Instalar un DC adicional en un dominio existente desde Powershell
El controlador de dominio en una organización es una máquina crítica, debido a ello se debe tener redundancia en dicha máquina, es por esto por lo que se añade un segundo DC para apoyar al controlador principal. Aparte de la seguridad, también nos aporta un mayor rendimiento, ya que se podrían distribuir las conexiones de los clientes entre ellos.
En el nuevo DC se deberá almacenar una copia de lectura/escritura de NTDS.DIT y SYSVOL.
NTDS.DIT es la base de datos del Directorio Activo y contiene varias particiones:
- Esquema: Contiene definiciones de todos los objetos y atributos del Directorio Activo.
- Dominio: Contiene todos los objetos del domino, usuarios, grupos, unidades organizativas, equipos, etc. También incluye la configuración del sistema relacionada con el dominio. Suele ser la partición más grande, ya que almacena todos los objetos que contiene el dominio.
- Configuración: También se replica a todos los controladores de dominio del bosque, y contiene información sobre los dominios que integran el bosque, incluye también información sobre los servicios de todo el bosque, como la autorización del DHCP y las plantillas de certificados.
- Aplicación: Utilizada por aplicaciones en el dominio para almacenar ciertos objetos. Por ejemplo, el DNS crea dos particiones de aplicación DomainDNSZones y ForestDNSZones.
SYSVOL: Contiene todas las configuraciones de las plantillas y los archivos para las GPO.
Antes de agregar un nuevo controlador de dominio a un dominio existente, la máquina que añadiremos como un controlador de dominio adicional, deberá tener realizada unas configuraciones previas para poder desempeñar ese papel:
- Configuración de las características de red.
- El servidor DNS deberá ser el controlador del dominio principal.
- Deberá tener instalado el rol de “Servicios de dominio de Directorio Activo”.
Algunas opciones para añadir un nuevo controlador:
- Entorno gráfico.
- Powershell.
- IFM (Install From Media).
¿Qué ventajas nos aporta tener un controlador de dominio adicional?
- Mantenemos una réplica constante.
- Tolerancia a fallos, ya que podemos dar servicio, aunque falle uno de ellos.
- Distribución de la carga entre los dos controladores.
Hay más factores a tener en cuenta en caso de que el controlador principal dejará de estar operativo, como por ejemplo los maestros de operaciones, estos se deben de transferir, cada uno de ellos desempeña un papel importante en el bosque/dominio. Si disponemos de más de un controlador de dominio se suelen distribuir para que un controlador de dominio no sea un SPOF (Single Point of Failure).