viernes, 3 de abril de 2009

Windows 2008: Parte 4: Controladores de Dominio de sólo lectura (RODC) y DHCP

Una prestación nueva e interesante de Windows 2008 son los Controladores de Dominio de Sólo Lectura (Read Only Domain Controller). Este tipo de Controlador de Dominio tiene dos particularidades básicas:
  • No pueden ser origen de replicación, por tanto, no podemos usarlos para tareas de administración porque sólo pueden recibir cambios del Active Directory.
  • Permiten definir que sólo se repliquen las contraseñas de una parte del Active Directory. Esta funcionalidad es interesante para sedes remotas que necesiten un DC, pero éste no esté debidamente securizado y no haya administrador local. Así, si nos comprometen el servidor y se llevan los archivos de AD para un ataque de fuerza bruta, sólo tendrán acceso a una parte de las contraseñas.
Sin embargo, los RODC sí pueden tener el resto de funciones habituales de un DC: servidor DNS, servidor DHCP, e incluso Servidor de ficheros. El típico escenario donde encajarían los RODC sería el siguiente:


Tenemos la infraestructura principal de servidores en un Data Center/Hub: el primer DC y FSMO, servidor Exchange Hub, Sharepoint, etc.
En cada sede/Branch Office tenemos un RODC contra el que se autentican los clientes locales, un servidor de ficheros, un servidor Mailbox de Exchange, etc.

Implementando una infraestructura similar a la del gráfico me he encontrado el siguiente problema con el servicio DHCP:

Si el primer servidor DHCP del dominio lo instalamos en un RODC, la instalación se desarrolla normalmente, pero falla al final y el servicio DHCP no arranca, obteniéndose el siguiente y críptico mensaje de error:

"Attempt to configure DHCP Server failed. The DHCP Server service could not be started in a timely manner".

La explicación es que al hacer la instalación del primer servidor DHCP de un dominio se modifica el esquema del Active Directory y se crean una serie de grupos. Posteriormente, cuando añadamos más servidores DHCP en el dominio, tendremos que realizar la autorización del servidor DHCP dentro del Active Directory: Todo servidor perteneciente a un dominio que queramos configurar como servidor DHCP debe estar autorizado para serlo, porque, entre otras cosas, un servidor DHCP está autorizado para crear registros en el DNS (las IP's que va otorgando a los clientes que la solicitan).

Al hacer la instalación del primer DHCP Server del dominio en un RODC, éste intenta realizar las modificaciones antes comentadas sobre su copia local de AD y, al no poder escribir sobre ella, la instalación falla al final.

La solución es instalar el rol de DHCP server primero en un servidor miembro o en un Controlador de Dominio de Lectura/Escritura (un servidor del Data Center en el escenario anterior). De esta manera, al hacer esta primera instalación se crean los grupos necesarios y se modifica el esquema y, al añadir el rol de DHCP a un RODC, éste ya se encuentra el Active Directory preparado para albergar su nueva función sin problemas.

2 comentarios:

  1. Fantástico. Gracias por la información. Estas son las cosas que realmente ahorran horas de trabajo...

    ResponderEliminar
  2. Uf me ha costado entenderlo, pero al final me he quedado con la idea, estupendo blog. Me lo apunto para mi trabajo. Saludos.

    ResponderEliminar