Comprobar la salud de un controlador de dominio (3 de 3)
Buenas,
A continuación detallo otra serie de comprobaciones que debemos realizar para comprobar la salud de un controlador de dominio.
En esta última entrada de la serie nos centraremos en las siguientes comprobaciones, todas ellas tienen relación con la seguridad.
– Comprobar que los grupos Everyone, authenticated domain users y enterprise domain controllers tienen derecho a contactar con el controlador de dominio por la red.
Para ello iniciamos rsop.msc desde ejecutar y accedemos Computer Configuration->Windows Settings->Security Settings->Local Policies->User Right Assignment posteriormente hacemos doble clic sobre Access this computer from the network y comprobamos que tengan acceso por la red los grupos mencionados.
– Comprobar que el controlador de dominio en cuestión tiene el reloj sincronizados con el emulador PDC del dominio. Esta comprobación realmente es muy sencilla y solo debemos verificar la hora en ambos servidores, si el contralor de dominio estuviera desincronizado usaríamos el siguiente comando para forzar la sincronización.
C:\>net time \\Nombre_dns_emulador_pdc /set /y
– Comprobar que el Kdc funciona correctamente
Para ello debemos comprobar que el atributo useraccountcontrol tiene el mismo valor para el objeto del dc que queremos verificar en el controlador de dominio que queremos comprobar y en el controlador de dominio de la central, para realizar esta comprobación abriremos el adsiedit en ambos dcs y accederemos a las propiedades del objeto del controlador de dominio que deseamos verificar.
– Verificar que la fragmentación de la red no interfiere en la autenticación de kerberos.
Para verificarlo y solucionarlo si este fuera nuetro problema usaremos el procedimiento detallado en el siguiente kb de technet.
http://support.microsoft.com/kb/244474/en-us
Espero que os resulte útil e interesante.
Un saludo