La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Actualizar dominios de Windows NT 4

Publicada porEsmerelda Asuncion Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Actualizar dominios de Windows NT 4"— Transcripción de la presentación:

1 Actualizar dominios de Windows NT 4
Actualizar dominios de Windows NT 4.0 a Windows Server Arren Conner - Supportability PM Andreas Luther - Deployment PM Microsoft Corporation

2 Objetivos Ofrecer a los administradores, consultores y profesionales de soporte un marco de referencia para la actualización de dominos desde Microsoft® Windows NT® 4.0 a dominios de Microsoft Windows® Server 2003 Reducir el tiempo de pérdida de conexión entre controladores de dominio y clientes durante el proceso de actualización, poniendo en común incidencias conocidas y buenas prácticas No es nuestro objetivo ahora: El diseño del Directorio Activo, estructuras de OU y ubicación de controladores de dominio, aspectos que se tratan ampliamente en Windows 2000

3 Convenciones en esta presentación
NT4 se refiere a Windows NT 4.0 Server 2000 se refiere a la familia de servidores Windows 2000 Server 2003 se refiere a la familia de servidores Windows Server 2003 XP se refiere a la familia Windows XP Win9X se refiere a Windows 95, Windows 98, Windows 98 Standard Edition, y la familia de clientes Windows Millennium E2K es abreviatura de Exchange 2000 DC es abreviatura de domain controller

4 Convenciones en esta presentación (2)
∆ es el símbolo de cambio, incluyendo cambios de comportamiento en el sistema operativo, cambio de configuración realizado por el administrador, y la posibilidad de recibir y propagar cambios a objetos entre partners usando motores de réplica como FRS o AD AD es abreviatura de Active Directory IB/OB se refiere a replicación entrante (inbound) o saliente (outbound) de archivos y directorios mediante FRS u objetos y atributos en el Directorio Activo. LO es abreviatura de ”lingering object” Un objeto borrado de un NC que aún existe en otros NC modificables o de solo lectura en el dominio o el bosque. CO se refiere al objeto de conexión utilizado por el AD y FRS

5 Agenda Niveles Funcionales Planificación del AD Inventario: clientes
Inventario: controladores de dominio Actualización de controladores de dominio NT4 Operaciones post-actualización Configurar niveles funcionales en 2003

6 Niveles de funcionalidad Características nuevas en dominios y bosques
Modelo para introducir nuevo comportamiento en el sistema operativo Avanzado por el administrador cuando todos los DCs de la “lista” están actualizados Analogía: Modo nativo de Windows 2000 (pero más robusto) Los niveles sólo se pueden aumentar, no hay vuelta atrás Mientras se avanza, las versiones anteriores de DC se ignoran Los clientes nunca se ven afectados. Niveles funcionales disponibles Funcionalidad de dominio de Windows 2003 Server Funcionalidad de transición (interim) de bosque de Windows 2003 Server Solo interesa para dominios NT4.0 actualizados a 2003 Funcionalidad de Forest (FFL) de Windows 2003 Server

7 Características del Sistema Operativo Windows Server 2003 DCs nuevos o actualizados
Particiones de aplicación Cache de grupo Universal Instalación desde medios de almacenamiento No necesidad de sincronización completa entre GC para extensiones del esquema PAS Cuotas Delegación de la migración de histórico de SID Enlaces LDAP concurrentes Degradación (demotion) de GC rápida Almacenamiento en instancia única Mejoras en el bloqueo de cuentas Gestión de eventos y texto de mensaje mejorados 1311, fallo de replicación Y muchas más …

8 Niveles de funcionalidad del Dominio
Funcionalidad de Dominio Características activadas DCs soportados en el dominio Windows 2000 Mixto Grupos universales (excluidos grupos de seguridad) Windows NT 4.0 Windows 2000 Windows 2003 Windows 2000 Nativo Todas las del modo mixto, más: Anidamiento de grupos Grupos universales SIDHistory Conversiones de grupos transición a Windows 2003 Server desde Mixto / Nativo Lo mismo que el modo Mixto/Nativo de Windows Depende de si el dominio está en modo mixto o nativo

9 Niveles de funcionalidad del dominio (2)
Características activadas DCs soportados en el dominio Windows 2003 Server Todas las del modo nativo de Windows 2000 más: Actualización del atributo de marca de hora (timestamp) del logon Versión Kerberos KDC Password de usuario en INetOrgPerson Renombrado de DC con netdom Redirección de usuarios y máquinas Administrador de validación puede guardar políticas de autenticación Delegación restringida para máquinas Validación selectiva entre forests Windows 2003

10 Niveles de funcionalidad de bosque
Características activadas DC soportados en el bosque Windows 2000 Windows NT 4.0 Windows 2003 Windows 2003 Server Interim Todas las de Windows 2000 más: Replicación LVR ISTG mejorado Nuevos atributos añadidos al GC Windows 2003 Server Todas las del modo transición Windows 2000 más: Clases auxiliares dinámicas Cambio de usuario a INetOrgPerson Reactivación/desactivación de esquema Renombrado de dominio Relación de confianza entre bosques (cross-forest) Grupos básicos y basados en query (para validación basada en roles) Replicación intrasite cada 15 segundos

11 Estrategias para la raíz del bosque Posibilidad de redefinir la estructura de bosques
Disponibles todos los dominios de cuentas de NT4.0 ¿Consolidar todos los dominios de cuentas después de migrar a 2003? Actualizar el dominio de cuentas más grande Migrar los usuarios desde algunos o todos los dominios de cuentas Crear nuevo dominio raíz de bosque 2003 Actualizar dominios NT4.0 dentro de dominios hijos Configurar manualmente un modo transitorio de bosque en Ldp.exe El PDC de dominios NT4.0 debe ser el primer DC de 2003 para cada dominio NT4.0 actualizado

12 Modo de transición y Grupos de Seguridad Por qué la raíz del bosque de los dominios 4.0 debe estar en modo de transitorio de bosque NT 4.0: No hay límite para los miembros de grupos de seguridad W2K: “límite” a miembros no forzado El último que escribe es el que gana en la replicación = pérdida de Δs de pertenencia a grupos Δ a pertenencia a grupos causa una sincronización completa del grupo Replicación y borrado ineficientes: Errores “DS is busy” + “out of version store”

13 Modo de transición y Grupos de Seguridad ¿No se puede ir directamente al modo transitorio?
Identificar todos los grupos con más de miembros Romperlos en varios grupos menores %groupname%A-L %groupname%M-Z Anidar grupos locales dentro de grupos globales Reasignar ACL a recursos usando el grupo original

14 Lista de comprobación previa a la actualización de AD Procesos redefinidos en W2K
Prueba de compatibilidad de aplicaciones y sistema operativo de clientes Definición de espacio de nombres de AD Selección de la estructura de bosque del AD El dominio como límite de seguridad Definición del espacio de nombres de OU y modelo de delegación Buenas prácticas para la estructura de la organización Definiciones de sites y enlaces entre sites Resolución de espacio de nombres y delegaciones DNS Definición de emplazamiento de DC Actualización de los DC actuales frente a instalaciones nuevas Definición de actualización en Modo transitorio frente a modo mixto

15 Diseño de AD Espacio de nombres Estructura de bosque
Máximo número de caracteres para FQDN: 63 caracteres ASCII o UTF-8 bytes Nombres no-ASCII utilizan más caracteres Podemos comparar los dominios de MS Corp con la “regla”: dsys.ntdev.windows2000.redmond.washington.northamerica.corp.microsoft.com Estructura de bosque La mayoría de bosques tienen dos y algunas veces tres niveles de profundidad (incluyendo la raíz) Número máximo de dominios hijos de un solo padre: ~ 850

16 Diseño de AD (2) Diseño de bosque
Cuanto menos dominios mejor Crear nuevos bosques y dominios para cubrir: Necesidades de políticas, propiedad de esquema, tráfico de replicación, seguridad. El bosque como frontera de seguridad (ver siguiente slide) Estructura de Unidades Organizativas (OU) Es práctico hasta 3-4 niveles de profundidad La administración debe definir la profundidad, no el rendimiento Implantar buenas prácticas en la estructura de OUs Mantener usuarios y máquinas dentro de OU para aplicar Políticas de Grupo Recursos

17 El dominio como límite de la seguridad
Dominio NT4 Dominio = frontera de la seguridad 2000 y 2003 Comparten contextos de configuración, esquema y nomenclatura de GC Ciertas asunciones acerca de relaciones de confianza entre KDCs Los dominios no proporcionan aislamiento total de administradores de servicio malintencionados Los administradores de dominio pueden iniciar cambios globales El bosque ofrece pleno aislamiento y autonomía Necesidades legales u organizativas pueden imponer más de un bosque Recursos

18 Interoperabilidad entre Cliente y Administrador Parámetros de seguridad mejorados en 2003
En XP, 2003 y W2K SP4 las herramientas de administrador de AD firman el tráfico LDAP Fallos en la administración NTLM en DCs anteriores a SP3 Escenarios de admin NTLM: gestión de relaciones de confianza y subredes IP de entornos antiguos Alternativas Instalar SP en DCs W2K para administrarlos o Clientes 2000 SP4, XP, y 2003 necesitan Δ en registro Artículos KB: y Permite política de traducción de SID anonónimo/nombre A los clientes de dominios de recursos NT4 puede ocurrirles: “Account Unknown” en editor ACL Fallos de validación en clientes Microsoft y Outlook Resultados intermitentes al moverse los Canales Seguros (SC) entre DCs 2000/2003

19 Interoperabilidad entre Cliente y Administrador (2) Parámetros de seguridad mejorados en 2003
Acceso compatible pre-Windows 2000 Si Everyone está en un grupo compatible con pre-Windows 2000, Se añade Anónimo y Usuarios Autentificados Se añade Servicio de Red al alias de Monitorización de Rendimiento Enterprise Domain Controllers se añade al Grupo de Acceso de Autorización de Windows Everyone puede haber sido borrado por el Administrador Frecuente en dominios 2000 actualizados desde NT4.0 Acceso LDAP anónimo desactivado Artículo KB:

20 Inventario de Clientes Actualizar Clientes Win95 y NT4
Inventario de Clientes Actualizar Clientes Win95 y NT4.0 o relajar parámetros Valores de seguridad por defecto en DCs 2003 Por defecto se activa “Forzar firma en SMB” Se han de relajar temporalmente los parámetros en políticas de DC o actualizar los clientes Windows 95 Instalar cliente DS (Art.KB ) o instalar nuevo S.O. NT 4.0: Necesario SP3 o posterior. Recomendado SP6a (Dfs) Para el resto de clientes de red Microsoft No se necesitan más intervenciones Se recomienda siempre actualizar al último SP

21 Inventario de espacio de nombres de DC Nombres válidos de Dominio y Máquina
Nombres de máquina NT4 permitía nombres no válidos en 2000 y 2003 Art.KB : nombres NetBIOS formados sólo por números puede causar problemas Renombrar DCs con nombres problemáticos antes de proceder a actualizar la versión del S.O. Nombres de Dominio Nombres permitidos en 2003: a-z, A-Z, “.” y “-” Longitud máxima del nombre: 63 caracteres Art.KB: , “Windows 2000 Supports Fully Qualified Domain Names up to 64 UTF-8 Bytes Long” Nombres de dominio de etiqueta única ¡No recomendado! Ver detalles en Art.KB Renombrar DCs antes de actualizar la versión de S.O.

22 Espacio de nombres no contiguo
Inventario de espacio de nombres de DC (2) Nombres válidos de Dominio y Máquina Espacio de nombres no contiguo 2000: por defecto, los nombres se juntan (dominio AD = nombre de zona DNS) 2003: máquina miembro de dominio A con sufijo GP promovido dentro de dominio B Nombres de Site Nombres compuestos solo por números hacen fallar DCPROMO (ver Art. KB )

23 Actualizar Dominios de Cuentas de NT 4.0 Paso a paso para cada dominio
Comprobar DC y dominio Espacio en disco suficiente. Revisión SP Requisitos de Hardware (RAM, CPU) Nombre DC+dominio son válidos Aumentar el tamaño del registro en el PDC con SAM muy grande Comprobar servicios corriendo con cuenta LocalSystem en servidores y estaciones de trabajo Reconfigurar el servicio para utilizar una cuenta de usuario explícita o, Activar acceso “down-level” en DCPROMO para cada dominio

24 Actualizar Dominios de Cuentas de NT 4
Actualizar Dominios de Cuentas de NT 4.0 (2) Paso a paso para cada dominio Configurar servidor de exportación Lmrepl Será el último controlador de dominio que se actualizará Si el exportador Lmrepl es un PDC NT4.0, seleccionar un BDC como nuevo servidor de exportación Lmrepl Asegurar un BDC NT 4.0 Sincronizar con el PDC Sacar una cinta de backup y comprobar la restauración Poner offline el BDC y mantenerlo guardado

25 Actualizar Dominios de Cuentas de NT 4
Actualizar Dominios de Cuentas de NT 4.0 (3) Paso a paso para cada dominio Actualizar el PDC con Winnt32.exe Comprobar la actualización con “WINNT32 /CHECKUPGRADEONLY” El PDC no podrá actuar como PDC durante la actualización / DCPROMO Parar los cambios sobre el PDC que pueden afectar a la base de usuarios y helpdesk Impedir creación, borrado o Δs de usuarios, máquinas, grupos o relaciones de confianza Impedir cambios de password para usuarios, máquinas o relaciones de confianza Planificar estas paradas contando con los grupos de administradores, helpdesk y usuarios Parámetros DCPROMO En la raíz del bosque, seleccionar modo de bosque transitorio en la interfaz DCPROMO Fuera del dominio raíz del bosque, promover DC a modo transitorio del bosque o localizar grupos de más de 5000 miembros Configurar adecuadamente el grupo de acceso compatible pre-W2K Configurar NT4Emulator antes de reiniciar DCPROMO si hay clientes 2000, XP o 2003 Y DCs NT4.0 en el dominio (298713)

26 Actualizar Dominios de Cuentas de NT 4
Actualizar Dominios de Cuentas de NT 4.0 (4) Paso a paso para cada dominio Operaciones post-actualización Relajar los parámetros de seguridad si es preciso “Firmar SMB” + Traducción SID Anónimo a Nombre” en GPO por defecto en los controladores de dominio Comprobar el estado del DC Replicación completa de los objetos nuevos y existentes a los DBCs NT4.0 Cambio de password y autentificación de todos los sistemas operativos clientes que acceden al dominio Relaciones de confianza entrantes y salientes con SC configurados contra el PDC Todos los clientes en este dominio y dominios de recursos pueden seleccionar y ver los “security principals” cuando el SC se configura contra el PDC

27 Actualizar Dominios de Cuentas de NT 4
Actualizar Dominios de Cuentas de NT 4.0 (5) Paso a paso para cada dominio Instalar y configurar Lbridge Los DCs 2003 usan FRS en lugar de LMREPL para replicar SYSVOL Copiar los logon scripts y archivos desde el servidor de exportación LMREPL al PDC 2003 Configurar LBRIDGE para copiar archivos desde PDC al servidor de exportación LMREPL Cambiar archivos en la carpeta compartida NETLOGON solo en el PDC 2003 Actualizar BDCs NT 4.0 Verificación previa: WINNT32 /CHECKUPGRADEONLY Aumento de versión de S.O.: WINNT32 NT4 Emulator configurado antes de reinicio de DCPROMO (298713) En el último DC NT4.0 en el bosque actualizado a Windows 2003 Eliminar la clave de registro de emulación NT4 después de que todos los DCs en el dominio ya están migrados a 2003 Cambiar a nivel funcional de bosque Windows 2003 No cambiar el modo de dominio 2003 salvo que se necesiten tener todas esas funcionalidades Borrar LMBRIDGE

28 Nivel de bosque transitorio: DCPROMO Opcional al promover el PDC NT4
Nivel de bosque transitorio: DCPROMO Opcional al promover el PDC NT4.0 al dominio raíz del bosque

29 Política de firmado de SMB

30 Operaciones Post-Upgrade/actualización Comprobación del nuevo DC
DC está correcto Las carpetas compartidas NETLOGON+SYSVOL existen DC responde a peticiones LDAP, RPC y logon Registros SRV, CNAME, y A aparecen en DNS FRS: añadir un archivo de prueba en el servidor y en el servidor partner de replicación directa Active Directory: REPADMIN /SHOWREPS Política aplicándose tal y como muestra evento 1704 El visor de sucesos está limpio, salvo la aparición de evento 1931 en actualizaciones desde 2000 No poner aún DNS en particiones de aplicación

31 Operaciones Post-Upgrade/actualización Más buenas prácticas
Backup Crear un backup del nuevo sistema. Identificar los backups antiguos Roles FSMO Reasignar roles FSMO (Art.KB ) Instalar GPMC (en WS 2003) Planificar backup de las Políticas de Grupo Probar las políticas nuevas en dominios de prueba y después importar Implantar estructuras de OU adecuadas (Art. KB ) Probar configuración del bloqueo de cuentas Tiempo de bloqueo ni demasiado corto ni demasiado largo Política de passwords para proteger el dominio Aplicar SP4 o en W2K DCs si hay alguno Referencia: VER Dcfirst.inf en DC 2003 (no importar) Monitorizar! No monitorizar el AD equivale a fallar

32 Dominios de recursos NT 4
Dominios de recursos NT 4.0 Concentrar con ADMT V2 u otra herramienta de migración Los dominios de recursos NT 4.0 se concentran dentro de unidades organizativas en el AD Los administradores de dominios de recursos no son administradores de servicios en AD Disponibles grupos restringidos en ADD Permiten construir jerarquías de delegación Los administradores de dominios de recursos anteriores pueden convertirse en delegados con permisos de administrador local para todos los servidores miembros dentro de una OU Los administradores de servicios adquieren derechos a un nivel superior Los administradores de servicios no se pueden bloquear desde los servidores miembros

33 Objetivos por Nivel Funcional Correr mejor que ir andando!
Características de los niveles funcionales de Dominio Redirección de usuarios y máquinas (Art.KB ) REDIRCOMP / REDIRUSR incluidos en %system32 DNS en particiones de aplicación y zonas de solo lectura (“stub”) Usar cuando todos los DCs son WS 2003 Cambios asociados al nivel funcional del bosque (FFL) Replicación basada en valor del enlace para grupos con un alto número de miembros Probado con 7 MM usuarios. Borrado más eficiente Mejor escalabilidad KCC Probado con 3,000 sites Modo KCC de Red de Oficinas Tolerancia a fallos con topología estática generada por KCC Se documentará en BOG 2003 ∆ desde 5 minutos a 15 segundos de la latencia de replicación intrasite ¿Por qué no pasar a FFL cuanto antes? Solo lo impiden los problemas de compatibilidad de aplicaciones

34 Aumentar los niveles funcionales Snap-in Dominios y Confianzas

35 Aspectos de interés Nuevos conceptos para los administradores NT 4.0
Mejoras sobre Windows 2000 Buenas prácticas aprendidas de Windows 2000 Evitar los errores más comunes

36 Instalación del Sistema Operativo Instalar los fixes adecuados
Actualización de la versión del Sistema Operativo y DCPROMO = Δ estado Algunos QFE deben instalarse en el primer arranque La manera más rápida de instalar los fixes La manera más fácil de evitar problemas Solución Incorporar QFEs y Service Packs dentro de la RTM Ejecutar WINNT32 para una instalación más efectiva Art. KB Fixes Post 2003 RTM de interés “FRS: Superset functionality of W2K SP4”

37 DCPROMO Creación de nuevos Dominios y Controladores de Dominio en AD
Transición desde grupos de trabajo y sistemas miembros de dominio a DCs 2003 En el menú Inicio, Ejecutar, escribir DCPROMO Actualización de PDC: convierte SAM en base de datos AD Nuevo DC: crea los grupos y cuentas por defecto DC replicado: obtiene esquema fuente, configuración y datos de dominio desde un DC del AD existente en el dominio El PDC NT4.0 debe ser el primer DC 2003 en cada dominio Mejoras La zona “.” ya no se genera El G/W por defecto se convierte en direcciones de reenvío Registros DNS de tipo A más agresivos Arreglo del error de espacio de nombres no contiguo

38 Promociones por instalación desde cinta Generación del AD y GCs desde un backup local
IFM = install from media (instalar desde un soporte o cinta de backup) Un backup de un DC 2003 utilizado para generar el AD y opcionalmente el GC en un nuevo DC 2003 en el mismo dominio Introducción Crear un backup completo con estado del sistema desde un DC 2003 existente Restaurar el backup a un disco LOCAL en un miembro 2003 Ejecutar “DCPROMO /ADV” Reglas IFM El DC a promocionar debe estar en la red Solo los DC replicados están soportados para promoción mediante IFM El backup debe crearse en un DC 2003 del mismo dominio El backup debe haberse hecho en un GC Reglas Move/copy Soportadas promociones desatendidas IFM Posible extracción de SYSVOL con reparos Art. KB

39 Administración Herramientas básicas de administración
Adminpack Conjunto de herramientas de administrador con interfaz gráfica Visor de Sucesos = Eventvwr.msc Monitor de rendimiento = SYSVOL (Perfmon.msc) Cuentas de servicio = Services.msc o Compmgmt.msc Relaciones de Confianza = Domains.msc Usuario, máquina, + adm. Grupos = Usuarios y máquinas del AD (Dsa.msc) Preferencia de topología y sites = Dssite.msc Crear y salvar consolas personales: mediante MMC Añadir lo que se desea y después salvarlo para uso posterior en el menú Inicio, el escritorio o dentro del perfil.

40 Administración (2) Herramientas básicas de administración
Instalación La versión 2000 se ejecuta en “clientes” 2000 Dentro del directorio \i386 en todas las versiones 2000 La versión 2003 corre en clientes XP y 2003 Dentro del directorio \i386 de los CDs 2003 y descarga gratis en la Web Autoinstalado por DCPROMO en los DC; el administrador puede instalarlo manualmente o mediante distribución de aplicaciones Interoperabilidad La historia de administración de entornos mixtos 2000 y 2003 arroja un balance positivo Algunas herramientas no soportan la administración de sistemas de otras versiones Algunas herramientas no funcionan concretamente en XP (solapa RAS Dial-in) Excepciones documentadas en Art. KB No utilizar USRMGR de NT 4.0 para administrar dominios 2003 En caso de duda, utilizar Terminal Services

41 Herramientas de soporte Herramientas no opcionales de interfaz gráfica y línea de comandos
Active Directory Adsiedit.msc Ldp.exe REPADMIN REPLMON FRS CONNSTAT IOLOGSUM TOPCHK Necesita PERL Seguridad DSACLS SETSPN XCACLS Herramientas para DC y Cliente NLTEST NETDIAG DCDIAG NETDOM Punto de instalación: \Support\Tools\Suptools.msi

42 Visor de sucesos Ver los archivos de log
NT 4.0: Servidores y estaciones de trabajo pueden visualizar tres archivos de log Logs en vivo de 2000, XP, y 2003 Todos los tipos de log soportados por un sistema remoto están soportados Logs archivados en 2000, XP y 2003 Los clientes solo pueden ver logs de los servicios que ellos mismos tienen DCs: soportan los 3 logs básicos + FRS + DNS al instalarse Alternativa para XP y 2003 Eventvwr.msc /auxsource:<dcname> donde dcname es el sistema que tiene activo el servicio El Cliente tiene privilegios de administrador sobre el DC analizado Detalles: Art. KB

43 Nuevos eventos Añadidos a las herramientas de monitorización
Mantener los sistemas monitorizados Añade nuevos eventos a las herramientas de monitorización 1864: alerta en replicación DS 2042: la replicación no ha tenido lugar en el plazo de tiempo indicado por el parámetro TSL (tombstone lifetime) 1862: Hay DCs que no replican en otros sites 1789: El site no está en un enlace de site 1567: El bridgehead preferido es incorrecto

44 Estructura de OU Mejora la experiencia de Administración y recuperación
Contenedor por defecto para usuarios y máquinas CN=Users, CN=Computers No se pueden aplicar GP a contenedores de tipo CN Buenas prácticas de estructuración de OU Iniciar con un esquema OU a elegir Por unidad de negocio, geográfica, por dominios de recursos Crear contenedores OU separados para: Usuarios Máquinas Grupos Cuentas de servicio Administradores de servicio

45 Estructura de OU (2) Mejora la experiencia de Administración y recuperación
Las políticas se pueden aplicar directamente a los contenedores que tienen usuarios y máquinas Un contenedor único permite una recuperación mejor por clase de objeto en caso de fallo (usuarios antes que los grupos) Los administradores de servicio pueden limitar el acceso a contenedores con objetos gestionados por administradores delegados Los administradores de servicio han de restringir el borrado de objetos y contenedores para protegerse de borrados masivos

46 Bloqueo de cuentas Mejoras administrativas
Registro de log de SAM en 2003 Acctinfo.dll: permite que los administradores reseteen la password de un usuario en el DC del site del usuario Lockoutstatus.exe: muestra la cuenta de errores de password y estado de bloqueo en todos los DCs del dominio Ambas utilidades están en el Kit de Recursos de WS 2003 Políticas de password y recomendaciones de bloqueo de cuentas Los entornos pueden ser seguros sin necesidad de habilitar el bloqueo de cuenta Recomendaciones para bloqueos y parámetros de password a nivel de dominio: ver Securedc.inf de 2003 Problema de base: número de intentos incorrectos de password antes de bloqueo muy bajo (recomendado 10) + errores del cliente

47 ACCTINFO Página de propiedades (2003 RK)
F2: Política de password del dominio F3: nombre de la máquina empleada por el usuario para cambiar la password en un DC del mismo site F1: solapa de información adicional de cuenta en el snap-in del AD Usuarios y Máquinas

48 LOCKOUTSTATUS.EXE (2003 RK)
F1: se ejecuta como utilidad stand-alone o extensión a ACCTINFO. Muestra la cuenta de intentos de password fallidos y la hora para todos los DCs del dominio

49 Bloqueo de cuentas Errores de bloqueo de cuenta en el lado del cliente (generalmente tienen que ver con el uso de la password antigua después de Δ password) Windows 9X: El cliente DS para Windows 9x contiene fixes para bloqueo de cuente en el archivo: W2K 275508: el usuario bloqueado al acceder al directorio raiz despues de cambio de password (arreglado en QFE o SP2) 292573: Dsa.msc y ADSI pueden no resetear la password en un DC asignado por el administrador (arreglado en QFE + / SP3) NT 4.0 y Windows XP: nada Errores de bloqueo en el lado del servidor (como aumento erróneo de la cuenta de intentos fallidos) 2003 DCs: Nada 2000 DCs: W2K SP3 + Art. KB o W2K SP4 Instalar si los DCs 2000 están en el mismo dominio que los DCs 2003 para igualar las funcionalidades de bloqueo

50 Operation Masters DC designado como maestro de operaciones en exclusiva Tres roles para el dominio y dos roles para todo el bosque Requisitos de sincronización iniciales OM debe sincronizar el NC que mantiene ese rol antes de empezar a funcionar Impacto DCs desde dominio en producción en red privada DCs en dominio de pruebas originado desde un dominio en producción Nota: los roles FSMO en el nombre de archivo del backup de estado del sistema: <FQCN>.<FSMO>.<TSL Setting><YY.MM.DD>.BKF

51 Roles FSMO Mantener en vez de transferir? Ubicación
No mantenerlo salvo que el DC que originalmente tenía el rol no pueda volver a ponerse en servicio Transferirlo en caso de riesgo cierto de caídas si se necesita un DC que mantenga el rol PDC es imprescindible El Schema master solo se necesita al actualizar el esquema Ubicación El primer DC en el dominio actualizado tiene todos los roles del dominio + bosque + GC Promover un segundo DC Mover PDC + RID ahí No promover a GC Detalles: Art.KB

52 Decisiones de topología
Objetivo: spanning tree para todos los NCs en el bosque Reglas “Site link bridging” supone que todos los DCs en todos los sites tienen conectividad IP con el resto de DCs de todos los demás sites Todos los sites deben estar asociados a enlaces de site (verificar al borrar sites) Evitar cabezas de puente (“bridgeheads”) en la medida de lo posible, sobre todo en bosques multidominio Escalabilidad W2K: 100–300 sites 2003 en nivel funcional de bosque 2003: 3,000+ sites

53 Decisiones de topología (2)
Opciones de Topología Solo KCC: 3,000+ AD sites ADLB Topología “hub and spoke” con planificación escalonada opcional Modo KCC BO “Hub and spoke” redundante+ planificación escalonada, pero sin tolerancia a fallos Documentado en la guía “Branch Office Deployment Guide” Eventos 1311: Imposible construir un spanning tree

54 Replicación NT 4.0: DCs 2000 DCs 2003
Por defecto, 5 minutos entre todos los DCs del dominio Tres NCs: SAM, security, y LSA DCs 2000 NCs: Schema , configuration y domain 5 minutos entre los DCs del mismo site 3 horas por defecto en enlaces de site; mínimo, 15 minutos DCs 2003 Intrasite Instalación nueva: 15 segundos con un espacio de 3 segundos W2K: 300 / 15 hasta la transición a Modo Bosque Actualización desde NT 4.0: 15 segundos + 3 de espacio 3 horas por defecto en enlaces entre sites; 15 minutos mínimo

55 Conceptos Estado de la Replicación (“salud”)
Tombstone lifetime (TSL) y modelo de borrado de objetos AD Objetivo: la replicación transitiva de ∆s entre todos los DCs en el bosque que soportan un NC dado Mantener los DCs en funcionamiento, en la red y replicando Factores de bloqueo: conectividad, configuración DNS, validación, DCs offline, topologías no contiguas, selecciones incorrectas de site o BH, errores de replicación TSL por defecto: 60 días TSL: no disminuir este valor sin analizar sus consecuencias antes, o mejor, no tocarlo nunca.

56 Conceptos (2) Estado de la Replicación (“salud”)
Degradación de DCs que no replican cambios OB o IB en los días indicados como TSL DCPROMO /FORCEREMOVAL añadido a W2K en QFE Limpieza completa de metadatos en DFS, DNS, FRS, AD, NTDSUTIL y resto (Art. KB ) Excepción: Todos, o el último DC en el dominio o caminio de replicación alternativo Comprobación de la replicación en todo el bosque 2003 REPADMIN en un miembro XP o 2003 contra DCs 2000 o 2003 /REPLSUM * /SORT:DELTA [/ERRORSONLY] para inventario inicial REPADMIN /SHOWREPL * /CSV + Excel Autofilter para investigación en profundidad

57 Replicación (3) Lingering objects Replicación estricta
Un objeto borrado en un DC que todavía existe en un NC modificable o de solo lectura en otros DCs del mismo dominio o de otros dominios Causa: falta de replicación punto a punto Errores de replicación Topología desconfigurada Replicación estricta La replicación se detiene cuando el DC recibe una actualización de atributo para un objeto que no está almacenado localmente Comportamiento por defecto para: Bosques nuevos 2003 Dominios NT 4.0 actualizados a 2003

58 Inventario de DC Planificación para DCs que no replican
La conexión falla durante más de 60 días DC3 no replica ∆ IB OB desde \\DC1 Hay rutas alternativas? Corregir el error y seguir No hay replicación IB / OB > 60 Días Condición: DC3 no replica ∆s IB u OB Existen réplicas para los NCs de DC3? Sí – degradación forzada de DC3 No – arreglar los lingering objects Topología no contigua Todos los DCs informan de que replican correctamente No hay “puentes” entre enlaces de sites Borrado de lingering objects \\DC3 \\DC1 \\DC3 Site Link ABC Site Link DEF

59 Replicación del AD REPADMIN /REPLSUM

60 REPADMIN REPADMIN /SHOWREPS [DCNAME]
REPADMIN /REPLSUM <DCLIST> /BYSRC /BYDEST /SORT:DELTA [ERRORSONLY] REPADMIN /SHOWREPL * [/CSV] REPADMIN /BRIDGEHEADS REPADMIN /ISTG REPADMIN DCLIST

61 Carpetas compartidas NETLOGON / SYSVOL
Políticas y perfiles tradicionales SYSVOL Carpeta compartida DFS especial donde se guardan las políticas para 2000, 2003 y XP Debe estar compartida en DCs para su “anuncio” Común Replicación mediante FRS (motor reemplazado para LMREPL) Replicación Multimaster Reglas Archivos y directorios bloqueados impiden la replicación (SONAR) No realizar manualmente la tarea de copiar los datos en múltiples sitios No válido para datos de usuario dinámicos con bloqueos a nivel de archivo

62 Políticas de Grupo y de Seguridad
Dos motores de almacenamiento y replicación AD para políticas guardadas en CN=System,CN=Domain File system replicado con FRS Puntos de conexión en el sistema de archivos Emplazamiento de actualizaciones GPEDIT y GPMC por defecto para PDC Mejor actualizar las políticas en un solo DC (persiste el cambio realizado por el último que graba) Contenedores por defecto: CN=Users + CN=Computers Las políticas no se pueden aplicar a contenedores CN Redirigir contenedores a OUs cuando el nivel funcional de dominio es 2003 para usuarios y máquinas nuevos o existentes Políticas asociadas a emplazamiento Política Cuenta + Dominio + Kerberos Definida en exactamente una GP en la raíz del dominio (dominio por defecto o nuevo GPO con mayor prioridad)

63 Políticas de Grupo y de Seguridad (2)
Eventos buenos Event 1704: política aplicada correctamente Problemas frecuentes Los puntos de replicación rotos al moverlos con Explorer / XCOPY Política de sistema de archivos borrada por el administrador Event 1202: la política de seguridad ha fallado cuando un usuario no válido se añadió a una asignación de derechos de usuario Establecimiento de políticas Buenas prácticas Usar archivos ADM de 2003 en clientes XP (pero no en clientes 2000) Usar GPMC para administración de políticas No borrar la política de sistema de archivos

64 FRS Motor de replicación multimaster Reemplazo para LMREPL
El último que escribe es el que gana Replica archivos en SYSVOL + NETLOGON + DFS Reemplazo para LMREPL Retos anteriores Problemas derivados de errores y violaciones de compartición Nombres de directorios duplicados (“Morphed”) Políticas de sistema de archivos, análisis de virus y utilidades de disco pueden causar sincronizaciones completas Excluir directorios replicados con FRS de las políticas de file-system Utilizar antivirus y utilidades de análisis de disco compatibles Art. KB

65 Borrado de objetos críticos
Modelo NT 4.0: Borrar y volver a generar = funciona! Modelo W2K: Borrar y desear no haberlo hecho Objetos críticos Cuentas de máquina para DCs 2000 y 2003 Relaciones de confianza internas del bosque Objetos de parámetros NTDS

66 Trucos y Pistas Cosas interesantes que hay que saber
Requisitos previos de sincronización FSMOs deben sincronizar sus NC antes de empezar a funcionar Buscar DCs en producción o laboratorio en redes privadas Requisitos de sincronización del GC Deben sincronizarse todos los NC en el bosque antes de anunciarse Es más rápido borrar objetos que DCs W2K pre-SP3 Los DCs 2003 paran la replicación después de superar el número de días TSL

67 Trucos y Pistas (2) Cosas que hay que saber
XP y 2003 son la plataforma de gestión REPADMIN, GPMC, RSOP y 2003 Administrator Pack corren en estos sistemas Añadir BDCs NT4.0 al dominio Activar administración remota (TS) en sistemas 2003 Menú Inicio, botón derecho en Mi PC y Propiedades

68 Recursos adicionales Best Practice Deployment Guide
325379, “Upgrading 2000 DCs to 2003”

Descargar ppt "Actualizar dominios de Windows NT 4"

Presentaciones similares

Copyright © 2007 Quest Software WebSeminar: Recuperación AD/Exchange Carles Martin Sales Consultant 27 de Abril de 2007.

Copyright © 2007 Quest Software WebSeminar: Recuperación AD/Exchange Carles Martin Sales Consultant 27 de Abril de 2007.
1 LA UTILIZACION DE LAS TIC EN LAS MICROEMPRESAS GALLEGAS. AÑO 2005 30 mayo 2005.

1 LA UTILIZACION DE LAS TIC EN LAS MICROEMPRESAS GALLEGAS. AÑO mayo 2005.
1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO 2005 24 de Junio de 2005.

1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO de Junio de 2005.
AYUDA A LA FUNCIÓN DOCENTE Internet

AYUDA A LA FUNCIÓN DOCENTE Internet
TEMA 2 MÚLTIPLOS Y DIVISORES

TEMA 2 MÚLTIPLOS Y DIVISORES
02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
01- OFERTA FORMATIVA v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

01- OFERTA FORMATIVA v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
Logon en Windows XP con Tarjetas y Certificados CERES

Logon en Windows XP con Tarjetas y Certificados CERES
Gestión de Políticas de Grupo (GPOs) en Windows Server 2003

Gestión de Políticas de Grupo (GPOs) en Windows Server 2003
SIMATICA V2.0. Automatización de Viviendas con Simatic S7-200

SIMATICA V2.0. Automatización de Viviendas con Simatic S7-200
C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281. C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281 1-Ingrese a menú 2-Ingrese a Mensajes 3-Ingrese a Correo 4-Seleccione.

C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281. C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281 1-Ingrese a menú 2-Ingrese a Mensajes 3-Ingrese a Correo 4-Seleccione.
1 Reporte Componente Impacto 6.1.2 Por Orden Territorial - 6.1.2.1 Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.

1 Reporte Componente Impacto Por Orden Territorial Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.
I T S S P LIC INFORMATICA SISTEMAS OPERATIVOS WINDOWS 2003 SERVER DOCENTE: L.I RAMIRO ROBLES VILLANUEVA ALUMNOS: ROGELIO CHAIDEZ CORDOBA ZENON ESTRADA.

I T S S P LIC INFORMATICA SISTEMAS OPERATIVOS WINDOWS 2003 SERVER DOCENTE: L.I RAMIRO ROBLES VILLANUEVA ALUMNOS: ROGELIO CHAIDEZ CORDOBA ZENON ESTRADA.
Programa para el Impulso a la Implementación del Protocolo IPv6 en Instituciones Vinculadas a RENATA 2012 Servicio FTP.

Programa para el Impulso a la Implementación del Protocolo IPv6 en Instituciones Vinculadas a RENATA 2012 Servicio FTP.
TELEFONÍA IP.

TELEFONÍA IP.
DIRECT ACCESS.

DIRECT ACCESS.
50 principios La Agenda 1.- Presentar un único interlocutor a los clientes. 2.- Tratar de modo distinto a las diferentes clases de clientes. 3.- Saber.

50 principios La Agenda 1.- Presentar un único interlocutor a los clientes. 2.- Tratar de modo distinto a las diferentes clases de clientes. 3.- Saber.
Parte 3. Descripción del código de una función 1.

Parte 3. Descripción del código de una función 1.
Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.

Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.

Presentaciones similares

Anuncios Google