El Baúl Del ITPRO

Buenas tardes,

En este tercero y último post de la serie hablaremos sobre el procedimiento para realizar un restore autoritativo de un conteneder en directorio activo como puede ser una OU.

Lo primero de todo mencionar que un restore autoritativo prevalece el restore ante la replicación y que su aplicación más frecuente es para restaurar objetos que han sido eliminados del directorio activo bien por un error humano o por cualquier otra causa, en estos casos solemos tener constancia de la incidencia cuando el borrado de objetos ya ha sido replicado al resto de controladores de dominio.

Una vez hecha esta pequeña introducción pasaremos a detallar el procedimiento.

– El primer paso sería reiniciar nuestro controlador de dominio y arrancarlo en modo de recuperación de servicios de active directory, para ello debemos pulsar F8 en el prompt de arranque del sistema operativo y elegir la opción “Directory Services Restore Mode” de las presentadas en el menú.

– Una vez arrancado el DC en modo de recuperación de Active directory iniciaremos una ventana de línea de comandos (cmd)
– En el cmd teclearemos el comando “webamin get versions” para obtener un listado de todas las versiones de backup realizadas y poder elegir la que queremos restaurar (normalmente restauraremos la más reciente)

– Tecleamos el comando “wbamin start recovery –version: nombre_versión” para iniciar un restore no autoritativo de nuestro AD e indicarle en el último paso que restarue autoritativamente solo la OU eliminada.

– Por ultimo haremos un restore autorititativo de la OU eliminada usando el comando ntdsutil como se muestra en el ejemplo.

Un saludo

Buenas,

En este segundo webcast de la serie hablaremos sobre el procedimiento para reinstalar un controlador de dominio y realizar un restore no autoritativo de nuestro Active Directory.

Es muy importante mencionar que cuando realizamos un restore no autoritativo de Active Directory estamos indicando que la replicación prevalece ante los objetos restaurados. Este método suele emplearse cuando tenemos un problema tanto de hardware como de software en un controlador de dominio y necesitamos restaurarlo, de esta manera conseguimos restaurar los datos que tenemos en el backup en nuestro controlador de dominio y recibir el resto de información mediante la replicación de Active Directory.

El restore no autoritativo es el tipo de restore por defecto cuando hacemos una recuperación de los servicios de AD, en el caso de querer hacer una restore autoritativo emplearemos el procedimiento que explicaré en el último post de la serie.

Pues bien, una vez hecha esta breve introducción comenzaremos con la explicación del procedimiento para realizar la instalación del sistema operativo y realizar un restore completo de un controlador de dominio que hemos perdido.

– Lo primero de todo sería arrancar el controlador de dominio que queramos iniciar desde el cd w2k8 R2
– En la pantalla de instalación seleccionamos la opción Repair your computer

– Posteriormente debemos indicar Windows Complete PC Restore

– A continuación debemos seleccionar el Sistema operativo que queremos reparar (normalmente solo nos aparecerá una opción)
– Seguidamente debemos indicar el backup que queremos restaurar (normalmente será el más reciente)
– Por último formatearemos y reparticionaremos los dicos antes de comenzar el proceso de instalación y restore.

Un saludo y féliz navidad.

Buenas Noches,

Empezamos hoy una seríe de 3 en la que contaré como hacer backup y restore de los servicios de Active Directory en Windows Server 2008 R2. Hoy nos centraremos en la parte del backup, que por otro lado es la más sencilla de todas y en los dos siguientes entradas hableremos acerca del restore autoritativo y no autoritativo en Active Directory.

Para hacer un backup de Active Directory lo primero que debemos hacer es instalar la caracteristica de windows server backup en el controlador de dominio, para ello accedemos al Server Manager – Featues – Add Features – y añadimos la feature de windows server backup.

Una vez intalado el windows server backup lo iniciamos desde Inicio – All Programs – Accesories – System tools – Windows server Backup

Dentro de Windows Server Backup Pulsamos en backup Backup Schedule o Backup once dependiendo si queremos crear un solo backup o una tarea programada de backup.

En el asistente de creación de backup elegimos que queremo crear un backup con different options para especificar por nosotros mismos las opciones que deseamos.

En la siguiente pantalla debemos especificar que elementos queremos respaldar (tanto si salvamos el servidor por completo, como si salvamos la partición en la que esta instalado AD o si salvamos el system state estaremos salvando todo lo necesario para poder hacer un restore del AD) en nuestro ejemplo salvaremos el servidor completo.

Elegimos donde queremos almacenar nuestro backup (en nuestro ejemplo en un directorio de red)

Por último pulsamos en backup para cerrar el asistente y comenzar la copia de seguridad.

Un saludo

Buenas,

Hoy por ser fiesta escribire un post más cortito, simplemente me gustaría recomendaros el uso de la aplicación AD Manager Mobile para Iphone y Ipad la cual podéis comprar en el appstore por el modico precio de 3,99.

Esta aplicación nos puede ser muy útil en una guardía y nos puede evitar tener que encender el portátil para realizar una tarea rutinaría en Active Directory.

Adjunto os dejo el link a la aplicación en el Appstore.

http://itunes.apple.com/es/app/admanager-mobile/id383576391?mt=8

Un saludo

Buenas,

Son muchos los post que estoy leyendo acerca de la disponibilidad para descarga del SP2 de Exchange 2010, por este motivo no entrare a comentar las nuevas funcionalidades incluidas por el mismo.

Si me gustaría comentar a continuación los principales cambios que realiza la instalación del SP2 de Exchange 2010 en el esquema de Active Directory:

– Se han añadido los atributos Compañía y departamento a la clase Mail-Recipient, esto nos permitirá añadir los valores de Compañía y departamento a los contactos de AD y a los grupos de seguridad y distribución.

– Se han añadido 35 atributos personalizables a la clase ms-Exch-Custom-Attributes, esto nos permitirá personalizar nuestro esquema según los requisitos de nuestras organización con hasta 35 nuevos atributos que puede ser asignados a contactos, usuarios, grupos, carpetas públicas, listas de distribuciones y políticas de recepción.

– Nuevos atributos y clases que no entro a mencionar en detalle puesto que son bastantes que nos permiten soportar la segmentación de la GAL.

– Se ha añadido la clase ms-Exch-Coexistence-Relationship y varios atributos relacionados con las misma que nos permiten soportar la integración hibrida entre Exchange on-premise y Exchange online (office 365)

Si estáis interesados en profundizar en el asunto podéis descargar la guía de referencia que detalla todos los cambios realizados a nivel de esquema de AD en la siguiente url:

http://www.microsoft.com/download/en/confirmation.aspx?id=5401

Un saludo.

Buenas tardes,

Como todos sabemos renombrar equipos siempre ha sido una tarea que hemos tenido que hacer de manera más o menos habitual, ahora bien, ante la situación que viven la mayoría de las empresas en nuestros país la cual les impulsa a realizar restructuraciones de manera frecuente hace que tengamos que realizar esta tarea de manera más frecuente para adaptar los nombres de equipos a los departamentos o ubicaciones en las que trabajan los usuarios.

Una de los métodos que tenemos para cambiar el nombre de equipo en la máquina es desplazarnos o coger control remoto de la máquina del usuario pasar la máquina a grupo de trabajo renombrarla y pasarla de nuevo a dominio, pero la verdad es que este método es un poco manual y engorroso.

Para hacerlo de manera mucho más rápida y automatizada podemos usar la herramienta netdom la cual está incluida en el support tolos, una vez tenemos instalado netdom es tan fácil como ejecutar el siguiente comando en nuestra máquina de administrador para relizar cambio de nombre de equipo tanto en la máquina del usuario como en la cuenta de equipo de active directory.

netdom renamecomputer /NewName /UserD
/PasswordD * /UserO /PasswordO * /Reboot

Un saludo

Hoy me he propuesto testear la update rollout 1 para Active Directory Federatión Services (AD FS) 2.0 la cual fue liberada el pasado 14/10/2011.

El Proceso de actualización es muy sencillo y no difiere en nada con el de cualquier otro hotfix, para instalarlo debemos primeramente descargar el mismo desde la siguiente url:

http://support.microsoft.com/kb/2607496

Una vez descargado debemos instalarlo en nuestro servidor de Active Directroy Federation Services y en el proxy (ADFS) en que caso de que lo tengamos configurado en un servidor diferente.

Una vez instalado el hotfix ya podremos disfrutar de las siguientes funcionalidades incorporadas en el mismo:

-Incorpora los parches de seguridad que habían sido desplegados para AD FS
-Soporte Multi UPN que nos permite tener Single Sign on (SSO) en office 365 sin necesidad de definir varias intancias de AD FS para aquellas organizaciones que usan más de un dominio de nivel superior.
-Soporte para crear políticas de acceso cliente que nos permite por ejemplo bloquear o permitir el acceso a office 365 a ciertos usuarios de la organización en base a condiciones como puede ser la localización o la membresia de grupos.
-Incorporación de un nuevo algoritmo que nos permite reducir en gran medida la posibilidad de congestión en ADFS.

Teniendo en cuenta las funcionalidades incorporadas y el fácil despliegue de este rollout podemos decir que es totalmente recomendable instalar el mismo si tenemos una federación de directorios entre un dominio local y office 365.

Buen fin de semana

Buenas,

Hoy me ha escrito un amigo para preguntarme como podía delegar ciertas tareas de administración de Directorio Activo a nivel OU a los administradores de su organización, puesto que todos las tareas que el pretendía delegar no están incluidas en el delegation wizard de Active Directory.

Lo primero de todo mencionar cuales son las tareas que podemos delegar usando el delegation wizard de Active Directory a nivel OU:

– Crear, eliminar y administrar cuentas de usuario
– Resetear contraseñas y de usuario y forzar cambios de contraseña al logon
– Leer toda la información de la cuenta de usuario
– Crear, eliminar y administrar grupos
– Modificar la membresia de grupos de los usuarios
– Administrar la gpos linkadas
– Sacar un report de las políticas aplicadas
– Crear, eliminar y administrar cuentas inetorgperson
– Resetear contraseñas y forzar su cambio para las cuentas inetorgperson
– Leer toda la información de las cuentas inetorgperson

Pues bien, para incluir más tareas las cuales pueden ser delegadas debemos modificar en nuestro controlador de dominio el archivo que delegwiz.inf que se encuentra en el path %windir%/inf/.

Evidentemente cuando modificamos el archivo delegwiz.inf debemos hacerlo seguiendo una estructura determinada para que pueda reconocer las nuevas tareas que pueden ser delegadas mediante el Active Directory delegation wizard.

Referente a la edición del delgwiz.inf os adjunto un enlace en los que podéis encontrar una buena base para que sepáis como editar este fichero.

http://support.microsoft.com/?kbid=308404

Como a la mayoría de los itpros no nos gusta mucho esto de meter líneas en ficheros de texto plano os paso un enlace donde podéis hacer copy-paste del texto que debe tener el el fichoero delegwiz.inf para que el delegation wizard nos permita delegar todas las opciones posibles.

http://technet.microsoft.com/en-us/library/cc772784(WS.10).aspx

Un saludo