Dcpromo es el comando usado para promocionar un servidor a controlador de dominio o bien configurar un nuevo dominio de directorio activo, su uso es bastante sencillo y dispondremos de diferentes opciones, a través del asistente de instalación, tales como si tambien queremos configurar el propio servidor como DNS o si queremos que el dominio forme parte de un nuevo bosque o de uno existente. Igualmente si el servidor esta configurado como controlador de dominio, dcpromo nos servirá para despromocionar el domain controller o desinstalar el active directory. En Windows 2000 la única opción avanzada para dcpromo es la creación de un fichero de respuesta automática para realizar una instalación desatendida (unattended) mientras que Windows Server 2003 además nos ofrece la posibilidad de realizar la promoción de un nuevo controlador de dominio de un dominio ya existente desde una copia de seguridad del directorio activo.



Para crear un fichero de configuración desatendida para DCPromo debemos crear un fichero de texto en el cual debemos insertar el encabezado [DCInstall] , debajo de esto podemos configurar cualquier parámetros de los cuales os enumero los mas útiles:

PARAMETRO	VALORES	DESCRIPCION
AdministratorPassword	Yes/No	Nueva contraseña para la cuenta de administrador del dominio si es el caso
AutoConfigDNS	Yes/No	Indica si se debe configurar o no automáticamente el servidor como DNS
CreateOrJoin	Create/Join	Señala si se creara un nuevo bosque o se unirá a uno existente
DomainNetBiosName	Cualquiera	Nombre NETBios del dominio
NewDomainDNSName	Cualquie.ra	Nobre DNS del dominio
RebootOnSuccess	Yes/No	Si se indica se reiniciara el servidor tras una instalación satisfactoria
ReplicaOrNewDomain	Replica/Domain	Indica si es una replica de un dominio ya creado o un nuevo dominio
SysVolPath	ruta\a\SYSVOL	Ruta al directorio local donde se alojara SYSVOL
TreeOrChild	Tree/Child	Especifica si el directorio forma un nuevo árbol dentro del forest o bien cuelga de un dominio ya existente
SiteName	Cualquiera	Nombre del sitio al que pertenecerá el domain controller

Aquí tenéis un ejemplo sacado del articulo KB sobre instalaciones desatendidas en Windows 2000 y Windows Server 2003, donde también podéis encontrar todos los parámetros existentes para cada versión.



En Windows Server 2003 como novedad existe la posibilidad de realizar el DCPromo desde un backup del directorio activo para lo que simplemente tendremos que ejecutarlo como dcpromo /adv y tras seleccionar, de esta forma en lugar de replicar desde otro controlador de dominio ya presente tomara los datos desde la copia de seguridad. Adicionalmente debemos asegurarnos, al igual que en cualquier otro caso de restauración del active directory, que el backup no es mas antiguo que el tiempo fijado para el atributo tombstoneLifetime. Aparte de para la recuperación de un servidor fallido, también nos puede ser útil para ahorrar trafico de replicación en enlaces WAN o acelerar el proceso, ya que solo los cambios realizados desde el backup serán los que se replican a este DC desde otros. Como se puede ver en los pantallazos de abajo esta opción nos aparecerá solicitando el directorio donde se encuentra el backup del system state tras seleccionar "Controlador de dominio dominio adicional para un dominio existente" en la segunda pantalla del dcpromo.





La gran mayoría de los problemas causados durante un dcpromo se deben a una incorrecta configuración DNS pero también pueden existir otras causas, os propongo a continuación una serie de comprobaciones básicas a realizar si se detectan errores durante o después del dcpromo a pesar de haberse realizado este con éxito y que pueden ayudar a la hora de aislar el problema.

 - Comprobar conectividad IP con otros controladores de dominio y/o servidores DNS. Si la resolución DNS funciona aparentemente de manera correcta, comprobar si los registros de las zonas relativas al directorio activo (_msdcs, _sites, _tcp y _udp) se encuentran correctamente. Para estas tareas nos pueden ser de gran ayuda NetDiag y DCDiag, podemos reparar los registros del directorio activo realizando un NetDiag /fix. Igualmente debemos considerar ipconfig /flushdns para eliminar posibles restos de registros DNS en el caché DNS.

 - Debemos revisar el estado y posibilidad de acceso a los directorios compartidos administrativos (administrative shares) SYSVOL y NETLOGON. Si recibimos errores de autentificación tal vez sea conveniente reiniciar el servicio Netlogon, además de todo esto es conveniente que el servidor de encuentre unido de antemano al directorio activo como servidor miembro. También se debe comprobar el estado de NTDS.dit y que se encuentre correctamente situado en %SystemRoot%\System32.

 - También es conveniente comprobar el estado de los roles FSMO, especialmente el maestro de nombres de dominio (domain naming master).

Para realizar estos pasos siempre nos debemos valernos del Visor de sucesos (eventvwr) en los distintos servidores para poder orientarnos hacia cual es la fuente del problema.

| Enlace  

Cuando se replica la información del directorio activo es conveniente tener conectividad en los siguientes puertos para que todo funcione correctamente:

UDP/TCP 53 - DNS
UDP/TCP 88 - KERBEROS
TCP 135 - RPC (Remote Procedure call / Llamada al procedimiento remoto)
UDP/TCP 389 - Active Directory (LDAP)
UDP/TCP 445 SMB sobre IP
TCP 636 - LDAP sobre SSL
TCP 3268 - Global Catalog (LDAP)

RPC asignara un puerto alto (del 1024 al 65536) aleatoriamente para replicar datos. En lugar de RPC también existe la posibilidad de usar SMTP en la replicación del directorio activo entre sitios (intersite) aunque raramente se usa ya que solo tiene sentido si existen problemas de enrutamiento, si ese es el caso habrá que tener abierto el puerto 25 de TCP también.

| Enlace  

Round Robin es una técnica de balanceo de carga entre distintas maquinas o interfaces de red que funciona mediante DNS de modo que cada vez que se realiza una petición al servidor que contiene el registro DNS en cuestión este contiene varias correspondencias del registro tipo A (host) de manera que va rotando los resultados que ofrece. Esto nos ofrece un sistema de balanceo de carga muy sencillo pero irregular e inconsistente ya que nunca repartirá equitativamente las peticiones una vez se extiendan estos registros a otros servidores DNS y otro de los problemas que arrastra es que si una de las direcciones IP a las que e apunta de deja de funcionar no habrá forma de eliminar en un periodo breve las peticiones dirigidas a ella. Aun así es un método a considerar ya que nos permite usar equipos con sistemas operativos heterogéneos (Windows, Linux, Unix, Solaris..) para balancear servicios como Web, FTP o correo SMTP entrante y saliente. Os ofrezco un ejemplo de configuración de un servicio Web mediante round robin en:



Network Load Balancing (NLB) se trata de una tecnología de clustering propietaria de Microsoft existente tanto en Windows 2000 como en Windows 2003 Server que crea una red de servidores que mediante distintos mecanismos y algoritmos se intercomunican y deciden quien debe ser el receptor de cada petición, también si se produce algún problema en uno de los servidores se detectara y este será retirado automáticamente de la red de servidores en NLB. también es conocido como network load balancing la técnica que usan distintos fabricantes de hardware como F5 Networks, Radware, NetScaler o Cisco, que mediante dispositivos dedicados (appliances) conocidos como switches L4-L7, dedican uno (varios si están redundados) de estos dispositivos exclusivamente a repartir las peticiones entre los distintos servidores. también suelen integrar en paralelo con el balanceo de carga otras soluciones de seguridad y optimización de los servicios como proxy de SSL. Ambas técnicas nos plantean el problema de que la imposibilidad de dispersar los servidores geográficamente y ser soluciones complejas, en el caso de las soluciones hardware su principal desventaja es el alto precio de este tipo de dispositivos pero a cambio suelen ofrecer pocos problemas de incompatibilidad y un muy buen rendimiento.

En Windows disponemos la posibilidad de activar la opción orden de mascara de red (subnet mask ordering) en este modo si tuviéramos un mismo registro A (host) que correspondiera a distintas direcciones IP como es el caso de cuando configuramos un round robin, en lugar de ir rotando la dirección IP que devuelve en caso de que la IP del peticionario se encuentre en la misma subred que una de las direcciones IP de los resultados siempre devolverá la dirección IP de esa subred. Esto puede ser bastante útil a la hora de ofrecer servicios locales en entornos con distintas localizaciones. Tanto round robin como el orden de mascara de red están habilitadas por defecto, las podemos desactivar en propiedades -> avanzadas del servidor DNS.

| Enlace  

Los servidores DNS guardan en caché todas las peticiones DNS que resuelven durante el tiempo que indica el SOA (Start of Authority) del dominio. Existe la posibilidad de configurar servidores llamados de "solo caché" (caching only) que simplemente resuelven las peticiones mediante reenviadores (forwarders) o realizando consultar recursivas a través de sugerencias de raíz (root hints) y que por tanto ni contienen ni tienen autoridad para ninguna zona. Pueden ser útiles en estrategias de resolución de nombres de Internet donde nuestras comunicaciones sean lentas, por un lado no desperdiciaremos trafico con transferencias de zona y por otro ahorraremos trafico gracias al caché ya que muchas consultas a servicios usados habitualmente se resolverán sin necesidad de generar ningún trafico WAN. También representan una buena manera de quitar carga de trabajo a los servidores de DNS que contienen las zonas del directorio activo si los configuramos como reenviadores de estos para resolver los nombres de Internet en lugar de confiar en los servidores de nuestro ISP.

Uno de los ataques mas comunes vía DNS que se producen son los conocidos como envenenamientos de caché (cache poisoning)que consisten en la introducción de registros erróneos en la caché de los servidores DNS mediante diferentes técnicas. En Windows disponemos de una opción en las propiedades del servidor DNS llamada Asegurar caché contra corrupción (prevent cache pollution) que evita que el servidor sea victima de este tipo de ataques, esta opción viene activada por defecto en Windows Server 2003 mientras que en Windows 2000 habrá de ser activada manualmente.

| Enlace  

Para resolver nombre externos a nuestro dominio en un entorno con active directory, aunque esto es también aplicable a cualquier entorno Windows, disponemos de varios métodos que se usan según las circunstancias, los enumero por el orden en que se recurre a ellos:

Reenviadores condicionales (conditional forwarders): estos reenviaran la consulta a una serie de servidores DNS según al dominio al que se trate, este tipo de reenviador solo esta disponible a partir de Windows Server 2003 y se suele usar en entornos donde existe mas de una espacio de nombres o existe una relación de confianza (trust) entre dominios o bosques que no comparten un espacio de nombres común.

Reenviadores (forwarders): es el método mas utilizado y eficiente para resolver nombres DNS de Internet, se suele apuntar al servidor DNS que nos facilitara nuestro ISP u otros.



Como podéis ver existen un par de opciones adicionales, si marcamos la casilla "No usar recursividad para este dominio" (do not use recursion for this domain) entonces no se recurrirá a los root hints para intentar resolver el nombre lo cual es una buena medida de seguridad si se trata de algún dominio que no este en Internet como el dominio interno de una empresa por ejemplo. La otra opción, "Segundos transcurridos hasta agotarse el tiempo de espera de envió de consultas" indica como el tiempo que espera el servidor para probar con el siguiente servidor DNS antes de recibir una respuesta.

Sugerencias de raíz (root hints): se trata de los servidores raíz del ICANN (root servers) a través de los que se puede resolver cualquier nombre de dominio registrado para Internet, el gran problema es su lentitud ya que aparte de la distancia geográfica también deberemos hacer distintos -queries- recursivos hasta encontrar el servidor primario o secundario del dominio.



Gran numero de problemas en entornos directorio activo se deben a la configuración de DNS, en gran parte debido a la dependencia que tiene del DNS, ya sea de clientes o servidores. Uno de los problemas mas comunes es que haya una zona DNS root (.) en el DNS creada lo que impide que se hagan uso de los reenviadores absolutos o condicionales de forma que es necesario borrarla para poder hacer uso de ellos, por otro lado crear una zona de este tipo puede ser una buena estrategia si lo que queremos es evitar que los clientes resuelvan nombres DNS externos. Los clientes -siempre- han de estar configurados con las direcciones IP de los servidores internos, ya sean controlador de dominio o servidores secundarios y estos a su vez contener reenviadores para poder resolver nombres externos, tener configurada otros servidores que no pertenezcan al dominio es fuente de gran cantidad de problemas.

| Enlace  

La infraestructura DNS de Windows se aleja un poco de lo que había sido la concepción habitual DNS del mundo UNIX donde solo teníamos servidores primarios y secundarios y el almacenamiento se realizaba en ficheros de texto, si bien Windows respeta los estándares BIND en este aspecto y también nos ofrece este tipo de configuración igualmente nos ofrece unas opciones novedosas respecto a esto. En primer lugar la pregunta que se nos viene a la cabeza cuando hablamos de zonas DNS (DNS zones) es porqué hablamos de zonas y no de dominios cuando tratamos de DNS, esto es porque las zonas se tratan de divisiones de un dominio realizadas con el propósito de simplificar su administración de forma que podamos delegar la administración de partes del espacio del nombre (subdominios).

Zona Principal (Primary zone): es la zona con capacidad de lectura y escritura sobre la información.

Zona Secundaria (Secondary zone): es la zona que replica a la zona principal que solo tiene capacidad de lectura sobre la información.

Zona de código Auxiliar (Stub zone): este tipo de zona solo contiene el registro SOA de inicio de autoridad (Start Of Authority), los registros NS (Name Server) y A (host) que apuntan los servidores de nombre. Una stub zone no contiene ningún registro aparte de los anteriormente citados de manera que lo único que hace es apuntar a los clientes hacia un servidor DNS, a primera vista puede parecer que no tiene utilidad pero infraestructura cambiante pero tiene gran utilidad en dos tipos de escenario: en el caso de que estemos realizando cambios en nuestra infraestructura DNS así no tendremos que cambiar la configuración de los clientes mientras dure este proceso o bien en escenarios donde las zonas contengan gran cantidad de registros y no queramos realizar gran cantidad trafico de replicación de DNS entre distintas localizaciones por enlace WAN. Este tipo de zonas solo están disponibles a partir de Windows Server 2003.



Si el servidor DNS es también controlador de dominio es posible configurar el almacenamiento de la zona para que se integre en el directorio activo (ADI, Active directory integrated) ya que se trata a la zona como de replicación multimaster como lo es el directorio activo, en otro post tratare las particularidades, inconvenientes y ventajas de este modelo que esta disponible desde Windows 2000.

Existen dos supertipos de zona según el tipo de resolución que se realice, tenemos las zonas de búsqueda directa (forward lookup zones) que es el tipo mas utilizado es decir se realiza una resolución de nombre DNS a IP. También contamos con las zonas de búsqueda inversa (reverse lookup zones) que realizan justo lo contrario, es decir, ver cual es el nombre DNS asignado a una IP. Para ello dividen los nombres de espacio por subredes, y se nombra las zonas con el estándar C.B.A.in-addr.arpa para definir un rango IP de A.B.C.x y si el rango fuera clase A o B en lugar de clase C como este se representaría como A.in-addr.arpa o B.A.in-addr.arpa respectivamente.

| Enlace  

Windows Storage Server 2003, es una versión de Windows Server 2003 parcialmente limitada y sobre todo optimizada para ser utilizada de formada dedicada para servicios de impresión y especialmente de servidor de ficheros, en cualquier caso es totalmente compatible con el software que funciona sobre estos servicios. Esta versión, que también ha recibido la actualización R2 donde se mejoran las opciones de gestión de servidores de ficheros tanto locales como en oficinas remotas, no es posible que sea adquirida por separado y solo se incluye con la compra de dispositivos NAS (Network Attached Storage). A diferencia del resto de versiones no es necesaria la compra por separado de licencias CAL (Client Access License) ya que el producto incluye licencias ilimitadas.

Existen dos versiones de Windows Storage Server 2003, Standard y Enterprise, la versión Standard solo incluye la funcionalidad básica mientras que la versión Enterprise soporta hasta 4 procesadores en el dispositivo NAS, multipath I/O lo que le permite conectarse a un dispositivo de almacenamiento por hasta 32 caminos diferentes de forma de forma que creamos redundancia en la conexión se puede configurar para que realice balanceo de cargar (load balancing) o failover en caso de fallo en alguna de ellas y también nos permite realizar clustering de hasta 8 nodos.

| Enlace  

Si queréis saber como funciona el protocolo DHCP en su forma estándar echarle un vistazo al link, este articulo es aplicable a Windows 2000 aunque como de costumbre me enfocare a Windows Server 2003. Para instalar el servicio debemos ir a Panel de Control -> Agregar y quitar programas -> Agregar o Quitar componentes de Windows -> Servicios de Red -> Protocolo de configuración dinámica de host (DHCP). El servicio DHCP funciona a través del puerto UPD 67 en el servidor y UDP 68 en el cliente.



Esto también nos instalara la consola de gestión de DHCP (dhcpmgmt.msc) desde la cual podremos manejar tanto los servidores de DHCP locales como los remotos. Si nuestro servidor DHCP forma parte del directorio activo es necesario para que comience a funcionar que se autorice, para ello hay que marcar el servidor que deseamos autorizar e ir a Todas las tareas -> Autorizar para esto es necesario un usuario que pertenezca al grupo Enterprise Administrators. A continuación podéis ver un pantallazo de la consola y una descripción de los elementos que podéis ver.



Ámbito (scope): se trata simplemente de un rango de direcciones IP que fijamos con unas propiedades comunes determinadas.

Superámbito (superscope): utilizaremos esta opción cuando queramos asignar un rango que ocupe mas de una subred (subnet), de forma que crearemos un ámbito por subred y los agruparemos en un superámbito.

Ámbito de multidifusión (multicast scope): aquí no aparece pero es una de las opciones que existen para crear en el asistente de creación de ámbitos. Se trata de un rango de direcciones IP de clase D que se asignan a equipos que las solicitan, su particularidad consiste en que necesitan el Multicast Address Dynamic Client Allocation Protocol (MADCAP) para solicitar una de estas direcciones. Todos los equipos en un grupo de multidifusión (multicast group) usa una única IP y sirve para enviar datos a un grupo de equipos a la vez enviando una única copia del mensaje.

Conjunto de direcciones: es el rango de direcciones IP del que asignaremos las direcciones. Si dentro de este rango tenemos uno o varios intervalos que no queramos asignar a ningún equipo debemos crear un rango o rangos de exclusión, por supuesto si solo queremos excluir una IP pues el inicio y final del rango deberá ser esa IP en concreto.

Concesiones de direcciones: son las direcciones del ambito que ya hemos concedido (lease) a cliente, nos indica a que MAC ha sido concedida cada IP.

Reservas: una reserva se realiza a una dirección IP de forma que siempre se asigne a un cliente que tenga una MAC prefijada y no a otros, esto es recomendable para configurar servidores o equipos que queremos que no tenga una configuración manual pero que no cambie su IP.





Lo que vemos en los pantallazos de arriba son las opciones de ámbito, en ellas para cada ámbito fijaremos una serie de opciones de configuración adicionales como servidor WINS, enrutador (puerta de enlace / gateway), servidores DNS, sufijo de conexión y otras menos comunes. También en las opciones avanzadas podemos ver opciones mas especificas según la clase de usuario (user class) o según la clase de proveedor (vendor class). En las propiedades del ámbito veremos las siguientes opciones:



En la primera pestaña aparte del intervalo de direcciones IP del ámbito podemos ver otra opción llamada Duración de la concesión para clientes DHCP (lease period), esto se refiere al tiempo que durara el préstamo de IP al equipo cliente, como norma habitual se suele configurar este tiempo con una duración igual al promedio de tiempo que el equipo esta conectado a la misma red. Una vez pasado este tiempo si la IP ya no esta en uso por el equipo se libera para que se pueda asignar a otro cliente, si aun esta en uso y a la dirección no ha sido aplicada ningún tipo de restricciones se renueva la concesión (lease renew). También podemos quitar el limite de manera que se asignen las direcciones IP por un periodo ilimitado lo que puede provocar problemas de que se nos agote la reserva (pool) de direcciones lo que puede pasar igualmente si el periodo es demasiado largo y no disponemos de demasiadas direcciones de manera que debemos ser cuidadosos a la hora de ajustar estos tiempos.



Las opciones que podéis ver en la pestaña de DNS son las que se configuran por defecto, el primer apartado se refiere a la actualización del sufijo de conexión es los servidores DNS de forma que nos de la opción de activar el puntero a registro (Point to record / PTR) y el registro A siempre que se haga una concesión o solo cuando se solicite explícitamente por el cliente. En el segundo apartado tenemos la opción de descartar esos registro una vez expire la concesión y no se renuevo, en el tercer apartado lo que nos ofrece es para clientes que no soporte la solicitud de actualización en DNS como NT4 que se actualice automáticamente.



Aquí nos da opción de conceder direcciones también a clientes BOOTP que se trata de un protocolo anterior a DHCP y mucho mas limitado, usualmente no será necesario activar esta opción pero en cualquier caso aquí la tenemos con la opción de configurar un tiempo de préstamo predeterminado.

Una de las tareas que podemos ver es Reconciliar o Reconciliar todos los ámbitos, en lo que consiste es en actualizar las concesiones que ha realizado el servidor contra el registro de ellos que guarda el en una base de datos .mdb de forma que no se produzca ningún tipo de inconsistencia, esto es un problema común que se da si acabamos de realizar una restauración recientemente de este registro. Por ultimo unas opciones mas que podemos encontrar si vamos a las Propiedades del servidor, en la pestaña General podemos configurar el intervalo temporal de actualización de estadísticas y si queremos realizar auditoria del registro DHCP. En la pestaña DNS configuraremos las mismas opciones que señalamos anteriormente pero a nivel de servidor de forma que serán las que se apliquen por defecto a los distintos ámbitos.



En la pestaña Opciones avanzadas, lo primero que nos encontramos es el parámetro Intentos de detección de conflicto que lo que hará es tantas veces como le indiquemos realizar ping a la IP que va a conceder de manera que si esta ocupada intentara de nuevo conceder otra en su lugar realizando el mismo proceso. Podemos definir las rutas a los ficheros de registro, base de datos y backup que por defecto se encuentran en C:\WINDOWS\system32\dhcp, también podemos fijar las interfaces de red del servidor a través de las cuales atenderá las peticiones DHCP y por ultimo podemos fijar las credenciales con las que se identificara en el servidor DNS para actualizar registros.

| Enlace  

A diferencia de Windows 2000 donde solo teníamos niveles de dominio mixto y nativo en Windows 2003 aparte de los cuatro diferentes niveles de dominio también tenemos tres niveles de forest diferentes, que son los siguientes:


Windows 2000: este es el nivel por defecto tanto para dominios migrados desde 2000 como para nuevos dominios de Windows Server 2003, aquí ninguna de las nuevas características de 2003 a nivel de bosque es aplicada excepto la nueva replicación diferencial y otras mejoras relacionadas con Global Catalog (GC), las particiones de active directory para aplicaciones y la opción de realizar un dcpromo instalando el directorio activo desde un backup. Debemos tener en cuenta que debemos mantener este nivel si deseamos tener algún domain controller de Windows 2000 o PDC/BDC de Windows NT presente.

Windows Server 2003 Provisional (interim): nivel análogo del nivel de dominio, al igual que con nivel de dominio esta pensado para un entorno que se encuentre realizando una migración a 2003. Podemos tener tanto controladores de dominio de 2003 como PDC/BDC de NT4 y a nivel de funcionalidad tenemos la misma que en el nivel de bosque Windows 2000 con algunas mejoras que introduce Windows 2003 a nivel de replicación intersite y algunas nuevas clases de Global Catalog.

Windows Server 2003: en este nivel solo se soporte controladores de dominio de Windows Server 2003 y tenemos toda la funcionalidad completa de 2003, a las nuevas características nombradas anteriormente hay que añadir la capacidad para renombrar dominios, cambios en el objeto InetOrgPerson, grupos de aplicación, cross forest trust (relaciones de confianza mutua entre bosques) y la habilidad para poner en estado defunt (desactivar) objetos del esquema lo que puede ser útil si realizamos una instalación fallida de Exchange u otra aplicación que modifique el esquema del directorio activo. Por supuesto es necesario que todos los dominios del bosque tengan nivel funcional Windows Server 2003 para poder pasar a este nivel de bosque.


Para elevar el nivel de bosque, al igual que para el de dominio, tenemos que ir a la consola Dominio y confianzas de Active Directory, seleccionar el bosque a modificar, ir a Todas las tareas o hacer click con el botón derecho sobre el bosque y escoger la opción Elevar el nivel funcional del bosque... tras lo que nos aparece un pequeño cuadro de dialogo con el nivel al que deseamos cambiar.





Esta operación es irreversible por lo que debemos estar seguros que no nos será necesario añadir ningún controlador de dominio que sea incompatible con el nuevo nivel de bosque.

| Enlace  

Si hemos realizado una backup del directorio activo para restaurarlo disponemos de varias opciones según como queramos que se comporten los objetos restaurados. Cada vez que se realiza un cambio a un objeto del active directory se incrementa una propiedad del objeto llamada USN (Update sequence number). Cuando se replican cambios en el directorio activo lo que hace un controlador de dominio contra otro es comparar el numero USN que contiene el objeto en cada DC de manera que siempre se replica la copia que tiene el USN mayor, en caso de que sean iguales se compara la marca horaria (timestamp) y se replica el mas reciente. Primero explicare cual es el cometido de cada tipo de restauración:

Primaria (primary): en este tipo de restauración lo que haremos sera sobrescribir todos los datos del directorio activo con los que restauremos, de manera que es tipo de restauración no la debemos usar a menos que solo tengamos un domain controller ya que aparte de que provocaría gran cantidad de trafico de replicación innecesario entre controladores de dominio.

Normal (non-authoritative): consiste en restaurar la base de datos del active directory pero con los objetos teniendo su USN original de manera que no se replicaran a otros controladores de dominio ya que su USN siempre será anterior al actual, a excepción de que algún objeto que contenga no se hubiera replicado en su momento.

Authoritative restore: este es una combinación de los dos procesos anteriores ya que primero realizaremos una restauración normal y después gracias a NTDSutil marcaremos algunos objetos con un USN nuevo para que se repliquen a otros controladores, nos sirve si por ejemplo queremos recuperar un determinado objeto como un grupo o usuario que ha sido borrado ahorrándonos tener que sobrescribir con una copia de seguridad todo el contenido del directorio activo

Lo primero que debemos hacer para restaurar el directorio activo es iniciar el servidor en modo de de restauración de servicios de directorio para lo que durante el arranque de Windows debemos pulsar F8 y esperar que aparezca el menú donde tendremos la opción en que modo queremos iniciar.





Tras realizar un CHKDSK de los discos y arrancar nos pedirá una contraseña que nos puede llevar a error pensando que es la de administrador local, esta contraseña se fija cuando se realiza el dcpromo, en el link tenéis mas información de como recuperarla o cambiarla.



Tras entrar en el sistema debemos ejecutar NTBackup, seleccionar System State e ir a Trabajo -> Iniciar para comenzar la recuperación.



Es importante detenernos en el cuadro que nos aparece tras iniciar el restore e ir a las opciones avanzadas.



En el dialogo de opciones avanzadas si marcamos la opción Al restaurar conjuntos de datos replicados, marcar los datos restaurados como los datos princípales para todas las réplicas realizaremos un backup primaria si no la marcamos realizaremos una restauración normal o autoritaria (authoritative) según los pasos que sigamos después.



La restauración llevara un tiempo...





En este paso, antes de reiniciar el servidor, es en el que si hemos realizado una recuperación normal (non-authoritative) debemos hacer uso de NTDSutil para que los objetos que seleccionemos se repliquen, la sintaxis a usar es básicamente ntdsutil "authoritative restore" "CN del objeto o subtree a restaurar" podéis ver una descripción completa de la sintaxis en un articulo kb de Microsoft.



Esta metodología es igual de valida tanto para Windows 2000 como para 2003 Server, también es importante que a la hora de restaurar backups del system state tengamos en cuenta el periodo de caducidad de los backups del directorio activo debido a los atributo Tombstone y garbageCollPeriod.

| Enlace  

Realizar copias de seguridad del Active Directory es una práctica imprescindible sobre todo si en nuestro entorno el número de controladores de dominio es pequeño o están repartidos por delegaciones que no tengan otro en local. Debemos abrir NTbackup y seleccionar system state como parte de los ficheros a los que queremos realizar un backup. Una vez seleccionado system state pulsamos iniciar y nos aparecerá un dialogo con distintas opciones avanzadas además de tener la oportunidad de programar el backup para que se realice de forma periódica lo que es muy recomendable.





Tras este dialogo se inicia el backup cuya duración depende del tamaño de los ficheros que tengamos seleccionados además de la velocidad, si es el caso, del medio de backup, si es una cinta llevara bastante mas que a disco duro.



Entre los contenidos del backup de system state esta la base de datos NTDS.dit del Directorio Activo y el contenido del volumen de sistema (SYSVOL), independiente de que el servidor sea domain controller o no contendrá también los ficheros de arranque (NTLDR, boot.ini, NTDetect.com), el registro y el COM+. Además si se trata de un Windows 2000 o Server 2003 que actué como CA se copiara también el almacén de certificados (certificate store).

Para restaurar el backup del Directorio Activo es necesario reiniciar el servidor en modo de restauración de servicios de directorio para lo que es necesario pulsar F8 antes de que inicie Windows, tambien tenemos la opcion de hacer una restauración tanto autorizada (authoritative) como no autorizada (non-authoritative).

| Enlace  

Cuando en Windows Server 2003 entramos en un controlador de dominio en el modo de restauración de SD (directory services restore mode) se nos solicita una password que habitualmente podemos haber olvidado ya que se configura durante el dcpromo y no coincide con la del administrador local. La contraseña debe de cumplir con los requisitos de complejidad fijados para los usuarios locales, por defecto son 8 caracteres que incluyan al menos con algún numero y un símbolo ortográfico como un guión, coma, punto, etc.. Solo tenéis que ejecutar los pasos que se detallan a continuación cambiando nombre-dc por el nombre del domain controller al que queráis cambiar la contraseña del modo de restauración.



En Windows 2000 esta contraseña tanto de la consola de recuperación como del modo de recuperación coinciden con la de administrador local por lo que simplemente debemos cambiarla, para ello simplemente lo podemos hacer desde la consola de administración de usuarios locales (lusrmgr.msc).

| Enlace  

Los volúmenes distribuidos, también conocidos como spanned volumes en ingles o volúmenes extendidos, están formados el espacio libre enlazado de hasta 32 discos dinámicos. Estos volúmenes no pueden ser configurados en mirror, tampoco tienen tolerancia a fallos por lo que si uno de los discos que lo componen falla no habrá manera de recuperar datos aunque estos teóricamente se encuentran en otro disco físico por lo que es muy importante realizar backups de los datos mas sensibles que se almacenen en este tipo de volumen.

A continuación os detallo como configurar un volumen distribuido, deberemos abrir la consola de Administración de discos (diskmgmt.msc) y en Acción -> Todas las tareas.. -> Nuevo volumen, tras esto nos aparecerá un dialogo donde nos pedirá que elijamos el tipo de volumen que deseamos, en este caso distribuido.





Ahora debemos elegir que discos agregar y cuanto espacio queremos extender el volumen en cada disco.



El siguiente paso es simplemente elegir si queremos montar el volumen como una carpeta, bien asignarle letra o no.



Tenemos que elegir si formatear o no el volumen, y si lo hacemos asignarla etiqueta además de elegir tipo de formato y el tamaño del cluster (unidad de asignación) de disco.



Tras estos simples pasos ya tenemos nuestro volumen extendido.

| Enlace  

IPsec comprende una serie de estándares con el objetivo de autentificar y/o encriptar todos los paquetes a nivel capa de red (layer 3) lo que lo hace transparente a las aplicaciones de forma que no deben ser modificadas para hacer uso de IPsec, en principio fue diseñado de cara a Ipv6 pero se ha adaptado para v4. Se usan una serie de protocolos con dos objetivos, asegurar el flujo de datos y el intercambio de claves. Para lo primero se usan dos protocolos: Encapsulating Security Payload (ESP) que provee autentificación, confidencialidad de los datos e integridad del mensaje y Authentication Header (AH) que solo provee autentificación e integridad del mensaje. Mientras que para el intercambio seguro de claves solo hay un protocolo definido que es IKE (Internet Key Exchange) que en Windows se puede implementar mediante Kerberos v5 (por defecto), certificados o bien por una clave previamente compartida (PSK / pre-shared key) que se trata simplemente de una palabra o frase en texto que usa a modo de contraseña. AH y ESP pueden ser usados conjuntamente o por separado, pero ambos pueden usar dos modos de operaciones distintos:

Modo transporte (transport mode): provee seguridad punto a punto y es el tipo de encriptación que se usa en VPNs tipo L2TP con IPSec y en un entorno donde los equipos estén configurados por ipsec en el que se realicen conexiones IPSec donde se negocia de equipo a equipo o bien de equipo a gateway.

Modo túnel (tunnel mode): normalmente este termino provoca confusión y se tienda a relacionar directamente a los túneles L2PT/IPSec que en realidad no usan este modo sino el de transporte, este modo es usado entre gateways ipsec o por Isa Server cuando funciona en modo túnel de IPSec.

En Windows IPsec esta soportado en 2000, XP y Server 2003, en el caso de que la implementación que hagamos sea una VPN tipo L2TP/IPsec hay un cliente para sistemas operativos anteriores a Windows 2000. Tanto en las políticas de seguridad local (secpol.msc) como en las directivas de grupo (GPO) existen unas políticas predefinidas de IPSec:


Servidor Seguro (requerir seguridad) - Secure Server (require security): solo acepta comunicaciones sobre IPSec.

Servidor (solicitar seguridad) - Server (request security): si es posible utiliza IPSec en las comunicaciones.

Cliente (sólo responder)- Client (respond only): política pensada para los clientes de manera que usen IPSec si el otro



Si queremos crear una nueva directiva simplemente tenemos que ir a Acción -> Crear directiva de seguridad IP.. y nos aparecerá un asistente que nos guiara en los distintos pasos, lo primero que nos solicitara es el nombre y una breve descripción. Tras esto nos preguntara como queremos que la política responda a las peticiones de comunicación segura (ipsec) en algo que hace llamar activar la regla de respuesta predeterminada y el tipo de autentificación que se usara.





Básicamente una vez creada nuestra directiva personalizada podemos agregar distintas reglas que pueden utilizar distintos métodos de autentificación, a que tipo de trafico aplicar (por defecto tenemos ICMP e IP como elecciones pero se pueden agregar mas), responder o encaminar solo a determinadas redes y realizar distintas acciones como requerir que es forzar a que la comunicación segura o no realizarla si no se puede asegurar, solicitar (request) donde se pide si es posible realizar la comunicación por ipsec o bien permitir (permit) donde se permite realizar comunicación sin ningún tipo de seguridad.

| Enlace  

Nunca he sido excesivamente fanático de los aviones, y menos de los de combate, pero siempre me han llamado la atención. He encontrado unas interesantes fotos via Digg de los supuestamente indetectables por radares F-117 Nighthawk y B-2 Spirit. Bastante curiosas ya que es raro encontrar fotos tan cerca y con tanto detalle de este tipo de aviones, tambien hay un juego de fotos de un show aereo en la base aérea de Edwards donde se pueden ver toda clase de aviones, nada que ver con nuestros tristes y desfasados desfiles anuales donde lo mas llamativo suele ser la cabra de la legión.

| Enlace  

Si en Windows 2000 teníamos el modo mixto y nativo que nos permitían respectivamente tener compatibilidad con PDC/BDC's de NT4 o bien disponer de todas las nuevas características de Windows 2000. En Windows Server 2003 ocurre algo similar ya que aparte de estos dos modos disponemos de otros dos mas que nos permiten distintos grados de compatibilidad con DC's y PDC/BDC's de 2000 y NT4, además también existen tres niveles funcionales distintos a nivel de bosque (forest). Los niveles de funcionalidad en entornos 2003 son los siguientes:

Windows 2000 mixto (mixed): en este modo podemos compatibilizar el uso de controladores de dominio de Windows 2000/2003 y PDC / BDC's de NT. La única novedad de 2003 que disfrutaremos en este nivel es el anidamiento de grupos de distribución y la posibilidad de crear grupos universales de distribución. Este es el nivel que se adopta por defecto cuando configuramos el Directorio Activo en Windows Server 2003.

Windows 2000 nativo (native): es posible la configuración de domain controllers de Windows 2000 y 2003 en este modo. También disponemos de mas características de 2003 en este modo como el atributo, de usuario, histórico de SID (SID History) que nos puede ser realmente útil cuando realicemos migraciones tanto desde dominio NT como desde Exchange 5.5 ya que nos permite mantener el acceso en el dominio de origen lo que lo hace muy útil cuando mantenemos dos estructuras en paralelo. Además se incluyen en este nivel los grupos de seguridad universales y la posibilidad de anidarlos, la capacidad de convertir grupos de seguridad a distribución y viceversa.

Windows Server 2003 provisional (interim): este modo esta pensando en un escenario de migración de NT a 2003 y solo nos permite tener BDC's de NT junto a los DC de Windows 2003, dispone de las mismas características funcionales que en modo 2000 nativo.

Windows Server 2003: solo podemos tener controladores de dominio Windows Server 2003, nos permite tener todas las características nuevas de 2003 incluidas las de los modos anteriores y otras que solo están disponibles en este modo como la posibilidad de fijar una contraseña para los objetos InetOrgPerson, renombrar un controlador de dominio, la delegación parcial de permisos de administración y otras..

Para cambiar el nivel de un dominio debemos de ir a la consola de Dominio y confianzas de Active Directory, seleccionar el dominio a modificar, ir a Todas las tareas y allí escoger la opción Elevar el nivel funcional de dominio... tras lo que nos aparece un pequeño cuadro de dialogo con el nivel al que deseamos cambiar.





Hay que tener en cuenta que una vez se eleva el nivel de un dominio ya no es posible dar marcha atrás y volver a un nivel inferior, por lo que debemos asegurarnos que ya no será necesario añadir de nuevo un controlador de dominio de los sistemas operativos con los que vamos a perder compatibilidad ya que se trata de una operación irreversible.

| Enlace