Una parte importante de la estrategia de recuperación de desastres de Active Directory es la ubicación distribuida de los maestros, con el fin de proporcionar tolerancia a fallos en el caso de una caída de un controlador de dominio que alberga Maestros de operaciones. Imaginemos un escenario de un dominio con dos controladores de dominio, replicando Catálogo Global. Debemos repartir los Maestros de operaciones entre los dos controladores de dominio.
El primer Maestro de operaciones que vamos a ubicar/mover es el Esquema. Debemos entrar en el complemento Esquema de Active Directory y en la raíz hacer botón derecho Maestros de operaciones. En el caso de disponer un segundo controlador de dominio podremos cambiar su ubicación.
Maestro de nombres de dominio, ubicado en Dominios y confianzas de Active Directory. Realizamos el mismo procedimiento que para el Esquema, nos situamos sobre la raíz del dominio, botón derecho, nos conectamos al controlador de dominio destino y luego cambiar.
Maestro de ID relativo. Emulador de PDC y Maestro de infraestructura podemos configurarlos desde la consola de Usuarios y equipos de Active Directory.
Vamos a comentar un pequeños aspecto del RID Master o Maestro de ID relativos. Esta partición de Active Directory se encarga de identificar cada objeto en el dominio mediante un identificador. Esta asignación de identificadores la realiza reservando bloques de Identificadores en bloques de 500, lo que se denomina RID Pool. Por defecto tenemos disponibles 1 073 741 823 Identificadores disponibles. Cada vez que se incremente el Pool de Identificadores usados en 10 % de esta cuota, tendremos un evento de advertencia en el visor de eventos con el número 16658. Podemos modificar la reserva de Identificadores para el RID master para que la realice en bloques mayores de 500. Esto nos permitirá optimizar el rendimiento de este Maestro de operaciones, ya que deberá realizar esta tarea con menos frecuencia. Para cambiar el valor debemos entrar en la rama de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values
RID Block Size
Como podéis ver, aún no hemos consumido apenas ID y tenemos disponibles los 30 bits. Podemos modificar el atributo entrando en el editor LDP.exe. Conectamos con el controlador de dominio que alberga el maestro RID, en examinar pinchamos en modificar, y escribimos el valor como lo veis en la imagen. Esto no se debe hacer si no hemos detectado, mediante eventos o mediante monitorización manual, que tenemos cerca el límite de ID disponibles. Cuando tengamos usados un 90% el sistema nos responderá con un evento . Esta función no es compatible con versiones previas a Windows 2008 R2, y en este caso, debemos tener instalado un Hotfix para poder habilitar ese Bit extra que multiplica por dos el espacio disponible.
El Maestro emulador PDC es el encargado de proporcionar el sincronismo horario entre los controladores de dominio, por lo que debemos sincronizar el servidor que tenga esta maestro instalado con una fuente externa. No es necesario sincronizar externamente el resto de controladores de dominio. Importante, en el caso de mover el Maestro PDC hacia un controlador de dominio, Active Directory no mueve "el servicio de tiempo para los controladores de dominio". Por ejemplo, en un dominio con dos controladores de dominio DC1 y DC2 en el que inicialmente todos los roles están disponibles en DC1, incluido el PDC emulator, si movemos el Maestro PDC hacia DC2, DC2 no será el responsable del tiempo para los controladores de dominio, seguirá siendo DC1.
El Maestro de operaciones el partición de Active Directory que se encarga de dar coherencia a las réplicas de los objetos entre controladores de dominio. Lo hace mediante USNs Update Sequence Numbers. es decir, identificando la "versión" del objeto en base a su actualización. Para forzar la replicación entre controladores de dominio mediante PowerShell, y no gráficamente mediante Sitios y servicios de Active Directory podemos usar Repadmin /Syncall.
Si lo que queremos es ver simplemente el estado de las replicas con fecha y hora, podemos usar el siguiente PowerShell.
Ya tenemos cierta información sobre los maestros de operaciones y sus características principales dentro de Windows Server 2012. Como hicimos al principio del último artículo, vamos a ejecutar una consulta PowerShell para comprobar la ubicación de los Maestros de operaciones.
Con esto hemos movido todos los Maestros desde DC1 que era mi primer controlador de dominio, hacia RDP.
En próximos artículos intentaremos "romper" RDP y dejaremos al dominio huérfano de Maestros de operaciones, para ver si podemos restaurar el dominio en DC1.
Como siempre, espero que os guste el artículo y gracias por leerme.