las estaciones de trabajo, servidores miembro y controladores
de
dominio que están ejecutando Windows NT 4.0 o una versión anterior se
actualizan todos a Windows 200x.


Hay un único emulador PDC por cada dominio.

Función de Infraestructura

Cuando un objeto de un dominio hace referencia a otro objeto de otro
dominio, la referencia se representa mediante el GUID, el SID (si se
trata
de una referencia a un principal de seguridad) y el DN del objeto al
que
se hace referencia.

El DC responsable de la función de Infraestructura (Infrastructure
Master)
es quien actualizará SID y el nombre completo de un objeto en una
referencia entre objetos de diferentes dominios

No es aconsejable tener el IM en un servidor que sea Global Catalog.

Hay un único rol de Infraestructura por cada dominio.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

Si. Yo creo que los dos eran catálogo global.



"Marc [MVP Windows]" escribió en el mensaje
de
noticias:##Z$

Ese segundo DC, es Global Catalog?


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en
el
mensaje news:
Buenas noches.

Tengo un Dominio un un DC catalogo global y con los 5 roles del
dominio...
y tengo otro controlador de dominio de replica del primero pero que
no
tiene ninguno de los roles.

Si el primero cae ¿De que sirve el segundo DC? si le pongo a él
sólo
me dice que el dominio no está disponible.

¿Se puede recuperar el dominio a partir del que no era el
principal?

Un saludo.

Muy interesante el artículo. He estado probándolo y no me funciona. Pero
ya se por que. Lo he hecho con una máquina virtual de copia de seguridad
que tenía mas de un mes de antiguedad. Esta semana lo probaré con otra
copia de seguridad del segundo DC que esté actualizada.


Seguro que funciona. Ya lo comentaré.

Gracias.


"Javier Terán González" escribió en el
mensaje de noticias:

OK

"Marc [MVP Windows]" escribió en el mensaje de
noticias:

Te "paso" el link donde se explica el proceso del "seize"

Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a
un controlador de dominio
http://support.microsoft.com/kb/255504


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

Creo que voy a probar eso en una máquina virtual replica de mi DC
secundario
para estar preparado por si me ocurre eso.

Gracias y ya te preguntaré algo mas si no lo consigo ;-)

Un saludo.



"Marc [MVP Windows]" escribió en el mensaje de
noticias:

No, no haría falta tirar de backup. Bastaría forzar una transferencia
de
roles a un nuevo DC con la herramienta "ntdsutil" y el comando
"seize".

Después, con el mismo "ntdsutil" eliminas los datos del DC muerto, y
el DC
muerto lo formateas y lo instalas de nuevo (a ser posible, con un
nombre
distinto del que tenías)

Sobre los roles en sí, en entornos de un bosque con un dominio, si se
caen
los del bosque no te sueles dar cuenta. Los que realmente afectan, en
mayor o menor medida, son los FSMO de dominio: RID Master, PDC
Emulator y
Infraestructure Master.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

gracias por la información.

Pero entonces. Si se cae el DC que tiene los 5 roles principales
(este es
el
caso)... sólo se puede recuperar el dominio tirando de un backup y
recuperando ese servidor... ?

No se puede recuperar el dominio obligando al segundo DC a que de
repente
tenga esos 5 roles sin que el principal esté operativo?

Me imagino lo que me vas a decir, pero me parece un poco chungo.. Al
final,
aunque tengas 10 DC dependes del que tenga los roles
Un saludo

"Marc [MVP Windows]" escribió en el mensaje
de
noticias:

Si no lo es, los usuarios no harán login si el primero se cae...

Luego, sobre los roles pues:

Maestro de esquema

El DC responsable del Maestro de esquema (Schema Master) es quien
realiza
las actualizaciones en el esquema del directorio

Este DC es el único que puede procesar las actualizaciones al
esquema
del
directorio. Una vez completada la actualización del Esquema, se
replica
desde el maestro de esquema a todos los demás DC del directorio.

Únicamente hay un maestro de esquema por cada directorio (léase
Bosque).

Maestro de nombres de dominio

El DC responsable del Maestro de Nombres (Naming Master) es
responsable
de
realizar los cambios en el espacio de nombres de dominio del bosque
del
directorio

Este DC es el único que puede agregar o quitar un dominio del
directorio.
También puede agregar o quitar referencias cruzadas a dominios en
directorios externos (Relaciones de confianza).

Únicamente hay un Maestro de Nombres por cada Bosque.

Función de Maestro RID
El DC responsable del maestro RID (RID Master) es el único capaz de
procesar las peticiones de grupos RID de todos los DC de un dominio.

También es responsable de quitar objetos de un dominio y ponerlos en
otro
durante una operación de movimiento de objetos (Migraciones).

Cuando un DC crea un objeto principal de seguridad, como un usuario
o un
grupo, adjunta al objeto un Identificador de seguridad exclusivo
(SID).
El
SID está formado por un SID de dominio (que es igual para todos los
SID
creados en el mismo dominio) y un Id. relativo (RID) único para cada
SID
principal de seguridad creado en un dominio.
A cada DC en un dominio Windows 200x de un dominio se le asigna un
grupo
de RID (RID Pool) que puede asignar a los principales de seguridad
que
crea.

Cuando el conjunto de RID asignado a un DC supera un determinado
umbral,
el DC envía al maestro RID una petición para obtener RID
adicionales.

El maestro RID del dominio responde a la petición obteniendo un
conjunto
de RID de entre aquellos del dominio que no habían sido asignados
aún y
asociándolo al conjunto correspondiente al DC que realizó la
petición.
Hay un único maestro RID por cada dominio.

Función de Emulador PDC
El emulador PDC (PDC Emulator) es necesario para sincronizar la hora
en
una empresa. Windows 200x incluye el servicio de hora W32Time (hora
de
Windows), requerido por el protocolo de autenticación Kerberos.

Todos los equipos de una empresa basados en Windows 200x utilizan la
misma
hora.

La función del servicio de hora es permitir que el servicio de hora
de
Windows utilice una relación jerárquica que controle las relaciones
de
autoridad y no permita la creación de bucles, de forma que se
garantice
el
uso de una hora común.
En un dominio de Windows 200x, la función emulador PDC tiene
funciones
siguientes:

n Los cambios de contraseña realizados por otros DC del dominio se
replican de forma preferente al emulador PDC.
n Los errores de autenticación que se producen en un determinado DC
de
un
dominio debidos al uso incorrecto de contraseñas se reenvían al
emulador
PDC antes de mostrar al usuario un mensaje de error por contraseña
incorrecta.
n El bloqueo de cuentas se procesa en el emulador PDC.

n El emulador PDC ejecuta todas las funcionalidades que un PDC de
Microsoft Windows NT 4.0 o anterior para los clientes basados en
Windows
NT 4.0 o versiones anteriores.
Esta parte de la función del emulador PDC se vuelve innecesaria
cuando
todas las estaciones de trabajo, servidores miembro y controladores
de
dominio que están ejecutando Windows NT 4.0 o una versión anterior
se
actualizan todos a Windows 200x.


Hay un único emulador PDC por cada dominio.

Función de Infraestructura

Cuando un objeto de un dominio hace referencia a otro objeto de otro
dominio, la referencia se representa mediante el GUID, el SID (si se
trata
de una referencia a un principal de seguridad) y el DN del objeto al
que
se hace referencia.

El DC responsable de la función de Infraestructura (Infrastructure
Master)
es quien actualizará SID y el nombre completo de un objeto en una
referencia entre objetos de diferentes dominios

No es aconsejable tener el IM en un servidor que sea Global Catalog.

Hay un único rol de Infraestructura por cada dominio.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"Javier Terán González" escribió en el
mensaje news:

Si. Yo creo que los dos eran catálogo global.



"Marc [MVP Windows]" escribió en el mensaje
de
noticias:##Z$

Ese segundo DC, es Global Catalog?


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers
no
rights. You assume all risk for your use.

"Javier Terán González" escribió en
el
mensaje news:
Buenas noches.

Tengo un Dominio un un DC catalogo global y con los 5 roles del
dominio...
y tengo otro controlador de dominio de replica del primero pero
que no
tiene ninguno de los roles.

Si el primero cae ¿De que sirve el segundo DC? si le pongo a
él
sólo
me dice que el dominio no está disponible.

¿Se puede recuperar el dominio a partir del que no era el
principal?

Un saludo.