Windows Server 2012 (R2): Crear un Dominio – Instalación y Configuración

Antes de comenzar con cualquier configuración hay que tener definidas algunas opciones, pero las más básicas incluyen:

• Cómo se llamará el Dominio
  Debe seguir las convenciones de nombres de DNS, y es independiente del dominio con el que se tenga prescencia en Internet. Son dos cosas totalmente diferentes “dominio Active Directory” y “dominio de Internet”
  Y para los de habla española, recordar que no incluya vocales acentuadas o la letra “ñ” ya que traen problemas luego
• Cómo será la convención de nombres para los Controladores de Dominio
• Qué configuración de red tendrá, que deberá ser ingresada manualmente, y no como cliente de DHCP

Así que lo primero que debemos hacer luego de instalar el servidor es asignarle la configuración IP. Esto variará con cada instalación, yo he elegido la red 192.168.1.0/24 que no es una red recomendable

Observen que la configuración de servidor DNS está en blanco

Luego de lo anterior debemos asignarle al servidor que será Controlador de Dominio un nombre adecuado, de acuerdo a la convención de nombres que tengamos

Y reiniciamos la máquina, ya que es requerido por el cambio de nombre

Luego del reinicio e iniciando sesión con una cuenta de administrador local procederemos a instalar la funcionalidad de acuerdo a como se muestra en las siguientes pantallas

Cuando seleccionemos “Active Directory Domain Services” solicitará la instalación de componentes adicionales, que por supuesto lo aceptaremos

Finalizada la instalación, y ya en el último paso, debemos promover al equipo como Controlador de Dominio configurándolo de acuerdo a la necesidad

La opción ofrecida por omisión es crear un nuevo Bosque (“Forest”), que es lo que debemos seleccionar cuando estamos creando nuestro primer Dominio Active Directory. Sólo debemos ingresar el nombre del Dominio a crear

Vamos a detenernos un tiempo en esta pantalla porque hay configuraciones importantes. Salvo que posteriormente vayamos a instalar Controladores de Dominio con versiones anteriores del sistema operativo, no convendrá disminuir los niveles funcionales.

Y es muy importante colocar una contraseña segura de “Directory Service Restore Mode” (DSRM). Esta contraseña es necesaria si tuviéramos que hacer una restauración desde una copia de seguridad del Controlador de Dominio. Esta contraseña no tiene relación con la cuenta de administrador del Dominio, no se sincroniza, y es individual para cada Controlador de Dominio

Es normal que no pueda efectuar la delegación en el DNS superior, y en nuestro caso sería un problema grave de seguridad si pudiera delegar en un dominio de Internet, nuestro Dominio Active Directory. Así que a ignorar la advertencia y continuar

Sugiere el nombre NetBIOS del Dominio, que salvo que esté duplicado en la red, siempre será la parte más a la izquierda del nombre de Dominio que hayamos colocado

Salvo que tengamos en nuestro servidor más de un disco físico y esperemos que nuestro Active Directory sea “muy grande”, no conviene cambiar las ubicaciones de los archivos

Como aclaración: mover la base y los logs es muy sencillo luego, pero cambiar la ubicación de SYSVOL es problemático

Verificamos si todo lo que seleccionamos es lo que realmente deseamos

Y vemos que el sistema nos da algunas advertencias. Entiendo que nadie a esta altura tendrá servidores NT 4.0, y por el tema delegación DNS ya lo hemos visto, así que podemos seguir adelante tranquilos

Observen que informa que se reiniciará la máquina automáticamente al finalizar el proceso

Luego del reinicio podremos iniciar sesión con el administrador del Dominio, ya no administrador local, aunque su configuración en este caso se ha migrado

Podemos observar que ya es Controlador de Domino de, en mi caso, “ad.guillermod.com.ar”

También ya tenemos instaladas las aplicaciones de más uso para administrar nuestro Dominio

Si abrimos “Active Directory Users and Computers” veremos que está creada la correspondiente cuenta de máquina en la Unidad Organizativa “Domain Controllers”

También podemos observar que se han creado las correspondientes zonas DNS (en la consola DNS), y se han creado los registros correspondientes. Tanto en la zona con el nombre del Dominio, como en la zona que comienza con “_msdcs.”

Igual que en el caso anterior, lo primero que debemos configurar son los parámetros de IP. En mi caso le he puesto 192.168.1.202/24, y muy importante que tenga configurado para usar como DNS al otro Controlador de Dominio ya instalado; esta es la única forma para que pueda resolver los nombres necesarios del Dominio Active Directory

El siguiente paso es colocarle el nombre adecuado, en mi caso “DC2” y reinciar si es necesario. Pero observen que lo he dejado en grupo de trabajo, sin unirlo al Dominio. Existe el concepto generalizado que para promoverlo tiene que estar previamente unido al Dominio, y esto no es necesario

Igual que en el caso anterior debemos instalar la funcionalidad “Active Directory Domain Services”, que no demostraré ya que es exactamente igual que lo que hicimos en DC1. Sólo mostraré la parte de promoción como Controlador de Dominio

Debemos seleccionar primero la opción de instalar un Controlador de Dominio adicional en un Dominio existente, y luego conviene ingresar una cuenta que tenga privilegios, por los menos de Domain Admin del Dominio

Al suministrar las credenciales correspondientes, observen que ha completado automáticamente el nombre del Dominio al que deseamos agregar a este Controlador de Dominio

Es importante, si queremos tener tolerancia a fallos sobre el servicio, que este Controlador de Dominio tenga instalado el servicio DNS y sea Catálogo Global, no se olviden de controlar que ambas opciones estén marcadas

Y además ingresar la correspondiente contraseña de ADRM de este Controlador de Dominio. Si hay dudas del motivo consulte la nota anterior ;-)

Por los motivos que explicamos en la nota anterior, hay que desmarcar que trate de ejecutar la delegación en el DNS superior

No hay mucho para seleccionar en este caso sobre desde cuál Controlador de Dominio replicará, ya que tenemos solamente uno

Y seguimos el asistente, tal cual el caso anterior, y como muestran las siguientes pantallas

Esperemos que reincie totalmente, por lo menos que llegue hasta el cuadro de inicio de sesión, y vamos a DC1 para ver si todo ha sucedido correctamente

Una de las primeras cosas que podemos hacer es abrir “Active Directory Users and Computers” y ver que se ha creado la cuenta de máquina correspondiente en la Unidad Organizativa “Domain Controllers”

Otra forma de verificar es en la consola de DNS verificar que se ha creado el correspondiente registro A (“Host”)

Los registros en la zona “_msdcs” pueden demorar un poquito de tiempo, pues dichas registraciones las hace el servicio NETLOGON, pero es importante verificar que estén presentes. Recordar que las consolas MSC no refrescan automáticamente, debemos pulsar F5

Y una configuración más a revisar, y muy importante para la replicación, es usar el “Active Directory Sites and Services”. A esta altura ya seguramente aparecerán en el “Default-First-Site-Name” ambos Controladores de Dominio

Aunque ya seguramente podremos observar que se ha creado el objeto replicación desde DC2 a DC1, seguramente aún no está creado el que replica desde DC1 hacia DC2

Tener paciencia … ;-) que si hicimos todo bien se creará en unos minutos, a veces se toma hasta 20, así que es mejor dejar todo sin tocar, y cada tanto hacer un refresco de pantalla hasta que aparezca el nuevo objeto conexión que replica desde DC1 hacia DC2

Y por supuesto tiene que estar también el que replica desde DC2 hacia DC1

Si queremos estar aún más seguros, y que la replicación funcione correctamente, podemos forzarla con botón derecho sobre cada objeto conexión y seleccionando para que replique ya (“Replicate now”)

Primero desde DC2 hacia DC1

Y luego desde DC1 hacia DC2

Como ambos Controladores de Dominio, ya replican entre sí,  tienen el servicio DNS, y como configuramos durante los asistentes son Catálogo Global, para tener tolerancia a fallos, tanto los Controladores de Dominio, como todas las máquinas del Dominio deben tener configurados a ambos como servidores DNS

No proseguir con lo siguiente hasta no asegurarse que se han creado ambos objetos conexión, y que la replicación se hace exitosamente

Hay muy largas discusiones, inclusive “entre gente que sabe”, sobre si cada Controlador de Dominio debe usar como preferido al otro, y como alternativo a sí mismo, o al revés, como preferido a sí mismo y como alternativo al otro

Funciona de ambas formas, pero yo sigo con la costumbre de los viejos Windows Server 2000 donde obligatoriamente había que “cruzarlos”. Es decir que usen como preferido al otro, y como alternativo a sí mismo

Otro tema que se habla mucho en Internet, es que hay que reemplazar la configuración por omisión que toma como dirección propia de DNS a la dirección de “loopback” (127.0.0.1), o no

Personalmente no he tenido problemas con dejar 127.0.0.1 pero la mayoría prefiere reemplazar por el valor correspondiente a la dirección IP real

Entonces para “cruzarlos” en DC1 debemos poner como preferido a DC2

Y en DC2 poner como preferido a DC1