7 consejos para migraciones exitosas de la red del controlador de dominio
Los controladores de dominio de Active Directory (DC) son probablemente los tipos de servidores más reacios al cambio que existen. Utilizados para autenticar usuarios y dispositivos en el dominio, es mejor configurarlos y dejarlos tal como están, especialmente cuando se trata de su nombre de host o detalles de red.
Aunque es bastante obvio decir que cambiar el nombre de un controlador de dominio casi nunca será necesario, desafortunadamente, puede llegar un momento en el que debas cambiar la configuración de red. Tal vez se esté reorganizando o eliminando una subred, se haya producido una adquisición empresarial y se estén introduciendo nuevas subredes en las que se deben consolidar los controladores de dominio, o puede haber otros factores en juego.
Si tienes controladores de dominio redundantes configurados (como cualquier profesional de TI experimentado debe hacer), mover uno a una subred diferente es fácil. Los problemas pueden surgir cuando ambos se trasladan y las computadoras cliente siguen buscando, y no pueden encontrar, los controladores de dominio en sus antiguas direcciones IP. No lo recomiendo, ya que puede causar todo tipo de problemas de conectividad o incluso interrupciones, pero si debe hacerse, hay un camino por recorrer con cuidado.
- 1. Verifica y establece tus reglas de firewall
- 2. Configura los sitios y subredes en AD
- 3. Presta atención a las consideraciones de DNS
- 4. Verifica los archivos de host
- 5. Software de gestión de configuración
- 6. Asegúrate de que las redes de las máquinas virtuales (si corresponde) existan y estén disponibles
- 7. Desarrolla y ejecuta tu plan
1. Verifica y establece tus reglas de firewall
Las reglas del firewall, especialmente en entornos complejos, es probable que sean una gran dificultad. Debes asegurarte de que el tráfico entre las subredes necesarias sea apropiado para la comunicación entre clientes y controladores de dominio, y posiblemente entre controladores de dominio y otros controladores de dominio. Ya sea que estés configurando nuevo acceso o simplemente ampliando lo que ya tienes, este es un elemento clave; de lo contrario, verás un comportamiento muy extraño y confuso por parte de los sistemas que intentan comunicarse con los DC.
Como mínimo, los siguientes puertos deberán estar abiertos:
| TCP/UDP | Puerto |
| TCP | 53 |
| UDP | 53 |
| TCP | 88 |
| UDP | 88 |
| UDP | 123 |
| TCP | 135 |
| UDP | 135 |
| TCP | 389 |
| UDP | 389 |
| TCP | 445 |
| TCP | 464 |
| UDP | 464 |
| UDP | 749 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
Microsoft también indica que "en un dominio que consta de controladores de dominio basados en Windows Server(r) 2003, el rango de puertos dinámicos predeterminado es de 1025 a 5000. Windows Server 2008 R2 y Windows Server 2008, en cumplimiento con las recomendaciones de la Autoridad para la Asignación de Números en Internet (IANA), ampliaron el rango de puertos dinámicos para las conexiones. El nuevo puerto de inicio predeterminado es 49152 y el nuevo puerto final predeterminado es 65535".
Cómo garantizar la validación local de los clientes en un dominio multi-sitioEste es un rango bastante amplio y puede que no sea todo lo que necesitas, así que comprueba ese enlace de Microsoft anterior y asegúrate de que se haya otorgado el acceso adecuado.
2. Configura los sitios y subredes en AD
Si en realidad estás cambiando la subred del controlador de dominio, es importante seguir este paso (si solo estás cambiando la dirección IP pero manteniéndola en la misma red, puedes saltarte esto).
Active Directory utiliza sitios y subredes definidos para comunicación, replicación y otras tareas que operan detrás de escena. Esta guía explica cómo configurarlos.
Es fundamental configurar las subredes adecuadas en Active Directory para garantizar el correcto funcionamiento continuo de tu entorno. Agrega subredes según sea necesario y verifica nuevamente para asegurarte de que todo esté configurado como debería estar. Por supuesto, no elimines ninguna subred próxima a ser retirada (si corresponde) hasta que realmente esté fuera de servicio.
3. Presta atención a las consideraciones de DNS
Los registros DNS son uno de los factores más importantes para garantizar que los clientes puedan comunicarse con los controladores de dominio. Cuando cambias la dirección IP del controlador de dominio, los registros DNS deben actualizarse, siempre y cuando estés utilizando DNS dinámico. Sin embargo, los registros estáticos deberán ajustarse manualmente en el momento del cambio (de cualquier manera, debes confirmar que los registros adecuados estén en su lugar). Asegúrate también de buscar cualquier otro registro estático relacionado con estos hosts, tanto en la zona de DNS hacia adelante como hacia atrás.
No solo debes preocuparte por los registros DNS de Active Directory; si tus controladores de dominio están proporcionando información de DNS a servidores secundarios, debes examinar la configuración de estos últimos para averiguar qué podría necesitar actualizarse.
Cuál es la mejor opción de protocolo de enrutamiento para una red empresarial4. Verifica los archivos de host
A simple vista, puede parecer absurdo preocuparse por actualizar los archivos de host cuando DNS es mucho más fácil de administrar y usar. Aunque no lo creas, los archivos de host todavía se utilizan mucho, especialmente en entornos de producción, los más críticos de todos, donde una falla en DNS puede causar grandes dificultades.
Si tienes docenas o cientos de sistemas que podrían verse afectados, verificar el archivo de host de cada máquina puede ser un proceso tedioso. Podrías usar un simple archivo por lotes de Windows para encargarse de eso (ten en cuenta que debes tener derechos de administrador en los sistemas objetivo, la unidad C: contiene la carpeta de Windows y se ha compartido como C$).
- Crea una carpeta llamada c:\results.
- Crea un archivo de texto que contenga todos los nombres de host objetivo que debes verificar, luego guárdalo en c:\results\computers.txt.
- Crea un archivo de texto que contenga esta línea:
FOR /F "tokens=1" %%i in (computers.txt) do xcopy \\%%i\c$\windows\system32\drivers\etc\hosts c:\results\%%i.txt
- Guarda el archivo como c:\results\hostck.bat
- Ejecuta c:\results\hostck.bat.
Esto accederá al archivo de host de cada sistema objetivo, luego lo copiará a la carpeta c:\results y nombrará el archivo según la computadora en cuestión.
Luego puedes buscar en la carpeta c:\results las direcciones IP relevantes que puedas necesitar cambiar, y hacerlo en los sistemas objetivo deseados según sea necesario. Obviamente, no querrás hacer esto hasta que se haya realizado el cambio real, y un método sencillo para hacerlo es actualizar los archivos de host en el directorio c:\results, luego crea un archivo por lotes allí llamado c:\results\hostupdt.bat con el siguiente contenido:
FOR /F "tokens=1" %%i in (computers.txt) do xcopy c:\results\%%i.txt \\%%i\c$\windows\system32\drivers\etc\hosts /y
Los 8 pasos para solucionar problemas de red y sistemas5. Software de gestión de configuración
El software de gestión de configuración, como Puppet o Chef, puede tener las direcciones IP/subred del controlador de dominio cableadas en algún lugar, tal vez incluso para generar archivos de host. No te servirá de mucho cambiar esos archivos de host si tu cliente de gestión de configuración simplemente los cambia nuevamente, así que asegúrate de buscar las direcciones IP actuales de tus controladores de dominio.
6. Asegúrate de que las redes de las máquinas virtuales (si corresponde) existan y estén disponibles
Si mueves un controlador de dominio a otra subred y este es una máquina virtual, asegúrate de que la subred exista en tu entorno virtual y esté disponible para los sistemas hipervisor.
No necesariamente tendrás que agregar esta subred a tu entorno virtual si solo aloja clientes que se comunicarán con los controladores de dominio (eso es lo que tus reglas de firewall deben permitir en el paso #1), pero puede valer la pena considerarlo si planeas agregar sistemas que deseas que se comuniquen directamente con los controladores de dominio sin tener en cuenta consideraciones de firewall.
7. Desarrolla y ejecuta tu plan
Ahora que tienes todos los componentes adecuados en su lugar, puedes desarrollar y llevar a cabo tu plan. Debes anunciar el trabajo a los usuarios con anticipación y planificar hacerlo después de horas para que tenga el menor impacto posible.
Asegúrate de actualizar un servidor a la vez con la nueva configuración de red y realiza ajustes en tiempo real según sea necesario, como cambios en el software de configuración, implementaciones de archivos de host o actualizaciones de registros DNS.
Si es posible, monitorea el tráfico de red durante el proceso de conversión para garantizar que los clientes puedan comunicarse con el servidor en su nueva ubicación. Podrías intentar hacer ping, ejecutar comandos nslookup en él, acceder al servidor en el Explorador de Windows para confirmar que puedes ver las comparticiones SYSVOL y NETLOGON, o incluso apagar los otros controladores de dominio y confirmar que puedes iniciar sesión en el dominio y acceder a los recursos de Active Directory.
Diferencias entre redes cliente/servidor y peer-to-peerUna vez que hayas cambiado todos tus controladores de dominio, asegúrate de que otros sistemas que interactúan con ellos estén funcionando correctamente, como los servidores DNS secundarios. Confirma que se están descargando los archivos de zona desde los controladores de dominio y que, en general, se comportan de manera normal.
Si surgen problemas que no se pueden resolver, es posible que debas revertir el controlador de dominio a su configuración de red original. No dudes en hacerlo, pero asegúrate de que sea solo una situación temporal. Revisa estos pasos en ese escenario e investiga los síntomas/claves, como errores en los registros de eventos del controlador de dominio, para determinar el siguiente curso de acción para completar el proyecto.
Consulta también:
- Google lanza Chrome Enterprise con mayor seguridad e integración de Active Directory (Newsmatic)
- Cómo utilizar Directiva de grupo para resolver bloqueos de cuenta de Active Directory (Newsmatic)
- Cómo utilizar Server Manager para establecer una línea base con tu hardware de Windows (Newsmatic)
- Microsoft agrega soporte de Windows Hello para usuarios locales de Active Directory (ZDNet)
Qué son los switches Cisco y cómo funcionanEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a 7 consejos para migraciones exitosas de la red del controlador de dominio , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados