Category Archives: Windows 2008

Los Controladores de Dominio (DC) son la piedra angular de Directorio Activo (AD) de Microsoft. Si los DC no funcionan correctamente, AD tampoco lo hará, los usuarios no podrán conectarse a sus equipos, las políticas no se ejecutarán, etc., etc. Vamos un caos. Y en seguida recibiremos todas las llamadas del mundo que harán nuestro trabajo más fácil y ameno.

Una herramienta muy útil y gran desconocida es la «Utilidad de Diagnóstico de Directorio Activo» (dcdiag).

Sintáxis del comando:

dcdiag.exe /s:<Servidor de directorio>[:<Puerto LDAP>] [/u:<Dominio><Nombre de usuario> /p:*|<Contraseña>|»»] [/hqv] [/n:<Contexto de nomenclatura>] [/f:<Registro>] [/x:archivoDeRegistroXML.xml] [/skip:<Prueba>] [/test:<Prueba>]

Dcdiag lo podemos ejecutar diariamente/semanalmente aportándonos información rápida, directa y necesaria para saber en qué estado está nuestro Directorio Activo y dónde hay problemas, si los hay.

• /H La clásica ayuda.
• /S Servidor de AD contra el que ejecutamos el diagnóstico.
• /N Nos permite especificar un «domain naming context (DNC)» o contexto de nombres de dominio. Cada DNC almacena objetos tales como usuarios, equipos, grupos. Etc.
• /U Credenciales para ejecutar el Dcdiag (dominionombre de usuario)
• /P Contraseña.
• /A realiza el test en todos los DC del Site actual (en el caso de tener diferentes Sites).
• /E Similar al anterior, realiza test a todos los DC de la empresa.
• /Q Modo silencioso (quiet mode). Solo muestra mensajes de error.
• /V Modo detallado (verbose mode).
• /I Omite mensajes de error superfluos.
• /C Realiza toda la batería de test excluyendo el test DcPromo y RegisterInDNS (que veremos después).
• /F Redirige todos los resultados del test a un fichero.
• /FIX Realiza correcciones de forma segura. (ojo yo igual no utilizaría esta opción).
• /TEST Realiza uno de los test que más abajo detallo.

Una vez visto las diferentes opciones/sintaxis que la utilidad tiene y los resultados de su ejecución, como ejemplo, paso a comentaros los test más importantes y los que nos aportan mayor información al administrador.

• /Test:Advertising.- Comprueba si cada uno de los «Directory System Agent» (DSA) se informa a sí mismo de su estado.

  DSA es un conjunto de servicios y procesos que se ejecutan en un controlador de dominio. Su trabajo es proveer el acceso a la base de datos de AD, como por ejemplo LDAP.

• /Test:CheckSDRefDom.- Esta prueba comprueba que todas las aplicaciones de las particiones de directorio tengan asignado el descriptor de seguridad de dominio adecuado.
• /Test:CheckSecurityError.- Esta prueba localiza todos los errores que puedan estar relacionados con la seguridad. Este test no se realiza por defecto.
• /Test:Connectivity.- Esta prueba testea los DC que están registrados en DNS, asi como si se accede a ellos por LDAP y RDP.
• /Test:CrossRefValidation.- Busca referencias cruzadas que no son válidas de alguna manera. Este problema se suele solucionar usando el editor ADSI y eliminando el objeto referido.
• /Test:CutOffServers.- La filosofía de este test es verificar/averiguar los partners/asociados a la replicación que están caídos.
• /Test:DcPromo.- Este test nos permite realizarlo en un servidor antes de promoverlo a Controlador de Dominio. Muy útil pero poco conocido y usado.
• /Test:DNS.- Estos test adicionales hace referencia al servicio de Domain Name Services (DNS). Después de todo AD depende completamente de dicho servicio. Estos test son:
  • /DNSBasic.- Test básico de DNS.
  • /DNSForwarders.- Chequea tanto los Forwarders como los Root Hints.
  • /DNSDelegation.- Chequea la delegación
  • /DNSDynamicUpdate.- Chequea qué parte del espacio de nombres DNS está autorizado.
  • /DNSRecordRegistration.- Comprueba que registros pueden ser dados de alta en el servidor DNS.
  • /DNSAll.- Está claro. Todos los test mencionados.
• /Test:SysVolCheck.- Realiza una comprobación básica sobre varias particiones de AD, incluyendo las zonas Forest DNS, Domain DNS, la partición de configuración, la partición de dominio y la partición de esquema.
• /Test:FrsEvent.- Comprueba si el servicio de replicación de ficheros (FRS) experimenta algún error. Importante, ya que por un malfuncionamiento de FRS los DC pueden estar desincronizados, causando la no aplicación de políticas, por ejemplo.
• /Test:LocatorCheck.- Hace una comprobación para asegurarse que los DC con funciones FSMO son conocidos y, sobre todo, accesibles.
• /Test:IntersiteTest.- Realiza una serie de test para ver si hay algún problema con los DC BridgeHead (Cabeza de Puente), por si hay algún problema de replicación entre Sites.
• /Test:KCCEventTest.- Esta prueba comprueba que el Knowledge Consistency Checker (KCC) está funcionando y si está produciendo errores, algo así como un comprobador de coherencia.

Existen más test, pero solo los nombro:

• /Test:KnowsOfRoleHolders
• /Test:MachineAccount
• /Test:NCSecDesc
• /Test:NetLogons
• /Test:ObjectsReplicated
• /Test:OutboundSecureChannels
• /Test:RegisterInDns
• /Test:Replications
• /Test:RidManager
• /Test:Services
• /Test:SystemLog
• /Test:Topology
• /Test:VerifyReferences
• /Test:VerifyEnterpriseReferences

Hay test para todo….

Un saludo,

¿Cómo realizar o forzar una replicación manual de AD? ¿Cómo saber que se está realizando correctamente?

REPLICACION

En principio tenemos cuatro formas de hacerlo en un dominio Windows 2003:

• AD Sites & Services.

  

• Replmon.exe

  

  

• Repadmin.exe

  Repadmin.exe /Syncall /APed (ojito con el comando)

  A => All partitions, o sea todas las particiones.

  P => Push

  e => enterprise

  d => distinguished names

• Script.- Mediante la ejecución de un script, como es lógico.

Recordar que si el dominio es Windows 2008, ya no tenemos la herramienta Replmon.exe

COMPROBACION

Verificar el estado de la replicación de AD: repadmin /replsummary /bysrc /bydest /sort:delta o repadmin /replsummary *

La salida queda dividida en dos tablas:

• Cada DC cuando es origen de replicación – tabla Source
• Cada DC cuando es destino de replicación – tabla Destination

También podremos encontrar los DCs que no pudieron ser contactados en la parte final, en el caso de que los haya.

Largest Delta muestra el máximo tiempo sin replicar satisfactoriamente alguna partición entre todos los partners de replicación de un controlador de dominio en particular. Las tablas se encuentran ordenadas por esta columna de mayor a menor. La columna Total muestra el número de enlaces de replicación (1 por DC por naming context) y la columna Fails (fallos) muestra el número de enlaces que han reportado error y el tipo del mismo.

¿Cuándo fue la última vez que replicaron los DCs? repadmin /showrepl o repadmin /showrepl *

La salida del comando nos muestra que el controlador de dominio desde el que lo he ejecutado (o al que me he conectado) está replicando correctamente todas y cada una de las particiones indicadas con sus partners de replicación.

AUTOMATIZACIÓN

¿Podemos generar un script para verificar automáticamente?

Por supuesto, como ejemplo os adjunto un Script que se puede ejecutar de cualquiera de las siguientes maneras:

• Replreport.cmd SERVER1 (donde SERVER1 es el nombre de uno de nuestros DCs)
• Replreport.cmd ADC* (dónde se ejecutaría para aquellos DCs que empiezan por ADC)
• Replreport.cmd * (Para todo controlador de dominio)

Replreport.cmd

Este report se puede generar y reenviar por correo automáticamente para que cuando llegas a la oficina puedas chequear la replicación de Directorio Activo tranquilamente …. o no.

BIBLIOGRAFIA

• Ask the Directory Service Team.
• Consulta con el equipo de Windows.

Un saludo,