LAB2018 – Novedades de la instalación y desinstalación de los Servicios de dominio de Active Directory {Parte 2}

Hoy vamos a seguir conversando sobre las funciones de Active Directory y algunos conceptos basicos. La primera nota la pueden encontrar en: LAB2018 – Novedades de la instalación y desinstalación de los Servicios de dominio de Active Directory {Parte 1}.

Saludos, Roberto Di Lello

Verificación de membresía grupal en las funciones de maestro de operaciones de Windows Server 2003

Para cada comando (/forestprep, /domainprep o /rodcprep), Adprep realiza una verificación de pertenencia de grupo para determinar si la credencial especificada representa una cuenta en ciertos grupos. Para realizar esta comprobación, Adprep se pone en contacto con el propietario del rol maestro de operaciones. Si el maestro de operaciones ejecuta Windows Server 2003, debemos especificar los parámetros de línea de comando /user y /userdomain si ejecutamos Adprep.exe para asegurarnos de que la verificación de pertenencia al grupo se realiza en todos los casos.

/User y /userdomain son nuevos parámetros para Adprep.exe desde Windows Server 2012. Estos parámetros especifican el nombre de la cuenta de usuario y el dominio de usuario, respectivamente, del usuario que ejecuta el comando adprep. La utilidad de línea de comandos Adprep.exe bloquea especificando uno de / userdomain y / user pero omitiendo el otro.

Sin embargo, las operaciones de Adprep también se pueden ejecutar como parte de una instalación de AD DS utilizando Windows PowerShell o el Administrador del servidor. Esas experiencias comparten la misma implementación subyacente (adprep.dll) como adprep.exe. Las experiencias de Windows PowerShell y Server Manager tienen su entrada de credenciales por separado, que no impone los mismos requisitos que adprep.exe. Con Windows PowerShell o el Administrador del servidor, es posible pasar un valor para / user pero no / userdomain a adprep.dll. Si se especifica / user pero / userdomain no se especifica, el dominio de la máquina local se usa para realizar la comprobación. Si la máquina no está unida al dominio, no se puede verificar la pertenencia al grupo.

Cuando no se puede verificar la pertenencia a un grupo, Adprep muestra un mensaje de advertencia en los archivos de registro de adprep y continúa:

Adprep was unable to check the specified user's group membership. This could happen if the FSMO
role owner <DNS host name of operations master> is running Windows Server 2003 or lower version
of Windows.

Si ejecutamos Adprep.exe sin especificar los parámetros / user y / userdomain y el maestro de operaciones ejecuta Windows Server 2003, Adprep.exe se pone en contacto con un controlador de dominio en el dominio del usuario de inicio de sesión actual. Si el usuario de inicio de sesión actual no es una cuenta de dominio, Adprep.exe no puede realizar la verificación de pertenencia de grupo. Adprep.exe tampoco puede realizar la verificación de pertenencia de grupo si se utilizan credenciales de tarjeta inteligente, incluso si especifica both / user y / userdomain.

Si Adprep finaliza correctamente, no se requiere ninguna acción. Si Adprep falla durante la ejecución con errores de acceso, debemos poner una cuenta con los permisos correctos.

Sintaxis para Adprep en Windows Server 2012

Podemos usar la siguiente sintaxis para ejecutar adprep por separado de una instalación de AD D

Adprep.exe /forestprep /forest <forest name> /userdomain <user domain name> /user <user name> /password * 

Usando el / logdsid en el comando para generar un registro más detallado. Adprep.log se encuentra en% windir% \ System32 \ Debug \ Adprep \ Logs.

Ejecutar adprep usando una tarjeta inteligente

La versión de Windows Server 2012 de adprep.exe funciona utilizando tarjetas inteligentes como credenciales, pero no hay una forma fácil de especificar la credencial de tarjeta inteligente a través de la línea de comandos. Una forma de hacerlo es obtener la credencial de tarjeta inteligente a través de Get-Credential de cmdlet de PowerShell. A continuación, podemosutilizar el nombre de usuario del objeto PSCredential devuelto, que aparece como @@... La contraseña es el PIN de la tarjeta inteligente.

Adprep.exe requiere / userdomain si / user está especificado. Para credenciales de tarjeta inteligente, el / userdomain debe ser el dominio de la cuenta de usuario subyacente representada por la tarjeta inteligente.

El comando Adprep / domainprep / gpprep no se ejecuta automáticamente

El comando adprep / domainprep / gpprep no se ejecuta como parte de la instalación de AD DS. Este comando establece los permisos necesarios para la funcionalidad del modo de planificación del Conjunto de directivas resultante (RSOP). Si el comando necesita ejecutarse en su dominio de Active Directory, podemos ejecutarlo por separado de la instalación de AD DS. Si el comando ya se ha ejecutado como preparación para implementar controladores de dominio que ejecuten Windows Server 2003 SP1 o posterior, no es necesario volver a ejecutar el comando.

Podemos agregar de manera segura controladores de dominio que ejecutan Windows Server 2012 a un dominio existente sin ejecutar adprep / domainprep / gpprep, pero el modo de planificación de RSOP no funcionará correctamente.

Validación de prerrequisitos de instalación de AD DS

El asistente de instalación de AD DS comprueba que se cumplan los siguientes requisitos previos antes de que comience la instalación. Esto nos brinda la oportunidad de corregir problemas que pueden bloquear la instalación. Por ejemplo, los requisitos previos relacionados con Adprep incluyen:

  • Verificación de credencial de Adprep: si se debe ejecutar adprep, el asistente de instalación verifica que el usuario tenga suficientes derechos para ejecutar las operaciones de Adprep requeridas.
  • Comprobación de disponibilidad del maestro de esquema: si el asistente de instalación determina que se necesita ejecutar adprep / forestprep, verifica que el maestro de esquema esté en línea y de lo contrario falla.
  • Verificación de disponibilidad principal de infraestructura: si el asistente de instalación determina que adprep / domainprep necesita ejecutarse, verifica que el maestro de infraestructura esté en línea y de lo contrario falla.

Otras verificaciones de requisitos previos que se transfieren del Asistente de instalación de Active Directory heredado (dcpromo.exe) incluyen:

  • Verificación del nombre del bosque: garantiza que el nombre del bosque sea válido y no exista actualmente.
  • Verificación de nombre NetBIOS: verifica que el nombre de NetBIOS sea válido y no entre en conflicto con los nombres existentes.
  • Verificación de ruta de componente: verifica que las rutas para la base de datos de Active Directory, los registros y SYSVOL sean válidos y que haya suficiente espacio en disco disponible para ellos.
  • Verificación del nombre de dominio secundario: garantiza que los nombres de dominio principal y secundario sean válidos y que no entren en conflicto con los dominios existentes.
  • Verificación de nombre de dominio de árbol: garantiza que el nombre de árbol especificado sea válido y que no exista actualmente.

Espero que esto les aclare el panorama, si bien es medio engorroso la teoria es bueno entenderla. La proxima nota veremos los requisitos y algunos de los errores conocidos con los que nos podemos encontrar. Hace rato que queria hacer una serie de instructivos 101 sobre Active Directory. Saludos, Roberto Di Lello

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.