Una vez creado el dominio a través de un primer controlador , es muy  aconsejable agregar un nuevo controlador para obtener ventajas de  seguridad. Un segundo controlador proporciona un sistema de seguridad  adicional en caso de fallo. Además supone un buen balance de carga para  el sistema en caso de que miles de usuarios hagan uso del Directorio  Activo y deba soportar muchas peticiones.
Habitualmente la manera tradicional de agregar un controlador de dominio  a un dominio existente es la instalación de un Windows 2000 Server, 2003  o 2008 y ejecutar la herramienta dcpromo.exe. Los pasos durante la  instalación de este segundo controlador son relativamente sencillos,  guiados a través de un asistente que explica de forma más o menos  detallada cada paso.

Una vez en marcha, comienza la replicación por red de la información  desde el primer controlador original, de forma que se duplica la base  de directorio del Directorio Activo y ambos sistemas poseerán la misma  información. A partir de Windows 2003 se introdujo un nuevo método  (Install From Media, IFM) mucho más efectivo que además obliga a  realizar una copia de seguridad que se utilizará para la replicación. La  táctica consiste en la instalación de un segundo controlador de dominio  a partir de una copia de seguridad del primero, sin necesidad de  replicar la base de datos a través de la red.

Ventajas

Esto es importante con respecto a la seguridad y el rendimiento porque:

* Obliga a realizar una copia de seguridad del controlador primario.  * Impide que la información de replicado se desplace por la red en caso  de que los datos viajen por un canal no seguro.  * Ahorra tiempo y recursos porque no hay necesidad de que los datos se  repliquen por la red. En una LAN quizá esto no suponga un problema, pero  en sistemas de larga distancia, cualquier dato perdido o mal  interpretado puede llegar a crear inconsistencias en las bases de datos.

Creando una copia de seguridad

La utilidad más adecuada en este caso es ntbackup.exe, que viene de  serie en cualquier Windows excepto Vista. En ella se debe indicar que se  quiere realizar una copia de respaldo del “estado del sistema” (opción  solo disponible en los controladores de dominio). Después de unos  minutos, esto creará un archivo con extensión BKF de (como mínimo) unos  500 megabytes.

Este fichero está “protegido” por la contraseña introducida durante el  proceso de instalación del primer controlador de dominio. Este aspecto  es importante porque induce a error. Existe un imperdonable fallo de  traducción en los Windows 2003 que puede llegar a confundir a los  administradores. Durante el proceso de instalación del directorio  activo, el asistente pregunta en un momento dado por la “Contraseña de  modo remoto” en el menú “Contraseña de admin. de Modo de restauración de  directorio”. Esta “Contraseña de modo remoto” es una traducción fallida  de “Restore mode password”, que queda mucho más claro en inglés. Esta  contraseña no debe ser la misma que la de administrador, ni sirve para  presentarse ante ningún recurso de dominio. Tampoco sirve para ningún  tipo de modo remoto. En realidad su utilidad es la de entrar en el modo  seguro del controlador de dominio cuando ha ocurrido algún tipo de error  o se quieren realizar recuperaciones de objetos. También protege al  fichero que acaba de crearse (o sea, para restaurarlo será necesario  conocer la contraseña).

Usando la copia de seguridad en el controlador secundario

El archivo BKF puede ser trasladado a través de cualquier medio seguro  al servidor secundario. Pero no se debe restaurar el archivo al “sitio  original” que aparecerá por defecto al ejecutar ntbackup, sino a una  carpeta separada. De ahí se tomarán los datos para promocionar más tarde  el segundo servidor. Por ejemplo, se debe indicar que se va a restaurar  el “estado del sistema” a una carpeta llamada “RestaurarADTmp”. Esto se  indica en las opciones avanzadas del programa de restauración.

Promocionando finalmente el servidor

Ahora es el momento de promocionar el servidor, pero debe hacerse  también de una manera diferente, arrancando las opciones avanzadas de  dcpromo.exe para poder elegir la opción de instalar el controlador desde  una carpeta de restauración. Esto se consigue con:

dcpromo.exe /adv

De esta forma aparecerá en el asistente una nueva opción que permitirá  elegir de dónde conseguir la información para instalar el controlador de  dominio adicional. Se le debe indicar la carpeta creada a tal efecto (en  este caso RestaurarADTmp), indicarle la contraseña de restauración, y el  dominio será instalado.

La copia de seguridad debe ser descartada, por defecto, antes de 60 días  (para dominios creados antes de Windows 2003 SP1, 180 días para dominios  posteriores). Si se restaura después de ese tiempo, se corre el riego de  sufrir inconsistencias entre los diferentes controladores. Ese es el  valor del tombstone (lápida), tiempo de “vida” de los objetos borrados,  o sea, el tiempo que permanecen en una especie de papelera desde donde  se pueden recuperar. Este valor también sirve para evitar el riesgo de  replicaciones entre controladores que no se han comunicado en todo ese  tiempo.

Opina sobre esta noticia:
http://www.hispasec...aaldia/3908/comentar

Más información:

una-al-dia (25/06/2009) Mitos y leyendas: El Directorio Activo (I) (Conceptos)
http://www.hispasec.com/unaaldia/3897

Sergio de los Santos
ssantos arroba hispasec.com

Fuente: http://hispasec.com

Entradas relacionadas

1. Mitos y leyendas: El Directorio Activo (I) (Conceptos)
2. Mitos y leyendas: El Directorio Activo (III) (Última configuración buena conocida)
3. Mitos y Leyendas: Cifrado EFS en Windows
4. Mitos y leyendas: UAC, ese gran incomprendido III (UAC y la ley del mínimo privilegio)
5. Directorio compartido