Mientras continuo preparando cosillas sobre Cisco, aquí os dejo un link muy interesante donde encontraréis bastante información sobre manuales de Cisco, especialmente CCNA y otra documentación que seguro que os será de bastante utilidad.
http://www.garciagaston.com.ar
No se me ha olvidado, os debo una segunda parte de Configuración y Tuning de Directorio Activo, no os defraudara. Saludos a todos.
Mientras voy terminando la segunda parte del articulo de Configuración y Tuning de Active Directory, he pensado que para no relajarnos puede venir bien este pequeño articulo de como ampliar de forma limpia y segura el esquema de nuestro Active Directory.
Existen multitud de aplicaciones y servicios que para poder ser instalados y puestos en producción requieren que previamente se realice una ampliación de nuestro Active Directory. Exchange, SMS y Office Communicator Server son algunos de los servicios que requieren la ampliación del esquema de nuestro Active Directory. También cuando migramos un dominio de Windows 2000 Server a Windows Server 2003 es necesario modificar el esquema, incluso cuando se va a agregar un servidor con Windows Server 2003 R2 como controlador de dominio cuando los demás servidores son anteriores a R2, hay que realizar esta operación.
Cuando solo tenemos un controlador de dominio la única opción que tenemos es, realizar un backup completo del servidor, seguir el procedimiento de ampliación de esquema según el producto que vayamos a instalar y rezar para que no falle y tengamos que restaurar a partir de la copia de seguridad que acabamos de hacer. Cuando tenemos varios controladores de dominio Microsoft hace una recomendación muy importante, aislar el controlador de dominio donde se va a realizar la operación.
Aquí me gustaría hacer una observación, para aislar un DC y que este no replique contra el resto ni el resto contra el, no es necesario apagar los demás DCs ni desconectar este de la red. Si, como lo estáis leyendo, hay gente que hace esto. Bueno de esta forma estamos seguros que este DC queda aislado, pero hay que preocuparse de demasiadas cosas que pueden provocar el error, que este DC sea DNS, Schema Master etc. Desde mi punto de vista esto es matar moscas a cañonazos.
Bien, ¿cómo ampliamos nuestro esquema de una forma limpia y sencilla?, vamos a ello. Accedemos al servidor que es Schema Master, este tiene que tener instaladas las support tools. Nuestro usuario ha de ser Administrador de Dominio y Administrador de Esquema y una vez allí, pasamos a deshabilitar la replicación entrante y saliente con el siguiente comando:
REPADMIN /OPTIONS SERVERNAME +DISABLE_INBOUND_REPL -> Detiene la replicación Entrante
REPADMIN /OPTIONS SERVERNAME +DISABLE_OUTBOUND_REPL -> Detiene la replicación Saliente
Una vez hecho esto nuestro servidor dejara de replicar contra el resto de DCs y el resto dejara de replicar contra él, es posible que veamos en algún visor de eventos errores de replicación, pero evidentemente tenemos que tomarlo como algo normal. Una vez hecho esto ya podemos ampliar el esquema por el procedimiento que indique el producto y realizando las pruebas pertinentes . Yo lo que suelo hacer es, dejar deshabilitada la replicación durante un tiempo razonable y comprobar que el DC continua dando servicio sin que aparezcan errores graves en el visor de eventos. Una vez que todo esta correcto volvemos a activar la replicación con el siguiente comando:
REPADMIN /OPTIONS SERVERNAME -DISABLE_INBOUND_REPL -> Activa la replicación Entrante
REPADMIN /OPTIONS SERVERNAME -DISABLE_OUTBOUND_REPL -> Activa la replicación Saliente
A continuación comprobamos que el servidor replica de forma correcta, cuando esto ocurra ya podremos respirar tranquilos. De esta forma nos aseguramos que si algo sale mal, no será replicado a los demás DCs y no necesitamos apagar servidores ni desconectar nada de la red, el servidor sigue trabajando de forma normal pero ni envía datos ni los recibe. ¿Y que hacemos si algo sale mal?, bueno, podemos reinstalar la máquina una vez que la desconectamos de la red y hacer un restore del backup previo. Yo personalmente, prefiero desconectar el servidor, reisntalar y en lugar de recuperar el restore, elimino el objeto de servidor del dominio con ntds util y lo promociono desde cero. Con esto nos aseguramos de que el Controlador de Dominio está limpio, no olvideis que antes hemos tenido que asumir el rol de Schema Master en otro DC.
Creo que este procedimiento es el más limpio de todos y el más seguro, dejo para otras ocasiones el como eliminar objetos con ntds util y algún otro punto de este articulo que he pasado por encima pero, el objetivo era indicar como detener la replicación de un DC si afectar a su funcionamiento. Espero que os sea de utilidad y como siempre espero vuestros comentarios.
Hola a todos, como lo prometido es deuda, voy con un pequeño artículo de tuning de Active Directoy, aunque sobre este tema se podrían escribir páginas y páginas enteras, voy a intentar resaltar algunos ejemplos importantes con los que me he encontrado.
Para comenzar, creo que es bueno recordar algunos puntos de configuración básicos que, aunque de seguro muchos de vosotros ya sabréis, es importante mencionarlos pues no en pocos sitios me he encontrado que estas reglas no se siguen como se debe.
Versión de Sistema Operativo
En primer lugar una de las más importantes recomendaciones que hace Microsoft es que todos los controladores de dominio sean la misma versión de sistema operativo y que todos estén al mismo nivel de parcheado, como todos sabréis la única versión en la que no podréis instalar un controlador de dominio es en un Windows 2003 Server Web Edition. No sería la primera vez que encontramos problemas diversos porque un servidor tiene una versión de SP diferente a la de sus compañeros de replicación.
Configuración de DNS
Otro de los puntos importantes que hay que tener en cuenta a la hora de configurar nuestro dominio es la configuración de los DNS, no solamente en los servidores, también en los clientes. En muchas redes pequeñas con uno o dos controladores de dominio, nos hemos encontrado que los PC’s no aplican bien las políticas o aparecen errores a la hora de acceder a los recursos. Lo ideal en este caso es que, si tenemos un solo controlador de dominio, en este tiene que estar montado el servicio DNS, en la configuración de red del servidor hay que configurar su propia IP como primer servidor DNS y dentro de la consola del servicio DNS, configurar en los reenviadores los servidores DNS del proveedor de servicios de internet. Es importante que esto este así, ya que nos podría dar muchos problemas a la hora de aplicar políticas entre otras cosas.
Los clientes deben tener en su configuración de red como servidores DNS primario y secundario los Controladores de Dominio que ejerzan esta función, nunca y en ningún caso los servidores DNS del proveedor de servicios de internet, estos estarán configurados en los reenviadores de los DNS como ya he mencionado. Si un usuario tiene que salir a internet, la secuencia será la siguiente, el usuario del dominio empresa.local quiere visitar la web www.heroescertificados.com, este preguntara a su DNS, que es el Controlador de Dominio, como este será incapaz de resolver este nombre, utilizara las direcciones colocadas en los reenviadores para intentar resolverlo y hará la petición a los DNS del proveedor. Una de las ventajas que aportó Windows 2003 Server en su momento con respecto al 2000 es el reenvío condicional.
Para todos aquellos que trabajéis en un dominio en Windows 2000 o que por motivos concretos tengáis que montarlo tenéis que tener muy presente que en el DNS hay que eliminar la zona punto. Esto es muy importante ya que si no lo hacéis, este será un servidor DNS Raíz, por lo cual no se puede configurar los reenviadores y si este servidor no conoce un nombre, contestara de forma autoritativa que ese nombre no existe.
Maestro de Infraestructuras y Catálogo global
Como ya sabréis en un dominio existen cinco roles FSMO, estos son el Maestro de Esquema y el Maestro de nombres de dominio, este ultimo debería estar en un Controlador de Dominio que sea catálogo global y ambos son únicos en el bosque. Aquellos que son únicos en cada dominio son el Maestro de Identificadores Relativos (RID Master), emulador de PDC y maestro de infraestructuras. Cada uno tiene una función importantísima y tienen que estar presentes.
Lo que yo sabía desde Windows 2000 Server, es que tenias que configurar un catálogo global por site y solo en el caso en el que haya un solo DC no han de coincidir en un mismo servidor un catálogo global y el maestro de infraestructura. Hasta aquí, en Windows Server 2003 ocurre lo mismo, el maestro de infraestructura no ha de coincidir con un catálogo global ya que si esto es así, este rol no funcionaria. Algo que me llamo mucho la atención en una de las revisiones de Active Directory en las que participé, es que Microsoft nos recomendó que colocáramos todos los Controladores de Dominio excepto el maestro de infraestructura como catálogo global. Si os soy sincero, no dieron muchas explicaciones, la pregunta que rápidamente se me ocurrió fue, ¿y esto porque?, su respuesta fue rotunda, ¿y porque no?.
Como mi memoria en ciertos casos es algo limitada, acudí a mi compañero Jesús M. Nacimiento, la explicación tiene toda la lógica del mundo. El catálogo global está diseñado para responder al usuario y a las preguntas de programa, sobre los objetos situados en cualquier lugar del árbol de dominio o bosque a la mayor brevedad posible. Si tenemos recursos suficientes entre los controladores de dominio y la replicación no es una carga para nuestro ancho de banda, ¿para qué voy a preguntar algo a un DC que no tendrá esta información, cuando puedo tener todos mis DCs con la respuesta correcta?. Esto ya es algo que tendréis que determinar vosotros y saber cuándo vuestro ancho de banda puede soportar la carga de replicación que esto puede generar.
Exclusiones en el análisis del antivirus
Otro error muy típico es instalar nuestro antivirus y no realizar ningún tipo de ajuste a su funcionamiento. Existen una serie de ficheros en un controlador de dominio que no deberían ser revisados por el antivirus ya que no tienen riesgo de infección y su análisis podría causar problemas por bloqueo de los mismos.
Los ficheros a excluir correspondientes a un DC son los siguientes:
Configuración de Hora
Otro tema importante es la sincronización de hora, en un dominio, los controladores de dominio han de sincronizar la hora contra el DC que tenga el ROL de PDC Emulator. A su vez, todos los clientes y servidores del dominio han de sincronizar su hora contra su LOGONSERVER ya que como sabréis, si hay un desfase superior a X segundos no se producirá la validación. Por defecto este valor está establecido en 300 segundos. Para que se cumpla esta jerarquía, todos los DCs del dominio tienen que tener establecido el método de sincronización como NT5DS excepto el servidor con el rol de PDC Emulator que tiene que estar en NTP. Para poder cambiar este valor tenemos que acudir a las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\
Para el DC que es PDC Emulator
Type = NTP, NtpServer = A.B.C.D,0x8 (dirección IP del servidor para la sincronización de hora, actualmente creo recordar que se puede sincronizar contra los servidores NTP de la red iris hora.rediris.es )
Para el resto de DCs
Type = NT5DS,
Estas son algunas recomendaciones, intentare recopilar las KBs donde podreis encontrar algo más de información sobre lo que os acabo de contar. Por el momento lo voy a dejar aquí, en breve os incluiré más cosas interesantes de cara a depurar el rendimiento de nuestro directorio activo. Espero que os sea de utilidad. Gracias a todos y espero vuestros comentarios.
