Posts Tagged ‘servidores’

Herramientas de diagnóstico para un Controlador de Dominio ( Capitulo V )

febrero 11, 2010

Ante la caída de un DC en un dominio dado y si no hay posibilidad ninguna de restaurarlo debido por ejemplo a que el servidor ha sufrido una averigua irrecuperable, o simplemente el contenido de los discos se ha degradado, seguiremos el siguiente procedimiento:

  • Haga clic en Inicio, seleccione Programas, Accesorios y, a continuación, haga clic en Símbolo del sistema.
  • En el símbolo del sistema, escriba ntdsutil y, a continuación, presione ENTRAR.
  • Escriba metadata cleanup y, a continuación, presione ENTRAR. Según las opciones dadas, el administrador puede realizar la eliminación; pero para que ello sea posible se deben especificar parámetros de configuración adicionales.
  • Escriba connections y presione ENTRAR. Este menú se usa para conectar el servidor específico donde se produzcan los cambios. Si el usuario que ha iniciado sesión no tiene permisos administrativos, se pueden suministrar credenciales diferentes especificando las credenciales que hay que usar antes de realizar la conexión. Para ello, escriba set creds nombre de dominionombre de usuariocontraseña y, a continuación, presione ENTRAR. Para escribir una contraseña nula, escriba null en el parámetro correspondiente a la contraseña.
  • Escriba connect to server nombre de servidor y, a continuación, presione ENTRAR. Debe recibir la confirmación de que la conexión se ha establecido correctamente. Si se produce un error, compruebe que el controlador de dominio que se usa en la conexión está disponible y que las credenciales que ha suministrado tienen permisos administrativos en el servidor. Nota
    Si intenta conectar el mismo servidor que desea eliminar, cuando intente eliminar el servidor al que se hace referencia en el paso 15, puede aparecer un mensaje de error similar al siguiente: (more…)

Herramientas de diagnóstico para un Controlador de Dominio ( Capitulo IV )

enero 15, 2010

A continuación se hace una relación de los problemas más comunes que se suelen dar y las posibles soluciones o tareas que podemos llevar a cabo para intentar resolverlos. Cabe recalcar que son los problemas más comunes y las soluciones más comunes, lo cual quiere decir que puede ser que se produzcan por otros motivos diferentes (en cuyo caso podemos hacer uso de las herramientas explicadas para intentar detectar el punto de fallo y obrar en consecuencia, o podemos siempre acudir a los foros de soporte gratuito de MS

http://www.microsoft.com/spanish/msdn/gruposnoticias.asp

http://www.microsoft.com/spain/technet/comunidad/grupos/default.asp ) :

  • Los clientes Windows 2000 en adelante tardan en validarse mucho tiempo para el inicio de sesión.

La causa más común se deriva de una mala implementación o configuración del DNS, ya sea en el propio servidor o en la estación de trabajo.
Hay que repasar que los DC’s en su configuración de TCP/IP tienen los servidores DNS adecuados, y los adecuados son servidores de DNS internos en los cuales el Directorio Activo registra sus registros necesarios para el correcto funcionamiento de éste. Nunca deberá aparecer la IP de un DNS que no tenga este objetivo (por ejemplo, el de un ISP), ya que para eso deben configurarse los reenviadores

  • Las políticas de grupo no se aplican

La causa más común suele ser también la descrita en el punto anterior.
Si no fuera el caso, aunque no sea la temática de este documento (las políticas de grupo o GPO necesitan su propio documento debido a que también dan mucho juego), se dejan a continuación algunos enlaces que pueden ser de ayuda u orientación:

  • Los DC’s de diferentes Sites, y del mismo dominio dejan de replicar

Lo primero que deberemos verificar es que entre dichos DC’s haya conectividad por el puerto 135 TCP. Para ello podemos usar la herramienta Portquery.
Es importante tener en cuenta que los DC’s que lleven más de 60 días sin replicar ya no podrán hacerlo.
Si hay conectividad por el puerto 135 TCP, deberemos entonces repasar que hay resolución de nombres por el DNS, la sincronización horaria está correcta y repasar el visor de eventos para más información al respecto y ver si alguna de las herramientas descritas puede ayudar a averiguar más.

  • Los usuarios no inician sesión

Un usuario necesita acceder a un DC que sea Global Catalog para poder iniciar sesión (a partir de Windows Server 2003 ya no es imperativo; se necesita un DC que tenga habilitada la posibilidad del cacheo de membresía a grupos universales y que el usuario haya hecho logon a través de dicho DC).

También es importante repasar que la sincronización horaria es la adecuada entre la estación cliente y un DC de su dominio.

  • Los clientes validan o acceden a recursos de servidores de otra subred en lugar de acceder a los de la suya

Deberemos repasar que su subred esté asociada al Site adecuado, y en caso de no ser así, definirlo cuanto antes

  • Un DC con un FSMO ha caído y no puede volverse a poner en red.

El procedimiento adecuado en estos casos pasa primero por forzar el traspaso del FSMO de dicho DC a otro.
Tras ello, es importante eliminar la referencia de dicho DC en la metabase del Directorio Activo, ya que de lo contrario afectará al rendimiento y funcionamiento de nuestro servicio de directorio.
Una vez que se haya replicado este cambio, podemos verificar con la herramienta de Replmon que los cambios se han llevado a cabo satisfactoriamente.

Herramientas de diagnóstico para un Controlador de Dominio ( Capitulo III )

enero 15, 2010

Tareas periódicas a llevar a cabo en un DC

Si nuestro Directorio Activo sufre contínuos cambios en la base de datos del metadirectorio (por ejemplo, adición/eliminación constante de cuentas de usuario, máquinas, políticas, etc)  sería muy aconsejable una vez al mes llevar a cabo una defragmentación offline.

Si no es así, no es necesario a cabo nada en este respecto ya que la defragmentación online será suficiente.

  • Si no hay muchos DC’s o sites configurados, debería bastar una vez al mes realizar un diagnóstico de los DC’s empleando las herramientas de dcdiag, netdiag y replmon como se ha explicado arriba para hacer un chequeo del estado de las réplicas, FSMO’s y Global Catalog.
  • Comprobar al menos una vez a la semana que el DC con el rol de PDCEmulator encargado de sincronizar la hora lo haga adecuadamente.
  • Comprobar al menos una vez al mes con la herramienta dsastat que los DC’s entre sí no tengan diferencias en los objetos replicados.
  • Comprobar al menos una vez al mes que no hay errores con ID 5774, 5775 y 5781 por el servicio Netlogon en la parte de Sistema. Esos ID pueden suponer que el DC no ha registrado correctamente en el DNS los registros necesarios para anunciarse y actuar como DC.
  • Repasar al menos una vez al mes que los DC’s están al día en cuanto de parches de seguridad se refiere.
  • Si nuestro DC tiene software de antivirus, repasar diariamente que se encuentra actualizado adecuadamente.

NOTA: la periodicidad puede variar en función de muchas circunstancias y situaciones, por lo que se ha especificado es sólo a modo orientativo

Herramientas de diagnóstico para un Controlador de Dominio ( Capitulo II Tercera Parte )

enero 8, 2010
5. PORTQRY
Esta herramienta sirve para comprobar la conectividad entre los servidores mediante  puertos TCP y UDP.
Por ejemplo, para verificar la conectividad al puerto 135 de un Server:

portqry /n 10.193.36.210 /p udp /e 135

Querying target system called:

 10.193.36.210

Attempting to resolve IP address to a name…

IP address resolved to RKTLABDC2

UDP port 135 (epmap service): LISTENING or FILTERED
Querying Endpoint Mapper Database…
Server’s response:

UUID: a00c021c-2be2-11d2-b678-0000f87a8f8e PERFMON SERVICE
ncacn_np:\\\\RKTLABDC2[\\pipe0003b8.000]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\\RKTLABDC2[\\pipe0003b8.000]

Total endpoints found: 69

==== End of RPC Endpoint Mapper query response ====

UDP port 135 is LISTENING

A parte:

(more…)

Herramientas de diagnóstico para un Controlador de Dominio ( Capitulo II Segunda Parte )

diciembre 22, 2009

4. REPLMON
Es la utilidad gráfica del repadmin, y tiene las mismas funcionalidades pero de un modo más intuitivo y fácil de hacer e interpretar; puede comprobar el estado de la réplica entre las diferentes particiones del AD entre los diferentes DC’s implicados; forzar la sincronización entre ellos, ver errores de réplica o hacer testeos de los FSMO. A continuación se detallan las opciones más comunes y el uso de dicha herramienta. Para arrancarla basta ir a “StartàRun: replmon”:

dominioimage001

Para añadir un DC y empezar a hacer los diagnósticos, con el botón derecho sobre Monitored Servers elegimos la opción para añadir un DC:

dominioimage002

Nos preguntará por cómo queremos añadir o buscar el DC, si por el nombre o a través del directorio; en nuestro ejemplo será a partir del directorio:

dominioimage003

A continuación elegiremos el site del que forme parte el DC a chequear y al propio Dc como tal: (more…)

Herramientas de diagnóstico para un Controlador de Dominio ( Capitulo II Primera Parte )

diciembre 10, 2008

Realizar un diagnóstico del DC

Ante algún posible fallo relacionado con el AD, lo primero que podemos mirar es el resultado que se produce al ejecutar las siguientes herramientas de diagnóstico para el servicio de directorio (para poder hacer uso de ellas es necesario instalar las support tools del CD de Windows 2003):

 1. DCDIAG
Esta herramienta sirve para hacer una serie de test a los DC’s del dominio o bosque con el fin de poder encontrar algún error entre ellos. Un ejemplo de un dcdiag de un DC que esté funcionando correctamente puede ser el siguiente:

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\DCLAB1
Starting test: Connectivity
……………………. DCLAB1 passed test Connectivity

Doing primary tests (more…)

Herramientas de diagnóstico para un Controlador de Dominio ( Capitulo I )

septiembre 16, 2008

Antes de poder montar una infraestructura de red basada en los servicios de directorio de Microsoft (Directorio Activo), es necesario tener claro los conceptos y funciones principales que hacen posible que dicha tecnología sirva para implementar una solución y no un problema. Es por eso que hay que conocer muy bien los conceptos básicos que se interrelacionan entre sí a la hora de hacer funcionar el Directorio Activo. A continuación se expone una breve lista y una pequeña descripción de lo que una persona debe conocer antes de implementar una solución con el Directorio Activo; sería muy recomendable que se repasaran dichos términos/tecnologías en la propia ayuda del sistema o en la web de Microsoft para poder comprender mejor el funcionamiento de lo que se va a explicar:

Directorio Activo, ¿qué es?
El Directorio Activo es el servicio de directorio de Microsoft…pero, ¿qué es un servicio de directorio?
Un servicio de directorio es como una base de datos para guardar gran cantidad de información y poder consultarla, agruparla, modificarla, etc.; haciendo un ejemplo, es como si fuera una agenda donde vamos a guardar y organizar la información que para nosotros es necesaria y útil.
Por tanto, en el Directorio Activo guardaremos la información útil para la empresa, y después poder hacer diversos tipos de acciones sobre dicha información.

(more…)

Modificar los servidores DNS en los puestos mediante un script

septiembre 11, 2008

Esto nos es muy útil cuando estamos realizando alguna migración de servidores, en el caso que vayamos a cambiar los servidores DNS de dirección IP o el servidor DNS de servidor, debemos cambiar en todos los puestos sus servidores DNS.

Puede que los puestos estén configurados con una dirección IP dinámica por lo cual el cambio es muy simple y lo cambiaremos únicamente en el servidor DHCP.

Pero.. qué pasa si nuestros puestos tienen una dirección IP fija. Que deberíamos cambiar el ‘Servidor DNS preferido’ y el ‘Servidor DNS alternativo’ o manualmente o mediante la ayuda de un simple script que podemos poner en el inicio de sesión de los puestos mediante una GPO.

El script en cuestión es el siguiente:

On Error Resume Next

strComputer = “.”
Set objWMIService = GetObject(“winmgmts:” _
     & “{impersonationLevel=impersonate}!\\” & strComputer & “\root\cimv2”)

Set colNetCards = objWMIService.ExecQuery _
     (“Select * From Win32_NetworkAdapterConfiguration Where IPEnabled = True”)

For Each objNetCard in colNetCards
     arrDNSServers = Array(“DIRECCION_IP_SERVIDOR_DNS_1”, “DIRECCION_IP_SERVIDOR_DNS_2”)
     objNetCard.SetDNSServerSearchOrder(arrDNSServers)

Next

Este sería el script a ejecutar en los puestos clientes y nos cambiará los dos servidores DNS si los tenemos con dirección IP fija, si sólo es uno, es cuestión de modificar el script.

11 herramientas esenciales para administrar Active Directory

julio 31, 2008
Si ha recibido alguna vez una hoja de cálculo de Excel con una lista de 200 empleados nuevos que empiezan la semana próxima, o si sus cuentas de usuario se han configurado incorrectamente porque el personal de soporte técnico hizo clic en algo
en lo que debía haber hecho clic, o si simplemente desea facilitar la administración de Active Directory® sin tener que abrir usuarios y equipos cada vez, existen varias herramientas de administración gratuitas que pueden ayudarle con todo esto. Algunas se han creado directamente en el sistema operativo Windows®, otras proceden de un kit de recursos o de las herramientas de soporte de Windows y algunas otras son herramientas de terceros gratuitas. ¿Cuáles son estas herramientas tan prácticas y dónde pueden obtenerse? Averigüémoslo.
Empezaré con las herramientas de la línea de comandos integradas en Windows Server® 2003 que permiten crear, eliminar, modificar y buscar objetos en Active Directory.

CSVDE

La herramienta Comma-Separated Values Data Exchange, conocida como CSVDE, permite importar objetos nuevos a Active Directory mediante un archivo de código de origen CSV; también proporciona la capacidad de exportar objetos existentes a un archivo CSV. CSVDE no puede usarse para modificar objetos existentes; cuando se usa esta herramienta en el modo de importación, es sólo para crear objetos nuevos.
Exportar una lista de objetos existentes con CSVDE es bastante sencillo. Aquí se muestra cómo se exportan objetos de Active Directory a un archivo llamado ad.csv:
csvde –f ad.csv
El modificador de comandos –f indica que sigue el nombre del archivo de salida. Pero debe ser consciente de que, en función del entorno, esta sintaxis básica podría tener como resultado un archivo de salida muy grande y difícil de manejar. Para restringir la herramienta de forma que sólo se exporten objetos dentro de una unidad organizativa concreta, se pueden modificar las instrucciones de la siguiente manera:
csvde –f UsersOU.csv –d ou=Users,dc=contoso,dc=com
Digamos además que sólo está interesado en exportar objetos de usuario al archivo CSV. En ese caso, se puede agregar el modificador de comandos –r, el cual permite especificar un filtro del Protocolo ligero de acceso a directorios (LDAP) para la búsqueda, y el modificador de comandos –l, el cual restringe el número de atributos que se van a exportar (observe que lo que sigue está todo en una línea):
csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r
    “(&(objectcategory=person)(objectclass=user))” –l
    DN,objectClass,description
El modificador de comandos -i permite importar objetos a Active Directory desde un archivo de origen CSV. Sin embargo, crear objetos de usuario con CSVDE tiene una limitación importante: no se pueden establecer contraseñas de usuario. A causa de esto, se recomienda evitar el uso de CSVDE para crear objetos de usuario.

(more…)