Instalación de Active Directory – Comprobaciones Finales – Nota XII

En esta nota final de la serie vamos a efectuar algunas comprobaciones adicionales

Veremos las diferentes clases de relaciones de confianza (Trusts) creadas, y una vieja utilidad que se extraña, y que era parte de las Support Tools de Windows Server 2003, pero que todavía puede rendir algunos frutos

Como siempre comencemos recordando la infraestructura propuesta, y que si vienen siguiendo las notas anteriores ya está creada en forma completa

Comencemos revisando las relaciones de confianza que se han creado en forma totalmente automática, que son requeridas, y que no podemos eliminar.

El objetivo de las mismas es transparentar la estructura de los Dominios

De la forma que se han creado, un usuario, sin importar en qué Dominio esté definida su cuenta, podrá iniciar sesión en cualquier cliente de cualquiera de los Dominios del Bosque, y acceder a los recursos compartidos sin importar dónde se encuentren los mismos, siempre y cuando tenga los permisos necesarios

Iniciando sesión como ROOT\Administrator, en cualquiera de los Controladores de Dominio, en Server Manager, desde el menú Tools, abramos “Active Directory Domains and Trusts” (Dominios y Confianzas de Active Directory)

Comencemos con botón derecho sobre “root.guillermod.com.ar”, elijamos Propiedades, y vamos a la ficha Trusts (Relaciones de Confianza)

Podemos observar que con respecto al Domino “mza.root.guillermod.com.ar” existe una relación bidireccional de tipo “Child”

En cambio con relación a “neuquen.local” la relación de confianza es de tipo “Tree Forest”, también requerida y bidireccional

Procediendo análogamente con las propiedades de “mza.root.guillermod.com.ar” observamos que existen las complementarias a las anteriores

Y lo mismo con “neuquen.local”

Ahora vamos a ver algo de esa “vieja aplicación” que comentaba al principio de la nota.

Era algo muy útil no sólo para controlar la replicación sino entre otras cosas para ver gráficamente (con dibujo) la replicación entre servidores. Lamentablemente aunque aún está disponible para descargar del sitio de Microsoft, estaba hecha para Windows Server 2003, y su funcionalidad con Windows Server 2012, aunque es buena, ha perdido gran parte. Y por supuesto que no está soportada :-)

La opción actual, y soportada, pero la dejo para que la prueben por su cuenta es desde línea de comandos con DCDIAG.EXE o REPADMIN.EXE que veremos al final

Vamos al tema, primero que nada hay que descargar las Windows Server 2003-SP2-Support Tools. Bajarán dos archivos

Si tratan de hace la instalación en algo más nuevo que XP dará errores de compatibilidad, así que yo instalé un “viejo XP” que uní al Dominio “root.guilermod.com.ar”, copié ambos archivos descargados a una carpeta, y ejecuté el correspondiente archivo MSI. Es una instalación muy sencilla

Va a dejar muchas utilidades, la mayoría obsoletas y que fueron reemplazadas y actualizadas en los sistemas actuales, pero hay una que no

Busquen en la carpeta de instalación un ejecutable llamado REPLMON.EXE (Replication Monitor) y ejecútenlo

Lo primero es con botón derecho elegir la opción “Add monitored server”, e indicarlo por el nombre, yo ya he agregado varios

Podemos observar en cada Objeto conexión varios datos interesantes, desde si se ha replicado correctamente hasta los USNs de cada servidor

Y si entran con botón derecho sobre un Site verán qué cantidad de opciones interesantes. Es una lástima que muchas ya no funcionan con las versiones del nuevo sistema operativo, y la aplicación no fue actualizada, pero igual prueben y revisen que se van a entretener un rato :-)

Hay otra utilidad, esta actual, que nos permite ver el estado de la replicación entre los Controladores de Dominio, se denomina “Active Directory Replication Status Tool” que se puede descargar en forma totalmente gratuita desde http://www.microsoft.com/en-us/download/details.aspx?id=30005

Debemos tener en cuenta que para poder instalar tiene como pre-requisito .NET 3.5 que deberemos instalar previamente, para luego poder poner la que nos interesa

Una vez instalada, iniciándola nos encontraremos con la siguiente pantalla. Como en mi caso estoy “casi seguro” que todo está bien configurado y funcionando directamente haré la comprobación completa del Bosque (Forest)

Podemos ver que ha recogido toda la información necesaria

Y si vamos a los detalles, desplazándonos horizontal y verticalmente veremos que todo está correcto. Si hubiera algún problema lo resaltará en colores

Y además haremos otras comprobaciones con REPADMIN.EXE y sugerir algunas más con DCDIAG.EXE
Ambos comandos tienen muchísimas opciones de modificadores, recomiendo que vean la ayuda de cada uno y tengan en cuenta por lo menos las más importantes

En esta ocasión probaré sólo algunas, por un tema de extensión

Abramos un CMD.EXE como administradores, o PowerShell que es lo mismo ya que redirigirá los comandos, y ejecutemos:

REPADMIN /REPLSUMMARY para verificar cuándo se hicieron las últimas replicaciones y su alguna no fue exitosa

REPADMIN /SHOWREPL igual que el anterio pero más detallado

REPADMIN /BRIDGEHEADS para ver qué Controladores de Dominio son los “Bridgehead Servers” (los que replican desde/hacia el “Site”

O con DCDIAG /TEST:REPLICATIONS podemos verificar la replicación de cada Controlador de Dominio en forma individual

Y como punto final veremos algunas de las opciones para la administración “realmente” centralizada :-)

Por ejemplo podemos crearnos una consola (MMC:EXE) donde cargamos el complemento “Group Policy Management”, y seleccionamos que nos muestre todos los Dominios del Bosque

O podemos crear una consola (MMC:EXE) agreando tres veces el complemento “Active Directory Users and Computers” y enfocar cada instancia en cada uno de los Dominios de nuestro Bosque

E inclusive, en “Server Manager” podemos crear “Server Groups”, por ejemplo para agruparlos por “Site” agregando cada Controlador de Dominio al grupo correspondiente

Con esta nota doy por finalizada esta serie. En la misma hemos partido de un diseño “no muy sencillo” y hemos visto paso a paso cómo crear la infraestructura de Active Directory, en ambientes de múltiples sitios, con sitios donde la seguridad es reducida, e inclusive la implementación de resolución de espacio de nombres no contigüos que es lo que presenta mayor complejidad. Y todo sin dejar de lado la tolerancia a fallas
Y como si fuera poco lo anterior, verificamos el correcto funcionamiento y algunos pequeños trucos de administración centralizada

Agrego un resumen de cada una de las notas publicadas:

Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota I

Instalación de Active Directory – Promoción del Primer Controlador de Dominio del Dominio Raíz – Creación del Bosque – Nota II

Instalación de Active Directory – Promoción del Segundo Controlador de Dominio y Configuración de Tolerancia a Fallas – Nota III

Instalación de Active Directory – Creando la Infraestructura de Sitios, Subredes y Enlaces (Sites-Subnets-Links) – Nota IV

Instalación de Active Directory – Promoviendo un Controlador de Dominio en un Site Remoto – Nota V

Instalación de Active Directory – Promoción de un RODC (Read Only Domain Controller) – Nota VI

Instalación de Active Directory – Promoción del Primer Controlador de Dominio de un Site Remoto (Mza) – Nota VII

Instalación de Active Directory – Promoción del Segundo Controlador de Dominio de un Site Remoto (Mza) – Nota VIII

Instalación de Active Directory – Comprobación de Tolerancia a Fallas en el Subdominio MZA Sin Conectividad WAN – Nota IX

Instalación de Active Directory – Promoción del Primer Controlador de Dominio en un Arbol Diferente – Nota X

Instalación de Active Directory – Promoción del Segundo Controlador de Dominio en un Arbol Diferente – Nota XI

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Sergio Rangel  On 13/08/2014 at 12:56

    Hola Guillermo, que buena serie me la he leído toda y he implementado a manera inicial el esquema de la empresa donde laboro (aún no entra en producción), tienes además de esta, una serie de tareas de Políticas de Grupo, usuarios, etc. sobre estos Controladores que has creado ? Gracias

    • Guillermo Delprato  On 13/08/2014 at 13:42

      Hola Sergio ¡Gracias por el comentario! así da gusto escribir :-)
      Con la infraestructura de esta nota no he hecho nada más que hacerla, porque con la cantidad de máquinas virtuales simultáneas, mi máquina real “ya no daba para más”
      Hay una nota, que aunque quedó un poco desactualizada por el paso del tiempo quizás te sirva, no sé si la haz visto: Active Directory – Resumen (Relacionando Notas) | WindowServer:
      https://windowserver.wordpress.com/2013/03/01/active-directory-resumen-relacionando-notas/

      Datos muy importantes si vas a comenzar a implementar una infraestructura con varios Dominios y sitios separados, es planificar bien todo lo relacionado con resolución de nombres (DNS). Hay 3 notas sobre cómo funciona DNS, y 3 más sobre resolución de nombres, por Reenviadores, Zonas secundarias y “Stub Zones”
      Otro tema, que es importante pensar bien primero (para trabajar luego menos) es el uso y sintaxis de los grupos: Uso Recomendado de Grupos en Dominios Windows Server | WindowServer:
      https://windowserver.wordpress.com/2012/12/14/uso-recomendado-de-grupos-en-dominios-windows-server/

      Y lo más importante, pasar por las tres fases de un proyecto de Active Directory:
      1.- Diseño (Objetivos)
      2.- Planificación (Qué y cómo lo llevaremos a cabo, ambiente de pruebas, pilotos, etc.)
      3.- Implementación (Esto ya es más fácil)
      Nunca, nunca, nunca, comenzar por la última :-)

      • Sergio Rangel  On 13/08/2014 at 16:26

        Hola Guillermo, gracias por tu respuesta y recomendaciones me han servidor de gran ayuda, te cuento que mi idea es realizar un esquema para la ciudad principal y la ciudad sucursal de la empresa donde trabajo, no son tantos usuarios (<20) mi objetivo final es aprender a realizar con las mejores prácticas el despliegue para luego llevarlo a clientes reales, mi trabajo es de consultor de TI e implementador. Gracias, Saludos,

      • Guillermo Delprato  On 13/08/2014 at 16:57

        Me alegro te sirva

  • Pablo J  On 24/08/2015 at 13:58

    Hola Guillermo
    Mando comentario exclusivamente para agradecerte y decirte que tus posts me están siendo de mucha ayuda, estamos implementando la tecnología del AD en la empresa y nos apoya mucho material de calidad como el que te das el tiempo de realizar, hay varias cosas que aún no entiendo pero conforme siga leyendo y aprendiendo le voy entendiendo mas =]

    Un saludo!

    • Guillermo Delprato  On 24/08/2015 at 16:35

      Hola Pablo, me alegro mucho te sirvan las notas
      Quizás lo único que puedo decirte es que tengas cuidado porque las notas se enfocan en la parte práctica, pero prácticamente no incluyen nada de la parte teórica que da fundamento a muchas de las configuraciones
      Antes de implementar Active Directory generalmente hay mucho trabajo anterior, mucho pensar :)
      Todo para hacer la implementación adecuada al ambiente y cumplir los objetivos que se han propuesto
      Hay un dicho por aquí: “pienso dos veces, y trabajo una sola vez” :)
      Lástima si no haz podido venir a alguna de las reuniones virtuales que he hecho desde este blog, ya que en la de Active Directory se sientan las bases fundamentales para comprender muchas de las opciones
      Seguramente en los próximos días verás un anuncio en el blog que a lo mejor te interese

  • Chuy Meme  On 24/02/2016 at 01:04

    Hol! Un controlador de dominio nuevo con arbol nuevo puede estar instalado en el mismo segmento de red que el dominio root? Hay algo que considerar en los dns?

    • Guillermo Delprato  On 24/02/2016 at 07:15

      No comprendo tu pregunta Chuy Meme, pero la respuesta es sí, un Bosque puede tener más de un Arbol, lo que hay que considerar es si es conveniente o no tener varios Arboles ya que esto es para situaciones que lo ameriten
      Las configuraciones de DNS por supuesto, siempre, hay que tenerlas en cuenta

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: