Operaciones en Active Directory: Consejos y Trucos

Operaciones en Active Directory: Consejos y Trucos
3/24/2017 3:58 PM Operaciones en Active Directory: Consejos y Trucos Miguel Angel Vigara Technical Account Manager Microsoft Ibérica © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Como obtener lo máximo de esta Webcast
3/24/2017 3:58 PM Como obtener lo máximo de esta Webcast Específica para Microsoft Windows Server™ 2003 Recomendaciones modelo ‘Buffet’ Coge lo que quieras, deja lo que no te aplique No todas las recomendaciones aplican a todos los entornos Esta sesión tocará como tomar las decisiones sobre que sugerencias implantar ¡Las mejores recomendaciones a la hora de operar Active Directory no tienen nada que ver con el software o la tecnología! No se tratan temas de seguridad No se tratan temas de administración de cuentas o políticas © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda Monitorización del rendimiento Monitorización en general
3/24/2017 3:58 PM Agenda Monitorización del rendimiento Monitorización en general Replicación Resolución de nombres FRS Base de datos de Active Directory Recomendaciones no relacionadas con Tecnología Guía de operaciones de Active Directory Microsoft Operations Framework © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Monitorización del rendimiento
3/24/2017 3:58 PM Monitorización del rendimiento Almacena el histórico de datos de rendimiento Troubleshooting de problemas Capacity planning Consolidación de controladores de dominio Nuevos despliegues Evitar tener controladores de dominio por encima de un 60% CPU (media) Recopilar contadores de la base de datos (P.ej: Cache Size) Recomendación: Perfmon en Microsoft® Windows® XP and Microsoft® Windows Server™ 2003 puede almacenar y recuperar datos directamente desde un SQL © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Monitorización del rendimiento
3/24/2017 3:58 PM Monitorización del rendimiento Ejecutar el Server Performance Advisor periódicamente Busca alertas y warnings en la página resumen Recopila periódicamente fotos del rendimiento a horas pico y guárdalos para realizar análisis de tendencias Disponible en © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Demo Server Performance Advisor (v2)
3/24/2017 3:58 PM Demo Server Performance Advisor (v2) © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Escenarios de sobrecarga de PDC Emulator
3/24/2017 3:58 PM Escenarios de sobrecarga de PDC Emulator Distintos componentes cargan el controlador de dominio con el role de PDC Emulator Distributed File System (DFS) y clientes Microsoft® Windows NT® 4.0 SP6a Registros PDC en WINS Clasificación de las entradas 1C del dominio devueltas por WINS Algunas aplicaciones atacan sólo al PDC Autenticación Pass-through al PDC Clientes Microsoft® Windows 2000® sólo son autenticados por PDC en entornos con dominios NT 4.0 Entornos pequeños no suelen tener estos problemas © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Autenticación Pass-through
3/24/2017 3:58 PM Autenticación Pass-through Cambios de contraseñas en DC No-PDC son reenviadas a PDC Fallos de autenticación son reenviadas al PDC Cuentas de servicio con contraseñas incorrectas están continuamente reintentado logon Cache negativa de passwords El servicio Netlogon en el DC cachea los reenvíos de contraseñas incorrectas Se activa tras 10 intentos Se cachean hasta 50 entradas erróneas Los siguientes intentos no son enviados al PDC emulator Logging del servicio Netlogon: “Nltest /dbflag:2080ffff” crea un archivo Netlogon.log y Netlogon.bak en el directorio %systemroot%\debug (Al acabar Nltest /dbflag:0x0 ) © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Monitorización en general
3/24/2017 3:58 PM Monitorización en general Recopilación de eventos del Visor de sucesos Posibilidad de tener un sistema de monitorización y alertas P.Ej.: Microsoft® Operations Manager (o Ultrasound o Performance Monitor o scripting…) Recopila los eventos de arranque (6005, 6006, 6008 y 6009), y busca el evento 6008 “dirty shutdown” 6008 es útil para monitorizar reinicios del servidor debidos a ‘Blue Screens’ o problemas de hardware Incrementa el tamaño del visor de sucesos a un valor ‘realista’ (~50Mb por log) © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Monitorización en general
3/24/2017 3:58 PM Monitorización en general Configura “Field Engineering” para localizar búsquedas ‘costosas’ 0x4: Un evento es registrado cada vez que se ejecuta la Defragmentación Online 0x5: Un evento es registrado cada que se estima que una búsqueda es ‘costosa’ o ‘poco eficiente’ contiene información sobre la modificación de estos parámetros © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Monitorización – Tareas diarias
Tasks Importance Verify that all domain controllers are communicating with the central monitoring console or collector. Communication failure between the domain controller and the monitoring infrastructure prevents you from receiving alerts so you can examine and resolve them. View and examine all new alerts on each domain controller, resolving them in a timely fashion. This precaution helps you avoid service outages. Resolve alerts indicating the following services are not running: FRS, Net Logon, KDC, W32Time, ISMSERV. MOM reports these as Active Directory Essential Services. Active Directory depends on these services. They must be running on every domain controller. Resolve alerts indicating SYSVOL is not shared. Active Directory cannot apply Group Policy unless SYSVOL is shared. Resolve alerts indicating that the domain controller is not advertising itself. Domain controllers must register DNS records to be able to respond to LDAP and other service requests. Resolve alerts indicating time synchronization problems. The Kerberos authentication protocol requires that time be synchronized between all domain controllers and clients that use it. Resolve all other alerts in order of severity. If alerts are given error, warning, and information status similar to the event log, resolve alerts marked error first. The highest priority alerts indicate the most serious risk to your service level.

Monitorización – Tareas semanales
Tasks Importance Review the Time Synchronization Report to detect intermittent problems and resolve time-related alerts. The Kerberos authentication protocol requires that time be synchronized between all domain controllers and clients that use it. Review the Authentication Report to help resolve problems generated by computer accounts with expired passwords. Expired passwords must be reset to allow the computers to authenticate and participate in the domain. Review the Duplicate Service Principal Name Report to list all security principals that have a service principal name conflict. User or computer accounts cannot be authenticated or log on if they share an SPN with another account. Review a report of the top alerts generated by the Active Directory monitoring indicators and resolve those items that occur most frequently. Report shows alerts that occur most often. Focusing on the top alert generators significantly reduces the number of alerts seen by the operator. Review the report that lists all trust relationships in the forest and check for obsolete, unintended, or broken trusts. Authentication between domains or forests requires trust relationships.

Monitorización – Tareas mensuales
Tasks Importance Verify that all domain controllers are running with the same service pack and hot fix patches. Potential issues can arise if distributed services are running with different versions of software. Review all Active Directory reports and adjust thresholds as needed. Examine each report and determine which reports, data, and alerts are important for your environment and service level agreement. Examining the data that is relevant to your environment allows you to determine the thresholds that trigger the alerts to your service level delivery. Review the Replication Monitoring Report to verify that replication throughout the forest occurs within acceptable limits Timely replication helps assure that you meet your service level agreements. Review the Active Directory response time reports. Services must respond quickly for the system to function properly and applications such as to work properly. Review the domain controller disk space reports. The drives containing the Active Directory database and log files must have sufficient free space to accommodate growth and routine processing. Review all performance-related reports. These reports are called Health Monitoring reports in MOM. These reports can help you determine the baseline for your environment and adjust thresholds. Review all performance-related reports for capacity planning purposes to ensure that you have enough capacity for current and expected growth. These reports are called Health Monitoring reports in MOM. These reports help you track growth trends in your environment and plan for future hardware and software needs. Adjust performance counter thresholds or disable rules that are not applicable to your environment or that generate irrelevant alerts. Monitoring indicators must be adjusted to suit your environment. The goal is to provide alerts that are concise, highly relevant, and lead an operator to resolve the problem.

3/24/2017 3:58 PM Replicación Deja que el Knowledge Consistency Checker gestione el entorno de replicación (ISTG) Las mejoras en el algoritmo usado en Windows Server 2003 deberían eliminar la necesidad de utilizar conexiones manuales Básate en la capacidad de los sitios y subredes para un control más granular de la replicación Si necesitas segmentar el tráfico de replicación de los controladores de dominio usa redes /32 ( ) para asignar servidores específicos y controladores de dominio a un sitio Está configuración es muy utilizada en la creación de sitios dedicados para Exchange © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 3:58 PM Replicación Utiliza los nuevos modificadores del comando Repadmin para tener un instantánea del estado de la replicación Repadmin /replsum © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Demo Nuevos parámetros de repadmin
3/24/2017 3:58 PM Demo Nuevos parámetros de repadmin © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 3:58 PM Agenda Monitorización del rendimiento Monitorización en general Replicación Resolución de nombres FRS Base de datos de Active Directory Recomendaciones no relacionadas con Tecnología © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Resolución de nombres Si el PDC está sobrecargado…
3/24/2017 3:58 PM Resolución de nombres Si el PDC está sobrecargado… Blinda el controlador de dominio en WINS y en DNS WINS: Configura la entrada “Prepend1BTo1CQueries” como se índica en el artículo Servidores WINS dejan de añadir la entradas 0x1B (PDC) al principio de la lista 0x1C DNS: Ajusta la prioridad y el peso en DNS para que el PDC sea el último que se devuelva ante una consulta DNS LdapSrvWeight y LDapSrvPriority son las claves del registro que corresponderán con las entradas en DNS Nota: Los equipos clientes pueden ser bastante persistentes . En algunos caso habrá que para el servicio NetLogon hasta una hora para que los clientes generen TimeOuts y vuelvan a hacer la consulta. Clientes que busquen específicamente el PDC no se verán afectados Puede ser interesante tener un ‘Hot Backup PDC’. Un candidato a ser PDC Emulator y que también este blindado. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 3:58 PM DNS Está altamente recomendado tener las zonas DNS integradas en Active Directory Configura los controladores de dominio para que apunten a sí mismos como clientes DNS No existe efecto isla en Windows Server 2003 Asegúrate de utilizar las nuevas particiones de aplicación. Sobretodo si se migra desde Windows 2000 ya que en este escenario no se utilizan por defecto. Configura el proceso de scavenging para reducir los registros que ya no se utilizan Nota: Un buen valor para este parámetro puede ser el tiempo máximo de vacaciones en tu organización + 3 días © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 3:58 PM Agenda Monitorización del rendimiento Monitorización en general Replicación Resolución de nombres FRS Base de datos de Active Directory Recomendaciones no relacionadas con Tecnología © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

File Replication Service (FRS)
3/24/2017 3:58 PM File Replication Service (FRS) Motor de replicación Multi-master SYSVOL en los controladores de dominio Parte de las políticas en el sistema de ficheros (.ADMs y otros) Scripts de logon y políticas “legacy” DFS Recurso para la distribución de aplicaciones Contenido de sólo lectura (o muy estático) Monitoriza USN journal en las unidades NTFS Orden de cambio = Unidad de replicación En el área Staging se crea y envía a cada partner Las transacciones son almacenadas en una BD Jet © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

FRS Despliega Ultrasound para monitorizar FRS
3/24/2017 3:58 PM FRS Despliega Ultrasound para monitorizar FRS Disponible en Busca ‘Sharing Violations’. Este es el problema más común Suelen ser causado por permisos incorrectos en SYSVOL Busca nombre ‘extraños’ de carpetas o archivos Monitoriza con Ultrasound y verifica que no se dan mas de 10 VVJOINs a la vez. VVJOINs aparece cuando un nuevo objeto de conexión es creado © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Demo Monitorizando FRS con Ultrasound
3/24/2017 3:58 PM Demo Monitorizando FRS con Ultrasound © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Base de datos de Active Directory
3/24/2017 3:58 PM Base de datos de Active Directory Monitoriza el tamaño del fichero DIT Scripts, Visor de sucesos Configura la entrada de registro “Garbage Collection” a 1. Se generará un evento cuando se ejecute la Defragmentación Online informando del tamaño de la base de datos y su ‘White Space’. HKLM\System\CCS\Services\NTDS\Diagnostics Revisa la cantidad de ‘white space’. Si alcanza el 33% o más del tamaño total, considera la realización de una defragmentación offline para recuperar dicho espacio. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Base de datos de Active Directory (2)
3/24/2017 3:58 PM Base de datos de Active Directory (2) Estandariza las unidades y directorios del DIT y los LOGs en todos los controladores de dominio. Facilita la posterior gestión/monitorización. Si se puede, separar en distintas unidades físicas. Windows 2003 utiliza ‘Single Instance Storage for Security Descriptors’. Si actualizas desde Windows 2000, realiza una defragmentación offline para recuperar el espacio en disco. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 3:58 PM Base de datos de Active Directory (3) Si existe suficiente espacio en disco, programa un backup del SystemState todas las noches y almacena el fichero .bkf localmente. Ejemplo: ntbackup backup systemstate /j “Backup desde cmd programado del SystemState" /f “C:\BackupSystemState.bkf“ Con /a anexaremos al bkf existente. ¡OJO con el espacio en Disco! Si necesitas recuperar/reconstruir un controlado de dominio desde cero usa el backup ‘Install From Media’ © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 3:58 PM Base de datos de Active Directory (4) Añade el parámetro /3gb en el BOOT.INI No lo ejecutes simultáneamente a /PAE Máximo sin /3GB ~512Mb Máximo con /3GB ~2,6Gb © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Recomendaciones no específicas de AD (1)
3/24/2017 3:58 PM Recomendaciones no específicas de AD (1) No ejecutes backups en las horas de trabajo Utiliza nombres descriptivos y estandarizados para los Controladores de Dominio. Facilita el scripting, administración, troubleshooting…. Ejemplo: ESP-DC-01 (Situación física, role, número de serie). Estandariza el hardware si es posible Estandariza la plataforma de software siempre (que se pueda) Ejemplo: Todos mis controladores de dominio están ejecutando Windows SP1 + 3 QFEs (909139, y ) © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Recomendaciones no específicas de AD (2)
3/24/2017 3:58 PM Recomendaciones no específicas de AD (2) Siempre que sea posible utilizar un entorno de piloto y/o preproducción para probar los cambios. Se pueden considerar cambios a testear nuevos fixes, nuevas políticas, actualizaciones de SPs, cambios en la configuración, etc… Lo ideal sería que el entorno de testing/preproducción fuera igual (lógica y físicamente) que el de producción. En el peor caso, montar un entorno con Microsoft Virtual Server 2005. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Guía de operaciones de AD
Administering Active Directory Operations Introduction to Administering Active Directory Administering Domain and Forest Trusts Administering the Windows Time Service Administering SYSVOL Administering the Global Catalog Administering Operations Master Roles Administering Active Directory Backup and Restore Administering Intersite Replication Administering the Active Directory Database Administering Domain Controllers Additional Resources for Administering Active Directory Troubleshooting Active Directory Operations Configuring a Computer for Troubleshooting Active Directory Troubleshooting Active Directory Replication Problems Additional Resources for Troubleshooting Active Directory (Buscar en ms.com/downloads: “Active Directory Operations Guide Version 1.5”)

Frameworks de Microsoft
3/24/2017 3:58 PM Frameworks de Microsoft © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Modelo de procesos de MOF
3/24/2017 3:58 PM Modelo de procesos de MOF © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Modelo de equipos de MOF
3/24/2017 3:58 PM Modelo de equipos de MOF © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Gestión de riesgos de MOF
3/24/2017 3:58 PM Gestión de riesgos de MOF MOF Self-Assessment Tool © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Service Improvement Projects y Solution Accelerators
3/24/2017 3:58 PM Service Improvement Projects y Solution Accelerators Security Patch Management Business Desktop Deployment Windows Server Deployment Service Monitoring and Control Account Management for Windows Server 2003 Management Architecture Guide © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

© 2004 Microsoft Corporation. All rights reserved.
3/24/2017 3:58 PM © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Webcast grabados de temas relacionados
Más Acciones ... Webcast grabados de temas relacionados Active Directory - Usos y conceptos básicos del Directorio Activo Active Directory - Conceptos Avanzados de Directorio Activo Active Directory - La importancia del DNS para el Directorio Activo Active Directory - Replicación del Directorio Activo Active Directory - Replicación FRS Active Directory - Uso avanzado de las politicas de Grupo Active Directory - Mejores Practicas para un buen diseño del Directorio Activo Active Directory - Chequeo de salud del directorio Activo

Próximos Webcast Active Directory - Migración desde Windows NT a Directorio Activo Registro en:

Próximas acciones desde TechNet
Microsoft TechNet Security Day security/default.asp MADRID : 10 mayo de 2006 Seminario TechNet: Seguridad Práctica para Empresas: t.asp Pamplona: 19 de Abril

Más acciones desde TechNet
Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: Para información y registro de Futuros Webcast de éste y otros temas diríjase a: Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: Descubra los mejores vídeos para TI gratis y a un solo clic: Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en:

3/24/2017 3:58 PM Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecución de laboratorios. Un técnico por grupo imparte explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios de Contramedidas Hacker. Sistemas Desarrollo Madrid Vigo Salamanca Pamplona Barcelona Santander Valladolid Valencia. Tenerife, Málaga y Sevilla © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Operaciones en Active Directory: Consejos y Trucos

Presentaciones similares

Presentación del tema: "Operaciones en Active Directory: Consejos y Trucos"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Operaciones en Active Directory: Consejos y Trucos

Presentaciones similares

Presentación del tema: "Operaciones en Active Directory: Consejos y Trucos"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback