actualizar dominios de windows nt 4.0 a windows server 2003 arren conner - supportability pm andreas...

Actualizar dominios de Actualizar dominios de Windows NT 4.0 a Windows Windows NT 4.0 a Windows Server 2003Server 2003

Arren Conner - Supportability PMArren Conner - Supportability PMAndreas Luther - Deployment PMAndreas Luther - Deployment PMMicrosoft CorporationMicrosoft Corporation

2

ObjetivosObjetivos

Ofrecer a los administradores, consultores y Ofrecer a los administradores, consultores y profesionales de soporte un marco de referencia profesionales de soporte un marco de referencia para la actualización de dominos desde Microsoft® para la actualización de dominos desde Microsoft® Windows NT® 4.0 a dominios de Microsoft Windows NT® 4.0 a dominios de Microsoft Windows® Server 2003 Windows® Server 2003

Reducir el tiempo de pérdida de conexión entre Reducir el tiempo de pérdida de conexión entre controladores de dominio y clientes durante el controladores de dominio y clientes durante el proceso de actualización, poniendo en común proceso de actualización, poniendo en común incidencias conocidas y buenas prácticasincidencias conocidas y buenas prácticas

No es nuestro objetivo ahora:No es nuestro objetivo ahora: El diseño del Directorio Activo, estructuras de OU y El diseño del Directorio Activo, estructuras de OU y

ubicación de controladores de dominio, aspectos que se ubicación de controladores de dominio, aspectos que se tratan ampliamente en Windows 2000tratan ampliamente en Windows 2000

3

Convenciones en esta presentaciónConvenciones en esta presentación

NT4 se refiere a Windows NT 4.0 ServerNT4 se refiere a Windows NT 4.0 Server 2000 se refiere a la familia de servidores Windows 2000 se refiere a la familia de servidores Windows

2000 Server 2000 Server 2003 se refiere a la familia de servidores Windows 2003 se refiere a la familia de servidores Windows

Server 2003Server 2003 XP se refiere a la familia Windows XPXP se refiere a la familia Windows XP Win9X se refiere a Windows 95, Windows 98, Win9X se refiere a Windows 95, Windows 98,

Windows 98 Standard Edition, y la familia de clientes Windows 98 Standard Edition, y la familia de clientes Windows MillenniumWindows Millennium

E2K es abreviatura de Exchange 2000E2K es abreviatura de Exchange 2000 DC es abreviatura de domain controllerDC es abreviatura de domain controller

4

Convenciones en esta presentaciónConvenciones en esta presentación (2)(2)

∆ ∆ es el símbolo de cambio, incluyendo cambios de es el símbolo de cambio, incluyendo cambios de comportamiento en el sistema operativo, cambio de comportamiento en el sistema operativo, cambio de configuración realizado por el administrador, y la configuración realizado por el administrador, y la posibilidad de recibir y propagar cambios a objetos posibilidad de recibir y propagar cambios a objetos entre partners usando motores de réplica como FRS entre partners usando motores de réplica como FRS o ADo AD

AD es abreviatura de Active Directory AD es abreviatura de Active Directory IB/OB se refiere a replicación entrante (inbound) o IB/OB se refiere a replicación entrante (inbound) o

saliente (outbound) de archivos y directorios saliente (outbound) de archivos y directorios mediante FRS u objetos y atributos en el Directorio mediante FRS u objetos y atributos en el Directorio Activo. Activo.

LO es abreviatura de ”lingering object”LO es abreviatura de ”lingering object” Un objeto borrado de un NC que aún existe en otros NC Un objeto borrado de un NC que aún existe en otros NC

modificables o de solo lectura en el dominio o el bosque.modificables o de solo lectura en el dominio o el bosque. CO se refiere al objeto de conexión utilizado por el CO se refiere al objeto de conexión utilizado por el

AD y FRSAD y FRS

5

AgendaAgenda

Niveles FuncionalesNiveles Funcionales Planificación del ADPlanificación del AD Inventario: clientesInventario: clientes Inventario: controladores de dominioInventario: controladores de dominio Actualización de controladores de dominio Actualización de controladores de dominio

NT4NT4 Operaciones post-actualizaciónOperaciones post-actualización Configurar niveles funcionales en 2003Configurar niveles funcionales en 2003

6

Niveles de funcionalidadNiveles de funcionalidadCaracterísticas nuevas en dominios y bosquesCaracterísticas nuevas en dominios y bosques

Modelo para introducir nuevo comportamiento en el Modelo para introducir nuevo comportamiento en el sistema operativosistema operativo Avanzado por el administrador cuando todos los DCs de la Avanzado por el administrador cuando todos los DCs de la

“lista” están actualizados“lista” están actualizados Analogía: Modo nativo de Windows 2000 (pero más robusto)Analogía: Modo nativo de Windows 2000 (pero más robusto) Los niveles sólo se pueden aumentar, no hay vuelta atrásLos niveles sólo se pueden aumentar, no hay vuelta atrás Mientras se avanza, las versiones anteriores de DC se Mientras se avanza, las versiones anteriores de DC se

ignoranignoran Los clientes nunca se ven afectados.Los clientes nunca se ven afectados.

Niveles funcionales disponiblesNiveles funcionales disponibles Funcionalidad de dominio de Windows 2003 ServerFuncionalidad de dominio de Windows 2003 Server Funcionalidad Funcionalidad de transición (interim)de transición (interim) de bosque de Windows de bosque de Windows

2003 Server2003 Server Solo interesa para dominios NT4.0 actualizados a 2003Solo interesa para dominios NT4.0 actualizados a 2003

Funcionalidad de Funcionalidad de ForestForest (FFL) de Windows 2003 Server (FFL) de Windows 2003 Server

7

Características del Sistema Operativo Características del Sistema Operativo Windows Server 2003Windows Server 2003 DCs nuevos o actualizadosDCs nuevos o actualizados

Particiones de aplicaciónParticiones de aplicación Cache de grupo UniversalCache de grupo Universal Instalación desde medios de almacenamientoInstalación desde medios de almacenamiento No necesidad de sincronización completa entre GC para No necesidad de sincronización completa entre GC para

extensiones del esquema PASextensiones del esquema PAS CuotasCuotas Delegación de la migración de histórico de SIDDelegación de la migración de histórico de SID Enlaces LDAP concurrentesEnlaces LDAP concurrentes Degradación (Degradación (demotiondemotion) de GC rápida) de GC rápida Almacenamiento en instancia únicaAlmacenamiento en instancia única Mejoras en el bloqueo de cuentasMejoras en el bloqueo de cuentas Gestión de eventos y texto de mensaje mejoradosGestión de eventos y texto de mensaje mejorados

1311, fallo de replicación1311, fallo de replicación

Y muchas más …Y muchas más …

8

Niveles de funcionalidad del DominioNiveles de funcionalidad del Dominio

Funcionalidad Funcionalidad de Dominiode Dominio

Características activadasCaracterísticas activadas DCs soportados DCs soportados en el dominioen el dominio

Windows 2000 Windows 2000 MixtoMixto

Grupos universales Grupos universales (excluidos grupos de seguridad) (excluidos grupos de seguridad)

Windows NT 4.0Windows NT 4.0

Windows 2000Windows 2000


Windows 2000 Windows 2000 NativoNativo

Todas las del modo mixto, más: Todas las del modo mixto, más: Anidamiento de gruposAnidamiento de grupos Grupos universalesGrupos universales SIDHistorySIDHistory Conversiones de gruposConversiones de grupos



transicióntransición a a Windows 2003 Windows 2003 Server desde Server desde Mixto / NativoMixto / Nativo

Lo mismo que el modo Mixto/Nativo Lo mismo que el modo Mixto/Nativo de Windows 2000. Depende de si el de Windows 2000. Depende de si el dominio está en modo mixto o nativodominio está en modo mixto o nativo



9

Niveles de funcionalidad del dominioNiveles de funcionalidad del dominio (2)(2)

Funcionalidad Funcionalidad del dominiodel dominio

Características activadasCaracterísticas activadas DCs soportados DCs soportados en el dominioen el dominio

Windows 2003 Windows 2003 ServerServer

Todas las del modo nativo de Todas las del modo nativo de Windows 2000 más:Windows 2000 más: Actualización del atributo de marca de Actualización del atributo de marca de hora (timestamp) del logonhora (timestamp) del logon Versión Kerberos KDCVersión Kerberos KDC Password de usuario en INetOrgPersonPassword de usuario en INetOrgPerson Renombrado de DC con netdomRenombrado de DC con netdom Redirección de usuarios y máquinasRedirección de usuarios y máquinas Administrador de validación puede Administrador de validación puede guardar políticas de autenticaciónguardar políticas de autenticación Delegación restringida para máquinasDelegación restringida para máquinas Validación selectiva entre forestsValidación selectiva entre forests


10

Niveles de funcionalidad de bosqueNiveles de funcionalidad de bosqueFuncionalidad de Funcionalidad de bosquebosque

Características activadasCaracterísticas activadas DC soportados en DC soportados en el bosqueel bosque

Windows 2000Windows 2000 Windows NT 4.0Windows NT 4.0



Windows 2003 Windows 2003 Server Server InterimInterim

Todas las de Windows 2000 más:Todas las de Windows 2000 más: Replicación LVRReplicación LVR ISTG mejoradoISTG mejorado Nuevos atributos añadidos al GCNuevos atributos añadidos al GC



Windows 2003 Windows 2003 ServerServer

Todas las del Todas las del modo transiciónmodo transición Windows Windows 2000 más:2000 más: Clases auxiliares dinámicasClases auxiliares dinámicas Cambio de usuario a INetOrgPersonCambio de usuario a INetOrgPerson Reactivación/desactivación de esquemaReactivación/desactivación de esquema Renombrado de dominioRenombrado de dominio Relación de confianza entre bosques Relación de confianza entre bosques (cross-forest)(cross-forest) Grupos básicos y basados en query Grupos básicos y basados en query (para validación basada en roles) (para validación basada en roles) Replicación intrasite cada 15 segundosReplicación intrasite cada 15 segundos


11

Estrategias para la raíz del bosqueEstrategias para la raíz del bosquePosibilidad de redefinir la estructura de bosquesPosibilidad de redefinir la estructura de bosques

Disponibles todos los dominios de cuentas de NT4.0Disponibles todos los dominios de cuentas de NT4.0 ¿Consolidar todos los dominios de cuentas después de ¿Consolidar todos los dominios de cuentas después de

migrar a 2003?migrar a 2003?

Actualizar el dominio de cuentas más grandeActualizar el dominio de cuentas más grande Migrar los usuarios desde algunos o todos los dominios de Migrar los usuarios desde algunos o todos los dominios de

cuentascuentas

Crear nuevo dominio raíz de bosque 2003Crear nuevo dominio raíz de bosque 2003 Actualizar dominios NT4.0 dentro de dominios hijosActualizar dominios NT4.0 dentro de dominios hijos Configurar manualmente un modo transitorio de bosque en Configurar manualmente un modo transitorio de bosque en

Ldp.exeLdp.exe

El PDC de dominios NT4.0 debe ser el primer DC de El PDC de dominios NT4.0 debe ser el primer DC de 2003 para cada dominio NT4.0 actualizado2003 para cada dominio NT4.0 actualizado

12

Modo de transición y Grupos de Modo de transición y Grupos de SeguridadSeguridad Por qué la raíz del bosque de los dominios 4.0 debe Por qué la raíz del bosque de los dominios 4.0 debe estar en modo de transitorio de bosqueestar en modo de transitorio de bosque

NT 4.0: NT 4.0: No hay límite para los miembros de grupos de No hay límite para los miembros de grupos de

seguridadseguridad W2K: “límite” a 5.000 miembros no forzadoW2K: “límite” a 5.000 miembros no forzado

El último que escribe es el que gana en la El último que escribe es el que gana en la replicación = pérdida de Δs de pertenencia a replicación = pérdida de Δs de pertenencia a gruposgrupos

ΔΔ a pertenencia a grupos causa una a pertenencia a grupos causa una sincronización completa del gruposincronización completa del grupo

Replicación y borrado ineficientes:Replicación y borrado ineficientes: Errores “DS is busy” + “out of version Errores “DS is busy” + “out of version

store”store”

13

Modo de transición y Grupos de Modo de transición y Grupos de SeguridadSeguridad ¿No se puede ir directamente al modo transitorio?¿No se puede ir directamente al modo transitorio? Identificar todos los grupos con más de 5.000 Identificar todos los grupos con más de 5.000

miembrosmiembros Romperlos en varios grupos menoresRomperlos en varios grupos menores

%groupname%A-L%groupname%A-L %groupname%M-Z%groupname%M-Z Anidar grupos locales dentro de grupos Anidar grupos locales dentro de grupos

globalesglobales Reasignar ACL a recursos usando el grupo Reasignar ACL a recursos usando el grupo

originaloriginal

14

Lista de comprobación previa a la Lista de comprobación previa a la actualización de ADactualización de ADProcesos redefinidos en W2KProcesos redefinidos en W2K

Prueba de compatibilidad de aplicaciones y sistema Prueba de compatibilidad de aplicaciones y sistema operativo de clientesoperativo de clientes

Definición de espacio de nombres de ADDefinición de espacio de nombres de AD Selección de la estructura de bosque del ADSelección de la estructura de bosque del AD El dominio como límite de seguridadEl dominio como límite de seguridad Definición del espacio de nombres de OU y modelo de Definición del espacio de nombres de OU y modelo de

delegacióndelegación Buenas prácticas para la estructura de la organizaciónBuenas prácticas para la estructura de la organización Definiciones de sites y enlaces entre sitesDefiniciones de sites y enlaces entre sites Resolución de espacio de nombres y delegaciones DNSResolución de espacio de nombres y delegaciones DNS Definición de emplazamiento de DCDefinición de emplazamiento de DC Actualización de los DC actuales frente a instalaciones Actualización de los DC actuales frente a instalaciones

nuevasnuevas Definición de actualización en Modo transitorio frente a Definición de actualización en Modo transitorio frente a

modo mixtomodo mixto

15

Diseño de ADDiseño de AD

Espacio de nombresEspacio de nombres Máximo número de caracteres para FQDN: 245.809Máximo número de caracteres para FQDN: 245.809

63 caracteres ASCII o UTF-8 bytes63 caracteres ASCII o UTF-8 bytes Nombres no-ASCII utilizan más caracteresNombres no-ASCII utilizan más caracteres Podemos comparar los dominios de MS Corp con la Podemos comparar los dominios de MS Corp con la

“regla”:“regla”:

dsys.ntdev.windows2000.redmond.washington.northamerica.corp.microsodsys.ntdev.windows2000.redmond.washington.northamerica.corp.microsoft.comft.com

01234567890123456789012345678901234567890123456789012345678901230123456789012345678901234567890123456789012345678901234567890123

Estructura de bosqueEstructura de bosque La mayoría de bosques tienen dos y algunas veces tres La mayoría de bosques tienen dos y algunas veces tres

niveles de profundidad (incluyendo la raíz)niveles de profundidad (incluyendo la raíz) Número máximo de dominios hijos de un solo padre: ~ 850Número máximo de dominios hijos de un solo padre: ~ 850

16

Diseño de ADDiseño de AD (2)(2)

Diseño de bosqueDiseño de bosque Cuanto menos dominios mejorCuanto menos dominios mejor Crear nuevos bosques y dominios para cubrir:Crear nuevos bosques y dominios para cubrir:

Necesidades de políticas, propiedad de esquema, Necesidades de políticas, propiedad de esquema, tráfico de replicación, seguridad.tráfico de replicación, seguridad.

El bosque como frontera de seguridad (ver siguiente slide)El bosque como frontera de seguridad (ver siguiente slide)

Estructura de Unidades Organizativas (OU)Estructura de Unidades Organizativas (OU) Es práctico hasta 3-4 niveles de profundidad Es práctico hasta 3-4 niveles de profundidad La administración debe definir la profundidad, no el La administración debe definir la profundidad, no el

rendimientorendimiento Implantar buenas prácticas en la estructura de OUsImplantar buenas prácticas en la estructura de OUs Mantener usuarios y máquinas dentro de OU para aplicar Mantener usuarios y máquinas dentro de OU para aplicar

Políticas de GrupoPolíticas de Grupo

RecursosRecursos

17

El dominio como límite de la seguridadEl dominio como límite de la seguridad Dominio NT4Dominio NT4

Dominio = frontera de la seguridadDominio = frontera de la seguridad 2000 y 20032000 y 2003

Comparten contextos de configuración, esquema Comparten contextos de configuración, esquema y nomenclatura de GCy nomenclatura de GC

Ciertas asunciones acerca de relaciones de Ciertas asunciones acerca de relaciones de confianza entre KDCsconfianza entre KDCs

Los dominios no proporcionan aislamiento total Los dominios no proporcionan aislamiento total de administradores de servicio de administradores de servicio malintencionadosmalintencionados

Los administradores de dominio pueden iniciar Los administradores de dominio pueden iniciar cambios globalescambios globales

El bosque ofrece pleno aislamiento y El bosque ofrece pleno aislamiento y autonomíaautonomía Necesidades legales u organizativas pueden Necesidades legales u organizativas pueden

imponer más de un bosqueimponer más de un bosque RecursosRecursos

18

Interoperabilidad entre Cliente y Interoperabilidad entre Cliente y AdministradorAdministradorParámetros de seguridad mejorados en 2003Parámetros de seguridad mejorados en 2003

En XP, 2003 y W2K SP4 las herramientas de En XP, 2003 y W2K SP4 las herramientas de administrador de AD firman el tráfico LDAPadministrador de AD firman el tráfico LDAP Fallos en la administración NTLM en DCs anteriores a SP3Fallos en la administración NTLM en DCs anteriores a SP3

Escenarios de admin NTLM: gestión de relaciones de Escenarios de admin NTLM: gestión de relaciones de confianza y subredes IP de entornos antiguosconfianza y subredes IP de entornos antiguos

AlternativasAlternativas Instalar SP en DCs W2K para administrarlos oInstalar SP en DCs W2K para administrarlos o Clientes 2000 SP4, XP, y 2003 necesitan Clientes 2000 SP4, XP, y 2003 necesitan ΔΔ en registro en registro Artículos KB: Artículos KB: 811765811765 y y 325465325465

Permite política de traducción de SID Permite política de traducción de SID anonónimo/nombreanonónimo/nombre A los clientes de dominios de recursos NT4 puede A los clientes de dominios de recursos NT4 puede

ocurrirles:ocurrirles: ““Account Unknown” en editor ACLAccount Unknown” en editor ACL Fallos de validación en clientes Microsoft y Outlook Fallos de validación en clientes Microsoft y Outlook

Resultados intermitentes al moverse los Canales Seguros Resultados intermitentes al moverse los Canales Seguros (SC) entre DCs 2000/2003(SC) entre DCs 2000/2003

19

Interoperabilidad entre Cliente y Interoperabilidad entre Cliente y Administrador Administrador (2)(2)

Parámetros de seguridad mejorados en 2003Parámetros de seguridad mejorados en 2003

Acceso compatible pre-Windows 2000Acceso compatible pre-Windows 2000 Si Everyone está en un grupo compatible con pre-Windows Si Everyone está en un grupo compatible con pre-Windows

2000,2000, Se añade Anónimo y Usuarios AutentificadosSe añade Anónimo y Usuarios Autentificados Se añade Servicio de Red al alias de Monitorización de Se añade Servicio de Red al alias de Monitorización de

RendimientoRendimiento Enterprise Domain Controllers se añade al Grupo de Acceso Enterprise Domain Controllers se añade al Grupo de Acceso

de Autorización de Windowsde Autorización de Windows Everyone puede haber sido borrado por el AdministradorEveryone puede haber sido borrado por el Administrador

Frecuente en dominios 2000 actualizados desde NT4.0Frecuente en dominios 2000 actualizados desde NT4.0

Acceso LDAP anónimo desactivadoAcceso LDAP anónimo desactivado Artículo KB: 326690 Artículo KB: 326690

20

Inventario de ClientesInventario de ClientesActualizar Clientes Win95 y NT4.0 o relajar parámetrosActualizar Clientes Win95 y NT4.0 o relajar parámetros

Valores de seguridad por defecto en DCs 2003Valores de seguridad por defecto en DCs 2003 Por defecto se activa “Forzar firma en SMB”Por defecto se activa “Forzar firma en SMB”

Se han de relajar temporalmente los parámetros en Se han de relajar temporalmente los parámetros en políticas de DC o actualizar los clientespolíticas de DC o actualizar los clientes Windows 95Windows 95

Instalar cliente DS (Art.KB 323466) o instalar nuevo Instalar cliente DS (Art.KB 323466) o instalar nuevo S.O.S.O.

NT 4.0: NT 4.0: Necesario SP3 o posterior. Recomendado SP6a (Dfs)Necesario SP3 o posterior. Recomendado SP6a (Dfs)

Para el resto de clientes de red MicrosoftPara el resto de clientes de red Microsoft No se necesitan más intervencionesNo se necesitan más intervenciones Se recomienda siempre actualizar al último SPSe recomienda siempre actualizar al último SP

21

Inventario de espacio de nombres de DC Inventario de espacio de nombres de DC Nombres válidos de Dominio y MáquinaNombres válidos de Dominio y Máquina

Nombres de máquinaNombres de máquina NT4 permitía nombres no válidos en 2000 y 2003NT4 permitía nombres no válidos en 2000 y 2003 Art.KB 190294: nombres NetBIOS formados sólo por Art.KB 190294: nombres NetBIOS formados sólo por

números puede causar problemasnúmeros puede causar problemas Renombrar DCs con nombres problemáticos antes de Renombrar DCs con nombres problemáticos antes de

proceder a actualizar la versión del S.O.proceder a actualizar la versión del S.O.

Nombres de DominioNombres de Dominio Nombres permitidos en 2003: a-z, A-Z, 0-9 + “.” y “-”Nombres permitidos en 2003: a-z, A-Z, 0-9 + “.” y “-” Longitud máxima del nombre: 63 caracteres Longitud máxima del nombre: 63 caracteres

Art.KB: 245809, “Windows 2000 Supports Fully Qualified Art.KB: 245809, “Windows 2000 Supports Fully Qualified Domain Names up to 64 UTF-8 Bytes Long”Domain Names up to 64 UTF-8 Bytes Long”

Nombres de dominio de etiqueta única Nombres de dominio de etiqueta única ¡No recomendado! Ver detalles en Art.KB 300684 ¡No recomendado! Ver detalles en Art.KB 300684

Renombrar DCs antes de actualizar la versión de S.O.Renombrar DCs antes de actualizar la versión de S.O.

22

Inventario de espacio de nombres de DC Inventario de espacio de nombres de DC (2)(2) Nombres válidos de Dominio y MáquinaNombres válidos de Dominio y Máquina

Espacio de nombres no contiguoEspacio de nombres no contiguo 2000: por defecto, los nombres se juntan 2000: por defecto, los nombres se juntan

(dominio AD = nombre de zona DNS)(dominio AD = nombre de zona DNS) 2003: máquina miembro de dominio A con 2003: máquina miembro de dominio A con

sufijo GP promovido dentro de dominio Bsufijo GP promovido dentro de dominio B

Nombres de SiteNombres de Site Nombres compuestos solo por números hacen Nombres compuestos solo por números hacen

fallar DCPROMO (ver Art. KB 306085)fallar DCPROMO (ver Art. KB 306085)

23

1.1. Comprobar DC y dominioComprobar DC y dominio Espacio en disco suficiente. Revisión SPEspacio en disco suficiente. Revisión SP Requisitos de Hardware (RAM, CPU)Requisitos de Hardware (RAM, CPU) Nombre DC+dominio son válidosNombre DC+dominio son válidos Aumentar el tamaño del registro en el PDC con Aumentar el tamaño del registro en el PDC con

SAM muy grandeSAM muy grande

2.2. Comprobar servicios corriendo con cuenta Comprobar servicios corriendo con cuenta LocalSystem en servidores y estaciones de LocalSystem en servidores y estaciones de trabajotrabajo

Reconfigurar el servicio para utilizar una cuenta Reconfigurar el servicio para utilizar una cuenta de usuario explícita o,de usuario explícita o,

Activar acceso “down-level” en DCPROMO para Activar acceso “down-level” en DCPROMO para cada dominiocada dominio

Actualizar Dominios de Cuentas de NT 4.0Actualizar Dominios de Cuentas de NT 4.0Paso a paso para cada dominioPaso a paso para cada dominio

24

Actualizar Dominios de Cuentas de NT 4.0 Actualizar Dominios de Cuentas de NT 4.0 (2)(2)

Paso a paso para cada dominioPaso a paso para cada dominio

3.3. Configurar servidor de exportación LmreplConfigurar servidor de exportación Lmrepl Será el último controlador de dominio que se Será el último controlador de dominio que se

actualizaráactualizará Si el exportador Lmrepl es un PDC NT4.0, Si el exportador Lmrepl es un PDC NT4.0,

seleccionar un BDC como nuevo servidor de seleccionar un BDC como nuevo servidor de exportación Lmreplexportación Lmrepl

4.4. Asegurar un BDC NT 4.0Asegurar un BDC NT 4.0 Sincronizar con el PDCSincronizar con el PDC Sacar una cinta de backup y comprobar la Sacar una cinta de backup y comprobar la

restauraciónrestauración Poner offline el BDC y mantenerlo guardadoPoner offline el BDC y mantenerlo guardado

25

5.5. Actualizar el PDC con Winnt32.exeActualizar el PDC con Winnt32.exe Comprobar la actualización con “WINNT32 Comprobar la actualización con “WINNT32

/CHECKUPGRADEONLY”/CHECKUPGRADEONLY” El PDC no podrá actuar como PDC durante la actualización / El PDC no podrá actuar como PDC durante la actualización /

DCPROMODCPROMO Parar los cambios sobre el PDC que pueden afectar a la base Parar los cambios sobre el PDC que pueden afectar a la base

de usuarios y helpdeskde usuarios y helpdesk Impedir creación, borrado o Impedir creación, borrado o Δs de usuarios, máquinas, Δs de usuarios, máquinas,

grupos o relaciones de confianzagrupos o relaciones de confianza Impedir cambios de password para usuarios, máquinas o Impedir cambios de password para usuarios, máquinas o

relaciones de confianzarelaciones de confianza Planificar estas paradas contando con los grupos de Planificar estas paradas contando con los grupos de

administradores, helpdesk y usuariosadministradores, helpdesk y usuarios6.6. Parámetros DCPROMOParámetros DCPROMO

En la raíz del bosque, seleccionar modo de bosque transitorio En la raíz del bosque, seleccionar modo de bosque transitorio en la interfaz DCPROMOen la interfaz DCPROMO

Fuera del dominio raíz del bosque, promover DC a modo Fuera del dominio raíz del bosque, promover DC a modo transitorio del bosque o localizar grupos de más de 5000 transitorio del bosque o localizar grupos de más de 5000 miembrosmiembros

Configurar adecuadamente el grupo de acceso compatible pre-Configurar adecuadamente el grupo de acceso compatible pre-W2K W2K

Configurar NT4Emulator antes de reiniciar DCPROMO si hay Configurar NT4Emulator antes de reiniciar DCPROMO si hay clientes 2000, XP o 2003 Y DCs NT4.0 en el dominio (298713)clientes 2000, XP o 2003 Y DCs NT4.0 en el dominio (298713)



26



7.7. Operaciones post-actualizaciónOperaciones post-actualización Relajar los parámetros de seguridad si es precisoRelajar los parámetros de seguridad si es preciso

““Firmar SMB” + Traducción SID Anónimo a Nombre” en Firmar SMB” + Traducción SID Anónimo a Nombre” en GPO por defecto en los controladores de dominioGPO por defecto en los controladores de dominio

Comprobar el estado del DCComprobar el estado del DC Replicación completa de los objetos nuevos y Replicación completa de los objetos nuevos y

existentes a los DBCs NT4.0existentes a los DBCs NT4.0 Cambio de password y autentificación de todos los Cambio de password y autentificación de todos los

sistemas operativos clientes que acceden al dominiosistemas operativos clientes que acceden al dominio Relaciones de confianza entrantes y salientes con SC Relaciones de confianza entrantes y salientes con SC

configurados contra el PDCconfigurados contra el PDC Todos los clientes en este dominio y dominios de Todos los clientes en este dominio y dominios de

recursos pueden seleccionar y ver los “security recursos pueden seleccionar y ver los “security principals” cuando el SC se configura contra el PDCprincipals” cuando el SC se configura contra el PDC

27



8.8. Instalar y configurar LbridgeInstalar y configurar Lbridge Los DCs 2003 usan FRS en lugar de LMREPL para replicar SYSVOLLos DCs 2003 usan FRS en lugar de LMREPL para replicar SYSVOL Copiar los logon scripts y archivos desde el servidor de Copiar los logon scripts y archivos desde el servidor de

exportación LMREPL al PDC 2003exportación LMREPL al PDC 2003 Configurar LBRIDGE para copiar archivos desde PDC al servidor de Configurar LBRIDGE para copiar archivos desde PDC al servidor de

exportación LMREPLexportación LMREPL Cambiar archivos en la carpeta compartida NETLOGON solo en el Cambiar archivos en la carpeta compartida NETLOGON solo en el

PDC 2003 PDC 2003

9.9. Actualizar BDCs NT 4.0Actualizar BDCs NT 4.0 Verificación previa: WINNT32 /CHECKUPGRADEONLYVerificación previa: WINNT32 /CHECKUPGRADEONLY Aumento de versión de S.O.: WINNT32 Aumento de versión de S.O.: WINNT32 NT4 Emulator configurado antes de reinicio de DCPROMO (298713)NT4 Emulator configurado antes de reinicio de DCPROMO (298713)

10.10. En el último DC NT4.0 en el bosque actualizado a Windows 2003En el último DC NT4.0 en el bosque actualizado a Windows 2003 Eliminar la clave de registro de emulación NT4 después de que Eliminar la clave de registro de emulación NT4 después de que

todos los DCs en el dominio ya están migrados a 2003todos los DCs en el dominio ya están migrados a 2003 Cambiar a nivel funcional de bosque Windows 2003Cambiar a nivel funcional de bosque Windows 2003 No cambiar el modo de dominio 2003 salvo que se necesiten tener No cambiar el modo de dominio 2003 salvo que se necesiten tener

todas esas funcionalidadestodas esas funcionalidades Borrar LMBRIDGEBorrar LMBRIDGE

28

Nivel de bosque transitorio: DCPROMONivel de bosque transitorio: DCPROMOOpcional al promover el PDC NT4.0 al dominio raíz del Opcional al promover el PDC NT4.0 al dominio raíz del bosquebosque

29

Política de firmado de SMBPolítica de firmado de SMB

30

Operaciones Post-Upgrade/actualizaciónOperaciones Post-Upgrade/actualizaciónComprobación del nuevo DCComprobación del nuevo DC

DC está correctoDC está correcto Las carpetas compartidas NETLOGON+SYSVOL Las carpetas compartidas NETLOGON+SYSVOL

existenexisten DC responde a peticiones LDAP, RPC y logonDC responde a peticiones LDAP, RPC y logon Registros SRV, CNAME, y A aparecen en DNS Registros SRV, CNAME, y A aparecen en DNS FRS: añadir un archivo de prueba en el servidor y FRS: añadir un archivo de prueba en el servidor y

en el servidor partner de replicación directaen el servidor partner de replicación directa Active Directory: REPADMIN /SHOWREPSActive Directory: REPADMIN /SHOWREPS Política aplicándose tal y como muestra evento Política aplicándose tal y como muestra evento

17041704 El visor de sucesos está limpio, salvo la aparición El visor de sucesos está limpio, salvo la aparición

de evento 1931 en actualizaciones desde 2000de evento 1931 en actualizaciones desde 2000 No poner aún DNS en particiones de aplicaciónNo poner aún DNS en particiones de aplicación

31

Operaciones Post-Upgrade/actualizaciónOperaciones Post-Upgrade/actualizaciónMás buenas prácticasMás buenas prácticas

BackupBackup Crear un backup del nuevo sistema. Identificar los backups Crear un backup del nuevo sistema. Identificar los backups

antiguosantiguos Roles FSMORoles FSMO

Reasignar roles FSMO (Art.KB Reasignar roles FSMO (Art.KB 223346) Instalar GPMC (en WS 2003)Instalar GPMC (en WS 2003)

Planificar backup de las Políticas de GrupoPlanificar backup de las Políticas de Grupo Probar las políticas nuevas en dominios de prueba y después Probar las políticas nuevas en dominios de prueba y después

importarimportar Implantar estructuras de OU adecuadas (Art. KB 324949)Implantar estructuras de OU adecuadas (Art. KB 324949)

Probar configuración del bloqueo de cuentasProbar configuración del bloqueo de cuentas Tiempo de bloqueo ni demasiado corto ni demasiado largoTiempo de bloqueo ni demasiado corto ni demasiado largo Política de passwords para proteger el dominioPolítica de passwords para proteger el dominio Aplicar SP4 o 812499 en W2K DCs si hay algunoAplicar SP4 o 812499 en W2K DCs si hay alguno Referencia: VER Dcfirst.inf en DC 2003 (no importar)Referencia: VER Dcfirst.inf en DC 2003 (no importar)

Monitorizar!Monitorizar! No monitorizar el AD equivale a fallar No monitorizar el AD equivale a fallar

32

Dominios de recursos NT 4.0Dominios de recursos NT 4.0 Concentrar con ADMT V2 u otra herramienta de migraciónConcentrar con ADMT V2 u otra herramienta de migración

Los dominios de recursos NT 4.0 se concentran Los dominios de recursos NT 4.0 se concentran dentro de unidades organizativas en el ADdentro de unidades organizativas en el AD Los administradores de dominios de recursos no son Los administradores de dominios de recursos no son

administradores de servicios en ADadministradores de servicios en AD

Disponibles grupos restringidos en ADDDisponibles grupos restringidos en ADD Permiten construir jerarquías de delegaciónPermiten construir jerarquías de delegación Los administradores de dominios de recursos anteriores Los administradores de dominios de recursos anteriores

pueden convertirse en delegados con permisos de pueden convertirse en delegados con permisos de administrador local para todos los servidores miembros administrador local para todos los servidores miembros dentro de una OUdentro de una OU

Los administradores de servicios adquieren derechos a un Los administradores de servicios adquieren derechos a un nivel superiornivel superior

Los administradores de servicios no se pueden Los administradores de servicios no se pueden bloquear desde los servidores miembrosbloquear desde los servidores miembros

33

Objetivos por Nivel FuncionalObjetivos por Nivel FuncionalCorrer mejor que ir andando!Correr mejor que ir andando!

Características de los niveles funcionales de DominioCaracterísticas de los niveles funcionales de Dominio Redirección de usuarios y máquinas (Art.KB 324949)Redirección de usuarios y máquinas (Art.KB 324949)

REDIRCOMP / REDIRUSR incluidos en %system32REDIRCOMP / REDIRUSR incluidos en %system32 DNS en particiones de aplicación y zonas de solo lectura (“stub”)DNS en particiones de aplicación y zonas de solo lectura (“stub”)

Usar cuando todos los DCs son WS 2003Usar cuando todos los DCs son WS 2003 Cambios asociados al nivel funcional del bosque (FFL)Cambios asociados al nivel funcional del bosque (FFL)

Replicación basada en valor del enlace para grupos con un alto Replicación basada en valor del enlace para grupos con un alto número de miembrosnúmero de miembros Probado con 7 MM usuarios. Borrado más eficienteProbado con 7 MM usuarios. Borrado más eficiente

Mejor escalabilidad KCC Mejor escalabilidad KCC Probado con 3,000 sitesProbado con 3,000 sites

Modo KCC de Red de OficinasModo KCC de Red de Oficinas Tolerancia a fallos con topología estática generada por KCCTolerancia a fallos con topología estática generada por KCC Se documentará en BOG 2003Se documentará en BOG 2003

∆ ∆ desde 5 minutos a 15 segundos de la latencia de replicación desde 5 minutos a 15 segundos de la latencia de replicación intrasiteintrasite

¿Por qué no pasar a FFL cuanto antes?¿Por qué no pasar a FFL cuanto antes? Solo lo impiden los problemas de compatibilidad de aplicacionesSolo lo impiden los problemas de compatibilidad de aplicaciones

34

Aumentar los niveles funcionalesAumentar los niveles funcionalesSnap-in Dominios y ConfianzasSnap-in Dominios y Confianzas

35

Aspectos de interésAspectos de interés

Nuevos conceptos para los administradores Nuevos conceptos para los administradores NT 4.0NT 4.0

Mejoras sobre Windows 2000Mejoras sobre Windows 2000 Buenas prácticas aprendidas de Windows Buenas prácticas aprendidas de Windows

20002000 Evitar los errores más comunesEvitar los errores más comunes

36

Instalación del Sistema OperativoInstalación del Sistema Operativo Instalar los fixes adecuadosInstalar los fixes adecuados

Actualización de la versión del Sistema Operativo y Actualización de la versión del Sistema Operativo y DCPROMO = Δ estadoDCPROMO = Δ estado Algunos QFE deben instalarse en el primer arranqueAlgunos QFE deben instalarse en el primer arranque La manera más rápida de instalar los fixesLa manera más rápida de instalar los fixes La manera más fácil de evitar problemasLa manera más fácil de evitar problemas

SoluciónSolución Incorporar QFEs y Service Packs dentro de la RTMIncorporar QFEs y Service Packs dentro de la RTM Ejecutar WINNT32 para una instalación más efectivaEjecutar WINNT32 para una instalación más efectiva Art. KB Art. KB 316037

Fixes Post 2003 RTM de interésFixes Post 2003 RTM de interés ““FRS: Superset functionality of W2K SP4” FRS: Superset functionality of W2K SP4”

37

DCPROMODCPROMOCreación de nuevos Dominios y Controladores de Creación de nuevos Dominios y Controladores de Dominio en ADDominio en AD

Transición desde grupos de trabajo y sistemas miembros de Transición desde grupos de trabajo y sistemas miembros de dominio a DCs 2003dominio a DCs 2003

En el menú Inicio, Ejecutar, escribir DCPROMOEn el menú Inicio, Ejecutar, escribir DCPROMO Actualización de PDC: convierte SAM en base de datos ADActualización de PDC: convierte SAM en base de datos AD Nuevo DC: crea los grupos y cuentas por defectoNuevo DC: crea los grupos y cuentas por defecto DC replicado: obtiene esquema fuente, configuración y DC replicado: obtiene esquema fuente, configuración y

datos de dominio desde un DC del AD existente en el datos de dominio desde un DC del AD existente en el dominiodominio

El PDC NT4.0 debe ser el primer DC 2003 en cada dominioEl PDC NT4.0 debe ser el primer DC 2003 en cada dominio MejorasMejoras

La zona “.” ya no se generaLa zona “.” ya no se genera El G/W por defecto se convierte en direcciones de reenvío El G/W por defecto se convierte en direcciones de reenvío Registros DNS de tipo A más agresivosRegistros DNS de tipo A más agresivos Arreglo del error de espacio de nombres no contiguoArreglo del error de espacio de nombres no contiguo

38

Promociones por instalación desde cintaPromociones por instalación desde cintaGeneración del AD y GCs desde un backup localGeneración del AD y GCs desde un backup local

IFM = IFM = install from media (instalar desde un soporte o cinta de backup)install from media (instalar desde un soporte o cinta de backup) Un backup de un DC 2003 utilizado para generar el AD y opcionalmente el Un backup de un DC 2003 utilizado para generar el AD y opcionalmente el

GC en un nuevo DC 2003 en el mismo dominioGC en un nuevo DC 2003 en el mismo dominio IntroducciónIntroducción

1.1. Crear un backup completo con estado del sistema desde un DCCrear un backup completo con estado del sistema desde un DC 2003 2003 existenteexistente

2.2. Restaurar el backup a un disco Restaurar el backup a un disco LOCALLOCAL en un miembro 2003 en un miembro 2003

3.3. Ejecutar “DCPROMO /ADV”Ejecutar “DCPROMO /ADV” Reglas IFMReglas IFM

El DC a promocionar debe estar en la redEl DC a promocionar debe estar en la red Solo los DC replicados están soportados para promoción mediante IFMSolo los DC replicados están soportados para promoción mediante IFM El backup debe crearse en un DC 2003 del mismo dominioEl backup debe crearse en un DC 2003 del mismo dominio El backup debe haberse hecho en un GCEl backup debe haberse hecho en un GC Reglas Move/copyReglas Move/copy Soportadas promociones desatendidas IFMSoportadas promociones desatendidas IFM Posible extracción de SYSVOL con reparosPosible extracción de SYSVOL con reparos

Art. KB 311078Art. KB 311078

39

AdministraciónAdministraciónHerramientas básicas de administraciónHerramientas básicas de administración

AdminpackAdminpack Conjunto de herramientas de administrador con interfaz Conjunto de herramientas de administrador con interfaz

gráficagráfica Visor de Sucesos = Eventvwr.mscVisor de Sucesos = Eventvwr.msc Monitor de rendimiento = SYSVOL (Perfmon.msc)Monitor de rendimiento = SYSVOL (Perfmon.msc) Cuentas de servicio = Services.msc o Compmgmt.mscCuentas de servicio = Services.msc o Compmgmt.msc Relaciones de Confianza = Domains.mscRelaciones de Confianza = Domains.msc Usuario, máquina, + adm. Grupos = Usuarios y Usuario, máquina, + adm. Grupos = Usuarios y

máquinas del AD (Dsa.msc)máquinas del AD (Dsa.msc) Preferencia de topología y sites = Dssite.mscPreferencia de topología y sites = Dssite.msc Crear y salvar consolas personales: mediante MMCCrear y salvar consolas personales: mediante MMC

Añadir lo que se desea y después salvarlo para uso Añadir lo que se desea y después salvarlo para uso posterior en el menú Inicio, el escritorio o dentro del posterior en el menú Inicio, el escritorio o dentro del perfil.perfil.

40

Administración Administración (2)(2)

Herramientas básicas de administraciónHerramientas básicas de administración

InstalaciónInstalación La versión 2000 se ejecuta en “clientes” 2000La versión 2000 se ejecuta en “clientes” 2000

Dentro del directorio \i386 en todas las versiones 2000Dentro del directorio \i386 en todas las versiones 2000 La versión 2003 corre en clientes XP y 2003La versión 2003 corre en clientes XP y 2003

Dentro del directorio \i386 de los CDs 2003 y descarga gratis Dentro del directorio \i386 de los CDs 2003 y descarga gratis en la Weben la Web

Autoinstalado por DCPROMO en los DC; el administrador puede Autoinstalado por DCPROMO en los DC; el administrador puede instalarlo manualmente o mediante distribución de aplicacionesinstalarlo manualmente o mediante distribución de aplicaciones

InteroperabilidadInteroperabilidad La historia de administración de entornos mixtos 2000 y 2003 La historia de administración de entornos mixtos 2000 y 2003

arroja un balance positivoarroja un balance positivo Algunas herramientas no soportan la administración de sistemas Algunas herramientas no soportan la administración de sistemas

de otras versionesde otras versiones Algunas herramientas no funcionan concretamente en XP (solapa Algunas herramientas no funcionan concretamente en XP (solapa

RAS Dial-in)RAS Dial-in) Excepciones documentadas en Art. KB 304718Excepciones documentadas en Art. KB 304718 No utilizar USRMGR de NT 4.0 para administrar dominios 2003No utilizar USRMGR de NT 4.0 para administrar dominios 2003 En caso de duda, utilizar Terminal ServicesEn caso de duda, utilizar Terminal Services

41

Herramientas de soporteHerramientas de soporteHerramientas no opcionales de interfaz gráfica y línea de Herramientas no opcionales de interfaz gráfica y línea de comandoscomandos

Active DirectoryActive Directory Adsiedit.mscAdsiedit.msc Ldp.exeLdp.exe REPADMINREPADMIN REPLMONREPLMON

FRSFRS CONNSTATCONNSTAT IOLOGSUMIOLOGSUM TOPCHKTOPCHK Necesita PERLNecesita PERL

SeguridadSeguridad DSACLSDSACLS SETSPNSETSPN XCACLSXCACLS

Herramientas para DC Herramientas para DC y Clientey Cliente NLTESTNLTEST NETDIAGNETDIAG DCDIAGDCDIAG NETDOMNETDOM

Punto de instalación: \Support\Tools\Suptools.msiPunto de instalación: \Support\Tools\Suptools.msi

42

Visor de sucesosVisor de sucesosVer los archivos de logVer los archivos de log

NT 4.0: NT 4.0: Servidores y estaciones de trabajo pueden visualizar tres archivos Servidores y estaciones de trabajo pueden visualizar tres archivos

de logde log Logs en vivo de 2000, XP, y 2003Logs en vivo de 2000, XP, y 2003

Todos los tipos de log soportados por un sistema remoto están Todos los tipos de log soportados por un sistema remoto están soportadossoportados

Logs archivados en 2000, XP y 2003Logs archivados en 2000, XP y 2003 Los clientes solo pueden ver logs de los servicios que ellos Los clientes solo pueden ver logs de los servicios que ellos

mismos tienenmismos tienen DCs: soportan los 3 logs básicos + FRS + DNS al instalarse DCs: soportan los 3 logs básicos + FRS + DNS al instalarse

Alternativa para XP y 2003Alternativa para XP y 2003 Eventvwr.msc /auxsource:<Eventvwr.msc /auxsource:<dcnamedcname> donde> donde

dcnamedcname es el sistema que tiene activo el servicio es el sistema que tiene activo el servicio El Cliente tiene privilegios de administrador sobre el DC analizadoEl Cliente tiene privilegios de administrador sobre el DC analizado Detalles: Art. KB 235427Detalles: Art. KB 235427

43

Nuevos eventosNuevos eventosAñadidos a las herramientas de monitorizaciónAñadidos a las herramientas de monitorización

Mantener los sistemas monitorizadosMantener los sistemas monitorizados Añade nuevos eventos a las herramientas de Añade nuevos eventos a las herramientas de

monitorizaciónmonitorización 1864: alerta en replicación DS1864: alerta en replicación DS 2042: la replicación no ha tenido lugar en el plazo 2042: la replicación no ha tenido lugar en el plazo

de tiempo indicado por el parámetro TSL de tiempo indicado por el parámetro TSL (tombstone lifetime) (tombstone lifetime)

1862: Hay DCs que no replican en otros sites1862: Hay DCs que no replican en otros sites 1789: El site no está en un enlace de site1789: El site no está en un enlace de site 1567: El bridgehead preferido es incorrecto1567: El bridgehead preferido es incorrecto

44

Estructura de OUEstructura de OUMejora la experiencia de Administración y recuperaciónMejora la experiencia de Administración y recuperación

Contenedor por defecto para usuarios y Contenedor por defecto para usuarios y máquinasmáquinas CN=Users, CN=ComputersCN=Users, CN=Computers No se pueden aplicar GP a contenedores de tipo CNNo se pueden aplicar GP a contenedores de tipo CN

Buenas prácticas de estructuración de OUBuenas prácticas de estructuración de OU Iniciar con un esquema OU a elegirIniciar con un esquema OU a elegir

Por unidad de negocio, geográfica, por dominios de Por unidad de negocio, geográfica, por dominios de recursosrecursos

Crear contenedores OU separados para:Crear contenedores OU separados para: UsuariosUsuarios MáquinasMáquinas GruposGrupos Cuentas de servicioCuentas de servicio Administradores de servicioAdministradores de servicio

45

Estructura de OU Estructura de OU (2)(2) Mejora la experiencia de Administración y recuperaciónMejora la experiencia de Administración y recuperación

Las políticas se pueden aplicar directamente Las políticas se pueden aplicar directamente a los contenedores que tienen usuarios y a los contenedores que tienen usuarios y máquinasmáquinas

Un contenedor único permite una Un contenedor único permite una recuperación mejor por clase de objeto en recuperación mejor por clase de objeto en caso de fallo (usuarios antes que los grupos)caso de fallo (usuarios antes que los grupos)

Los administradores de servicio pueden Los administradores de servicio pueden limitar el acceso a contenedores con objetos limitar el acceso a contenedores con objetos gestionados por administradores delegadosgestionados por administradores delegados

Los administradores de servicio han de Los administradores de servicio han de restringir el borrado de objetos y restringir el borrado de objetos y contenedores para protegerse de borrados contenedores para protegerse de borrados masivosmasivos

46

Bloqueo de cuentasBloqueo de cuentas

Mejoras administrativasMejoras administrativas Registro de log de SAM en 2003Registro de log de SAM en 2003 Acctinfo.dll: permite que los administradores reseteen la Acctinfo.dll: permite que los administradores reseteen la

password de un usuario en el DC del site del usuariopassword de un usuario en el DC del site del usuario Lockoutstatus.exe: muestra la cuenta de errores de Lockoutstatus.exe: muestra la cuenta de errores de

password y estado de bloqueo en todos los DCs del password y estado de bloqueo en todos los DCs del dominiodominio Ambas utilidades están en el Kit de Recursos de WS 2003Ambas utilidades están en el Kit de Recursos de WS 2003

Políticas de password y recomendaciones de Políticas de password y recomendaciones de bloqueo de cuentasbloqueo de cuentas Los entornos pueden ser seguros sin necesidad de habilitar Los entornos pueden ser seguros sin necesidad de habilitar

el bloqueo de cuentael bloqueo de cuenta Recomendaciones para bloqueos y parámetros de Recomendaciones para bloqueos y parámetros de

password a nivel de dominio: ver Securedc.inf de 2003password a nivel de dominio: ver Securedc.inf de 2003 Problema de base: número de intentos incorrectos de Problema de base: número de intentos incorrectos de

password antes de bloqueo muy bajo (recomendado 10) + password antes de bloqueo muy bajo (recomendado 10) + errores del clienteerrores del cliente

47

ACCTINFO Página de propiedadesACCTINFO Página de propiedades (2003 RK)(2003 RK)

F1: solapa de información adicional de cuenta en el snap-in del AD Usuarios y Máquinas

F2: Política de password del dominio

F3: nombre de la máquina empleada por el usuario para cambiar la password en un DC del mismo site

48

LOCKOUTSTATUS.EXELOCKOUTSTATUS.EXE (2003 RK)(2003 RK)

F1: se ejecuta como utilidad stand-alone o extensión a ACCTINFO. Muestra la cuenta de intentos de password fallidos y la hora para todos los DCs del dominio

49

Bloqueo de cuentasBloqueo de cuentas

Errores de bloqueo de cuenta en el lado del cliente Errores de bloqueo de cuenta en el lado del cliente (generalmente tienen que ver con el uso de la (generalmente tienen que ver con el uso de la password antigua después de Δ password)password antigua después de Δ password) Windows 9X: Windows 9X:

El cliente DS para Windows 9x contiene fixes para El cliente DS para Windows 9x contiene fixes para bloqueo de cuente en el archivo: 323466bloqueo de cuente en el archivo: 323466

W2KW2K 275508: el usuario bloqueado al acceder al directorio 275508: el usuario bloqueado al acceder al directorio

raiz despues de cambio de password (arreglado en QFE raiz despues de cambio de password (arreglado en QFE o SP2)o SP2)

292573: Dsa.msc y ADSI pueden no resetear la 292573: Dsa.msc y ADSI pueden no resetear la password en un DC asignado por el administrador password en un DC asignado por el administrador (arreglado en QFE + / SP3)(arreglado en QFE + / SP3)

NT 4.0 y Windows XP: nadaNT 4.0 y Windows XP: nada Errores de bloqueo en el lado del servidor (como Errores de bloqueo en el lado del servidor (como

aumento erróneo de la cuenta de intentos fallidos)aumento erróneo de la cuenta de intentos fallidos) 2003 DCs: Nada2003 DCs: Nada 2000 DCs: W2K SP3 + Art. KB 812499 o W2K SP42000 DCs: W2K SP3 + Art. KB 812499 o W2K SP4

Instalar si los DCs 2000 están en el mismo dominio que Instalar si los DCs 2000 están en el mismo dominio que los DCs 2003 para igualar las funcionalidades de los DCs 2003 para igualar las funcionalidades de bloqueobloqueo

50

Operation MastersOperation Masters

DC designado como maestro de operaciones DC designado como maestro de operaciones en exclusivaen exclusiva Tres roles para el dominio y dos roles para todo Tres roles para el dominio y dos roles para todo

el bosqueel bosque

Requisitos de sincronización inicialesRequisitos de sincronización iniciales OM debe sincronizar el NC que mantiene ese rol OM debe sincronizar el NC que mantiene ese rol

antes de empezar a funcionarantes de empezar a funcionar

ImpactoImpacto DCs desde dominio en producción en red privadaDCs desde dominio en producción en red privada DCs en dominio de pruebas originado desde un DCs en dominio de pruebas originado desde un

dominio en produccióndominio en producción Nota: los roles FSMO en el nombre de archivo del Nota: los roles FSMO en el nombre de archivo del

backup de estado del sistema:backup de estado del sistema: <FQCN>.<FSMO>.<TSL Setting><YY.MM.DD>.BKF<FQCN>.<FSMO>.<TSL Setting><YY.MM.DD>.BKF

51

Roles FSMORoles FSMO

Mantener en vez de transferir?Mantener en vez de transferir? No mantenerlo salvo que el DC que originalmente No mantenerlo salvo que el DC que originalmente

tenía el rol no pueda volver a ponerse en serviciotenía el rol no pueda volver a ponerse en servicio Transferirlo en caso de riesgo cierto de caídas si Transferirlo en caso de riesgo cierto de caídas si

se necesita un DC que mantenga el rolse necesita un DC que mantenga el rol PDC es imprescindiblePDC es imprescindible El Schema master solo se necesita al actualizar el El Schema master solo se necesita al actualizar el

esquemaesquema

UbicaciónUbicación El primer DC en el dominio actualizado tiene El primer DC en el dominio actualizado tiene

todos los roles del dominio + bosque + GCtodos los roles del dominio + bosque + GC Promover un segundo DCPromover un segundo DC

Mover PDC + RID ahíMover PDC + RID ahí No promover a GCNo promover a GC

Detalles: Art.KB Detalles: Art.KB 223346

52

Decisiones de topologíaDecisiones de topología

Objetivo: spanning tree para todos los NCs Objetivo: spanning tree para todos los NCs en el bosqueen el bosque

ReglasReglas ““Site link bridging” supone que todos los DCs en Site link bridging” supone que todos los DCs en

todos los sites tienen conectividad IP con el resto todos los sites tienen conectividad IP con el resto de DCs de todos los demás sitesde DCs de todos los demás sites

Todos los sites deben estar asociados a enlaces Todos los sites deben estar asociados a enlaces de site (verificar al borrar sites)de site (verificar al borrar sites)

Evitar cabezas de puente (“bridgeheads”) en la Evitar cabezas de puente (“bridgeheads”) en la medida de lo posible, sobre todo en bosques medida de lo posible, sobre todo en bosques multidominiomultidominio

EscalabilidadEscalabilidad W2K: 100W2K: 100––300 sites300 sites 2003 en nivel funcional de bosque 2003: 3,000+ 2003 en nivel funcional de bosque 2003: 3,000+

sitessites

53

Decisiones de topología Decisiones de topología (2)(2)

Opciones de TopologíaOpciones de Topología Solo KCC: 3,000+ AD sitesSolo KCC: 3,000+ AD sites ADLBADLB

Topología “Topología “hub and spokehub and spoke” con planificación ” con planificación escalonada opcionalescalonada opcional

Modo KCC BOModo KCC BO ““Hub and spokeHub and spoke” redundante+ planificación ” redundante+ planificación

escalonada, pero sin tolerancia a fallosescalonada, pero sin tolerancia a fallos Documentado en la guía “Branch Office Documentado en la guía “Branch Office

Deployment Guide”Deployment Guide”

EventosEventos 1311: Imposible construir un spanning tree1311: Imposible construir un spanning tree

54

ReplicaciónReplicación

NT 4.0: NT 4.0: Por defecto, 5 minutos entre todos los DCs del dominioPor defecto, 5 minutos entre todos los DCs del dominio Tres NCs: SAM, security, y LSATres NCs: SAM, security, y LSA

DCs 2000DCs 2000 NCs: Schema , configuration y domainNCs: Schema , configuration y domain 5 minutos entre los DCs del mismo site5 minutos entre los DCs del mismo site 3 horas por defecto en enlaces de site; mínimo, 15 minutos3 horas por defecto en enlaces de site; mínimo, 15 minutos

DCs 2003DCs 2003 IntrasiteIntrasite

Instalación nueva: 15 segundos con un espacio de 3 Instalación nueva: 15 segundos con un espacio de 3 segundossegundos

W2K: 300 / 15 hasta la transición a Modo BosqueW2K: 300 / 15 hasta la transición a Modo Bosque Actualización desde NT 4.0: 15 segundos + 3 de espacioActualización desde NT 4.0: 15 segundos + 3 de espacio

3 horas por defecto en enlaces entre sites; 15 minutos 3 horas por defecto en enlaces entre sites; 15 minutos mínimomínimo

55

ConceptosConceptosEstado de la Replicación (“salud”)Estado de la Replicación (“salud”)

Tombstone lifetime (TSL) y modelo de Tombstone lifetime (TSL) y modelo de borrado de objetos ADborrado de objetos AD Objetivo: la replicación transitiva de ∆s entre Objetivo: la replicación transitiva de ∆s entre

todos los DCs en el bosque que soportan un NC todos los DCs en el bosque que soportan un NC dadodado

Mantener los DCs en funcionamiento, en la red y Mantener los DCs en funcionamiento, en la red y replicandoreplicando

Factores de bloqueo: conectividad, Factores de bloqueo: conectividad, configuración DNS, validación, DCs offline, configuración DNS, validación, DCs offline, topologías no contiguas, selecciones incorrectas topologías no contiguas, selecciones incorrectas de site o BH, errores de replicaciónde site o BH, errores de replicación

TSL por defecto: 60 díasTSL por defecto: 60 días TSL: no disminuir este valor sin analizar sus TSL: no disminuir este valor sin analizar sus

consecuencias antes, o mejor, no tocarlo nunca. consecuencias antes, o mejor, no tocarlo nunca.

56

Conceptos Conceptos (2)(2)

Estado de la Replicación (“salud”)Estado de la Replicación (“salud”)

Degradación de DCs que no replican cambios OB o Degradación de DCs que no replican cambios OB o IB en los días indicados como TSLIB en los días indicados como TSL DCPROMO /FORCEREMOVAL añadido a W2K en QFE DCPROMO /FORCEREMOVAL añadido a W2K en QFE

332199332199 Limpieza completa de metadatos en DFS, DNS, FRS, AD, Limpieza completa de metadatos en DFS, DNS, FRS, AD,

NTDSUTIL y resto (Art. KB 216498)NTDSUTIL y resto (Art. KB 216498) Excepción: Todos, o el último DC en el dominio o caminio Excepción: Todos, o el último DC en el dominio o caminio

de replicación alternativode replicación alternativo Comprobación de la replicación en todo el bosqueComprobación de la replicación en todo el bosque

2003 REPADMIN en un miembro XP o 2003 contra DCs 2000 2003 REPADMIN en un miembro XP o 2003 contra DCs 2000 o 2003o 2003

/REPLSUM * /SORT:DELTA [/ERRORSONLY] para inventario /REPLSUM * /SORT:DELTA [/ERRORSONLY] para inventario inicialinicial

REPADMIN /SHOWREPL * /CSV + Excel Autofilter para REPADMIN /SHOWREPL * /CSV + Excel Autofilter para investigación en profundidadinvestigación en profundidad

57

Replicación Replicación (3)(3)

Lingering objectsLingering objects Un objeto borrado en un DC que todavía existe en Un objeto borrado en un DC que todavía existe en

un NC modificable o de solo lectura en otros DCs un NC modificable o de solo lectura en otros DCs del mismo dominio o de otros dominiosdel mismo dominio o de otros dominios

Causa: falta de replicación punto a puntoCausa: falta de replicación punto a punto Errores de replicaciónErrores de replicación Topología desconfigurada Topología desconfigurada

Replicación estrictaReplicación estricta La replicación se detiene cuando el DC recibe una La replicación se detiene cuando el DC recibe una

actualización de atributo para un objeto que no actualización de atributo para un objeto que no está almacenado localmenteestá almacenado localmente

Comportamiento por defecto para:Comportamiento por defecto para: Bosques nuevos 2003Bosques nuevos 2003 Dominios NT 4.0 actualizados a 2003Dominios NT 4.0 actualizados a 2003

58

Inventario de DCInventario de DCPlanificación para DCs que no replicanPlanificación para DCs que no replican

La conexión falla durante más de 60 díasLa conexión falla durante más de 60 días DC3 no replica DC3 no replica ∆∆ IB OB desde \\DC1 IB OB desde \\DC1 Hay rutas alternativas?Hay rutas alternativas?

Corregir el error y seguirCorregir el error y seguir No hay replicación IB / OB > 60 DíasNo hay replicación IB / OB > 60 Días

Condición: DC3 no replica Condición: DC3 no replica ∆s∆s IB u OB IB u OB Existen réplicas para los NCs de DC3? Existen réplicas para los NCs de DC3?

Sí – degradación forzada de DC3Sí – degradación forzada de DC3 No – arreglar los No – arreglar los lingering objectslingering objects

Topología no contiguaTopología no contigua Todos los DCs informan de que replican Todos los DCs informan de que replican

correctamentecorrectamente No hay “puentes” entre enlaces de sitesNo hay “puentes” entre enlaces de sites Borrado de Borrado de lingering objectslingering objects

Site Link ABC Site Link DEF

\\DC3

\\DC3

\\DC1

\\DC1

59

Replicación del ADReplicación del AD REPADMIN /REPLSUMREPADMIN /REPLSUM

60

REPADMINREPADMIN

REPADMIN /SHOWREPS [DCNAME]REPADMIN /SHOWREPS [DCNAME] REPADMIN /REPLSUM <DCLIST> /BYSRC REPADMIN /REPLSUM <DCLIST> /BYSRC

/BYDEST /SORT:DELTA [ERRORSONLY]/BYDEST /SORT:DELTA [ERRORSONLY] REPADMIN /SHOWREPL * [/CSV]REPADMIN /SHOWREPL * [/CSV] REPADMIN /BRIDGEHEADS REPADMIN /BRIDGEHEADS REPADMIN /ISTGREPADMIN /ISTG REPADMIN DCLISTREPADMIN DCLIST

61

Carpetas compartidas NETLOGON / Carpetas compartidas NETLOGON / SYSVOLSYSVOL NETLOGONNETLOGON

Políticas y perfiles tradicionalesPolíticas y perfiles tradicionales SYSVOLSYSVOL

Carpeta compartida DFS especial donde se guardan las Carpeta compartida DFS especial donde se guardan las políticas para 2000, 2003 y XPpolíticas para 2000, 2003 y XP

Debe estar compartida en DCs para su “anuncio”Debe estar compartida en DCs para su “anuncio” ComúnComún

Replicación mediante FRS (motor reemplazado para Replicación mediante FRS (motor reemplazado para LMREPL)LMREPL)

Replicación MultimasterReplicación Multimaster ReglasReglas

Archivos y directorios bloqueados impiden la replicación Archivos y directorios bloqueados impiden la replicación (SONAR)(SONAR)

No realizar manualmente la tarea de copiar los datos en No realizar manualmente la tarea de copiar los datos en múltiples sitiosmúltiples sitios

No válido para datos de usuario dinámicos con bloqueos a No válido para datos de usuario dinámicos con bloqueos a nivel de archivonivel de archivo

62

Políticas de Grupo y de SeguridadPolíticas de Grupo y de Seguridad

Dos motores de almacenamiento y replicaciónDos motores de almacenamiento y replicación AD para políticas guardadas en CN=System,CN=DomainAD para políticas guardadas en CN=System,CN=Domain File system replicado con FRSFile system replicado con FRS

Puntos de conexión en el sistema de archivosPuntos de conexión en el sistema de archivos Emplazamiento de actualizacionesEmplazamiento de actualizaciones

GPEDIT y GPMC por defecto para PDCGPEDIT y GPMC por defecto para PDC Mejor actualizar las políticas en un solo DC (persiste el Mejor actualizar las políticas en un solo DC (persiste el

cambio realizado por el último que graba)cambio realizado por el último que graba) Contenedores por defecto: CN=Users + Contenedores por defecto: CN=Users +

CN=ComputersCN=Computers Las políticas no se pueden aplicar a contenedores CNLas políticas no se pueden aplicar a contenedores CN Redirigir contenedores a OUs cuando el nivel funcional de Redirigir contenedores a OUs cuando el nivel funcional de

dominio es 2003 para usuarios y máquinas nuevos o dominio es 2003 para usuarios y máquinas nuevos o existentesexistentes

Políticas asociadas a emplazamientoPolíticas asociadas a emplazamiento Política Cuenta + Dominio + KerberosPolítica Cuenta + Dominio + Kerberos Definida en exactamente una GP en la raíz del dominio Definida en exactamente una GP en la raíz del dominio

(dominio por defecto o nuevo GPO con mayor prioridad)(dominio por defecto o nuevo GPO con mayor prioridad)

63

Políticas de Grupo y de Seguridad Políticas de Grupo y de Seguridad (2)(2)

Eventos buenosEventos buenos Event 1704: política aplicada correctamenteEvent 1704: política aplicada correctamente

Problemas frecuentesProblemas frecuentes Los puntos de replicación rotos al moverlos con Explorer / Los puntos de replicación rotos al moverlos con Explorer /

XCOPYXCOPY Política de sistema de archivos borrada por el Política de sistema de archivos borrada por el

administradoradministrador Event 1202: la política de seguridad ha fallado cuando un Event 1202: la política de seguridad ha fallado cuando un

usuario no válido se añadió a una asignación de derechos usuario no válido se añadió a una asignación de derechos de usuariode usuario

Establecimiento de políticas Establecimiento de políticas

Buenas prácticasBuenas prácticas Usar archivos ADM de 2003 en clientes XP (pero no en Usar archivos ADM de 2003 en clientes XP (pero no en

clientes 2000)clientes 2000) Usar GPMC para administración de políticasUsar GPMC para administración de políticas No borrar la política de sistema de archivosNo borrar la política de sistema de archivos

64

FRSFRS

Motor de replicación multimasterMotor de replicación multimaster El último que escribe es el que ganaEl último que escribe es el que gana Replica archivos en SYSVOL + NETLOGON + DFSReplica archivos en SYSVOL + NETLOGON + DFS

Reemplazo para LMREPLReemplazo para LMREPL Retos anterioresRetos anteriores

Problemas derivados de errores y violaciones de Problemas derivados de errores y violaciones de comparticióncompartición

Nombres de directorios duplicados (“Nombres de directorios duplicados (“MorphedMorphed”)”) Políticas de sistema de archivos, análisis de virus y Políticas de sistema de archivos, análisis de virus y

utilidades de disco pueden causar sincronizaciones utilidades de disco pueden causar sincronizaciones completascompletas Excluir directorios replicados con FRS de las políticas de Excluir directorios replicados con FRS de las políticas de

file-system file-system Utilizar antivirus y utilidades de análisis de disco Utilizar antivirus y utilidades de análisis de disco

compatiblescompatibles Art. KB 815263

65

Borrado de objetos críticosBorrado de objetos críticos

Modelo NT 4.0: Modelo NT 4.0: Borrar y volver a generar = funciona!Borrar y volver a generar = funciona!

Modelo W2K: Modelo W2K: Borrar y desear no haberlo hechoBorrar y desear no haberlo hecho

Objetos críticosObjetos críticos Cuentas de máquina para DCs 2000 y 2003Cuentas de máquina para DCs 2000 y 2003 Relaciones de confianza internas del bosqueRelaciones de confianza internas del bosque Objetos de parámetros NTDSObjetos de parámetros NTDS

66

Trucos y PistasTrucos y PistasCosas interesantes que hay que saberCosas interesantes que hay que saber

Requisitos previos de sincronizaciónRequisitos previos de sincronización FSMOs deben sincronizar sus NC antes de FSMOs deben sincronizar sus NC antes de

empezar a funcionarempezar a funcionar Buscar DCs en producción o laboratorio en redes Buscar DCs en producción o laboratorio en redes

privadasprivadas

Requisitos de sincronización del GCRequisitos de sincronización del GC Deben sincronizarse todos los NC en el bosque Deben sincronizarse todos los NC en el bosque

antes de anunciarseantes de anunciarse Es más rápido borrar objetos que DCs W2K pre-Es más rápido borrar objetos que DCs W2K pre-

SP3SP3

Los DCs 2003 paran la replicación después Los DCs 2003 paran la replicación después de superar el número de días TSLde superar el número de días TSL

67

Trucos y PistasTrucos y Pistas (2)(2)

Cosas que hay que saberCosas que hay que saber

XP y 2003 son XP y 2003 son lala plataforma de gestión plataforma de gestión REPADMIN, GPMC, RSOP y 2003 Administrator REPADMIN, GPMC, RSOP y 2003 Administrator

Pack corren en estos sistemasPack corren en estos sistemas

Añadir BDCs NT4.0 al dominio Añadir BDCs NT4.0 al dominio Activar administración remota (TS) en Activar administración remota (TS) en

sistemas 2003sistemas 2003 Menú Inicio, botón derecho en Mi PC y Menú Inicio, botón derecho en Mi PC y

PropiedadesPropiedades

68

Recursos adicionalesRecursos adicionales

Best Practice Deployment GuideBest Practice Deployment Guide http://www.microsoft.com/windows2000/techinfohttp://www.microsoft.com/windows2000/techinfo

/planning/activedirectory/bpaddsgn.asp/planning/activedirectory/bpaddsgn.asp

325379, “Upgrading 2000 DCs to 2003”325379, “Upgrading 2000 DCs to 2003”

actualizar dominios de windows nt 4.0 a windows server 2003 arren conner - supportability pm andreas...

Documents