Windows Server 2012 R2 Active Directory: Implementación y gestión

Domain controllers y sus roles

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Los controladores de dominio son los equipos que controlan y la pieza fundamental de todo dominio. Te los descubriré, sabremos cómo localizarlos, qué realizan y qué roles marcan el funcionamiento de cada uno de ellos.

Transcripción

Voy a hablaros de los diferentes roles que podemos encontrar distribuidos o concentrados entre nuestros controladores de dominio. Estos roles son los que establecen qué controlador de dominio realiza qué operación dentro de las que conciernen a los propios controladores de dominio. Vamos allá. Voy a abrir la consola de Usuarios y equipos de directorio activo. Si le doy a botón derecho sobre el dominio, tendré, por ejemplo, Maestro de operaciones. Llamando a esta ventana podemos ver qué controlador de dominio realiza qué operación, por ejemplo, RID lo realiza este controlador de dominio. Si tuviésemos más de un controlador de dominio, aquí sería la opción donde podemos cambiar estas opciones. Aquí estamos viendo las tres operaciones que podemos realizar a nivel de dominio y los tres roles relacionados con el propio dominio: RID, Controlador principal de dominio o PDC, o responsable de infraestructura. La operativa es la misma. Podríamos delegar esta función a otro controlador de dominio solo haciendo clic en Cambiar y eligiéndolo. Existen recomendaciones de ubicación de cada uno de los roles entre los diferentes controladores de dominio, pero debéis consultar estas recomendaciones ya que no es lo mismo si estáis actuando sobre un dominio principal, un subdominio, tampoco es lo mismo si tenéis dos, como si tenéis tres, como si tenéis cuatro controladores de dominio, así que debéis conocer vuestro caso y consultar estas recomendaciones. Para ver la totalidad de los roles que tenemos entre los controladores de dominio, no solo tenemos que ir aquí, ya que hay cinco y aquí solo estamos viendo tres. Mucho más potente que todo esto va a ser PowerShell o la propia línea de comandos. Para diferenciar entre los roles que son de dominio y los roles que son de bosque, podemos utilizar estas dos herramientas. get-adforest nos va a devolver los roles que son propios del bosque, por ejemplo, DomainNamingMaster es un rol. SchemaMaster es otro rol. Si llamo a get-addomain, podré ver los roles que son propios de dominio por ejemplo, InfrastrutureMaster es otro de los roles. Tenemos por aquí PDCEmulator, es otro de los roles y RIDMaster es el tercer rol a nivel de dominio. En total, entre dominio y bosque podemos ver que tenemos los cinco roles. Más claramente lo veríamos en una línea de comandos. Con este comando aparecen todos nuestros roles aquí los tenemos. Vemos los cinco roles y qué controlador de dominio es el responsable de cada uno de los roles. Vamos a ver. El DomainNamingMaster es con el que tenemos que contactar cuando vamos a añadir un nuevo dominio en el bosque, almacena la lista de dominios que hay creados y las relaciones que hay entre ellos. El SchemaMaster guarda una copia de lectura y escritura del esquema, y es el único, ya que el resto de controladores de dominio solo guardan una copia de solo lectura, y cualquier cambio que se realice se tiene que mandar al SchemaMaster. RIDMaster almacena cualquier objeto que creemos en directorio activo y realmente le asigna un identificador único. Esto es lo que identifica al objeto dentro de nuestro dominio. También lo llamamos "SID". El InfrastructureMaster sabe dónde está localizado cada controlador de dominio para que una máquina o un usuario cuando inicia sesión se conecte al controlador de dominio que tiene más cercano. El PDC, nuevamente, es el rol más importante cumple varias funciones: Se encarga de la replicación rápida entre los cambios de contraseña del dominio; compatibiliza con versiones anteriores a Windows Server 2003; realmente es el origen de los tiempos de Active Directory y también sincroniza los relojes: todo dominio tiene que tener todos los PC y equipos en la misma hora, minutos y segundos, más o menos con una permisividad de variación, pero al final es el PDC quien marca la hora y todos los demás obedecen; debe estar accesible cuando vamos a promocionar un DC a un equipo; es quien crea la estructura de navegación dentro del dominio; y es quien controla la creación de las GPO. Los roles pueden ser también transferidos o forzados. Transferimos un rol cuando evidentemente tenemos más de un controlador de domino y queremos que un nuevo controlador de dominio realice una de estas acciones u operaciones. Forzamos un rol cuando ha desaparecido de manera fortuita uno de nuestros controladores de dominio y queremos que uno de los que quedan vivos tomen las acciones relativas a ese error. Para esto, tanto para forzarlos como para transferirlos, podemos usar la línea de comandos, y el comando a utilizar es este. Las instrucciones son las que podéis ver aquí: ntdsutil : roles, connections, y vamos a conectar a uno de los controladores, yo solo tengo uno, pues voy a haceros una demostración. Ahora voy a salirme un paso hacia atrás. Y aquí podría forzar con este comando... ...que este controlador de dominio asumiese forzadamente este rol. Evidentemente, cuando forzamos un rol, no estamos trasfiriendo la existencia o la base de datos de conocimiento que tenía el controlador de dominio que ha desaparecido. A la vuelta de un tiempo este nuevo controlador de dominio se ha hecho cargo de todas las operaciones y ha restituido toda la información que se perdió. Suele funcionar bien. A pesar de que hayamos perdido un controlador de dominio de una forma fortuita y toda su información haya desaparecido, las tareas siguen funcionando bien se sigue creando esa base de datos desde cero y, como digo, a la vuelta de un tiempo la tenemos totalmente restituida. Muchos de estos roles además no almacenan información, como puede ser el servidor que se encarga de marcar la hora internamente u otros.

Windows Server 2012 R2 Active Directory: Implementación y gestión

Aprende cómo se instala, crea y crece el Directorio Activo en Windows Server 2012, y cómo podemos integrar un nuevo dominio en un escenario con dominio o dominios ya existentes.

3:33 horas (44 Videos)
Actualmente no hay comentarios.
 
Formadores:
Fecha de publicación:25/07/2017
Duración:3:33 horas (44 Videos)

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.