Chequeo de salud del Chequeo de salud del directorio Activodirectorio Activo

Paloma García MartínPaloma García MartínMicrosoft Support SpecialistMicrosoft Support Specialist

AGENDAAGENDA

AlcanceAlcance HerramientasHerramientas Puntos clavePuntos clave

Resolución de nombresResolución de nombres Topología de replicaciónTopología de replicación Replicación base de datos DITReplicación base de datos DIT Replicación FRS (sysvol)Replicación FRS (sysvol) GPOsGPOs Salud de los controladores de dominioSalud de los controladores de dominio Sincronización de tiemposSincronización de tiempos RendimientoRendimiento OtrosOtros

AlcanceAlcance

Controladores de dominio Windows 2000/2003Controladores de dominio Windows 2000/2003 Servidores DNSServidores DNS Servidores WINSServidores WINS

HerramientasHerramientas

Support tools Windows 2003 sp1Support tools Windows 2003 sp1 Kit de recursos Windows 2003Kit de recursos Windows 2003 GPMCGPMC SONAR, Ultrasound, MOMSONAR, Ultrasound, MOM Visores de eventosVisores de eventos EventCombtEventCombt

Puntos clave – Resolución de nombresPuntos clave – Resolución de nombres

Cada DC registra dinámicamente en DNS, entre otros registros, el mapeo de Cada DC registra dinámicamente en DNS, entre otros registros, el mapeo de su GUID a su nombre completo (conocido como FQDN); este se realiza en el su GUID a su nombre completo (conocido como FQDN); este se realiza en el subdominio DNS _msdcs.<forestrootdomain> para todos los DCs del bosquesubdominio DNS _msdcs.<forestrootdomain> para todos los DCs del bosque

DNSlint permite verificar que existan en DNS los registros requeridos para la DNSlint permite verificar que existan en DNS los registros requeridos para la replicación de Directorio Activo replicación de Directorio Activo

dnslint /ad DC_IPAddress /s DNSServer_IPAddress

La herramienta DNSLint verificará que todos los servidores de DNS que tengan una replica de _msdcs.<forestrootdomain> puedan resolver los GUID de todos los DCs del bosque a su respectiva dirección IP.

Q321045, “Description of the DNSLint Utility”Q321045, “Description of the DNSLint Utility”

http://http://support.microsoft.com/support/misc/kblookup.asp?idsupport.microsoft.com/support/misc/kblookup.asp?id=Q321045=Q321045

Q321046, “HOW TO: Use DNSLint to Troubleshoot Active Directory Replication Issues”Q321046, “HOW TO: Use DNSLint to Troubleshoot Active Directory Replication Issues”

http://http://support.microsoft.com/support/misc/kblookup.asp?idsupport.microsoft.com/support/misc/kblookup.asp?id=Q321046=Q321046

Puntos clave – Resolución de nombresPuntos clave – Resolución de nombres

Evitar “efecto Isla”Evitar “efecto Isla” La herramienta DCDiag.exe ha sido mejorada en el SP1 La herramienta DCDiag.exe ha sido mejorada en el SP1

de Windows Server 2003 para verificar la salud de DNS de Windows Server 2003 para verificar la salud de DNS con respecto a Directorio Activo. con respecto a Directorio Activo.

Dcdiag /test:dnsDcdiag /test:dns Muestra un resumen de los resultados, así como el Muestra un resumen de los resultados, así como el

detalle para cada DC verificadodetalle para cada DC verificado

Computer Domain Auth Basc Forw Del DynRRe

gExt

dc1 ms.local PASS PASS FAIL PASSWAR

NPASS n/a

dc3 ms.local PASS PASS FAIL PASSWAR

NPASS n/a

dc2 ms.local PASS PASS FAIL PASSWAR

NPASS n/a

dc4 ms.local PASS PASS FAIL PASSWAR

NPASS n/a

Puntos clave – Resolución de nombresPuntos clave – Resolución de nombres

La autenticación de clientes previos a Windows 2000, La autenticación de clientes previos a Windows 2000, como por ejemplo Windows NT y Windows 9x, depende como por ejemplo Windows NT y Windows 9x, depende de WINS para localizar a un controlador de dominio. de WINS para localizar a un controlador de dominio.

Los registros requeridos son:Los registros requeridos son: dominio<1B> dominio<1B> dominio<1C>. dominio<1C>.

El registro nombreNetBIOSdominio<1B> es registrado El registro nombreNetBIOSdominio<1B> es registrado únicamente por el PDC del dominio, y el registro únicamente por el PDC del dominio, y el registro nombreNetBIOSdominio <1C> contiene una lista de hasta nombreNetBIOSdominio <1C> contiene una lista de hasta 25 DCs del dominio. 25 DCs del dominio.

¡¡Evitar entradas estáticas!!¡¡Evitar entradas estáticas!! Los servidores de WINS deben apuntar a si mismos como Los servidores de WINS deben apuntar a si mismos como

clientes de WINS primarios y secundarios.clientes de WINS primarios y secundarios.

Puntos clave – Topología de replicaciónPuntos clave – Topología de replicación

Evitar conectores de replicación manualesEvitar conectores de replicación manuales Cada sitio tiene un DC con el rol Inter-Site Topology Cada sitio tiene un DC con el rol Inter-Site Topology

Generator (ISTG)Generator (ISTG)Repadmin /istgRepadmin /istg

El ISTG se encarga de seleccionar al servidor que hará la El ISTG se encarga de seleccionar al servidor que hará la función de bridgehead para su sitio. función de bridgehead para su sitio.

En el caso de que existan preferred bridgeheads, el ISTG En el caso de que existan preferred bridgeheads, el ISTG restringirá su selección de bridgeheads a la lista de restringirá su selección de bridgeheads a la lista de aquellos marcados como preferidos, pero en el caso de aquellos marcados como preferidos, pero en el caso de que todos los preferred bridgeheads fallaran, el ISTG no que todos los preferred bridgeheads fallaran, el ISTG no tendrá opción de elección y la replicación se verá tendrá opción de elección y la replicación se verá afectadaafectada

Tiempos de convergenciaTiempos de convergencia

Demo - Demo - Preferred bridgeheadsPreferred bridgeheads

Puntos clave – Replicación base de datosPuntos clave – Replicación base de datos

La versión de Windows Server 2003 de la herramienta La versión de Windows Server 2003 de la herramienta repadminrepadmin permite monitorizar la replicación a través del permite monitorizar la replicación a través del bosque y es compatible con bosques basados en bosque y es compatible con bosques basados en Windows 2000Windows 2000repadmin.exe /replsummary /bysrc /bydest /sort:delta repadmin.exe /replsummary /bysrc /bydest /sort:delta

Si se muestran errores ejecutar una opción mas detallada Si se muestran errores ejecutar una opción mas detallada del controlador de dominio afectadodel controlador de dominio afectadorepadmin.exe /showrepsrepadmin.exe /showreps

Si se encuentra un DC sin replicar un tiempo superior al Si se encuentra un DC sin replicar un tiempo superior al “tombstone lifetime” debe ser eliminado inmediatamente“tombstone lifetime” debe ser eliminado inmediatamente Dcpromo /forceremovalDcpromo /forceremoval Metadata cleanupMetadata cleanup

httphttp://://support.microsoft.comsupport.microsoft.com//default.aspx?sciddefault.aspx?scid==kb;enkb;en--usus;216498;216498

Demo – repadmin.exeDemo – repadmin.exe

Puntos clave – Replicación base de datosPuntos clave – Replicación base de datos

El “tombstone lifetime” no se debe modificar a un valor menor a los El “tombstone lifetime” no se debe modificar a un valor menor a los 60 días.60 días.

El reloj de los controladores de dominio no debe ser adelantado El reloj de los controladores de dominio no debe ser adelantado buscando iniciar el proceso de “garbage collection”.buscando iniciar el proceso de “garbage collection”.

No realizar una restauración desde un backup cuya antigüedad sea No realizar una restauración desde un backup cuya antigüedad sea superior al tombstone lifetime.superior al tombstone lifetime.

No permitir que el espacio en disco disponible para la base de datos No permitir que el espacio en disco disponible para la base de datos y logs de Directorio Activo caiga por debajo de 1 GB. y logs de Directorio Activo caiga por debajo de 1 GB.

Puntos clave – Replicación base de datosPuntos clave – Replicación base de datos

Conflictos - Objetos CNF (KB218614)Conflictos - Objetos CNF (KB218614)cscript search.vbs "LDAP://w2kadserver /DC=ms,dc=com" /C:"(cn=*\0ACNF:*)" cscript search.vbs "LDAP://w2kadserver /DC=ms,dc=com" /C:"(cn=*\0ACNF:*)"

/p:distinguishedname /s:subtree/p:distinguishedname /s:subtree

Contenedores LostandFoundContenedores LostandFoundcscript search.vbs LDAP://cn=lostandfound,dc=ms,dc=comcscript search.vbs LDAP://cn=lostandfound,dc=ms,dc=com

Adsiedit.mscAdsiedit.msc

Puntos clave – Replicación FRS (sysvol)Puntos clave – Replicación FRS (sysvol)

El servicio de FRS se encarga de la replicación de El servicio de FRS se encarga de la replicación de archivos entre controladores de dominioarchivos entre controladores de dominio

Estos archivos contienen las políticas y scripts albergados Estos archivos contienen las políticas y scripts albergados en el SYSVOL de los DCsen el SYSVOL de los DCs

Para que un controlador de dominio funcione Para que un controlador de dominio funcione correctamente es imprescindible que la replicación de correctamente es imprescindible que la replicación de FRS sea correcta. De encontrarse fallos en la replicación FRS sea correcta. De encontrarse fallos en la replicación de FRS puede haber aplicación inconsistente de políticas de FRS puede haber aplicación inconsistente de políticas e incluso llegar al punto en que un DC deje de funcionar e incluso llegar al punto en que un DC deje de funcionar como talcomo tal

La topología de replicación que utiliza FRS para SYSVOL La topología de replicación que utiliza FRS para SYSVOL es la misma que se utiliza para la replicación de la base es la misma que se utiliza para la replicación de la base de datos de Directorio Activode datos de Directorio Activo

Puntos clave – Replicación FRS (sysvol)Puntos clave – Replicación FRS (sysvol)

Herramientas:Herramientas: SONARSONAR

http://www.microsoft.com/windows2000/techinfo/reskit/tools/new/sonar-o.asphttp://www.microsoft.com/windows2000/techinfo/reskit/tools/new/sonar-o.asp

Requiere que la estación donde se ejecute tenga instalado el .Net Requiere que la estación donde se ejecute tenga instalado el .Net Framework versión 1.1, el cual puede ser descargado desde Framework versión 1.1, el cual puede ser descargado desde http://msdn.microsoft.com/netframework/downloads/howtoget.aspxhttp://msdn.microsoft.com/netframework/downloads/howtoget.aspx..

Si se ejecuta desde una estación que no tiene el servicio de FRS, se debe Si se ejecuta desde una estación que no tiene el servicio de FRS, se debe copiar el archivo copiar el archivo ntfrsapi.dllntfrsapi.dll al directorio SYSTEM32. al directorio SYSTEM32.

UltrasoundUltrasoundhttp://download.microsoft.com/download/5/3/6/5360c938-eaec-4468-814b-855d228c4290/http://download.microsoft.com/download/5/3/6/5360c938-eaec-4468-814b-855d228c4290/

Ultrasound%20FAQ.docUltrasound%20FAQ.doc

MOMMOMhttp://www.microsoft.com/spain/servidores/mom/default.mspxhttp://www.microsoft.com/spain/servidores/mom/default.mspx

Visor de eventos (EventCombMT)Visor de eventos (EventCombMT)http://www.microsoft.com/downloads/details.aspx?FamilyId=9989D151-5C55-4BD3-A9D2-http://www.microsoft.com/downloads/details.aspx?FamilyId=9989D151-5C55-4BD3-A9D2-

B95A15C73E92&displaylang=enB95A15C73E92&displaylang=en

Puntos clave – Replicación FRS (sysvol)Puntos clave – Replicación FRS (sysvol)

Carpetas “morphs” se producen cuando hay un conflictoCarpetas “morphs” se producen cuando hay un conflicto*_NTFRS_xxxxxxxx *_NTFRS_xxxxxxxx

Carpetas “Pre-existing”Carpetas “Pre-existing”%systemroot%\windows\sysvol\domain\NtFrs_PreExisting%systemroot%\windows\sysvol\domain\NtFrs_PreExisting

Demo - SONARDemo - SONAR

Puntos clave – GPOsPuntos clave – GPOs

Gpotool verifica la consistencia de las GPOs entre los Gpotool verifica la consistencia de las GPOs entre los DCs de los dominios y reporta inconsistencias que DCs de los dominios y reporta inconsistencias que puedan estar ocurriendo. puedan estar ocurriendo. httphttp://://www.microsoft.comwww.microsoft.com/windows2000//windows2000/techinfotechinfo//reskitreskit//toolstools//existingexisting//

gpotoolgpotool--o.aspo.asp

Sintaxis: “gpotool /v”Sintaxis: “gpotool /v”Validating DCs...Available DCs:dc1.ms.comdc2.ms.comdc3.ms.comSearching for policies...Found 2 policies============================================================Policy {31B2F340-016D-11D2-945F-00C04FB984F9}Friendly name: Default Domain PolicyPolicy OK============================================================Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}Friendly name: Default Domain Controllers PolicyPolicy OK==============

Policies OK

Puntos clave – GPOsPuntos clave – GPOs

Utilizar GPMC para la administración de GPOsUtilizar GPMC para la administración de GPOs Detectar GPOs huérfanasDetectar GPOs huérfanas

FindOrphanedGPOsInSYSVOL.wsfFindOrphanedGPOsInSYSVOL.wsf

Detectar GPOs desenlazadasDetectar GPOs desenlazadasFindUnlinkedGPOs.wsfFindUnlinkedGPOs.wsf

Deshabilitar las partes no requeridas de las GPOs para Deshabilitar las partes no requeridas de las GPOs para reducir tiempo de procesamientoreducir tiempo de procesamiento

Se recomienda utilizar un entorno de pre-producción para Se recomienda utilizar un entorno de pre-producción para realizar las pruebas de GPOs:realizar las pruebas de GPOs:

Recomendamos utilizar la herramienta GPMC para la Recomendamos utilizar la herramienta GPMC para la migración de las GPO´s a producción.migración de las GPO´s a producción.

818736 White Paper: Migrating GPOs Across Domains By Using 818736 White Paper: Migrating GPOs Across Domains By Using the GPMC.the GPMC.

Puntos clave – Salud de los controladores Puntos clave – Salud de los controladores de dominiode dominio

DCDiag puede ser usada como verificación cotidiana o DCDiag puede ser usada como verificación cotidiana o cuando un DC presente errores. cuando un DC presente errores.

Ayuda a detectar errores en la configuración del DC, en Ayuda a detectar errores en la configuración del DC, en su cuenta del dominio, servicios requeridos que no están su cuenta del dominio, servicios requeridos que no están activos, publicación en DNS, etc. activos, publicación en DNS, etc.

Es posible ejecutar esta herramienta contra todos los Es posible ejecutar esta herramienta contra todos los DCs del bosque al utilizar la opción DCs del bosque al utilizar la opción /e/e..

Puntos clave – Sincronización de tiemposPuntos clave – Sincronización de tiempos W32Time se encarga de la sincronización de tiempos en los W32Time se encarga de la sincronización de tiempos en los

miembros y DCs del bosquemiembros y DCs del bosque

Se recomienda utilizar la jerarquía automática de sincronización de Se recomienda utilizar la jerarquía automática de sincronización de tiempos dentro del bosque, es decir, sólo configurar al PDC Emulator tiempos dentro del bosque, es decir, sólo configurar al PDC Emulator del domino raíz para que sincronice con una fuente externa, dejando del domino raíz para que sincronice con una fuente externa, dejando a los demás DCs y miembros del bosque en configuración a los demás DCs y miembros del bosque en configuración automáticaautomática216734 How to configure an authoritative time server in Windows 2000216734 How to configure an authoritative time server in Windows 2000

http://support.microsoft.com/?id=216734http://support.microsoft.com/?id=216734

Para el resto de Dcs se debe Para el resto de Dcs se debe establecer el modo automático de establecer el modo automático de sincronización sincronización w32tm /config /syncfromflags:domhier /updatew32tm /config /syncfromflags:domhier /update

Para sincronizar el reloj lo antes posible con la nueva configuración Para sincronizar el reloj lo antes posible con la nueva configuración ejecutar:ejecutar:W32tm /resyncW32tm /resync

Puntos clave – RendimientoPuntos clave – Rendimiento ContadoresContadores

Process – LSASS - % Processor TimeProcess – LSASS - % Processor Time

Process – LSASS – Handle CountProcess – LSASS – Handle Count

Process – LSASS – Private BytesProcess – LSASS – Private Bytes

SystemSystem

Network InterfaceNetwork Interface

Physical DiskPhysical Disk

Logical DiskLogical Disk

NTDS NTDS

MemoryMemory

Active Directory Operations GuideActive Directory Operations Guidehttp://www.microsoft.com/resources/documentation/msa/edc/all/solution/en-us/pak/http://www.microsoft.com/resources/documentation/msa/edc/all/solution/en-us/pak/

sog/edcops08.mspxsog/edcops08.mspx

Performance Counters Reference GuidePerformance Counters Reference Guide

http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/Default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/us/Default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/w2rkbook/counters.aspw2rkbook/counters.asp

Puntos clave – OtrosPuntos clave – Otros

Disposición de FSMO’s Disposición de FSMO’s http://support.microsoft.com/default.aspx?scid=KB;EN-US;223346http://support.microsoft.com/default.aspx?scid=KB;EN-US;223346

Tipos de objetos de la base de datosTipos de objetos de la base de datosDsastat –s:servername –b dc=domain,dc=com > dsastat.txtDsastat –s:servername –b dc=domain,dc=com > dsastat.txt

312403 Distributed Link Tracking on Windows-based domain controllers312403 Distributed Link Tracking on Windows-based domain controllershttp://support.microsoft.com/default.aspx?scid=kb;EN-US;312403http://support.microsoft.com/default.aspx?scid=kb;EN-US;312403

Política de contraseñasPolítica de contraseñas BackupsBackups

Webcast en su versión grabada de Webcast en su versión grabada de Directorio ActivoDirectorio Activo

Active Directory - Usos y conceptos básicos del Active Directory - Usos y conceptos básicos del Directorio ActivoDirectorio Activo

Active Directory - Conceptos Avanzados de Active Directory - Conceptos Avanzados de Directorio ActivoDirectorio Activo

Active Directory - La importancia del DNS para el Active Directory - La importancia del DNS para el Directorio ActivoDirectorio Activo

Active Directory - Replicación del Directorio ActivoActive Directory - Replicación del Directorio Activo Active Directory - Uso avanzado de las politicas de Active Directory - Uso avanzado de las politicas de

GrupoGrupo

Más Acciones de Directorio ActivoMás Acciones de Directorio Activo

Active DirectoryActive Directory - Mejores practicas en las - Mejores practicas en las operaciones de Directorio Activo.23 de Marzo.operaciones de Directorio Activo.23 de Marzo.

Active DirectoryActive Directory - Migración desde Windows NT a - Migración desde Windows NT a Directorio Activo. 6 de Abril.Directorio Activo. 6 de Abril.

Active DirectoryActive Directory - Uso avanzado del sistema de - Uso avanzado del sistema de archivos distribuido (DFS). 20 de Abrilarchivos distribuido (DFS). 20 de Abril

Active DirectoryActive Directory - Gestión de Identidades (ADAM, - Gestión de Identidades (ADAM, MIIS)MIIS)

Para información adicional y registro:Para información adicional y registro: http://www.microsoft.com/spain/technet/http://www.microsoft.com/spain/technet/

jornadas/webcasts/default.aspjornadas/webcasts/default.asp

Más Acciones desde TechNetMás Acciones desde TechNet

Para ver los webcast grabados sobre éste tema y otros temas, Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:diríjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/http://www.microsoft.com/spain/technet/jornadas/webcasts/

webcasts_ant.aspwebcasts_ant.asp Para información y registro de Futuros Webcast de éste y otros Para información y registro de Futuros Webcast de éste y otros

temas diríjase a:temas diríjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/http://www.microsoft.com/spain/technet/jornadas/webcasts/

default.aspdefault.asp Para mantenerse informado sobre todos los Eventos, Seminarios y Para mantenerse informado sobre todos los Eventos, Seminarios y

webcast suscríbase a nuestro boletín TechNet Flash en ésta webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección:dirección: http://www.microsoft.com/spain/technet/boletines/default.mspxhttp://www.microsoft.com/spain/technet/boletines/default.mspx

Para estar informado sobre novedades vea nuestros It´s Showtime Para estar informado sobre novedades vea nuestros It´s Showtime en: en: http://www.microsoft.com/spain/technet/itsshowtime/default.aspxhttp://www.microsoft.com/spain/technet/itsshowtime/default.aspx

Para acceder a toda la información, betas, actualizaciones, Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en:recursos, puede suscribirse a Nuestra Suscripción TechNet en: http://www.microsoft.com/spain/technet/recursos/cd/default.mspxhttp://www.microsoft.com/spain/technet/recursos/cd/default.mspx

¿PREGUNTAS?¿PREGUNTAS?

Paloma García MartínPaloma García MartínMicrosoft Support SpecialistMicrosoft Support Specialist