Chequeo de salud del directorio Activo

1
Chequeo de salud del directorio Activo

• Paloma García Martín
• Microsoft Support Specialist

2
AGENDA

• Alcance
• Herramientas
• Puntos clave
• Resolución de nombres
• Topología de replicación
• Replicación base de datos DIT
• Replicación FRS (sysvol)
• GPOs
• Salud de los controladores de dominio
• Sincronización de tiempos
• Rendimiento
• Otros

3
Alcance

• Controladores de dominio Windows 2000/2003
• Servidores DNS
• Servidores WINS

4
Herramientas

• Support tools Windows 2003 sp1
• Kit de recursos Windows 2003
• GPMC
• SONAR, Ultrasound, MOM
• Visores de eventos
• EventCombt

5
Puntos clave Resolución de nombres

• Cada DC registra dinámicamente en DNS, entre
  otros registros, el mapeo de su GUID a su nombre
  completo (conocido como FQDN) este se realiza en
  el subdominio DNS _msdcs.ltforestrootdomaingt para
  todos los DCs del bosque
• DNSlint permite verificar que existan en DNS los
  registros requeridos para la replicación de
  Directorio Activo
• dnslint /ad DC_IPAddress /s DNSServer_IPAddress
• La herramienta DNSLint verificará que todos los
  servidores de DNS que tengan una replica de
  _msdcs.ltforestrootdomaingt puedan resolver los
  GUID de todos los DCs del bosque a su respectiva
  dirección IP.
• Q321045, Description of the DNSLint Utility
• http//support.microsoft.com/support/misc/kblookup
  .asp?idQ321045
• Q321046, HOW TO Use DNSLint to Troubleshoot
  Active Directory Replication Issues
• http//support.microsoft.com/support/misc/kblookup
  .asp?idQ321046

6
Puntos clave Resolución de nombres

• Evitar efecto Isla
• La herramienta DCDiag.exe ha sido mejorada en el
  SP1 de Windows Server 2003 para verificar la
  salud de DNS con respecto a Directorio Activo.
• Dcdiag /testdns
• Muestra un resumen de los resultados, así como el
  detalle para cada DC verificado

7
Puntos clave Resolución de nombres

• La autenticación de clientes previos a Windows
  2000, como por ejemplo Windows NT y Windows 9x,
  depende de WINS para localizar a un controlador
  de dominio.
• Los registros requeridos son
• dominiolt1Bgt
• dominiolt1Cgt.
• El registro nombreNetBIOSdominiolt1Bgt es
  registrado únicamente por el PDC del dominio, y
  el registro nombreNetBIOSdominio lt1Cgt contiene
  una lista de hasta 25 DCs del dominio.
• Evitar entradas estáticas!!
• Los servidores de WINS deben apuntar a si mismos
  como clientes de WINS primarios y secundarios.

8
Puntos clave Topología de replicación

• Evitar conectores de replicación manuales
• Cada sitio tiene un DC con el rol Inter-Site
  Topology Generator (ISTG)
• Repadmin /istg
• El ISTG se encarga de seleccionar al servidor que
  hará la función de bridgehead para su sitio.
• En el caso de que existan preferred bridgeheads,
  el ISTG restringirá su selección de bridgeheads a
  la lista de aquellos marcados como preferidos,
  pero en el caso de que todos los preferred
  bridgeheads fallaran, el ISTG no tendrá opción de
  elección y la replicación se verá afectada
• Tiempos de convergencia

9
Demo - Preferred bridgeheads
10
Puntos clave Replicación base de datos

• La versión de Windows Server 2003 de la
  herramienta repadmin permite monitorizar la
  replicación a través del bosque y es compatible
  con bosques basados en Windows 2000
• repadmin.exe /replsummary /bysrc /bydest
  /sortdelta
• Si se muestran errores ejecutar una opción mas
  detallada del controlador de dominio afectado
• repadmin.exe /showreps
• Si se encuentra un DC sin replicar un tiempo
  superior al tombstone lifetime debe ser
  eliminado inmediatamente
• Dcpromo /forceremoval
• Metadata cleanup
• http//support.microsoft.com/default.aspx?scidkb
  en-us216498

11
Demo repadmin.exe
12
Puntos clave Replicación base de datos

• El tombstone lifetime no se debe modificar a un
  valor menor a los 60 días.
• El reloj de los controladores de dominio no debe
  ser adelantado buscando iniciar el proceso de
  garbage collection.
• No realizar una restauración desde un backup cuya
  antigüedad sea superior al tombstone lifetime.
• No permitir que el espacio en disco disponible
  para la base de datos y logs de Directorio Activo
  caiga por debajo de 1 GB.

13
Puntos clave Replicación base de datos

• Conflictos - Objetos CNF (KB218614)
• cscript search.vbs "LDAP//w2kadserver
  /DCms,dccom" /C"(cn\0ACNF)"
  /pdistinguishedname /ssubtree
• Contenedores LostandFound
• cscript search.vbs LDAP//cnlostandfound,dcms,dc
  com
• Adsiedit.msc

14
Puntos clave Replicación FRS (sysvol)

• El servicio de FRS se encarga de la replicación
  de archivos entre controladores de dominio
• Estos archivos contienen las políticas y scripts
  albergados en el SYSVOL de los DCs
• Para que un controlador de dominio funcione
  correctamente es imprescindible que la
  replicación de FRS sea correcta. De encontrarse
  fallos en la replicación de FRS puede haber
  aplicación inconsistente de políticas e incluso
  llegar al punto en que un DC deje de funcionar
  como tal
• La topología de replicación que utiliza FRS para
  SYSVOL es la misma que se utiliza para la
  replicación de la base de datos de Directorio
  Activo

15
Puntos clave Replicación FRS (sysvol)

• Herramientas
• SONAR
• http//www.microsoft.com/windows2000/techinfo/resk
  it/tools/new/sonar-o.asp
• Requiere que la estación donde se ejecute tenga
  instalado el .Net Framework versión 1.1, el cual
  puede ser descargado desde http//msdn.microsoft.c
  om/netframework/downloads/howtoget.aspx.
• Si se ejecuta desde una estación que no tiene el
  servicio de FRS, se debe copiar el archivo
  ntfrsapi.dll al directorio SYSTEM32.
• Ultrasound
• http//download.microsoft.com/download/5/3/6/5360c
  938-eaec-4468-814b-855d228c4290/Ultrasound20FAQ.d
  oc
• MOM
• http//www.microsoft.com/spain/servidores/mom/defa
  ult.mspx
• Visor de eventos (EventCombMT)
• http//www.microsoft.com/downloads/details.aspx?Fa
  milyId9989D151-5C55-4BD3-A9D2-B95A15C73E92displa
  ylangen

16
Puntos clave Replicación FRS (sysvol)

• Carpetas morphs se producen cuando hay un
  conflicto
• _NTFRS_xxxxxxxx
• Carpetas Pre-existing
• systemroot\windows\sysvol\domain\NtFrs_PreExisti
  ng

17
Demo - SONAR
18
Puntos clave GPOs

• Gpotool verifica la consistencia de las GPOs
  entre los DCs de los dominios y reporta
  inconsistencias que puedan estar ocurriendo.
• http//www.microsoft.com/windows2000/techinfo/resk
  it/tools/existing/gpotool-o.asp
• Sintaxis gpotool /v

• Validating DCs...
• Available DCs
• dc1.ms.com
• dc2.ms.com
• dc3.ms.com
• Searching for policies...
• Found 2 policies
• 
  
• Policy 31B2F340-016D-11D2-945F-00C04FB984F9
• Friendly name Default Domain Policy
• Policy OK
• 
  
• Policy 6AC1786C-016F-11D2-945F-00C04FB984F9
• Friendly name Default Domain Controllers Policy
• Policy OK
• Policies OK

19
Puntos clave GPOs

• Utilizar GPMC para la administración de GPOs
• Detectar GPOs huérfanas
• FindOrphanedGPOsInSYSVOL.wsf
• Detectar GPOs desenlazadas
• FindUnlinkedGPOs.wsf
• Deshabilitar las partes no requeridas de las GPOs
  para reducir tiempo de procesamiento
• Se recomienda utilizar un entorno de
  pre-producción para realizar las pruebas de GPOs
• Recomendamos utilizar la herramienta GPMC para la
  migración de las GPOs a producción.
• 818736 White Paper Migrating GPOs Across
  Domains By Using the GPMC.

20
Puntos clave Salud de los controladores de
dominio

• DCDiag puede ser usada como verificación
  cotidiana o cuando un DC presente errores.
• Ayuda a detectar errores en la configuración del
  DC, en su cuenta del dominio, servicios
  requeridos que no están activos, publicación en
  DNS, etc.
• Es posible ejecutar esta herramienta contra todos
  los DCs del bosque al utilizar la opción /e.

21
Puntos clave Sincronización de tiempos

• W32Time se encarga de la sincronización de
  tiempos en los miembros y DCs del bosque
• Se recomienda utilizar la jerarquía automática de
  sincronización de tiempos dentro del bosque, es
  decir, sólo configurar al PDC Emulator del domino
  raíz para que sincronice con una fuente externa,
  dejando a los demás DCs y miembros del bosque en
  configuración automática
• 216734 How to configure an authoritative time
  server in Windows 2000
• http//support.microsoft.com/?id216734
• Para el resto de Dcs se debe establecer el modo
  automático de sincronización
• w32tm /config /syncfromflagsdomhier /update
• Para sincronizar el reloj lo antes posible con la
  nueva configuración ejecutar
• W32tm /resync

22
Puntos clave Rendimiento

• Contadores
• Process LSASS - Processor Time
• Process LSASS Handle Count
• Process LSASS Private Bytes
• System
• Network Interface
• Physical Disk
• Logical Disk
• NTDS
• Memory
• Active Directory Operations Guide
• http//www.microsoft.com/resources/documentation/m
  sa/edc/all/solution/en-us/pak/sog/edcops08.mspx
• Performance Counters Reference Guide
• http//www.microsoft.com/resources/documentation/W
  indows/2000/server/reskit/en-us/Default.asp?url/r
  esources/documentation/Windows/2000/server/reskit/
  en-us/w2rkbook/counters.asp

23
Puntos clave Otros

• Disposición de FSMOs
• http//support.microsoft.com/default.aspx?scidKB
  EN-US223346
• Tipos de objetos de la base de datos
• Dsastat sservername b dcdomain,dccom gt
  dsastat.txt
• 312403 Distributed Link Tracking on
  Windows-based domain controllershttp//support.mi
  crosoft.com/default.aspx?scidkbEN-US312403
• Política de contraseñas
• Backups

24
Webcast en su versión grabada de Directorio Activo

• Active Directory - Usos y conceptos básicos del
  Directorio Activo
• Active Directory - Conceptos Avanzados de
  Directorio Activo
• Active Directory - La importancia del DNS para el
  Directorio Activo
• Active Directory - Replicación del Directorio
  Activo
• Active Directory - Uso avanzado de las politicas
  de Grupo

25
Más Acciones de Directorio Activo

• Active Directory - Mejores practicas en las
  operaciones de Directorio Activo.23 de Marzo.
• Active Directory - Migración desde Windows NT a
  Directorio Activo. 6 de Abril.
• Active Directory - Uso avanzado del sistema de
  archivos distribuido (DFS). 20 de Abril
• Active Directory - Gestión de Identidades (ADAM,
  MIIS)
• Para información adicional y registro
• http//www.microsoft.com/spain/technet/jornadas/we
  bcasts/default.asp

26
Más Acciones desde TechNet

• Para ver los webcast grabados sobre éste tema y
  otros temas, diríjase a
• http//www.microsoft.com/spain/technet/jornadas/we
  bcasts/webcasts_ant.asp
• Para información y registro de Futuros Webcast de
  éste y otros temas diríjase a
• http//www.microsoft.com/spain/technet/jornadas/we
  bcasts/default.asp
• Para mantenerse informado sobre todos los
  Eventos, Seminarios y webcast suscríbase a
  nuestro boletín TechNet Flash en ésta dirección
• http//www.microsoft.com/spain/technet/boletines/d
  efault.mspx
• Para estar informado sobre novedades vea nuestros
  Its Showtime en
• http//www.microsoft.com/spain/technet/itsshowtime
  /default.aspx
• Para acceder a toda la información, betas,
  actualizaciones, recursos, puede suscribirse a
  Nuestra Suscripción TechNet en
• http//www.microsoft.com/spain/technet/recursos/cd
  /default.mspx

27
PREGUNTAS?
Paloma García Martín Microsoft Support
Specialist