[Step By Step] Promover un Controlador de Dominio de solo lectura en Windows Server 2008 R2

Hola Amigos! En este tutorial se detallan los pasos a ejecutar para la promoción de un Controlador de Dominio de Solo Lectura (RODC) en Windows Server 2008 R2.

Objetivo y alcance

El objetivo del tutorial es detallar los pasos a ejecutar para promover un Controlador de Dominio de Solo lectura.

El alcance del tutorial es detallar los pasos a ejecutar para promover un Controlador de Dominio de Solo Lectura en Windows Server 2008 R2.

Contenido

  • Introducción
  • Escenario
  • Promoción de RODC
  • Prerrequisitos
  • Promoción
    • Configuración de adaptador de red
    • Instalación de ADDS
    • Ejecución de DCPROMO
  • Acciones posteriores recomendadas
    • Verificación de replicación
    • Verificación de Estado de Salud del DC
    • Verificación de Event Viewer

Introducción

Un RODC (Read Only Domain Controller) es, como su nombre lo indica, un controlador de domino de solo lectura. Contiene una Base de Datos de Active Directory de solo lectura, la cual almacena la mayoría de los datos de usuario y atributos excepto las contraseñas y otros atributos filtrados. Como no pueden realizarse cambios a la base de datos, en un RODC, la replicación es unidireccional.

Caracteristicas:

  • Read-only Active Directory database
  • RODC filtered attribute set
  • Unidirectional replication
  • Credential caching
  • Administrator role separation
  • Read-only Domain Name System

Escenario

El escenario en el cual se accionará es el siguiente:

  • Dominio
    • Madent.local
    • DC
      • PDC01
      • PDC03

Promoción de RODC

Antes de comenzar con la promoción es necesario ejecutar ciertos prerrequisitos sobre el Dominio.

Prerrequisitos

Deben verificarse/ejecutarse los prerrequisitos listados a continuación:

  1. 1.       Asegurarse que el nivel funcional del bosque es Windows Server 2008 o superior
    1. Ingresamos en el complemento “Active Directory Domains and Trusts”
    2. Hacemos click derecho sobre el dominio e ingresamos a propiedades. Se abrirá una ventana donde puede verificarse el nivel funcional de bosque y de dominio:

    Picture1

  1. 2.       Correr comandos Adprep.exe
    1. Correr comando adprep /forestprep

Debe insertase el CD de instalación de Windows. Comandos a correr:

  1. 2008: D:\source\adprep\adprep /forestprep
  2. 2008 R2: D:\support\adprep\adprep /forestprep

hola Picture2

  1. Correr comando adprep /domainprep /gpprep

Debe insertase el CD de instalación de Windows. Comandos a correr

  1. 2008: D:\sources\adprep\adprep /domainprep /gpprep
  2. 2008 R2: D:\support\adprep\adprep /domainprep /gpprep

Picture3

  1. Correr el commando adprep /rodcprep

Debe insertase el CD de instalación de Windows. Comandos a correr

  1. 2008: D:\sources\adprep\adprep /rodcprep
  2. 2008 R2: D:\support\adprep\adprep /rodcprep

Picture4

Promoción

Antes de realizar la promoción deben ejecutarse ciertas configuraciones en el servidor.

Configuración de Adaptador de Red

Antes de realizar la promoción, es necesario verificar la configuración de la placa de red. Es requisito que contenga:

  • Dirección IPv4 estática
  • Dirección de servidores DNS: por lo menos, un controlador del dominio en donde se promoverá.

Picture4a

Esta configuración se realiza debido a que a la hora de realizar la promoción el servidor intentará contactar el dominio. Por esta razón es necesario que pueda resolver el nombre del dominio:

Picture4b

Instalación de ADDS

Se realiza a través del Server Manager la instalación del rol Active Directory Domain Services

–          Clickeamos Add Roles.

Picture4c

–          Se ejecutará el asistente de instalación de roles. Seleccionaremos el rol “Active Directory Domain Services”

Picture4d

–          Continuamos con el asistente y finalmente clickeamos Install

Picture4e

–          Al finalizar la instalación, tendremos el rol instalado.

Ejecución de DCPROMO

Para realizarse la promoción de un RODC deben seguirse los pasos detallados a continuación:

  • Ejecutar dcpromo.exe. Inicio, Run >dcpromo
  • En el asistente de instalación, debemos tildar el checkbox “advanced features

Picture4f

  • Agregamos un controlador de dominio a un dominio existente

Picture4g

  • Especificamos el dominio y credenciales.

Picture4h

  • Elegimos el dominio. Luego, elegimos el sitio.

Picture4i

  • El asistente comprobará la configuración DNS.

Picture4j

  • Debemos seleccionar DNS, Global Catalog y Read-only Domain Controller

Picture5

  • Debemos configurar la política de replicación de contraseñas. Donde dejaremos todo por default, dejando como allowed al grupo “Allowed RODC…”

Picture6

  • Debemos especificar el grupo o usuario al cual queremos delegar la administración del RODC. Se recomienda un grupo de seguridad para simplificar los posibles cambios de administración. En este caso sera el grupo de seguridad RODC Admin

Picture7

  • Se especifica desde donde replicará la base de datos por primera ves el nuevo Controlador de Dominio: desde un Controlador de Dominio existente. Ya que la segunda opción nos permite replicar los datos de la base de AD desde un archivo.

Picture8

  • Se especifican los Replication Partner. Seleccionaremos que el asistente eliga el DC apropiado.

Picture9

  • Se define la ubicación de los archivos SYSVOL, base de datos y logs

Picture10

  • Se especifica la contraseña del Modo Restauración de Active Directory

Picture11

  • Se finaliza el asistente de instalación.

Picture12

  • Secomienza a ejecutar la replicación de la base de datos. Tildamos Reboot on completion para que reinicie el servidor automáticamente.

Picture13

  • Al finalizar el reinicio, podremos logearnos con las cuentas del dominio y se verifica que el servidor se ha promovido correctamente.

Acciones recomendadas posteriores

  • Verificación de replicación
  •  Verificación de Estado de Salud del DC
  • Verificación de Event Viewer

Verificación de replicación

  1. Abrimos el command prompt con derechos de administrador
  2. Ejecutamos los siguientes comandos:
    1. Repadmin /showrepl
    2. Repadmin /replsummary

–          Resultado esperado: replicación exitosa.

Verificación de Estado de Salud del DC

  1. Abrimos el command prompt con derechos de administrador
  2. Ejecutamos el siguiente comando:
    1. Dcdiag

–          Resultado esperado: todos los test pasados.

Verificación de Event Viewer

Es recomendable, periódicamente, realizar verificación de todos el Event Viewer. Como recomendación se pueden verificar los siguientes eventos luego de la promoción de un controlador:

Picture14

Posted

in

,

by

Tags:

, , , ,

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.