Tag Archive: domain controller


La Sincronización de tiempo es un aspecto importante para todos los equipos de la red . De forma predeterminada , los equipos cliente obtienen su hora desde un controlador de dominio y el controlador de dominio obtiene su tiempo de operación de maestro PDC del dominio.  Una recomendacion es sincronizar el PDC con una fuente externa . Yo suelo usar los servidores que aparecen en el sitio web de Project Pool NTP. Recuerden que para que esto funciona es necesario  abrir el puerto 123 UDP por defecto ( entrada y salida) en el Firewall

  1. Saber cual es el PDC , correr el siguiente comando en un Domain controller:   netdom /query fsmo
  2. Logearse al Domain Controller que es PDC.
  3. Stopear el servicio   net stop w32time
  4. Configurar la fuente externa  w32tm /config /syncfromflags:manual /manualpeerlist:0.uk.pool.ntp.org,1.uk.pool.ntp.org /update /reliable:yes
  5. Configurar disponibilidad: w32tm /config /reliable:yes
  6. Prender el servicio nuevamente: net start w32time
  7. Chequear configuracion:  w32tm /query /configuration

¿Estan Replicando mis Controladores de Dominio?

¿Se puedo saber si los DC está replicando correctamente? ¿Cuándo fue la última vez que replicaron ?. Para ayudarnos, utilizaremos la herramienta repadmin disponible en las Support Tools de Windows 2003.

El comando a ejecutar para determinar el estado de la replicación de AD es:

repadmin /replsummary /bysrc /bydest /sort:delta

La salida queda dividida en dos tablas:

  • Cada DC cuando es origen de replicación – tabla Source
  • Cada DC cuando es destino de replicación – tabla Destination

También podremos encontrar los DCs que no pudieron ser contactados en la parte final.

La columna Largest Delta muestra el máximo tiempo sin replicar satisfactoriamente alguna partición (naming context) entre todos los partners de replicación de un controlador de dominio particular. Las tablas se encuentran ordenadas por esta columna de mayor a menor. La columna Total muestra el número de enlaces de replicación (1 por DC por naming context) y la columna Fails (fallos) muestra el número de enlaces que han reportado error y el tipo del mismo.

Un ejemplo de la salida mencionada se encuentra en la siguiente tabla:

clip_image002

La salida de repdmin /showrepl nos muestra que el equipo HALEDC02 está replicando correctamente las particiones indicadas con su partner de replicación, HALEDC01 y no así con GUPTADC01.

La ultima replicación correcta para HALEDC01, tuvo lugar a las 8:56:57 del día 1 de Diciembre de 2009 para la partición de Schema y a las 9:43.21 del mismo día para la partición del dominio haledomain.com.

Entendemos que este resultado es lógico para el resto de particiones ya que al encontrarse todos los DCs en el mismo Site donde la replicación de AD funciona mediante notificaciones cuando se realiza un cambio para que la sincronización sea prácticamente inmediata. En caso de no existir ningún cambio en la partición la replicación respetará el intervalo configurado en el Site para la misma, por defecto una hora.

Sin embargo, la replicación con el partner GPTADC01 no está funcionando adecuadamente. En la salida se observa que la última replicación satisfactoria tuvo lugar el día 30 de Noviembre de 2009 a las 11:06:32 Posteriormente todos los intentos de replicación (574 intentos) han fallado con el error 1722 (RPC Unavailable).

El ejemplo de la salida mencionada se encuentra en la siguiente tabla:

clip_image004

Espero que esta información os sirva para monitorizar regularmente la replicación de vuestros DCs y para detectar problemas existentes antes de que sea tarde.

Antes de instalar el primer servidor de Windows 2008 R2 controlador de dominio (DC) en una existente de Windows 2000, Windows Server 2003 o dominio de WindowsServer 2008, se debe preparar el Forest y el dominio de AD. Se hace mediante la ejecución de una herramienta llamada ADPREP.

DPREP extiendiende el esquema del Active Directory y  realiza updates en los  permisos  necesarios para preparar el forest y el domain para agregar el  domain controller que correra en un Windows Server 2008 R2 o

Nota: Recuerda que ADPREP debe ser usado cuando el DC actual esta corriendo en un Windows Server 2003, Windows Server 2003 R2 and Windows Server 2008.

¿Qué es ADPREP ? ADPREP tiene parámetros que llevan a cabo una serie de operaciones que ayudan a preparar a una ya existente entorno de Active Directory para un controlador de dominio que ejecuta Windows Server 2008 R2No todas las versiones de ADPREP realizar las mismas operacionespero en general los diferentes tipos de operaciones que ADPREP puede realizar son las siguientes:

  • Updating the Active Directory schema
  • Updating security descriptors
  • Modifying access control lists (ACLs) on Active Directory objects and on files in the SYSVOL shared folder
  • Creating new objects, as needed
  • Creating new containers, as needed

para preparar debes realizar lo siguiente:

En primer lugar, debe revisar y entender los cambios de esquema y otros cambios que ADPREP hace como parte del proceso de gestión de esquema en Active DirectoryDomain Services (AD DS). Debe probar el esquema ADPREP actualizaciones en un entorno de laboratorio para asegurarse de que no entre en conflicto con las aplicaciones que se ejecutan en su entorno.

Además, asegúreta de iniciar sesión en el sistema con una cuenta que tiene credenciales suficientes para ejecutar adprep / forestprep. Debe ser un miembro del grupo Administradores

A continuacióninserte el de Windows Server 2008 R2 DVD en la unidad de DVD.Tenga en cuenta que si  no tiene los medios de comunicación útil, puede utilizar la versión de evaluación que está disponible para descarga desde el sitio web deMicrosoftTambién se puede utilizar una de MSDN o TechNet imagen ISO, si tenes una suscripción

Windows Server 2008 Trial Software:
http://www.microsoft.com/windowsserver2008/en/us/trial-software.aspx

Busca en  X:\support\adprep , los archivos: adprep.exe or adprep

NotaADPREP está disponible en una versión de 32bits y una versión de 64 bits . La versión de 64 bits se ejecuta de forma predeterminada. Si necesita para ejecutar ADPREP en un equipo de 32 bits,ejecute la versión de 32 bits (adprep32.exe).

Abre un cmd

Arrastre el archivo adprep.exe desde la ventana del Explorador de Windows al CMD .O si lo desea, siempre puede escribir manualmente la ruta del archivo en la ventana del símbolo del sistema si eso te hace sentir mejor 

NotaDebe ejecutar adprep.exe desde un símbolo del sistema con privilegios elevadosPara abrir un símbolo elevado del sistemahaga clic en Iniciohaga clic en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.

adprep /forestprep

Tipee la letra “c” y ENTER.

ADPREP procedera por algunos minutos . Varios LDF files seran importados al AD Schema, y finalmente aprecera: . File sch47.

Cuando se complete recibira el siguiente mensaje:

Nota: Esta metodologia, ADPREP solo debe correrse si ya hay un DC  existente .Cuando se intenta correr desde un servidor que no es es DC, recibirás el siguiente error:

Adprep cannot run on this platform because it is not an Active Directory Domain
Controller.
[Status/Consequence]
Adprep stopped without making any changes.
[User Action]
Run Adprep on a Active Directory Domain Controller.

En la  Command Prompt window, Tipea:

adprep /domainprep

ADPREPsolo corre en Windows 2000 Native o supeiror .

Deje que la operación finalice y luego de los cambios ya se  preparara el esquema para agregar un controlador de dominio  que se ejecute en Windows Server 2008 R2.

Si está ejecutando un Windows 2008 de dominio de Active Directory, recuerde que esto no es necesario

Si está ejecutando Windows 2000 de dominio de Active Directory, debe también el siguiente comando:adprep /domainprep /gpprep

Si está ejecutando un Windows 2003 cd DC, No necesita tareas adicionales. Sin embargosi tienes  planeando ejecutarlo  como controlador de dominio de sólo lectura (RODC), también debe escribir el siguiente comando:

adprep / rodcprep


EL proceso se completara en unos segundos

Deje que la operación finalice y luego los cambios se replicaran en todo el Forest.

Para comprobar que los comandos adprep / forestprep se completó con éxito por favor, siga estos pasos:

1Inicie sesión en una estación de trabajo administrativo que ha instalado ADSIEdit.ADSIEdit se instala por defecto en los controladores de dominio que ejecutan Windows Server 2008 o Windows Server 2008 R2En Windows Server 2003 debe instalar el Kit de recursos de herramientas.

2Haga clic en InicioEjecutar, escriba Adsiedit.msc y, a continuación, haga clic en Aceptar.

3Haga clic en Acción y, a continuación, haga clic en Conectar con.

4Haga clic en Seleccionar un contexto de nomenclatura conocidoseleccione Configuración en la lista de contextos de nombres disponibles y, a continuación, haga clic en Aceptar.

5Haga doble clic en Configuración y, a continuación, haga doble clic en CN =Configuración DC = forest_root_domainwhere forest_root_domain es el nombre completo del dominio raíz del bosque.

6Haga doble clic en CN = ForestUpdates.

7Haga clic en CN = ActiveDirectoryUpdatea continuación, haga clic en Properties

8. If you ran adprep /forestprep for Windows Server 2008 R2, confirm that the Revisionattribute value is 5, and then click OK.

9. Click ADSI Edit, click Action, and click Connect to.

10. Click Select a Well known naming context, selecciona Schema en la lista y presiona OK

11. doble-click Schema.

12. Boton derecho CN=Schema,CN=Configuration,DC=forest_root_domain, y presiona propiedades

13. Si ha ejecutado adprep / forestprep de Windows Server 2008 R2confirme que el valorobjectVersionattribute se establece en 47y luego haga clic en Aceptar.