{"id":3588,"date":"2018-02-09T13:25:00","date_gmt":"2018-02-09T16:25:00","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=3588"},"modified":"2018-02-12T13:25:35","modified_gmt":"2018-02-12T16:25:35","slug":"lab2018-novedades-de-la-instalacin-y-desinstalacin-de-los-servicios-de-dominio-de-active-directory-parte-2","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=3588","title":{"rendered":"LAB2018 – Novedades de la instalación y desinstalación de los Servicios de dominio de Active Directory {Parte 2}"},"content":{"rendered":"
Hoy vamos a seguir conversando sobre las funciones de Active Directory y algunos conceptos basicos. La primera nota la pueden encontrar en: LAB2018 \u2013 Novedades de la instalaci\u00f3n y desinstalaci\u00f3n de los Servicios de dominio de Active Directory {Parte 1}<\/a>.<\/h6>\n

Saludos, Roberto Di Lello<\/p>\n

Verificaci\u00f3n de membres\u00eda grupal en las funciones de maestro de operaciones de Windows Server 2003 <\/h6>\n

Para cada comando (\/forestprep, \/domainprep o \/rodcprep), Adprep realiza una verificaci\u00f3n de pertenencia de grupo para determinar si la credencial especificada representa una cuenta en ciertos grupos. Para realizar esta comprobaci\u00f3n, Adprep se pone en contacto con el propietario del rol maestro de operaciones. Si el maestro de operaciones ejecuta Windows Server 2003, debemos especificar los par\u00e1metros de l\u00ednea de comando \/user y \/userdomain si ejecutamos Adprep.exe para asegurarnos de que la verificaci\u00f3n de pertenencia al grupo se realiza en todos los casos.<\/p>\n

\/User y \/userdomain son nuevos par\u00e1metros para Adprep.exe desde Windows Server 2012. Estos par\u00e1metros especifican el nombre de la cuenta de usuario y el dominio de usuario, respectivamente, del usuario que ejecuta el comando adprep. La utilidad de l\u00ednea de comandos Adprep.exe bloquea especificando uno de \/ userdomain y \/ user pero omitiendo el otro.<\/p>\n

Sin embargo, las operaciones de Adprep tambi\u00e9n se pueden ejecutar como parte de una instalaci\u00f3n de AD DS utilizando Windows PowerShell o el Administrador del servidor. Esas experiencias comparten la misma implementaci\u00f3n subyacente (adprep.dll) como adprep.exe. Las experiencias de Windows PowerShell y Server Manager tienen su entrada de credenciales por separado, que no impone los mismos requisitos que adprep.exe. Con Windows PowerShell o el Administrador del servidor, es posible pasar un valor para \/ user pero no \/ userdomain a adprep.dll. Si se especifica \/ user pero \/ userdomain no se especifica, el dominio de la m\u00e1quina local se usa para realizar la comprobaci\u00f3n. Si la m\u00e1quina no est\u00e1 unida al dominio, no se puede verificar la pertenencia al grupo.<\/p>\n

Cuando no se puede verificar la pertenencia a un grupo, Adprep muestra un mensaje de advertencia en los archivos de registro de adprep y contin\u00faa:<\/p>\n

\n
Adprep was unable to check the specified user's group membership. This could happen if the FSMO 
<\/code>role owner <DNS host name of operations master> is running Windows Server 2003 or lower version
of Windows.<\/code> <\/p><\/pre>\n<\/div>\n
Si ejecutamos Adprep.exe sin especificar los par\u00e1metros \/ user y \/ userdomain y el maestro de operaciones ejecuta Windows Server 2003, Adprep.exe se pone en contacto con un controlador de dominio en el dominio del usuario de inicio de sesi\u00f3n actual. Si el usuario de inicio de sesi\u00f3n actual no es una cuenta de dominio, Adprep.exe no puede realizar la verificaci\u00f3n de pertenencia de grupo. Adprep.exe tampoco puede realizar la verificaci\u00f3n de pertenencia de grupo si se utilizan credenciales de tarjeta inteligente, incluso si especifica both \/ user y \/ userdomain.<\/p>\n
Si Adprep finaliza correctamente, no se requiere ninguna acci\u00f3n. Si Adprep falla durante la ejecuci\u00f3n con errores de acceso, debemos poner una cuenta con los permisos correctos.<\/p>\n
Sintaxis para Adprep en Windows Server 2012 <\/h4>\n
Podemos usar la siguiente sintaxis para ejecutar adprep por separado de una instalaci\u00f3n de AD D<\/p>\n
\n
Adprep.exe \/forestprep \/forest <forest name> \/userdomain <user domain name> \/user <user name> \/password *<\/code> <\/pre>\n<\/div>\n
Usando el \/ logdsid en el comando para generar un registro m\u00e1s detallado. Adprep.log se encuentra en% windir% \\ System32 \\ Debug \\ Adprep \\ Logs.<\/p>\n
Ejecutar adprep usando una tarjeta inteligente <\/h4>\n
La versi\u00f3n de Windows Server 2012 de adprep.exe funciona utilizando tarjetas inteligentes como credenciales, pero no hay una forma f\u00e1cil de especificar la credencial de tarjeta inteligente a trav\u00e9s de la l\u00ednea de comandos. Una forma de hacerlo es obtener la credencial de tarjeta inteligente a trav\u00e9s de Get-Credential de cmdlet de PowerShell. A continuaci\u00f3n, podemosutilizar el nombre de usuario del objeto PSCredential devuelto, que aparece como @@...<\/code> La contrase\u00f1a es el PIN de la tarjeta inteligente.<\/p>\n
Adprep.exe requiere \/ userdomain si \/ user est\u00e1 especificado. Para credenciales de tarjeta inteligente, el \/ userdomain debe ser el dominio de la cuenta de usuario subyacente representada por la tarjeta inteligente.<\/p>\n
El comando Adprep \/ domainprep \/ gpprep no se ejecuta autom\u00e1ticamente <\/h4>\n
El comando adprep \/ domainprep \/ gpprep no se ejecuta como parte de la instalaci\u00f3n de AD DS. Este comando establece los permisos necesarios para la funcionalidad del modo de planificaci\u00f3n del Conjunto de directivas resultante (RSOP). Si el comando necesita ejecutarse en su dominio de Active Directory, podemos ejecutarlo por separado de la instalaci\u00f3n de AD DS. Si el comando ya se ha ejecutado como preparaci\u00f3n para implementar controladores de dominio que ejecuten Windows Server 2003 SP1 o posterior, no es necesario volver a ejecutar el comando.<\/p>\n
Podemos agregar de manera segura controladores de dominio que ejecutan Windows Server 2012 a un dominio existente sin ejecutar adprep \/ domainprep \/ gpprep, pero el modo de planificaci\u00f3n de RSOP no funcionar\u00e1 correctamente.<\/p>\n
Validaci\u00f3n de prerrequisitos de instalaci\u00f3n de AD DS <\/h4>\n
El asistente de instalaci\u00f3n de AD DS comprueba que se cumplan los siguientes requisitos previos antes de que comience la instalaci\u00f3n. Esto nos brinda la oportunidad de corregir problemas que pueden bloquear la instalaci\u00f3n. Por ejemplo, los requisitos previos relacionados con Adprep incluyen:<\/p>\n
    \n
  • \n
    Verificaci\u00f3n de credencial de Adprep: si se debe ejecutar adprep, el asistente de instalaci\u00f3n verifica que el usuario tenga suficientes derechos para ejecutar las operaciones de Adprep requeridas.<\/div>\n<\/li>\n
  • \n
    Comprobaci\u00f3n de disponibilidad del maestro de esquema: si el asistente de instalaci\u00f3n determina que se necesita ejecutar adprep \/ forestprep, verifica que el maestro de esquema est\u00e9 en l\u00ednea y de lo contrario falla.<\/div>\n<\/li>\n
  • \n
    Verificaci\u00f3n de disponibilidad principal de infraestructura: si el asistente de instalaci\u00f3n determina que adprep \/ domainprep necesita ejecutarse, verifica que el maestro de infraestructura est\u00e9 en l\u00ednea y de lo contrario falla.<\/div>\n<\/li>\n<\/ul>\n
    Otras verificaciones de requisitos previos que se transfieren del Asistente de instalaci\u00f3n de Active Directory heredado (dcpromo.exe) incluyen:<\/p>\n
      \n
    • \n
      Verificaci\u00f3n del nombre del bosque: garantiza que el nombre del bosque sea v\u00e1lido y no exista actualmente.<\/div>\n<\/li>\n
    • \n
      Verificaci\u00f3n de nombre NetBIOS: verifica que el nombre de NetBIOS sea v\u00e1lido y no entre en conflicto con los nombres existentes.<\/div>\n<\/li>\n
    • \n
      Verificaci\u00f3n de ruta de componente: verifica que las rutas para la base de datos de Active Directory, los registros y SYSVOL sean v\u00e1lidos y que haya suficiente espacio en disco disponible para ellos.<\/div>\n<\/li>\n
    • \n
      Verificaci\u00f3n del nombre de dominio secundario: garantiza que los nombres de dominio principal y secundario sean v\u00e1lidos y que no entren en conflicto con los dominios existentes.<\/div>\n<\/li>\n
    • \n
      Verificaci\u00f3n de nombre de dominio de \u00e1rbol: garantiza que el nombre de \u00e1rbol especificado sea v\u00e1lido y que no exista actualmente.<\/div>\n<\/li>\n<\/ul>\n
      Espero que esto les aclare el panorama, si bien es medio engorroso la teoria es bueno entenderla. La proxima nota veremos los requisitos y algunos de los errores conocidos con los que nos podemos encontrar. Hace rato que queria hacer una serie de instructivos 101 sobre Active Directory. Saludos, Roberto Di Lello<\/p>\n","protected":false},"excerpt":{"rendered":"
      Hoy vamos a seguir conversando sobre las funciones de Active Directory y algunos conceptos basicos….<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[158,281],"tags":[217],"class_list":["post-3588","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-windows-server-2012","category-281","tag-ad-domain-services"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3588","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3588"}],"version-history":[{"count":1,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3588\/revisions"}],"predecessor-version":[{"id":3589,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3588\/revisions\/3589"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3588"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3588"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3588"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}