No debe cambiar la configuración de red del controlador de dominio, pero si debe hacerlo, siga estos pasos
Los controladores de dominio (DC) de Active Directory son probablemente el último tipo de servidor en cambiar. Estos se utilizan para autenticar usuarios y dispositivos dentro del dominio, y es mejor dejarlos como están, especialmente cuando se trata de nombres de host o detalles de red.
Redes: Informes de lectura obligada
Si bien rara vez es necesario cambiar el nombre de un controlador de dominio, desafortunadamente, a veces es posible que deba cambiar la configuración de red. Tal vez las subredes se están reorganizando o desmantelando, se ha producido la adquisición de una empresa y se están introduciendo nuevas subredes que deben consolidar los controladores de dominio, o algún otro factor está en juego.
Si tiene configurados controladores de dominio redundantes (como debería hacerlo cualquier profesional de TI experimentado), es fácil moverlos a una subred diferente. Puede surgir un problema cuando ambos se transfieren y las computadoras cliente continúan buscando (y no encuentran) un controlador de dominio en su dirección IP anterior. No recomiendo hacer esto, ya que puede causar todo tipo de problemas de conectividad e incluso interrupciones, pero si tiene que hacerlo, debe tener cuidado.
Consulte: Glosario rápido: redes definidas por software (Tech Pro Research)
Aquí hay siete consejos para una migración de red de controlador de dominio exitosa.
1. Revisa y establece tus reglas de firewall
Las reglas de firewall, especialmente en entornos complejos, pueden causar grandes dolores de cabeza. Debe asegurarse de que el tráfico entre las subredes necesarias sea adecuado para la comunicación entre clientes y controladores de dominio, y posiblemente entre controladores de dominio y otros controladores de dominio. Ya sea que esté configurando un nuevo acceso o simplemente extendiendo el acceso existente, este es un elemento crítico; de lo contrario, verá un comportamiento muy extraño y confuso en los sistemas que intentan comunicarse con el DC.
Al menos estos puertos deben estar abiertos:
| TCP/UDP | puerto |
| Protocolo de Control de Transmisión | 53 |
| protocolo UDP | 53 |
| Protocolo de Control de Transmisión | 88 |
| protocolo UDP | 88 |
| protocolo UDP | 123 |
| Protocolo de Control de Transmisión | 135 |
| protocolo UDP | 135 |
| Protocolo de Control de Transmisión | Capítulo 389 |
| protocolo UDP | Capítulo 389 |
| Protocolo de Control de Transmisión | Capítulo 445 |
| Protocolo de Control de Transmisión | Capítulo 464 |
| protocolo UDP | Capítulo 464 |
| protocolo UDP | Capítulo 749 |
| Protocolo de Control de Transmisión | Capítulo 636 |
| Protocolo de Control de Transmisión | 3268 |
| Protocolo de Control de Transmisión | 3269 |
Microsoft también afirma: «En un dominio que consta de controladores de dominio basados en Windows Server(r) 2003, el intervalo de puertos dinámicos predeterminado es de 1025 a 5000. Windows Server 2008 R2 y Windows Server 2008, que cumplen con la Autoridad de números asignados de Internet (IANA) Sugerencia, mayor rango de puertos dinámicos para las conexiones. El nuevo puerto de inicio predeterminado es 49152 y el nuevo puerto final predeterminado es 65535».
Eso es mucho alcance, y es posible que ni siquiera sea todo lo que necesita, así que consulte el enlace de Microsoft anterior y asegúrese de contar con los derechos de acceso adecuados.
2. Configurar sitios y subredes en AD
Es importante seguir este paso si realmente está cambiando la subred del controlador de dominio (puede omitir este paso si solo está cambiando la dirección IP pero manteniéndola en la misma red).
Active Directory utiliza subredes y sitios definidos para la comunicación, la replicación y otras tareas que se ejecutan en segundo plano. Esta guía explica cómo configurarlos.
La configuración de subredes adecuadas en Active Directory es fundamental para garantizar la salud continua del entorno. Agregue subredes según sea necesario; de lo contrario, verifique dos veces para asegurarse de que todo esté configurado como debería. Por supuesto, no elimine ninguna subred que esté a punto de ser desactivada (si corresponde) hasta que esté realmente desactivada.
3. Centrarse en el DNS
Los registros DNS son uno de los factores más importantes para garantizar que los clientes puedan comunicarse con los controladores de dominio. Los registros DNS deben actualizarse cuando cambie la dirección IP del controlador de dominio (siempre y cuando use DNS dinámico), pero los registros estáticos deberán ajustarse manualmente al cambiar (de cualquier manera, debe asegurarse de que los registros apropiados estén en lugar). También asegúrese de verificar cualquier otro registro estático relacionado con estos hosts, e incluya zonas DNS directas e inversas.
Probablemente no solo deba preocuparse por los registros DNS de Active Directory; si sus controladores de dominio proporcionan información de DNS a servidores secundarios, querrá verificar esa configuración para averiguar qué podría necesitar actualizarse.
VER: La guía para profesionales de TI sobre Windows 10 Fall Creators Update (PDF gratuito) (Tecnopedia)
4. Verifique el archivo de hosts
A primera vista, preocuparse por actualizar su archivo de hosts puede sonar ridículo cuando el DNS es mucho más fácil de administrar y usar. Lo crea o no, el archivo de hosts todavía se usa ampliamente, especialmente en entornos de producción, y este es el más crítico, la falla de DNS puede causar grandes dificultades.
Si tiene docenas o cientos de sistemas potencialmente afectados, verificar el archivo de host de cada computadora puede ser un proceso tedioso. Puede usar un archivo por lotes simple de Windows para manejar esto (tenga en cuenta que debe tener derechos administrativos en el sistema de destino, la unidad C: contiene la carpeta de Windows y se comparte como C$).
- Cree una carpeta llamada c:\resultados.
- Cree un archivo de texto que contenga todos los nombres de host de destino para verificar y guardarlo en c:\results\computers.txt.
- Cree un archivo de texto que contenga esta línea:
FOR /F “tokens=1” %%i en (computers.txt) hacer xcopy \\%%i\c$\windows\system32\drivers\etc\hosts c:\results\%%i.txt
- Guarde el archivo como c:\results\hostck.bat
- Ejecute c:\results\hostck.bat.
Esto accederá al archivo de hosts de cada sistema de destino y lo copiará en la carpeta c:\results, nombrando el archivo después de la computadora en cuestión.
A continuación, puede buscar en la carpeta c:\results cualquier dirección IP relevante que deba cambiarse y hacerlo según sea necesario en los sistemas de destino deseados. Obviamente, no desea hacer esto hasta que haya realizado los cambios reales, una manera fácil de hacerlo es actualizar el archivo de hosts en el directorio c:\results y crear un archivo por lotes llamado hostupdt.bat en c:\ resultados\ Contiene lo siguiente:
FOR /F “tokens=1” %%i en (computers.txt) hacer xcopy c:\results\%%i.txt \\%%i\c$\windows\system32\drivers\etc\hosts /y
5. Software de gestión de configuración
El software de administración de configuración como Puppet o Chef puede conectar la dirección IP/subred del controlador de dominio en alguna parte e incluso puede generar un archivo de hosts.Cambiar estos archivos de host no servirá de mucho si su cliente de administración de configuración simplemente los vuelve a cambiar, así que asegúrese de buscar la dirección IP actual del controlador de dominio
6. Asegúrese de que la red de máquinas virtuales (si corresponde) exista y esté disponible
Si está moviendo el controlador de dominio a otra subred y es una máquina virtual, asegúrese de que esa subred exista en su entorno virtual y esté disponible para el sistema de hipervisor.
Si la subred solo alberga clientes que se comunican con controladores de dominio (que es lo que deberían permitir las reglas de su cortafuegos en el paso n.° 1), no es necesario que agregue esta subred a su dominio virtual, pero si planea hacerlo, entonces podría valer la pena considerar agregar sistemas con los que desea comunicarse directamente con los controladores de dominio, independientemente de los problemas de firewall.
VER: El campeón de código abierto Munich regresa a Windows (PDF gratuito) (Tecnopedia)
7. Crea y ejecuta tu plan
Ahora que los componentes correctos están en su lugar, puede crear y ejecutar su plan. Debe anunciar este trabajo a los usuarios con suficiente anticipación y planear hacerlo fuera del horario laboral con un impacto mínimo.
Asegúrese de actualizar un servidor a la vez con la nueva configuración de red y realice los ajustes en tiempo real según sea necesario, como cambios en el software de configuración, implementaciones de archivos de host o actualizaciones de registros DNS.
Si es posible, supervise el tráfico de la red durante la transición para asegurarse de que los clientes puedan comunicarse con el servidor en la nueva ubicación. Puede intentar hacer ping, ejecutar nslookup en él, acceder al servidor en el explorador de Windows para confirmar que puede ver los recursos compartidos de SYSVOL y NETLOGON, incluso apagar los otros DC y luego confirmar que puede iniciar sesión en el dominio y acceder al recurso de Active Directory.
Después de cambiar todos los controladores de dominio, asegúrese de que otros sistemas que interactúan con ellos se comporten como deberían, como los servidores DNS secundarios. Confirmó que están extrayendo los archivos de zona del DC y, por lo demás, se comportan normalmente.
Si surgen problemas que no se pueden resolver, es posible que deba restaurar el DC a su configuración de red original. No dude en hacer esto, pero asegúrese de que sea solo una situación temporal. Revise estos pasos en el escenario y estudie los síntomas/pistas (como errores en el registro de eventos de DC) para determinar el siguiente curso de acción para completar el proyecto.
Ver también:
