Seminario 5 pecados de Active Directory que pueden costarte tu trabajo

Responde en los comentarios:

  • ¿Comentes alguno de estos pecados?
  • ¿Te ha sucedido alguna desgracia por cometer estos pecados?
  • ¿Quieres agregar más pecados a la lista?

Estas son las preguntas y las respuestas que se realizaron durante el seminario.

Pregunta: ¿Cuál es el comando para proteger las OUs?

Respuesta:
Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | fl DistinguishedName

Para corregir los que estén sin el check:
Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true
Pregunta: ¿Dónde puedo descargar LAPS?
Respuesta: Descarga Local Administrator Password Solution (LAPS)

Pregunta: ¿Qué versión de Windows Server/Active Directory debo tener para poder activar la papelera?
Respuesta: Puedes ver los requerimientos en este vínculo: Requisitos para la papelera de reciclaje de Active Directory

Pregunta: ¿Puedo restaurar el system state a un hardware diferente?
Respuesta: En el siguiente vínculo, encontrarás los pasos para hacerlo: How to perform a disaster recovery restoration of Active Directory on a computer with a different hardware configuration

Pregunta: ¿Cómo puedo hacer un respaldo del system state al disco c:?
Respuesta: Para hacer respaldos del system state al disco c: debes realizar el procedimiento descrito en el siguiente vínculo: Mensaje de error cuando intenta realizar una copia de seguridad de estado del sistema en Windows Server 2008 y Windows Server 2008 R2

Pregunta ¿Dónde puedo aprender más sobre usn rollback?
Respuesta: Puedes ver el siguiente artículo de technet USN Rollback, Virtualized DCs and improvements on Windows Server 2012

Pregunta: ¿Cómo puedo realizar una restauración no autoritativa de Active Directory?
Respuesta: Sigue los pasos descritos en el siguiente artículo: Performing Nonauthoritative Restore of Active Directory Domain Services

How to force an authoritative and non-authoritative synchronization for DFSR-replicated SYSVOL (like «D4/D2» for FRS)

Responses

Tu dirección de correo electrónico no será publicada.

  1. Hola Victor, muchas gracias por el seminario, muy interesante.
    Jeje, yo me confieso y he cometido 4

    un saludo y sigue adelante.

  2. Estimado excelente el video tutorial, con este tema te quisiera hacer una consulta, yo tengo mi dominio en mi win2008 puesto el mismo del sominio publico es decir.

    http://www.midominio.com, asi es mi dominio donde esta mi pagina web y todo.
    Al configurar ad, puse igual el dominio http://www.midominio.com

    Ahora en mi red los clientes que estan bajo ad, cuando consulto por la pagina web y en un explorador de internet ponto http://www.midominio.com se abre una pagina de error del iis delservidor de windows, y no mi pagina web,

    En los clientes de windows, el dns primari es la ip del servidor de ad, y el secundarios es el dns de mi ISP.

    Como puedo hacer para corregir este inconveniente??

    Saludos
    Fernando

    1. Hola Fernando, analicemos lo siguiente:
      Tienes un sitio web externo llamado http://www.preguntaserver.com el cual está hospedado en un servidor cuya dirección IP pública es 23.23.198.96.

      A propósito, este es un sitio donde puedes publicar este tipo de preguntas.

      Cuando un usuario que está fuera de tu oficina intenta cargar esta página, su servidor de DNS le va a resolver la dirección IP pública y podrá conectarse sin problemas.

      Ahora, si un usuario en tu red interna cuyo dominio también se llama preguntaserver.com va a resolver el nombre http://www.preguntaserver.com y tu DNS interno le va a indicar que la dirección no existe y el usuario obtendrá un error en su navegador.

      Lo que debes hacer es crear un nuevo registro llamado «www» dentro de tu zona DNS de Active Directory PreguntaServer.com e indicar que apunta a la dirección IP pública.

      De esta manera cuando un usuario interno, trate de resolver el sitio, va a obtener la IP correcta y se podrá conectar sin problemas.

      Si tienes otros nombres de dominio externos como ftp, correo, remoto, etc, debes crear estos registros también en tu zona DNS interna para que los usuarios de tu red los puedan resolver sin problemas.
      Saludos y me alegra que te gustara el webinar.

      1. Gracias por responder. Mañana voy a probar y te comento cualquier cosa a ver si se soluciona el problema.
        Saludos

      2. Estimado Victor, intente hacer lo que me indicas sin resultados favorables algo estoy haciendo mal.
        En la configuracion de los DNS de mi server tengo

        DNS
        SRV-Datos
        Zonas de busqueda directa
        _msfcs.midominio.com
        midominio.com

        Entonces dentro de midominio.com
        Agrege un nuevo host tipo A
        En host le puse www
        En nombre del dominio completo http://www.midominio.com
        direccion ip la ip de mi servidor remoto

        Pero no me funciona
        Estoy haciendolo bien??

  3. Estimado,
    Víctor.
    Excelente vídeo.
    En cuanto al pecado 1, por ser migración de 2000, 2003 la mayoría de los clientes tendrá el .local u otros. Dado que en la teoría de esa época era como la correcta nomenclatura.

    En el pecado 2 en varias organizaciones he visto que cometen ese error, pero la mayoría esta interesado en hacer una delegación de control de AD o una administración granular, ya sea para AD y/o Exchange 2010.(Por los Roles de Exchange).

    Papelera de Reciclaje:
    Esta característica, viene desde Windows Server 2008 R2.
    En Windows Server 2008 R2, se debe hacer por medio de CLI y en 2012 se puede hacer por medio de GUI. Tal como la mostró.
    Lo importante aquí es que debes aclarar, que puedes tener un AD en Windows 2012 pero con la funcionalidad del bosque y el dominio en 2003 0 2008; no podrá activar la papelera de reciclaje, solo si el nivel Funcional esta en 2008 R2 en adelante.
    Respeto al borrado, también informaste sobre un ID que se crea en los objetos del AD, lo que creo que debe aclararse es que no es un ID como Concepto, sino que crea un SID+RID el cual los diferencia y luego crea un GUID para cada objeto.

    En cuanto al System State, en alguna ocasión escuche que no podría realizar una restauración por medio del System State, pasado 15 días. Tu sabes cuanto dura un ese respaldo???

    Lo de los SnapShot, mira busque mucha información y ademas me comunique con Microsoft, del porque cuando hice la actualizacion de Exchange 2013 a la ultima CU, el SnapShot no era valido ni para los Domain Controller ni para El Exchange. Y no me supieron responder. Ahora con esta información me queda un poco mas claro que se basa en los USN.

  4. Felicitaciones Victor, si no es mucha molestia puedes colocar el comando en powershell para ver las OU’s que no están protegidas por borrado accidental? muchas gracias.

    1. comando que vamos a usar para modificar los permisos de todas las OU’s del directorio activo para proteger contra eliminación accidental es el siguiente:
      For /F “tokens=*” %i in (‘dsquery ou –limit 0’) do dsacls %i /D “everyone”:”SDDT;;”

      Con este comando realizamos una búsqueda de todas las OU’s de AD (‘dsquery ou –limit 0’) y por cada resultado se le hace un dsacls para que el usuario everyone no pueda ni eliminar objetos (SD) ni eliminar los hijos de los objetos (DT).

  5. Wow, increíble las cosas que uno aprende en unos cuantos minutos. Mucho de lo que soy hoy te lo debo a ti. Gracias por tus buenos tutoriales.

    Quiero hacerme de la cuenta para poder certificarme de MCSA pero veo que aun no está terminado completo los vídeos del primer examen, para cuando estarían terminados??

    Saludos,

  6. Victor
    buen día

    La semana pasada estuve viendo el curso de infraestructura de windows server 2003, específicamente la redireccion de carpetas, la cual implemente satisfactoriamente en la empresa donde trabajo.

    El problema que tengo actualmente, es como poder realizar backup en caso lleguen a fallar los discos duros del controlador de dominio, me asigne permisos a nivel de shares y securities pero ha sido insatisfactorio, ¿me puedes indicar los pasos a seguir para solucionar este problema?, ya que actualmente corro el riesgo de perder la información de todos los usuarios de la empresa donde trabajo.