Reflexiones de un Dummy en AD: Experiencias en Migración y Administración de Exchange 2000 y Active Directory en el Mundo Real Natalie Gil – Ing. de Sistemas, Banco de Crédito BCP Oscar Vargas – Arquitecto de Redes, TIM Perú Errores

Objetivos y Audiencia Compartir experiencias y errores (y éxitos) Compartir experiencias y errores (y éxitos) Identificar riesgos relación con la migración a Active Directory y Exchange 2000 y proponer formas de mitigarlos Identificar riesgos relación con la migración a Active Directory y Exchange 2000 y proponer formas de mitigarlos Audiencia: Audiencia: Ingenieros / Implantadores con conocimientos de AD y E2K Ingenieros / Implantadores con conocimientos de AD y E2K Administradores de NT4 / Exchange 5.5 preparándose para la migración Administradores de NT4 / Exchange 5.5 preparándose para la migración

Agenda Planificación Previa a la Migración: Planificación Previa a la Migración: Mitos de una Migración Mitos de una Migración Upgrade de AD? O todo nuevo? Upgrade de AD? O todo nuevo? Sizing de Servidores Sizing de Servidores Recomendaciones para un buen diseño Recomendaciones para un buen diseño Delegación de Active Directory Delegación de Active Directory La Migración La Migración El Día D – La Migración El Día D – La Migración El Active Directory Connector El Active Directory Connector Problemas típicos de la migración Problemas típicos de la migración Diferencias importantes entre E5.5 y E2K Diferencias importantes entre E5.5 y E2K Recomendaciones de Administración Recomendaciones de Administración Plan de Backups Plan de Backups Seguridad Seguridad Errores comunes de un Administrador Errores comunes de un Administrador Monitoreo Monitoreo Qué hacer cuando hay problemas Qué hacer cuando hay problemas Beneficios de la Migración Beneficios de la Migración

No creas todo lo que te dice Microsoft (Mitos de una migración) El mito: El mito: Basta con colocar el CD y hacer upgrade Basta con colocar el CD y hacer upgrade Corre el Wizard y listo Corre el Wizard y listo Setup! Setup! Es importante estar preparado antes de hacer la migración Es importante estar preparado antes de hacer la migración No es sin dolor No es sin dolor Investiga, lee, documenta muchísimo (harto!) Investiga, lee, documenta muchísimo (harto!) Considera una consultoría o un apoyo experto Considera una consultoría o un apoyo experto Revisar el tema de procesos Revisar el tema de procesos Gente que crea cuentas Gente que crea cuentas Gente que maneja seguridad Gente que maneja seguridad Esta implantación puede ser multi-área Esta implantación puede ser multi-área

¿Upgrade de AD? ¿O todo nuevo? Decisión importante y primordial Decisión importante y primordial Es preferible hacer una instalación nueva (dominio paralelo) porque es más limpia Es preferible hacer una instalación nueva (dominio paralelo) porque es más limpia Poner un dominio paralelo puede sonar tremendo, pero hay una serie de problemas que se pueden evitar: Poner un dominio paralelo puede sonar tremendo, pero hay una serie de problemas que se pueden evitar: ADC ADC Sincronización y replicación Sincronización y replicación Troubleshooting Troubleshooting

¿Upgrade de AD? ¿O todo nuevo? Puntos negativos de un dominio paralelo: Puntos negativos de un dominio paralelo: Hay un tema económico involucrado Hay un tema económico involucrado Se requiere una infraestructura paralela igual de grande y compleja o mayor Se requiere una infraestructura paralela igual de grande y compleja o mayor Puede haber dependencias que no se pueden manejar Puede haber dependencias que no se pueden manejar Interacción con Producción Interacción con Producción Cuentas o aplicaciones duras de migrar Cuentas o aplicaciones duras de migrar Limites de Tiempo Limites de Tiempo Si vas a optar por un upgrade in-place, considera la posibilidad en el tiempo de re-hacer el PDC Si vas a optar por un upgrade in-place, considera la posibilidad en el tiempo de re-hacer el PDC

El Tamaño Sí Importa (Sizing) Es importante hacer un estimado adecuado de los recursos que necesito Es importante hacer un estimado adecuado de los recursos que necesito Procesador, memoria y disco Procesador, memoria y disco Exchange y Domain Controllers de AD Exchange y Domain Controllers de AD Capacidad de backup y restore (y tiempo!) Capacidad de backup y restore (y tiempo!) Impacto a la red – Exchange y los Global Catalogs Impacto a la red – Exchange y los Global Catalogs Recursos humanos Recursos humanos Bases de datos de Exchange crecen: Bases de datos de Exchange crecen: Nuevos stores – Más capacidad de crecimiento Nuevos stores – Más capacidad de crecimiento Más capacidad de consolidación Más capacidad de consolidación Falta de políticas Falta de políticas Migración de cuentas con ExMerge = pérdida de Single Instance Migración de cuentas con ExMerge = pérdida de Single Instance Base de datos de Streaming – OWA 2000 Base de datos de Streaming – OWA 2000

El Tamaño Sí Importa (Sizing) De todas maneras Win2K va a requerir más HW, y E2K probablemente también De todas maneras Win2K va a requerir más HW, y E2K probablemente también Considerar necesidad de GCs para E2K… inclusive podrían ser dedicados y por site Considerar necesidad de GCs para E2K… inclusive podrían ser dedicados y por site Documentos y herramientas útiles ( anning/2000 ): Documentos y herramientas útiles ( anning/2000 ): anning/2000http:// anning/2000 Documentos y herramientas de Sizing de Microsoft Documentos y herramientas de Sizing de Microsoft Proliant Sizer for Microsoft Exchange 2000 Proliant Sizer for Microsoft Exchange 2000 Proliant Storage Planning Calculator Proliant Storage Planning Calculator HP Consolidation Tool for Microsoft Exchange 2000 HP Consolidation Tool for Microsoft Exchange 2000

Sizing: Ejemplo BCP BCP 6000 Usuarios 6000 Usuarios Exchange: 4 Servidores (4CPUs, 2 GB RAM c/u) con un Storage Externo de 800 GB Exchange: 4 Servidores (4CPUs, 2 GB RAM c/u) con un Storage Externo de 800 GB 2 Servidores de conectores para Internet y Credicorp 2 Servidores de conectores para Internet y Credicorp DC: Win2K (PDC Emulator) de 4CPUs, 1 GB RAM (dedicado), asume también función de GC DC: Win2K (PDC Emulator) de 4CPUs, 1 GB RAM (dedicado), asume también función de GC 2 Servidores Adicionales dedicados para DC (uno pequeño, otro igual al PDC para ser GC) 2 Servidores Adicionales dedicados para DC (uno pequeño, otro igual al PDC para ser GC) TIM TIM 1500 Usuarios 1500 Usuarios Exchange: 4 Servidores Proliant DL580 con 4CPUs Xeon900, 2GBRAM, 72GB HD, 1 Storage Externo de 144GB Exchange: 4 Servidores Proliant DL580 con 4CPUs Xeon900, 2GBRAM, 72GB HD, 1 Storage Externo de 144GB 1 servidor de conectores para Internet y F/E Server 1 servidor de conectores para Internet y F/E Server DC: 9 Servidores Proliant DL380G2 con 2CPUx PIII 1400Mhz, 1GB RAM, 36GB HD DC: 9 Servidores Proliant DL380G2 con 2CPUx PIII 1400Mhz, 1GB RAM, 36GB HD

Recomendaciones para un buen diseño: Mantenerlo simple! Implantar la menor complejidad posible (aunque ésto requiera más trabajo) Implantar la menor complejidad posible (aunque ésto requiera más trabajo) Solucionar problemas pendientes antes de migrar Solucionar problemas pendientes antes de migrar La migración no va a lavar tu ropa sucia! La migración no va a lavar tu ropa sucia! Consolidación de dominios Consolidación de dominios Tratar de armar el diseño en base a OUs, no a dominios hijos Tratar de armar el diseño en base a OUs, no a dominios hijos Consolidar/limpiar esquema de DNS Consolidar/limpiar esquema de DNS

Recomendaciones para un buen diseño: Puntos Adicionales Definir responsabilidades de administración del Directorio – Active Directory Definir responsabilidades de administración del Directorio – Active Directory Es necesario considerar roles ahora y en el futuro – es importante saber si tenemos la capacidad de administrar Es necesario considerar roles ahora y en el futuro – es importante saber si tenemos la capacidad de administrar Llenado de información en OUs Llenado de información en OUs Planificar la delegación de administración Planificar la delegación de administración Hacer la mayor cantidad posible de laboratorios antes Hacer la mayor cantidad posible de laboratorios antes Intercomunicación con otros sites Exchange / Empresas / Bosques Intercomunicación con otros sites Exchange / Empresas / Bosques Planificarlo bien Planificarlo bien Organización Exchange 2000 = Forest Organización Exchange 2000 = Forest Public Folders Public Folders Address Book Address Book Para situaciones de interrelación compleja, podría ser necesario Microsoft Metadirectory Services (MMS), o herramientas de terceros Para situaciones de interrelación compleja, podría ser necesario Microsoft Metadirectory Services (MMS), o herramientas de terceros

Delegación de AD - Ejemplo Esquema de OUs armado por locales Cada OU de local es organizada por tipos de usuarios Las GPO aplican a todos los OUs EXCEPTO a los de servidores y DCs Los servidores también son agrupados por OU según su objetivo, para facilitar administración

El Día D (La Migración) Hacer el cleanup del servidor antes de hacer la migración a AD Hacer el cleanup del servidor antes de hacer la migración a AD No olvidar desconectar un BDC antes de hacer la migración – Contingencia y rollback No olvidar desconectar un BDC antes de hacer la migración – Contingencia y rollback DomainPrep y ForestPrep – Prep-árate! DomainPrep y ForestPrep – Prep-árate! Pruebas en laboratorio antes de hacerlo! Pruebas en laboratorio antes de hacerlo! Tener todo a la mano Tener todo a la mano Uy, no tengo el CD! Uy, no tengo el CD! No tengo soporte! No tengo soporte! Espera lo inesperado… Espera lo inesperado…

Cambios de Resolución entre NT4 y Win2K WINSDNS WinNT Member Win2KPro WinXP NT4PDCNT4BDC1NT4BDC2 Win2K Member WinNTWks Win9x ¿A qué Domain Controllers me conecto? Toma la lista: NT4PDC, NT4BDC1, NT4BDC2 PDC migrado a Windows 2000 Active Directory!!!

Cambios de Resolución entre NT4 y Win2K WINSDNS WinNT Member NT4PDCNT4BDC1NT4BDC2 WinNTWks Win9x Win2KPro WinXP Win2K Member ¿A qué Domain Controllers me conecto? Toma la lista: NT4PDC (porque es 2K) Para que esto no ocurra hay 2 alternativas: 1. Migrar más domain controllers a Windows 2000 (con todo lo que esto implica!) 2. Hacer que los DCs Windows 2000 se comporten como DCs NT4.0 a través de la llave NT4Emulator del Registry.

El Día D – El Registry NT4Emulator Registry NT4Emulator –KB Article Registry NT4Emulator –KB Article Beneficios / Riesgos Beneficios / Riesgos Riesgo: No ponerlo en todos! Riesgo: No ponerlo en todos! Al quitar la llave recién están haciendo la migración… Al quitar la llave recién están haciendo la migración…

Durmiendo con el Enemigo (El Active Directory Connector - ADC) El ADC puede ser (si lo planificas mal) tu peor dolor de cabeza El ADC puede ser (si lo planificas mal) tu peor dolor de cabeza No es posible instalar Exchange 2000 en un ambiente mixto E2K/E5.5 sin instalar el ADC No es posible instalar Exchange 2000 en un ambiente mixto E2K/E5.5 sin instalar el ADC Instalar el ADC de SP3 de Exchange 2000 Instalar el ADC de SP3 de Exchange 2000 No usar el ADC de Win2K, ni el de E2K! No usar el ADC de Win2K, ni el de E2K! Verificar que no hayan salido parches para el ADC antes de instalarlo Verificar que no hayan salido parches para el ADC antes de instalarlo Planificar y probar diseño de ADCs Planificar y probar diseño de ADCs Instalar los ADCs en modo two-way Instalar los ADCs en modo two-way Si lo tienen en one-way, no pasarlo a two-way; crear uno nuevo Si lo tienen en one-way, no pasarlo a two-way; crear uno nuevo Ejemplo: Pérdida de relación casilla-cuenta Ejemplo: Pérdida de relación casilla-cuenta Monitorear el ADC! Monitorear el ADC! Mensajes de error en el Event log Mensajes de error en el Event log Servicio debe estar siempre levantado Servicio debe estar siempre levantado

Será por la migración? - Definitivamente Sí! (Problemas típicos tras la migración) Problemas típicos luego de una migración: Problemas típicos luego de una migración: Resolución ha cambiado entre WINS y DNS Resolución ha cambiado entre WINS y DNS Logon scripts – Replicación NETLOGON Logon scripts – Replicación NETLOGON Políticas de cambio de password, expiración, etc. Políticas de cambio de password, expiración, etc. Políticas de máquina Políticas de máquina Solución: Planificar esto antes de la migración! Solución: Planificar esto antes de la migración!

Exchange – ¿Para qué #$dre migré? (Diferencias importantes entre versiones de Exchange) Diferencias entre E2K y E5.5 que afectarán el servicio si no son adecuadamente planificadas: Diferencias entre E2K y E5.5 que afectarán el servicio si no son adecuadamente planificadas: En E2K la cuenta y la casilla son lo mismo En E2K la cuenta y la casilla son lo mismo Revisar usuarios que utilizan muchas casillas Revisar usuarios que utilizan muchas casillas ADC va a replicar las cuentas de manera inadecuada ADC va a replicar las cuentas de manera inadecuada Recipient Update Services Recipient Update Services Políticas de Addressing en un site mixto vienen de E5.5 (prioridad) Políticas de Addressing en un site mixto vienen de E5.5 (prioridad) Tener cuidado en no crear políticas que hagan conflicto con 5.5, o esperar a migrar a site Nativo Tener cuidado en no crear políticas que hagan conflicto con 5.5, o esperar a migrar a site Nativo Como para entrar a OWA se requieren direcciones SMTP, las políticas del RUS podrían hacer que los usuarios no entren a OWA Como para entrar a OWA se requieren direcciones SMTP, las políticas del RUS podrían hacer que los usuarios no entren a OWA

Exchange – ¿Para qué #$dre migré? (Diferencias importantes entre versiones de Exchange) Diferencias entre E2K y E5.5 que afectarán el servicio si no son adecuadamente planificadas: Diferencias entre E2K y E5.5 que afectarán el servicio si no son adecuadamente planificadas: SMTP es nativo para todo SMTP es nativo para todo Usuarios que no tienen salida a Internet… pueden terminar teniéndola Usuarios que no tienen salida a Internet… pueden terminar teniéndola Puede comprometer tráfico Puede comprometer tráfico OWA no funciona como en E5.5 OWA no funciona como en E5.5 Debe haber un Front-End Server para OWA en Internet Debe haber un Front-End Server para OWA en Internet

Haciendo las cosas más complicadas… si se puede aún más (Planificación para Backups) El proceso de respaldo ha cambiado; es necesario planificar para esto: El proceso de respaldo ha cambiado; es necesario planificar para esto: System State: Imprescindibles para poder recuperar Exchange 2000 System State: Imprescindibles para poder recuperar Exchange 2000 Active Directory – System State de los DCs Active Directory – System State de los DCs Backup del disco C:\ - Recomendado por Microsoft, pero no hemos encontrado una dependencia específica, y sí algunos riesgos – Sacar backup igual Backup del disco C:\ - Recomendado por Microsoft, pero no hemos encontrado una dependencia específica, y sí algunos riesgos – Sacar backup igual Leer e implementar documento de Disaster Recovery de Exchange ( ange/exchange2000/proddocs/onlinebooks/disrec/de fault.asp) Leer e implementar documento de Disaster Recovery de Exchange ( ange/exchange2000/proddocs/onlinebooks/disrec/de fault.asp) ange/exchange2000/proddocs/onlinebooks/disrec/de fault.asphttp:// ange/exchange2000/proddocs/onlinebooks/disrec/de fault.asp

Haciendo las cosas más complicadas… si se puede aún más (Planificación para Backups) Validar pruebas de restore!! Validar pruebas de restore!! Políticas de tamaño Políticas de tamaño Se puede fácilmente perder el control del tamaño de las bases de datos Se puede fácilmente perder el control del tamaño de las bases de datos Considerar utilizar NTBackup por más que se tenga una herramienta de terceros Considerar utilizar NTBackup por más que se tenga una herramienta de terceros Por ejemplo, backup de NTBackup a disco Por ejemplo, backup de NTBackup a disco

Por Esto Casi me Botan (errores de un administrador) Mentalidad de administración NT4-Exchange 5.5 no aplica en un mundo Active Directory – Exchange 2000 Mentalidad de administración NT4-Exchange 5.5 no aplica en un mundo Active Directory – Exchange 2000 Administración del directorio Activo (ej. defrags) Administración del directorio Activo (ej. defrags) Dependencia de Exchange en servidores GCs Dependencia de Exchange en servidores GCs Autorizar DHCPs, y Definir esquema de permisos para DHCPs Autorizar DHCPs, y Definir esquema de permisos para DHCPs Permisos Schema Admin y Enterprise Admin podrían ser un peligro! Permisos Schema Admin y Enterprise Admin podrían ser un peligro! URLScan en servidores Exchange (OWA) – ver Q URLScan en servidores Exchange (OWA) – ver Q Antivirus Antivirus No correrlo en el disco M: ni en las BDs de Exchange (ni en \EXCHSRVR) No correrlo en el disco M: ni en las BDs de Exchange (ni en \EXCHSRVR) Considerar encender dumps de servidores Considerar encender dumps de servidores Subestimar complejidad Subestimar complejidad El grueso de los errores es falta de conocimiento El grueso de los errores es falta de conocimiento Dependencias Dependencias

Si todo está OK … para qué me complico (monitoreando lo que NO se ve) Me complico porque hay cosas que pueden pasar que no veo… y que en algún momento me van a explotar en la cara!! Me complico porque hay cosas que pueden pasar que no veo… y que en algún momento me van a explotar en la cara!! Encender logging de todo lo que quieras monitorear (ej. ADCs) a minimum por lo menos Encender logging de todo lo que quieras monitorear (ej. ADCs) a minimum por lo menos Revisar logs de DCs y Exchange por lo menos una vez a la semana (diario durante la migración), y tomar acciones Revisar logs de DCs y Exchange por lo menos una vez a la semana (diario durante la migración), y tomar acciones Poner una herramienta que monitoree la infraestructura Poner una herramienta que monitoree la infraestructura Por ejemplo Microsoft Operations Manager (MOM) Por ejemplo Microsoft Operations Manager (MOM) Exchange System Monitor / Link Monitor Exchange System Monitor / Link Monitor

Monitoreo: MOM

Monitoreo: MailQ

Auxilio! Esto no funciona! (Qué hacer cuando hay problemas) Qué hacer cuando hay problemas Qué hacer cuando hay problemas Ver si la alerta es cierta (…) Ver si la alerta es cierta (…) Ver si es problema de servidor (masivo) o de uno o pocos clientes Ver si es problema de servidor (masivo) o de uno o pocos clientes Ver si es un problema de Exchange o de Active Directory Ver si es un problema de Exchange o de Active Directory Revisar event logs del servidor o servidores sospechosos Revisar event logs del servidor o servidores sospechosos Revisar alertas de MOM… Revisar alertas de MOM… Abrir el Exchange System Manager y ver colas, stores caidos, etc. Abrir el Exchange System Manager y ver colas, stores caidos, etc. Buscar casos en Buscar casos en Herramientas útiles: Replmon, ADCheck (NetIQ), Herramientas útiles: Replmon, ADCheck (NetIQ), Tener casillas de prueba en cada store de cada servidor Tener casillas de prueba en cada store de cada servidor Contar con algún tipo de soporte – No asuman que la linea gratuita de Microsoft les va a resolver problemas con Exchange 2000! Contar con algún tipo de soporte – No asuman que la linea gratuita de Microsoft les va a resolver problemas con Exchange 2000! Ten a la mano el teléfono de Bembos, Dinos Pizza, etc… tu dieta va a cambiar Ten a la mano el teléfono de Bembos, Dinos Pizza, etc… tu dieta va a cambiar Ten paciencia… va a replicar! Ten paciencia… va a replicar!

Por fin! El Sol! (tras semanas bajo tierra) (Beneficios obtenidos de la migración) … al final sí replica … al final sí replica Algunos beneficios obtenidos: Algunos beneficios obtenidos: Administración remota en los servidores – Terminal Administración remota en los servidores – Terminal Bases de datos más pequeñas y manejables – menos tiempo de respuesta y menos usuarios afectados Bases de datos más pequeñas y manejables – menos tiempo de respuesta y menos usuarios afectados Mayor granularidad administrativa y seguridad Mayor granularidad administrativa y seguridad OWA 2000 OWA 2000 Integración con DNS Integración con DNS Herramientas más simples para monitorear (ej. MOM) Herramientas más simples para monitorear (ej. MOM) Monitoreo más centralizado de AD Monitoreo más centralizado de AD Acceso vía Celular con Mobile Information Server Acceso vía Celular con Mobile Information Server Y vivieron felices para siempre… Y vivieron felices para siempre…

Los expertos…

Links Revisar los siguientes artículos de Knowledge Base ( , , , , , Revisar los siguientes artículos de Knowledge Base ( , , , , , http://support.microsoft.com Service Pack 3 de Exchange: Service Pack 3 de Exchange: Mejores Prácticas de Exchange 2000: Mejores Prácticas de Exchange 2000: Guia de Migracion a Exchange Guia de Migracion a Exchange Documentos y herramientas útiles de Exchange ( ) Documentos y herramientas útiles de Exchange ( ) Disaster Recovery de Exchange 2000 ( ge2000/proddocs/onlinebooks/disrec/default.asp) Disaster Recovery de Exchange 2000 ( ge2000/proddocs/onlinebooks/disrec/default.asp) ge2000/proddocs/onlinebooks/disrec/default.asphttp:// ge2000/proddocs/onlinebooks/disrec/default.asp