jump to navigation

Service Start Operations agosto 6, 2009

Posted by admin in WServer 2003, WServer 2008.
comments closed

Service Control Manager (SCM) starts services and driver services. It also reports when services fail to start or hang while starting.

Event Details

Product: Windows Operating System
ID: 7038
Source: Service Control Manager
Version: 6.0
Symbolic Name: EVENT_FIRST_LOGON_FAILED_II
Message: The %1 service was unable to log on as %2 with the currently configured password due to the following error:
%3

To ensure that the service is configured properly, use the Services snap-in in Microsoft Management Console (MMC).

Resolve

Check the settings of the service account and then start the service

If there were changes in the account under which the service runs (for example, the account is different than the default account or password has expired), the service may be unable to start.

To resolve this issue, first check that the service account is valid and then start the service.

To perform these procedures, you must have membership in Administrators, or you must have been delegated the appropriate authority.

Check the settings of the service account

To check the settings of the service account:

  1. Open the Services snap-in by clicking the Start button, Control Panel, and Administrative Tools, then double-clicking Services.

Note: For Windows Vista, use the Classic View display option in Control Panel to see the Administration Tools.

  1. In the details pane of the Services snap-in, right-click the name of the service you want to start and select Properties.
  2. Click the Log On tab and note the account listed under Log On As.
  3. Restore the default settings, if necessary. For a list of the default settings for system services, see http://go.microsoft.com/fwlink/?LinkId=105223. For non-system settings, see the documentation for that product. 

Start the service

To start a service:

  1. Open the Services snap-in by clicking the Start button, Control Panel‚ and Administrative Tools, then double-clicking Services.

Note: For Windows Vista, use the Classic View display option in Control Panel to see the Administration Tools.

  1. In the details pane of the Services snap-in, right-click the name of the service you want to start and select Start.

Verify

To perform this procedure, you must have membership in Administrators, or you must have been delegated the appropriate authority.

To verify that a service has started:

  1. Open the Services snap-in by clicking the Start button, Control Panel,  and Administrative Tools, then double-clicking Services.

Note: For Windows Vista, use the Classic View display option in Control Panel to see the Administration Tools.

  1. In the details pane of the Services snap-in, locate the name of the service and verify that the Status column shows a status of Started.
Anuncios

Configuración de un servidor VPN de acceso remoto junio 30, 2009

Posted by admin in WServer 2008.
comments closed

En este tema se explican los pasos básicos necesarios para configurar un servidor de red privada virtual (VPN) de acceso remoto mediante el Administrador de servidores, el Asistente para agregar funciones y el Asistente para la instalación del servidor de enrutamiento y acceso remoto. Cuando haya terminado de configurar un servidor VPN de acceso remoto básico, podrá realizar tareas de configuración adicionales en función del modo en que desee usar este servidor.

Antes de comenzar

En la tabla siguiente se incluye la información necesaria para configurar un servidor VPN de acceso remoto.

 

Antes de agregar la función de servidor VPN de acceso remoto Comentarios
Determine la interfaz de red que desee conectar a Internet y la que conectará a la red privada. Durante la configuración se le solicitará que elija la interfaz de red que desea conectar a Internet. Si indica la interfaz incorrecta, el servidor VPN de acceso remoto no funcionará adecuadamente.
Determine si los clientes remotos recibirán direcciones IP de un servidor de Protocolo de configuración dinámica de host (DHCP) de la red privada o bien del servidor VPN de acceso remoto que está configurando. Si dispone de un servidor DHCP en la red privada, el servidor VPN de acceso remoto podrá conceder 10 direcciones a la vez desde el servidor DHCP y asignarlas a los clientes remotos. Si no cuenta con un servidor DHCP en la red privada, el servidor VPN de acceso remoto puede generar y asignar direcciones IP a los clientes remotos de forma automática. Si desea que el servidor VPN de acceso remoto asigne direcciones IP dentro de un intervalo que especifique, deberá determinar dicho intervalo.
Determine si desea que las solicitudes de conexión de los clientes VPN se autentiquen mediante un servidor de Servicio de autenticación remota telefónica de usuario (RADIUS) o bien mediante el servidor VPN de acceso remoto que está configurando. La adición de un servidor RADIUS resulta útil cuando se desea instalar varios servidores VPN de acceso remoto, puntos de acceso inalámbrico u otros clientes RADIUS en la red privada. Para obtener más información, consulte la Ayuda del Servidor de directivas de redes.
Determine si los clientes VPN pueden enviar mensajes DHCP al servidor DHCP de la red privada. Si un servidor DHCP se encuentra en la misma subred que el servidor VPN de acceso remoto, los mensajes DHCP de los clientes VPN podrán alcanzar el servidor DHCP una vez establecida la conexión VPN. Si, por el contrario, el servidor DHCP está situado en una subred distinta de la del servidor VPN de acceso remoto, asegúrese de que el enrutador entre ambas subredes puede retransmitir mensajes DHCP entre los clientes y el servidor. Si el enrutador ejecuta Windows Server® 2008, podrá configurar el servicio Agente de retransmisión DHCP en el enrutador de modo que reenvíe mensajes DHCP entre subredes.
Compruebe que todos los usuarios disponen de cuentas de usuario configuradas para el acceso telefónico. Para que los usuarios puedan conectarse a la red, deben tener cuentas de usuario en el servidor VPN de acceso remoto o en Servicios de dominio de Active Directory®. Todas las cuentas de usuario situadas en servidores independientes o controladores de dominio contienen propiedades que determinan si el usuario se puede conectar. Para definir estas propiedades en un servidor independiente, haga clic con el botón secundario en la cuenta de usuario en Usuarios y grupos locales y, a continuación, haga clic en Propiedades. Para definirlas en un controlador de dominio, haga clic con el botón secundario en la cuenta de usuario en la consola Usuarios y equipos de Active Directory y, a continuación, haga clic en Propiedades.

Configurar un servidor VPN de acceso remoto

Para configurar un servidor VPN de acceso remoto, inicie el Asistente para agregar funciones mediante una de las acciones siguientes:

  • En la ventana Tareas de configuración inicial, en Personalizar este servidor, haga clic en Agregar funciones. Tareas de configuración inicial se inicia automáticamente de forma predeterminada al iniciar la sesión.
  • Abra el Administrador de servidores. Para ello haga clic en Inicio, Herramientas administrativas y, a continuación, haga clic en Administrador de servidores. A continuación, en Resumen de funciones, haga clic en Agregar funciones.

En el Asistente para agregar funciones, realice las siguientes acciones:

  1. Haga clic en Siguiente o en Seleccionar funciones de servidor.
  2. En la lista de funciones de servidor, seleccione Servicios de acceso y directivas de redes. Haga clic en Siguiente dos veces.
  3. En la lista de servicios de función, seleccione Servicios de enrutamiento y acceso remoto para seleccionar todos los servicios de función de Servicios de enrutamiento y acceso remoto. Además, puede seleccionar funciones de servidor individuales.
  4. Continúe con los pasos del Asistente para agregar funciones para completar la instalación.

Completar tareas adicionales

Después de completar los pasos del Asistente para agregar funciones y la configuración de Enrutamiento y acceso remoto, el servidor ya está listo para usarlo como un servidor VPN de acceso remoto.

En la siguiente tabla se enumeran las tareas adicionales que quizás desee llevar a cabo en el servidor VPN de acceso remoto.

 

Tarea Objetivo de la tarea
Configurar filtros de paquetes estáticos. Agregar filtros de paquetes estáticos para mayor protección de la red.
Configurar servicios y puertos. Elegir los servicios de la red privada que desea poner a disposición de los usuarios de acceso remoto.
Ajustar los niveles de registro de los protocolos de enrutamiento. Configurar el nivel de detalle del suceso que desea registrar. Puede decidir la información que desea guardar en los archivos de registro.
Configurar el número de puertos VPN. Agregar o quitar puertos VPN.
Crear un perfil de Connection Manager para los usuarios. Administrar la capacidad de conexión de cliente de los usuarios y simplificar la solución de problemas de las conexiones de cliente.
Agregar Servicios de certificados de Active Directory (AD CS). Configurar y administrar una entidad de certificación (CA) en un servidor para su uso en una infraestructura de clave pública (PKI).
Aumentar la seguridad de acceso remoto. Proteger a los usuarios remotos y la red privada al exigir el uso de métodos de autenticación seguros, niveles superiores de cifrado de datos, etc.
Aumentar la seguridad VPN. Proteger a los usuarios remotos y la red privada al exigir el uso de enrutamientos seguros y protocolos de túnel, la configuración de bloqueo de cuentas, etc.

Para obtener más información acerca de estas tareas, consulte http://go.microsoft.com/fwlink/?LinkId=89010 (puede estar en inglés).

Quitar la función de servidor VPN de acceso remoto

Si necesita volver a configurar el servidor para una función diferente, podrá quitar las funciones de servidor existentes. Al quitar la función de servidor VPN de acceso remoto, el servidor no proporcionará más acceso VPN o telefónico a los clientes de acceso remoto. Los usuarios remotos no se podrán conectar a la red privada, y puede que los equipos de esta red no se puedan conectar a Internet.

Para quitar la función de servidor VPN de acceso remoto, reinicie el Asistente para agregar funciones mediante las siguientes acciones:

  • Abra el Administrador de servidores. Para ello haga clic en Inicio, Herramientas administrativas y, a continuación, haga clic en Administrador de servidores. A continuación, en Resumen de funciones, haga clic en Quitar funciones.

Después, en el Asistente para agregar funciones, quite la función de servidor VPN de acceso remoto:

  • Vaya a la página Quitar funciones de servidor, haga clic en Servicios de acceso y directivas de redes, Siguiente, Quitar y, a continuación, en Cerrar. En el cuadro de diálogo de confirmación de reinicio del servidor, haga clic en para reiniciar el equipo.

Fuente:

Descripción de Eventos de Seguridad en Windows Vista y Windows Server 2008 junio 15, 2009

Posted by admin in WServer 2008.
comments closed

Amigos primero que todo gracias por visitar mi blog.

En esta ocasión quiero compartir con ustedes este Post que habla sobre los errores de Seguridad tanto en Windows Vista como en Windows Server 2008, el artículo es directamente de Microsoft espero que de algo les pueda ser útil en algún momento.

Aquí les dejo la liga directa para cualquier cosa o que no puedan ingresar.http://support.microsoft.com/kb/947226/en-us

Solicitud e Instalación de un Certificado SSL IIS7 mayo 10, 2009

Posted by admin in WServer 2008.
comments closed

Amigos comparto con ustedes esté manual guía del como solicitar e instalar un certificado SSL en un sitio web sobre ISS 7. Windows Server 2008.

Ver Manual Clíc Aquí.

 

Windows Server 2008 – Configuración del Rol Terminal Server febrero 16, 2009

Posted by admin in WServer 2008.
comments closed

Estimados visitantes el día de hoy comparto con ustedes esta guía que nos permitirá instalar y configurar terminal services, a continuación se describen los pasos a realizar:

  1. Ejecutar el Server Manager.
  2. Seleccionar Add Roles.

3. Seleccionar Next.

4. En el listado de roles, seleccionar Terminal Services, luego, seleccionar Next.

5. Seleccionar Next nuevamente.

6. Seleccionar los roles que se requieran, luego, seleccionar Next.

Nota: Algunos roles, como TS Gateway, requieren configuraciones adicionales, las cuales se mostrarán al seleccionar el rol en cuestión.

7. Seleccionar Next.

8. Seleccionar el nivel de autenticación de red requerido, luego, seleccionar Next.

  1. Require Network Authentication: Solo para equipos que ejecuten mismas versiones de sistema operativo y del cliente RDP que soporten Network Level Authentication podrán conectarse al servidor.
  2. Do not requiere Network Level Authentication: Para equipos que ejecuten cualquier versión del cliente RDP.

9. Seleccionar el tipo de licenciamiento a utilizar (Per Device, Per User). Luego, seleccionar Next.

10. Seleccionar los usuarios o grupos que tendrán acceso al servidor. Luego, seleccionar Next.

11. Si se seleccionó el rol License Server:

  1. 11.1. Seleccionar el scope que se le dará al License Server (This Domain, The Forest). Luego, seleccionar Next.

12. Si se seleccionó el rol TS Gateway:

12.1. Seleccionar la opción que corresponda con respecto a la utilización de un certificado. Luego, seleccionar Next.

 12.2. Seleccionar si se desea crear las authorization policies en este momento o luego (en este caso seleccionamos Now). A continuación, seleccionar Next.

 

12.3. Seleccionar los usuarios o grupos que tendrán acceso a través de TS Gateway. Luego, seleccionar Next.

12.4. Ingresar el nombre para el TS CAP, y seleccionar un método de autenticación. Luego, seleccionar Next.

12.5. Ingresar el nombre para el TS RAP, y configurar en caso de que sea necesario, las restricciones adicionales como pertenencia a determinado grupo, o no. Luego, seleccionar Next.

13. Seleccionar Next.

14. Seleccionar los roles de servicio a instalar para Network Policy and Access Services.

15. Asumiendo que seleccionamos todos los roles listados:

15.1. En este caso vamos a seleccionar Install Certificate Server as the Network Policy Server for this HRA. Luego, seleccionar Next.

 

15.2. Seleccionar si se requerirá que los usuarios deban estar previamente autenticados para obtener un healt certificate. Luego, seleccionar Next.

 

15.3. Seleccionar el certificado para encriptación SSL. Luego, seleccionar Next.

 

15.4 Seleccionar Next.

15.5 Seleccionar los roles a instalar para Active Directory Certificate Services (ADCS). Luego, seleccionar Next.

 

15.6 Seleccionar el método a utilizar por Certification Authorities. Luego, seleccionar Next.

 

15.7 Seleccionar el tipo de Certification Authority. Luego, seleccionar Next.

15.8 Seleccionar si se creará una nueva Private Key, o si por lo contrario, se utilizará una existente. En este caso vamos a seleccionar Create a new private key. Luego, seleccionar Next.

 15.8.1 Seleccionar el Cryptographic Services Provider (CSP), la longitud a utilizar, y el algoritmo hash. Luego, seleccionar Next.

15.8.2 Ingresar el nombre a asignar para el CA. Luego, seleccionar Next.

 15.8.3 Ingresar el período de validez del certificado. Luego, seleccionar Next.

 15.8.4 Modificar, en caso de ser necesario, la ubicación de la Certificate Database y la Certificate Database Log. Luego, seleccionar Next.

16. Seleccionar Next.

16.1. Seleccionar los roles de servicio a instalar para Web Server (en este caso dejaremos los componentes por defecto). Luego, seleccionar Next.

17. Verificar el sumario pre-instalación. Luego, seleccionar Install para dar comienzo a la instalación y configuración en base a las opciones y componentes seleccionados.

Nota: Durante el proceso, el equipo se reiniciará.

18. Una vez finalizado el proceso, seleccionar Close, y luego Yes, para reiniciar el equipo.

Con esto concluimos el procedimiento.

Fuente

IIS 7 – Tutorial febrero 8, 2009

Posted by admin in WServer 2008.
comments closed

Amigos, comparto con ustedes este video muy completo sobre la configuración del IIS 7, ojala que les pueda servir de algo.

Migrar el Directorio Activo de Microsoft Windows 2003 a 2008 febrero 5, 2009

Posted by admin in WServer 2003, WServer 2008.
comments closed

Gracias al Blog de elarquitecto.wordpress.com, por está guía que es de gran utilidad para migrar AD 2003 a 2008. Comparto el Post.

En este documento se mostrará cómo migrar correctamente un entorno Microsoft Windows 2000 o Microsoft Windows 2003 a Microsoft Windows 2008. Siendo la migración del Directorio Activo 2000 o 2003 a 2008. Se migrará el Directorio Activo a esta nueva versión a nuevos controladores de dominio. Los controladores de dominio viejo desaparecerán. Así que se necesitará un servidor nuevo para poder instalarle Windows 2008, hacerle controlador de dominio, pasarle los roles y posteriormente despromocionar los controladores de dominio viejos. Finalmente se elevará el nivel funcional del dominio y del bosque a ‘Windows 2008′. Los pasos correctos a seguir serán:

Comprobar estado de los controladores de dominio – AKI, (recomendable pero no obligatorio)
Preparar el Directorio Activo – AKI,
Unirse a un Directorio Activo Existente – AKI,

Migrar los roles – AKI,

Despromoción de controladores de dominio antiguos – AKI,

Elevar niveles funcionales – AKI

 

Ojo, antes de comenzar tendremos que tener en cuenta que debemos tener copias de seguridad, tanto de los controladores de dominio como del Directorio Activo por si algo sale mal. Deberemos tener en cuenta además todos los requisitos para actualizar un Directorio Activo a 2008:

– Dominio actual no tiene que ser ‘Modo Mixto’, si no ‘Modo Nativo’ o ‘Windows 2003 Server’
– Comprobar HCL (Hardware Compatibility List) de los nuevos controladores de dominio, para que sean soportados por MS Windows 2008 – AKI.
– Los controladores de dominio basados en Windows 2000 tienen que tener SP4 instalado. En el caso de Windows 2003 tener el SP1.

Comprobar estado de los controladores de dominio,

Bien, lo primero que hay que realizar ante una migración de Directorio Activo es comprobar que el AD nos está funcionando correctamente. Que debemos tener bien configurado el AD, los Sitios y Servicios del Directorio Activo, comprobar que las réplicas están funcionando, esto es que las GPO se copian de un sitio a otro, de un controlador de dominio a otro, los Scripts se replican en la Sysvol… no tenemos suciedad en el Directorio Activo con objetos obsoletos como controladores de dominio viejos inexisténtes… Para que la migración sea correcta, debemos comprobar todo esto, para ello Microsoft nos proporciona ciertas herramientas que nos ayudarán. A parte del siempre útil Visor de Sucesos que no tenga errores.

Migrar AD 2003 a 2008

Por ejemplo, tenemos DCDIAG. Está utilidad nos servirá para hacer un diagnostico de los controladores de dominio. Esta herramienta de la línea de comandos analiza el estado de uno o todos los controladores de dominio en un bosque e informa de cualquier problema para facilitar la resolución del mismo. Para leer más, visitar la web de Microsoft – AKI. En el ejemplo de la imagen ejecutare el comando en un controlador de dominio, en mi caso en el principal y redireccionaré la salida de texto a un fichero de texto TXT:
dcdiag.exe > FICHERO_DE_LOG

 

Migrar AD 2003 a 2008

Al abrir el fichero de LOG generado tendremos un texto como el siguiente:


 

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: HXXXXXXXI\HXXXXXXX1
Starting test: Connectivity

……………………. HXXXXXXX1 passed test Connectivity

 

Doing primary tests
Testing server: HXXXXXXXI\HXXXXXXX1
Starting test: Replications

[Replications Check,HXXXXXXX1] A recent replication attempt failed: 

From AXXXXX1 to HXXXXXXX1

Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es

The replication generated an error (1722):

El servidor RPC no está disponible.

The failure occurred at 2008-07-15 07:38.25.

The last success occurred at 2008-07-01 18:51.20.

91 failures have occurred since the last success.

[AXXXX01] DsBind() failed with error 1722,

El servidor RPC no está disponible..

The source remains down. Please check the machine.

[Replications Check,HXXXXXXX1] A recent replication attempt failed:

From MXXXX01 to HXXXXXXX1

Naming Context: CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es

The replication generated an error (1722):

El servidor RPC no está disponible.

The failure occurred at 2008-07-15 07:38.48.

The last success occurred at 2008-07-01 18:51.20.


Ojo, me da errores, habría que verlo, pero en mi caso los errores son debido a que estoy realizando un piloto y tengo este controlador de dominio junto a otro aislado, en el caso del dominio que nos concierne tiene 40 controladores de dominio y no los tengo en mi red ya que es para hacer este documento. Así que no problem. 😉

Migrar AD 2003 a 2008

Más, tenemos REPADMIN, con este comando veremos el estado de las réplicas de nuestro Directorio Activo. Lleva a cabo las tareas relacionadas con la replicación, entre ellas, administrar y modificar la topología de replicación, forzar los sucesos de replicación, y mostrar los metadatos de replicación y los vectores actualizados. Para leer más, visitar la web de Microsoft – AKI.

Migrar AD 2003 a 2008

El caso es comprobar que las réplicas entre sitios y entre controladores de dominio es correcta, para ello ejecutamos REPADMIN en el siguiente formato:

repadmin.exe /showreps > FICHERO_DE_LOG

Migrar AD 2003 a 2008

Este sería un ejemplo de mi Directorio Activo, que sé que está totalmente corrompido por lo que digo anteriormente, que me faltan como unos 38 controladores de dominio en mi red:


HXXXXXXXI\HXXXXXXX1

 

DSA Options : IS_GC
objectGuid : c35f9d05-c11b-4f10-bfc0-022218fe3c31

invocationID: 65de4042-efe6-4619-b3c5-11b5fbcb264f

 

==== INBOUND NEIGHBORS ======================================

CN=Schema,CN=Configuration,DC=XXXXXXX,DC=es
UXXXXXXI\AXXXXX1 via RPC
objectGuid: c14aa802-564c-4667-aa8a-d610aa5c4cd0

Last attempt @ 2008-07-15 07:41.05 failed, result 1722: 

El servidor RPC no está disponible.

Last success @ 2008-07-01 18:51.21.

91 consecutive failure(s).

CXXXXXN\AXXXXX1 via RPC

objectGuid: d14300de-a51a-4e8d-a770-dc44b7f029ab

Last attempt @ 2008-07-15 07:41.51 failed, result 1722:

El servidor RPC no está disponible.

Last success @ 2008-07-01 18:51.21.


Migrar AD 2003 a 2008

Otra, tenemos GPOTOOL. Esta herramienta o utilidad sirve para comprobar el estado de cada directiva que tengamos en nuestro Directorio Activo, podemos tener fallos en la replicación y tener la misma GPO en diferentes sitios con diferentes configuraciones. Esta herramienta nos comprobará el estado de ellas.

Migrar AD 2003 a 2008

El comando en cuestión se ejecuta de la siguiente manera:

gpotool.exe > FICHERO_DE_LOG

Migrar AD 2003 a 2008

Este sería un ejemplo de mi fichero LOG del GPOTool: Validating DCs… 


Available DCs:

hXXXXXXX1.XXXXXXX.es
Searching for policies…

Found 167 policies============================================================

============================================================

Policy {02506CA9-82F2-4B58-8E6D-1B0B49F81801}

Policy OK

============================================================

Policy {03A44330-75E1-4A8C-8C08-B574E0FCF63C}

Policy OK

============================================================

Policy {05000318-0434-43CE-9C6A-60A07B1EEDE8}

Policy OK

============================================================

Policy {05B4D52D-CA72-4BC4-9DC2-99D184E8F963}

Policy OK

============================================================

Policy {07F58F8E-356A-4CD5-AE37-3461EE2849D4}

Policy OK

============================================================

Policy {0959942F-21A2-4FF0-B84C-1A3748E24815}

Policy OK

============================================================

Policy {097AB751-C12A-4A42-B8BE-26B54190FB12}

Policy OK

============================================================

Policy {09BCAA04-49D8-4434-87ED-820DC2753E1F}

Policy OK

============================================================

 

Policy {FF00FDCE-229C-4EFA-B442-4CADE83A49EA}
Policy OK 

 

Policies OK 


Preparar el Directorio Activo,

Tras comprobar que tenemos correcto el Directorio Activo, debemos preparar nuestro Directorio Activo para que soporte controladores de dominio con Microsoft Windows 2008 de sistema operativo. Para ello debemos ejecutar los siguientes comandos y comprobar que finalizan correctamente sin errores.

Migrar AD 2003 a 2008

Primero de todo, en el servidor que tiene el rol de Maestro de Esquema y con un usuario con permisos de Administrador de Empresa, Administrador de Esquema y Administrador de dominio ejecutaremos:

adprep /forestprep

Migrar AD 2003 a 2008

Para continuar pulsamos “C”, pero tendremos en cuenta que todos los controladores de dominio sean como mínimo Windows 2000 SP4,

Migrar AD 2003 a 2008

… esperamos unos minutos mientras nos actualiza el bosque del Directorio activo (en el ejemplo superior me actualizará de la versión 13 que es un bosque 2000, a la versión 44 que es un bosque 2008)…

Migrar AD 2003 a 2008

Ok, comprobamos que finaliza correctamente.

Migrar AD 2003 a 2008

Ahora, debemos preparar si nos interesa el Directorio Activo para poder usar controladores de dominio de lectura, este comando será opcional. Se ejecutará en el servidor con el rol ‘Domain Naming Master’ o RID con nivel de permisos de Administrador de dominio. El comando será:

adprep /rodcprep

Migrar AD 2003 a 2008

Esperamos a que se complete el comando y comprobamos que todo ha sido correctamente realizado.

Migrar AD 2003 a 2008

Ahora preparamos el dominio y añadiremos el parámetro [gpprep] para preparar las directivas o GPO. Este comando se realizará en el Maestro de Infraestructuras con permisos de Administrador de dominio:

adprep /domainprep /gpprep

Migrar AD 2003 a 2008

Esperamos a que se realice completamente el comando y que los resultados sean correctos.

Tendremos que tener en cuenta que si nuestro Directorio Activo es grande y tenemos diferentes sitios con diferentes tiempos de réplica, daremos tiempo a que se replique el Directorio Activo entre comando y comando. Aproximandamente 15 minutos entre cada comando.

Unirse a un Directorio Activo Existente,

Una vez ya tenemos el Directorio Activo actualizado a la versión Windows 2008 ya podremos crear controladores de dominio con esta versión de Windows. Así que ahora instalamos Windows 2008 en algún servidor siguiendo este procedimiento – AKI. Y le promocionaremos a controlador de dominio en nuestro dominio actual.

Migrar AD 2003 a 2008

En el servidor 2008 recien instalado, le agregaremos la función de Servicios de dominio de Active Directory mediante el comando ‘dcpromo’ en la opción “Ejecutar” del menú Inicio. Y aceptamos.

Migrar AD 2003 a 2008

… esperamos mientras prepara el asistente de instalación de los servicios de dominio de Directorio Activo…

Migrar AD 2003 a 2008

Comienza el asistente de instalación para crear o unirnos a un dominio, “Siguiente”,

Migrar AD 2003 a 2008

Leemos atentamente y si no tenemos clientes de Windows NT 4.0 o no-Microsoft SMB, continuamos, “Siguiente”,

Migrar AD 2003 a 2008

Debemos seleccionar la opción “Bosque existente” y “Agregar un controlador de dominio a un dominio existente”, “Siguiente”,

Migrar AD 2003 a 2008

Indicamos el nombre del dominio al que nos queremos unir como controlador de dominio, indicamos unas credenciales con permisos de unirnos al dominio y “Siguiente”,

Migrar AD 2003 a 2008

Seleccionamos el dominio al que nos uniremos, “Siguiente”,

Migrar AD 2003 a 2008

Nos muestra los sitios que tiene configurados el dominio actual, debemos indicar a que sitio pertenece este controlador de dominio & “Siguiente”,

Migrar AD 2003 a 2008

Indicamos como opción adicional que a este controlador le haremos catálogo global, ya que si vamos a quitar controladores de dominio viejos, necesitamos tener servidores con el rol de CG. Ya que es necesario que los usuarios tengan un servidor que les valide los inicios de sesion. “Siguiente”,

Migrar AD 2003 a 2008

Debemos seleccionar donde guardaremos la BD del directorio activo, así como la base de datos también los archivos de registro de ella y la ubicación de la carpeta Sysvol, sus paths predeterminados son: C:\Windows\NTDS y C:\Windows\SYSVOL. Si los cambiamos será para aumentar rendimiento en este controlador de dominio, si tiene mucha carga, “Siguiente”,

Migrar AD 2003 a 2008

Bien, ahora debemos indicar la contraseña del usuario Administrador si necesitamos entrar en el equipo en modo restauración (pulsando F8 al reiniciar), “Siguiente”,

Migrar AD 2003 a 2008

Comprobamos el resumen de la preparación para promocionar ya a este servidor, “Siguiente”,

Migrar AD 2003 a 2008

… esperamos mientras replica todos los objetos a este servidor y configura en el Directorio Activo a este servidor como un controlador de dominio adicional…

Migrar AD 2003 a 2008

Bien, una vez instalados los servicios del AD pulsamos en “Finalizar”,

Migrar AD 2003 a 2008

Debemos reiniciar este servidor, pulsamos en “Reiniciar ahora”,

Migrar los roles,

Una vez que ya tenemos el primer controlador de dominio con Windows 2008, lo que tenemos que hacer es pasarle a él todos los roles del Directorio Activo y así quitar funciones a los servidores antiguos y poder reemplazarlos. Se puede realizar de dos formas, mediate GUI, o mediante comandos. Y hay una tercera forma que sería la agresiva por si no nos funciona correctamente el Directorio Activo y debemos forzar el traslado de las funciones – AKI. A continuación lo haremos mediante GUI:

Migrar AD 2003 a 2008

Para modificar los roles, nos vamos a la consola de “Usuarios y Equipos de Active Directory” del servidor al que queremos migrar los roles, si es posible, si no, nos conectamos desde la consola al servidor deseado de la siguiente manera: Sobre el dominio, con botón derecho “Cambiar el controlador de dominio… “

Migrar AD 2003 a 2008

Seleccionamos el controlador de dominio al que queremos pasarle los roles y aceptamos.

Migrar AD 2003 a 2008

Bien, ahora comencemos a migrar los roles, para ello, sobre el dominio con botón derecho > “Maestro de operaciones…”

Migrar AD 2003 a 2008

Debemos cambiar las tres opciones, primero, desde la pestaña de RID, nos muestra cual es el servidor RID actual y a cual lo pasaríamos si pulsamos sobre “Cambiar…”, le damos.

Migrar AD 2003 a 2008

Confirmamos, “Sí”

Migrar AD 2003 a 2008

“Aceptamos”.

Migrar AD 2003 a 2008

Comprobamos que el rol se ha migrado correctamente y ahora cambiamos de pestaña,

Migrar AD 2003 a 2008

Ahora con la siguiente pestaña, la de “Controlador de dominio principal”, pulsamos sobre “Cambiar…”

Migrar AD 2003 a 2008

“Sí”,

Migrar AD 2003 a 2008

“Aceptar”,

Migrar AD 2003 a 2008

Ya hemos migrado el controlador de dominio principal a nuestro DC Windows 2008,

Migrar AD 2003 a 2008

Y por último el servidor de “Infraestructuras”, pulsamos sobre “Cambiar…”,

Migrar AD 2003 a 2008

Eso pasa por que el controlador de dominio actual también es Catalogo Global, es una configuración no recomendable, en principio no pasa nada en organizaciones pequeñas, pero no recomendable mantenerlo así, así que posteriormente cambiaremos este rol o haremos a otro DC GC, confirmamos, “Sí”.

Migrar AD 2003 a 2008

Aceptamos,

Migrar AD 2003 a 2008

Y comprobamos que es cierto y el rol ya está migrado. Cerramos,

Migrar AD 2003 a 2008

Ok, otro rol, ahora el de maestro de operaciones, sobre “Dominios y confianzas de Active Directory”, tenemos que hacer lo de antes, comprobar que este rol se lo aplicaremos al servidor correcto, así que botón derecho sobre “Dominios y confianzas de Active Directory” > “Cambiar controlador de dominio de Active Directory…”

Migrar AD 2003 a 2008

Seleccionamos el controlador de dominio al que queremos pasarle el rol y aceptamos,

Migrar AD 2003 a 2008

Pulsamos con el botón derecho en “Dominios y confianzas de Active Directory” y seleccionamos “Maestro de operaciones…”,

Migrar AD 2003 a 2008

Vale, nos dice que cambiaremos de de un servidor antiguo al 2008 el “Maestro de operaciones”, le damos a “Cambiar…”,

Migrar AD 2003 a 2008

Confirmamos, “Sí”,

Migrar AD 2003 a 2008

Aceptamos,

Migrar AD 2003 a 2008

Ahora, abrimos una ventana de MSDOS en uno de los controladores de dominio antiguos, escribimos “regsvr32 schmmgmt.dll” para migrar el servidor de esquema, al dar al “Enter” nos saldrá la confirmación, la aceptamos.

Migrar AD 2003 a 2008

Lo dicho, “Aceptar”,

Migrar AD 2003 a 2008

Ahora abrimos una consola MMC (Microsoft Management Console) desde el menú Inicio en “Ejecutar” escribiendo ‘mmc’ y aceptando.

Migrar AD 2003 a 2008

Pinchamos en “Archivo” > “Agregar o quitar complemento…”

Migrar AD 2003 a 2008

Pulsamos en “Agregar”,

Migrar AD 2003 a 2008

En los complementos buscamos el “Esquema de Active Directory” y pulsamos sobre “Agregar” y luego sobre “Cerrar” y “Aceptar”,

Migrar AD 2003 a 2008

Primero me tengo que conectar al servidor donde quiero migrar este rol, como antes, para ello, botón derecho sobre “Esquema de Active Directory” y elegimos “Cambiar el controlador de dominio…”

Migrar AD 2003 a 2008

Escribimos el nombre del servidor al que queremos migrar y aceptamos.

Migrar AD 2003 a 2008

Para cambiar el servidor que aloja el esquema, pinchamos con botón derecho sobre “Esquema de Active Directory” y seleccionamos “Maestro de operaciones…”

Migrar AD 2003 a 2008

Igual que antes, nos muestra el servidor actual de “Maestro de esquema”, para migrarlo de uno a otro pulsamos sobre “Cambiar…” y aceptamos.

Migrar AD 2003 a 2008

Confirmamos que lo queremos cambiar,

Migrar AD 2003 a 2008

Aceptamos.

Migrar AD 2003 a 2008

Finalmente comprobar que uno de los servidores con Windows 2008 tiene la característica de catálogo global habilitada lo veremos desde la consola de “Sitios y Servicios de Active Directory”, sobre “Sitios y servicios del AD” > “Sites” > en cualquier domain controller, y nos vamos al servidor nuevo a “NTDS Settings” > botón derecho > “Propiedades”,

Migrar AD 2003 a 2008

Y simplemente marcarle el check de “Catálogo global” y aceptamos,

Migrar AD 2003 a 2008

Y bueno, esto no es un rol, pero es algo a tener en cuenta, ya que estamos migrando todo, debemos tener en cuenta que también migraremos el servicio DNS de un servidor a otro, sobre la zona de nuestro dominio y zona inversa debemos marcar la opción de “Permitir transferencias de zona” para que traiga la zona a nuestro nuevo controlador de dominio.

Despromoción de controladores de dominio antiguos,

Una vez que hemos migrado todos los roles del Directorio Activo ya a nuestro servidor con Windows 2008, procederemos a ir quitando los controladores de dominio obsoletos para sustituirlos si nos interesa con otros nuevos con Windows 2008, para ello, los quitaremos de forma limpia, esto es, con una despromoción.

Migrar AD 2003 a 2008

Así que en los servidores obsoletos se debe despromocionar mediante el comando ‘dcpromo.exe’ en la opción “Ejecutar” del menú Inicio.

Migrar AD 2003 a 2008

Al ejecutar el DCPROMO en un DC antiguo nos sale el asistente para instalación de Active Directory, debemos pulsar en “Next”,

Migrar AD 2003 a 2008

Tendremos en cuenta que este servidor es un Catálogo Global, así que si queremos despromocionar este tendremos en cuenta que por lo menos otro servidor de la red será Catálogo Global, si no tendremos problemas con los inicios de sesión de los usuarios, ya que sin un GC no se validan los usuarios. Aceptamos.

Migrar AD 2003 a 2008

“Siguiente”,

Migrar AD 2003 a 2008

Introducimos la contraseña que queremos que tenga el administrador local de este equipo, “Siguiente”,

Migrar AD 2003 a 2008

Comprobamos todos los pasos y pulsamos en “Siguiente” para despromocionar este controlador de dominio,

Migrar AD 2003 a 2008

… esperamos unos minutos…

Migrar AD 2003 a 2008

“Finalizar”, se quitó bien,

Migrar AD 2003 a 2008

Debemos reiniciar este servidor ahora para que los cambios surjan efecto. Pulsamos en “Reiniciar ahora”,

Elevar niveles de funcionamiento,

Una vez que ya no tengamos servidores que sean controladores de dominio con sistema operativo Windows 2000 o Windows 2003 en nuestro Directorio Activo, podremos elevar el nivel de funcionamiento tanto del bosque como del dominio, con esto conseguiremos las siguientes ventajas:

Nivel funcional del dominio

Características habilitadas

Sistemas operativos de controlador de dominio admitidos

Windows 2000 nativo

Todas las características predeterminadas de Active Directory y las características siguientes:

•        

 

Los grupos universales están habilitados para grupos de distribución y de seguridad.

Anidación de grupos.

La conversión de grupos está habilitada, lo que hace posible la conversión entre grupos de seguridad y grupos de distribución.

Historial de identificadores de seguridad (SID).

 

Windows 2000
Windows Server 2003
Windows Server 2008

 

 

 

Windows Server 2003

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional de dominio de Windows 2000 nativo y las características siguientes:

•        

 

La disponibilidad de la herramienta de administración de dominios, netdom.exe, para preparar el cambio de nombre del controlador de dominio.

Actualización de la marca de tiempo de inicio de sesión. El atributo lastLogonTimestamp se actualizará con la hora en que el usuario o equipo inició sesión por última vez. Este atributo se replica dentro del dominio.

La capacidad de establecer el atributo userPassword como la contraseña efectiva en inetOrgPerson y los objetos de usuario.

La capacidad de redirigir los contenedores Usuarios y equipos. De manera predeterminada, se proporcionan dos contenedores conocidos para albergar cuentas de equipo y usuario o grupo: es decir, cn=Computers,<raízDeDominio> y cn=Users,<raízDeDominio>. Esta característica permite definir una ubicación nueva conocida para estas cuentas.

Permite que el Administrador de autorización almacene las directivas de autorización en los Servicios de dominio de Active Directory (AD DS).

Incluye delegación restringida para que las aplicaciones puedan aprovechar la delegación segura de credenciales de usuario por medio del protocolo de autenticación Kerberos. La delegación se puede configurar para que sólo se permita en servicios de destino específicos.

Admite autenticación selectiva, que hace posible especificar los usuarios y grupos de un bosque de confianza a los que se les permite autenticarse en servidores de recursos en un bosque que confía.

 

Windows Server 2003
Windows Server 2008
 

 

 

Windows Server 2008

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional de dominio de Windows Server 2003 y las características siguientes:

•        

 

Compatibilidad con la replicación del Sistema de archivos distribuido (DFS) para SYSVOL, que proporciona una replicación más sólida y detallada del contenido de SYSVOL.

Compatibilidad de los Servicios de cifrado avanzado (AES 128 y 256) con el protocolo Kerberos.

Información acerca del último inicio de sesión interactivo, que muestra la hora del último inicio de sesión interactivo correcto de un usuario, la estación de trabajo desde la que se inició y el número de intentos de inicio de sesión erróneos desde el último inicio de sesión.

Directivas de contraseña muy específicas, que permiten indicar directivas de contraseña y directivas de bloqueo de cuentas para usuarios y grupos de seguridad global en un dominio.

Windows Server 2008

Migrar AD 2003 a 2008

Bueno, para elevar el nivel funcional del dominio, abrimos la consola “Dominios y confianzas de Active Directory” y sobre el dominio con botón derecho > “Elevar el nivel funcional de dominio…”

Migrar AD 2003 a 2008

Debemos seleccionar el nivel funcional del dominio “Windows Server 2008″ y pulsamos “Elevar”,

Migrar AD 2003 a 2008

Aceptamos, ojo! a tener en cuenta que esto será irreversible.

Migrar AD 2003 a 2008

Perfecto, aceptamos,

Migrar AD 2003 a 2008

Bueno, para elevar el nivel funcional de bosque, abrimos la consola “Dominios y confianzas de Active Directory” y sobre “Dominios y confianzas de Active Directory” con botón derecho > “Elevar el nivel funcional del bosque…”

Migrar AD 2003 a 2008

Debemos seleccionar el nivel funcional del bosque “Windows Server 2008″ y pulsamos “Elevar”,

Migrar AD 2003 a 2008

Igual que antes, aceptamos y tendremos en cuenta que será un proceso que no se podrá revertir.

Migrar AD 2003 a 2008

“Aceptar” y ya tendríamos un Directorio Activo actualizado a nivel funcional Windows 2008.

Realizar Respaldo de Nuestro AD enero 31, 2009

Posted by admin in WServer 2008.
comments closed

Como es de todos conocido que el Directorio Activo, en nuestra red es por decirlo de una manera poco apropiada “El Cerebro de Nuestra Red” sin el funcionando apropiadamente todo dejaría de trabajar; usuarios sin poder ingresar a la red, impresoras sin conexión, carpetas, sitios web fuera de linea, etc, etc.

Ante todo esto siempre es de vital importancia contar siempre con un respaldo actualizado de nuestro AD, ya que en caso de que exista un siniestro sería muy fácil restaurarlo, y caso contrario tendríamos que volver a reconfigurar y posiblemente cargar todos los usuarios, cuando no pasa de 100 posiblemente no sea una tarea tan difícil, pero como en mi caso que pasa los 1200, no es lo mismo.

Ante todo esto y la premura del tiempo comparto con ustedes este articulo que habla sobre como realizar un respaldo, espero que les sirva.

No queda de más explicar bien, cómo hacer un backup de nuestro Directorio Activo por si en algún momento dado necesitamos restaurar objetos de él, sean usuarios, unidades organizativas, impresoras… En este documento se explica cómo instalar el software de backup o de copias de seguridad que trae Microsoft, ya que no se ha continuado con NTBackup, si no con una nueva utilidad llamada “Copias de seguridad de Windows Server”. Leer más

Disponible Windows Server 2008 R2 enero 12, 2009

Posted by admin in WServer 2008.
comments closed

Otro de los anuncios destacados en el PDC, es la presentación de la versión R2 de Windows Server 2008, a la que también podríamos denominar Windows 7 Server, que esta plagada de nuevas características y funcionalidades.

Algunas de las novedades destacables de esta nueva versión son:

  • Windows Server 2008 R2 es el primer sistema operativo de que sólo estará disponible para plataformas de 64 bits
  • Mejoras en la virtualización, como la migración en vivo de máquinas virtuales, funcionalidad denominado ‘marquee feature’
  • Streamlining Management, es decir, gestión del servidor personalizada según el perfil de los administradores
  • Nuevas funcionalidades y mejoras del IIS 7 que ayudan a los administradores a reducir el esfuerzo del mantenimiento de las aplicaciones.

Para mas información podéis visitar el siguiente link: http://www.microsoft.com/windowsserver2008/en/us/R2.aspx

Puedes bajar desde aquí El Beta 1 para Windows Server 2008 R2

Un servidor DHCP de Windows Server 2008-basado que está configurado en un entorno de grupos de trabajo puede consumir demasiada memoria enero 9, 2009

Posted by admin in WServer 2008.
comments closed

Síntomas

Un servidor de Windows Server 2008-en función dinámica de host de configuración…

Un servidor de Windows Server 2008-en función dinámica de host de configuración del protocolo (DHCP) que está configurado en un entorno de grupos de trabajo puede consumir demasiada memoria. A lo largo del tiempo, el consumo de memoria puede hacer el servidor DHCP lentamente. Además, el consumo de memoria puede hacer el servidor DHCP, finalmente, Cerrar.

Causa

Este problema se produce por una pérdida de memoria en la ruta de acceso que se…

Este problema se produce por una pérdida de memoria en la ruta de acceso que se utiliza para detección de servidores DHCP no autorizados en el servidor DHCP.

Solución

ADVERTENCIA Pueden producirse problemas graves si modifica incorrectamente el Re…

ADVERTENCIA Pueden producirse problemas graves si modifica incorrectamente el Registro mediante el Editor del Registro o con cualquier otro método. Estos problemas pueden exigir que vuelva a instalar el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.

Para resolver este problema, deshabilite Detección de servidores DHCP no autorizados en el servidor. Para ello, siga estos pasos:

  1. Haga clic en Inicio , haga clic en Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar .
  2. Escriba el comando siguiente y, a continuación, presione ENTRAR:
    reg add HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DHCPServer\Parameters /v DisableRogueDetection /t REG_DWORD /d 1

Tenga en cuenta Después de seguir estos pasos, debe reiniciar el servidor DHCP.