CONTROLADORES DE DOMINIO

En esta ocasión se trata de ir un poco más allá de la simple ejecución de “dcpromo” para la instalación de AD Services en un servidor. Los puntos a cubrir son:

• Instalación desatendida y estructura del fichero de respuestas
• Añadir controladores de dominio 2008 a dominios y bosques ya existentes
• Crear un nuevo árbol en un dominio ya existente
• Instalación desde medios (“from media”)

Por el camino conoceremos algunos de los parámetros del comando “dcpromo”, y tomaremos contacto con otros comandos como: ntdsutil.exe y adprep

Instalación desatendida

La instalación desatendida consiste en suministrar aquellos datos que introducimos en la interfaz gráfica de “dcpromo” a través de un fichero de texto con una única sección de cabecera [DCINSTALL] seguida de las opciones y sus valores en la forma opción=valor. Un ejemplo para la creación de un nuevo bosque:

[DCINSTALL]

ReplicaOrNewDomain=domain

NewDomain=forest

NewDomainDNSName=lasalle.local

DomainNetBiosName=lasalle

ForestLevel={0=Windows 2000 Server Native;

2=Windows Server 2003 Native;

3=Windows Server 2008}

DomainLevel={0=Windows Server 2000 Native;

2=Windows Server 2003 Native;

3=Windows Server 2008}

InstallDNS=yes

DatabasePath="c:\windows\ntds"

LogPath="c:\windows\ntds\logs"

SYSVOLPath="c:\windows\sysvol"

SafeModeAdminPassword=P@@ssw0rd123

RebootOnCompletion=yes

Para ForestLevel y DomainLevel hay que elegir uno de los valores que aparecen. Para ejecutarlo:
dcpromo /unattend:”C:\AnswerFile.txt”

Si nos dejamos algún parámetro necesario y estamos en un equipo con entorno gráfico, el asistente gráfico lo pedirá, en la versión Core no y aparecerá un código de error.

En caso de conflicto entre el valor que le asignamos a un atributo en el fichero de respuestas y el que le asignamos vía parámetro a dcpromo, este último es el que tomará.

Añadir controladores a un dominio ya existente

Cuando añadimos un nuevo DC a un dominio suede ocurrir que la versión del sistema operativo del nuevo servidor sea más moderna que la del resto de controladores del bosque y/o del dominio, esto nos obliga a realizar algunas acciones para preparar el bosque y/o el dominio para este nuevo servidor. Esto nos puede ocurrir con Windows Server 2003, 2003R2, 2008 y 2008R2, y el procedimiento será muy parecido en todos los casos. Para este texto tomaré el caso en que nuestro nuevo servidor tendría instalado un Windows Server 2008 Full Version.

Caso 1: será el primer DC con 2008 del BOSQUE

Cada nueva versión de Windows Server incorpora nuevos campos y atributos a Active Directory. Estos atributos no están en las versiones anteriores por lo que los servidores anteriores no disponen de ellos. Por esto es necesario modificar el “schema” que tenemos en producción para incorporarle estas novedades necesarias para el nuevo servidor. El esquema contiene la definición de todos los atributos y objetos que pueden existir en nuestro AD. Si imaginamos que la nueva versión nos permite crear un nuevo tipo de objeto que los otros DCs no nos permiten, el contenido de nuestro directorio dependería del servidor al que estuviésemos conectados.

Pasos a seguir para la actualización del “schema”:

1. Iniciar sesión en el DC del bosque con el rol de “Schema Master” con una cuenta de usuario que pertenezca a los siguientes grupos:

• Enterprise Admins
• Schema Admins
• Domain Admins

2. Copiar el contenido de la carpeta Sources\Adprep del DVD de 2008 a una carpeta local del servidor
3. Desde una ventana de símbolo de sistema, ir a la carpeta que hemos copiado.
4. Ejecutar desde allí:

1. Si no vamos a añadir ningún RODC: adprep /forestprep
2. Si además vamos a añadir algún RODC: adprep /forestprep /rodcprep

A partir de aquí, podemos seguir con el caso 2.

Caso 2: será el primer DC con 2008 del DOMINIO

En este caso no es necesario modificar el “schema” ya es el mismo para todo el bosque, pero sí habrá que preparar el dominio al que le vamos a añadir su primer controlador 2008.

Pasos a seguir para la actualización del dominio:

1. Iniciar sesión con una cuenta con miembro del grupo “Domain Admins” en el servidor que sea el “maestro de operaciones”, es decir que tenga los FSMO de dominio. Si no están todos en la misma máquina, pasarlos.
2. Copiar el contenido de la carpeta Sources\Adprep del DVD de 2008 a una carpeta local del servidor
3. Desde una ventana de símbolo de sistema, ir a la carpeta que hemos copiado.
4. Ejecutar: adprep /domainprep /gpprep

Este último paso puede mostrar algún aviso indicando que las actualizaciones no son necesarias. Se puede ignorar.

Crear un nuevo ARBOL en el BOSQUE

La creación de un árbol es una acción muy poco habitual y que requiere de una parte de configuración manual en el servicio de dns del dominio raíz del bosque. Los pasos a seguir son los siguientes:

1. Comprobar si es necesario actualizar el esquema del bosque
2. Crear la delegación de la zona en el dns. Si algún día decidimos eliminar el árbol, también tendremos que eliminar manualmente la delegación.
3. Al ejecutar dcpromo desde entorno gráfico, tendremos que elegir “Opciones Avanzadas” para poder tener acceso a “Nuevo Arbol en un bosque existente”

Un ejemplo de fichero de respuestas para este caso sería:

[DCINSTALL]

ReplicaOrNewDomain=domain

NewDomain=tree

NewDomainDNSName=esade.local

DomainNetBiosName=esade

UserDomain=FQDN of user specified by UserName

UserName= DOMAIN\username (in Administrators group of ParentDomainDNSName)

Password=password for user specified by UserName or * for prompt

DomainLevel=domain functional level (not lower than current forest level)

InstallDNS=yes

ConfirmGC=yes

CreateDNSDNSDelegation=yes

DNSDelegationUserName=account with permissions to create DNS delegation

required only if different than UserName, above

DNSDelegationPassword=password for DNSDelegationUserName or * for prompt

DatabasePath="path to folder on a local volume"

LogPath="path to folder on a local volume"

SYSVOLPath="path to folder on a local volume"

SafeModeAdminPassword=password

RebootOnCompletion=yes

Instalación desde medios

Consiste en instalar AD en un equipo e importar los datos del directorio desde una copia de seguridad de otro DC, de ésta forma sólo deben copiarse las modificaciones realizadas desde la realización de la copia.

Al realizar una instalación de AD, la base de datos está vacía. En organizaciones con muchos objetos la replicación de éstos datos al nuevo DC puede suponer por una parte una sobrecarga para la red (si p.e. se trata de un enlace por ADSL) y por otra una carga para el servidor del que replica. Por eso en algunas ocasiones es adecuado usar la opción IFM (“Installation From Media”): realizamos la copia de los datos en una hora en que no afecte al servicio, llevamos esa copia al nuevo equipo, instalamos e importamos los datos de la copia. La replicación se lleva a cabo una vez la importación ha finalizado.

Para realizar una “instalación desde medios” debemos ejecutar una parte del proceso en un DC ya existente del dominio, y luego la otra parte del proceso en el nuevo servidor.

En un DC ya existente en el dominio, iniciar sesión como administrador y abrir un símbolo de sistema:

1. Ejecutar ntdsutil y pulsar intro
2. escribir: activate instance ntds (pulsar intro)
3. escribir: ifm (pulsar intro)
4. elegir de entre las siguientes opciones la que más nos convenga:

1. create sysvol full <ruta_para_el_fichero_de_salida>
2. create full <ruta_para_el_fichero_de_salida>
3. create sysvol rodc <ruta_para_el_fichero_de_salida>
4. create rodc <ruta_para_el_fichero_de_salida>

En el nuevo servidor:

1. Copiar el resultado de la copia anterior.
2. Ejecutar el asistente para la instalación de AD: dcpromo
3. Activar las opciones de instalación avanzada
4. En el asistente aparecerá la opción de “install from media” y tendremos entonces ocasión de seleccionar la ruta al lugar en que esté la copia.

Desde un fichero de respuestas la opción es: ReplicationSourcePath