RaDians.com.ar

Microsoft MVP – Microsoft 365, Trainer, Mentor and Technical Writer. MCP, MCSA: Messaging, Microsoft Certified and former MCT and Xbox gamer…

2012 & R2 2016

LAB2018 – Novedades de la instalación y desinstalación de los Servicios de dominio de Active Directory {Parte 2}

Avatar photo

ByRoberto Di Lello

Feb 9, 2018
Hoy vamos a seguir conversando sobre las funciones de Active Directory y algunos conceptos basicos. La primera nota la pueden encontrar en: LAB2018 – Novedades de la instalación y desinstalación de los Servicios de dominio de Active Directory {Parte 1}.

Saludos, Roberto Di Lello

Verificación de membresía grupal en las funciones de maestro de operaciones de Windows Server 2003

Para cada comando (/forestprep, /domainprep o /rodcprep), Adprep realiza una verificación de pertenencia de grupo para determinar si la credencial especificada representa una cuenta en ciertos grupos. Para realizar esta comprobación, Adprep se pone en contacto con el propietario del rol maestro de operaciones. Si el maestro de operaciones ejecuta Windows Server 2003, debemos especificar los parámetros de línea de comando /user y /userdomain si ejecutamos Adprep.exe para asegurarnos de que la verificación de pertenencia al grupo se realiza en todos los casos.

/User y /userdomain son nuevos parámetros para Adprep.exe desde Windows Server 2012. Estos parámetros especifican el nombre de la cuenta de usuario y el dominio de usuario, respectivamente, del usuario que ejecuta el comando adprep. La utilidad de línea de comandos Adprep.exe bloquea especificando uno de / userdomain y / user pero omitiendo el otro.

Sin embargo, las operaciones de Adprep también se pueden ejecutar como parte de una instalación de AD DS utilizando Windows PowerShell o el Administrador del servidor. Esas experiencias comparten la misma implementación subyacente (adprep.dll) como adprep.exe. Las experiencias de Windows PowerShell y Server Manager tienen su entrada de credenciales por separado, que no impone los mismos requisitos que adprep.exe. Con Windows PowerShell o el Administrador del servidor, es posible pasar un valor para / user pero no / userdomain a adprep.dll. Si se especifica / user pero / userdomain no se especifica, el dominio de la máquina local se usa para realizar la comprobación. Si la máquina no está unida al dominio, no se puede verificar la pertenencia al grupo.

Cuando no se puede verificar la pertenencia a un grupo, Adprep muestra un mensaje de advertencia en los archivos de registro de adprep y continúa:

Adprep was unable to check the specified user's group membership. This could happen if the FSMO 
role owner <DNS host name of operations master> is running Windows Server 2003 or lower version
of Windows.

Si ejecutamos Adprep.exe sin especificar los parámetros / user y / userdomain y el maestro de operaciones ejecuta Windows Server 2003, Adprep.exe se pone en contacto con un controlador de dominio en el dominio del usuario de inicio de sesión actual. Si el usuario de inicio de sesión actual no es una cuenta de dominio, Adprep.exe no puede realizar la verificación de pertenencia de grupo. Adprep.exe tampoco puede realizar la verificación de pertenencia de grupo si se utilizan credenciales de tarjeta inteligente, incluso si especifica both / user y / userdomain.

Si Adprep finaliza correctamente, no se requiere ninguna acción. Si Adprep falla durante la ejecución con errores de acceso, debemos poner una cuenta con los permisos correctos.

Sintaxis para Adprep en Windows Server 2012

Podemos usar la siguiente sintaxis para ejecutar adprep por separado de una instalación de AD D

Adprep.exe /forestprep /forest <forest name> /userdomain <user domain name> /user <user name> /password *

Usando el / logdsid en el comando para generar un registro más detallado. Adprep.log se encuentra en% windir% \ System32 \ Debug \ Adprep \ Logs.

Ejecutar adprep usando una tarjeta inteligente

La versión de Windows Server 2012 de adprep.exe funciona utilizando tarjetas inteligentes como credenciales, pero no hay una forma fácil de especificar la credencial de tarjeta inteligente a través de la línea de comandos. Una forma de hacerlo es obtener la credencial de tarjeta inteligente a través de Get-Credential de cmdlet de PowerShell. A continuación, podemosutilizar el nombre de usuario del objeto PSCredential devuelto, que aparece como @@... La contraseña es el PIN de la tarjeta inteligente.

Adprep.exe requiere / userdomain si / user está especificado. Para credenciales de tarjeta inteligente, el / userdomain debe ser el dominio de la cuenta de usuario subyacente representada por la tarjeta inteligente.

El comando Adprep / domainprep / gpprep no se ejecuta automáticamente

El comando adprep / domainprep / gpprep no se ejecuta como parte de la instalación de AD DS. Este comando establece los permisos necesarios para la funcionalidad del modo de planificación del Conjunto de directivas resultante (RSOP). Si el comando necesita ejecutarse en su dominio de Active Directory, podemos ejecutarlo por separado de la instalación de AD DS. Si el comando ya se ha ejecutado como preparación para implementar controladores de dominio que ejecuten Windows Server 2003 SP1 o posterior, no es necesario volver a ejecutar el comando.

Podemos agregar de manera segura controladores de dominio que ejecutan Windows Server 2012 a un dominio existente sin ejecutar adprep / domainprep / gpprep, pero el modo de planificación de RSOP no funcionará correctamente.

Validación de prerrequisitos de instalación de AD DS

El asistente de instalación de AD DS comprueba que se cumplan los siguientes requisitos previos antes de que comience la instalación. Esto nos brinda la oportunidad de corregir problemas que pueden bloquear la instalación. Por ejemplo, los requisitos previos relacionados con Adprep incluyen:

  • Verificación de credencial de Adprep: si se debe ejecutar adprep, el asistente de instalación verifica que el usuario tenga suficientes derechos para ejecutar las operaciones de Adprep requeridas.
  • Comprobación de disponibilidad del maestro de esquema: si el asistente de instalación determina que se necesita ejecutar adprep / forestprep, verifica que el maestro de esquema esté en línea y de lo contrario falla.
  • Verificación de disponibilidad principal de infraestructura: si el asistente de instalación determina que adprep / domainprep necesita ejecutarse, verifica que el maestro de infraestructura esté en línea y de lo contrario falla.

Otras verificaciones de requisitos previos que se transfieren del Asistente de instalación de Active Directory heredado (dcpromo.exe) incluyen:

  • Verificación del nombre del bosque: garantiza que el nombre del bosque sea válido y no exista actualmente.
  • Verificación de nombre NetBIOS: verifica que el nombre de NetBIOS sea válido y no entre en conflicto con los nombres existentes.
  • Verificación de ruta de componente: verifica que las rutas para la base de datos de Active Directory, los registros y SYSVOL sean válidos y que haya suficiente espacio en disco disponible para ellos.
  • Verificación del nombre de dominio secundario: garantiza que los nombres de dominio principal y secundario sean válidos y que no entren en conflicto con los dominios existentes.
  • Verificación de nombre de dominio de árbol: garantiza que el nombre de árbol especificado sea válido y que no exista actualmente.

Espero que esto les aclare el panorama, si bien es medio engorroso la teoria es bueno entenderla. La proxima nota veremos los requisitos y algunos de los errores conocidos con los que nos podemos encontrar. Hace rato que queria hacer una serie de instructivos 101 sobre Active Directory. Saludos, Roberto Di Lello

Post Relacionados:

  1. Virtualizacion de Directory Services Domain Controllers con Hyper-V {Parte 1}
  2. Active Directory Error “Administrative limit for this request was exceeded" como solucionarlo?
  3. Como realizar la busqueda de objetos de Active Directory que tengan la herencia rota/deshabilitada (Broken Object Inheritance)
  4. Troubleshoting de Politicas de Grupo, cuando usar RSOP o GPresult? {HowTo}
  5. LAB2018 – Novedades de la instalación y desinstalación de los Servicios de dominio de Active Directory {Parte 1}
Avatar photo

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

Related Post

2012 & R2 2016 2019 Directory Services

Como verificar los requisitos de complejidad de las contraseñas en Active Directory [Howto]

Feb 15, 2024 Roberto Di Lello
2008 & R2 2012 & R2 2016

Windows Server: No existe carpetas SYSVOL y Netlogon en nuestro Controlador de Dominio [segunda opcion]

Oct 10, 2023 Roberto Di Lello
2008 & R2 2012 & R2 2016 2019 Windows 10 Windows 11 Windows 7

Entendiendo el protocolo NTLM: Evaluacion de su entorno para la reduccion de NTLM [Parte4]

Oct 3, 2023 Roberto Di Lello

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

You missed

Windows 11

Cómo liberar espacio en disco después de actualizar Windows {HowTo}

Abr 7, 2025 Roberto Di Lello
Windows 11

Windows 11 Insider, compilación 26200.5518 (canales de desarrollo)

Abr 4, 2025 Roberto Di Lello
Tools Windows 365

Windows App, ya esta disponible para todas las plataformas {Windows 365}

Mar 31, 2025 Roberto Di Lello
Windows 11

Windows 11 Insider, compilación 26120.3653 (canales de desarrollo y beta)

Mar 28, 2025 Roberto Di Lello