Problemas de Replicacion. DC de seguridad.

Ambos controladores de dominio deben ser Catálogo Global, ya que éste es
algo que necesita un usuario para el logon. No es un rol que mantiene uno en
particular, si quieres todos los controladores de dominio que tengas pueden
ser Catálogo Global.

La que te puede estar faltando es el servicio de DNS, que también es
necesario ¿está en ambos?

Saludos


Guillermo Delprato
MVP - MCSE - MCP
Buenos Aires, Argentina

"Tximo" wrote in message
news:

Tengo la intencion de montar una red con dos controladores de dominio,
el principal y uno secundario por seguridad (que funcione como
controlador de dominio en caso de que falle el primero).

Bien, el segundo servidor lo hago controlador de dominio para un
dominio existente (dominio1.local). En principio la replicacion entre
ambos debe funcionar automaticamente y sin necesidad de configurarlo.
Realizo una serie de pruebas de validacion de usuarios y mientras el
controlador principal de dominio esta encendido, los usuarios no
tienen problemas al validar. En cambio, cuando el controlador de
dominio principal esta apagado, no pueden validarse.

Supongo que se debe transferir tambien el catalogo global. Lo realizo
desde Sitios (activo la casilla de catalogo global en DC que hace de
Replica). Pero tampoco funciona.

¿ Debo transferir algun role mas?
¿ Y si es asin, como debo hacerlo y en que me afectara al dominio.?

**
Una curiosidad.
**

Si tengo el controlador de dominio apagado, sorprendentemente los
usuarios poniendo los datos de nombre de usuario, contraseña y dominio
pueden acceder al escritorio. Es normal. ? Yo pensaba que los usuarios
del dominio no podian entrar en el escritorio si no validaban sus
credenciales en el DC.

El servicio DNS esta funcionando en ambos.

He activado el Catalogo Global desde Sitiosy Servicios de Active
Dirctory en el controlador de dominio de replica.

¿ Como puedo comprobar que se transfiere el Catalogo Global en el
replica ?

Si solamente transfiero el catalogo global, si deja de funcionar para
siempre el Controlador de dominio principal. ¿Funcionara el replica y
tendra todas las propiedades del principal ?

Referente a la curiosidad del logon de los usuarios, ¿Me puedes
explicar si es normal o si tengo algun probema ?

Muchas gracias a todos



"Guillermo Delprato" wrote in message news:...

Ambos controladores de dominio deben ser Catálogo Global, ya que éste es
algo que necesita un usuario para el logon. No es un rol que mantiene uno en
particular, si quieres todos los controladores de dominio que tengas pueden
ser Catálogo Global.

La que te puede estar faltando es el servicio de DNS, que también es
necesario ¿está en ambos?

Saludos


Guillermo Delprato
MVP - MCSE - MCP
Buenos Aires, Argentina

"Tximo" wrote in message
news:
> Tengo la intencion de montar una red con dos controladores de dominio,
> el principal y uno secundario por seguridad (que funcione como
> controlador de dominio en caso de que falle el primero).
>
> Bien, el segundo servidor lo hago controlador de dominio para un
> dominio existente (dominio1.local). En principio la replicacion entre
> ambos debe funcionar automaticamente y sin necesidad de configurarlo.
> Realizo una serie de pruebas de validacion de usuarios y mientras el
> controlador principal de dominio esta encendido, los usuarios no
> tienen problemas al validar. En cambio, cuando el controlador de
> dominio principal esta apagado, no pueden validarse.
>
> Supongo que se debe transferir tambien el catalogo global. Lo realizo
> desde Sitios (activo la casilla de catalogo global en DC que hace de
> Replica). Pero tampoco funciona.
>
> ¿ Debo transferir algun role mas?
> ¿ Y si es asin, como debo hacerlo y en que me afectara al dominio.?
>
> **
> Una curiosidad.
> **
>
> Si tengo el controlador de dominio apagado, sorprendentemente los
> usuarios poniendo los datos de nombre de usuario, contraseña y dominio
> pueden acceder al escritorio. Es normal. ? Yo pensaba que los usuarios
> del dominio no podian entrar en el escritorio si no validaban sus
> credenciales en el DC.

Respuestas abajo

Saludos


Guillermo Delprato
MVP - MCSE - MCP
Buenos Aires, Argentina

"Tximo" wrote in message
news:

El servicio DNS esta funcionando en ambos.

He activado el Catalogo Global desde Sitiosy Servicios de Active
Dirctory en el controlador de dominio de replica.

¿ Como puedo comprobar que se transfiere el Catalogo Global en el
replica ?

[Guillermo] Espera 10 minutos. En 5 minutos como máximo debe comenzar, así
que por las dudas 5 más y ya. Si quieres verificar la replicación, usa
REPLMON.EXE (Replicaction Monitor), está en las Support Tools o en el
Resource Kit

Si solamente transfiero el catalogo global, si deja de funcionar para
siempre el Controlador de dominio principal. ¿Funcionara el replica y
tendra todas las propiedades del principal ?

[Guillermo] Recuerda que el catalogo global es un rol que pueden, y deberían
cumplir varios Controladores de Dominio, en forma simultánea.
Además hay 5 roles que los puede cumplir cualquier Controlador de Dominio,
pero sólo uno a la vez. Si el que los tiene deja de funcionar, acá tienes
cómo transferirlos, además de una pequeña explicación de qué se trata los
roles
http://support.microsoft.com/defaul...-es;255690
http://support.microsoft.com/defaul...-us;324801
Si transfieres los roles, sin que el original esté on-line (apoderarse de
los roles, robarlos), el original NO debería volver a la red (Recomendación
MS). Dependiendo el rol del que se apodere, y de lo que hayas hecho justo
antes, no pasa nada, o podrían producirse inconsistencias en el Active
Directory

Referente a la curiosidad del logon de los usuarios, ¿Me puedes
explicar si es normal o si tengo algun probema ?

[Guillermo] Cuando un usuario se valida desde una terminal, quedan
localmente una copia de las credenciales. Por eso puede volver a iniciar
sesión en una máquina donde se validó antes, aunque no esté el DC. Si no hay
copia del perfil local, no puede.

Otra cosa: Los administradores pueden iniciar sesión, aunque no esté
disponible el Catálogo Global. Para poder dar el rol a otro DC. Si esto no
fuera así, y pierdes el Catálogo Global, perderías el dominio

Muchas gracias a todos



"Guillermo Delprato"

wrote in message news:...

> Ambos controladores de dominio deben ser Catálogo Global, ya que éste es
> algo que necesita un usuario para el logon. No es un rol que mantiene

uno en

> particular, si quieres todos los controladores de dominio que tengas

pueden

> ser Catálogo Global.
>
> La que te puede estar faltando es el servicio de DNS, que también es
> necesario ¿está en ambos?
>
> Saludos
>
>
> Guillermo Delprato
> MVP - MCSE - MCP
> Buenos Aires, Argentina
>
> "Tximo" wrote in message
> news:
> > Tengo la intencion de montar una red con dos controladores de dominio,
> > el principal y uno secundario por seguridad (que funcione como
> > controlador de dominio en caso de que falle el primero).
> >
> > Bien, el segundo servidor lo hago controlador de dominio para un
> > dominio existente (dominio1.local). En principio la replicacion entre
> > ambos debe funcionar automaticamente y sin necesidad de configurarlo.
> > Realizo una serie de pruebas de validacion de usuarios y mientras el
> > controlador principal de dominio esta encendido, los usuarios no
> > tienen problemas al validar. En cambio, cuando el controlador de
> > dominio principal esta apagado, no pueden validarse.
> >
> > Supongo que se debe transferir tambien el catalogo global. Lo realizo
> > desde Sitios (activo la casilla de catalogo global en DC que hace de
> > Replica). Pero tampoco funciona.
> >
> > ¿ Debo transferir algun role mas?
> > ¿ Y si es asin, como debo hacerlo y en que me afectara al dominio.?
> >
> > **
> > Una curiosidad.
> > **
> >
> > Si tengo el controlador de dominio apagado, sorprendentemente los
> > usuarios poniendo los datos de nombre de usuario, contraseña y dominio
> > pueden acceder al escritorio. Es normal. ? Yo pensaba que los usuarios
> > del dominio no podian entrar en el escritorio si no validaban sus
> > credenciales en el DC.

Muchas gracias por tu explicaciones.

Por cierto. En el ultimo mensaje comentas:

[Guillermo] Cuando un usuario se valida desde una terminal, quedan
localmente una copia de las credenciales. Por eso puede volver a
iniciar sesión en una máquina donde se validó antes, aunque no esté el
DC. Si no hay copia del perfil local, no puede.

¿Se puede eliminar el perfil local o las credenciales para evitar que
entren en la estación?
¿Se recomienda?

Gracias

Se puede eliminar el perfil, y conjutamente las credenciales almacenadas
localmente.
Si entras en propiedades de My PC o como se llama, dependiendo del sistema
operativo, pero busca que hay un lugar "User Profiles". Desde ahí se elimina
el perfil y por consiguiente las credenciales

Por GPOs o directivas locales se puede configurar cuántos perfiles guarda
por omisión (10) o cambiarlas. Cero (no guarda)

Saludos


Guillermo Delprato
MVP - MCSE - MCP
Buenos Aires, Argentina

"Tximo" wrote in message
news:

Muchas gracias por tu explicaciones.

Por cierto. En el ultimo mensaje comentas:

[Guillermo] Cuando un usuario se valida desde una terminal, quedan
localmente una copia de las credenciales. Por eso puede volver a
iniciar sesión en una máquina donde se validó antes, aunque no esté el
DC. Si no hay copia del perfil local, no puede.

¿Se puede eliminar el perfil local o las credenciales para evitar que
entren en la estación?
¿Se recomienda?

Gracias