chequeo de salud de directorio activo
TRANSCRIPT
Chequeo de salud del Chequeo de salud del directorio Activodirectorio Activo
Paloma García MartínPaloma García MartínMicrosoft Support SpecialistMicrosoft Support Specialist
AGENDAAGENDA
AlcanceAlcance HerramientasHerramientas Puntos clavePuntos clave
Resolución de nombresResolución de nombres Topología de replicaciónTopología de replicación Replicación base de datos DITReplicación base de datos DIT Replicación FRS (sysvol)Replicación FRS (sysvol) GPOsGPOs Salud de los controladores de dominioSalud de los controladores de dominio Sincronización de tiemposSincronización de tiempos RendimientoRendimiento OtrosOtros
AlcanceAlcance
Controladores de dominio Windows 2000/2003Controladores de dominio Windows 2000/2003 Servidores DNSServidores DNS Servidores WINSServidores WINS
HerramientasHerramientas
Support tools Windows 2003 sp1Support tools Windows 2003 sp1 Kit de recursos Windows 2003Kit de recursos Windows 2003 GPMCGPMC SONAR, Ultrasound, MOMSONAR, Ultrasound, MOM Visores de eventosVisores de eventos EventCombtEventCombt
Puntos clave – Resolución de nombresPuntos clave – Resolución de nombres
Cada DC registra dinámicamente en DNS, entre otros registros, el mapeo de Cada DC registra dinámicamente en DNS, entre otros registros, el mapeo de su GUID a su nombre completo (conocido como FQDN); este se realiza en el su GUID a su nombre completo (conocido como FQDN); este se realiza en el subdominio DNS _msdcs.<forestrootdomain> para todos los DCs del bosquesubdominio DNS _msdcs.<forestrootdomain> para todos los DCs del bosque
DNSlint permite verificar que existan en DNS los registros requeridos para la DNSlint permite verificar que existan en DNS los registros requeridos para la replicación de Directorio Activo replicación de Directorio Activo
dnslint /ad DC_IPAddress /s DNSServer_IPAddress
La herramienta DNSLint verificará que todos los servidores de DNS que tengan una replica de _msdcs.<forestrootdomain> puedan resolver los GUID de todos los DCs del bosque a su respectiva dirección IP.
Q321045, “Description of the DNSLint Utility”Q321045, “Description of the DNSLint Utility”
http://http://support.microsoft.com/support/misc/kblookup.asp?idsupport.microsoft.com/support/misc/kblookup.asp?id=Q321045=Q321045
Q321046, “HOW TO: Use DNSLint to Troubleshoot Active Directory Replication Issues”Q321046, “HOW TO: Use DNSLint to Troubleshoot Active Directory Replication Issues”
http://http://support.microsoft.com/support/misc/kblookup.asp?idsupport.microsoft.com/support/misc/kblookup.asp?id=Q321046=Q321046
Puntos clave – Resolución de nombresPuntos clave – Resolución de nombres
Evitar “efecto Isla”Evitar “efecto Isla” La herramienta DCDiag.exe ha sido mejorada en el SP1 La herramienta DCDiag.exe ha sido mejorada en el SP1
de Windows Server 2003 para verificar la salud de DNS de Windows Server 2003 para verificar la salud de DNS con respecto a Directorio Activo. con respecto a Directorio Activo.
Dcdiag /test:dnsDcdiag /test:dns Muestra un resumen de los resultados, así como el Muestra un resumen de los resultados, así como el
detalle para cada DC verificadodetalle para cada DC verificado
Computer Domain Auth Basc Forw Del DynRRe
gExt
dc1 ms.local PASS PASS FAIL PASSWAR
NPASS n/a
dc3 ms.local PASS PASS FAIL PASSWAR
NPASS n/a
dc2 ms.local PASS PASS FAIL PASSWAR
NPASS n/a
dc4 ms.local PASS PASS FAIL PASSWAR
NPASS n/a
Puntos clave – Resolución de nombresPuntos clave – Resolución de nombres
La autenticación de clientes previos a Windows 2000, La autenticación de clientes previos a Windows 2000, como por ejemplo Windows NT y Windows 9x, depende como por ejemplo Windows NT y Windows 9x, depende de WINS para localizar a un controlador de dominio. de WINS para localizar a un controlador de dominio.
Los registros requeridos son:Los registros requeridos son: dominio<1B> dominio<1B> dominio<1C>. dominio<1C>.
El registro nombreNetBIOSdominio<1B> es registrado El registro nombreNetBIOSdominio<1B> es registrado únicamente por el PDC del dominio, y el registro únicamente por el PDC del dominio, y el registro nombreNetBIOSdominio <1C> contiene una lista de hasta nombreNetBIOSdominio <1C> contiene una lista de hasta 25 DCs del dominio. 25 DCs del dominio.
¡¡Evitar entradas estáticas!!¡¡Evitar entradas estáticas!! Los servidores de WINS deben apuntar a si mismos como Los servidores de WINS deben apuntar a si mismos como
clientes de WINS primarios y secundarios.clientes de WINS primarios y secundarios.
Puntos clave – Topología de replicaciónPuntos clave – Topología de replicación
Evitar conectores de replicación manualesEvitar conectores de replicación manuales Cada sitio tiene un DC con el rol Inter-Site Topology Cada sitio tiene un DC con el rol Inter-Site Topology
Generator (ISTG)Generator (ISTG)Repadmin /istgRepadmin /istg
El ISTG se encarga de seleccionar al servidor que hará la El ISTG se encarga de seleccionar al servidor que hará la función de bridgehead para su sitio. función de bridgehead para su sitio.
En el caso de que existan preferred bridgeheads, el ISTG En el caso de que existan preferred bridgeheads, el ISTG restringirá su selección de bridgeheads a la lista de restringirá su selección de bridgeheads a la lista de aquellos marcados como preferidos, pero en el caso de aquellos marcados como preferidos, pero en el caso de que todos los preferred bridgeheads fallaran, el ISTG no que todos los preferred bridgeheads fallaran, el ISTG no tendrá opción de elección y la replicación se verá tendrá opción de elección y la replicación se verá afectadaafectada
Tiempos de convergenciaTiempos de convergencia
Demo - Demo - Preferred bridgeheadsPreferred bridgeheads
Puntos clave – Replicación base de datosPuntos clave – Replicación base de datos
La versión de Windows Server 2003 de la herramienta La versión de Windows Server 2003 de la herramienta repadminrepadmin permite monitorizar la replicación a través del permite monitorizar la replicación a través del bosque y es compatible con bosques basados en bosque y es compatible con bosques basados en Windows 2000Windows 2000repadmin.exe /replsummary /bysrc /bydest /sort:delta repadmin.exe /replsummary /bysrc /bydest /sort:delta
Si se muestran errores ejecutar una opción mas detallada Si se muestran errores ejecutar una opción mas detallada del controlador de dominio afectadodel controlador de dominio afectadorepadmin.exe /showrepsrepadmin.exe /showreps
Si se encuentra un DC sin replicar un tiempo superior al Si se encuentra un DC sin replicar un tiempo superior al “tombstone lifetime” debe ser eliminado inmediatamente“tombstone lifetime” debe ser eliminado inmediatamente Dcpromo /forceremovalDcpromo /forceremoval Metadata cleanupMetadata cleanup
httphttp://://support.microsoft.comsupport.microsoft.com//default.aspx?sciddefault.aspx?scid==kb;enkb;en--usus;216498;216498
Demo – repadmin.exeDemo – repadmin.exe
Puntos clave – Replicación base de datosPuntos clave – Replicación base de datos
El “tombstone lifetime” no se debe modificar a un valor menor a los El “tombstone lifetime” no se debe modificar a un valor menor a los 60 días.60 días.
El reloj de los controladores de dominio no debe ser adelantado El reloj de los controladores de dominio no debe ser adelantado buscando iniciar el proceso de “garbage collection”.buscando iniciar el proceso de “garbage collection”.
No realizar una restauración desde un backup cuya antigüedad sea No realizar una restauración desde un backup cuya antigüedad sea superior al tombstone lifetime.superior al tombstone lifetime.
No permitir que el espacio en disco disponible para la base de datos No permitir que el espacio en disco disponible para la base de datos y logs de Directorio Activo caiga por debajo de 1 GB. y logs de Directorio Activo caiga por debajo de 1 GB.
Puntos clave – Replicación base de datosPuntos clave – Replicación base de datos
Conflictos - Objetos CNF (KB218614)Conflictos - Objetos CNF (KB218614)cscript search.vbs "LDAP://w2kadserver /DC=ms,dc=com" /C:"(cn=*\0ACNF:*)" cscript search.vbs "LDAP://w2kadserver /DC=ms,dc=com" /C:"(cn=*\0ACNF:*)"
/p:distinguishedname /s:subtree/p:distinguishedname /s:subtree
Contenedores LostandFoundContenedores LostandFoundcscript search.vbs LDAP://cn=lostandfound,dc=ms,dc=comcscript search.vbs LDAP://cn=lostandfound,dc=ms,dc=com
Adsiedit.mscAdsiedit.msc
Puntos clave – Replicación FRS (sysvol)Puntos clave – Replicación FRS (sysvol)
El servicio de FRS se encarga de la replicación de El servicio de FRS se encarga de la replicación de archivos entre controladores de dominioarchivos entre controladores de dominio
Estos archivos contienen las políticas y scripts albergados Estos archivos contienen las políticas y scripts albergados en el SYSVOL de los DCsen el SYSVOL de los DCs
Para que un controlador de dominio funcione Para que un controlador de dominio funcione correctamente es imprescindible que la replicación de correctamente es imprescindible que la replicación de FRS sea correcta. De encontrarse fallos en la replicación FRS sea correcta. De encontrarse fallos en la replicación de FRS puede haber aplicación inconsistente de políticas de FRS puede haber aplicación inconsistente de políticas e incluso llegar al punto en que un DC deje de funcionar e incluso llegar al punto en que un DC deje de funcionar como talcomo tal
La topología de replicación que utiliza FRS para SYSVOL La topología de replicación que utiliza FRS para SYSVOL es la misma que se utiliza para la replicación de la base es la misma que se utiliza para la replicación de la base de datos de Directorio Activode datos de Directorio Activo
Puntos clave – Replicación FRS (sysvol)Puntos clave – Replicación FRS (sysvol)
Herramientas:Herramientas: SONARSONAR
http://www.microsoft.com/windows2000/techinfo/reskit/tools/new/sonar-o.asphttp://www.microsoft.com/windows2000/techinfo/reskit/tools/new/sonar-o.asp
Requiere que la estación donde se ejecute tenga instalado el .Net Requiere que la estación donde se ejecute tenga instalado el .Net Framework versión 1.1, el cual puede ser descargado desde Framework versión 1.1, el cual puede ser descargado desde http://msdn.microsoft.com/netframework/downloads/howtoget.aspxhttp://msdn.microsoft.com/netframework/downloads/howtoget.aspx..
Si se ejecuta desde una estación que no tiene el servicio de FRS, se debe Si se ejecuta desde una estación que no tiene el servicio de FRS, se debe copiar el archivo copiar el archivo ntfrsapi.dllntfrsapi.dll al directorio SYSTEM32. al directorio SYSTEM32.
UltrasoundUltrasoundhttp://download.microsoft.com/download/5/3/6/5360c938-eaec-4468-814b-855d228c4290/http://download.microsoft.com/download/5/3/6/5360c938-eaec-4468-814b-855d228c4290/
Ultrasound%20FAQ.docUltrasound%20FAQ.doc
MOMMOMhttp://www.microsoft.com/spain/servidores/mom/default.mspxhttp://www.microsoft.com/spain/servidores/mom/default.mspx
Visor de eventos (EventCombMT)Visor de eventos (EventCombMT)http://www.microsoft.com/downloads/details.aspx?FamilyId=9989D151-5C55-4BD3-A9D2-http://www.microsoft.com/downloads/details.aspx?FamilyId=9989D151-5C55-4BD3-A9D2-
B95A15C73E92&displaylang=enB95A15C73E92&displaylang=en
Puntos clave – Replicación FRS (sysvol)Puntos clave – Replicación FRS (sysvol)
Carpetas “morphs” se producen cuando hay un conflictoCarpetas “morphs” se producen cuando hay un conflicto*_NTFRS_xxxxxxxx *_NTFRS_xxxxxxxx
Carpetas “Pre-existing”Carpetas “Pre-existing”%systemroot%\windows\sysvol\domain\NtFrs_PreExisting%systemroot%\windows\sysvol\domain\NtFrs_PreExisting
Demo - SONARDemo - SONAR
Puntos clave – GPOsPuntos clave – GPOs
Gpotool verifica la consistencia de las GPOs entre los Gpotool verifica la consistencia de las GPOs entre los DCs de los dominios y reporta inconsistencias que DCs de los dominios y reporta inconsistencias que puedan estar ocurriendo. puedan estar ocurriendo. httphttp://://www.microsoft.comwww.microsoft.com/windows2000//windows2000/techinfotechinfo//reskitreskit//toolstools//existingexisting//
gpotoolgpotool--o.aspo.asp
Sintaxis: “gpotool /v”Sintaxis: “gpotool /v”Validating DCs...Available DCs:dc1.ms.comdc2.ms.comdc3.ms.comSearching for policies...Found 2 policies============================================================Policy {31B2F340-016D-11D2-945F-00C04FB984F9}Friendly name: Default Domain PolicyPolicy OK============================================================Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}Friendly name: Default Domain Controllers PolicyPolicy OK==============
Policies OK
Puntos clave – GPOsPuntos clave – GPOs
Utilizar GPMC para la administración de GPOsUtilizar GPMC para la administración de GPOs Detectar GPOs huérfanasDetectar GPOs huérfanas
FindOrphanedGPOsInSYSVOL.wsfFindOrphanedGPOsInSYSVOL.wsf
Detectar GPOs desenlazadasDetectar GPOs desenlazadasFindUnlinkedGPOs.wsfFindUnlinkedGPOs.wsf
Deshabilitar las partes no requeridas de las GPOs para Deshabilitar las partes no requeridas de las GPOs para reducir tiempo de procesamientoreducir tiempo de procesamiento
Se recomienda utilizar un entorno de pre-producción para Se recomienda utilizar un entorno de pre-producción para realizar las pruebas de GPOs:realizar las pruebas de GPOs:
Recomendamos utilizar la herramienta GPMC para la Recomendamos utilizar la herramienta GPMC para la migración de las GPO´s a producción.migración de las GPO´s a producción.
818736 White Paper: Migrating GPOs Across Domains By Using 818736 White Paper: Migrating GPOs Across Domains By Using the GPMC.the GPMC.
Puntos clave – Salud de los controladores Puntos clave – Salud de los controladores de dominiode dominio
DCDiag puede ser usada como verificación cotidiana o DCDiag puede ser usada como verificación cotidiana o cuando un DC presente errores. cuando un DC presente errores.
Ayuda a detectar errores en la configuración del DC, en Ayuda a detectar errores en la configuración del DC, en su cuenta del dominio, servicios requeridos que no están su cuenta del dominio, servicios requeridos que no están activos, publicación en DNS, etc. activos, publicación en DNS, etc.
Es posible ejecutar esta herramienta contra todos los Es posible ejecutar esta herramienta contra todos los DCs del bosque al utilizar la opción DCs del bosque al utilizar la opción /e/e..
Puntos clave – Sincronización de tiemposPuntos clave – Sincronización de tiempos W32Time se encarga de la sincronización de tiempos en los W32Time se encarga de la sincronización de tiempos en los
miembros y DCs del bosquemiembros y DCs del bosque
Se recomienda utilizar la jerarquía automática de sincronización de Se recomienda utilizar la jerarquía automática de sincronización de tiempos dentro del bosque, es decir, sólo configurar al PDC Emulator tiempos dentro del bosque, es decir, sólo configurar al PDC Emulator del domino raíz para que sincronice con una fuente externa, dejando del domino raíz para que sincronice con una fuente externa, dejando a los demás DCs y miembros del bosque en configuración a los demás DCs y miembros del bosque en configuración automáticaautomática216734 How to configure an authoritative time server in Windows 2000216734 How to configure an authoritative time server in Windows 2000
http://support.microsoft.com/?id=216734http://support.microsoft.com/?id=216734
Para el resto de Dcs se debe Para el resto de Dcs se debe establecer el modo automático de establecer el modo automático de sincronización sincronización w32tm /config /syncfromflags:domhier /updatew32tm /config /syncfromflags:domhier /update
Para sincronizar el reloj lo antes posible con la nueva configuración Para sincronizar el reloj lo antes posible con la nueva configuración ejecutar:ejecutar:W32tm /resyncW32tm /resync
Puntos clave – RendimientoPuntos clave – Rendimiento ContadoresContadores
Process – LSASS - % Processor TimeProcess – LSASS - % Processor Time
Process – LSASS – Handle CountProcess – LSASS – Handle Count
Process – LSASS – Private BytesProcess – LSASS – Private Bytes
SystemSystem
Network InterfaceNetwork Interface
Physical DiskPhysical Disk
Logical DiskLogical Disk
NTDS NTDS
MemoryMemory
Active Directory Operations GuideActive Directory Operations Guidehttp://www.microsoft.com/resources/documentation/msa/edc/all/solution/en-us/pak/http://www.microsoft.com/resources/documentation/msa/edc/all/solution/en-us/pak/
sog/edcops08.mspxsog/edcops08.mspx
Performance Counters Reference GuidePerformance Counters Reference Guide
http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/Default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/us/Default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/w2rkbook/counters.aspw2rkbook/counters.asp
Puntos clave – OtrosPuntos clave – Otros
Disposición de FSMO’s Disposición de FSMO’s http://support.microsoft.com/default.aspx?scid=KB;EN-US;223346http://support.microsoft.com/default.aspx?scid=KB;EN-US;223346
Tipos de objetos de la base de datosTipos de objetos de la base de datosDsastat –s:servername –b dc=domain,dc=com > dsastat.txtDsastat –s:servername –b dc=domain,dc=com > dsastat.txt
312403 Distributed Link Tracking on Windows-based domain controllers312403 Distributed Link Tracking on Windows-based domain controllershttp://support.microsoft.com/default.aspx?scid=kb;EN-US;312403http://support.microsoft.com/default.aspx?scid=kb;EN-US;312403
Política de contraseñasPolítica de contraseñas BackupsBackups
Webcast en su versión grabada de Webcast en su versión grabada de Directorio ActivoDirectorio Activo
Active Directory - Usos y conceptos básicos del Active Directory - Usos y conceptos básicos del Directorio ActivoDirectorio Activo
Active Directory - Conceptos Avanzados de Active Directory - Conceptos Avanzados de Directorio ActivoDirectorio Activo
Active Directory - La importancia del DNS para el Active Directory - La importancia del DNS para el Directorio ActivoDirectorio Activo
Active Directory - Replicación del Directorio ActivoActive Directory - Replicación del Directorio Activo Active Directory - Uso avanzado de las politicas de Active Directory - Uso avanzado de las politicas de
GrupoGrupo
Más Acciones de Directorio ActivoMás Acciones de Directorio Activo
Active DirectoryActive Directory - Mejores practicas en las - Mejores practicas en las operaciones de Directorio Activo.23 de Marzo.operaciones de Directorio Activo.23 de Marzo.
Active DirectoryActive Directory - Migración desde Windows NT a - Migración desde Windows NT a Directorio Activo. 6 de Abril.Directorio Activo. 6 de Abril.
Active DirectoryActive Directory - Uso avanzado del sistema de - Uso avanzado del sistema de archivos distribuido (DFS). 20 de Abrilarchivos distribuido (DFS). 20 de Abril
Active DirectoryActive Directory - Gestión de Identidades (ADAM, - Gestión de Identidades (ADAM, MIIS)MIIS)
Para información adicional y registro:Para información adicional y registro: http://www.microsoft.com/spain/technet/http://www.microsoft.com/spain/technet/
jornadas/webcasts/default.aspjornadas/webcasts/default.asp
Más Acciones desde TechNetMás Acciones desde TechNet
Para ver los webcast grabados sobre éste tema y otros temas, Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:diríjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/http://www.microsoft.com/spain/technet/jornadas/webcasts/
webcasts_ant.aspwebcasts_ant.asp Para información y registro de Futuros Webcast de éste y otros Para información y registro de Futuros Webcast de éste y otros
temas diríjase a:temas diríjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/http://www.microsoft.com/spain/technet/jornadas/webcasts/
default.aspdefault.asp Para mantenerse informado sobre todos los Eventos, Seminarios y Para mantenerse informado sobre todos los Eventos, Seminarios y
webcast suscríbase a nuestro boletín TechNet Flash en ésta webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección:dirección: http://www.microsoft.com/spain/technet/boletines/default.mspxhttp://www.microsoft.com/spain/technet/boletines/default.mspx
Para estar informado sobre novedades vea nuestros It´s Showtime Para estar informado sobre novedades vea nuestros It´s Showtime en: en: http://www.microsoft.com/spain/technet/itsshowtime/default.aspxhttp://www.microsoft.com/spain/technet/itsshowtime/default.aspx
Para acceder a toda la información, betas, actualizaciones, Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en:recursos, puede suscribirse a Nuestra Suscripción TechNet en: http://www.microsoft.com/spain/technet/recursos/cd/default.mspxhttp://www.microsoft.com/spain/technet/recursos/cd/default.mspx
¿PREGUNTAS?¿PREGUNTAS?
Paloma García MartínPaloma García MartínMicrosoft Support SpecialistMicrosoft Support Specialist