Ampliar el Esquema de AD de forma segura

Mientras voy terminando la segunda parte del articulo de Configuración y Tuning de Active Directory, he pensado que para no relajarnos puede venir bien este pequeño articulo de como ampliar de forma limpia y segura el esquema de nuestro Active Directory.

Existen multitud de aplicaciones y servicios que para poder ser instalados y puestos en producción requieren que previamente se realice una ampliación de nuestro Active Directory. Exchange, SMS y Office Communicator Server son algunos de los servicios que requieren la ampliación del esquema de nuestro Active Directory. También cuando migramos un dominio de Windows 2000 Server a Windows Server 2003 es necesario modificar el esquema, incluso cuando se va a agregar un servidor con Windows Server 2003 R2 como controlador de dominio cuando los demás servidores son anteriores a R2, hay que realizar esta operación.

Cuando solo tenemos un controlador de dominio la única opción que tenemos es, realizar un backup completo del servidor, seguir el procedimiento de ampliación de esquema según el producto que vayamos a instalar y rezar para que no falle y tengamos que restaurar a partir de la copia de seguridad que acabamos de hacer. Cuando tenemos varios controladores de dominio Microsoft hace una recomendación muy importante, aislar el controlador de dominio donde se va a realizar la operación.

Aquí me gustaría hacer una observación, para aislar un DC y que este no replique contra el resto ni el resto contra el, no es necesario apagar los demás DCs ni desconectar este de la red. Si, como lo estáis leyendo, hay gente que hace esto. Bueno de esta forma estamos seguros que este DC queda aislado, pero hay que preocuparse de demasiadas cosas que pueden provocar el error, que este DC sea DNS, Schema Master etc. Desde mi punto de vista esto es matar moscas a cañonazos.

Bien, ¿cómo ampliamos nuestro esquema de una forma limpia y sencilla?, vamos a ello. Accedemos al servidor que es Schema Master, este tiene que tener instaladas las support tools. Nuestro usuario ha de ser Administrador de Dominio y Administrador de Esquema y una vez allí, pasamos a deshabilitar la replicación entrante y saliente con el siguiente comando:

REPADMIN /OPTIONS SERVERNAME +DISABLE_INBOUND_REPL -> Detiene la replicación Entrante
REPADMIN /OPTIONS SERVERNAME +DISABLE_OUTBOUND_REPL -> Detiene la replicación Saliente

Una vez hecho esto nuestro servidor dejara de replicar contra el resto de DCs y el resto dejara de replicar contra él, es posible que veamos en algún visor de eventos errores de replicación, pero evidentemente tenemos que tomarlo como algo normal. Una vez hecho esto ya podemos ampliar el esquema por el procedimiento que indique el producto y realizando las pruebas pertinentes . Yo lo que suelo hacer es, dejar deshabilitada la replicación durante un tiempo razonable y comprobar que el DC continua dando servicio sin que aparezcan errores graves en el visor de eventos. Una vez que todo esta correcto volvemos a activar la replicación con el siguiente comando:

REPADMIN /OPTIONS SERVERNAME -DISABLE_INBOUND_REPL -> Activa la replicación Entrante
REPADMIN /OPTIONS SERVERNAME -DISABLE_OUTBOUND_REPL -> Activa la replicación Saliente

A continuación comprobamos que el servidor replica de forma correcta, cuando esto ocurra ya podremos respirar tranquilos. De esta forma nos aseguramos que si algo sale mal, no será replicado a los demás DCs y no necesitamos apagar servidores ni desconectar nada de la red, el servidor sigue trabajando de forma normal pero ni envía datos ni los recibe. ¿Y que hacemos si algo sale mal?, bueno, podemos reinstalar la máquina una vez que la desconectamos de la red y hacer un restore del backup previo. Yo personalmente, prefiero desconectar el servidor, reisntalar y en lugar de recuperar el restore, elimino el objeto de servidor del dominio con ntds util y lo promociono desde cero. Con esto nos aseguramos de que el Controlador de Dominio está limpio, no olvideis que antes hemos tenido que asumir el rol de Schema Master en otro DC.

Creo que este procedimiento es el más limpio de todos y el más seguro, dejo para otras ocasiones el como eliminar objetos con ntds util y algún otro punto de este articulo que he pasado por encima pero, el objetivo era indicar como detener la replicación de un DC si afectar a su funcionamiento. Espero que os sea de utilidad y como siempre espero vuestros comentarios.