7.2. Añadir un nuevo controlador de dominio en un bosque existente
Como hemos dicho más arriba, este es el ejemplo más sencillo de relación de confianza, porque al añadir un nuevo controlador de dominio a un bosque que ya existe, se establece, de forma automática, una relación de confianza entre el nuevo dominio y dominio existente.
Al añadir un nuevo controlador de dominio a un bosque existente, podemos perseguir un doble objetivo:
Por una parte, proporcionar a la instalación características de tolerancia a fallos.
Por otra parte, podemos equilibrar la carga sobre los servicios del directorio.
En este apartado vamos a estudiar cómo crear un nuevo controlador de dominio, cuyo nombre será server-2008-b y que compartirá las funciones del controlador principal (el controlador server-2008-a que instalamos en capítulos anteriores). Para conseguirlo, los pasos que seguiremos serán los siguientes:
- Configurar el Servidor DNS del controlador de dominio principal.
- Configurar las características de red del equipo nuevo.
- Unir el nuevo equipo como cliente del dominio.
- Promocionar el nuevo equipo como controlador de dominio del bosque.
- Replicar los controladores de dominio
Como imagino que estarás ansioso por ver cómo echar a andar todo esto, comencemos…
Configurar el Servidor DNS del controlador de dominio principal
El primer paso, será configurar el servidor DNS del primer controlador de dominio (el único que tenemos hasta ahora), para que atienda las solicitudes del rango de direcciones IPs que forman nuestra red.
Más adelante, veremos cómo podemos configurar también los reenviadores para que los nombres que no sean conocidos (los que no estén definidos en nuestra red) se consulten en un servidor DNS de nivel superior (en este caso, y a modo de ejemplo, utilizaremos los servidores de Google).
Se abrirá la ventana Administrador de DNS. En ella, desplegaremos (si no lo está) la entrada SERVER-2008-A, que es la correspondiente a nuestro controlador actual. En el árbol, haremos clic con el botón derecho del ratón sobre la entrada Zonas de búsqueda inversa.
Al hacer esto, se abrirá el Asistente para crear zona nueva, con la que traduciremos los nombres DNS que sean conocidos por el servidor en sus correspondientes IPs.
En el siguiente paso, indicaremos que pretendemos crear una zona principal y que la vamos a guardar en el directorio activo.
Después tendremos que indicar el ámbito en el que se va a replicar (copiar) la nueva zona. Indicamos que se replique en todos los servidores DNS del dominio, de modo que se incluya el servidor DNS del nuevo controlador, una vez que lo hayamos creado.
Lo siguiente será indicar si deseamos crear la zona de búsqueda inversa para direcciones IPv4 o IPv6. Observa que sólo podemos elegir una de las dos, por lo que, si en nuestra red vamos a utilizar ambos protocolos, deberíamos crea dos zonas de búsqueda inversa independientes, una para cada versión de IP. No obstante, como recordarás, nosotros desactivamos el protocolo IPv6 en un capítulo anterior, por lo que sólo necesitaremos IPv4.
A continuación, indicaremos el id. de la red, es decir, el rango de direcciones que podrán beneficiarse de los servicios de la nueva zona DNS. En nuestro caso, escribimos 192.168.1, lo que repercutirá en que sean atendidos todos los ordenadores de la red que se encuentre en el rango de direcciones desde 192.168.1.1 hasta 192.168.1.255.
En el siguiente paso, debemos indicar el tipo de actualización dinámica que debe permitir la zona DNS. El objetivo de las actualizaciones dinámicas es que los equipos cliente puedan registrarse en la zona y actualizar los registros relativos a sus propios recursos, cada vez que se produzca un cambio.
En nuestro caso, sólo vamos a permitir actualizaciones que provengan de equipos que estén integrados en el directorio activo.
8
… Por lo tanto, elegimos Permitir sólo actualizaciones dinámicas seguras y hacemos clic en Siguiente.
En el último paso, obtenemos un resumen de todas las características que hemos establecido en los puntos anteriores. Por supuesto, es muy recomendable leerlo con atención para asegurarnos de que todo es correcto. Si observamos algún error o anomalía, podemos utilizar el botón Atrás, para volver al paso donde se produjo y resolverlo.
9
Si todo es correcto, sólo nos queda hacer clic sobre el botón Finalizar y la nueva Zona de búsqueda inversa se creará en un instante.
En este momento, ya hemos conseguido que nuestro controlador de dominio resuelva los nombres relativos a nuestra infraestructura de red. Sin embargo, si en los equipos cliente configuramos la dirección IP del controlador de dominio como servidor DNS único, observaremos que la red funciona correctamente, pero que los clientes no pueden navegar por Internet.
Esto se debe a que, cuando un cliente aporte un nombre que no pertenezca a nuestra red, el servidor DNS no lo conocerá y, por lo tanto, no sabrá resolverlo. Para evitar esta contingencia, configuraremos los reenviadores, es decir, las direcciones IP que contienen otros servidores DNS a los que recurrir cuando el nuestro no conozca la dirección que se le está solicitando.
Para comenzar, en la ventana Administrador de DNS, que hemos abierto un poco más arriba, hacemos clic con el botón derecho del ratón sobre el nombre del controlador de dominio (en nuestro caso, SERVER-2008-A).
Aparecerá la ventana Propiedades de SERVER-2008-A. En ella, nos dirigimos a la solapa Reenviadores. Aquí vemos que, en nuestro caso, ya tenemos definida una de las IPs que se corresponde con uno de los servidores DNS de Google, concretamente, la dirección 8.8.8.8. A modo de ejemplo, vamos a añadir la otra (8.8.4.4).
Lógicamente, si no hubiese ninguna dirección definida, y quisiéramos añadir ambas, sólo tendríamos que repetir el proceso siguiente dos veces. Por supuesto, aunque aquí utilicemos los servidores DNS de Google, el proceso funcionará exactamente igual con la IP de cualquier servidor DNS público que encontremos en Internet.
En la ventana Editar reenviadores, obtendremos una lista con las direcciones IP definidas hasta el momento. En la lista, la primera línea aparece en azul y contiene el texto <Haga clic aquí para agregar una dirección IP o un nombre DNS>.
Observa también que si elegimos cualquier otra línea, podremos eliminar la IP que hayamos elegido o cambiar la de orden. Esto último nos permitirá otorgar preferencia a unos servidores DNS sobre otros.
También podremos elegir el número de segundos que esperará el sistema antes de enviar la solicitud al siguiente servidor.
De vuelta en la ventana de Propiedades, podemos comprobar que todo ha sido correcto. Cuando la columna FQDN del servidor aparece rellena, es que el servidor ha sido encontrado en Internet e identificado correctamente.
Para terminar este apartado, vamos a incluir a continuación una tabla con otros servidores DNS públicos y gratuitos que puedes utilizar en lugar de los propios de Google. La lista está actualizada a marzo de 2013.
Proveedor | Servidor DNS principal | Servidor DNS secundario |
OpenDNS | 208.67.222.222 | 208.67.220.220 |
ScrubIT | 67.138.54.120 | 207.225.209.77 |
DNS Advantage | 156.154.70.1 | 156.154.71.1 |
Norton Connect Safe | 198.153.192.40 | 198.153.194.40 |
OpenNIC | 74.207.247.4 | 64.0.55.201 |
Level3 | 209.244.0.3 | 209.244.0.4 |
Public-Root | 199.5.157.131 | 208.71.35.137 |
Comodo Secure | 8.26.56.26 | 8.20.247.20 |
DNS Resolvers | 205.210.42.205 | 64.68.200.200 |
Hurricane Electric | 74.82.42.42 | |
SmartViper | 208.76.50.50 | 208.76.51.51 |
Securly | 184.169.143.224 | 184.169.161.155 |
Censurfri DNS | 89.233.43.71 | 89.104.194.142 |
Dyn | 216.146.35.35 | 216.146.36.36 |
puntCAT | 109.69.8.51 |
Configurar las características de red del equipo nuevo
Como cabe esperar, en este punto, el primer paso consistirá en disponer de un nuevo equipo que incorpore un sistema operativo Windows Server 2008 instalado. Si necesitas ayuda para hacerlo, recuerda que ya lo resolvimos en el segundo capítulo: Instalación de Windows Server 2008.
Una vez superado este aspecto, debemos asegurarnos de que la configuración de la red es correcta. Esto lo conseguimos accediendo al Centro de redes y recursos compartidos.
Inmediatamente, veremos cómo se abre la ventana del Centro de redes y recursos compartidos.
Al hacerlo, se abrirá una nueva ventana titulada Conexiones de red, donde aparecerán representadas todas las conexiones de las que dispongamos en nuestro sistema (en la máquina de ejemplo, sólo disponemos de una).
3
Hacemos clic con el botón derecho sobre la conexión de red adecuada y, en su menú de contexto, elegimos Propiedades.
En la ventana Propiedades de la conexión de área local 2 (o como se llame en tu sistema) nos aseguramos de que está deshabilitado el protocolo IPv6. A continuación, seleccionamos el Protocolo de Internet versión 4 (TCP/IPv4)…
En la ventana Propiedades de protocolo de Internet versión 4 (TCP/IPv4) que aparece a continuación, asignamos una IP estática que se encuentre libre en nuestra red, la máscara de red correspondiente, la puerta de enlace adecuada para nuestra red y, lo más importante, como Servidor DNS preferido, indicamos la dirección IP del servidor principal.
Después de esto, ya podemos cerrar todas las ventanas.
Unir el nuevo equipo como cliente del dominio
La forma más fácil de que funcione correctamente la posterior promoción del equipo nuevo como segundo controlador del dominio, es convertirlo antes en un nuevo equipo cliente del dominio. Así, nos aseguramos de que todas las configuraciones son correctas antes de comenzar la promoción.
Para comenzar, hacemos clic en el botón Inicio y, después, volvemos a hacer clic, pero con el botón derecho del ratón, sobre Equipo.
A continuación, se abrirá una ventana titulada Sistema.
Cuando aparezca la ventana Propiedades del Sistema, aunque no es obligatorio, cambiamos el contenido del campo Descripción del equipo para que tenga un nombre descriptivo.
A continuación, podemos cambiar el nombre del equipo, pero, sobre todo, debemos elegir Dominio en la parte inferior y escribir el nombre del dominio del que nos vamos a hacer miembros (en nuestro caso, somebooks.local)
Si los datos anteriores han sido correctos, el controlador de dominio (el único que tenemos en estos momentos), nos responderá pidiendo las credenciales necesarias para realizar la operación. Escribimos el nombre de una cuenta con los privilegios necesarios y su contraseña (en este caso, utilizaremos la cuenta Administrador)
Una vez que se haya completado la operación, recibiremos un mensaje indicando que el equipo cliente se ha unido correctamente al dominio.
Por último, el sistema nos muestra un aviso indicando que los cambios que acabamos de aplicar no serán efectivos mientras no reiniciemos el equipo.
Aunque realmente no es necesario, porque no se ha producido ningún error durante el proceso, podemos comprobar, en el equipo que actúa como controlador de dominio actual, que el equipo cliente (el que será el futuro controlador de dominio secundario), ha sido incorporado satisfactoriamente al dominio.
Para lograrlo, sólo tenemos que abrir la ventana Usuarios y equipos de Active directory y elegir la entrada Computers en el panel de la izquierda
8
En ese momento, comprobaremos, en el panel de la derecha, que ya aparece el nombre del equipo nuevo.
Cuando reiniciemos el equipo cliente, observaremos que nos ofrece la cuenta Administrador, de forma predeterminada, para que iniciemos sesión. Sin embargo, observa que se trata de una cuenta local (SERVER-2008-B\Administrador). Para comprobar que podemos iniciar sesión dentro del dominio, deberemos cambiar esto.
Por supuesto, podríamos haber utilizado cualquier cuenta válida en el dominio, aunque nos vendrá bien habernos identificado con la cuenta Administrador para realizar el siguiente paso.
Por último, observa que, en lugar de utilizar, como hemos hecho otras veces, el nombre NetBios de la cuenta, esta vez hemos usado su nombre DNS. El objetivo es ilustrar que esta opción también es viable y que, para nuestros objetivos, ambas son equivalentes.
Promocionar el nuevo equipo como controlador de dominio del bosque
Como dijimos al principio, el siguiente paso consiste en promocionar el equipo al que hemos llamado SERVER-2008-B para que actúe como segundo controlador del dominio somebooks.local. En líneas generales, la promoción es muy similar a la que ya estudiamos en el capítulo 3 (Dominios en Windows Server 2008) para el controlador de dominio principal. Sin embargo, como existen algunas diferencias importantes, vamos a volver a explicarlo de una forma detallada con el fin de evitar posibles errores:
A continuación, el sistema nos mostrará un cuadro de diálogo que nos informa de que se está instalando el software que ofrecerá los servicios de dominio del directorio activo.
Una vez concluido, se abrirá el Asistente para la instalación de los Servicios de dominio de Active Directory. En la primera pantalla, nos aseguramos de mantener habilitada la opción Usar la instalación en modo avanzado.
En la siguiente pantalla, el asistente nos avisa de que, en esta versión de Windows Server se han incorporado medidas de seguridad que pueden ser incompatibles los sistemas operativos cliente más antiguos de la red, o con algunos clientes que utilicen el protocolo SMB, pero que no sean sistemas Microsoft.
En la siguiente pantalla, deberemos indicar el tipo de controlador de dominio que estamos montando. En este caso, vamos a añadir un nuevo controlador de dominio en un dominio que ya existe.
A continuación, debemos indicar el nombre del dominio principal del bosque en el que vamos a añadir el controlador de dominio que estamos configurando (en nuestro caso, somebooks.local). También tendremos que indicar la cuenta, con privilegios adecuados en el dominio, que vamos a utilizar para llevar a cabo la tarea. Como antes configuramos este equipo como cliente del dominio y hemos iniciado sesión con las credenciales de la cuenta Administrador, ahora sólo tenemos que indicarle que vamos a utilizar las credenciales de inicio de sesión actuales.
En el siguiente paso, indicaremos el dominio particular al que añadiremos el controlador de dominio. Será el dominio principal del bosque (el que indicamos en el paso anterior) o cualquiera de sus subdominios, en caso de que existan.
Como en nuestro caso sólo tenemos el dominio principal, lo seleccionamos.
Un sitio representa una red, o una parte de ella, con una velocidad de acceso uniformemente buena: gran ancho de banda, coste reducido, fiabilidad y buen rendimiento (normalmente, una LAN).
A continuación, deberemos indicar el Sitio en el que se ubicará el controlador de dominio.
Cuando se instala por primera vez el Directorio Activo, en la base de datos se crea un nuevo objeto llamado Default-First-Site-Name donde se ubica el primer controlador de dominio.
Al finalizar la instalación de este primer controlador de dominio, podemos cambiar este nombre predeterminado por algún otro que resulte más descriptivo. Sin embargo, en el ejemplo que estamos desarrollando aquí, no lo hemos hecho (ni es importante), por que que nos limitaremos a elegir el sitio existente.
En la siguiente pantalla, elegiremos las opciones adicionales del controlador de dominio.
En otras configuraciones, no tendríamos que elegir Servidor DNS, porque ya tenemos uno instalado en el controlador principal. Sin embargo, en este caso, nuestro objetivo es instalar un controlador de reemplazo, que pueda asumir las tareas del controlador principal cuando sea necesario, por lo que necesitaremos que también actúe como servidor DNS.
Lo mismo ocurre con el Catálogo global.
Después de esto, aparece un aviso que nos informa de que no se va a poder crear una delegación para el servidor DNS que estamos a punto de instalar y que, en caso necesario, habrá que hacerlo a mano.
Esto es normal que ocurra, y no debemos preocuparnos.
En el siguiente paso, indicamos el medio que utilizaremos para replicar los datos del dominio. Para este ejemplo, elegiremos Replicar los datos a través de la red desde un controlador de dominio existente.
A continuación, debemos indicar el controlador de dominio que se utilizará como origen para la replicación. Este paso es muy útil cuando tenemos una estructura de dominios y subdominios más compleja. Sin embargo, en nuestro caso, sólo tenemos un dominio con un controlador de dominio. Por lo tanto, hacemos clic sobre éste.
El siguiente paso consiste en indicar las ubicaciones donde se guardarán los datos relativos al controlador de dominio que estamos configurando. Lo más frecuente es utilizar las ubicaciones predeterminadas.
Después de esto, el asistente nos solicitará la contraseña de Administrador para cuando necesitemos iniciar el sistema en el modo de restauración de servicios del directorio. Esta contraseña no es la misma de la cuenta Administrador del dominio, aunque, si queremos, podemos utilizar la misma. En cualquier caso, se recomienda que sea una contraseña segura.
14
Una vez escrita la contraseña, por duplicado por cuestiones de seguridad, haremos clic sobre el botón Siguiente.
El último paso del asistente muestra un resumen de las preferencias que hemos indicado durante el proceso. Debemos revisarlas con cuidado y, si detectamos algún error, utilizar el botón Atrás para volver hasta el paso en el que lo cometimos y resolverlo.
Finalmente, el sistema comienza la configuración del controlador de dominio y muestra una ventana informándonos del avance del proceso, que puede tardar un buen rato, según las características de nuestro hardware y las opciones que hayamos indicado más arriba.
De forma predeterminada, aparecerá marcada la opción Reiniciar al completar. Es preciso recordad que, hasta que no se produzca dicho reinicio del sistema, el controlador de dominio no estará operativo. Sin embargo, podemos desmarcar esta opción si preferimos aplazar el reinicio para más adelante.
También podemos Cancelar la operación en cualquier momento, antes de que acabe y se desharán los cambios que se hayan realizado hasta ese momento.
Cuando termine la instalación y configuración del software, se producirá el reinicio del sistema de forma automática.
Cuando el sistema vuelva a arrancar, volvemos a utilizar la cuenta Administrador para autenticarnos. Después, podemos ir hasta Inicio > Herramientas administrativas > Sitios y servicios de Active Directory para comprobar que, como suponíamos, todo el proceso se ha completado de forma satisfactoria.
Si todo es correcto, veremos una entrada por cada controlador de dominio instalado: La del controlador de dominio principal (en el ejemplo, SERVER-2008-A) y la correspondiente al nuevo controlador de dominio que acabamos de instalar (en nuestro caso, SERVER-2008-B).
Replicar los controladores de dominio
Aunque ya disponemos de un segundo controlador de dominio para el directorio activo, aún no son ambos completamente equivalentes. El motivo es que, mientras la base de datos del directorio activo del primer controlador contiene todos los datos de administración que hayamos generado hasta la fecha, la del segundo controlador está completamente vacía.
La solución a este problema consiste, sencillamente, en replicar los datos originales sobre el segundo controlador. Esta operación se puede realizar desde ambos controladores, aunque nosotros lo haremos desde el principal, para ilustrar que el contenido de Sitios y servicios de Active Directory es completamente equivalente al que vimos al final del apartado anterior en el controlador secundario.
Por lo tanto, en el controlador de dominio principal, vamos hasta Inicio > Herramientas administrativas > Sitios y servicios de Active Directory y desplegamos, en el panel izquierdo, Sites > Default-First-Site-Name > Servers. De nuevo, veremos una entrada por cada controlador de dominio.
Si desplegamos la entrada correspondiente al primer controlador (en el ejemplo, SERVER-2008-A), veremos una nueva entrada, que se corresponde con los ajustes del Directorio Activo (NTDS Settings). Al hacer clic sobre ella, se mostrará su información en el panel derecho
1
Ahora sólo tenemos que hacer clic con el botón derecho sobre la información aparecida en el panel derecho y, en el menú de contexto que aparece, elegir Replicar ahora.
Cuando termine el proceso, aparecerá una ventana informativa.
Para evitar inconsistencias entre las dos bases de datos, volveremos a realizar el mismo proceso sobre el controlador de dominio secundario. Es decir, desplegamos el segundo controlador, hacemos clic sobre sus ajustes del Directorio Activo (NTDS Settings) y, por último, hacemos clic, con el botón derecho del ratón sobre la línea de información que ha aparecido en el panel derecho.
De nuevo, cuando termine el proceso, aparecerá una ventana informativa.
Para terminar este apartado, vamos a desplazarnos hasta el segundo controlador, para comprobar que la replicación de la base de datos ha sido efectiva.
5
Ya en el segundo controlador, elegimos Inicio > Herramientas administrativas > Usuarios y equipos de Active Directory.
Cuando se abra la ventana Usuarios y equipos de Active Directory, en el panel izquierdo desplegamos la entrada correspondiente al dominio (para nosotros, somebooks.local). Después, hacemos clic sobre Computers.
6
Veremos que, en el panel de la derecha, aparecen los equipos que actúan como clientes del dominio.
Recuerda que hicimos esta misma comprobación más arriba, en el paso Unir el nuevo equipo como cliente del dominio (concretamente en el punto 8) y que, además del equipo CLIENTE-W7-01, aparecía el equipo SERVER-2008-B. Ahora no aparece porque ya no es un cliente, sino un nuevo controlador de dominio.
En cualquier caso, lo que estamos comprobando aquí es que el segundo controlador ya conoce los clientes del dominio.
Lo mismo ocurre si nos desplazamos hasta la unidad organizativa Usuarios y equipos propios. La propia categoría se había creado en el dominio utilizando el controlador principal, antes de crear el secundario. Sin embargo, éste ya la tiene definida en su base de datos.
7
Lógicamente, si hacemos clic sobre ella, veremos todos los usuarios que pertenecía originalmente al dominio.