Active Directory Best Practices Analyzer, que es?, que hace? y como usarlo… {HowTo}

MSADHoy vamos a ver una herramienta fundamental para los ITPros. Básicamente, el BPA en Windows Server 2008 se puede utilizar para escanear uno o más servidores en un conjunto de mejores prácticas predefinidas y nos informará si cada servidor es compatible o no compatible con cada una de las mejores prácticas. Estas exploraciones pueden ser realizadas por el Administrador de servidores o mediante cmdlets de PowerShell.

El Active Directory Best Practices Analyzer; que se encuentra disponible en:

  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter

AD DS BPA no está disponible en las siguientes ediciones de Windows Server 2008 R2:

  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Web Server 2008 R2

Best Practices Analyzer (BPA) es una herramienta de gestión de servidor que está disponible en Windows Server 2008 R2 para las funciones siguientes de servidor:

  • Active Directory Domain Services (AD DS)
  • Active Directory Certificate Services (AD CS)
  • DNS Server
  • Terminal Services

AD DS BPA puede ayudarnos a implementar las mejores prácticas en la configuración de nuestro Active Directory. AD DS BPA analiza el rol de servidor AD DS, ya que está instalado en los controladores de dominio de Windows Server 2008 R2, y nos genera un reporte de los cambios que deberíamos hacer para mantener las mejores prácticas.

En este reporte podemos filtrar o excluir los resultados de los informes de BPA de AD DS que no necesitamos ver. También podemos realizar tareas  mediante el uso de la interfaz del Administrador de servidores de usuario (GUI) o en los cmdlets de Windows PowerShell desde la línea de comandos.

Como dije anteriormente esta herramienta esta pensada especialmente para:

  • Los primeros usuarios de Windows Server 2008 R2 y los administradores de IT (ITPros), planificadores y analistas que estén evaluando técnicamente Windows Server 2008 R2
  • Enterprise IT planners and designers
  • Los administradores de TI y aquellos que son responsables de la red y gestión de servidores, de presupuestos de hardware y software y quienes toman las decisiones técnicas
  • Obviamente, para todos los administradores de AD DS

Algunos de los componentes de esta solucion son:

  • AD DS BPA Windows PowerShell script: El script recoge los datos de AD DS de configuración y la almacena en un documento XML.
  • XML schema: El esquema define el formato, que sigue la estructura lógica del directorio, del documento XML que el script de Windows PowerShell genera.
  • AD DS BPA rules: Las reglas definen la configuración de las mejores prácticas para un entorno de AD DS.
  • AD DS BPA guidance: Esta información puede ayudar a los administradores hacer ajustes a su entorno de AD DS para cumplir con la configuración de las mejores prácticas.

Cuando se ejecuta el AD DS BPA de escaneo en un controlador de dominio, el motor de BPA invoca el AD DS BPA script de Windows PowerShell que recoge datos de configuración del entorno de AD DS que este controlador de dominio pertenece.

El script guarda la recopilación de datos de configuración de AD DS en un documento XML. El motor del BPA valida este documento XML con el esquema XML. A continuación, el motor de BPA aplica cada regla en las reglas de AD DS BPA ajustándolas a este documento XML.

Si los datos de configuración en el documento XML no viola la mejor práctica que se define en una regla determinada, dicha regla aparecerá como compatible en el servidor a través de interfaz gráfica de usuario.

Si el motor BPA detecta una violación de las mejores prácticas en el documento XML contra una regla en particular, la orientación correspondiente para que no cumplen la regla aparecerá como no-compatible en el servidor a través de interfaz gráfica de usuario; constando con una breve explicación del problema, y una recomendación sobre cómo resolverlo.

En Windows Server 2008 R2, la AD DS BPA escanea y verifica las siguientes opciones de configuración de AD DS:

  • Sistema de nombres de dominio (DNS) relacionados con las reglas, que verifican las siguientes condiciones, entre otros:
    • El controlador de dominio es capaz de llegar a un servidor DNS y recuperar los registros DNS que se asocian con este controlador de dominio.
    • Todos los host requeridos (A o AAAA) los registros de recursos para este controlador de dominio están registrados en DNS.
    • Todos los host DNS (A o AAAA) requeridos, los registros de estos recursos que deben estar en nuestro controlador de dominio que estén registrados en DNS con las direcciones IP correctas.
    • Todos los registros SRV requeridos en el sitio específico y en el Global Service de los recursos para este controlador de dominio que estén registrados en DNS.
    • Los alias necesarios (CNAME) de recursos para este controlador de dominio que está registrado en DNS.
  • Maestro de operaciones (también conocidas como flexible single master operations o FSMO) reglas de conectividad, que comprueban si el controlador de dominio se puede conectar con el relative ID (RID) operations master y con el primary domain controller (PDC) emulator operations master en el dominio,
  • Operations master rol, verifican las siguientes condiciones:
    • El schema master role y el domain naming master role son propiedad de la mismo controlador de dominio en el bosque.
    • El RID master role y el PDC emulator master role son propiedad del mismo controlador de dominio en el dominio.
  • Número de controladores en el dominio, que verifica la condición siguiente: El dominio tiene al menos dos controladores de dominio en funcionamiento.
  • Requiere los servicios relacionados con las reglas, que verifican las siguientes condiciones:
    • El servicio de AD DS debe estar en ejecución en este controlador de dominio.
    • El servicio ADWS se debe ejecutar en este controlador de dominio.
    • El módulo Active Directory para Windows PowerShell debe estar instalado y funcionando correctamente en el controlador de dominio.
  • Reglas de replicación, que verifican las siguientes condiciones:
    • Coherencia de replicación estricta debe estar habilitado en todos los controladores de dominio en este bosque.
    • Cada sitio en este bosque debe contener al menos un servidor de catálogo global o caché de pertenencia al grupo universal habilitado.
    • El Knowledge Consistency Checker (KCC) debe estar habilitado en este sitio en el bosque para generar una topología de replicación óptima.
  • Windows Time service (W32time) reglas de configuracion, que verifican las siguientes condiciones:
    • El valor de MaxPosPhaseCorrection y MaxNegPhaseCorrection en este controlador de dominio debe ser igual a 48 horas.
    • El PDC emulator master en este bosque se debe estar configurado para sincronizar correctamente el tiempo de una fuente de tiempo válido.
  • Reglas de Configuracion de Maquinas Virtuales, que verifica que el controlador de dominio se está ejecutando en Hyper-V y proporciona directrices sobre prácticas óptimas para el funcionamiento de AD DS en un entorno de máquina virtual.
  • Reglas de Backup y Restore, que verifican las siguientes condiciones:
    • Las particiones de directorio de este controlador de dominio han sido respaldados en los últimos 8 días.
    • Todas las unidades organizativas (OU) en este ámbito están protegidos contra el borrado accidental.
    • La vida útil de copia de seguridad resultante en este bosque debe ser igual o superior a 180 días.

Esta herramienta, AD DS BPA, se instala automáticamente cuando se instala AD DS en un equipo que ejecuta Windows Server 2008 R2 y ese equipo se convierte en un controlador de dominio. Esto incluye tanto los controladores de dominio de escritura y de sólo lectura los controladores de dominio (RODC).

Como se vimos anteriormente, el BPA puede ejecutarse mediante la consola Administrador de servidor o mediante cmdlets de PowerShell. A continuacion veremos como ejecutarlo desde la interfaz grafica:

  • Nos logeamos en nuestro controlador de dominio Windows Server 2008 R2.
  • Abrimos la consola Administrador de servidores. Vemos que tenemos varios roles implementados.

www.radians.com.ar © 2011

  • En el árbol de la consola Administrador de servidores, expandimos el nodo Roles y, a continuación, seleccionamos Active Directory Domain Services.
  • Bajamos a la seccion Best Practice Analyzer, y seleccionamos Scan This Role en el link de la derecha; para ejecutarlo sobre este servidor.

www.radians.com.ar © 2011

  • Vemos que comienza a ejecutarse

www.radians.com.ar © 2011

  • Aquí podemos ver el resultado con 4 warnings en la sección NonCompliant

www.radians.com.ar © 2011

  • También podemos ver las reglas que están bien configuradas en la sección Compliant.

www.radians.com.ar © 2011

  • Si hacemos un doble clic en uno de los errores, veremos la descripción y la recomendación acerca del mismo.

www.radians.com.ar © 2011

  • De la misma manera, si hacemos un doble clic en alguna de las reglas bien configuradas, veremos su detalle.

www.radians.com.ar © 2011

  • Como vemos, puede existir el caso de que algún warning este configurado de una forma que sea correcto, entonces tenemos la opción de Excluirlo. Entonces, si seleccionamos Exclude solo veremos dichos warnings en la solapa Excluded.

En resumen, AD DS BPA identifica la causa raíz de problemas de mala configuración de AD DS y nos da la posibilidad de solucionarlos con un breve orientación correctivas y la recomendación de acciones concretas para solucionar estos problemas.

Chequeando principalmente temas relacionados con:

  • Site-Specific SRV Record Checks
  • Global SRV Record Checks
  • Number of DCs in Domain Check
  • FSMO Connectivity Checks
  • FSMO Role Grouping Checks
  • DNS Client Checks

Espero que les sirva de ayuda esta herramienta y puedan utilizarla para prevenir inconvenientes en nuestro Directorio Activo. Saludos, Roberto Di Lello.

Mas Información:

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

10 Comments

  1. buenos dias,
    Roberto, te escribo por que tengo un problema con mis dominios y no he podido solucionarlo y me preocupa muchisimo.
    el tema es el siguiente, de un tiempo para aca no me he podido loguear en mis controladores de dominio con una cuenta diferente a la de administrator, he creado varias cuentas con pribilegios de administrador y de admin domain y no ha sido posible iniciar sesion con otra cuanta ya que me sale el siguiente mensaje: “The user profile Service service falled the logon. User profile cannont be loaded”
    He revisado el error en internet y he realizado todo lo que dice al respecto y nada sigo con el problema, he borrado del registro las sesiones antiguas diferentes al administrator, con las cuales me habia logueado en los servidores y inicio sesion nuevamente con esas cuentas y nada. Espero me puedas ayudar con este tema que me tiene sumamente preocupado. Los event id que aparecen en el servidor cuando me logueo con otra cuanta diferente al administrator y que tiene todos los permisos son: 1500 y la 1511

  2. Hola Iver, disculpa mi demora pero estuve muy complicado con los tiempos y con el evento de Virtualización del viernes próximo. Se me juntaron muchos mails para responder

    Te recomiendo ver lo siguiente: http://social.technet.microsoft.com/Forums/en/winservergen/thread/8bd3076b-7994-4170-a4af-c73f0d53d464
    Solution.
    1) i log in Domain controller
    2) from active directory user and computers.
    a) went to computers.
    b) find problamatic computer right click on it then go to manage.
    c) Here first hurdle was can’t able to access local user and groups then i find services . i opend services, then i find user profile services , it was already started so i stop it and restart computer browser service and netlogon as well.then try to log on again. and finally got connect through remote desktop.
    i removed some old profiles.
    3) i restart server to make sure that its done or not but everything is fine now

    Calculo que los cambios que mencionas son los mencionados en esta nota: Mensaje de error: “El servicio de perfil de usuario no ha podido iniciar sesión. No se puede cargar el perfil de usuario” al iniciar sesión en Windows 7 o Windows Vista http://support.microsoft.com/kb/947215

    Espero que te sea de utilidad, sino funciona habría que evaluar la posibilidad de hacer un system restore de tu AD.
    Muchas gracias por participar del blog y ayudar a que siga creciendo! Te cuento que hay mucho material en el.
    Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
    Espero te sean de utilidad. Saludos!

  3. Hola Roberto

    Un gusto poder ingresar al site, queria saber si tienes un tutorial de Active Directory en Windows 2008, es decir Implementacion y Administracion del mismo. Vi los WebCast de l site muy bueno me han ayudado bastante pero requiero ademas mayor informacion de la administracionde Active Directory. Seguro de poder contar con tu ayuda te agradesco tu respuesta.

    Atte.
    Arlex Delgado V.
    IT

  4. Hola Arlex, disculpa mi demora pero estuve muy complicado con los tiempos y con el evento de Virtualización del viernes próximo. Se me juntaron muchos mails para responder.

    No se puntualmente que información estas buscando, pero browsea el blog que hay mucho material de AD en el, ya que esa es la especialidad principal del blog. Fíjate que tenés videos y notas explicando los servicios core, los FSMO y muchos temas mas. Lamentablemente hace poco tiempo que estoy implementando los tags, entonces no todas las notas están categorizadas.

    Muchas gracias por participar del blog y ayudar a que siga creciendo! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Saludos!

  5. una consulta, quise despromover un dc adicional (2008 r2) usando dcpromo pero salia un error y no culminaba. Despues de eso segui usando el dc en la oficina que le corresponde pero cuando ingreso al PDC note lo siguiente:
    En AD Users & Computrs, en la ou domain controllers, veo que el servidor en el detalle de site no tiene nada asignado.
    En AD Site & Servics, el server si esta en el site que le correspond, veo las propiedades del server y no aparece la pestaña “General”, solo figuran Objetc,Security y Attribute Editor.

    Hay manera q pueda arreglar esto sin necesidad de bajar el servidor?.

    Saludos.

  6. Ricardo, disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Respecto a tu pregunta, no me queda claro en que quedo. El servidor que tiene problemas es el que quisiste hacer un dcpromo para hacer el demote y fallo, y luego lo seguiste usando sin problemas??? Si es ese equipo no se como habra quedado y seguramente lo mas confiable sera eliminarlo y volverlo a instalar. Como quedo la replicacion? esta funcionando? tenes un monton de eventos, no?

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  7. Saludos,

    Amigo también soy consultor pero en Costa Rica.
    Están interesantes tus aportes. Es importante compartir conocimiento.

    Gracias.

  8. Bueno, si deberia ser despromovido para instalarlo nuevamente.
    Otra cosa una consulta, cuando se esta intentando agregar un equipo a dominio estan saliendo estos errores

    -error al unirse al dominio no se ha encontrado la ruta de acceso a la red
    -error al intentar unirse al dominio espacio de almacenamiento insuficiente en el servidor para procesar este comando
    -error al intentar unirse al dominio acceso denegado

    No encuentro el origen de estos errores y son continuos. Personal de soporte cuando esta haciendo sus labores algunas veces salta esto.
    Lo curioso es que por ejemplo el equipo con hostname abcd lo elimino del dominio en el PDC, cuano intento subir al equipo con el mismo nombre sale errores. Pero cuando le cambio el nombre no da problemas para agregarlo.

    gracias por la ayuda
    Slds.

  9. William, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Muchisimas gracias por tus comentarios de apoyo, ayuda mucho a seguir adelante con esta ardua tarea. Cualquier cosa que necesites no dudes en contactarme!

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del blog y my Twitter @RaDiansBlog asi podemos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  10. Ricardo, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Respecto a tu problema, lo que te recomiendo verificar son los dns y como esta configurado el cliente, seguramente tiene mal el dns primario. Sino revisa los dns que no esta pudiendo resolverlo bien. Despues si es un equipo que ya estaba al dominio y no le cambiaste el nombre y por alguna razon ese equipo perdio conectividad con el dominio no podras agregarlo nuevamente, salvo que: 2 cosas: le cambies el nombre, o en tu AD resetees el nombre de cuenta del equipo. Cualquier cosa volve a escribirme, y te recuerdo si es urgente mandame un mensaje por twitter asi lo veo antes!

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del blog y my Twitter @RaDiansBlog asi podemos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

Comments are closed.