En esta nota final de la serie vamos a efectuar algunas comprobaciones adicionales
Veremos las diferentes clases de relaciones de confianza (Trusts) creadas, y una vieja utilidad que se extraña, y que era parte de las Support Tools de Windows Server 2003, pero que todavía puede rendir algunos frutos
Como siempre comencemos recordando la infraestructura propuesta, y que si vienen siguiendo las notas anteriores ya está creada en forma completa
Comencemos revisando las relaciones de confianza que se han creado en forma totalmente automática, que son requeridas, y que no podemos eliminar.
El objetivo de las mismas es transparentar la estructura de los Dominios
De la forma que se han creado, un usuario, sin importar en qué Dominio esté definida su cuenta, podrá iniciar sesión en cualquier cliente de cualquiera de los Dominios del Bosque, y acceder a los recursos compartidos sin importar dónde se encuentren los mismos, siempre y cuando tenga los permisos necesarios
Iniciando sesión como ROOT\Administrator, en cualquiera de los Controladores de Dominio, en Server Manager, desde el menú Tools, abramos “Active Directory Domains and Trusts” (Dominios y Confianzas de Active Directory)
Comencemos con botón derecho sobre “root.guillermod.com.ar”, elijamos Propiedades, y vamos a la ficha Trusts (Relaciones de Confianza)
Podemos observar que con respecto al Domino “mza.root.guillermod.com.ar” existe una relación bidireccional de tipo “Child”
En cambio con relación a “neuquen.local” la relación de confianza es de tipo “Tree Forest”, también requerida y bidireccional
Procediendo análogamente con las propiedades de “mza.root.guillermod.com.ar” observamos que existen las complementarias a las anteriores
Y lo mismo con “neuquen.local”
Ahora vamos a ver algo de esa “vieja aplicación” que comentaba al principio de la nota.
Era algo muy útil no sólo para controlar la replicación sino entre otras cosas para ver gráficamente (con dibujo) la replicación entre servidores. Lamentablemente aunque aún está disponible para descargar del sitio de Microsoft, estaba hecha para Windows Server 2003, y su funcionalidad con Windows Server 2012, aunque es buena, ha perdido gran parte. Y por supuesto que no está soportada :-)
La opción actual, y soportada, pero la dejo para que la prueben por su cuenta es desde línea de comandos con DCDIAG.EXE o REPADMIN.EXE que veremos al final
Vamos al tema, primero que nada hay que descargar las Windows Server 2003-SP2-Support Tools. Bajarán dos archivos
Si tratan de hace la instalación en algo más nuevo que XP dará errores de compatibilidad, así que yo instalé un “viejo XP” que uní al Dominio “root.guilermod.com.ar”, copié ambos archivos descargados a una carpeta, y ejecuté el correspondiente archivo MSI. Es una instalación muy sencilla
Va a dejar muchas utilidades, la mayoría obsoletas y que fueron reemplazadas y actualizadas en los sistemas actuales, pero hay una que no
Busquen en la carpeta de instalación un ejecutable llamado REPLMON.EXE (Replication Monitor) y ejecútenlo
Lo primero es con botón derecho elegir la opción “Add monitored server”, e indicarlo por el nombre, yo ya he agregado varios
Podemos observar en cada Objeto conexión varios datos interesantes, desde si se ha replicado correctamente hasta los USNs de cada servidor
Y si entran con botón derecho sobre un Site verán qué cantidad de opciones interesantes. Es una lástima que muchas ya no funcionan con las versiones del nuevo sistema operativo, y la aplicación no fue actualizada, pero igual prueben y revisen que se van a entretener un rato :-)
Hay otra utilidad, esta actual, que nos permite ver el estado de la replicación entre los Controladores de Dominio, se denomina “Active Directory Replication Status Tool” que se puede descargar en forma totalmente gratuita desde http://www.microsoft.com/en-us/download/details.aspx?id=30005
Debemos tener en cuenta que para poder instalar tiene como pre-requisito .NET 3.5 que deberemos instalar previamente, para luego poder poner la que nos interesa
Una vez instalada, iniciándola nos encontraremos con la siguiente pantalla. Como en mi caso estoy “casi seguro” que todo está bien configurado y funcionando directamente haré la comprobación completa del Bosque (Forest)
Podemos ver que ha recogido toda la información necesaria
Y si vamos a los detalles, desplazándonos horizontal y verticalmente veremos que todo está correcto. Si hubiera algún problema lo resaltará en colores
Y además haremos otras comprobaciones con REPADMIN.EXE y sugerir algunas más con DCDIAG.EXE
Ambos comandos tienen muchísimas opciones de modificadores, recomiendo que vean la ayuda de cada uno y tengan en cuenta por lo menos las más importantes
En esta ocasión probaré sólo algunas, por un tema de extensión
Abramos un CMD.EXE como administradores, o PowerShell que es lo mismo ya que redirigirá los comandos, y ejecutemos:
REPADMIN /REPLSUMMARY para verificar cuándo se hicieron las últimas replicaciones y su alguna no fue exitosa
REPADMIN /SHOWREPL igual que el anterio pero más detallado
REPADMIN /BRIDGEHEADS para ver qué Controladores de Dominio son los “Bridgehead Servers” (los que replican desde/hacia el “Site”
O con DCDIAG /TEST:REPLICATIONS podemos verificar la replicación de cada Controlador de Dominio en forma individual
Y como punto final veremos algunas de las opciones para la administración “realmente” centralizada :-)
Por ejemplo podemos crearnos una consola (MMC:EXE) donde cargamos el complemento “Group Policy Management”, y seleccionamos que nos muestre todos los Dominios del Bosque
O podemos crear una consola (MMC:EXE) agreando tres veces el complemento “Active Directory Users and Computers” y enfocar cada instancia en cada uno de los Dominios de nuestro Bosque
E inclusive, en “Server Manager” podemos crear “Server Groups”, por ejemplo para agruparlos por “Site” agregando cada Controlador de Dominio al grupo correspondiente
Con esta nota doy por finalizada esta serie. En la misma hemos partido de un diseño “no muy sencillo” y hemos visto paso a paso cómo crear la infraestructura de Active Directory, en ambientes de múltiples sitios, con sitios donde la seguridad es reducida, e inclusive la implementación de resolución de espacio de nombres no contigüos que es lo que presenta mayor complejidad. Y todo sin dejar de lado la tolerancia a fallas
Y como si fuera poco lo anterior, verificamos el correcto funcionamiento y algunos pequeños trucos de administración centralizada
Agrego un resumen de cada una de las notas publicadas:
Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota I
Instalación de Active Directory – Promoviendo un Controlador de Dominio en un Site Remoto – Nota V
Instalación de Active Directory – Promoción de un RODC (Read Only Domain Controller) – Nota VI
WindowServer 
Comentarios
Hola Guillermo, que buena serie me la he leído toda y he implementado a manera inicial el esquema de la empresa donde laboro (aún no entra en producción), tienes además de esta, una serie de tareas de Políticas de Grupo, usuarios, etc. sobre estos Controladores que has creado ? Gracias
Hola Sergio ¡Gracias por el comentario! así da gusto escribir :-)
Con la infraestructura de esta nota no he hecho nada más que hacerla, porque con la cantidad de máquinas virtuales simultáneas, mi máquina real «ya no daba para más»
Hay una nota, que aunque quedó un poco desactualizada por el paso del tiempo quizás te sirva, no sé si la haz visto: Active Directory – Resumen (Relacionando Notas) | WindowServer:
https://windowserver.wordpress.com/2013/03/01/active-directory-resumen-relacionando-notas/
Datos muy importantes si vas a comenzar a implementar una infraestructura con varios Dominios y sitios separados, es planificar bien todo lo relacionado con resolución de nombres (DNS). Hay 3 notas sobre cómo funciona DNS, y 3 más sobre resolución de nombres, por Reenviadores, Zonas secundarias y «Stub Zones»
Otro tema, que es importante pensar bien primero (para trabajar luego menos) es el uso y sintaxis de los grupos: Uso Recomendado de Grupos en Dominios Windows Server | WindowServer:
https://windowserver.wordpress.com/2012/12/14/uso-recomendado-de-grupos-en-dominios-windows-server/
Y lo más importante, pasar por las tres fases de un proyecto de Active Directory:
1.- Diseño (Objetivos)
2.- Planificación (Qué y cómo lo llevaremos a cabo, ambiente de pruebas, pilotos, etc.)
3.- Implementación (Esto ya es más fácil)
Nunca, nunca, nunca, comenzar por la última :-)
Hola Guillermo, gracias por tu respuesta y recomendaciones me han servidor de gran ayuda, te cuento que mi idea es realizar un esquema para la ciudad principal y la ciudad sucursal de la empresa donde trabajo, no son tantos usuarios (<20) mi objetivo final es aprender a realizar con las mejores prácticas el despliegue para luego llevarlo a clientes reales, mi trabajo es de consultor de TI e implementador. Gracias, Saludos,
Me alegro te sirva
Hola Guillermo
Mando comentario exclusivamente para agradecerte y decirte que tus posts me están siendo de mucha ayuda, estamos implementando la tecnología del AD en la empresa y nos apoya mucho material de calidad como el que te das el tiempo de realizar, hay varias cosas que aún no entiendo pero conforme siga leyendo y aprendiendo le voy entendiendo mas =]
Un saludo!
Hola Pablo, me alegro mucho te sirvan las notas
Quizás lo único que puedo decirte es que tengas cuidado porque las notas se enfocan en la parte práctica, pero prácticamente no incluyen nada de la parte teórica que da fundamento a muchas de las configuraciones
Antes de implementar Active Directory generalmente hay mucho trabajo anterior, mucho pensar :)
Todo para hacer la implementación adecuada al ambiente y cumplir los objetivos que se han propuesto
Hay un dicho por aquí: «pienso dos veces, y trabajo una sola vez» :)
Lástima si no haz podido venir a alguna de las reuniones virtuales que he hecho desde este blog, ya que en la de Active Directory se sientan las bases fundamentales para comprender muchas de las opciones
Seguramente en los próximos días verás un anuncio en el blog que a lo mejor te interese
Hol! Un controlador de dominio nuevo con arbol nuevo puede estar instalado en el mismo segmento de red que el dominio root? Hay algo que considerar en los dns?
No comprendo tu pregunta Chuy Meme, pero la respuesta es sí, un Bosque puede tener más de un Arbol, lo que hay que considerar es si es conveniente o no tener varios Arboles ya que esto es para situaciones que lo ameriten
Las configuraciones de DNS por supuesto, siempre, hay que tenerlas en cuenta
Trackbacks
[…] En la próxima y última nota veremos algunas configuraciones para verificar las relaciones de confianza (Trusts), y un “truco desde el recuerdo” para ver información sobre la replicación. Será en Instalación de Active Directory – Comprobaciones Finales – Nota XII […]
[…] Instalación de Active Directory – Comprobaciones Finales – Nota XII | WindowServer […]
[…] Instalación de Active Directory – Comprobaciones Finales – Nota XII […]