07. Creación de un controlador de dominio secundario.

El proceso de creación de un controlador de dominio secundario es relativamente sencillo si ya

sabemos como se crea y se configura un controlador de dominio primario, ya que la configuración
inicial y la instalación de los roles es la misma. La principal diferencia radica en la configuración a
la hora de promocionar el equipo servidor a controlador de dominio.
Recordemos que hasta este momento tenemos configurado un controlador de dominio primario, que
tendrá el catálogo global. Al ser controlador de dominio tiene instalado el rol y la base de datos de
Servicios de Dominio de Active Directory (AD DS). Además, como en el dominio no existía ningún
servidor DNS, también hemos instalado el rol DNS y hemos configurado este servicio para que
funcione de una manera más eficiente.
La estructura general de dominio que queremos conseguir hasta el momento es la mostrada en la
siguiente figura:

De esta figura, actualmente server00 está completamente funcional y tenemos que realizar la
configuración del server02, que actuará como DC secundario. Por último, incluiremos en el
dominio un tercer equipo cliente (Cliente01) para que haga pruebas de conexión y DNS.
De forma resumida, los pasos para la creación del DC secundario serían:
1. Configurar la dirección IP del equipo y configurar firewall.
2. Comprobar la comunicación con el PDC.
3. Cambiar nombre de equipo y entrar en el dominio.
4. Comprobar desde el PDC que se ha incluido el equipo al dominio.
5. Agregar el rol AD DS.
 6. Promover el equipo a DC secundario.
7. Comprobar en el PDC que aparece este nuevo DC en la lista de controladores de dominio.
8. Comprobar la configuración DNS.
Vamos a explicar de una forma más detallada cada uno de estos pasos. Nota: En estas explicaciones
se suprimen muchas imágenes y se explican los diferentes parámetros de forma más superficial
porque ya tenemos estas mismas explicaciones en los tutoriales anteriores del proceso de creación
del PDC.
Configurar la IP del equipo y configurar el firewall.
La primera acción a realizar es configurar la tarjeta de red del equipo. Para ello tenemos que
establecer los diferentes parámetros como se indica a continuación:
• Dirección IP: será la IP del equipo dentro de la red, se elige una dentro del rango de
direcciones con las que trabajaremos. En el ejemplo la dirección 192.168.2.202.
• Máscara de subred: la de las redes de clase C, 255.255.255.0.
• Puerta de enlace: la dirección del router que nos provee Internet. En el ejemplo:
192.168.2.1.
• DNS primario: dirección IP del PDC. En mi ejemplo sería 192.168.2.201.
• En las opciones avanzadas, vamos a DNS y ponemos en el sufijo DNS el sufijo de nuestro
dominio. En el ejemplo sería “info.mvt”.
Además de esta configuración tendremos que entrar en la configuración del firewall y crear una
nueva regla de entrada para que permita la comunicación con los equipos de la red privada y del
dominio de nuestro rango de direcciones IP. El proceso está explicado en los tutoriales anteriores.
En el ejemplo voy a permitir a las direcciones desde la 51 hasta la 254.
Comprobar la comunicación con el PDC.
Una vez configurada la red del equipo y el firewall, tenemos que realizar diferentes “pings” de
comunicación entre los dos equipos, en ambos sentidos. Es importante que la comunicación
funcione en ambos sentidos.
Cambiar el nombre del equipo y entrar en el dominio.
El siguiente paso sería cambiar el nombre del equipo por un
nombre adecuado para nuestro controlador de dominio
secundario, en el ejemplo le hemos puesto el nombre
SERVER02. Cuando le cambiamos el nombre también le
cambiamos el ámbito de trabajo del equipo y lo pasamos de un
grupo de trabajo a que pertenezca a nuestro dominio. En el
ejemplo “info.mvt”. Este cambio de acceso al dominio hará
que la posterior configuración de este equipo a controlador de
dominio secundario sea mucho más sencilla.
Cuando aceptemos este cambio nos pedirá las credenciales de
acceso al dominio. Tenemos que poner el usuario
“Administrador” y la clave que tenga. Es importante recordar
que este sería el administrador del dominio que ya está configurado en nuestro PDC y no el
administrador de nuestra cuenta local.

Una vez que aceptemos tendremos que reiniciar el equipo y ya formaría parte del dominio. Lo cual
podemos comprobarlo en el siguiente inicio del sistema. Ya entraremos en el sistema con el usuario
“Administrador” y la clave del PDC.
Comprobar desde el PDC que se ha incluido el equipo al dominio.
Desde el momento en que se reinicia el equipo y entramos en el dominio, ya formamos parte de él
por lo que tiene que aparecer este equipo en la base de datos de AD DS.
Para comprobar que lo hemos hecho correctamente tendremos que acceder a nuestro PDC. En el
PDC consultamos en las herramientas administrativas y ejecutamos el “Centro de
administración de Active Directory”. Desde esta herramienta podremos buscar los objetos que
contiene AD, así que buscaremos en este caso los equipos que forman parte del dominio.
Para ello, una vez abierta la herramienta seleccionamos nuestro dominio “info (local)” y hacemos
doble click en “computers”. Nos mostraría todos los equipos del dominio:

Puedo comprobar que el equipo “SERVER02” ya forma parte del dominio, aunque hasta ahora es
un equipo cliente y no sería un controlador de dominio.
Agregar el rol de AD DS al equipo.
Es el momento de agregar el rol AD DS al equipo. El procedimiento para hacerlo sería:
1. Abrimos el Administrador del servidor.
2. Pulsamos en Herramientas → Agregar roles y características.
3. Seleccionamos el rol “Servicios de Dominio de Active Directory”.
4. Nos aparece las características que requiere y aceptamos.
5. Pasamos el resto de páginas hasta instalar.
Es un proceso bastante simple y es exactamente igual al que ya hemos hecho en el PDC, por eso no
se indican capturas de pantalla de este proceso. Ahora pasamos a promocionar el equipo a
controlador de dominio.
Promover el equipo a DC secundario.
Al acabar la instalación de AD DS nos salta una advertencia de que tenemos que promocionar el
equipo a controlador de dominio, así que procedemos a ello.
En la primera página, seleccionamos la opción por defecto que nos permite añadir este controlador a
un dominio ya existente y aparece el dominio de forma automática. Esto ocurre porque ya nos
hemos dado de alta en el dominio previamente. Le damos a siguiente.

En la siguiente página marcamos las opciones para que sea servidor DNS y para que tenga una
copia del catálogo global. Definimos una contraseña para restauración ante catástrofes y siguiente.

La página de DNS nos indica una advertencia, la obviamos y continuamos. Este problema se
arreglará con la instalación completa del servicio.
En la siguiente página de “Opciones adicionales” podríamos indicar que se copiara el catálogo
global desde un medio de almacenamiento local (IFM), lo cual es conveniente en instalaciones
lentas. En nuestro caso no lo activamos e indicamos que se replique desde “SERVER00”.

El resto de opciones las revisamos y avanzamos hasta instalar todas las dependencias y así tener
nuestro nuevo controlador de dominio.
Cuando acaba la instalación, el equipo se reinicia y pasa a ser un nuevo controlador de dominio.
Comprobar en el PDC que aparece este nuevo DC en la lista de controladores de dominio.
Ahora es el momento de iniciar nuestro PDC y comprobar que este nuevo controlador de dominio
ya aparece en la lista. Para comprobarlo abrimos la herramienta “Centro de administración de
Active Directory”.

En esta herramienta entramos en el servidor local y buscamos la OU “Domain Controllers”

Comprobamos que aparecen los dos controladores de dominio.
Comprobar la configuración DNS.
El último paso sería comprobar la configuración DNS de nuestro DC secundario. Para acceder a
este servicio tenemos que ir a “Herramientas administrativas” y seleccionar “DNS”. Una vez dentro
tenemos que comprobar que se ha creado correctamente las zonas de búsqueda directa e inversa y
tenemos los reenviadores a los servidores de Google.
Tenemos que comprobar que en ambas zonas de búsqueda aparecen los dos servidores.

Por último comprobar los reenviadores hacia los DNS de Google:

Si todo es correcto ya tendríamos nuestros controladores de dominio listos para gestionar todo el
dominio.