El camino de un ITPro » 25/02/2010

Daily Archives: 25/02/2010

Administración Directorio Activo Windows 2008

Diagnóstico de Directorio Activo – DCDIAG.

Published by:

Los Controladores de Dominio (DC) son la piedra angular de Directorio Activo (AD) de Microsoft. Si los DC no funcionan correctamente, AD tampoco lo hará, los usuarios no podrán conectarse a sus equipos, las políticas no se ejecutarán, etc., etc. Vamos un caos. Y en seguida recibiremos todas las llamadas del mundo que harán nuestro trabajo más fácil y ameno.

Una herramienta muy útil y gran desconocida es la «Utilidad de Diagnóstico de Directorio Activo» (dcdiag).

Sintáxis del comando:

dcdiag.exe /s:<Servidor de directorio>[:<Puerto LDAP>] [/u:<Dominio><Nombre de usuario> /p:*|<Contraseña>|»»] [/hqv] [/n:<Contexto de nomenclatura>] [/f:<Registro>] [/x:archivoDeRegistroXML.xml] [/skip:<Prueba>] [/test:<Prueba>]

Dcdiag lo podemos ejecutar diariamente/semanalmente aportándonos información rápida, directa y necesaria para saber en qué estado está nuestro Directorio Activo y dónde hay problemas, si los hay.

  • /H La clásica ayuda.
  • /S Servidor de AD contra el que ejecutamos el diagnóstico.
  • /N Nos permite especificar un «domain naming context (DNC)» o contexto de nombres de dominio. Cada DNC almacena objetos tales como usuarios, equipos, grupos. Etc.
  • /U Credenciales para ejecutar el Dcdiag (dominionombre de usuario)
  • /P Contraseña.
  • /A realiza el test en todos los DC del Site actual (en el caso de tener diferentes Sites).
  • /E Similar al anterior, realiza test a todos los DC de la empresa.
  • /Q Modo silencioso (quiet mode). Solo muestra mensajes de error.
  • /V Modo detallado (verbose mode).
  • /I Omite mensajes de error superfluos.
  • /C Realiza toda la batería de test excluyendo el test DcPromo y RegisterInDNS (que veremos después).
  • /F Redirige todos los resultados del test a un fichero.
  • /FIX Realiza correcciones de forma segura. (ojo yo igual no utilizaría esta opción).
  • /TEST Realiza uno de los test que más abajo detallo.

Una vez visto las diferentes opciones/sintaxis que la utilidad tiene y los resultados de su ejecución, como ejemplo, paso a comentaros los test más importantes y los que nos aportan mayor información al administrador.

  • /Test:Advertising.- Comprueba si cada uno de los «Directory System Agent» (DSA) se informa a sí mismo de su estado.

    DSA es un conjunto de servicios y procesos que se ejecutan en un controlador de dominio. Su trabajo es proveer el acceso a la base de datos de AD, como por ejemplo LDAP.

  • /Test:CheckSDRefDom.- Esta prueba comprueba que todas las aplicaciones de las particiones de directorio tengan asignado el descriptor de seguridad de dominio adecuado.
  • /Test:CheckSecurityError.- Esta prueba localiza todos los errores que puedan estar relacionados con la seguridad. Este test no se realiza por defecto.
  • /Test:Connectivity.- Esta prueba testea los DC que están registrados en DNS, asi como si se accede a ellos por LDAP y RDP.
  • /Test:CrossRefValidation.- Busca referencias cruzadas que no son válidas de alguna manera. Este problema se suele solucionar usando el editor ADSI y eliminando el objeto referido.
  • /Test:CutOffServers.- La filosofía de este test es verificar/averiguar los partners/asociados a la replicación que están caídos.
  • /Test:DcPromo.- Este test nos permite realizarlo en un servidor antes de promoverlo a Controlador de Dominio. Muy útil pero poco conocido y usado.
  • /Test:DNS.- Estos test adicionales hace referencia al servicio de Domain Name Services (DNS). Después de todo AD depende completamente de dicho servicio. Estos test son:
    • /DNSBasic.- Test básico de DNS.
    • /DNSForwarders.- Chequea tanto los Forwarders como los Root Hints.
    • /DNSDelegation.- Chequea la delegación
    • /DNSDynamicUpdate.- Chequea qué parte del espacio de nombres DNS está autorizado.
    • /DNSRecordRegistration.- Comprueba que registros pueden ser dados de alta en el servidor DNS.
    • /DNSAll.- Está claro. Todos los test mencionados.
  • /Test:SysVolCheck.- Realiza una comprobación básica sobre varias particiones de AD, incluyendo las zonas Forest DNS, Domain DNS, la partición de configuración, la partición de dominio y la partición de esquema.
  • /Test:FrsEvent.- Comprueba si el servicio de replicación de ficheros (FRS) experimenta algún error. Importante, ya que por un malfuncionamiento de FRS los DC pueden estar desincronizados, causando la no aplicación de políticas, por ejemplo.
  • /Test:LocatorCheck.- Hace una comprobación para asegurarse que los DC con funciones FSMO son conocidos y, sobre todo, accesibles.
  • /Test:IntersiteTest.- Realiza una serie de test para ver si hay algún problema con los DC BridgeHead (Cabeza de Puente), por si hay algún problema de replicación entre Sites.
  • /Test:KCCEventTest.- Esta prueba comprueba que el Knowledge Consistency Checker (KCC) está funcionando y si está produciendo errores, algo así como un comprobador de coherencia.

Existen más test, pero solo los nombro:

  • /Test:KnowsOfRoleHolders
  • /Test:MachineAccount
  • /Test:NCSecDesc
  • /Test:NetLogons
  • /Test:ObjectsReplicated
  • /Test:OutboundSecureChannels
  • /Test:RegisterInDns
  • /Test:Replications
  • /Test:RidManager
  • /Test:Services
  • /Test:SystemLog
  • /Test:Topology
  • /Test:VerifyReferences
  • /Test:VerifyEnterpriseReferences

Hay test para todo….

Un saludo,