educación, informática y demás

2401 - Primeros pasos

Controladores de dominio I

En esta entrada vamos a aprender como añadir un controlador de dominio de respaldo a un dominio existente, a configurar los sistemas para que puedan utilizarlo, a eliminar dicho controlador del dominio y por último a eliminar un equipo del dominio.

En este caso práctico de las serie de casos prácticos de una arquitectura de SOR Cliente / Servidor vamos a añadir un controlador de dominio de respaldo a nuestro dominio. En este caso práctico vamos a seguir los pasos de la entrada Controlador de dominio de respaldo.

Esta operación nos gustaría poder deshacerla más adelante, por lo que vamos a crear una instantánea de la Máquina virtual de Windows Server 2016 que hace de DC de nuestro dominio, en concreto SSOO – WS2016 01.

  • Instantanea: Antes de añadir nuevo controlador al dominio
  • Descripción: sistema con dominio creado, usuarios, grupos y permisos configurados.

Una vez creada la instantanea vamos a crear un clon de la máquina virtual SSOO – WS2016 01 que utilizaremos para añadir el nuevo controlador de dominio de respaldo.

Crear la instantánea

  • Instantanea: Antes de añadir nuevo controlador al dominio
  • Descripción: Sistema con dominio creado, usuarios, grupos y permisos configurados.

Clon de la máquina

La nueva máquina se llamará SSOO – WS2106 02. Vamos a detallar el proceso de clonación.

Seguimos el asistente de clonación de máquinas virtuales.

Seleccionamos el tipo de clonación con clonación completa para que copie el disco duro y todo su contenido en la nueva máquina virtual.

Clonamos todo…

La finalidad de esta clonación es tener una máquina virtual con WS2016 recién instalado para después instalar el rol de servicios de dominio de AD y añadir este equipo como Controlador de Dominio de Respaldo del dominio jpedrerom.ex que ya hemos creado. Copiamos todo, para poder volver a la instantánea de la máquina virtual en la que todavía no habíamos instalado el Rol de servicios de dominio de AD.

Una vez ha terminado la clonación volvemos a la instantánea inicial, antes de instalar los servicios de ADDC. Esta es la máquina SSOO – WS2016 02

Nota: si alguien ha creado la clonación sin añadir las instantáneas, puede utilizar la nueva máquina como base o principal y la máquina antigua como el controlador de dominio con el que vamos a hacer una serie de prácticas, en este caso controlador de dominio de respaldo.

Eliminamos las otras dos instantáneas que no vamos a utilizar en esta máquina virtual.

Al final nos quedará así:

Configurando el sistema invitado en SSOO WS2016 02

Ahora lanzamos la máquina virtual y entramos en el sistema que acabamos de clonar.

En mi caso particular, tengo que configurar por completo ciertos aspectos del sistema. No obstante, aunque estuviera ya configurado, vamos a tener que volver a configurar por lo menos el nombre del equipo, que no puede llamarse igual que el otro controlador de dominio, y la dirección IP que no puede tener la misma.

Cambiamos el nombre

Reiniciamos más tarde. Ahora configuramos el protocolo TCP/IPv4. Podríamos utilizar ya el servidor DNS de nuestro dominio si así lo queremos, puesto que ya tenemos un DNS instalado y configurado en dc01.jpedrerom.ex. No obstante, en este nivel de configuración no podemos utilizar un FQDN, tendremos que usar su direccion IP: 192.168.24.254.

Lo único que tenemos que tener presente es que el sistema dc01.jpedrerom.ex debe estar accesible

Si no recuerdas bien el proceso, puedes consultar esta entrada de www.educatica.es.

Reiniciamos… y nos encontramos con esta pantalla de bienvenida, que nos indica que no estamos conectados a ningún dominio.

Iniciamos sesión y configuramos el sistema para que realice operaciones de controlador de dominio de respaldo de nuestro dominio principal.

1. Comprobando la conexión red

Vamos a comprobar que tenemos conexión con el DC del dominio. Para ello, vamos a usar su FQDN y no la dirección IP del DC.

De aquí, por lo pronto, podemos saber que falla o bien la conexión LAN o bien el DNS.

Si la puerta de enlace no funciona, es que no tenemos conexión con la LAN o la puerta de enlace está indisponible. En nuestro caso, que estamos trabajando con VirtualBox siempre estará disponible… si está todo bien configurado. Vamos a echar un ojo a la configuración de red en la máquina virtual.

Tenemos que configurar la interfaz de red para que se conecte a la Red NAT que estamos utilizando en esta serie de casos prácticos. Posiblemente esto está originado por la vuelta al estado de la instantánea. Lo importante es que hayamos sabido llegar a la causa del problema.

Volvemos al sistema invitado y comprobamos la conexión.

Comprobamos de nuevo la configuración de red

El problema que tengo en mi caso particular es que ambas interfaces de red de las dos máquinas virtuales comparten la misma dirección MAC.

Se supone que al clonar marcamos la opción de generar nuevas direcciones MAC. Además, según la interfaz de usuario de VirtualBox en la configuración de red, nos da distintas direcciones MAC.

No obstante, como podemos observar, según Windows Server, las direcciones MAC son idénticas. Para solucionarlo, vamos a apagar la máquina virtual SSOO – WS2016 02 y voy a reiniciar de nuevo la direccion MAC del adaptador de red virtual.

Apagamos la máquina 02 y reiniciamos la MAC del adaptador de red.

Aceptamos, iniciamos WS2016 y vemos si todo funciona como debería.

Comprobamos el DNS

Todo está bien, pasamos al siguiente paso…

Controlador de dominio de respaldo

Vamos a añadir el sistema dc02 como controlador de dominio de respaldo. Para ello, vamos a instalar Rol de Servicio de Dominio de AD en dc02, cuando se haya instalado nos pedirá que promocionemos el servidor como controlador de dominio. Podéis seguir el proceso expuesto en Controlador de dominio de respaldo.

….

Ambos equipos comparten el mismo SID, es decir el identificador que identifica el sistema. Esto es lógico puesto que hemos clonado el sistema 01 en el sistema 02.

Tenemos que utilizar una herramienta llamada sysprep para reiniciar el SID del sistema WS2016 02.

Ejecutamos la herramienta y seleccionamos la siguiente opción

Esto reiniciará toda la información de identificación y ciertos parámetros de configuración en el sistema.

Seguimos el asistente

Hasta nos pide de nuevo las credenciales del Administrador del sistema.

Ahora tenemos que configurar, de nuevo, el nombre del equipo y la configuración TCP/IPv4.

Configuramos esta información.

Con todo configurado debería quedar así

¡Instantáneas por Tutatis!

Ahora mismo, tenemos dos máquinas virtuales de Windows Server 2016 preparadas para realizar distintas prácticas de unión de controladores de dominio a un controlador de dominio raíz de bosque y árbol. Es el momento idóneo para crear instantáneas de cada una de las máquinas que nos permita volver a este punto cuando terminos con cada una de las prácticas que vamos a realizar. A modo de resumen vamos a hacer las siguientes opeaciones con controladores de dominio:

  • Controlador de dominio de respaldo.
  • Controlador de dominio secundario
  • Controlador de dominio de árbol en bosque

Creamos instantánea con las siguientes características:

  • Nombre: «Antes de realizar actividades con DCs»
  • Descripción: «Sistema preparado para realizar prácticas con nuevos DCs»

Si alguien tiene problemas graves con su clon y no tiene WS2016 02 puede utilizar una OVA disponible en el servidor de aula.

Controlador de dominio de respaldo

Añadimos el WS2016 02 como controlador de dominio de respaldo. Para ello, seguimos el proceso que hemos hecho anteriormente, pero esta vez no nos tiene que dar problemas puesto que SID es distinto.

Comprobamos que tenemos conexión antes de nada.

Ahora pasamos a instalar el Rol de servicios de Dominio de AD.

Seguimos el asistente y aceptamos la instalación

Esperamos a que nos pregunte si queremos promocionar el sistema como DC.

Cuidado!

Cuando pongamos las credenciales, tiene que ser con administrador@jpedrerom.ex

El sistema se reinicia y nos encontramos con esta pantalla de bienvenida

Iniciamos sesión con el administrador del dominio. Vamos a echar un vistazo a usuarios y equipos…

Una vez añadido el controlador de dominio como controlador de dominio de respaldo de nuestro dominio, vamos a echar un vistazo, en el WS2016 02 a la información que éste sistema tiene sobre nuestro dominio. Para ello, lanzamos la «herramienta de usuarios y equipos de Active Directory».

Tenemos los mismos datos que el DC01, lo cuál es normal y lógico puesto que este sistema está haciendo las veces de controlador de dominio de respaldo.

Si nos vamos a Domain Controllers podemos ver los dos controladores de dominio

Practica 01 – Nuevo usuario

Vamos a crear un nuevo usuario en el dominio pero lo haremos en el controlador de dominio de respaldo.

  • Nombre: Alberto Rodriguez Navarro, departamento de mecánica.

arodriguezn@jpedrerom.ex

Una vez creado en WS2016 02 vamos a comprobar si esa información sobre el nuevo usuario está también disponible en WS2016 01.

Iniciamos sesión y vamos a herramientas de usuarios y equipos de AD

Vamos a echar un vistazo a la configuración del perfil, por curiosidad…

Tiene perfil móvil. ¿Podremos iniciar sesión con este usuario en el host01.jpedrerom.ex? Se supone que si.

Práctica 02 – Iniciando sesión con el usuario recién creado

Se crea el perfil del usuario

Practica 03 – DC01 no está disponible

Supongamos que dc01.jpedrerom.ex no está disponible, por cualquier motivo. En nuestra suposición podemos apagar la máquina virtual o bien quitarle el cable de red.

¿Qué pasará si intentamos iniciar sesión con un usuario del dominio en el host01.jpedrerom.ex?

No podríamos iniciar sesión con la confioguración actual de host01.

Si el servidor DNS no está disponible, no podrá encontrar a ningún equipo de la red, incluido el controlador de dominio secundario. Tenemos que poner como servidor DNS secundario el controlador de dominio de respaldo.

Cerramos sesión en host01 y quitamos el cable de red de dc01.

Comprobamos que no hay red

Ahora iniciamos sesión 🙂

Iniciamos sesión, pero como el perfil es móvil y está almacneado en dc01.jpedrerom.ex al que no tenemos acceso, se habrá cargado un perfil temporal local.

Vamos a comprobarlo.

El perfil es móvil, pero actualmente es local puesto que no ha podido sincronizar.

Practica 04 – DC01 no está disponible y creamos un usuario del dominio

No está disponible dc01.jpedererom.ex. No obstante, vamos a crear un nuevo usuario.

Está intentando sincronizar la información… pero no va a poder 🙁

Pues no era, solo, la sincronización de la BBDD de AD la que nos estaba frenando, sino la creación del directorio que hará las veces de carpeta particular de este usuario. Pero al final, se ha creado,.

Posiblemente podamos iniciar sesión con este nuevo usuario, a pesar de que dc01 todavía este no disponible, pero no tendrá acceso a su carpeta particular ni se creará perfil móvil para este usuario.

Parece que está en ello

Oh!

Es normal, no tiene acceso al perfil móvil del usuario.

Practica 05 – Conectamos a la red dc01

Antes de conectar!!!! Vamos a echar un vistazo a la base de datos de usuarios y equipos en dc01.

Como podemos ver, no están los usuarios creados en dc02, como es lógico. Conectamos el cable de red y dejamos que se sincronicen.

Oh! no están, todavía…

Veamos de nuevo. Esperamos un poquito (nosotros hemos iniciado sesión con el usuario malvarezr@jpedrerom.ex)

Quitando un controlador de dominio

Vamos a quitar el controlador de dominio de respaldo. Nos vamos a WS2016 02 y quitamos el rol de servicio de dominio de AD.

Quitamos el rol de servicios

Antes de quitarlo hay que disminuir el nivel de este controlador de dominio. aprovechamos el enlace 🙂

Nos pide configuramación

¡Ojo! – Todo esto que estamos haciendo lo estamos haciendo por el interés académico y de práctica con contenidos que tiene. En una empresa u organización este tipo de operaciones que estamos realizando no se realizan así a la ligera 😛

Iniciamos sesión de nuevo y continuamos con el proceso de Quitar rol

Esperamos a que termine

Terminamos

Reiniciamos y ya hemos terminado… o no 🙁

Nos aseguramos de que estamos trabajando con dc02

Quitamos DNS

Quitamos el servidor DNS

Reiniciamos de nuevo… Ya no somos controlador de dominio

Vamos a mirar en dc01.jpedrerom.ex

Solo tenemos un único DC, dc01. Es decir, hemos quitado dc02 como controlador de dominio. No obstante, dc02 sigue perteneciendo al dominio. Vamos a comprobarlo en el contenedor Computers.

Eliminando un equipo del dominio

Supongamos que ya no queremos que pertenezca al dominio, tendremos que sacarlo del dominio.

Podemos pensar que si lo quitamos desde Usuarios y equipos de Active Directory lo eliminaremos del dominio. No obstante, con esto lo único que estamos haciendo es quitar el equipo de la base de datos de entidades u objetos del dominio de Active Directory. El equipo, el sistema operativo, seguirá configurado como unido al dominio.

Sin embargo, como nos gusta practicar para realizar pruebas en estos entornos controlados, vamos a eliminarlo de la BBDD de Active Directory y a ver que pasa.

Ya no está el equipo dc02 en Computers de nuestro dominio.

Veamos si se ha salido efectivamente del dominio el equipo dc02.

Vamos a intentar iniciar sesión con administrador@jpedrerom.ex

No nos deja, porque según la BBDD de Active directory en el DC este equipo no forma parte del dominio.

Este S.O. sigue configurado como si fuera parte del dominio jpedrerom.ex. Tenemos que iniciar sesión con administrador y sacarlo del dominio de forma local. Pero, si no puedo iniciar sesión con administrador, ¿qué hago?.

A ver, hemos intentado iniciar sesión con la cuenta de administrador del dominio al que ya no pertenece este equipo. Tenemos que iniciar sesión con la cuenta administrador de este equipo.

Ahora estariamos iniciando sesión con la cuenta administrador de este equipo, de dc02.

En propiedades del sistema seleccionamos cambiar el nombre del equipo…

Cambiamos a grupo de trabajo

Nos advierte de que tenemos que conocer la contraseña de administrador 🙂

Nos pide credenciales para poder eliminar el equipo del dominio

Ya no estamos en el dominio

Como conclusión, si vamos a sacar un equipo del dominio es mucho mejor sacar el equipo de forma local del dominio. De esta forma, el sistema operativo del equipo se configura para salir del dominio y además se actualiza la BBDD de AD en un solo paso.

Dejar una respuesta