En esta nota final de la serie vamos a efectuar algunas comprobaciones adicionales
Veremos las diferentes clases de relaciones de confianza (Trusts) creadas, y una vieja utilidad que se extraña, y que era parte de las Support Tools de Windows Server 2003, pero que todavía puede rendir algunos frutos
Como siempre comencemos recordando la infraestructura propuesta, y que si vienen siguiendo las notas anteriores ya está creada en forma completa
Comencemos revisando las relaciones de confianza que se han creado en forma totalmente automática, que son requeridas, y que no podemos eliminar.
El objetivo de las mismas es transparentar la estructura de los Dominios
De la forma que se han creado, un usuario, sin importar en qué Dominio esté definida su cuenta, podrá iniciar sesión en cualquier cliente de cualquiera de los Dominios del Bosque, y acceder a los recursos compartidos sin importar dónde se encuentren los mismos, siempre y cuando tenga los permisos necesarios
Iniciando sesión como ROOT\Administrator, en cualquiera de los Controladores de Dominio, en Server Manager, desde el menú Tools, abramos “Active Directory Domains and Trusts” (Dominios y Confianzas de Active Directory)
Comencemos con botón derecho sobre “root.guillermod.com.ar”, elijamos Propiedades, y vamos a la ficha Trusts (Relaciones de Confianza)
Podemos observar que con respecto al Domino “mza.root.guillermod.com.ar” existe una relación bidireccional de tipo “Child”
En cambio con relación a “neuquen.local” la relación de confianza es de tipo “Tree Forest”, también requerida y bidireccional
Procediendo análogamente con las propiedades de “mza.root.guillermod.com.ar” observamos que existen las complementarias a las anteriores
Y lo mismo con “neuquen.local”
Ahora vamos a ver algo de esa “vieja aplicación” que comentaba al principio de la nota.
Era algo muy útil no sólo para controlar la replicación sino entre otras cosas para ver gráficamente (con dibujo) la replicación entre servidores. Lamentablemente aunque aún está disponible para descargar del sitio de Microsoft, estaba hecha para Windows Server 2003, y su funcionalidad con Windows Server 2012, aunque es buena, ha perdido gran parte. Y por supuesto que no está soportada 🙂
La opción actual, y soportada, pero la dejo para que la prueben por su cuenta es desde línea de comandos con DCDIAG.EXE o REPADMIN.EXE que veremos al final
Vamos al tema, primero que nada hay que descargar las Windows Server 2003-SP2-Support Tools. Bajarán dos archivos
Si tratan de hace la instalación en algo más nuevo que XP dará errores de compatibilidad, así que yo instalé un “viejo XP” que uní al Dominio “root.guilermod.com.ar”, copié ambos archivos descargados a una carpeta, y ejecuté el correspondiente archivo MSI. Es una instalación muy sencilla
Va a dejar muchas utilidades, la mayoría obsoletas y que fueron reemplazadas y actualizadas en los sistemas actuales, pero hay una que no
Busquen en la carpeta de instalación un ejecutable llamado REPLMON.EXE (Replication Monitor) y ejecútenlo
Lo primero es con botón derecho elegir la opción “Add monitored server”, e indicarlo por el nombre, yo ya he agregado varios
Podemos observar en cada Objeto conexión varios datos interesantes, desde si se ha replicado correctamente hasta los USNs de cada servidor
Y si entran con botón derecho sobre un Site verán qué cantidad de opciones interesantes. Es una lástima que muchas ya no funcionan con las versiones del nuevo sistema operativo, y la aplicación no fue actualizada, pero igual prueben y revisen que se van a entretener un rato 🙂
Hay otra utilidad, esta actual, que nos permite ver el estado de la replicación entre los Controladores de Dominio, se denomina “Active Directory Replication Status Tool” que se puede descargar en forma totalmente gratuita desde http://www.microsoft.com/en-us/download/details.aspx?id=30005
Debemos tener en cuenta que para poder instalar tiene como pre-requisito .NET 3.5 que deberemos instalar previamente, para luego poder poner la que nos interesa
Una vez instalada, iniciándola nos encontraremos con la siguiente pantalla. Como en mi caso estoy “casi seguro” que todo está bien configurado y funcionando directamente haré la comprobación completa del Bosque (Forest)
Podemos ver que ha recogido toda la información necesaria
Y si vamos a los detalles, desplazándonos horizontal y verticalmente veremos que todo está correcto. Si hubiera algún problema lo resaltará en colores
Y además haremos otras comprobaciones con REPADMIN.EXE y sugerir algunas más con DCDIAG.EXE
Ambos comandos tienen muchísimas opciones de modificadores, recomiendo que vean la ayuda de cada uno y tengan en cuenta por lo menos las más importantes
En esta ocasión probaré sólo algunas, por un tema de extensión
Abramos un CMD.EXE como administradores, o PowerShell que es lo mismo ya que redirigirá los comandos, y ejecutemos:
REPADMIN /REPLSUMMARY para verificar cuándo se hicieron las últimas replicaciones y su alguna no fue exitosa
REPADMIN /SHOWREPL igual que el anterio pero más detallado
REPADMIN /BRIDGEHEADS para ver qué Controladores de Dominio son los “Bridgehead Servers” (los que replican desde/hacia el “Site”
O con DCDIAG /TEST:REPLICATIONS podemos verificar la replicación de cada Controlador de Dominio en forma individual
Y como punto final veremos algunas de las opciones para la administración “realmente” centralizada 🙂
Por ejemplo podemos crearnos una consola (MMC:EXE) donde cargamos el complemento “Group Policy Management”, y seleccionamos que nos muestre todos los Dominios del Bosque
O podemos crear una consola (MMC:EXE) agreando tres veces el complemento “Active Directory Users and Computers” y enfocar cada instancia en cada uno de los Dominios de nuestro Bosque
E inclusive, en “Server Manager” podemos crear “Server Groups”, por ejemplo para agruparlos por “Site” agregando cada Controlador de Dominio al grupo correspondiente
Con esta nota doy por finalizada esta serie. En la misma hemos partido de un diseño “no muy sencillo” y hemos visto paso a paso cómo crear la infraestructura de Active Directory, en ambientes de múltiples sitios, con sitios donde la seguridad es reducida, e inclusive la implementación de resolución de espacio de nombres no contigüos que es lo que presenta mayor complejidad. Y todo sin dejar de lado la tolerancia a fallas
Y como si fuera poco lo anterior, verificamos el correcto funcionamiento y algunos pequeños trucos de administración centralizada
Agrego un resumen de cada una de las notas publicadas:
Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota I
Instalación de Active Directory – Promoviendo un Controlador de Dominio en un Site Remoto – Nota V
Instalación de Active Directory – Promoción de un RODC (Read Only Domain Controller) – Nota VI
