Active Directory: Windows Server 2012 - ADPREP

A partir de Windows Server 2012, la herramienta Adprep.exe se integra junto con el proceso de instalación de Active Directory y se ejecuta de forma automática cuando es necesario. 

Cuando promocionamos un nuevo controlador de dominio, que ejecuta como sistema operativo, Windows Server 2012 en un dominio que ya existe, es ejecutado de forma automática Adprep con las opciones forestprep y  domainprep, para preparar el bosque y el dominio en questión.

También, podemos preferir ejecutar Adprep nosotros mismos, ya sea antes de una instalación de un nuevo controlador de dominio de Active Directory o simplemente para preparar el esquema de un domino de Active Directory existente para que soporte nuevas características. 

Por esta razón, Adprep continua incluyéndose en el disco del sistema operativo de Windows Server 2012, en la carpeta \Support\ Adprep.

Continua incluyéndose el directorio Adprep, pero con algunas diferencias. A partir de Windows Server 2012, sólo hay una versión de Adprep.exe, con Windows 2008 R2 teníamos Adprep.exe para versiones de 64 bits y Adprep32.exe para ejecutarse en sistemas operativos anteriores de 32 bits, esto con Windows Server 2012 ya no es así, solo encontraremos una versión de 64 bits llamada  Adprep.exe.

Si intentamos ejecutar Adprep.exe del DVD de instalación de Windows 2012 en un servidor Windows 2008 SP2, veamos lo que ocurre.

Pero, no pasa nada, ya que a partir de Windows 2012 ya no es necesario, ejecutar forestprep en el maestro de operaciones de esquema para el bosque o domainprep en el maestro de operaciones de infraestructura del dominio. Podemos ejecutar Adprep.exe de forma remota.

Adprep, realiza operaciones de preparación sobre Active Directory que debemos aplicar en los controladores de dominio de nuestro entorno de Active Directory existente, antes de poder promocionar nuevos controladores de dominio que ejecuten versiones superiores de Windows Server.

Por ejemplo, si su organización tiene controladores de dominio que ejecute Windows Server 2003, antes de poder añadir un nuevo controlador de dominio que ejecuta un sistema operativo Windows Server 2008 R2, deberemos preparar nuestro Active directory, para ello buscaremos Adprep32.exe desde la carpeta del DVD de instalación de Windows Server 2008  R2 que anteriormente hemos mencionado, seguidamente ejecutaremos forestprep en el maestro de operaciones de esquema del bosque y después ejecutaremos domainprep y gpprep en el maestro de operaciones de infraestructura para el dominio. De este modo estos prepararan el Active Directory para que pueda albergar, un nuevo controlador de dominio Windows Server 2008 R2.

Para mas información Ejecutar Adprep.exe

Por razones de comodidad, yo suelo copiar la carpeta \Support\Adprep en la unidad de disco local del servidor donde deseo actuar, pero cada uno puede proceder como mejor le convenga.

Hecho esto, nos dirigiremos a la carpeta Adprep, desde linea de comandos.

Ejecutaremos:

Adprep.exe /forestprep

Presionaremos la tecla Enter para ejecutar el comando.

Nos mostrará la siguiente advertencia.

Antes , ejecutar adprep , todos los Controladores de dominio de Windows Active Directory del bosque deberán ejecutar Windows Server 2003 o posterior.

Vas a actualizar el esquema del bosque del Active Directory llamado 'DOM.LOCAL'  que usa el controlador de dominio de Active Directory (maestro de esquema) 'SRV.DOM.LOCAL'.

Esta operación no se puede revertir después de que se complete.

[Acción de Usuario]

Si todos los controladores de dominio en el bosque ejecutan Windows Server 2003 o posterior y desea actualizar el esquema, confirme escribiendo ' C ' y presione la tecla ENTER para continuar. De lo contrario , escriba cualquier otra tecla y presione la tecla ENTER para salir 

En ella podemos comprobar que estamos ejecutando Adprep desde un servidor que no es el maestro de esquema, pero si forma parte del dominio, 'DOM.LOCAL', y de forma automática ha averiguado quien es el maestro de esquema, en nuestro ejemplo, es un servidor Windows 2008 R2 llamado 'SRV.DOM.LOCAL' y va a proceder, en el caso que lo deseemos, a preparar nuestro bosque.

También hemos de tener en cuenta, que no  hemos de tener ningún controlador de dominio anterior a Windows 2003, de ser así, si continuamos con la preparación de Active Directory, este quedaría fuera de funcionamiento.

Como este no es nuestro caso, procederemos a preparar el bosque pulsando la tecla 'C' y seguidamente presionaremos también la tecla Enter.

Nos mostrará cual es la versión actual de esquema, en nuestro ejemplo la 44 y la versión que tendremos al finalizar la preparación, será la 69

Versiones de Esquema de Active Directory

13 - Windows 2000 Server
30 - Windows Server 2003, Windows Server 2003 SP 1, Windows Server 2003 SP 2
31 - Windows Server 2003 R2
44 - Windows Server 2008
47 - Windows Server 2008 R2
56 - Windows Server 2012
69 - Windows Server 2012 R2

Esperaremos, pacientemente a que nos llene toda la pantalla con puntitos.

Después de todos estos puntitos, esperaremos que nos devuelva el mensaje siguiente.

Adprep actualizó correctamente la información de todo el bosque.

Seguidamente prepararemos el dominio, para ello usaremos

Adprep.exe /domainprep

Esto suele ser instantáneo y nos devolverá el siguiente mensaje.

Adprep actualizó correctamente la información de todo el dominio.

Para finalizar actualizaremos el Group Policy Object para ello usaremos el comando.

Adprep.exe /domainprep /gpprep

En nuestro ejemplo, no es necesaria la actualización de GPO. Con esto ya estaríamos preparados para promocionar un nuevo controlador de dominio Windows 2012 R2 en nuestro dominio de Active Directory existente.

Espero os sea de utilidad.

Enlaces relacionados

Microsoft Windows Server 2012 R2 - DCPROMO.

Free-running system clock - w32tm.
Windows 2008 R2 DCPROMO.
Instalar y configurar Servicio de DHCP - Windows 2012.

Active Directory DCPROMO: Despromocionar un controlador de dominio.

En este laboratorio vamos a ver, como despromocionar un controlador de dominio que tenga instalada una versión de sistema operativo Windows 2008 R2 o anteriores, para Windows 2012 el procedimiento es algo distinto.

En primer lugar tenemos que transferir los cinco roles FSMO de nuestro dominio de Active Directory al nuevo controlador de dominio de nuestra red, si no estamos familiarizados con el procedimiento  podemos consultar los enlaces siguientes:

• Active Directory: Transferir funciones FSMO mediante línea de comandos.

• Active Directory: Migrar Roles FSMO de Windows 2003 a 2012 - Parte1.
• Active Directory: Migrar Roles FSMO de Windows 2003 a 2012 - Parte2.
• Active Directory: Migrar Roles FSMO de Windows 2003 a 2012 - Parte3.

Para empezar, iniciaremos el Asistente para la instalación de los servicios de Dominio de Active Directory, nos dirigiremos al menú inicio de nuestro controlador de dominio antiguo que queremos eliminar y en el cuadro de texto, Ejecutar, vamos a escribir el comando DCPROMO.

Configurar IP en VMware vCenter Server Appliance

Para configurar una dirección IP estática, en nuestro servidor VMware vCenter Server Appliance, primero, verificaremos en nuestro servidor de DHCP la dirección IP que ha otorgado a nuestro servidor de Virtual Center.

También podremos comprobar que dirección IP se ha asignado a nuestro VMware vCenter Server Appliance por parte del servidor de DHCP, si nos conectamos usando el cliente de vSphere al servidor host que alberga la maquina virtual de Virtual Center y haciendo uso de la consola  podremos conseguir la información que necesitamos.

Mediante un explorador web, accederemos a dicha dirección agregando el puerto, 5480.

En nuestro ejemplo seria:

https://192.168.57:5480

Validaremos con nuestras credenciales de acceso, por defecto serán:

Usuario: root
Contraseña: vmware

Accederemos en el menú superior a la opción Network, seguidamente en el submenú Status, podremos comprobar la configuración actual de la tarjeta de red de nuestro servidor VMware vCenter Server Appliance.

Nos desplazaremos a la opción del submeú, Address, en el menú desplegable llamado, IPv4 Address Type, cambiaremos la opción predeterminada DHCP a la opción Static.

Podemos ver, que las opciones como la puerta de enlace y los servidores DNS se mantienen por defecto, los que ha proporcionado nuestro servidor de DHCP. Ahora solo deberemos asignar una nueva dirección IP a la tarjeta de red del srvidor de vCenter, usando el cuadro de texto llamado, IPv4 Address, también asignaremos una una mascara de red en en cuadro de texto, Netmask.

Presionaremos el botón Save Settings para guardar los cambios.

Nos advierte que deberemos recargar el Web Interface de forma manual.

Para finalizar, nos dirigiremos en el menú superior a la opción System y presionaremos el botón Reboot.

Hecho esto ya podremos acceder a nuestro VMware vCenter Server Appliance con la nueva dirección de red que hemos asignado.

Espero os sea de utilidad.

Enlaces relacionados

Actualizar esxi 5.1 a 5.5.
Actualizar esxi 4.1 a 5.0

Cómo Licenciar un Host ESXi.

Añadir un nuevo adaptador de red a un virtual switch existente.

Apagar una granja VMware Sphere con IPM.

Como instalar un sistema operativo Windows HP branded en una maquina virtual - Error Failed BIOS Lock.

Configurar un iniciador iSCSI en un Host ESXi 5.0

Configurar Networking para iSCSI VMWare ESXi 5.0

Conversión physical to virtual con VMware vCenter Converter Standalone.

Configurar VMWare Health Analyzer.

Active Directory DCPROMO: Promocionar un controlador de dominio.

Tradicionalmente, la forma de promocionar un servidor a controlador de dominio siempre ha sido, usando el comando Dcpromo.exe. Mediante este comando podemos hacer uso de un asistente gráfico que nos ayuda a instalar o quitar los servicios de dominio de Active Directory (AD DS).

A continuación veremos las opciones del comando Dcpromo.

/Answer [: <filename>  Especifica un archivo de respuesta que contiene los valores y parámetros de instalación.

/unattend [: <filename>] Especifica un archivo de respuesta que contiene los valores y parámetros de instalación. Este comando proporciona la misma función que /answer [: <filename>].

/unattend Especifica una instalación desatendida en el que se proporcionan los parámetros de instalación y los valores en la línea de comandos.

/Adv Realiza una instalación de la operación de medios (IFM).

/UninstallBinaries Desinstala los binarios de AD DS.

/CreateDCAccount Crea una cuenta de dominio de sólo lectura RODC de controlador. Sólo un miembro del grupo Administradores del dominio o del grupo Administradores de empresa puede ejecutar este comando.

/UseExistingAccount: adjuntar Se adjunta un servidor a una cuenta RODC existente. Un miembro del grupo Administradores de dominio o un usuario delegado puede ejecutar este comando.

/? Muestra ayuda para los parámetros de Dcpromo.

/?[: {Promoción | CreateDCAccount | UseExistingAccount | Degradación}] Muestra los parámetros que se aplican a la operación dcpromo.


En este laboratorio, veremos la manera tradicional de de promocionar un servidor a controlador de dominio en un servidor Windows 2008 R2, a partir de Windows 2012 el método varia un poco.

En primer lugar debemos asignar un nombre y una IP definitivos, a nuestro nuevo Controlador de dominio de Active Directory, cambiar el nombre a un controlador de dominio puede no resultar una tarea tan sencilla como lo es en este momento.

Para cambiar el nombre de un Domain Controler con, por ejemplo el nombre, SERVIDOR01 a SRVDC01 deberemos usar el comando NETDOM.

Supongamos que nuestro dominio DOM.LOCAL, accederemos a una consola de comandos y usaremos el comando siguiente.

NETDOM computername SERVIDOR01.DOM.LOCAL /add:SRVDC01.DOM.LOCAL

NETDOM, actualizará los atributos del nombre principal de servicio (SPN) en el directorio activo para la cuenta del equipo en cuestión, y registrara registros de recursos DNS para el nuevo nombre del servidor de dominio.

Estos cambios deben replicarse en todo el dominio y los registros de DNS para del nuevo nombre asignaso al servidor se debe distribuir a todos los servidores DNS autorizados de nuestro dominio DOM.LOCAL, si esto no se hace con sumo cuidado, puede que algunos ordenadores clientes no sean capaces de resolver el nombre del controlador de dominio, es muy importante controlar todo el proceso de replica.

Por eso es muy recomendable, tener bien claro que nombre asignaremos a nuestro nuevo controlador de dominio en este preciso momento, la operación de cambio de nombre de un controlador de dominio es un proceso que prefiero no realizar si no es estrictamente la única solución a un problema.

Teniendo esto claro, empezaremos con el procedimiento de promoción de in servidor a Controlador de Dominio de Active directory.

Nos dirigiremos a el botón inicio y en el cuadro de texto ejecutar, escribiremos DCPROMO.

Esperamos a que compruebe el sistema.

Pasaremos la pantalla se presentación del asistente presionado el botón Siguiente.

Pasaremos la advertencia presionado el botón Siguiente.

Nos solicitará si queremos agregar un nuevo controlador de dominio en un bosque ya existente o por lo contrario queremos crear un nuevo bosque y un nuevo dominio, para nuestro ejemplo crearemos un nuevo dominio.

Presionaremos el botón siguiente para continuar.

Nombres de dominio de Active Directory, por lo general son el sistema de nombres de dominio DNS. Sin embargo, para la compatibilidad con versiones anteriores, cada dominio también tiene un nombre anterior a Windows 2000 para el uso, de los equipos que ejecutan versiones de sistemas operativos anteriores a Windows 2000.

Los nombres de DNS pueden contener sólo caracteres alfabéticos de (A-z), caracteres numéricos de (0-9), el signo menos (-) y el punto (.). Se utilizar el punto (.) sólo cuando se utilizan para delimitar los componentes de los nombres de dominio.

En el sistema de nombres de dominio o DNS de Windows 2000 y Windows Server 2003, admite el uso de caracteres Unicode, pero deberemos evitar siempre los caracteres Unicode sobre todo si hemos de pasar las consultas a servidores que usan servidores de nombres que no son Microsoft.

Las buenas practicas, nos dicen, que para los nombres de dominio de Active Directory nuestro FQDN debe constar de uno o más subdominios que se combinan con un dominio de nivel superior que estará separado por un carácter de punto (.). Seguidamente veremos unos algunos ejemplos.

dom.com
dom.local

corp.dom.com

Nunca debemos utilizar nombres de dominio de etiqueta única, los nombres de etiqueta única consisten en una sola palabra como puede ser "dom". 

Nombres de dominio de Active Directory deben consistir en dos o más etiquetas. Los nombres DNS de etiqueta única no pueden registrarse mediante un registrador de Internet.

Los equipos cliente y los controladores de dominio que se unen a los dominios de etiqueta única, requieren una configuración adicional, para registrar dinámicamente los registros DNS en las zonas DNS de etiqueta única.

Los equipos cliente y los controladores de dominio pueden requerir configuración adicional para resolver consultas DNS en zonas DNS de single label.

Muchas aplicaciones basadas en servidor que son incompatibles con los nombres de dominio de etiqueta única.

El cambio de un dominio de etiqueta única a un nombre DNS completo  no es una tarea fácil. Tenemos dos posibilidades, la primera posibilidad es migrar usuarios, equipos, grupos, etc.. a un nuevo bosque que ya tenga un nombre DNS completo, la segunda seria realizar un cambio de nombre del single label domain existente.

Algunas aplicaciones que podemos tener instaladas en nuestro servidor son incompatibles con un cambio de nombre de dominio. Estas incompatibilidades pueden bloquear la posibilidad de un cambio de nombre de dominio o pueden hacer, que cambiar el nombre de dominio de etiqueta única a un nombre DNS completo sea muy difícil.

Ejemplos de las aplicaciones que son incompatibles con un cambio de nombre de dominio.

Microsoft Exchange 2000 Server

Microsoft Exchange Server 2007

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Internet Security and Acceleration (ISA) Server 2004

Microsoft Live Communications Server 2005

Microsoft Operations Manager 2005

Microsoft SharePoint Portal Server 2003

Microsoft Management Server (SMS) 2003 Sistemas

Microsoft Office Communications Server 2007

Microsoft Office Communications Server 2007 R2

Microsoft System Center Operations Manager 2007 SP1

Administrador de Microsoft System Center Operations 2007 R2

Microsoft Lync Server 2010

Microsoft Lync Server 2013

El Asistente para instalación de Active Directory, Dcpromo, a partir de Windows Server 2008, si intentamos crear un nombre de dominio de etiqueta única, ya advierte que no debemos crear nuevos dominios de estas características. El Asistente para instalación de Active Directory en Windows Server 2008 R2, bloquea explícitamente la creación de single label domain.

Para nuestro ejemplo hemos usaremos e nombre de dominio, DOM.LOCAL, escribiremos pues el nombre de nuestro futuro dominio en el cuatro de texto.

Presionaremos el botón Next para continuar.

Esperaremos pacientemente a que termine el Checking.

Ahora deberemos seleccionar el nivel funcional de nuestro nuevo bosque.

Nivel funcional del bosque Windows 2000 nativo

Están disponibles todas las características predeterminadas de AD DS.

Los controladores de dominio admitidos son

Windows 2000

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Nivel funcional del bosque Windows Server 2003

Están disponibles todas las características predeterminadas de AD DS, además de las siguientes.

Confianza de bosque.

Cambio de nombre de dominio.

La replicación de valores vinculados, permite cambiar la pertenencia a grupos para almacenar y replicar valores para miembros individuales en lugar de replicar toda la pertenencia a grupos como una sola unidad. Para el almacenamiento y la replicación de valores de miembros individuales se usa menos ancho de banda de red y menos ciclos de procesador durante la replicación, y se evita la pérdida de actualizaciones al agregar o quitar varios miembros simultáneamente en distintos controladores de dominio.

Posibilidad de implementar un controlador de dominio de sólo lectura (RODC).

Mejora en la escalabilidad y los algoritmos de comprobación de coherencia de la información (KCC).

El generador de topología entre sitios (ISTG) usa algoritmos mejorados que se escalan para admitir bosques con un número mayor de sitios de los que AD DS admite en el nivel funcional de bosque de Windows 2000. El algoritmo de elección ISTG mejorado es un mecanismo menos intrusivo para elegir el ISTG en el nivel funcional de bosque de Windows 2000.

Posibilidad de crear instancias de la clase auxiliar dinámica llamada dynamicObject en una partición de directorio de dominio

Posibilidad de convertir una instancia de un objeto inetOrgPerson en una instancia de un objeto User y completar la conversión en la otra dirección

Crear instancias de nuevos tipos de grupo para admitir la autorización basada en funciones. 

Estos tipos reciben el nombre de grupos básicos de aplicación y grupos de consulta LDAP

Desactivación y nueva definición de atributos y clases en el esquema

Los controladores de dominio admitidos son

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Nivel funcional del bosque Windows Server 2008

Todas las características disponibles en el nivel funcional del bosque de Windows Server 2003, pero no características adicionales. Sin embargo, todos los dominios que se agreguen posteriormente al bosque funcionarán en el nivel funcional del dominio de Windows Server 2008 de manera predeterminada.

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional del dominio de Windows Server 2003 y las características siguientes:

Compatibilidad con la replicación del Sistema de archivos distribuido (DFS) para SYSVOL, que proporciona una replicación más sólida y detallada del contenido de SYSVOL.

Compatibilidad con los Servicios de cifrado avanzado (AES 128 y 256) para el protocolo de autenticación Kerberos. 

Información acerca del último inicio de sesión interactivo, que muestra la hora del último inicio de sesión interactivo correcto de un usuario, la estación de trabajo desde la que se inició y el número de intentos de inicio de sesión erróneos desde el último inicio de sesión.

Directivas de contraseña muy específicas, que permiten especificar directivas de contraseña y directivas de bloqueo de cuentas para usuarios y grupos de seguridad global en un dominio.

Los controladores de dominio admitidos son

Windows Server 2008

Windows Server 2008 R2

Nivel funcional del bosque Windows Server 2008 R2

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional del dominio de Windows Server 2008 y las características siguientes:

La comprobación del mecanismo de autenticación, que empaqueta la información sobre el tipo de método de inicio de sesión (tarjeta inteligente o nombre de usuario/contraseña) empleado para autenticar a usuarios del dominio dentro del token de Kerberos de cada usuario. Si esta característica está habilitada en un entorno de red que ha implementado una infraestructura de administración de identidades federadas, como Servicios de federación de Active Directory (AD FS), la información del token se puede extraer siempre que un usuario intente obtener acceso a cualquier aplicación para notificaciones que se haya desarrollado para determinar la autorización en función del método de inicio de sesión de un usuario.

Los controladores de dominio admitidos son

Windows Server 2008 R2

Como en nuestro ejemplo solo tendremos un único controlador de dominio y será Windows Server 2008 R2 seleccionaremos el nivel funcional del bosque más alto.

Presionaremos el botón Siguiente para continuar el asistente.

Esperaremos pacientemente.

Seleccionaremos los servicios adicionales que debe tener instalados nuestro nuevo controlador de dominio, en nuestro ejemplo el servidor de DNS, también será de forma inamovible Catalogo Global.

Cuando instalamos un nuevo servidor de Active Directory, se crea el catálogo global para un nuevo bosque de forma automática, en el primer controlador de dominio del bosque, también, se puede agregar la funcion de catálogo global a otros controladores de dominio posteriormente.

El catálogo global permite la búsquedas de objetos en el directorio activo, también resuelve el nombre principal de usuario UPN cuando el controlador de dominio de autenticación no conoce la cuenta de usuario. 

Los controladores de dominio usan el catálogo global para validar las referencias a objetos de otros dominios del bosque. Cuando un controlador de dominio contiene un objeto de directorio con un atributo que contiene una referencia a un objeto de otro dominio, el controlador de dominio valida la referencia poniéndose en contacto con un servidor de catálogo global.

También, proporciona información de pertenencia a grupos universales en los entornos de varios dominios.

Un controlador de dominio siempre puede descubrir grupos locales de dominio y pertenencias al grupo global de cualquier usuario de su dominio, y la pertenencia de estos grupos no se replica en el catálogo global. En un bosque de un único dominio, un controlador de dominio también puede descubrir pertenencias a grupos universales. Sin embargo, los grupos universales pueden tener miembros en diferentes dominios. Por este motivo, el atributo member de los grupos universales, que contiene la lista de miembros del grupo, se replica en el catálogo global. Cuando un usuario de un bosque de varios dominios inicia sesión en un dominio donde se permiten los grupos universales, el controlador de dominio debe ponerse en contacto con un servidor de catálogo global para recuperar cualquier pertenencia a grupos universales que el usuario pueda tener en otros dominios.

Si un servidor de catálogo global no está disponible, cuando un usuario inicia sesión en un dominio donde hay grupos universales disponibles, el equipo cliente del usuario puede usar credenciales almacenadas en caché para iniciar sesión si el usuario ha iniciado sesión en el dominio con anterioridad. Si el usuario no ha iniciado sesión en el dominio previamente, el usuario solo puede iniciar sesión en el equipo local. 

Presionaremos siguiente para continuar con el asistente.

Presionaremos el botón Yes para continuar con el asistente.

Dejaremos los directorios por defecto de la base de datos de Active Directory y presionaremos el botón siguiente para continuar.

Escribiremos una contraseña para el Restore Mode Administrator.

Presionaremos el botón  Next para continuar.

Comprobaremos que todas las selecciones son correctas y presionaremos el botón siguiente para iniciar el proceso de instalación de los servicios de Active Directory.

Esperaremos que el proceso de instalación termine.

Terminado el proceso de instalación, pulsaremos el botón Finish para terminar el asistente.

Reiniciaremos el servidor pulsando el botón Restart Now.

Esperaremos a que el nuevo controlador de dominio reinicie.

Ya podremos acceder con la cuneta de administrador del nuevo dominio DOM.LOCAL.

Podremos comprobar que tenemos instaladas todas las herramientas administrativas de Active Directory.

Tenemos también nuestro nuevo servidor de DNS.

Comprobaremos que nuestro nuevo controlador de dominio es Global Catalog o Catalogo Global.

Espero os sea de utilidad.

Enlaces relacionados

Microsoft Windows Server 2012 R2 - DCPROMO.
Free-running system clock - w32tm.
Despromocionar un controlador de dominio - DCPROMO.