La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Actualizar dominios de Windows NT 4.0 a Windows Server 2003 Arren Conner - Supportability PM Andreas Luther - Deployment PM Microsoft Corporation.

Presentaciones similares


Presentación del tema: "Actualizar dominios de Windows NT 4.0 a Windows Server 2003 Arren Conner - Supportability PM Andreas Luther - Deployment PM Microsoft Corporation."— Transcripción de la presentación:

1 Actualizar dominios de Windows NT 4.0 a Windows Server 2003 Arren Conner - Supportability PM Andreas Luther - Deployment PM Microsoft Corporation

2 2 Objetivos Ofrecer a los administradores, consultores y profesionales de soporte un marco de referencia para la actualización de dominos desde Microsoft® Windows NT® 4.0 a dominios de Microsoft Windows® Server 2003 Ofrecer a los administradores, consultores y profesionales de soporte un marco de referencia para la actualización de dominos desde Microsoft® Windows NT® 4.0 a dominios de Microsoft Windows® Server 2003 Reducir el tiempo de pérdida de conexión entre controladores de dominio y clientes durante el proceso de actualización, poniendo en común incidencias conocidas y buenas prácticas Reducir el tiempo de pérdida de conexión entre controladores de dominio y clientes durante el proceso de actualización, poniendo en común incidencias conocidas y buenas prácticas No es nuestro objetivo ahora: No es nuestro objetivo ahora: El diseño del Directorio Activo, estructuras de OU y ubicación de controladores de dominio, aspectos que se tratan ampliamente en Windows 2000 El diseño del Directorio Activo, estructuras de OU y ubicación de controladores de dominio, aspectos que se tratan ampliamente en Windows 2000

3 3 Convenciones en esta presentación NT4 se refiere a Windows NT 4.0 Server NT4 se refiere a Windows NT 4.0 Server 2000 se refiere a la familia de servidores Windows 2000 Server 2000 se refiere a la familia de servidores Windows 2000 Server 2003 se refiere a la familia de servidores Windows Server se refiere a la familia de servidores Windows Server 2003 XP se refiere a la familia Windows XP XP se refiere a la familia Windows XP Win9X se refiere a Windows 95, Windows 98, Windows 98 Standard Edition, y la familia de clientes Windows Millennium Win9X se refiere a Windows 95, Windows 98, Windows 98 Standard Edition, y la familia de clientes Windows Millennium E2K es abreviatura de Exchange 2000 E2K es abreviatura de Exchange 2000 DC es abreviatura de domain controller DC es abreviatura de domain controller

4 4 Convenciones en esta presentación (2) es el símbolo de cambio, incluyendo cambios de comportamiento en el sistema operativo, cambio de configuración realizado por el administrador, y la posibilidad de recibir y propagar cambios a objetos entre partners usando motores de réplica como FRS o AD es el símbolo de cambio, incluyendo cambios de comportamiento en el sistema operativo, cambio de configuración realizado por el administrador, y la posibilidad de recibir y propagar cambios a objetos entre partners usando motores de réplica como FRS o AD AD es abreviatura de Active Directory AD es abreviatura de Active Directory IB/OB se refiere a replicación entrante (inbound) o saliente (outbound) de archivos y directorios mediante FRS u objetos y atributos en el Directorio Activo. IB/OB se refiere a replicación entrante (inbound) o saliente (outbound) de archivos y directorios mediante FRS u objetos y atributos en el Directorio Activo. LO es abreviatura de lingering object LO es abreviatura de lingering object Un objeto borrado de un NC que aún existe en otros NC modificables o de solo lectura en el dominio o el bosque. Un objeto borrado de un NC que aún existe en otros NC modificables o de solo lectura en el dominio o el bosque. CO se refiere al objeto de conexión utilizado por el AD y FRS CO se refiere al objeto de conexión utilizado por el AD y FRS

5 5 Agenda Niveles Funcionales Niveles Funcionales Planificación del AD Planificación del AD Inventario: clientes Inventario: clientes Inventario: controladores de dominio Inventario: controladores de dominio Actualización de controladores de dominio NT4 Actualización de controladores de dominio NT4 Operaciones post-actualización Operaciones post-actualización Configurar niveles funcionales en 2003 Configurar niveles funcionales en 2003

6 6 Niveles de funcionalidad Características nuevas en dominios y bosques Modelo para introducir nuevo comportamiento en el sistema operativo Modelo para introducir nuevo comportamiento en el sistema operativo Avanzado por el administrador cuando todos los DCs de la lista están actualizados Avanzado por el administrador cuando todos los DCs de la lista están actualizados Analogía: Modo nativo de Windows 2000 (pero más robusto) Analogía: Modo nativo de Windows 2000 (pero más robusto) Los niveles sólo se pueden aumentar, no hay vuelta atrás Los niveles sólo se pueden aumentar, no hay vuelta atrás Mientras se avanza, las versiones anteriores de DC se ignoran Mientras se avanza, las versiones anteriores de DC se ignoran Los clientes nunca se ven afectados. Los clientes nunca se ven afectados. Niveles funcionales disponibles Niveles funcionales disponibles Funcionalidad de dominio de Windows 2003 Server Funcionalidad de dominio de Windows 2003 Server Funcionalidad de transición (interim) de bosque de Windows 2003 Server Funcionalidad de transición (interim) de bosque de Windows 2003 Server Solo interesa para dominios NT4.0 actualizados a 2003 Solo interesa para dominios NT4.0 actualizados a 2003 Funcionalidad de Forest (FFL) de Windows 2003 Server Funcionalidad de Forest (FFL) de Windows 2003 Server

7 7 Características del Sistema Operativo Windows Server 2003 DCs nuevos o actualizados Particiones de aplicación Particiones de aplicación Cache de grupo Universal Cache de grupo Universal Instalación desde medios de almacenamiento Instalación desde medios de almacenamiento No necesidad de sincronización completa entre GC para extensiones del esquema PAS No necesidad de sincronización completa entre GC para extensiones del esquema PAS Cuotas Cuotas Delegación de la migración de histórico de SID Delegación de la migración de histórico de SID Enlaces LDAP concurrentes Enlaces LDAP concurrentes Degradación (demotion) de GC rápida Degradación (demotion) de GC rápida Almacenamiento en instancia única Almacenamiento en instancia única Mejoras en el bloqueo de cuentas Mejoras en el bloqueo de cuentas Gestión de eventos y texto de mensaje mejorados Gestión de eventos y texto de mensaje mejorados 1311, fallo de replicación 1311, fallo de replicación Y muchas más …

8 8 Niveles de funcionalidad del Dominio Funcionalidad de Dominio Características activadas DCs soportados en el dominio Windows 2000 Mixto Grupos universales (excluidos grupos de seguridad) Grupos universales (excluidos grupos de seguridad) Windows NT 4.0 Windows 2000 Windows 2003 Windows 2000 Nativo Todas las del modo mixto, más: Anidamiento de grupos Anidamiento de grupos Grupos universales Grupos universales SIDHistory SIDHistory Conversiones de grupos Conversiones de grupos Windows 2000 Windows 2003 transición a Windows 2003 Server desde Mixto / Nativo Lo mismo que el modo Mixto/Nativo de Windows Depende de si el dominio está en modo mixto o nativo Windows NT 4.0 Windows 2003

9 9 Niveles de funcionalidad del dominio (2) Funcionalidad del dominio Características activadas DCs soportados en el dominio Windows 2003 Server Todas las del modo nativo de Windows 2000 más: Actualización del atributo de marca de hora (timestamp) del logon Actualización del atributo de marca de hora (timestamp) del logon Versión Kerberos KDC Versión Kerberos KDC Password de usuario en INetOrgPerson Password de usuario en INetOrgPerson Renombrado de DC con netdom Renombrado de DC con netdom Redirección de usuarios y máquinas Redirección de usuarios y máquinas Administrador de validación puede guardar políticas de autenticación Administrador de validación puede guardar políticas de autenticación Delegación restringida para máquinas Delegación restringida para máquinas Validación selectiva entre forests Validación selectiva entre forests Windows 2003

10 10 Niveles de funcionalidad de bosque Funcionalidad de bosque Características activadas DC soportados en el bosque Windows 2000 Windows NT 4.0 Windows 2000 Windows 2003 Windows 2003 Server Interim Todas las de Windows 2000 más: Replicación LVR Replicación LVR ISTG mejorado ISTG mejorado Nuevos atributos añadidos al GC Nuevos atributos añadidos al GC Windows NT 4.0 Windows 2003 Windows 2003 Server Todas las del modo transición Windows 2000 más: Clases auxiliares dinámicas Clases auxiliares dinámicas Cambio de usuario a INetOrgPerson Cambio de usuario a INetOrgPerson Reactivación/desactivación de esquema Reactivación/desactivación de esquema Renombrado de dominio Renombrado de dominio Relación de confianza entre bosques (cross-forest) Relación de confianza entre bosques (cross-forest) Grupos básicos y basados en query (para validación basada en roles) Grupos básicos y basados en query (para validación basada en roles) Replicación intrasite cada 15 segundos Replicación intrasite cada 15 segundos Windows 2003

11 11 Estrategias para la raíz del bosque Posibilidad de redefinir la estructura de bosques Disponibles todos los dominios de cuentas de NT4.0 Disponibles todos los dominios de cuentas de NT4.0 ¿Consolidar todos los dominios de cuentas después de migrar a 2003? ¿Consolidar todos los dominios de cuentas después de migrar a 2003? Actualizar el dominio de cuentas más grande Actualizar el dominio de cuentas más grande Migrar los usuarios desde algunos o todos los dominios de cuentas Migrar los usuarios desde algunos o todos los dominios de cuentas Crear nuevo dominio raíz de bosque 2003 Crear nuevo dominio raíz de bosque 2003 Actualizar dominios NT4.0 dentro de dominios hijos Actualizar dominios NT4.0 dentro de dominios hijos Configurar manualmente un modo transitorio de bosque en Ldp.exe Configurar manualmente un modo transitorio de bosque en Ldp.exe El PDC de dominios NT4.0 debe ser el primer DC de 2003 para cada dominio NT4.0 actualizado El PDC de dominios NT4.0 debe ser el primer DC de 2003 para cada dominio NT4.0 actualizado

12 12 Modo de transición y Grupos de Seguridad Por qué la raíz del bosque de los dominios 4.0 debe estar en modo de transitorio de bosque NT 4.0: NT 4.0: No hay límite para los miembros de grupos de seguridad No hay límite para los miembros de grupos de seguridad W2K: límite a miembros no forzado W2K: límite a miembros no forzado El último que escribe es el que gana en la replicación = pérdida de Δs de pertenencia a grupos El último que escribe es el que gana en la replicación = pérdida de Δs de pertenencia a grupos Δ a pertenencia a grupos causa una sincronización completa del grupo Δ a pertenencia a grupos causa una sincronización completa del grupo Replicación y borrado ineficientes: Replicación y borrado ineficientes: Errores DS is busy + out of version store Errores DS is busy + out of version store

13 13 Modo de transición y Grupos de Seguridad ¿No se puede ir directamente al modo transitorio? Identificar todos los grupos con más de miembros Identificar todos los grupos con más de miembros Romperlos en varios grupos menores Romperlos en varios grupos menores %groupname%A-L %groupname%A-L %groupname%M-Z %groupname%M-Z Anidar grupos locales dentro de grupos globales Anidar grupos locales dentro de grupos globales Reasignar ACL a recursos usando el grupo original Reasignar ACL a recursos usando el grupo original

14 14 Lista de comprobación previa a la actualización de AD Procesos redefinidos en W2K Prueba de compatibilidad de aplicaciones y sistema operativo de clientes Prueba de compatibilidad de aplicaciones y sistema operativo de clientes Definición de espacio de nombres de AD Definición de espacio de nombres de AD Selección de la estructura de bosque del AD Selección de la estructura de bosque del AD El dominio como límite de seguridad El dominio como límite de seguridad Definición del espacio de nombres de OU y modelo de delegación Definición del espacio de nombres de OU y modelo de delegación Buenas prácticas para la estructura de la organización Buenas prácticas para la estructura de la organización Definiciones de sites y enlaces entre sites Definiciones de sites y enlaces entre sites Resolución de espacio de nombres y delegaciones DNS Resolución de espacio de nombres y delegaciones DNS Definición de emplazamiento de DC Definición de emplazamiento de DC Actualización de los DC actuales frente a instalaciones nuevas Actualización de los DC actuales frente a instalaciones nuevas Definición de actualización en Modo transitorio frente a modo mixto Definición de actualización en Modo transitorio frente a modo mixto

15 15 Diseño de AD Espacio de nombres Espacio de nombres Máximo número de caracteres para FQDN: Máximo número de caracteres para FQDN: caracteres ASCII o UTF-8 bytes 63 caracteres ASCII o UTF-8 bytes Nombres no-ASCII utilizan más caracteres Nombres no-ASCII utilizan más caracteres Podemos comparar los dominios de MS Corp con la regla: Podemos comparar los dominios de MS Corp con la regla: dsys.ntdev.windows2000.redmond.washington.northamerica.corp.microso ft.com Estructura de bosque Estructura de bosque La mayoría de bosques tienen dos y algunas veces tres niveles de profundidad (incluyendo la raíz) La mayoría de bosques tienen dos y algunas veces tres niveles de profundidad (incluyendo la raíz) Número máximo de dominios hijos de un solo padre: ~ 850 Número máximo de dominios hijos de un solo padre: ~ 850

16 16 Diseño de AD (2) Diseño de bosque Diseño de bosque Cuanto menos dominios mejor Cuanto menos dominios mejor Crear nuevos bosques y dominios para cubrir: Crear nuevos bosques y dominios para cubrir: Necesidades de políticas, propiedad de esquema, tráfico de replicación, seguridad. Necesidades de políticas, propiedad de esquema, tráfico de replicación, seguridad. El bosque como frontera de seguridad (ver siguiente slide) El bosque como frontera de seguridad (ver siguiente slide) Estructura de Unidades Organizativas (OU) Estructura de Unidades Organizativas (OU) Es práctico hasta 3-4 niveles de profundidad Es práctico hasta 3-4 niveles de profundidad La administración debe definir la profundidad, no el rendimiento La administración debe definir la profundidad, no el rendimiento Implantar buenas prácticas en la estructura de OUs Implantar buenas prácticas en la estructura de OUs Mantener usuarios y máquinas dentro de OU para aplicar Políticas de Grupo Mantener usuarios y máquinas dentro de OU para aplicar Políticas de Grupo Recursos Recursos

17 17 El dominio como límite de la seguridad Dominio NT4 Dominio NT4 Dominio = frontera de la seguridad Dominio = frontera de la seguridad 2000 y y 2003 Comparten contextos de configuración, esquema y nomenclatura de GC Comparten contextos de configuración, esquema y nomenclatura de GC Ciertas asunciones acerca de relaciones de confianza entre KDCs Ciertas asunciones acerca de relaciones de confianza entre KDCs Los dominios no proporcionan aislamiento total de administradores de servicio malintencionados Los dominios no proporcionan aislamiento total de administradores de servicio malintencionados Los administradores de dominio pueden iniciar cambios globales Los administradores de dominio pueden iniciar cambios globales El bosque ofrece pleno aislamiento y autonomía El bosque ofrece pleno aislamiento y autonomía Necesidades legales u organizativas pueden imponer más de un bosque Necesidades legales u organizativas pueden imponer más de un bosque Recursos Recursos

18 18 Interoperabilidad entre Cliente y Administrador Parámetros de seguridad mejorados en 2003 En XP, 2003 y W2K SP4 las herramientas de administrador de AD firman el tráfico LDAP En XP, 2003 y W2K SP4 las herramientas de administrador de AD firman el tráfico LDAP Fallos en la administración NTLM en DCs anteriores a SP3 Fallos en la administración NTLM en DCs anteriores a SP3 Escenarios de admin NTLM: gestión de relaciones de confianza y subredes IP de entornos antiguos Escenarios de admin NTLM: gestión de relaciones de confianza y subredes IP de entornos antiguos Alternativas Alternativas Instalar SP en DCs W2K para administrarlos o Instalar SP en DCs W2K para administrarlos o Clientes 2000 SP4, XP, y 2003 necesitan Δ en registro Clientes 2000 SP4, XP, y 2003 necesitan Δ en registro Artículos KB: y Artículos KB: y Permite política de traducción de SID anonónimo/nombre Permite política de traducción de SID anonónimo/nombre A los clientes de dominios de recursos NT4 puede ocurrirles: A los clientes de dominios de recursos NT4 puede ocurrirles: Account Unknown en editor ACL Account Unknown en editor ACL Fallos de validación en clientes Microsoft y Outlook Resultados intermitentes al moverse los Canales Seguros (SC) entre DCs 2000/2003 Fallos de validación en clientes Microsoft y Outlook Resultados intermitentes al moverse los Canales Seguros (SC) entre DCs 2000/2003

19 19 Interoperabilidad entre Cliente y Administrador (2) Parámetros de seguridad mejorados en 2003 Acceso compatible pre-Windows 2000 Acceso compatible pre-Windows 2000 Si Everyone está en un grupo compatible con pre-Windows 2000, Si Everyone está en un grupo compatible con pre-Windows 2000, Se añade Anónimo y Usuarios Autentificados Se añade Anónimo y Usuarios Autentificados Se añade Servicio de Red al alias de Monitorización de Rendimiento Se añade Servicio de Red al alias de Monitorización de Rendimiento Enterprise Domain Controllers se añade al Grupo de Acceso de Autorización de Windows Enterprise Domain Controllers se añade al Grupo de Acceso de Autorización de Windows Everyone puede haber sido borrado por el Administrador Everyone puede haber sido borrado por el Administrador Frecuente en dominios 2000 actualizados desde NT4.0 Frecuente en dominios 2000 actualizados desde NT4.0 Acceso LDAP anónimo desactivado Acceso LDAP anónimo desactivado Artículo KB: Artículo KB:

20 20 Inventario de Clientes Actualizar Clientes Win95 y NT4.0 o relajar parámetros Valores de seguridad por defecto en DCs 2003 Valores de seguridad por defecto en DCs 2003 Por defecto se activa Forzar firma en SMB Por defecto se activa Forzar firma en SMB Se han de relajar temporalmente los parámetros en políticas de DC o actualizar los clientes Se han de relajar temporalmente los parámetros en políticas de DC o actualizar los clientes Windows 95 Windows 95 Instalar cliente DS (Art.KB ) o instalar nuevo S.O. Instalar cliente DS (Art.KB ) o instalar nuevo S.O NT 4.0: NT 4.0: Necesario SP3 o posterior. Recomendado SP6a (Dfs) Necesario SP3 o posterior. Recomendado SP6a (Dfs) Para el resto de clientes de red Microsoft Para el resto de clientes de red Microsoft No se necesitan más intervenciones No se necesitan más intervenciones Se recomienda siempre actualizar al último SP Se recomienda siempre actualizar al último SP

21 21 Inventario de espacio de nombres de DC Nombres válidos de Dominio y Máquina Nombres de máquina Nombres de máquina NT4 permitía nombres no válidos en 2000 y 2003 NT4 permitía nombres no válidos en 2000 y 2003 Art.KB : nombres NetBIOS formados sólo por números puede causar problemas Art.KB : nombres NetBIOS formados sólo por números puede causar problemas Renombrar DCs con nombres problemáticos antes de proceder a actualizar la versión del S.O. Renombrar DCs con nombres problemáticos antes de proceder a actualizar la versión del S.O. Nombres de Dominio Nombres de Dominio Nombres permitidos en 2003: a-z, A-Z, y - Nombres permitidos en 2003: a-z, A-Z, y - Longitud máxima del nombre: 63 caracteres Longitud máxima del nombre: 63 caracteres Art.KB: , Windows 2000 Supports Fully Qualified Domain Names up to 64 UTF-8 Bytes Long Art.KB: , Windows 2000 Supports Fully Qualified Domain Names up to 64 UTF-8 Bytes Long Nombres de dominio de etiqueta única Nombres de dominio de etiqueta única ¡No recomendado! Ver detalles en Art.KB ¡No recomendado! Ver detalles en Art.KB Renombrar DCs antes de actualizar la versión de S.O. Renombrar DCs antes de actualizar la versión de S.O.

22 22 Inventario de espacio de nombres de DC (2) Nombres válidos de Dominio y Máquina Espacio de nombres no contiguo Espacio de nombres no contiguo 2000: por defecto, los nombres se juntan (dominio AD = nombre de zona DNS) 2000: por defecto, los nombres se juntan (dominio AD = nombre de zona DNS) 2003: máquina miembro de dominio A con sufijo GP promovido dentro de dominio B 2003: máquina miembro de dominio A con sufijo GP promovido dentro de dominio B Nombres de Site Nombres de Site Nombres compuestos solo por números hacen fallar DCPROMO (ver Art. KB ) Nombres compuestos solo por números hacen fallar DCPROMO (ver Art. KB )306085

23 23 1. Comprobar DC y dominio Espacio en disco suficiente. Revisión SP Espacio en disco suficiente. Revisión SP Requisitos de Hardware (RAM, CPU) Requisitos de Hardware (RAM, CPU) Nombre DC+dominio son válidos Nombre DC+dominio son válidos Aumentar el tamaño del registro en el PDC con SAM muy grande Aumentar el tamaño del registro en el PDC con SAM muy grande 2. Comprobar servicios corriendo con cuenta LocalSystem en servidores y estaciones de trabajo Reconfigurar el servicio para utilizar una cuenta de usuario explícita o, Reconfigurar el servicio para utilizar una cuenta de usuario explícita o, Activar acceso down-level en DCPROMO para cada dominio Activar acceso down-level en DCPROMO para cada dominio Actualizar Dominios de Cuentas de NT 4.0 Paso a paso para cada dominio

24 24 Actualizar Dominios de Cuentas de NT 4.0 (2) Paso a paso para cada dominio 3. Configurar servidor de exportación Lmrepl Será el último controlador de dominio que se actualizará Será el último controlador de dominio que se actualizará Si el exportador Lmrepl es un PDC NT4.0, seleccionar un BDC como nuevo servidor de exportación Lmrepl Si el exportador Lmrepl es un PDC NT4.0, seleccionar un BDC como nuevo servidor de exportación Lmrepl 4. Asegurar un BDC NT 4.0 Sincronizar con el PDC Sincronizar con el PDC Sacar una cinta de backup y comprobar la restauración Sacar una cinta de backup y comprobar la restauración Poner offline el BDC y mantenerlo guardado Poner offline el BDC y mantenerlo guardado

25 25 5. Actualizar el PDC con Winnt32.exe Comprobar la actualización con WINNT32 /CHECKUPGRADEONLY Comprobar la actualización con WINNT32 /CHECKUPGRADEONLY El PDC no podrá actuar como PDC durante la actualización / DCPROMO El PDC no podrá actuar como PDC durante la actualización / DCPROMO Parar los cambios sobre el PDC que pueden afectar a la base de usuarios y helpdesk Parar los cambios sobre el PDC que pueden afectar a la base de usuarios y helpdesk Impedir creación, borrado o Δs de usuarios, máquinas, grupos o relaciones de confianza Impedir creación, borrado o Δs de usuarios, máquinas, grupos o relaciones de confianza Impedir cambios de password para usuarios, máquinas o relaciones de confianza Impedir cambios de password para usuarios, máquinas o relaciones de confianza Planificar estas paradas contando con los grupos de administradores, helpdesk y usuarios Planificar estas paradas contando con los grupos de administradores, helpdesk y usuarios 6. Parámetros DCPROMO En la raíz del bosque, seleccionar modo de bosque transitorio en la interfaz DCPROMO En la raíz del bosque, seleccionar modo de bosque transitorio en la interfaz DCPROMO Fuera del dominio raíz del bosque, promover DC a modo transitorio del bosque o localizar grupos de más de 5000 miembros Fuera del dominio raíz del bosque, promover DC a modo transitorio del bosque o localizar grupos de más de 5000 miembros Configurar adecuadamente el grupo de acceso compatible pre- W2K Configurar adecuadamente el grupo de acceso compatible pre- W2K Configurar NT4Emulator antes de reiniciar DCPROMO si hay clientes 2000, XP o 2003 Y DCs NT4.0 en el dominio (298713) Configurar NT4Emulator antes de reiniciar DCPROMO si hay clientes 2000, XP o 2003 Y DCs NT4.0 en el dominio (298713) Actualizar Dominios de Cuentas de NT 4.0 (3) Paso a paso para cada dominio

26 26 Actualizar Dominios de Cuentas de NT 4.0 (4) Paso a paso para cada dominio 7. Operaciones post-actualización Relajar los parámetros de seguridad si es preciso Relajar los parámetros de seguridad si es preciso Firmar SMB + Traducción SID Anónimo a Nombre en GPO por defecto en los controladores de dominio Firmar SMB + Traducción SID Anónimo a Nombre en GPO por defecto en los controladores de dominio Comprobar el estado del DC Comprobar el estado del DC Replicación completa de los objetos nuevos y existentes a los DBCs NT4.0 Replicación completa de los objetos nuevos y existentes a los DBCs NT4.0 Cambio de password y autentificación de todos los sistemas operativos clientes que acceden al dominio Cambio de password y autentificación de todos los sistemas operativos clientes que acceden al dominio Relaciones de confianza entrantes y salientes con SC configurados contra el PDC Relaciones de confianza entrantes y salientes con SC configurados contra el PDC Todos los clientes en este dominio y dominios de recursos pueden seleccionar y ver los security principals cuando el SC se configura contra el PDC Todos los clientes en este dominio y dominios de recursos pueden seleccionar y ver los security principals cuando el SC se configura contra el PDC

27 27 Actualizar Dominios de Cuentas de NT 4.0 (5) Paso a paso para cada dominio 8. Instalar y configurar Lbridge Los DCs 2003 usan FRS en lugar de LMREPL para replicar SYSVOL Los DCs 2003 usan FRS en lugar de LMREPL para replicar SYSVOL Copiar los logon scripts y archivos desde el servidor de exportación LMREPL al PDC 2003 Copiar los logon scripts y archivos desde el servidor de exportación LMREPL al PDC 2003 Configurar LBRIDGE para copiar archivos desde PDC al servidor de exportación LMREPL Configurar LBRIDGE para copiar archivos desde PDC al servidor de exportación LMREPL Cambiar archivos en la carpeta compartida NETLOGON solo en el PDC 2003 Cambiar archivos en la carpeta compartida NETLOGON solo en el PDC Actualizar BDCs NT 4.0 Verificación previa: WINNT32 /CHECKUPGRADEONLY Verificación previa: WINNT32 /CHECKUPGRADEONLY Aumento de versión de S.O.: WINNT32 Aumento de versión de S.O.: WINNT32 NT4 Emulator configurado antes de reinicio de DCPROMO (298713) NT4 Emulator configurado antes de reinicio de DCPROMO (298713) En el último DC NT4.0 en el bosque actualizado a Windows 2003 Eliminar la clave de registro de emulación NT4 después de que todos los DCs en el dominio ya están migrados a 2003 Eliminar la clave de registro de emulación NT4 después de que todos los DCs en el dominio ya están migrados a 2003 Cambiar a nivel funcional de bosque Windows 2003 Cambiar a nivel funcional de bosque Windows 2003 No cambiar el modo de dominio 2003 salvo que se necesiten tener todas esas funcionalidades No cambiar el modo de dominio 2003 salvo que se necesiten tener todas esas funcionalidades Borrar LMBRIDGE Borrar LMBRIDGE

28 28 Nivel de bosque transitorio: DCPROMO Opcional al promover el PDC NT4.0 al dominio raíz del bosque

29 29 Política de firmado de SMB

30 30 Operaciones Post-Upgrade/actualización Comprobación del nuevo DC DC está correcto DC está correcto Las carpetas compartidas NETLOGON+SYSVOL existen Las carpetas compartidas NETLOGON+SYSVOL existen DC responde a peticiones LDAP, RPC y logon DC responde a peticiones LDAP, RPC y logon Registros SRV, CNAME, y A aparecen en DNS Registros SRV, CNAME, y A aparecen en DNS FRS: añadir un archivo de prueba en el servidor y en el servidor partner de replicación directa FRS: añadir un archivo de prueba en el servidor y en el servidor partner de replicación directa Active Directory: REPADMIN /SHOWREPS Active Directory: REPADMIN /SHOWREPS Política aplicándose tal y como muestra evento 1704 Política aplicándose tal y como muestra evento 1704 El visor de sucesos está limpio, salvo la aparición de evento 1931 en actualizaciones desde 2000 El visor de sucesos está limpio, salvo la aparición de evento 1931 en actualizaciones desde 2000 No poner aún DNS en particiones de aplicación No poner aún DNS en particiones de aplicación

31 31 Operaciones Post-Upgrade/actualización Más buenas prácticas Backup Backup Crear un backup del nuevo sistema. Identificar los backups antiguos Crear un backup del nuevo sistema. Identificar los backups antiguos Roles FSMO Roles FSMO Reasignar roles FSMO (Art.KB Reasignar roles FSMO (Art.KB ) Instalar GPMC (en WS 2003) Instalar GPMC (en WS 2003) Planificar backup de las Políticas de Grupo Planificar backup de las Políticas de Grupo Probar las políticas nuevas en dominios de prueba y después importar Probar las políticas nuevas en dominios de prueba y después importar Implantar estructuras de OU adecuadas (Art. KB ) Implantar estructuras de OU adecuadas (Art. KB ) Probar configuración del bloqueo de cuentas Probar configuración del bloqueo de cuentas Tiempo de bloqueo ni demasiado corto ni demasiado largo Tiempo de bloqueo ni demasiado corto ni demasiado largo Política de passwords para proteger el dominio Política de passwords para proteger el dominio Aplicar SP4 o en W2K DCs si hay alguno Aplicar SP4 o en W2K DCs si hay alguno Referencia: VER Dcfirst.inf en DC 2003 (no importar) Referencia: VER Dcfirst.inf en DC 2003 (no importar) Monitorizar! Monitorizar! No monitorizar el AD equivale a fallar No monitorizar el AD equivale a fallar

32 32 Dominios de recursos NT 4.0 Concentrar con ADMT V2 u otra herramienta de migración Los dominios de recursos NT 4.0 se concentran dentro de unidades organizativas en el AD Los dominios de recursos NT 4.0 se concentran dentro de unidades organizativas en el AD Los administradores de dominios de recursos no son administradores de servicios en AD Los administradores de dominios de recursos no son administradores de servicios en AD Disponibles grupos restringidos en ADD Disponibles grupos restringidos en ADD Permiten construir jerarquías de delegación Permiten construir jerarquías de delegación Los administradores de dominios de recursos anteriores pueden convertirse en delegados con permisos de administrador local para todos los servidores miembros dentro de una OU Los administradores de dominios de recursos anteriores pueden convertirse en delegados con permisos de administrador local para todos los servidores miembros dentro de una OU Los administradores de servicios adquieren derechos a un nivel superior Los administradores de servicios adquieren derechos a un nivel superior Los administradores de servicios no se pueden bloquear desde los servidores miembros Los administradores de servicios no se pueden bloquear desde los servidores miembros

33 33 Objetivos por Nivel Funcional Correr mejor que ir andando! Características de los niveles funcionales de Dominio Características de los niveles funcionales de Dominio Redirección de usuarios y máquinas (Art.KB ) Redirección de usuarios y máquinas (Art.KB ) REDIRCOMP / REDIRUSR incluidos en %system32 REDIRCOMP / REDIRUSR incluidos en %system32 DNS en particiones de aplicación y zonas de solo lectura (stub) DNS en particiones de aplicación y zonas de solo lectura (stub) Usar cuando todos los DCs son WS 2003 Usar cuando todos los DCs son WS 2003 Cambios asociados al nivel funcional del bosque (FFL) Cambios asociados al nivel funcional del bosque (FFL) Replicación basada en valor del enlace para grupos con un alto número de miembros Replicación basada en valor del enlace para grupos con un alto número de miembros Probado con 7 MM usuarios. Borrado más eficiente Probado con 7 MM usuarios. Borrado más eficiente Mejor escalabilidad KCC Mejor escalabilidad KCC Probado con 3,000 sites Probado con 3,000 sites Modo KCC de Red de Oficinas Modo KCC de Red de Oficinas Tolerancia a fallos con topología estática generada por KCC Tolerancia a fallos con topología estática generada por KCC Se documentará en BOG 2003 Se documentará en BOG 2003 desde 5 minutos a 15 segundos de la latencia de replicación intrasite desde 5 minutos a 15 segundos de la latencia de replicación intrasite ¿Por qué no pasar a FFL cuanto antes? ¿Por qué no pasar a FFL cuanto antes? Solo lo impiden los problemas de compatibilidad de aplicaciones Solo lo impiden los problemas de compatibilidad de aplicaciones

34 34 Aumentar los niveles funcionales Snap-in Dominios y Confianzas

35 35 Aspectos de interés Nuevos conceptos para los administradores NT 4.0 Nuevos conceptos para los administradores NT 4.0 Mejoras sobre Windows 2000 Mejoras sobre Windows 2000 Buenas prácticas aprendidas de Windows 2000 Buenas prácticas aprendidas de Windows 2000 Evitar los errores más comunes Evitar los errores más comunes

36 36 Instalación del Sistema Operativo Instalar los fixes adecuados Actualización de la versión del Sistema Operativo y DCPROMO = Δ estado Actualización de la versión del Sistema Operativo y DCPROMO = Δ estado Algunos QFE deben instalarse en el primer arranque Algunos QFE deben instalarse en el primer arranque La manera más rápida de instalar los fixes La manera más rápida de instalar los fixes La manera más fácil de evitar problemas La manera más fácil de evitar problemas Solución Solución Incorporar QFEs y Service Packs dentro de la RTM Incorporar QFEs y Service Packs dentro de la RTM Ejecutar WINNT32 para una instalación más efectiva Ejecutar WINNT32 para una instalación más efectiva Art. KB Art. KB Fixes Post 2003 RTM de interés Fixes Post 2003 RTM de interés FRS: Superset functionality of W2K SP4 FRS: Superset functionality of W2K SP4

37 37 DCPROMO Creación de nuevos Dominios y Controladores de Dominio en AD Transición desde grupos de trabajo y sistemas miembros de dominio a DCs 2003 Transición desde grupos de trabajo y sistemas miembros de dominio a DCs 2003 En el menú Inicio, Ejecutar, escribir DCPROMO En el menú Inicio, Ejecutar, escribir DCPROMO Actualización de PDC: convierte SAM en base de datos AD Actualización de PDC: convierte SAM en base de datos AD Nuevo DC: crea los grupos y cuentas por defecto Nuevo DC: crea los grupos y cuentas por defecto DC replicado: obtiene esquema fuente, configuración y datos de dominio desde un DC del AD existente en el dominio DC replicado: obtiene esquema fuente, configuración y datos de dominio desde un DC del AD existente en el dominio El PDC NT4.0 debe ser el primer DC 2003 en cada dominio El PDC NT4.0 debe ser el primer DC 2003 en cada dominio Mejoras Mejoras La zona. ya no se genera La zona. ya no se genera El G/W por defecto se convierte en direcciones de reenvío El G/W por defecto se convierte en direcciones de reenvío Registros DNS de tipo A más agresivos Registros DNS de tipo A más agresivos Arreglo del error de espacio de nombres no contiguo Arreglo del error de espacio de nombres no contiguo

38 38 Promociones por instalación desde cinta Generación del AD y GCs desde un backup local IFM = install from media (instalar desde un soporte o cinta de backup) IFM = install from media (instalar desde un soporte o cinta de backup) Un backup de un DC 2003 utilizado para generar el AD y opcionalmente el GC en un nuevo DC 2003 en el mismo dominio Un backup de un DC 2003 utilizado para generar el AD y opcionalmente el GC en un nuevo DC 2003 en el mismo dominio Introducción Introducción 1. Crear un backup completo con estado del sistema desde un DC 2003 existente 2. Restaurar el backup a un disco LOCAL en un miembro Ejecutar DCPROMO /ADV Reglas IFM Reglas IFM El DC a promocionar debe estar en la red El DC a promocionar debe estar en la red Solo los DC replicados están soportados para promoción mediante IFM Solo los DC replicados están soportados para promoción mediante IFM El backup debe crearse en un DC 2003 del mismo dominio El backup debe crearse en un DC 2003 del mismo dominio El backup debe haberse hecho en un GC El backup debe haberse hecho en un GC Reglas Move/copy Reglas Move/copy Soportadas promociones desatendidas IFM Soportadas promociones desatendidas IFM Posible extracción de SYSVOL con reparos Posible extracción de SYSVOL con reparos Art. KB Art. KB

39 39 Administración Herramientas básicas de administración Adminpack Adminpack Conjunto de herramientas de administrador con interfaz gráfica Conjunto de herramientas de administrador con interfaz gráfica Visor de Sucesos = Eventvwr.msc Visor de Sucesos = Eventvwr.msc Monitor de rendimiento = SYSVOL (Perfmon.msc) Monitor de rendimiento = SYSVOL (Perfmon.msc) Cuentas de servicio = Services.msc o Compmgmt.msc Cuentas de servicio = Services.msc o Compmgmt.msc Relaciones de Confianza = Domains.msc Relaciones de Confianza = Domains.msc Usuario, máquina, + adm. Grupos = Usuarios y máquinas del AD (Dsa.msc) Usuario, máquina, + adm. Grupos = Usuarios y máquinas del AD (Dsa.msc) Preferencia de topología y sites = Dssite.msc Preferencia de topología y sites = Dssite.msc Crear y salvar consolas personales: mediante MMC Crear y salvar consolas personales: mediante MMC Añadir lo que se desea y después salvarlo para uso posterior en el menú Inicio, el escritorio o dentro del perfil. Añadir lo que se desea y después salvarlo para uso posterior en el menú Inicio, el escritorio o dentro del perfil.

40 40 Administración (2) Herramientas básicas de administración Instalación Instalación La versión 2000 se ejecuta en clientes 2000 La versión 2000 se ejecuta en clientes 2000 Dentro del directorio \i386 en todas las versiones 2000 Dentro del directorio \i386 en todas las versiones 2000 La versión 2003 corre en clientes XP y 2003 La versión 2003 corre en clientes XP y 2003 Dentro del directorio \i386 de los CDs 2003 y descarga gratis en la Web Dentro del directorio \i386 de los CDs 2003 y descarga gratis en la Web Autoinstalado por DCPROMO en los DC; el administrador puede instalarlo manualmente o mediante distribución de aplicaciones Autoinstalado por DCPROMO en los DC; el administrador puede instalarlo manualmente o mediante distribución de aplicaciones Interoperabilidad Interoperabilidad La historia de administración de entornos mixtos 2000 y 2003 arroja un balance positivo La historia de administración de entornos mixtos 2000 y 2003 arroja un balance positivo Algunas herramientas no soportan la administración de sistemas de otras versiones Algunas herramientas no soportan la administración de sistemas de otras versiones Algunas herramientas no funcionan concretamente en XP (solapa RAS Dial-in) Algunas herramientas no funcionan concretamente en XP (solapa RAS Dial-in) Excepciones documentadas en Art. KB Excepciones documentadas en Art. KB No utilizar USRMGR de NT 4.0 para administrar dominios 2003 No utilizar USRMGR de NT 4.0 para administrar dominios 2003 En caso de duda, utilizar Terminal Services En caso de duda, utilizar Terminal Services

41 41 Herramientas de soporte Herramientas no opcionales de interfaz gráfica y línea de comandos Active Directory Active Directory Adsiedit.msc Adsiedit.msc Ldp.exe Ldp.exe REPADMIN REPADMIN REPLMON REPLMON FRS FRS CONNSTAT CONNSTAT IOLOGSUM IOLOGSUM TOPCHK TOPCHK Necesita PERL Necesita PERL Seguridad Seguridad DSACLS DSACLS SETSPN SETSPN XCACLS XCACLS Herramientas para DC y Cliente Herramientas para DC y Cliente NLTEST NLTEST NETDIAG NETDIAG DCDIAG DCDIAG NETDOM NETDOM Punto de instalación: \Support\Tools\Suptools.msi Punto de instalación: \Support\Tools\Suptools.msi

42 42 Visor de sucesos Ver los archivos de log NT 4.0: NT 4.0: Servidores y estaciones de trabajo pueden visualizar tres archivos de log Servidores y estaciones de trabajo pueden visualizar tres archivos de log Logs en vivo de 2000, XP, y 2003 Logs en vivo de 2000, XP, y 2003 Todos los tipos de log soportados por un sistema remoto están soportados Todos los tipos de log soportados por un sistema remoto están soportados Logs archivados en 2000, XP y 2003 Logs archivados en 2000, XP y 2003 Los clientes solo pueden ver logs de los servicios que ellos mismos tienen Los clientes solo pueden ver logs de los servicios que ellos mismos tienen DCs: soportan los 3 logs básicos + FRS + DNS al instalarse DCs: soportan los 3 logs básicos + FRS + DNS al instalarse Alternativa para XP y 2003 Alternativa para XP y 2003 Eventvwr.msc /auxsource: donde Eventvwr.msc /auxsource: donde dcname es el sistema que tiene activo el servicio dcname es el sistema que tiene activo el servicio El Cliente tiene privilegios de administrador sobre el DC analizado El Cliente tiene privilegios de administrador sobre el DC analizado Detalles: Art. KB Detalles: Art. KB

43 43 Nuevos eventos Añadidos a las herramientas de monitorización Mantener los sistemas monitorizados Mantener los sistemas monitorizados Añade nuevos eventos a las herramientas de monitorización Añade nuevos eventos a las herramientas de monitorización 1864: alerta en replicación DS 1864: alerta en replicación DS 2042: la replicación no ha tenido lugar en el plazo de tiempo indicado por el parámetro TSL (tombstone lifetime) 2042: la replicación no ha tenido lugar en el plazo de tiempo indicado por el parámetro TSL (tombstone lifetime) 1862: Hay DCs que no replican en otros sites 1862: Hay DCs que no replican en otros sites 1789: El site no está en un enlace de site 1789: El site no está en un enlace de site 1567: El bridgehead preferido es incorrecto 1567: El bridgehead preferido es incorrecto

44 44 Estructura de OU Mejora la experiencia de Administración y recuperación Contenedor por defecto para usuarios y máquinas Contenedor por defecto para usuarios y máquinas CN=Users, CN=Computers CN=Users, CN=Computers No se pueden aplicar GP a contenedores de tipo CN No se pueden aplicar GP a contenedores de tipo CN Buenas prácticas de estructuración de OU Buenas prácticas de estructuración de OU Iniciar con un esquema OU a elegir Iniciar con un esquema OU a elegir Por unidad de negocio, geográfica, por dominios de recursos Por unidad de negocio, geográfica, por dominios de recursos Crear contenedores OU separados para: Crear contenedores OU separados para: Usuarios Usuarios Máquinas Máquinas Grupos Grupos Cuentas de servicio Cuentas de servicio Administradores de servicio Administradores de servicio

45 45 Estructura de OU (2) Mejora la experiencia de Administración y recuperación Las políticas se pueden aplicar directamente a los contenedores que tienen usuarios y máquinas Las políticas se pueden aplicar directamente a los contenedores que tienen usuarios y máquinas Un contenedor único permite una recuperación mejor por clase de objeto en caso de fallo (usuarios antes que los grupos) Un contenedor único permite una recuperación mejor por clase de objeto en caso de fallo (usuarios antes que los grupos) Los administradores de servicio pueden limitar el acceso a contenedores con objetos gestionados por administradores delegados Los administradores de servicio pueden limitar el acceso a contenedores con objetos gestionados por administradores delegados Los administradores de servicio han de restringir el borrado de objetos y contenedores para protegerse de borrados masivos Los administradores de servicio han de restringir el borrado de objetos y contenedores para protegerse de borrados masivos

46 46 Bloqueo de cuentas Mejoras administrativas Mejoras administrativas Registro de log de SAM en 2003 Registro de log de SAM en 2003 Acctinfo.dll: permite que los administradores reseteen la password de un usuario en el DC del site del usuario Acctinfo.dll: permite que los administradores reseteen la password de un usuario en el DC del site del usuario Lockoutstatus.exe: muestra la cuenta de errores de password y estado de bloqueo en todos los DCs del dominio Lockoutstatus.exe: muestra la cuenta de errores de password y estado de bloqueo en todos los DCs del dominio Ambas utilidades están en el Kit de Recursos de WS 2003 Ambas utilidades están en el Kit de Recursos de WS 2003 Políticas de password y recomendaciones de bloqueo de cuentas Políticas de password y recomendaciones de bloqueo de cuentas Los entornos pueden ser seguros sin necesidad de habilitar el bloqueo de cuenta Los entornos pueden ser seguros sin necesidad de habilitar el bloqueo de cuenta Recomendaciones para bloqueos y parámetros de password a nivel de dominio: ver Securedc.inf de 2003 Recomendaciones para bloqueos y parámetros de password a nivel de dominio: ver Securedc.inf de 2003 Problema de base: número de intentos incorrectos de password antes de bloqueo muy bajo (recomendado 10) + errores del cliente Problema de base: número de intentos incorrectos de password antes de bloqueo muy bajo (recomendado 10) + errores del cliente

47 47 ACCTINFO Página de propiedades (2003 RK) F1: solapa de información adicional de cuenta en el snap-in del AD Usuarios y Máquinas F2: Política de password del dominio F3: nombre de la máquina empleada por el usuario para cambiar la password en un DC del mismo site

48 48 LOCKOUTSTATUS.EXE (2003 RK) F1: se ejecuta como utilidad stand-alone o extensión a ACCTINFO. Muestra la cuenta de intentos de password fallidos y la hora para todos los DCs del dominio

49 49 Bloqueo de cuentas Errores de bloqueo de cuenta en el lado del cliente (generalmente tienen que ver con el uso de la password antigua después de Δ password) Errores de bloqueo de cuenta en el lado del cliente (generalmente tienen que ver con el uso de la password antigua después de Δ password) Windows 9X: Windows 9X: El cliente DS para Windows 9x contiene fixes para bloqueo de cuente en el archivo: El cliente DS para Windows 9x contiene fixes para bloqueo de cuente en el archivo: W2K W2K : el usuario bloqueado al acceder al directorio raiz despues de cambio de password (arreglado en QFE o SP2) : el usuario bloqueado al acceder al directorio raiz despues de cambio de password (arreglado en QFE o SP2) : Dsa.msc y ADSI pueden no resetear la password en un DC asignado por el administrador (arreglado en QFE + / SP3) : Dsa.msc y ADSI pueden no resetear la password en un DC asignado por el administrador (arreglado en QFE + / SP3) NT 4.0 y Windows XP: nada NT 4.0 y Windows XP: nada Errores de bloqueo en el lado del servidor (como aumento erróneo de la cuenta de intentos fallidos) Errores de bloqueo en el lado del servidor (como aumento erróneo de la cuenta de intentos fallidos) 2003 DCs: Nada 2003 DCs: Nada 2000 DCs: W2K SP3 + Art. KB o W2K SP DCs: W2K SP3 + Art. KB o W2K SP Instalar si los DCs 2000 están en el mismo dominio que los DCs 2003 para igualar las funcionalidades de bloqueo Instalar si los DCs 2000 están en el mismo dominio que los DCs 2003 para igualar las funcionalidades de bloqueo

50 50 Operation Masters DC designado como maestro de operaciones en exclusiva DC designado como maestro de operaciones en exclusiva Tres roles para el dominio y dos roles para todo el bosque Tres roles para el dominio y dos roles para todo el bosque Requisitos de sincronización iniciales Requisitos de sincronización iniciales OM debe sincronizar el NC que mantiene ese rol antes de empezar a funcionar OM debe sincronizar el NC que mantiene ese rol antes de empezar a funcionar Impacto Impacto DCs desde dominio en producción en red privada DCs desde dominio en producción en red privada DCs en dominio de pruebas originado desde un dominio en producción DCs en dominio de pruebas originado desde un dominio en producción Nota: los roles FSMO en el nombre de archivo del backup de estado del sistema: Nota: los roles FSMO en el nombre de archivo del backup de estado del sistema:...BKF...BKF

51 51 Roles FSMO Mantener en vez de transferir? Mantener en vez de transferir? No mantenerlo salvo que el DC que originalmente tenía el rol no pueda volver a ponerse en servicio No mantenerlo salvo que el DC que originalmente tenía el rol no pueda volver a ponerse en servicio Transferirlo en caso de riesgo cierto de caídas si se necesita un DC que mantenga el rol Transferirlo en caso de riesgo cierto de caídas si se necesita un DC que mantenga el rol PDC es imprescindible PDC es imprescindible El Schema master solo se necesita al actualizar el esquema El Schema master solo se necesita al actualizar el esquema Ubicación Ubicación El primer DC en el dominio actualizado tiene todos los roles del dominio + bosque + GC El primer DC en el dominio actualizado tiene todos los roles del dominio + bosque + GC Promover un segundo DC Promover un segundo DC Mover PDC + RID ahí Mover PDC + RID ahí No promover a GC No promover a GC Detalles: Art.KB Detalles: Art.KB

52 52 Decisiones de topología Objetivo: spanning tree para todos los NCs en el bosque Objetivo: spanning tree para todos los NCs en el bosque Reglas Reglas Site link bridging supone que todos los DCs en todos los sites tienen conectividad IP con el resto de DCs de todos los demás sites Site link bridging supone que todos los DCs en todos los sites tienen conectividad IP con el resto de DCs de todos los demás sites Todos los sites deben estar asociados a enlaces de site (verificar al borrar sites) Todos los sites deben estar asociados a enlaces de site (verificar al borrar sites) Evitar cabezas de puente (bridgeheads) en la medida de lo posible, sobre todo en bosques multidominio Evitar cabezas de puente (bridgeheads) en la medida de lo posible, sobre todo en bosques multidominio Escalabilidad Escalabilidad W2K: 100–300 sites W2K: 100–300 sites 2003 en nivel funcional de bosque 2003: 3,000+ sites 2003 en nivel funcional de bosque 2003: 3,000+ sites

53 53 Decisiones de topología (2) Opciones de Topología Opciones de Topología Solo KCC: 3,000+ AD sites Solo KCC: 3,000+ AD sites ADLB ADLB Topología hub and spoke con planificación escalonada opcional Topología hub and spoke con planificación escalonada opcional Modo KCC BO Modo KCC BO Hub and spoke redundante+ planificación escalonada, pero sin tolerancia a fallosHub and spoke redundante+ planificación escalonada, pero sin tolerancia a fallos Documentado en la guía Branch Office Deployment Guide Documentado en la guía Branch Office Deployment Guide Eventos Eventos 1311: Imposible construir un spanning tree 1311: Imposible construir un spanning tree

54 54 Replicación NT 4.0: NT 4.0: Por defecto, 5 minutos entre todos los DCs del dominio Por defecto, 5 minutos entre todos los DCs del dominio Tres NCs: SAM, security, y LSA Tres NCs: SAM, security, y LSA DCs 2000 DCs 2000 NCs: Schema, configuration y domain NCs: Schema, configuration y domain 5 minutos entre los DCs del mismo site 5 minutos entre los DCs del mismo site 3 horas por defecto en enlaces de site; mínimo, 15 minutos 3 horas por defecto en enlaces de site; mínimo, 15 minutos DCs 2003 DCs 2003 Intrasite Intrasite Instalación nueva: 15 segundos con un espacio de 3 segundos Instalación nueva: 15 segundos con un espacio de 3 segundos W2K: 300 / 15 hasta la transición a Modo Bosque W2K: 300 / 15 hasta la transición a Modo Bosque Actualización desde NT 4.0: 15 segundos + 3 de espacio Actualización desde NT 4.0: 15 segundos + 3 de espacio 3 horas por defecto en enlaces entre sites; 15 minutos mínimo 3 horas por defecto en enlaces entre sites; 15 minutos mínimo

55 55 Conceptos Estado de la Replicación (salud) Tombstone lifetime (TSL) y modelo de borrado de objetos AD Tombstone lifetime (TSL) y modelo de borrado de objetos AD Objetivo: la replicación transitiva de s entre todos los DCs en el bosque que soportan un NC dado Objetivo: la replicación transitiva de s entre todos los DCs en el bosque que soportan un NC dado Mantener los DCs en funcionamiento, en la red y replicando Mantener los DCs en funcionamiento, en la red y replicando Factores de bloqueo: conectividad, configuración DNS, validación, DCs offline, topologías no contiguas, selecciones incorrectas de site o BH, errores de replicación Factores de bloqueo: conectividad, configuración DNS, validación, DCs offline, topologías no contiguas, selecciones incorrectas de site o BH, errores de replicación TSL por defecto: 60 días TSL por defecto: 60 días TSL: no disminuir este valor sin analizar sus consecuencias antes, o mejor, no tocarlo nunca. TSL: no disminuir este valor sin analizar sus consecuencias antes, o mejor, no tocarlo nunca.

56 56 Conceptos (2) Estado de la Replicación (salud) Degradación de DCs que no replican cambios OB o IB en los días indicados como TSL Degradación de DCs que no replican cambios OB o IB en los días indicados como TSL DCPROMO /FORCEREMOVAL añadido a W2K en QFE DCPROMO /FORCEREMOVAL añadido a W2K en QFE Limpieza completa de metadatos en DFS, DNS, FRS, AD, NTDSUTIL y resto (Art. KB ) Limpieza completa de metadatos en DFS, DNS, FRS, AD, NTDSUTIL y resto (Art. KB ) Excepción: Todos, o el último DC en el dominio o caminio de replicación alternativo Excepción: Todos, o el último DC en el dominio o caminio de replicación alternativo Comprobación de la replicación en todo el bosque Comprobación de la replicación en todo el bosque 2003 REPADMIN en un miembro XP o 2003 contra DCs 2000 o REPADMIN en un miembro XP o 2003 contra DCs 2000 o 2003 /REPLSUM * /SORT:DELTA [/ERRORSONLY] para inventario inicial /REPLSUM * /SORT:DELTA [/ERRORSONLY] para inventario inicial REPADMIN /SHOWREPL * /CSV + Excel Autofilter para investigación en profundidad REPADMIN /SHOWREPL * /CSV + Excel Autofilter para investigación en profundidad

57 57 Replicación (3) Lingering objects Lingering objects Un objeto borrado en un DC que todavía existe en un NC modificable o de solo lectura en otros DCs del mismo dominio o de otros dominios Un objeto borrado en un DC que todavía existe en un NC modificable o de solo lectura en otros DCs del mismo dominio o de otros dominios Causa: falta de replicación punto a punto Causa: falta de replicación punto a punto Errores de replicación Errores de replicación Topología desconfigurada Topología desconfigurada Replicación estricta Replicación estricta La replicación se detiene cuando el DC recibe una actualización de atributo para un objeto que no está almacenado localmente La replicación se detiene cuando el DC recibe una actualización de atributo para un objeto que no está almacenado localmente Comportamiento por defecto para: Comportamiento por defecto para: Bosques nuevos 2003 Bosques nuevos 2003 Dominios NT 4.0 actualizados a 2003 Dominios NT 4.0 actualizados a 2003

58 58 Inventario de DC Planificación para DCs que no replican La conexión falla durante más de 60 días La conexión falla durante más de 60 días DC3 no replica IB OB desde \\DC1 DC3 no replica IB OB desde \\DC1\\DC1 Hay rutas alternativas? Hay rutas alternativas? Corregir el error y seguir Corregir el error y seguir No hay replicación IB / OB > 60 Días No hay replicación IB / OB > 60 Días Condición: DC3 no replica s IB u OB Condición: DC3 no replica s IB u OB Existen réplicas para los NCs de DC3? Existen réplicas para los NCs de DC3? Sí – degradación forzada de DC3 Sí – degradación forzada de DC3 No – arreglar los lingering objects No – arreglar los lingering objects Topología no contigua Topología no contigua Todos los DCs informan de que replican correctamente Todos los DCs informan de que replican correctamente No hay puentes entre enlaces de sites No hay puentes entre enlaces de sites Borrado de lingering objects Borrado de lingering objects Site Link ABCSite Link DEF \\DC3 \\DC1

59 59 Replicación del AD REPADMIN /REPLSUM

60 60 REPADMIN REPADMIN /SHOWREPS [DCNAME] REPADMIN /SHOWREPS [DCNAME] REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA [ERRORSONLY] REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA [ERRORSONLY] REPADMIN /SHOWREPL * [/CSV] REPADMIN /SHOWREPL * [/CSV] REPADMIN /BRIDGEHEADS REPADMIN /BRIDGEHEADS REPADMIN /ISTG REPADMIN /ISTG REPADMIN DCLIST REPADMIN DCLIST

61 61 Carpetas compartidas NETLOGON / SYSVOL NETLOGON NETLOGON Políticas y perfiles tradicionales Políticas y perfiles tradicionales SYSVOL SYSVOL Carpeta compartida DFS especial donde se guardan las políticas para 2000, 2003 y XP Carpeta compartida DFS especial donde se guardan las políticas para 2000, 2003 y XP Debe estar compartida en DCs para su anuncio Debe estar compartida en DCs para su anuncio Común Común Replicación mediante FRS (motor reemplazado para LMREPL) Replicación mediante FRS (motor reemplazado para LMREPL) Replicación Multimaster Replicación Multimaster Reglas Reglas Archivos y directorios bloqueados impiden la replicación (SONAR) Archivos y directorios bloqueados impiden la replicación (SONAR) No realizar manualmente la tarea de copiar los datos en múltiples sitios No realizar manualmente la tarea de copiar los datos en múltiples sitios No válido para datos de usuario dinámicos con bloqueos a nivel de archivo No válido para datos de usuario dinámicos con bloqueos a nivel de archivo

62 62 Políticas de Grupo y de Seguridad Dos motores de almacenamiento y replicación Dos motores de almacenamiento y replicación AD para políticas guardadas en CN=System,CN=Domain AD para políticas guardadas en CN=System,CN=Domain File system replicado con FRS File system replicado con FRS Puntos de conexión en el sistema de archivos Puntos de conexión en el sistema de archivos Emplazamiento de actualizaciones Emplazamiento de actualizaciones GPEDIT y GPMC por defecto para PDC GPEDIT y GPMC por defecto para PDC Mejor actualizar las políticas en un solo DC (persiste el cambio realizado por el último que graba) Mejor actualizar las políticas en un solo DC (persiste el cambio realizado por el último que graba) Contenedores por defecto: CN=Users + CN=Computers Contenedores por defecto: CN=Users + CN=Computers Las políticas no se pueden aplicar a contenedores CN Las políticas no se pueden aplicar a contenedores CN Redirigir contenedores a OUs cuando el nivel funcional de dominio es 2003 para usuarios y máquinas nuevos o existentes Redirigir contenedores a OUs cuando el nivel funcional de dominio es 2003 para usuarios y máquinas nuevos o existentes Políticas asociadas a emplazamiento Políticas asociadas a emplazamiento Política Cuenta + Dominio + Kerberos Política Cuenta + Dominio + Kerberos Definida en exactamente una GP en la raíz del dominio (dominio por defecto o nuevo GPO con mayor prioridad) Definida en exactamente una GP en la raíz del dominio (dominio por defecto o nuevo GPO con mayor prioridad)

63 63 Políticas de Grupo y de Seguridad (2) Eventos buenos Eventos buenos Event 1704: política aplicada correctamente Event 1704: política aplicada correctamente Problemas frecuentes Problemas frecuentes Los puntos de replicación rotos al moverlos con Explorer / XCOPY Los puntos de replicación rotos al moverlos con Explorer / XCOPY Política de sistema de archivos borrada por el administrador Política de sistema de archivos borrada por el administrador Event 1202: la política de seguridad ha fallado cuando un usuario no válido se añadió a una asignación de derechos de usuario Event 1202: la política de seguridad ha fallado cuando un usuario no válido se añadió a una asignación de derechos de usuario Establecimiento de políticas Establecimiento de políticas Buenas prácticas Buenas prácticas Usar archivos ADM de 2003 en clientes XP (pero no en clientes 2000) Usar archivos ADM de 2003 en clientes XP (pero no en clientes 2000) Usar GPMC para administración de políticas Usar GPMC para administración de políticas No borrar la política de sistema de archivos No borrar la política de sistema de archivos

64 64 FRS Motor de replicación multimaster Motor de replicación multimaster El último que escribe es el que gana El último que escribe es el que gana Replica archivos en SYSVOL + NETLOGON + DFS Replica archivos en SYSVOL + NETLOGON + DFS Reemplazo para LMREPL Reemplazo para LMREPL Retos anteriores Retos anteriores Problemas derivados de errores y violaciones de compartición Problemas derivados de errores y violaciones de compartición Nombres de directorios duplicados (Morphed) Nombres de directorios duplicados (Morphed) Políticas de sistema de archivos, análisis de virus y utilidades de disco pueden causar sincronizaciones completas Políticas de sistema de archivos, análisis de virus y utilidades de disco pueden causar sincronizaciones completas Excluir directorios replicados con FRS de las políticas de file-system Excluir directorios replicados con FRS de las políticas de file-system Utilizar antivirus y utilidades de análisis de disco compatibles Utilizar antivirus y utilidades de análisis de disco compatibles Art. KB

65 65 Borrado de objetos críticos Modelo NT 4.0: Borrar y volver a generar = funciona! Modelo NT 4.0: Borrar y volver a generar = funciona! Modelo W2K: Borrar y desear no haberlo hecho Modelo W2K: Borrar y desear no haberlo hecho Objetos críticos Objetos críticos Cuentas de máquina para DCs 2000 y 2003 Cuentas de máquina para DCs 2000 y 2003 Relaciones de confianza internas del bosque Relaciones de confianza internas del bosque Objetos de parámetros NTDS Objetos de parámetros NTDS

66 66 Trucos y Pistas Cosas interesantes que hay que saber Requisitos previos de sincronización Requisitos previos de sincronización FSMOs deben sincronizar sus NC antes de empezar a funcionar FSMOs deben sincronizar sus NC antes de empezar a funcionar Buscar DCs en producción o laboratorio en redes privadas Buscar DCs en producción o laboratorio en redes privadas Requisitos de sincronización del GC Requisitos de sincronización del GC Deben sincronizarse todos los NC en el bosque antes de anunciarse Deben sincronizarse todos los NC en el bosque antes de anunciarse Es más rápido borrar objetos que DCs W2K pre- SP3 Es más rápido borrar objetos que DCs W2K pre- SP3 Los DCs 2003 paran la replicación después de superar el número de días TSL Los DCs 2003 paran la replicación después de superar el número de días TSL

67 67 Trucos y Pistas (2) Cosas que hay que saber XP y 2003 son la plataforma de gestión XP y 2003 son la plataforma de gestión REPADMIN, GPMC, RSOP y 2003 Administrator Pack corren en estos sistemas REPADMIN, GPMC, RSOP y 2003 Administrator Pack corren en estos sistemas Añadir BDCs NT4.0 al dominio Añadir BDCs NT4.0 al dominio Activar administración remota (TS) en sistemas 2003 Activar administración remota (TS) en sistemas 2003 Menú Inicio, botón derecho en Mi PC y Propiedades Menú Inicio, botón derecho en Mi PC y Propiedades

68 68 Recursos adicionales Best Practice Deployment Guide Best Practice Deployment Guide /planning/activedirectory/bpaddsgn.asp /planning/activedirectory/bpaddsgn.asp /planning/activedirectory/bpaddsgn.asp /planning/activedirectory/bpaddsgn.asp , Upgrading 2000 DCs to , Upgrading 2000 DCs to


Descargar ppt "Actualizar dominios de Windows NT 4.0 a Windows Server 2003 Arren Conner - Supportability PM Andreas Luther - Deployment PM Microsoft Corporation."

Presentaciones similares


Anuncios Google