Disaster recovery PCorp para servicios Microsoft

V1.3

Contenido
1 Objetivos y Alcances .............................................................................................................................. 4

1.1 Objetivos del documento ......................................................................................................................................4 1.2 Resumen del documento .......................................................................................................................................4 1.3 Nomenclaturas.......................................................................................................................................................5 1.4 Nombres de Servidores parte del pCorp ...............................................................................................................5 Anlisis de amenazas y Caractersticas de CORP ................................................................................... 5 2.1 Clculo de riesgo ....................................................................................................................................................5 2.2 Anlisis de amenazas en Corp................................................................................................................................5 2.3 Resultado de este Anlisis .....................................................................................................................................6 2.4 Diagrama general de la Infraestructura .................................................................................................................7 2.5 Dependencias entre los sub-sistemas....................................................................................................................7 2.6 Niveles de disponibilidad estimados......................................................................................................................7 Diagnostico y Tareas mitigadoras de primer nivel ................................................................................ 8 3.1 Diagnosticar falla ...................................................................................................................................................8 3.2 Mitigacin de primer nivel en AD y servicios relacionados ...................................................................................8 3.3 Identificar y solucionar contingencia primer nivel en Exchange ...........................................................................9 Procedimientos genricos para DRP ................................................................................................... 10 4.1 Falla de servidor Exchange...................................................................................................................................10 4.2 Restaurar la configuracin del sistema Operativo ...............................................................................................10 4.3 Recuperar la configuracin de un servidor Exchange ..........................................................................................10 4.4 Recuperar servidor como Dial Tone ....................................................................................................................11 4.5 Incrementar el nivel de diagnostico ....................................................................................................................11 4.6 Problemas de inicio System Attendant ................................................................................................................12 4.7 Recuperacin de Cluster ......................................................................................................................................12 4.7.1 Identificacin del origen del error ..................................................................................................................12 4.7.2 Sustituir Nodo Daado ....................................................................................................................................13 4.8 Recuperacin de recursos de disco en cluster .....................................................................................................14 4.8.1 Cambio de firma de discos Cluster ..................................................................................................................14 4.8.2 Restauracin de una base de datos en un clster ..........................................................................................15 4.8.3 Restauracin de un recurso de disco de qurum ...........................................................................................15 4.8.4 Cambiar disco Quorum ...................................................................................................................................15 4.8.5 Cambiar de discos en Cluster (no Quorum) ....................................................................................................15 4.9 Perdida de datos en Base ....................................................................................................................................15 4.10 Recuperacin de base de Datos ...........................................................................................................................16 4.11 Recuperar un Domain Controller .........................................................................................................................17 4.11.1 Restauracin Non Authoritative. .............................................................................................................17 4.11.2 Restauracin Authoritative Active Directory .............................................................................................17 4.11.3 Restauracin Active Directory en un Hardware diferente. ........................................................................18 4.12 Configurar alertas para acceso a archivos sin autorizacin y de intentos de inicio de sesin .............................19 DRP de Exchange ................................................................................................................................. 20 5.1 Falla de servidor Exchange...................................................................................................................................20 5.1.1 Recuperar servidor de Exchange .....................................................................................................................20 5.1.2 Recuperar Servidor Cluster .............................................................................................................................21 5.2 Falla servicio en Exchange ...................................................................................................................................21 5.3 Exchange no encuentra AD o parte de l ............................................................................................................22 5.3.1 No encuentra servidores DC ...........................................................................................................................22 5.3.2 No est disponible AD completa o parcialmente ............................................................................................22 5.3.3 Falla de Base de Datos ....................................................................................................................................22 5.3.4 Recuperacin de algunos Buzones ..................................................................................................................23 5.3.5 Restauracin de Buzn que ha sido Borrado de Exchange. ............................................................................25 5.4 Failover de servicio Cluster ..................................................................................................................................26 5.4.1 Fail-over de Cluster Exchange .........................................................................................................................26 5.4.2 Fail-back al servidor Original ...........................................................................................................................26 DRP de AD ........................................................................................................................................... 27

6.1 Recuperacin de base de Datos de Active Directory ...........................................................................................27 6.1.1 Corrupcin total de Active Directory ..............................................................................................................27 6.1.2 Perdida de datos de Active Directory .............................................................................................................27 6.2 Domain controller con roles FSMO falla ..............................................................................................................28 6.3 Prepare a Domain Controller for Non-Authoritative SYSVOL Restore .................................................................29 7 DRP de DNS y DHCP ............................................................................................................................. 30 7.1 Verificar estado general de DNS server ...............................................................................................................30 7.2 Servicio DNS no inicia ..........................................................................................................................................30 7.3 Falla General de DNS Active Directory .................................................................................................................30 7.4 Perdida o corrupcin de zona DNS ......................................................................................................................31 7.5 Falla de un servidor DHCP ....................................................................................................................................31 7.6 Cliente no obtiene DHCP IP address ....................................................................................................................32 8 Actualizaciones propuestas al pCorp actual ........................................................................................ 33 8.1 Mejorar Servicio DNS ...........................................................................................................................................33 8.2 Mantener Servicio WINS ......................................................................................................................................37 8.3 Mejorar tolerancia a fallas de DHCP ....................................................................................................................38 8.4 Asegurar y optimizar objetos AD .........................................................................................................................40 8.4.1 Configurar fuente de tiempo a la jerarqua de dominio .................................................................................40 8.4.2 Limpiar estructura de Polticas de dominio (GPO) ..........................................................................................40 8.4.3 Fijar y/o Eliminar objetos hurfanos de Active directory ...............................................................................41 8.5 Revisin de AV y excusiones ................................................................................................................................41 8.5.1 Exclusiones de directorios ...............................................................................................................................42 8.5.2 Exclusiones de procesos ..................................................................................................................................42 8.5.3 Exclusiones de extensiones de nombres de archivo .......................................................................................42 8.5.4 Exclusiones actuales ........................................................................................................................................43 8.5.5 Revisar Dsaccess Exchange .............................................................................................................................43 8.5.6 Performance de Domain Controller, opcin con 64 bits .................................................................................43 8.6 Cambiar Plataforma fsica a Vmware ...................................................................................................................44 8.7 Incorporar alternativa Exchange 2010 .................................................................................................................45 8.7.1 Funcionalidades de Exchange 2010 ................................................................................................................45 8.7.2 Alta disponibilidad en Exchange Server 2010 .................................................................................................45 8.7.3 Requerimientos de directorio para Exchange 2010 ........................................................................................46 8.7.4 Diseo Fsico de Exchange Server 2010 ..........................................................................................................47 8.7.5 Consideraciones de Almacenamiento .............................................................................................................47 8.7.6 Requisitos para alta disponibilidad y resistencia de sitios ..............................................................................47 8.7.7 Coexistencia con otras plataformas ................................................................................................................49 8.8 Mejorar el soporte a fallas completas de Datacenter .........................................................................................50 8.8.1 PCorpificacin general de resistencia de sitios ...............................................................................................50 9 Probar pCorp de contingencia ............................................................................................................. 51 9.1 Checklist Configuracin y Pruebas de Dominio ...................................................................................................51 9.2 Checklist Pruebas Servicio Outlook......................................................................................................................52 9.3 Checklist Pruebas de Operacin Plataforma AD/Exchange .................................................................................52 9.4 Checklist Pruebas de Operacin - Clientes de Correo .........................................................................................53 9.5 Checklist Pruebas de Operacin - Disponibilidad del servicio .............................................................................53 9.6 Pruebas Alta Disponibilidad Exchange .................................................................................................................53 10 Anexos ................................................................................................................................................. 55 10.1 Procedimientos disponibles en Internet para Active Directory ...........................................................................55 10.2 Procedimientos disponibles en Internet para Exchange Server ..........................................................................57

1 Objetivos y Alcances
1.1 Objetivos del documento
El objetivo del documento es mejorar el proceso existente de recuperacin a desastres de la plataforma de Microsoft instalada en la infraestructura de Corporacin, principalmente orientado a los servicios crticos tales como mensajera, directorio y servicios de apoyo a redes tales como DNS y DHCP. Muchos tipos de errores pueden implicar la reparacin o restauracin de una o varias partes del sistema. En este documento se intenta definir una estrategia para prepararse y responder ante la eventualidad que se presenten.

1.2 Resumen del documento

Al preparar un pCorp de recuperacin a desastres para la plataforma Microsoft en Corporacin, debemos tener en cuenta muchos factores, y dentro de estos, se incluyen principalmente los siguientes: Productos utilizados Dimensin de la plataforma Fallas que ya se han presentado Visin futura de los requerimientos y el negocio Con estos podemos definir un rea, donde generar un marco de soluciones y alternativas que se pueden considerar en caso de alguna contingencia, ya que las posibilidades son mltiples y siempre habr algo que quede fuera de lo considerado. Basndonos en nuestra experiencia acerca de fallas ms recurrentes se pueden tener un conjunto de situaciones que hay que considerar inicialmente e ir agregando en el futuro otros issues y soluciones a contingencias, ya sea se hayan presentado o se visualicen como posibles. La siguiente lista corresponde a las situaciones que son recurrentes y que requieren un pCorp para abordarlas cuando se produzcan: Para Exchange Falla servidor Exchange o Recuperar servidor de Exchange o Recuperar Servidor Cluster Falla servicio en Exchange Exchange no encuentra AD o No encuentra servidores DC o Corrupcin de Base de datos AD Perdida de datos en Base o Falla completa de Base de Datos o Recuperacin de algunos Buzones Items FailOver de Cluster Para AD Domain Controller falla Domain controller con roles FSMO falla Borrado/corrupcin de Datos parciales de dominio Borrado de un objeto en AD Para DNS Falla de DNS Corrupcin de DNS en AD Para DHCP Falla de un servidor DHCP Cliente no obtiene DHCP IP address

1.3 Nomenclaturas
Este documento cuenta con muchas abreviaciones y siglas propias de la tecnologa utilizada, las ms frecuentemente usadas en este documento son las siguientes: Acrnimo Detalle
AD DC GC MBX OWA VMware ESM ADUC Windows Active Directory ServidorDomain Controller Servidor Catlogo Global Servidor Mailbox, BridgeHead y Public Folder Servidor Outlook Web Access Servicio de virtualizacin VMWare Consola Exchange System Manager (Exch 2003) Consola Active Directory Users and Computers

1.1 Nombres de Servidores parte del plan

Estos servidores tendrn cambios en el software y hardware, por lo cual estas funciones pasarn a ser atendida por un nuevo servidor, los cuales se identificaran ahora con estos nombres:
Servidor
DC1 DC2 DC3 DC6 DC7

Domain IP
192.168.1.51 192.168.1.53 192.168.1.49 192.168.1.52 192.168.1.204

Controllers Rol
DC DC DC DC DC HOLDING HOLDING HOLDING HOLDING HOLDING

Ubicacin
Santiago Santiago Santiago Santiago Santiago

Servidor
BH01 BH03 BH05 OWA1 OWA2 PF01 MBX1 VIRTCLU1 VIRTCLU2 VIRTCLU3 VIRTCLU4

Exchange IP
192.168.2.23 192.168.3.169 192.168.1.242 200.14.104.87 200.14.104.88 192.168.2.26 192.168.4.25 192.168.2.19 192.168.2.11 192.168.2.12 192.168.2.18

Server Rol
BridgeHead BridgeHead BridgeHead Servidor OWA Servidor OWA Servidor PF Server MBX Cluster MBX Cluster MBX Cluster MBX Cluster MBX

Ubicacin
Santiago Santiago Santiago Santiago Santiago Santiago Santiago Santiago Santiago Santiago Santiago

Anlisis de amenazas y Caractersticas

2.1 Clculo de riesgo

Para verificar cuales son los riesgos y como podran impactar a Corporacin en caso de presentarse, se realizar un clculo del riesgo, el cual utiliza como entradas, los activos del sistema de informacin y las amenazas que probablemente pueden afectar al sistema. Dentro del anlisis necesario acerca de los riesgos manejados dentro de la infraestructura de Corporacin, se presenta la siguiente tabla para su clculo, en la que se puede ver columnas de distintos tipos: Columna de los activos (en Gris) Columnas de Amenazas por incidentes catastrficos (en Verde) Columnas de Amenazas por Persona Benigna (en amarillo) Columnas de Amenazas por Persona Malintencionada (en caf) Cada uno de estos activos est valorado en base al impacto que generara una falencia de ste, con un Valor de Activo entre 1 y 5, siendo 1 poco impacto y 5 impacto grave. Adems se considera a cada Activo que es vulnerable a una amenaza, con probabilidad entre 1 y 10 de ser afectado y se evala como lo afectan las amenazas , generando un ndice de Riesgo en base al siguiente clculo:

( Probabilidad Amenazas) * (Valor Activo) = ndice de Riesgo

Como ya existen varias contramedidas implementadas, a algunos activos se los considera protegidos y a otros no. Si este ndice de Riesgo es muy elevado y afecta a un activo no protegido, estamos frente a una Exposicin de ese activo y por lo cual requiere ser considerado como parte de un pCorp de contramedidas.

2.2 Anlisis de amenazas

En la siguiente tabla muestra el detalle los activos, amenazas y contramedidas, con la valorizacin estimada para cada una de ellas:

Cuenta desactivadas

Accesos restringidos

Duplic.HW/Enlaces

Valor Activo (Impacto en caso de falla) 5 2 3 1 4 2 3 4 5 3 2 3 3 4 3 3 4 3 2 2 1 4 3 4 4 4 4 2 1 4 3 2 4 3

Contramedidas Existentes

Datacenter Redundante

Capacitacin

Firewall

Antivirus/Spyware

Redundancia HW

UPS

Activos

Incidentes catastrficos
Corrimiento Tierra/AvaCorpcha Construccin Defectuosa

Pers.benigna Persona malintencionada

Empleado actual descontento Ex-Empleado descontento Empleado desinformado Virus(Cdigo Malicioso) Usuario desinformado

Empleado negligente

Accidente industrial

Clase

Nombre

HW HW HW HW HW SIST SIST SIST SIST SIST SIST SIST SIST SIST SIST SIST SIST SIST SIST SW SW INFO INFO INFO INFO INFO INFO INFO INFO INFO INFO INFO INFO INFO

Centros de datos Equipos de escritorio Notebook PDA Servidores Acceso a VPN Aire acondicionado Almacenamiento de datos Aplicacin ventas Web App.colaboracin Archivos compartidos Correo DHCP service Firewall UPS Servicio de directorio Routers y switch Sistema DNS Sitios Web internos Software de servidor Software de usuario final Cdigo fuente Datos de contacto de clientes Datos de pedidos Datos de publicidad Datos financieros DatosRRHH Informacion infraestructura Documentacin de producto Medios extrables (cintas,CD) Pedidos de proveedores PKI sistema informtico PCorpes estratgicos Tarjetas inteligentes

1 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 1 1 0 1 1 27

1 2 1 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 1 1 0 1 1 25

1 2 2 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 1 1 0 1 0 25

0 1 2 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 2 7

1 1 2 1 1 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 1 1 0 1 1 25

0 1 2 1 1 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 1 1 0 1 1 24

1 1 1 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 0 0 1 1 0 1 0 21

0 0 1 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 4

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

3 8 1 0 3 5 5 3 3 3 3 3 3 3 0 3 3 3 3 1 2 0 1 1 1 1 1 1 1 0 1 0 1 0 70

0 7 7 6 4 4 3 4 4 4 4 4 4 3 2 4 2 4 4 0 0 0 1 2 1 1 1 1 1 0 1 0 1 0 84

6 8 6 0 5 6 0 1 6 6 6 6 6 2 0 6 2 6 6 6 6 0 1 2 0 0 0 0 1 2 1 0 2 0 105

2 3 3 3 1 0 2 1 2 2 1 2 1 1 1 1 1 1 2 2 6 1 1 2 1 1 1 1 2 1 3 1 2 3 58

0 2 2 1 1 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 3 0 1 0 0 0 0 1 1 0 1 1 0 2 18

2 2 2 1 2 2 2 1 2 2 1 2 1 1 1 1 1 1 2 2 6 1 1 2 1 1 1 1 2 1 3 1 2 3 57

0 1 1 0 2 3 0 1 3 3 1 3 1 5 0 1 3 1 3 3 1 1 1 2 1 1 1 1 2 0 2 1 2 0 51

0 1 1 1 1 0 0 1 1 1 0 2 0 1 0 0 0 0 1 0 0 1 1 1 3 1 1 1 2 2 1 1 1 1 28

Espionaje industrial

Corte Red datos

Corte elctrico

Inundacin

Terrorismo

Terremoto

Disturbios

Tormenta

Falla HW

Incendio

Hacker

1 1 1 1 2 1 3 3 2 2 2 2 2 1 1 2 1 2 2 2 6 2 1 2 2 1 1 1 2 1 2 1 2 2 60

0 0 1 0 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 1 1 1 0 0 1 1 2 1 0 0 1 0 12

0 3 3 0 2 1 0 4 3 1 3 3 3 1 0 3 3 3 4 6 9 1 1 0 0 0 0 1 1 0 1 1 0 1 62

95 92 123 20 116 54 63 100 160 93 54 102 81 96 33 81 92 81 66 54 44 32 33 60 40 28 32 20 17 56 66 14 80 57

Esfuerzos Mitigacin

2.3 Resultado de este Anlisis

De la tabla indicada se obtuvieron los resultados requeridos acerca de cuales activos estaban vulnerables y requieren protegerse con contramedida. Estos son los siguientes:
Tipo Activo Hardware Sistemas Nombre Activo Notebook Aplicacin ventas Web Valor 4 5 ndice Riesgo 123 160 Contramedida Debe respaldarse de Carpetas importantes con agente de backup Modelo de 3 capas, DB en cluster, Midleware redundante y aplicacin Web con NLB . Adems se replica el sitio

Indice Vulnerabilidad

Con respecto a otros activos que tambin requieren atencin estn los siguientes:
Tipo Activo Hardware Hardware Sistemas Sistemas Sistemas Nombre Activo Centro de datos Servidores Almacenamientos de Datos Correo Firewall Valor 5 4 4 3 3 ndice Riesgo 105 116 100 102 96 Contramedida Hay dos centros de Datos actualmente Existen varias medidas de proteccin: UPS, redundancia, Cluster, contratos de Mantencin. Redundancia de discos, controladoras, UPS Plataforma distribuida en internet y on-premise Redundancia para el Firewall, control de accesos

2.4 Diagrama general de la Infraestructura

El diagrama incluye varias de las caractersticas que tiene la infraestructura y que se quiere proteger en Corp.

2.5 Dependencias entre los sub-sistemas

En este esquema se pueden detectar las siguientes dependencias simplificadas de los sistemas: Elemento
Clientes Http Clientes MAPI Cliente Dominio

1ra dependencia
Comunicaciones Comunicaciones Comunicaciones

2da dependencia
Firewall Servidores Exchange Servidores DNS

3era dependencia
Servidores Exchange Storage SAN Servidores AD

4ta dependencia
Servidores AD Servidores AD Hardware

Al revisar exhaustivamente podremos ver que siempre se depende de una serie de factores en cadena para que funcione como un conjunto unificado. Dado este conjunto es necesario tener pCorpes de contingencia para todos aquellos sub-sistemas de los cuales hay mas dependencias, ya sea otros sub-sistemas o de clientes finales. Tambin es importante asignar prioridad, aquellos que son vitales para el desempeo del negocio. Tomando ests ideas nos avocaremos a los ms relevantes desde la perspectiva de servicios Microsoft y de los que dependen tanto usuarios como otros sistemas: Active Directory, DNS, DHCP y Exchange server.

2.6 Niveles de disponibilidad estimados

Revisando la tabla adjunta, nos damos cuenta que las caractersticas presentadas se asemejan principalmente a sistema de mensajera de 4to. Nivel. Esto nos da un promedio de inactividad anual de 52,56 minutos, o sea casi 1 hora por ao.

Descripcin del nivel

Nivel de disponibilid ad
99% o superior

Sistema de mensajera de primer nivel : Corresponde a un sistema con las siguientes caractersticas: 1 Firewall con DMZ 1 Servidor de seguridad (ISA, Relay) 1 DC-GC 1 DNS

 1 Exchange Sistema de mensajera de segundo nivel: Un sistema de segundo nivel cumple los requisitos de un sistema de primer nivel, pero tambin incluye varios controladores de dominio, varios servidores DNS, un servidor de supervisin independiente y una solucin de almacenamiento bsica de Storage redundante de discos independientes (RAID) que no est en una SAN. Sistema de mensajera de tercer nivel: Un sistema de mensajera de tercer nivel cumple los requisitos de un sistema de segundo nivel, pero tambin incluye una solucin de almacenamiento RAID de gama media mediante SAN e implementa BaCorpceo de carga de red (NLB) en los servidores Front-end de Exchange. Sistema de mensajera de cuarto nivel: Un sistema de mensajera de cuarto nivel cumple los requisitos de un sistema de tercer nivel, pero tambin incluye una solucin de almacenamiento RAID de gama alta, una solucin SAN de gama alta, copia de seguridad y restauracin mediante el servicio de instantneas de volumen y Organizacin en clster activo/pasivo de Microsoft Windows (con varios nodos pasivos) para todos los servidores de servicios de fondo de Exchange. Sistema de mensajera de quinto nivel: Un sistema de mensajera de quinto nivel cumple los requisitos de un sistema de cuarto nivel, pero tambin incluye conmutacin por error completa del sitio (en caso de que se produzca un error en un sitio) mediante el uso de un diseo de varios sitios que incluye una solucin de organizacin en clster dispersa geogrficamente.

99,5% o superior

99,9% o superior

99,99% o superior

99,999% o superior

3 Diagnostico y Tareas mitigadoras de primer nivel

3.1 Diagnosticar falla
Para el diagnostico de la anomala se debern realizar algunas pruebas para generar el diagnostico para tomar decisiones acerca de cul es el mejor camino para levantar el estado de contingencia, en base a las siguientes preguntas: 1. La falla es aislada a algunos clientes generalizada? 2. Los usuarios se autentican normalmente al dominio de cl.Corp.com? 3. Hay resolucin de nombres DNS? 4. La falla se presenta en los clientes Outlook y OWA? 5. El problema se manifiesta en el correo saliente, entrante o ambos? 6. Los clientes Outlook pueden acceder a su buzn? 7. Otros servicios tales como de directorio estn afectados tambin?

3.2 Mitigacin de primer nivel en AD y servicios relacionados

En algunas oportunidades, se presentan dificultades que tiene impacto en los usuarios pero que la solucin (que puede ser temporal) es relativamente fcil. Es as como es conveniente tener identificado algunos de estos casos ms generales y tener preparado un pCorp para enfrentarlos. Falla
No hay resolucin nombres de Maquina

Solucin
Verificar conectividad con Ping IP DNS server Verificar estado servicio DNS, en servidores DNS Principal Verificar estado servicio WINS, en servidores WINS Principal

Hay problemas con la modificacin y generacin de cuentas Problemas de acceso para un solo servidor Windows

Revisar que todos los roles FSMO, estn funcionando correctamente, en especial schema admin. Ejecutar comando NETDOM QUERY FSMO y verificar si estn operativos esos servidores Registrarlos en DNS Server Ipconfig /registerdns y para Wins con NBTStat RR Verificar conectividad con Ping a: DC1 DC2 Revisar con SET L en estacin con problemas y ver a que servidor se conectan. Luego revisar acceso con ping y nslookup a este servidor. Verificar configuracin de DNS en estacin Verificar aplicacin y actualizacin de Antivirus corporativo Identificar que estacin es la bloquea las cuentas revisando log de eventos Security Revisar conectividad a servidores Proxy: proxy.Corp.cl Conectarse a servidores Proxy: proxy.Corpchile.cl y verificar servicios

Los usuarios no se autentican al dominio

Usuarios se bloquen sus Password recurrentemente Se detectan problemas para Navegar en Internet

3.3 Identificar y solucionar contingencia primer nivel en Exchange

El siguiente cuadro propone algunas orientaciones bsicas para identificar la causa del problema y ojala mantener el servicio operativo a continuacin de descubrir el origen de la contingencia:

Pregunta:
Evaluar Impacto: La falla es aislada generalizada?

Respuesta
En caso de ser aislada (solo algunos clientes):

Accin comprobatoria
Es necesario ver cuantos clientes y como se ven afectados. Ejecutar comando IPconfig para verificar IP recibida y que NO sea 169.254.X.X Ping a <Servidor de Correo> Verificar donde se autentica con comando SET L, debe ser alguno de <Servidores DC>. No puede ser local

En caso de ser total, verificar las condiciones bsicas

1. 2. 3.

Ping <Servidor de DC> para Verificar conexin a DC. Logon con Escritorio Remoto a servidor <Servidor de Correo Cluster> Verificar que los servicios Microsoft Exchange estn arriba : Servicio Debe estar Microsoft Exchange System Attendant Iniciado Iniciado Microsoft Exchange Information Store Iniciado Microsoft Exchange MTA Stacks Iniciado Microsoft Exchange Routing Engine Iniciado Microsoft Exchange Management

4.

La falla se presenta en todos los tipos de clientes

Solo en clientes Outlook (MAPI)

Afecta solo a clientes OWA, POP3 IMAP

El problema se manifiesta solo en correo saliente, entrante?

Solo en correo Saliente

Se presenta en correo entrante

Otros servicios estn afectados tambin?

Si, hay otros servicios

Verificar que el envo de correo hacia y desde Internet est funcionando. Si no funciona revisar los siguientes servidores: BH01, BH03, BH05 5. Verificar conexin a pgina web en internet. Si no funciona hacer ping a www.google.cl y ver si resuelve la direccin (es muy probable que el ping no responda). Si no lo resuelve verificar servicio DNS en DC1. Verificar los pasos 1,2,3,4,5 En consola de ESM Verificar que bases de datos estn Montadas Verificar funcionamiento de acceso RPC con: telnet <Servidor de Correo Cluster> 135 (La Terminal/pantalla debe quedar en negro) Verificar los pasos 1,2,3,4,5 Adems probar desde IExplorer la siguiente URL: http://OWA1/exchange y ver si posible conectarse al servicio OWA Si lo anterior no funciona verificar el estado del servicio en la consola remota del mismo servidor VIRTCLU2, a travs de la siguiente URL: http://VIRTCLU2/exchange. probar con tambin con los siguientes: VIRTCLU1, VIRTCLU3, VIRTCLU4 En el caso de clientes POP3 e IMAP ejecutar los siguientes comandos: telnet OWA1 110 y telnet OWA2 143. Si lo anterior tampoco funciona en la consola remota del mismo servidor OWA1, ejecutar como comando IISRESET Verificar de salida a internet Verificar los pasos 1,2,3,4,5 Verificar las colas de los servidores: BH01, BH03, BH05 Ejecutar comando desde BH01, BH03 y BH05: telnet 192.168.99.164 25 y verificar respuesta de comandos SMTP Verificar envo de correos directamente al servidor MTA: recomendado ver articulo MS: http://support.microsoft.com/kb/153119 Solo para algunos buzones: Verificar los pasos 1,2,3,4 Ver que est direccin SMTP correcta en configuracin de buzn (propiedades, email address) Para todos los buzones: Verificar los pasos 1,2,3,4 Verificar si servicio SMTP est operativo en BH01, BH03 y BH05 a travs de un comando: telnet BH01 25 telnet BH03 25 Desde consola de servidor BH01, BH03 y BH05, seleccionar tracking de correos recibidos en los ltimos 10 minutos. Recomendado ver articulo MS: http://technet.microsoft.com/enus/library/aa997573.aspx Ping a todos: <Servidor de DC> y esperar respuesta Verificar con el comando SET L que la estacin haga logon a alguno de los DC: DC1, DC2, DC3, DC6, DC7 Logon con terminal Service a todos los DC: <Servidor de DC>Verificar en otros server afectados el log de eventos de aplicaciones

4 Procedimientos genricos para DRP

4.1 Falla de servidor Exchange
Una de las fallas ms temidas es la falla del servidor Exchange, principalmente por ser un servicio transversal dentro de las compaas y afecta a todos los perfiles de usuario. A la hora de seleccionar una estrategia de recuperacin ante desastres, es importante que estar familiarizado con los diversos conceptos de recuperacin ante desastres. Restaurar el servidor: Un conjunto de Backup completo incluye un Backup de los datos de estado del sistema, de los programas instalados (binarios) de Exchange y de la mayora de los datos de los discos duros. Reconstruir el servidor: Esta opcin implica la realizacin de una nueva instalacin de Windows Server con la ejecucin de Exchange 2003 en modo de DisasterRecovery y, a continuacin, la restauracin de las bases de datos de Exchange. Utilizar un servidor independiente: Puede usar un servidor de recuperacin independiente como parte de la estrategia de reconstruccin del servidor. Esta opcin implica el mantenimiento de servidores de recuperacin disponibles con el sistema operativo y otro software instalados. Para la recuperacin del servidor fallido pueden haber varias estrategias, pero aqu nos concentraremos en la solucin basado en el rol de servidor y cun rpido se quiere recobrar ste (con o sin todos los datos). Dentro de los roles de los servidores Exchange 2003 estn: Back-end (Servidor bsico, y BridgeHead) y Front-end (servidor OWA).

4.2 Restaurar la configuracin del sistema Operativo

Cuando el servidor de reemplazo est disponible, es importante configurar las particiones de discos de manera idntica al servidor original. Cuando el hardware este configurado adecuadamente se puede iniciar la instalacin del sistema operativo Windows 2003 Server 32-bit. Es importante instalar los componentes de Windows requeridos para Exchange Server 2003 as como los Service pack y Hotfix requeridos. Tambin se debe asignar el mismo nombre de mquina que el servidor original y para lo cual sta ltima debe estar completamente off-line y agregar el servidor recin instalado al dominio Active Directory, previamente reseteando la cuenta de maquina del servidor original, tal como indica la figura:

4.3 Recuperar la configuracin de un servidor Exchange

Se puede recuperar la parametrizacin de un Servidor Exchange fallido, debido a que casi toda la configuracin se puede descargar desde AD. Primero se debe instalar un nuevo servidor con Windows 2003 y luego usando el parmetro /disasterRecovery en el setup de Exchange recuperar la configuracin desde AD. Para realizar una recuperacin de desastres correcta, debe elegir los mismos componentes para la recuperacin de desastres que se instalaron en el servidor que desea recuperar.

10

Compruebe que hay una copia de seguridad vlida de las bases de datos (si se quiere recuperar luego estos). Debe montar los almacenes una vez reiniciado el servidor. La instalacin de una recuperacin de desastres reemplaza la jerarqua de directorios y las claves del Registro sin volver a agregar la informacin a Active Directory. Debe tener el servidor configurado con las mismas unidades de disco para luego pasar los datos Si ejecuta Exchange Server en un clster, NO puede realizar una instalacin con el parmetro /disasterrecovery El parmetro /DisasterRecovery puede ser usado para recuperar la configuracin completa desde Active Directory de todos los tipos de roles de Servidores Exchange 2003 exceptuando aquello es que estn montados en configuracin de Cluster. Adicionalmente a aplicar las configuraciones almacenadas en AD, el Setup re-instala archivos y servicios requeridos para esos roles. Esto significa en la prctica que solo algunas personalizaciones realizadas necesitaran ser recreadas manualmente otra vez, Por ejemplo: Bases de datos, personalizaciones de OWA, certificados SSL.Para estas ltimas se recomienda tambin tener un respaldo en una ubicacin distinta al servidor que se protege. Algunas razones adicionales que motivan la ejecucin de una instalacin de recuperacin de desastres con el comando setup.exe /disasterrecovery son las siguientes: La carpeta Bin ha sido eliminada accidentalmente. Las claves del Registro de MSExchange se eliminan y no hay ninguna copia de seguridad del Registro. Se ha optado por iniciar un servidor con la misma configuracin del fallido, pero sin Datos (conocido como mtodo Dial tone. Es un mtodo rpido de recuperar la operatividad de un servidor que no tenga datos como por ejemplo un Bridge server o OWA)

4.4 Recuperar servidor como Dial Tone

Para mayor flexibilidad en la restauracin de buzones y Mailbox store, hay una caracterstica llamada Recovery Storage Group. El Recovery Storage Group es un Storage Group especializado que puede coexistir con los Storage Group normales de Exchange, aunque el servidor ya cuente con el nmero mximo de stos. Puede restaurar almacenes de buzones de Exchange 2003 desde cualquier Storage Group de la organizacin de Exchange. Despus de restaurar un Mailbox store en el Storage Group de recuperacin, mueva los datos del buzn recuperado desde el Recovery Storage Group al Storage Group normal. Con este mtodo, se puede recuperar un Mailbox Store completo (toda la informacin de la base de datos, incluidos los datos de registro) o un nico buzn. Los buzones del Storage Group de recuperacin estn desconectados y los usuarios con clientes de correo no pueden tener acceso a ellos. No se puede utilizar el Recovery Storage Group para recuperar bases de carpetas pblicas. El Recovery Storage Group tambin permite ofrecer un servicio Exchange Dial-tone Restore de forma rpida tras una falla. Esta capacidad significa que los usuarios pueden crear y recibir correo mientras se estn restaurando sus datos existentes. Con frecuencia, esta manera es la forma ms rpida de restaurar el servicio de correo. Como es probable que el volumen de datos generados por los usuarios sea inferior a la cantidad de datos que hay en la base de datos existente, combinar los datos del Exchange Dial-tone Restore en el Mailbox store original una vez recuperado ste resulta ms rpido que mover el contenido de la base de datos original a un nuevo mailbox Store

4.5 Incrementar el nivel de diagnostico

El nivel de diagnostic Logging determina qu sucesos adicionales de Exchange se escriben en el Event Viewer de Aplicacin. Se puede utilizar el diagnostic Logging para registrar sucesos significativos relacionados con la autenticacin, las conexiones y las acciones de los usuarios. De manera predeterminada, los archivos de logging del Event Viewer son .evt y se encuentran en esta carpeta: %SystemRoot% \System32\Config. El registro de diagnsticos se configura de forma independiente para cada servicio en el servidor. Este procedimiento describe cmo configurar el registro de diagnsticos: 1. En Exchange System Manager, clic derecho en el Exchange server, y seleccionar Properties. 2. En el tab Diagnostics Logging, en la lista Services, seleccionar un servicio Exchange 2003 sobre el cual se incrementar el nivel de logging. 3. En la lista Categories, seleccione la categora y el nivel de logging que se desea.

11

4.6 Problemas de inicio System Attendant

System Attendant es el componente de Exchange 2003 que se encarga de administrar el acceso a AD. El servicio System Attendant incluye diversos componentes internos, como DSAccess y DSProxy, que se comunican con Active Directory y almacenan en cach la informacin de directorios para aumentar la velocidad a la cual se recupera la informacin y para reducir la carga de trabajo en los DC y los catlogo globales. Para realizar troubleshooting podramos seguir el siguiente procedimiento: 1. Haga clic en Start, seleccione Programs, Microsoft Exchange y, a continuacin, haga clic en System Manager. 2. Expanda Organizacin Exchange y, a continuacin, expanda Servers. 3. Haga clic con el botn derecho en el servidor y, despus, haga clic en Properties. Si el System Attendant no se est ejecutando, recibir el mensaje de error siguiente: The Microsoft Exchange System Attendant service is unavailable. Verify that the Server is running and that the System Attendant service has been started. ID no: c1031668 4. Haga clic en el tab Diagnostic Logging y, a continuacin, haga clic en MSExchangeSA en la lista Services. 5. En la lista Categories, haga clic en cada uno de los subcomponentes siguientes y, a continuacin, haga clic en el logging level adecuado en el cuadro Logging Level: o Mailbox Management o NSPI Proxy o RFR Interface o OAL Generator o Proxy Generation o RPC Calls 6. Utilice el Event Viewer para controlar los sucesos registrados. Es posible que System Attendant no se inicie en los escenarios siguientes: El System Attendant de Exchange Server 2003 acta como proxy entre las solicitudes de versiones anteriores de programas cliente (Outlook 97 y Outlook 98) y el servicio de directorio de Microsoft Active Directory, y enva las solicitudes del cliente (para clientes como Outlook 2000) a Active Directory. Si System Attendant no encuentra ningn controlador de dominio al que enviar las solicitudes o referencias proxy, System Attendant no se inicia. Se puede determinar el servidor de destino revisando los sucesos que registra el System Attendant en el Event Viewer. System Attendant carga las siguientes DLL en su espacio de direcciones: o Dsaccess.dll o Dsproxy.dll o Seckm.dll o Abv_dg.dll o Ds2mb.dll o Madfb.dll o Oabgen.dll Si cualquiera de estos archivos falta, est daado o se le han aplicado los permisos incorrectos, el Operador de sistema no se inicia.

4.7 Recuperacin de Cluster

Una diferencia importante en los procesos de recuperacin de desastres para los clsteres es la tarea de identificar el origen del error de un recurso concreto. Si se produce un problema, hay que determinar primero si el error es en un solo nodo (lo que indica que hay problemas con los archivos del nodo) o en todos los nodos (lo que indica que hay problemas con los objetos del clster o con los recursos compartidos del clster). Si no puede reparar el nodo o el clster entero, considere la posibilidad de sustituir el nodo o de recuperar el nodo, el clster o los recursos (como el recurso de disco de qurum, o las bases de datos)

4.7.1 Identificacin del origen del error

Una tarea importante de los procesos de recuperacin de desastres de los clsteres consiste en identificar el origen que provoca el error del recurso. Para determinar el origen del error:

12

Busque en el registro de aplicacin de Event Viewer: Empiece por buscar sucesos MSExchangeCluster. La descripcin debera ayudar a determinar el origen del problema.

Configure el registro detallado del Servicio de Cluster: Aunque los clsteres de servidores registran los errores y sucesos en el registro Sucesos del sistema, puede solucionar el problema con mayor rapidez si habilita el registro detallado del Servicio de Cluster para obtener un archivo de texto denominado Cluster.log. How to Turn On Cluster Logging in Microsoft Cluster Server

4.7.2 Sustituir Nodo Daado

Existen dos alternativas para ejecutar este procedimiento: Sustituya todo el hardware daado del nodo con errores, restaure la copia de seguridad completa de equipo o la copia de seguridad de Windows y vuelva a unir el nodo al clster. Crear un nuevo nodo mediante la instalacin del sistema operativo Windows Server 2003, Exchange y software adicional (como Service Pack). Despus, una el nodo al clster. Asegrese de que el hardware de un nodo de sustitucin es tan bueno o incluso mejor que el hardware de los otros nodos del clster Expulsar el nodo daado del clster de la siguiente forma:

Instalar el sistema operativo Windows Server 2003 y unir el nuevo nodo al dominio. Conectar el nuevo nodo al recurso de disco compartido (SAN). Agregar el nodo de reemplazo al clster.

Instalar Exchange en el nodo de reemplazo. Actualizar con SP y hotFix a Nodo as que tenga el mismo nivel de actualizacin que otros nodos.

13

4.8 Recuperacin de recursos de disco en cluster

Si los recursos de disco utilizados por los grupos del clster estn daados, es posible que se deba sustituir el disco duro con errores y restaurar el contenido del disco perdido a partir de un Backup.

4.8.1 Cambio de firma de discos Cluster

Un clster utiliza firmas de disco para identificar y montar volmenes. Si la firma de disco para un recurso de disco compartido cambia, puede impedir el inicio del Servicio de Cluster. En dicho caso aplicar lo siguiente: 1. Asegrese de que el disco realmente se expone a travs de la conexin compartida sern visible por el sistema operativo. Con Cluster Administrator en System Tools/Device Manager/Disk Drives. Todos los nodos deben ver el mismo nmero de de discos. 2. Si es posible mover todos los recursos de discos a un nico nodo 3. Verificar las firmas de los discos mostrados por dumpcfg, las que deben coincidir con la lista que se deriva de la clave del registro: HKLM/System/CurrentControlSet/Services/Clusdisk/Parameters 4. Si las firmas en la lista no coinciden con la lista de claves del registro, debe identificar correctamente los discos en que sus firmas se ha cambiado y ellos restablecer a las firmas esperadas. Para ello: Apague nodos todos menos uno. Documente el nmero de disco: Computer Management, clic en Storage y, a continuacin, haga clic en Disk Management. En Logical Disk Manager anote el nmero de disco y la etiqueta que est asociado con el disco con errores. Esta informacin es a la izquierda de la informacin de la particin. Por ejemplo: disco 0. Comparar la informacin que se muestra con el mensaje con Description: ID1034 en Event viewer. 5. Si no se ven los discos de DiskMgmt.msc, establecer el servicio Cluster y el clster disk en manual y, a continuacin, reiniciar el nodo (todos los dems nodos deben permanecer apagados). Para ello, seguir esto: Haga clic en Start , seleccione Programs/Administrative Tools y, a continuacin, haga clic en Computer Management. Haga clic en Device Manager en el panel izquierdo y, a continuacin, haga clic en Show Hidden Devices en el men View . En el panel derecho, vea la seccin de unidades que no son Plug and Play y haga doble clic en el Clusdisk Driver. En la ficha Drivers , cambiar la opcin Startup type del System a Disabled. En el panel izquierdo, haga doble clic en " Services and Applications" y, a continuacin, haga clic en "Services". En el panel derecho, haga doble clic en el servicio de Cluster y, a continuacin, haga clic en Disabled en el Startup type . Reinicie el nodo y, a continuacin, repita el paso 1. 6. Escribir la firma que el servicio de Cluster Server espera en el disco: Obtenga la firma esperada de la seccin " Description " de la mensaje de error Event ID 1034. Por ejemplo: "The expected signature of the disk was 12345678.". Copie DumpCfg.exe desde el Kit de recursos de Windows en el nodo local. En el smbolo del sistema, escriba dumpcfg.exe . En la seccin[DISKS] , se muestra el nmero de disco y la firma para todos los discos disponibles. Validar la firma de disco real con la que el servicio Cluster espera. Escribir la firma esperada en el disco utilizando el siguiente comando, donde es 12345678 la firma de disco en formato hexadecimal y 0 es el nmero de disco que reemplaz (que se obtuvo el paso anterior): Dumpcfg.exe -s 12345678 0 7. Establezca el servicio de Cluster Server a automtico y establezca el Cluster Disk al sistema en el nodo. Iniciar el Cluster Disk device e inicie el servicio Cluster. 8. Abra el Administrador de clsteres y, a continuacin, poner el disco en lnea. 9. Encienda todos los dems nodos, uno en uno y pruebe el fail-Over manual.

14

4.8.2 Restauracin de una base de datos en un clster

Si se pierde alguna unidad que contiene archivos de base de datos o archivos de logs, se debe utilizar los backups de las bases de datos para recuperar dichas unidades. Para restaurar un backup de las bases de datos de los nodos de clster de Exchange, debe realizar el procedimiento similar al empleado para restaurar bases de datos de un servidor independiente. La nica diferencia entre estos procesos es que, cuando restaura las bases de datos de los nodos de clster, se utiliza el recurso Nombre de red del equipo Servidor virtual (VS) en lugar de emplear el nombre de equipo.

4.8.3 Restauracin de un recurso de disco de qurum

El recurso qurum es un disco compartido que contiene todos los cambios que se han aplicado a la base de datos del clster. El recurso de disco de qurum es accesible para otros recursos del clster. Ahora si hay un fail-over en otro, todos los nodos del clster tendrn acceso a los cambios ms recientes de la base de datos. Si la unidad que contiene el recurso de disco de qurum se daa, puede utilizar para restaurarla el artculo "Se recupera de un registro de qurum perdido o daado".

4.8.4 Cambiar disco Quorum

La unidad de qurum tiene dos responsabilidades: El log del clster se replica a los dems nodos del clster de servidores (%SystemRoot%\Cluster\Clusdb) Si hay una prdida de comunicacin entre los nodos del clster, se genera una dualidad, en la que el propietario del recurso de qurum disco se convierte en el propietario slo del clster y todos los recursos. Cuando este no funciona correctamente, los nodos supervivientes arbitran para tomar posesin del dispositivo. Utilice el siguiente procedimiento para designar una unidad diferente para el dispositivo de qurum (si el servicio de Cluster Server no puede iniciar porque el disco de qurum no est disponible, utilice el / FIXQUORUM modificador para iniciar el servicio de Cluster Server): 1. Inicie el Cluster Administrator (CluAdmin.exe). 2. Haga clic con el botn derecho en el nombre de clster y, luego haga clic en Properties. 3. Haga clic en el tab Qurum. 4. En el cuadro Quorum resource, haga clic en un recurso de disco diferente. 5. Si el disco tiene ms de una particin, haga clic en la particin donde desea que los datos especficos del clster van a mantener y, a continuacin, haga clic en OK.

4.8.5 Cambiar de discos en Cluster (no Quorum)

Un mtodo simple de realizar esta labor sin tener que asignar nuevas firmas a los discos, ni reconfigurar la aplicacin es el siguiente: 1. Conectar la nueva unidad de disco al cluster 2. Formatear, etiquetar, y asignar alguna letra disponible para el nuevo drive (X:\, por ejemplo) 3. Bajar el grupo del cluster que se est cambiando de unidad (S:\, por ejemplo) 4. Copiar todos los datos (database o archivos) entre las unidades del cluster, desde la que se remover a la nueva unidad ( de S:\ a X:\) 5. A continuacin, en la unidad original, asignar otra Letra disponible (Y:\, por ejemplo) 6. Ahora en la re-asignar letra a nueva unidad. 7. En Cluster administrator, parmetros del recurso de disco, verificar que recurso sea la nueva unidad en base a etiquetas. 8. Bring-on para el grupo, y verificar el correcto funcionamiento 9. Finalmente eliminar del grupo al recurso de disco que tiene antiguo Drive.

4.9 Perdida de datos en Base

Cuando los datos de Exchange resultan daados o se pierden, debe recuperarlos de un Backup. Hay varias situaciones en las que la restauracin a partir de un Backup puede ser necesario, por ejemplo: Una o ms bases de datos de un Storage Group estn daadas: La funcionalidad de restauracin de una nica base de datos de Exchange se puede utilizar para restaurar las bases de datos daadas sin interrumpir el acceso a otras bases en el mismo servidor. Error de hardware que provoca la prdida de los log de transacciones o de las bases de datos: En este caso, es posible que tenga que recuperar todos los grupos de almacenamiento, incluidos sus logs y archivos de base de datos asociados.

15

Error en un servidor de buzn o de carpetas pblicas que requiere la reconstruccin del servidor: En este caso, la recuperacin ante desastres suele implicar la reconstruccin del servidor desde su sistema operativo.

4.10 Recuperacin de base de Datos

Puede haber algunas situaciones en las cuales no tengamos propiamente el backup actualizado disponible y/o no sea conveniente realizar una restauracin por que el misma Backup tambin se encuentra daado. Para esto existe herramientas que se instaCorp junto a los binarios de Exchange que son conocidas como Eseutil e Isinteg. Estas herramientas son utilidades de comando de lnea que ejecutan varias tareas de reparacin y la cuales no han cambiado mucho desde sus primeras versiones. Eseutil e ISinteg, como en sus anteriores versiones est localizada la carpeta Bin bajo el path de instalacin de Exchange que por defecto es C:\Program Files\Microsoft\Exchange Server. Antes de user ESEUTIL e ISINTEG asegurese de lo siguiente: Haga un Backup de la base de datos Exchange incluso si se piensa que esta daada Use ISINTEG y ESEUTIL comprendiendo lo que realmente puede hacer. Asegurese de completer todos los test antes de hacer cambios con ESEUTIL e ISINTEG. Desmontar el Mailbox Store y ahi sera accessible para offline defrag, tests y otros).

Eseutil: Es la herramienta para desfragmentar una base en modo Offline, chequear su integridad y reparar dao o perdida de datos. Tenga en cuenta el espacio libre en disco requerido para ejecutar estas opciones, el cual puede ser al menos el tamao de la base de datos y en cuyo caso podra usar la opcin /t para indicar un almacenamiento temporal. Para revisar desfragmentacin, ejecutar el comando de la siguiente manera, cambiando los path: C:\Program Files\Exchsrvr\Bin\eseutil /MS R:\Program Files\Exchsrvr\MDData1\Priv1.edb Para desfragmentar Offline, ejecutar el comando de la siguiente manera, cambiando los path: C:\Program Files\Exchsrvr\Bin\eseutil /d R:\Program Files\Exchsrvr\MDData1\Priv1.edb Para revisar integridad, ejecutar el comando de la siguiente manera, adecuando los path: C:\Program Files\Exchsrvr\Bin\eseutil /g R:\Program Files\Exchsrvr\MDData1\Priv1.edb Para recuperacin a desastres, asegurese que la base realmente no puede iniciar, revise en el log de eventos la causa de la falla, haga un backup de la base, por ultimo reinicie el servidor y si todo aun no funciona, ejecute el comando de la siguiente manera, modificando los path (hay que tener claro que es posible prdida de datos): C:\Program Files\Exchsrvr\Bin\eseutil /P R:\Program Files\Exchsrvr\MDData1\Priv1.edb Isinteg: Es usado para realizar test del information Store y corregir algunos errores detectados. Debe ejectarse varias veces ISINTEG FIX test alltests hasta que no se reporten errores

16

4.11 Recuperar un Domain Controller

El proceso de restore retorna el controlador de dominio a su estado de tiempo previ a la realizacin del respaldo. Las opciones disponibles para la recuperacin son las siguientes.

4.11.1 Restauracin Non Authoritative.

Aplicable en el caso de que un controlador de dominio se tenga que recuperar de un error de hardware o reemplazo, en casos que los datos en otros controlador de dominio son ms nuevos que los del backup y la restauracin de un controlador de dominio requiera la copia de seguridad ms reciente. Despus del proceso de restauracin, la replicacin de Active Directory se inicia automticamente en base a la propagacin de cualquier cambio de otros Domain Controllers que se produjeron despus de realizada la copia de seguridad. Este proceso de restauracin corresponde a un mecanismo donde se sustituye Active Directory desde el punto de vista de entradas, schema, configuracin y opcionalmente los contextos de nombres de global catalog, segn el tiempo de backup mediante respaldo y replicacin controladores de dominio. La restauracin Non authoritative a travs de MD5 Checksum compara la informacin y contenido de SYSVOL replicando solamente los cambios necesarios. El procedimiento de restauracin fue el siguiente: Reinicia el servidor presionando cuando corresponda la tecla F8. Selecciona modo Directory Services Restore Mode. Selecciona el sistema operativo que se desea iniciar en modo restore. Realiza la autenticacin en modo local (Administrador local del equipo). Ejecutar NTBACKUP y seleccionar Restore Wizard. Seleccionar el apropiado respaldo asegurando que los check box System Disk y System State se encuentren seleccionados. Hacer click en Advanced y asegurarse de que se aplique Restore junctions points. Selecciona Original Location en Drop down box Restore Files to En Advanced Restore options asegurarse que los siguientes campos estn marcados. Restore Security y Restore Junctions point, and restore file and folders data Ander junctions points to the original location. Preserve existing volume mount points. Hacer click en Finish. Una vez completado, haga click en Yes para reiniciar el equipo.

4.11.2 Restauracin Authoritative Active Directory

Este tipo de recuperacin permite seleccionar objetos o subrboles especficos de objetos de un respaldo de Active Directory y restaurarlos en un controlador de dominio. Lo anterior, provoca que la replicacin de Active Directory restablezca el estado de los objetos que sobrescriban las copias actualmente mantenidas en todos los Domain Controllers de dominio (el Estado del sistema). Los objetos restaurados reciben mayor USN que el conjunto actual de objetos de dominio. Bajo este proceso, el volumen SYSVOL es marcado como autoritativo (o maestro) para el resto de controladores de dominio, siendo replicado a quienes conforman la plataforma. Reinicia el servidor presionando cuando corresponda la tecla F8. Selecciona modo Directory Services Restore Mode. Selecciona el sistema operativo que se desea iniciar en modo restore. Realiza la autenticacin en modo local (Administrador local del equipo). Ejecutar NTBACKUP y seleccionar Restore Wizard. Seleccionar el apropiado respaldo asegurando que los check box System Disk y System State se encuentren seleccionados. Hacer click en Advanced y asegurarse de que se aplique Restore junctions points. Selecciona Original Location en Drop down box Restore Files to

17

En Advanced Restore options asegurarse que los siguientes campos estn marcados. Restore Security. Restore Junctions point, and restore file and folders data Ander junctions points to the original location. Preserve existing volume mount points. Hacer click en Finish. Rechazar el reinicio del equipo. Hacer click en Restore Tab.Asegurarse de que este seleccionada la opcin Alternate Location en Restore Files To. Nota: Con esta opcin se restaurar el System State a un ubicacin alternativa, no es necesario para este caso que se restaure el disco de sistema dentro de las selecciones posibles de NTBACKUP para respaldo a un ubicacin alternativa. Este tipo de restauracin solo restaurar SYSVOL, boot files y registro a dicha ubicacin alternativa. Cuando el proceso de restore finalice, cierre la aplicacin NTBACKUP. Luego de lo anterior, abra una ventana de comando y digite ntdsutil, presione Enter. Luego, escriba Authoritative Restore y presiones Enter. Digite, Restore database.En cuadro Authoritative Restore Confirmation Dialog, click OK. Digite Quit, repetidamente hasta salir de la aplicacin. Reinicie el servidor. Una vez que el sistema haya reiniciado y luego de que SYSVOL, haya sido publicado debe copiar los archivos y carpetas desde el directorio SYSVOL a la Ubicacin Alternativa (Alternative Location). Entre los archivos que debe considerar, se encuentra Scripts, Polticas de dominio y polticas de grupo. Por ejemplo: Copie el contenido de la presente carpeta: c:\<AlternateSysvolLocation>\sysvol\c_\winnt\Sysvol\Domain\scripts\. Una vez lo anterior, agregue a la siguiente carpeta: c:\Winnt\SYSVOL\Sysvol\domain\scripts\

4.11.3 Restauracin Active Directory en un Hardware diferente.

El articulo Technet Q263532: Disaster Recovery of Active Directory on Dissimilar Hardware, describe el proceso de levantar Active Directory en otra mquina es para Windows 2000 y no considera las dificultades que entrega la activacin de la licencia en Windows 2003. Por lo tanto este proceso es invlido, y lo mejor es tener tolerancia a falla de Active Directory a travs de otra mquina que tambin sea Domain Controller.

18

4.12 Configurar alertas para acceso a archivos sin autorizacin y de intentos de

inicio de sesin
Puede configurar la utilidad Performance Logs and Alerts para supervisar intentos fallidos de inicio de sesin y de intentos de acceso a archivos del equipo con errores.. Tambin puede configurar alertas para enviar un mensaje y notifica si se produce una potencial infraccin de seguridad. 1. Ir a Herramientas administrativas en Performance Logs and Alerts, haga clic en Alerts . 1. Clic con el botn derecho haga clic en New Alert Settings. En Name, ingrese un nombre que identifique a la alerta 2. Agregue un Comentario con algn detalle de la alerta y luego agregar Counters con botn Add 3. Seleccionar el tem: Use local computer counters y en Performance object clic en Server, y en Select counters from list clic en Errors Access Permissions y luego add 4. Tambien seleccionar: Errors Granted Access y Errors Logon y luego Add, cerrar ventana con Close 5. En el Tab General en cada uno de los counters agregados haga los siguiente: o En el cuadro Alert when the value, click en Over. o En el cuadro Limit , escriba el nmero de errores que pueden producirse antes de generar una alerta. Clic en el tab Action y especificar la accin que desea que se producen cuando se desencadene una alerta: o Si desea que el servicio registros y alertas de rendimiento para crear una entrada en el registro de aplicacin del Event Viewer cuando se produce una alerta, haga clic para seleccionar Log on entry in the application event log. o Si desea que el servicio registros y alertas de rendimiento para desencadenar el servicio Messenger por consola para enviar un mensaje, haga clic para seleccione la casilla de verificacin Send a network message to y, a continuacin, escriba la direccin IP o el nombre del equipo en el que debe aparecer el mensaje alerta. o Para iniciar un registro de counter log cuando una alerta se desencadene, seleccione la casilla de verificacin Start Performance data log y, a continuacin, especifique el registro de contador que desea ejecutar. o Para ejecutar un comando o programa cuando una alerta se produce, active la casilla de verificacin Run this program y, a continuacin, escriba la ruta de acceso del archivo y el nombre del programa o comando que desea ejecutar o haga clic en Browse para buscar el archivo. Cuando se produce una alerta, el servicio crea un proceso y ejecuta el archivo de comando especificado. El servicio tambin copia argumentos de lnea de comandos que defina en la lnea de comandos que se utiliza para ejecutar el archivo. Haga clic en Command Line Arguments y, a continuacin, active las casillas de verificacin para incluir los argumentos que desee cuando se ejecuta el programa. Haga clic en el tab Schedule , especifique el inicio y detener horas para la exploracin y, a continuacin, haga clic en OK . El contador no supervisa error inicios de sesin interactivo en la consola o mediante el protocolo de escritorio remoto (RDP). En su lugar, el contador slo supervisa los inicios de servidor mensaje bloque (SMB) comunicaciones sesin (por ejemplo, cuando un usuario intenta abrir un archivo en el servidor pero carecen de permisos al recurso compartido). El objeto de servidor en el Monitor de rendimiento slo hace referencia a recursos compartidos.

19

5 DRP de Exchange
5.1 Falla de servidor Exchange
Ante la falla de un servidor Exchange, primero identificaremos que rol tiene y a continuacin nos informaremos si corresponde o no a un cluster. Para eso nos apoyaremos en el nombre de la maquina y alguna documentacin y/o conocimiento que podamos rescatar acerca de ella. Los nombres de las maquinas tienen declarado implcitamente varias de sus caractersticas: Por Ejemplo la maquina: 3KPELIMBH01, se puede descomponer en: 3K: Maquina Windows 2003 PE: Del dominio pe.Corp.com LIM: Ubicada en Lima BH : Con rol BridgeHead 01: Correlativo a su numeracin Fuera de esta normativa estn los servidores virtuales de Cluster, los cuales tienen nombre de Arboles, tales como: VIRTCLU2, VIRTCLU1, VIRTCLU3, VIRTCLU4.

5.1.1 Recuperar servidor de Exchange

Para recuperar un servidor con alguno de estos roles debemos tener en cuenta lo siguiente: Bridgehead: Este tipo de servidor se encarga del transporte de los correos dentro y fuera de la organizacin Exchange. Se caracterizan por tener discos con dedicacin exclusiva a colas de mensajes, por lo dems toda la configuracin es posible rescatarla de Active Directory. Para la recuperacin seguir las siguientes instrucciones: 1. Recuperar servidor o equivalente basado en procedimiento:4.1Falla de servidor Exchange 2. Verificar que discos dedicados a Colas sean los equivalentes a los existentes. 3. Ejecutar setup de Exchange en base a comandos indicados en: 4.3 Recuperar la configuracin de un servidor Exchange 4. Aplicar nivel de actualizacin de Exchange que tiene servidor reinstalado: 5. Reiniciar y verificar operacin de Colas de mensajes en servidor recuperado. 6. Instale otras aplicaciones, tales como Antivirus, agentes de monitoreo Outlook Web Access: Un servidor OWA es un servidor que est en la DMZ y tiene varios puertos TCP que lo comunican con la el servidor Exchange Back-end y los Domian Controller. Para su recuperacin, y considerando el hecho que no tiene datos, se remienda como el mtodo apropiado, reinstalar este u otro servidor con setup de recuperacin y seguir los siguientes pasos: 1. Instalar este u otro Hardware nuevo con Windows 2003 Standard: 4.1Falla de servidor Exchange 2. Conectarlo a la red Interna y al dominio 3. Instalar Exchange 2003 standard, con setup de recuperacin: 4.3 Recuperar la configuracin de un servidor Exchange 4. Configurar servidor como Front-end 5. Configurar servidor con la misma IP (DMZ) que mantena el servidor antiguo 6. Trasladar servidor a red DMZ, y probar conectividad 7. Probar funcionamiento de servidor OWA 8. Instale otras aplicaciones, tales como Antivirus, agentes de monitoreo Servidores con Multirol: Son aquellos que en la tabla mostrada al inicio aparecen con el rol Server MBX Server PF. Estos servidores normalmente cumplen la funcin de Bridgehead, Mailbox y Public folder y por lo tanto tienen mutiplicidad de roles. Para ellos el procedimiento de recuperacin es para un servidor Bridgehead server con la salvedad que hay que agregar la recuperacin de Datos: 1. Recuperar servidor o equivalente basado en procedimiento:4.1Falla de servidor Exchange 2. Verificar que discos sean los equivalentes a los existentes. 3. Ejecutar setup de Exchange en base a comandos indicados en: 4.3 Recuperar la configuracin de un servidor Exchange 4. Aplicar nivel de actualizacin de Exchange que tiene servidor reinstalado:

20

5. 6.

Reiniciar y verificar operacin servidor recuperado, conectando clientes, verificando flujo de correo. Instalar otras aplicaciones, tales como Antivirus, agentes de monitoreo

5.1.2 Recuperar Servidor Cluster

En el caso de los servidores que son cluster, el procedimiento que incluye el parmetro /DisasterRecovery no se puede aplicar. Por lo dems los procesos DRP para restaurar clsteres son similares a los de restauracin de datos en servidores stand-alone. Si se produce un error en uno de los nodos de un clster (Fail-over), el Servicio de Cluster Server asume el control del clster. Despus del Fail-over, uno de los posibles nodos propietarios del grupo de recursos intenta tomar control de dicho grupo. Si todos los recursos pueden ponerse en lnea para el nuevo nodo, ese nodo contina realizando las tareas que antes efectuaba el nodo daado. Del mismo modo, si se produce un error en uno de los recursos de un Servidor virtual (VS), el VS se pondr fuera de conexin. Si ninguno de los nodos puede poner en lnea los recursos del VS, los recursos de dicho servidor virtual no estarn disponibles para los clientes hasta que se resuelva el problema. Falla un nodo del cluster: En el caso de falla de un nodo activo, ya sea por fallas en el hardware, conexin a red o energa, se produce el fail-over automtico re-asignado el grupo al nodo pasivo. A continuacin se debe revisar las causas de la falla y una vez que estn identificadas podra aplicar o no el procedimiento descrito en: 4.5.1 Sustituir Nodo Daado. Eso depender de las causas ya que podra ser un simple desconexin de la red elctrica o un apagado accidental de la maquina que es nodo activo. Falla de todos los nodos: Esto indica que hay problemas con los objetos del clster o con los recursos compartidos del clster. En cualquier caso es necesario tener claridad cul es el origen de la falla. En el primer caso o sea falla de alguno de los objetos del cluster, es posible recrear estos de la siguiente forma, tomando nota antes de cualquier configuracin que no sea por default: 1. En Cluster Administrator, click derecho en recurso System Attendant, click Take Offline. 2. Luego Clic derecho en el recurso System Attendant y seleccionar delete. No utilizar la opcin Remove Exchange Server. No habr perdida de datos cuando se borre el recurso System Attendant. Cuando se recree, los objetos de recurso sern creados usando la informacin guardada en Active Directory 3. En el arbl buscar, Resources, boton derecho y apuntar a New, y entonces click en Resource. Complete el wizard para re-crear el recurso System Attendant. La mayora de las opciones no es disponible debido a que son ledas de Active Directory. 4. Asegurese que recurso System Attendant depende de los recursos Disk y Name 5. Asegurese que recurso System Attendant esta recreado en el nodo que es propietario del recurso de disco del Grupo 6. A continuacin los dems recursos sern mostrador en el cluster administrator 7. Reiniciar recursos. Falla Almacenamiento compartido: En el caso que la falla est relacionado a algn componente de disco o dependiente de este, el procedimiento a seguir es alguno de los indicados en: 4.6 Recuperacin de recursos de disco en cluster

5.2 Falla servicio en Exchange

En el caso de falla de un servicio de Exchange el procedimiento necesariamente parte con el anlisis de las causas que ocasionan el problema. Los pasos se pueden resumir de la siguiente manera: 1. Bajar Servicio System attendant y aceptar que se bajen todos los otros 2. Iniciar en el siguiente orden los servicios de Exchange y verificar que suban correctamente o Microsoft Exchange System attendant o Microsoft Exchange Information Store o Microsoft Exchange MTA stacks o Microsoft Exchange Routing Engine 3. Ante la falla de alguno de estos, revisar ID en Event Viewer de Aplicacin. 4. Identificar la causa mas probable y/o el ID con el error 5. Para los issues mas comunes revisar los siguientes artculos: o Microsoft Exchange System Attendant Service does not start, Problemas de inicio System Attendant

21

o The Microsoft Exchange Information Store service does not start o The MTA Stacks service may not start o SMTP Service wont start Si el servicio exchange esta montado en clustering, este ultimo tiene el control de los servicios y todas las operaciones de inicio y bajada de servicios deben realizarse a travs de Cluster Administrator. De igual manera en casoi de falla se deben seguir el orden indicado y verificar en el Event Viewer de aplicacin los efectos de cada subida y bajada de recursos. Podra ser necesario Incrementar el nivel de diagnostic.

5.3 Exchange no encuentra AD o parte de l

Exchange Server 2003 depende completamente del servicio Active Directory para sus operaciones. Active Directory proporciona toda la informacin acerca de buzones, servicios de listas de direcciones y otra informacin relacionada con el destinatario. La mayor parte de la informacin de configuracin de Exchange 2003 se almacena tambin en Active Directory. En los siguientes casos podra presentarse dificultades de acceso al directorio:

5.3.1 No encuentra servidores DC

Los pasos a seguir son los siguientes: 1. Verificar que Domain Controller estn operativos y funcionales 2. Verificar que servidor DNS en Exchange server sea vlido 3. Verificar que Domain Controller responden con el performance adecuado y no estn degradados 4. Con System Manager, Expanda Organizacin Exchange y Servers. Haga clic con el botn derecho en el servidor y, despus, haga clic en Properties. 5. Verificar en Directory Access que cada tems tenga asignado automticamente un servidor

6. 7.

Si no estn asignados automticamente, remover Check Box y asignar manualmente a algun DC que le tengamos confianza en el acceso y la integridad. En caso contrario verificar en Event Viewer de aplicacin ID con error para troubleshooting

5.3.2 No est disponible AD completa o parcialmente

Esto debera corresponder a algn grado de corrupcin de AD y en ese caso habra que actuar con extrema cautela. Normalmente para corregir esto se requiere reparar esa parte del directorio, ya sea la particin de Configuracin o la de Schema. Normalmente para hacer esto hay que tomarla desde algn respaldo vlido, pero debido a que los cambios en esos casos son irreversibles no se puede obtener solo esa particin sin afectar a las otras. Suponiendo que el camino escogido sea aplicar un restore completo este debe ser del tipo autoritativo. Ver la referencia: 4.11.2 Restauracin Authoritative Active Directory

5.3.3 Falla de Base de Datos

Puede haber algunas situaciones en las cuales no tengamos propiamente el backup actualizado disponible y/o no sea conveniente realizar una restauracin por que el misma Backup tambin se encuentra daado. Para esto existe herramientas que se instaCorp junto a los binarios de Exchange que son conocidas como Eseutil e Isinteg. Estas herramientas son utilidades de comando de lnea que ejecutan varias tareas de reparacin y la cuales no han cambiado mucho desde sus primeras versiones. Eseutil e ISinteg, como en sus anteriores versiones est localizada la carpeta Bin bajo el path de instalacin de Exchange que por defecto es C:\Program Files\Microsoft\Exchange Server. Antes de user ESEUTIL e ISINTEG asegurese de lo siguiente:

22

Verifique que los errores indicado en Event Viewer de aplicacin e intente solucin haciendo troubleshooting en base a ID detectado. Haga un Backup de la base de datos Exchange incluso si se piensa que est daada Verifique el espacio libre disponible en disco que sea al menos del mismo tamao de la base Verifique a travs de la forma ms inofensiva de Eseutil propuesta por los switches (para detalles de uso de Eseutil Verificar en 4.10 Recuperacin de base de Datos) 1. eseutil /mh: Indica si el ultlimo shutdown fue limpio 2. eseutil /ml: Similar pero adems revisa los Logs 3. eseutil /mk: Provee informacin del checkpoint 4. eseutil /k: Revisa integridad de information Stores Tambin en el supuesto que falle la base de Datos al montarse debido a un evento: ESE ID 494 - Recovery failed with error -1216. Tambien pueden aparecer ESE BACKUP ID 904 y ID 905 en ese caso aplicar reparacin de log files con Eseutil /R. Finalmente en base a las correcciones y resultados de los comandos anteriores hay que decidir si se ejecuta la reparacin forzada de la base con el parametro: /P

5.3.4 Recuperacin de algunos Buzones

Muchas veces es necesario recuperar solo parcialmente datos borrados o perdidos de una base de datos, la parte ms atomizada que se puede recuperar, es un item de correo o un mail. Para realizar esta tarea se utiliza tanto las opciones de los software de 3ros. como la ventaja ofrecida por Exchange 2003, llamada Recovery Storage Group. Esta opcin de monta una segunda copia de una base de datos que tpicamente se recobr de un backup y que se destina para extraer datos tales como buzones o items de estos, a un buzn en produccin incluso con el usuario conectado. Para realizar esto se utiliza el procedimiento indicado a continuacin: 1. Crear un Recovery Storage Group en Exchange System Manager, siguiendo la imagen

2.

Luego se debe configurar la ubicacin de sus archivos

3.

Se requiere ahora seleccionar la base de Datos que ser recuperada con Add Database to Recover

23

4. 5. 6.

Realizar ahora la recuperacin de la base de Datos con el software de Backup (Tivoli DSM). Verificar que el directorio Recovery Storage Group est limpio y sin archivos. A continuacin la base queda montada y con los mismos Buzones a produccin Se debe realizar entonces la recuperacin del buzn con datos perdidos

7.

La opcin Recovery Mailbox Data, pide que confirmemos el destino final

8.

Es necesario indicar que hacer con los datos recuperados: Merge copy

9.

En el supuesto que se quisieran recuperar todos los buzones de una base de datos se seleccionan todos

24

5.3.5 Restauracin de Buzn que ha sido Borrado de Exchange.

1. Se crea un Recovery Storage Group, con el buzon y ejecutando el restore en servidor. Indicando la opcin this databese can be overwrite by a restore queda de la siguiente forma:

2.

Desde ESM, en tools, indicar MailBox Recovery Center, Advanced, y especificar el Mailbox Store del servidor

3.

Seleccionar los buzones a reconectar e indicar: Find Match y luego Reconnect.

4.

Desde Active Dorectory Users and Computers buscar los buzones que se re-conectaron e indicar Move MaiBox

5.

Mover buzones entre Mailbox store del mismo servidor

6.

Con esto quedan operativos los buzones, y solo resta remover el RSG, para lo cual hay que desmontar el Mailbox store de recuperacin.

25

7.

Finalmente borrar el Mailbox store de recuperacin

5.4 Failover de servicio Cluster

5.4.1 Fail-over de Cluster Exchange
Las causas por que forzar el movimiento hacia el nodo de pasivo del cluster normalmente son: Mantencin Instalacin de Software Mantencin Instalacin de Hardware Es importante tener en cuenta que se debe usar la herramienta cluster administrator para generar el fail-over. Tambin hay que tener en cuenta: 1. Tener ventana de tiempo necesaria para efectuar los trabajos. 2. Conectarse a consola de ambos nodos con terminal Service y con una cuenta privilegios adecuados. 3. Con herramienta "cluster administrator", confirmar cual es el nodo activo y cul es el pasivo

4. En "cluster administrator", seleccionar Grupo Exchange que se desea mover. 5. En este con botn derecho indicar move Group y luego a cual nodo pasivo

5.4.2 Fail-back al servidor Original

Una vez que el servidor original se ha recobrado los pasos para devolver este al nodo activo en produccin son los mismos que el caso anterior, pero indicando el servidor como servidor destino o Reconstruccin completa de cluster o Falla de Quorum Disk o Falla de unidad LUN

26

6 DRP de AD
Que se corrompa Active Directory, no solo implicar que los usuarios NO puedan validarse al Dominio, sino adems no podrn acceder sus recursos y a su correo, ya que el Active Directory contiene la Configuracin de la Organizacin de Exchange. Teniendo en cuenta lo anterior, el AD es una base de datos Multimaster, por lo que se replica constantemente otros Domain Controller existentes en la Foresta, esto quiere decir que la corrupcin ser transmitida a los otros DC.

6.1 Recuperacin de base de Datos de Active Directory

Los mecanismos de recuperacin deben cubrir las siguientes dos causas: Corrupcin Base de datos (Implica Restore Authoritative). Perdida de datos (Implica Restore NO-Authoritative). En cualquier caso de recuperacin de AD, sta se realiza desde un controlador de dominio. As el resto de los Domain Controllers tomarn la base de datos desde ste y sern automticamente recuperados, sin necesidad de recuperarlos todos. En el primer caso la recuperacin nos dejara en un estado similar al cual se tomo el respaldo En el segundo caso solo se restaurarn partes de la particin de Dominio, como por ejemplo una OUy por lo cual requiere una actualizacin del nro. de secuencia. El procedimiento para realizar esta actividad esta descrito a en el subcaptulo 4.11Recuperar un Domain Controller. En cuanto a los tiempos estimados el siguiente cuadro aporta una estimacin:
N Tiempo estimado 1 15 min 2 30 min 3 30 min 4 15 min 5 30 min 6 30 min Total 2,5 hrs Actividad Reiniciar servidor Domain Controller del Sitio, en modo Directory Service Restore Mode (con F8) Restaurar el system state del Domain Controller, sin reiniciar. Ejecutar comando NTDSUTIL -> authoritative restore -> Enter -> restore database Reiniciar el servidor Esperar que la replica mandatoria de Domain Controller, sobre el otro controlador de dominio se ejecute Revisar estado de los objetos de Active Directory

6.1.1 Corrupcin total de Active Directory

Tal como se indic el tipo de restore que se debe realizar aqu es Restore Authoritative, lo cual ocacionar que los datos que queden de restauracin realizada en ese Domain Controller, se replicar a todos los otros del dominio. Para realizar esto seguir la siguiente gua: 1. Asegurarse que la falla requiere una restauracin total del dominio 2. De igual manera tomar como resguardo un backup del System State de algn Domain controller, idealmente un Global Catalog. 3. Seguir las instrucciones indicadas en: 4.11.2 Restauracin Authoritative Active Directory 4. Abrir command prompt y tipear ntdsutil. 5. En el prompt de ntdsutil, tipear authoritative restore. 6. En el Prompt de ntdsutil authoritative restore, escribir restore database. 7. En el cuadro de dialogo Authoritative Restore Confirmation, clic OK. 8. Tipear quit hasta salir de Ntdsutil.exe. 9. Reiniciar servidor. Este sera ahora authoritative para el dominio, y los cambios sern replicados a los otros domain controllers. 10. Verificar replica con comando repadmin /showrepl

6.1.2 Perdida de datos de Active Directory

En este caso se recuperaran datos perdidos de una OU, sin la intencin de afectar toda la base de directorio. Para esto debemos hacer lo siguiente: 1. Asegurarse que la falla requiere la restauracin parcial de AD 2. Para asegurarse tomar un backup del System State de Domain controller, un Global Catalog. 3. Seguir las instrucciones indicadas en: 4.11.1 Restauracin Non Authoritative 4. Abrir command prompt y escribir ntdsutil.

27

5. 6.

En el prompt ntdsutil, tipearauthoritative restore . En prompt ntdsutil authoritative restore, tipear: Restore Subtree OU=ouname,DC=domain,DC=domainroot Por ejemplo, si sin querer se borr la unidad Organizacional Marketing en el dominio cl.Corp.com, escribir: Restore Subtree OU=Marketing, DC=cl,DC=Corp,DC=COM 7. En el cuadro de dialogo Authoritative Restore Confirmation , clic OK. 8. Tipear quit hasta salir de Ntdsutil.exe. 11. Restart el servidor. Esta OU estar marcada como authoritative para el directorio los cambios sern replicados a los otros domain controllers. 9. Verificar replica con comando repadmin /showrepl

6.2 Domain controller con roles FSMO falla

En este caso se requiere reasignar nuevamente los roles para poder operar adecuadamente la plataforma. En el caso del dominio en Santiago: cl.Corp.com, los servidores tienen repartido de las siguiente forma los roles FSMO: Schema owner 3kCorpscldc01.Corp.com Domain role owner 3kCorpscldc01.Corp.com PDC role DC2.cl.Corp.com RID pool manager DC2.cl.Corp.com Infrastructure owner DC3.cl.Corp.com Se puede visualizar que los 5 roles estn repartidos en 2 dominios: Corp.com y cl.Corp.com. Los pasos para forzar nuevos servidores operation Master los siguientes: 1. En el Command Prompt, ejecutar ntdsutil. 2. En el prompt ntdsutil: escribir roles y presionar ENTER. 3. En el prompt fsmo maintenance : escribir connections. 4. En el prompt server connections tipear connect to server servername , donde servername es el nombre de DC que asumir la operacin de master role. 5. Luego que se confirma la conexin, tipear quit y presionar ENTER.. 6. Dependiendo del rol que se piense reasignar, ingrese el comando de la tabla y presione ENTER: Role Credentials Command
Domain Naming Master Schema Master Infrastructure Master PDC Emulator Enterprise Admins Enterprise Admins Domain Admins Domain Admins seize domain naming master seize schema master seize infrastructure master seize pdc

RID Master 7.

Domain Admins

seize rid master

El sistema solicitar una confirmacin. Este entonces intentar transferir el rol. Cuando la transferencia falla alguna informacin de error es mostrada y el sistema procede a la reasignacin. Despus que la transferencia se completa una lista de roles y nombres Ldap que mantiene cada rol es mostrada. 8. Durante la reasignacin del rol de RID master, el que mantiene el rol intenta sincronizar con sus partners de replicacin. Si no puede establecer la comunicacin ser mostrado un Warning y se debe confirmar que se desea trasferir el rol haciendo clic en Yes, para proceder. 9. Tipear quit hasta salir de Ntdsutil.exe. 10. Verificar con comando Netdom query FSMO, ubicacin de los roles

28

6.3 Prepare a Domain Controller for Non-Authoritative SYSVOL Restore

Este procedimiento se aplica cuando se corrompe completamente al estructura de sysvol y es necesario iniciar una restauracin non-autoritativa de SYSVOL mediante la modificacin del valor de la BurFlags (backup/restore flags) entrada en el registro. Cambiando el valor a D2 (hexadecimal) o 210 (decimal) antes de desconectar un controlador de dominio inicia una automtica de restauracin no autoritativa de SYSVOL cuando el controlador de dominio se reinicia. Existen entradas separadas para la configuracin de Burflags: global y para conjunto de replica especifica Para iniciar una restauracin non-autoritativa de SYSVOL cuando es la nica replica que slo est representado en el DC, establezca el valor de BurFlags global en: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup Si otros conjuntos de rplicas estn presentes en el DC y que desea restaurar slo SYSVOL, establezca el valor especfico de la rplica en: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\SYSVOL GUID Modificacin de la entrada BurFlags para conjunto de replica especifica requiere identificar el GUID SYSVOL en el Registro: 1. En cuadro de Run escribir regedit y luego OK. 2. Buscar la clave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters 3. Expandir Parameters. 4. Modificar uande las entradas BurFlags como sigue: Para modificar la entrada BurFlags global: Expandir Backup/Restore, clic en Process at Startup. Para modificar la entrada de un conjunto especifico de replica BurFlags: ExpandIR ambos Cumulative Replica Sets y Replica Sets. Coincidir GUID bajo Replica Sets con los identicos GUID en Cumulative Replica Sets, y clic en el GUID coincidente en Cumulative Replica Sets. 1. En el lado de Detalles, doble-clic BurFlags. 2. En el cuadro Value data escribir D2 hexadecimal o 210 decimal, y luego clic OK

29

7 DRP de DNS y DHCP

7.1 Verificar estado general de DNS server
Los siguientes pasos pueden dar una visin general del estado general del servicio DNS: 1. Ejecutar NetDiag /fix y verificar errores 2. En el caso de DNS server instalados en Domain Controller, revisar que apunten a si mismos como DNS server Principal en propiedade de TCP/IP 3. Revisar errores de replica en consola y en Event Viewer de Directory Service 4. Revisar errores en Event Viewer de DNS server 5. Con comando de lnea Nslookup ejecutar lo siguiente: Ejecutar Nslookup, debera responder correctamente el servidor principal En command Prompt de herramienta, escribir: SET TYPE=SRV Luego tipear lo siguiente: _ldap._tcp.<domain> (por ejemplo: _ldap._tcp.cl.Corp.com) y verificar que en el resultado aparezcan todos los DC Tipear : _gc._tcp.<domain> (por ejemplo: _gc._tcp.cl.Corp.com) y verificar que en el resultado aparezcan todos los Global Catalog. 6. Tambien es posible ejecutar el siguiente comando en los Domain Controller: dcdiag /test:dns

7.2 Servicio DNS no inicia

Si el servidor Principal DNS (donde apuntan en primer lugar tanto clientes como servidores), no inicia el servicio, o est fuera de lnea por cualquier motivo, es necesario haber configurado otros servidores DNS en las propiedades de TCP/IP para que automticamente los clientes utilicen este servidor Secundario para resolver las consultas DNS. Hay que tener en cuenta que si el servicio DNS esta on-line, pero las zonas no estn o tienen problemas no se reasignar al secundario. En dicho caso quizs es mejor dejar fuera de lnea al servidor principal hasta que est completamente operativo con todas sus zonas.

7.3 Falla General de DNS Active Directory

Es posible remover DNS de Active Directory bajo las siguientes situaciones: Se han producido varios errores DNS y mtodos han sido errneos. Servicios que dependen de DNS, como, el servicio de replicacin de archivos (FRS) o Active Directory tienen errores. Adems, los procedimientos de solucin de problemas estndar no ha dado con la causa exacta del problema. DNS tiene creado un servidor DNS secundario o los archivos copiados desde un servidor DNS no admiten actualizaciones dinmicas. Para crear un mejor diseo de espacio de nombre, como, dividiendo los espacios de nombres internos y externos. Para esto hay que quitar DNS y la cach DNS. Luego, debe reconstruir un servidor DNS de Active Directory para configurar estabilidad. Los pasos siguientes pueden quitar la informacin defectuosa en DNS Active Directory: 1. En las propiedades de las zona DNS y cambiarlas a "principal estndar". 2. En carpeta %Systemroot%\Winnt\System32\DNS, cambie de ubicacin los archivos con las zonas DNS. 3. En Active Directory User and Computer, en el men View, clic en Advanced proporties, expanda la carpeta System, clic en MicrosoftDNS y, a continuacin, elimine los objetos de archivo de zona. 4. Para cada servidor DNS integrado en Active Directory, repita los pasos 1-3. 5. En propiedades de TCP/IP del primer servidor DNS integrado en Active Directory, indique a s mismo. Para los otros servidores DNS, seleccione a todos el primer servidor DNS. No cambiar las propiedades de otro servidor DNS Active Directory para que se seale a s mismo, si no hasta que haya confirmado que se ha producido una transferencia de zona completa desde el primer servidor DNS Active Directory. 6. Desactivar el servicio de resolucin de cach, que es un cliente del servidor DNS. En el command Prompt ipconfig /flushdns. 7. Detenga y reinicie el servicio NetLogon y DNS. A continuacin, quite y vuelva a agregar el servicio DNS.

30

Con esto se ha completado el proceso para borrar un servidor DNS. Se debe completar el proceso para servidores DNS adicionales que se pCorpea integrar con Active Directory. Los pasos siguientes crearan una nueva base para DNS, Active Directory y FRS: 1. Configurar todos los servidores DNS para que apunten al mismo servidor DNS en el dominio o bosque 2. Vuelva a agregar el servicio DNS y/o las zonas y configurarlas como integradas a Active Directory. Para evitar problemas, indicar "Permitir actualizaciones dinmicas". 3. Detenga el servicio DNS y el servicio NetLogon. 4. Ejecutar comando ipconfig /flushdns y, a continuacin, ejecutar comando ipconfig /registerdns. Este comando registrar su registro host (A) en DNS, as como el SOA. Ejecutar este comando en otros servidores que son crticos. DHCP client service debe estar corriendo en cada uno de estos equipos para registrar los registros en DNS dinmico. No importa si el equipo es un cliente DHCP o no. 5. DNS integrado a Active Directory trabajar ahora en el primer servidor DNS dinmico. Todava los otros Servidores DNS dinmicos deben apuntar al primer servidor DNS en propiedades TCP/IP. Hay que asegurarse que se ha producido la replicacin completa antes de cambiar las propiedades de TCP/IP para que apunte a s mismo para los otros servidores DNS.

7.4 Perdida o corrupcin de zona DNS

En este caso lo ms rpido y fcil es recurrir a un servidor que tenga la zona en cuestin en buen estado y de ah obtener esta: Configurar la zona directa (Forward Lookup Zone) 1. En el rbol de consola, clic en Forward Lookup Zones. 2. Clic con el botn derecho en Forward Lookup Zones y, despus, haga clic en New Zone. 3. Cuando se inicie el Asistente para zona nueva, haga clic en Next. 4. Haga clic en Secondary Zone y, a continuacin, Next. 5. En el cuadro Name, escriba el nombre de la zona (xxx.Corp.com) 6. En la pgina Master DNS Servers escriba la direccin IP del servidor DNS principal de esta zona, haga clic en Add, en Next y, por ltimo, en Finish. Configurar la zona inversa (Reverse Lookup Zones) 1. Inicie sesin como administrador en el servidor DNS. 2. En consola DNS, clic en nombre de host del servidor DNS. 3. En el rbol de consola, clic en Reverse Lookup Zones. 4. Haga clic con el botn derecho en Reverse Lookup Zones y, despus, haga clic en New Zone. 5. Cuando se inicie el Asistente para zona nueva, clic en Next. 6. Haga clic en Secondary Zone y, a continuacin, Next 7. En Network ID, escriba el identificador de red (por ejemplo, escriba 192.168.0) y haga clic en Next. 8. En la pgina Zone File, haga clic en Next y, despus, haga clic en Finish.
Si al seleccionar una zona en el DNS secundario, recibe el mensaje: Zone not loaded by DNS Server

1. En el servidor DNS con la copia primaria, haga clic en Zona con problema 2. Clic con el botn derecho en la zona y seleccione Properties. Haga clic en tab Zone Transfers. 3. Active el check box Allow zone transfers y luego haga clic en: To any server 4. Haga clic en Apply y despus, en Ok. Esperar algunos minutos y volver intentar seleccionar la zona en DNS secundario. Una vez que la zona esta operativa en servidor secundario, se puede cambiar a Active Directory Integrada siempre y cuando este servidor sea un Domain controller. Esto se puede lograr automticamente al reiniciar el servicio DNS manualmente seleccionando cambio de la zona a integrada en Active directory: 1. Clic derecho en la zona DNS, clic en Properties, clic el tab General, verificar el tipo de la zona que puede ser una de las siguientes: Primary zone, Secondary zone Stub zone. 2. Clic en Change. En el cuadro Change Zone Type, clic para seleccionar el check Box Store the zone in Active Directory (disponible solo en domain controller). Aceptar luego con Yes, y entonces clic OK.

7.5 Falla de un servidor DHCP

Este servicio afecta principalmente a estaciones de trabajo e impresoras. Actualmente los mecanismos de DRP para DHCP en Corporacin, contempCorp lo siguiente solucin:

31

Estructura de comunicaciones que permite la redireccin de bsquedas DHCP para casi todas las localidades en Chile Dos servidores DHCP separados Geogrficamente Scope DHCP divididos en ambos servidores con la mitad de un rango de red Clase C para cada uno (100 direcciones aproximadamente)

7.6 Cliente no obtiene DHCP IP address

Escenario 1: Cambio en la IP en servidor DHCP y luego los clientes no pueden obtener IP address: Un servidor DHCP puede solo entregar direcciones a solicitudes para los scope cuyo Network ID. es el mismo que de su direccin IP. Por esto hay que asegrese de que la direccin IP del servidor cae en el mismo Network ID IP como el scope que est ofreciendo. Por ejemplo, un servidor con direccin IP en el 192.168.0.0 red no puede asignar direcciones de un scope como 10.0.0.0, a menos que se utilice superscoping. Escenario 2: Clientes DHCP estn a travs de routers y no obtienen IP address: Un servidor DHCP puede proporcionar direcciones IP a equipos cliente que abarquen varias subredes, solo si el enrutador que separa puede actuar como un relay agent. Configure un relay agent BOOTP/DHCP en el segmento de los clientes. Este puede ser el propio Router o un equipo con Windows que ejecuta el servicio DHCP relay agent Configurar el scope DHCP asi que coincida con la direccines de red del otro lado del router dnde estn los clientes. Verificar que la mscara de subred sea correcta. No configure default gateway en la tarjeta de red del servidor DHCP de manera que sea la misma direccin que la del router de la subred donde los clientes estn. No incluya el scope de la subred en algn supermbito que se configura en el segmento CORP del servidor DHCP. Asegrese de que slo hay una ruta lgica entre el servidor y los clientes remotos. Escenario 3: Multiples DHCP server existen en la red: Asegrese de que no lo configura varios servidores DHCP en la misma CORP con mbitos se superponen.

32

8 Actualizaciones propuestas al pCorp actual

8.1 Mejorar Servicio DNS
Actualmente en el dominio cl.Corp.com existen 4 domain controller que mantienen el DNS. Estos son entregados por el servicio DHCP a las estaciones de trabajo en el siguiente orden: 1. 192.168.1.51 (primario) 2. 192.168.1.52 (secundario) Estos servidores alojan 98 zonas locales (ver documento de levantamiento) y que adems estn integradas al Active Directory. Cada dominio mantiene una sub-zona en Corp.com y a la cual se le delega autoridad al dominio dueo. Por ejemplo, CORPPERU, tiene autoridad sobre el dominio pe.Corp.com. Adicionalmente estos servidores hacen el reenvo para todas las consultas que no son parte de las 98 zonas locales y las derivan a los servidores del forest root Domain, Corp.com: a) 192.168.2.3 (DC1 forest Corp.com) b) 192.168.2.4 (DC2 forest Corp.com) As como los servidores DNS del dominio cl.Corp.com hacen forwarding a estos servidores, tambin desde todas las ORI se ejecuta un proceso similar, haciendo re-envo para cada zona distinta a las locales. Por ltimo los servidores DNS del forest root Domain, derivan la consulta a otros resolver en Internet: 1. 209.88.205.65 (resolver.altavoz.net) 2. 64.76.144.110 (resolver2.impsat.cl) 3. 64.76.145.110 (dns1.globalcrossing.cl) Este es el procedimiento del diseo original, pero luego de diversos situaciones se ha ido modificando, hasta quedar como ilustra la figura adjunta. En ella se pueden ver con color rojo las rutas de forwarding que indican algn problema en este modelo:

En consideracin a ste diseo/estado y las rutas donde se podra generar una falla, se proponen las siguientes modificaciones para hacer ms robusta la configuracin de DNS service:

33

Tal como ilustra la figura, se puede declarar lo siguiente: Cada servidor DNS en la foresta DNS de Corp.com tendr una copia integrada al Active Directory de las 98 zonas que son propias de la compaa. Los Clientes recibirn como parmetros propios de DHCP, el servidor DNS que corresponda a su dominio y sitio Active directory. El DNS server de cada ORI, tendr como re-envador en primer lugar al DNS de su propio ISP, y con esto las consultas para las zonas que no son locales no llegaran hasta Chile, si no que sern atendidas por un DNS ms cercano. Cada DNS server de una ORI, tendr en segundo lugar de los re-enviadores el DNS de la forest Root Domain Corp.com. Los cuales sern utilizados cuando falle el enlace Internet con el ISP y as la ORI podr seguir funcionando con todos los sistemas internos que corren por la red SITA. En Santiago, los servidores DNS del dominio cl.Corp.com harn el re-envo a los del forest Root Domain Corp.com Los servidores DNS de Corp.com tendrn configurados 3 forwarding: Impsat.cl, Altavoz.net y los servidores DNS de la DMZ (dns.Corpchile.cl). La siguiente tabla muestra como debera ser configurados la entrega de parmetros de DHCP por sitio, asi como la configuracin de forwarding para cada servidor DNS de la organizacin.

34

Sitio

Dominio Corp.com

Servidor DNS 3KCORPSCLDC01 3KCORPSCLDC02

DNS x DHCP

Si ce Servidor DNS, como afecta a los clientes

Forward1 altavoz.net impsat.cl

Forward2 impsat.cl altavoz.net DC2 Corp.com DC2 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com

CL-Santiago cl.Corp.com

DC1 DC6

1er 2do 1er 2do 1er 2do

cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS

DC1 Corp.com DC1 Corp.com ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local

Forward3 DNS3.Corpchile.c l DNS3.Corpchile.c l DNS3.Corpchile.c l DNS3.Corpchile.c l DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com

AR-BuenosAires

ar.Corp.com

3KARBUEDC01 3KARBUEDC02

br.Corp.com BR-Viracopos

3KBRVCPDC01

3KBRSAODC01 BR-SaoPablo br.Corp.com 3KBRSAODC02 DE-Frankfurt eur.Corp.com 3KDEFRADC01 3KDEFRADC02 ec.Corp.com EC-Guayaquil 3KECGYEDC01 3KECUIODC01 EC-Quito ec.Corp.com 3KECUIODC02 ES-Madrid eur.Corp.com 3KESMADDC01 3KESMADDC02 MX-CiudaddeMexico amn.Corp.co m pe.Corp.com PE-Lim-Ato 3KMXMEXDC01 3KMXMEXDC02 3KPELIMDC04 3KPELIMDC01 PE-Lim-Mir pe.Corp.com 3KPELIMDC03 USA-LosAngeles amn.Corp.co m 3KUSLAXDC02 3KUSMIADC01 USA-Miami amn.Corp.co m 3KUSMIADC02 UY-Montevideo uy.Corp.com 3KUYMVDDC01 3KUYMVDDC02 1er 2do 1er 2do 1er 2do 1er 2do 1er 2do 1er 2do 1er 2do 1er 2do 1er 1er 1er 2do 1er 2do

35

La siguiente figura indica el anlisis correspondiente a un diagrama de flujo y como operara el forwarding en caso de una falla:

36

8.2 Mantener Servicio WINS

Es habitual escuchar que el servicio WINS est discontinuado y que ya no se requiere en una estructura de dominio active directory, lo cual en parte es verdad. El servicio WINS es uno de los tantos servicios legacy que existen en la plataforma Microsoft y que permiten soportar soluciones basadas en resoluciones de nombre Netbios usadas por Windows NT, 95, 98 y otras versiones anteriores. Teniendo en cuenta que estas maquinas estn en proceso de extincin en la mayora de las empresas, sera fcil definir que WINS debe ser removido, pero tambin debemos considerar a su favor lo siguiente: Es un mecanismo dinmico (que se actualiza automticamente) para resolver direcciones Administracin centralizada, con poco overead Reduce el Netbios-Broadcast en subredes, permitiendo a los clientes hacer consultas directas a sistemas remotos Dar soporte a clientes de versiones antiguas, de las que siempre quedan algunos Soporta integracin con DNS server, permitiendo a clientes DNS localizar recursos de nombres Netbios, mediante WINS lookup integration. Los clientes por defecto tienen habilitado Netbios sobre TCP/IP En cuanto al orden de resolucin de una consulta Netbios, por ejemplo de una instruccin Net USE, usada por algn logon script es el siguiente: 1. Revisa Cache local 2. Intenta contactar WINS server 3. Usa Broadcast para decubrir maquina 4. Consulta archivo lmhost (solo si est marcado en las propiedades TCP/IP Enable LMHOSTS Lookup) 5. Consulta archivo host 6. Consulta DNS server De acuerdo a esto no tener Wins implicar que la consulta demore mas. En consideracin a todo esto se recomienda que este servicio se mantenga y adems se le practiquen algunas mejoras tales como la integracin de DNS con WINS. WINS se puede usar para buscar nombres DNS, que no se pueden resolver mediante la consulta de dominio DNS. Para lograr la bsqueda de DNs en WINS, se utilizan dos tipos de registros que se habilitan en cualquier zona del servicio DNS: El registro WINS en las zonas de bsqueda directa El registro WINS-R, que se puede habilitar para integrar en las zonas de bsqueda inversa De esta manera la consulta realizada a un servidor DNS, se ejecuta de la siguiente forma: 1. El servidor DNS separa la parte del nombre del host, de la nombre de dominio 2. Si no encuentra ningn registro A y la zona est habilitada para bsquedas WINS, el servidor enva una solicitud de nombre NetBIOS al servidor WINS mediante el nombre de host. 3. Si el servidor WINS puede resolver el nombre, devuelve la direccin IP al servidor DNS. 4. El servidor DNS compila un registro de recursos A utilizando la direccin IP resuelta a travs del servidor WINS y devuelve este registro como respuesta al cliente solicitante. Se recomienda entonces habilitar esta propiedad solo para aquellas zonas DNS que incluyen maquinas registradas dinmicamente en WINS, o sea que contienen estaciones y servidores Windows, por ejemplo: Cl.Corp.com Ar.Corp.com Pe.Corp.com Etc Para ofrecer tolerancia a fallas de este servicio se recomienda mantener la definicin que se entreguen al menos dos WINS server por medio de DHCP, debiendo ser uno de estos el servidor 192.168.1.53 (WINS principal de Holding). Tambin mantener la indicacin que el tipo de nodo sea Hibrido (WINS/NBT Node type=0x8), y por ltimo tambin se recomienda no modificar la estructura de replicas de WINS de tipo HUB, es decir con dos servidores que concentran todas las replicas de los dems, o sea los Wins server de Cl.Corp.com 1. Servidor WINS principal : 192.168.1.53 2. Servidor WINS secundario: 192.168.1.54

37

8.3 Mejorar tolerancia a fallas de DHCP

El servicio DHCP entrega las direcciones IP, as como sus parmetros adicionales a los clientes que son principalmente estaciones e impresoras. Este servicio se encuentra concentrado porcada sitio, siendo el principal el CL-santiago el cual mantiene todos los scope de Chile que suman en total 210. Este servicio se proporciona por dos servidores (DC1 y DC3), los cuales se dividen el rango disponibles de cada scope al 50% cada uno, es decir cada uno entrega la mitad de las direcciones disponibles a arrendar. En caso de falla de un servidor y suponiendo que el otro servidor DHCP est completamente operativo, tendremos a todos los clientes llendo a buscar direcciones a este nico DHCP y es muy probable que para algunas redes exista escases de IP ya que algunas sub-redes tienen habilitados ms de 100 clientes DHCP, y en dicho caso es conveniente identificar cules son estas para poder asignar manualmente el rango completo, o sea 204 direcciones (de la 50 a 254). Es importante documentar esta solucin, para cuando retorne el otro servidor DHCP, poder nuevamente dividir el scope y no existan ambigedades. Por otro lado el periodo de arriendo para DHCP de 8 das, que es el valor recomendado. Acortar el periodo de arriendo podra ser usado para cliente de acceso remoto tales como RRAS, VPN, o clientes mviles, debido a que sus conexiones son habitualmente breves e intermitentes. No hay necesidad de arrendar direcciones por varios das si la sesin dura solo algunas horas. En cuanto a las alternativas a considerar para dar una respuesta en caso de falla de un servidor DHCP, estas se reducen a las siguientes: Scope DHCP divididos Standby Servers Servidores DHCP en Cluster La siguiente tabla muestra las caractersticas de cada alternativa. Solucin
Scope Divididos StandBy server Cluster DHCP

Costo
2 servidores 2 servidores 2 servidores + SAN

Pros
Proteccin Contra corrupcin DB Scope disponible al 100% (sin overhead) Simple administracion, Scope disponible al 100% (sin overhead)

Contras
IP Limitadas Requiere Intervencion Manual, Problemas con update DNS Sin proteccion para database, unico punto de falla

Si consideramos que los scope Divididos ya estn presentes, nos quedan solo 2 alternativas, pero un requisito es hacer la solucin tolerante a fallas completas, como por ejemplo del datacenter, por lo cual habra que descartar el cluster DHCP, ya que no podemos distribuirlo geogrficamente. Nos quedamos solo con la alternativa del standby server, en el cual un servidor DHCP as como sus scope, no estn activos en condiciones normales y solo son habilitados cuando el administrador lo requiere. Para habilitar la configuracin de Stand-by server, sta debe ser un respaldo idntico del primario. Algunas cosas se deben tener en cuenta para la implementacin del Stand-by:

38

Se deben considerar dos servidores Stand By, cada uno podr cubrir en caso de falla de un servidor DHCP en produccin. Nos es posible hacerlo en un solo stand-by que abarque todo el rango de direcciones disponibles que estara superponiendo y entregando direcciones del mismo rango del que an sobrevive. Es conveniente tener algn mecanismo de monitoreo para tener rpido feed-back de que se ha producido la falla de un servidor DHCP y para estar seguro cual es el servidor Stand-by que es necesario subir y no otro. El Stand-by debe usar la misma IP address del servidor DHCP para no cambiar la configuracin de ruteo en la red, ya que los router usan un parmetro llamado IPHelperAddress para localizar al DHCP sin pasar el Broadcast generado por el Request DHCP. Este servidor se debe mantener desconectado de la red de produccin o apagado para evitar conflictos con el servidor principal DHCP. Por las facilidades de administracin y manejo de redes se recomienda una maquina virtual Tambin se debe implementar en el servidor de deteccin de conflictos para evitar que la asignacin de direcciones duplicadas en Consola DHCP, Server, Propiedades, y ah seleccionar un numero ente 1 y 6:

Debido a que la deteccin de conflictos en el servidor ARP e ICMP para detectar duplicados, El Firewall o otros servidores de seguridad que se instaCorp en los clientes de la red podra interferir con la deteccin de conflictos.

Adicionalmente al realizar el anlisis de este servicio se detectaron algunos detalles que requieren atencin y/ correccin: Backup de la base de Datos DHCP o Respaldo Sincrnicos, son automticos cada 60 minutos o Respaldo Asincrnicos (manuales) ejecutados usando el comando de Backup en la consola DHCP o Backups herramientas de backup Tener listado de scope que se encuentran con ms del 50% de uso ya que en caso de falla estos no podrn cubrir todas las necesidades. Completar los scope divididos que en algunos casos no estn presentes en ambos servidores (ver documento de levantamiento)

39

8.4 Asegurar y optimizar objetos AD

8.4.1 Configurar fuente de tiempo a la jerarqua de dominio
Las versiones de Windows 2000/2003/2008/XP/Vista/7 incluyen W32Time, una herramienta del Servicio de hora y necesaria para el protocolo de autenticacin Kerberos. El Servicio de hora de Windows garantiza que todos los equipos que dentro de una organizacin ejecutan Microsoft Windows 2000 o versiones posteriores utilicen la misma hora. Para asegurarse que se utiliza la hora correcta, el Servicio de hora de Windows utiliza una relacin jerrquica que controla la autoridad. Por defecto, los equipos basados en Windows utilizan la siguiente jerarqua: Todos los equipos cliente nominan al controlador de dominio que autentican como su Partner de hora. Todos los servidores stand-alone siguen el mismo proceso que los clientes. Todos los controladores de dominio de un dominio nominan como su Partner de hora al rol PDC Emulator de dominio (PDC). Todos los PDC Emulator obedecen la jerarqua de dominios al seleccionar los partner de hora. Al revisar el levantamiento realizado a la foresta Corp.com, este nos indica que la estructura que permite tener una jerarqua horara para todos los equipos Windows existe. Esto debera funcionar adecuadamente, pero al no poder encontrar una fuente horaria referencial para el rol PDCEmulator del Forest root Domain (Corp.com), no se aplica jerrquicamente esta funcionalidad como debera, indicndose el error is not advertising as a time server. Es por esto que se requiere definir una fuente horaria para la maquina 3kCorpscldc01.Corp.com y de esta forma fijar la cadena. Para hacer esto hay dos alternativas: Indicar una fuente externa (configuracin recomendada y que viene por defecto) Indicar al reloj interno del servidor mismo como su propia fuente La primera alternativa requiere abrir puertos (NTP, TCP/123) en el firewall para obtener la fuente de tiempo, lo cual implica ceder un paso ms en la configuracin de seguridad. Es por esto que muchas veces se opta por indicar al propio servidor PDCEmulator del Forest root Domain que sea una fuente vlida de hora, para l y los dems participes de la jerarqua. Se recomienda usar el siguiente procedimiento para fijar la fuente horaria para el PDC Emulator del forest root Domain: Aplicar el Microsoft Fix it 50394 (http://go.microsoft.com/?linkid=9729247) Aplicar el procedimiento manual o Ejecutar regedit y buscar la subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags o En el panel derecho, haga clic con el botn derecho en clave AnnounceFlags y, a continuacin, Modify. o En Edit DWORD Value, escriba A en el cuadro Value data y OK. Cerrar Editor del Registro. o En command prompt, reiniciar Servicio de tiempo con: net stop w32time && net start w32time. Esta, no es la configuracin recomendada por Microsoft, por lo cual se indicaran algunos eventos en Event Viewer, tales como: Event Source: W32Time /38/47/29/12

8.4.2 Limpiar estructura de Polticas de dominio (GPO)

Luego de verificar el estado de las polticas del dominio cl.Corp.com (HOLDING) con las herramientas: Gpotool, y con Best Practice analyzer tolos, estas mostraron problemas con alguna polticas especificas, las que se deberan corregir y/o Eliminar: 'ALL Internet Explorer - Otras configuraciones (Proyecto Portal SAP & Portal Liferay)', error: File Not Found 'ALL Proxy Settings' error: File Not Found 'ALL Proyecto MIG Informativo CORP USER' error: File Not Found 'IBM CUSTOM' error: File Not Found Otros errores menos importantes encontrados (revisar detalles en documento de levantamiento) fueron los siguientes: 1. CreateTime different between Adm 2. CreateTime different between admfiles.ini La solucin para estos problemas es caso a caso. Veamos como podemos iniciar el troubleshootig de estos: En el primer caso, los errores indicados implican a archivos que no son encontrados. Esto indica alguna dificultad con FRS (File Replication Service). En el segundo caso gpotool detecta diferencias en el timestamp de la poltica alojada en cada Domain controller, y que son producto de algn procedimiento de restore no-authoritative, el cual marcar diferencias entre estas y la nica forma

40

de corregir esto es a travs de Despromosion/Promosin del domian controller lo cual es bastante impactante en la configuracin de la maquina. Este issue Para corrobar mas profundamente el estado de las polticas es posible generar un log de diagnostico, para guardar detallada informacin acerca del procesamiento de las polticas. Este log es conocido como Userenv.log y est localizado en: %windir%\debug\usermode\Userenv.log (http://technet.microsoft.com/en-us/library/cc775423(WS.10).aspx) Para activar es log, es necesario ir a Regedit y configurar lo siguiente: En HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Seleccionar New, y luego clic en DWORD. Entrar el siguiente nombre para el valor DWORD: UserEnvDebugLevel. Entrar 30002 como un valor hexadecimal. Finalmente ejecutar: "gpupdate /force"

8.4.3 Fijar y/o Eliminar objetos hurfanos de Active directory

Dentro de los objetos a fijar o que estn hurfanos que se detectaron los siguientes: 1. El Site de Active Directory USA-NuevaYork no tiene asociado ningn Domain Controllers, por lo cual es intil y solo genera ambigedades para la subred 57.228.151.160/27 (asociada al sitio USA-NuevaYork). Es necesario asociar esta subred a al sitio USA-Miami, y remover el sitio USA-NuevaYork. Al realizar consultas al DNS por los Global Catalogos, este responde entre otros con el servidor: 3kesmaddc02.eur.Corp.com (10.10.157.25) el cual est ubicado en el sitio ES-Madrid-CTO. Esto es errneo ya que ninguno es tal, ni 3kesmaddc02 es un catalogo global, ni el sitio ES-Madrid-CTO existe. Se recomienda editar la zona Corp.com de modo que en sitios no est disponible sta, y tambin remover la entrada de catalogo global para el servidor indicado. Problemas con la particin de aplicacin, DC=DomainDnsZones,DC=cl,DC=Corp,DC=com, muestran el error missing a security descriptor reference Domain en dcdiag. Es necesario configurar el atributo msDS-SDReference-Domain el cual especifica el dominio que se utilizar para la traduccin descriptores de seguridad predeterminados para un nombre que no sea del dominio, en este caso : CN=f992cc89-9cd9-42a2-ab054357fb42ca4f,CN=Partitions,CN=Configuration,DC=Corp,DC=com Revisar y fijar actualizaciones de Antivirus y operacin de agentes EPO. Al revisar servidores Domain Controller y Exchange se encontr que haba algunos que tenan el signature o versin Dat del antivirus desactualizado, en algunos casos con ms de 2 meses de desface. Esto puede redundar en que algn cdigo malicioso reciente podra instalarse en algn servidor y afectar el performance por ejemplo.

2.

3.

4.

8.5 Revisin de AV y excusiones

Las versiones encontradas en los servidores corresponden a VirustScan Enterprise + AntiSpyware Enterprise 8.7.0.i. manejadas por la consola EPO de Mcafee. El siguiente es el estado descubierto en los servidores Domian Controller y servidores Exchange de Corp.com y cl.Corp.com:
Servidor 3KCORPSCLDC01 3KCORPSCLDC02 DC1 DC2 DC3 DC6 BH03 BH05 PF01 MBX1 VIRTCLU1 VIRTCLU2 VIRTCLU3 VIRTCLU4 IP Address 192.168.2.3 192.168.2.4 192.168.1.51 192.168.1.53 192.168.1.49 192.168.1.52 192.168.3.169 192.168.1.242 192.168.2.26 192.168.4.25 192.168.2.19 192.168.2.11 192.168.2.12 192.168.2.18 Engine Antivirus Mcafee 8.7.0.i 8.7.0.i 8.7.0.i 8.7.0.i 8.7.0.i 8.7.0.i 8.7.0.i 8.7.0.i 8.7.0.i (Analisis Real Time off) 8.7.0.i 8.7.0.i 8.7.0.i 8.7.0.i 8.7.0.i Actualizado si si si si No si si si si si si si si si

41

Al implementar analizadores antivirus para archivos en servidores de Exchange 2003, hay que asegrese de realizar las exclusiones apropiadas para los directorios, procesos y extensiones de nombres de archivo tanto en los anlisis programados, as como en tiempo real. Basados en la Referencia articulo MS: http://support.microsoft.com/kb/823166 se indican estas para servidores Exchange 2003 y Domain Controllers.

8.5.1 Exclusiones de directorios

Se debe excluir directorios especficos para cada servidor Exchange donde ejecute un analizador antivirus para archivos: Archivos de log y de base de datos de Exchange en todos los grupos de almacenamiento. De forma predeterminada, se encuentran en la carpeta Exchsrvr\Mdbdata (Verificar en consola Exchange ubicacin definitiva para cada servidor). Archivos del MTA de Exchange de la carpeta Exchsrvr\Mtadata. Archivos de log adicionales como el directorio Exchsrvr\Nombre_servidor.log. La carpeta de servidor virtual Exchsrvr\Mailroot. La carpeta de trabajo que se usa para almacenar los archivos streaming .tmp, utilizados en la conversin de mensajes. De forma predeterminada, esta carpeta se encuentra en \Exchsrvr\Mdbdata, pero puede estar configurada otra ubicacin. Para obtener ms informacin al respecto revisar registro en:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem\Working Directory

La carpeta temporal que se usa junto con utilidades de mantencin offline tal como Eseutil.exe. De forma predeterminada, esta carpeta es la ubicacin desde la que ejecuta los archivos .exe, pero puede configurarla al ejecutar Eseutil.exe. Archivos del Servicio de replicacin de sitios (SRS) en la carpeta Exchsrvr\Srsdata. Archivos del sistema de Servicios de Internet Information Server (IIS) de Microsoft en la carpeta %SystemRoot%\System32\Inetsrv. La carpeta de compresin de Servicios de Internet Information Server (IIS) 6.0 que se utiliza con Outlook Web Access 2003. De forma predeterminada, la carpeta de compresin en IIS 6.0 se encuentra en %systemroot%\IIS Temporary Compressed Files. Para los clsteres, el disco de qurum y la carpeta %Winnt%\Cluster. Cualquier carpeta de programas antivirus de mensajera. La carpeta Exchsrvr\Conndata. Excluya la carpeta que contiene el puntero de control (.chk) en antivirus residentes en memoria y ondemand.

8.5.2 Exclusiones de procesos

Algunos analizadores de archivos AV permiten analizar los procesos. Esto tambin puede afectar negativamente a Microsoft Exchange si se analizan los procesos incorrectos. Se debe excluir los siguientes procesos de los analizadores de archivos. Cdb.exe Cidaemon.exe Store.exe Emsmta.exe Mad.exe Mssearch.exe Inetinfo.exe W3wp.exe

8.5.3 Exclusiones de extensiones de nombres de archivo

Adems de excluir directorios y procesos especficos, como medida secundaria, en caso de que la exclusin de directorios no funcione o se muevan los archivos, debe excluir las siguientes extensiones de nombres de archivo especficas de Exchange.
Extensiones relacionadas con la aplicacin Extensiones relacionadas con bases de datos Extensiones relacionadas con la libreta de direcciones sin conexin: Extensiones relacionadas con el ndice de contenido .config, .dia, .wsb .chk,.log,.edb,.jrs .que .lzx .ci, .wid,.001,.dir,.000,.002

42

Extensiones relacionadas con ForeFront Security para Exchange Server

.avc,.dt,.lst,.cab,.fdb,.mdb,.cfg,.fdm,.ppl,.config,.id e,.set,.da1,.key,.v3d,.dat,.klb,.vdb,.def,.kli,.vdm

8.5.4 Exclusiones actuales

De acuerdo al listado de exclusiones de antivirus que se puede revisar en el documento de levantamiento, las exclusiones indicadas ms arriba cumplen con los requerimientos excepto en el caso de la exclusin de procesos.

8.5.5 Revisar Dsaccess Exchange 8.5.6 Performance de Domain Controller, opcin con 64 bits
Al hacer un muestreo para anlisis en un horario de baja actividad (dia Viernes a las 17.00 hrs), este mostr que los Domain controller de Corp.com y cl.Corp.com, tenan los siguientes valores promedios: Nro. Memoria Memoria Servidor IP Uso CPU Core disponible Total
3KCORPSCLDC01 3KCORPSCLDC02 DC1 DC2 DC3 DC6 BH01 BH03 BH05 PF01 MBX1 VIRTCLU1 VIRTCLU2 VIRTCLU3 VIRTCLU4 192.168.2.3 192.168.2.4 192.168.1.51 192.168.1.53 192.168.1.49 192.168.1.52 192.168.2.23 192.168.3.169 192.168.1.242 192.168.2.26 192.168.4.25 192.168.2.19 192.168.2.11 192.168.2.12 192.168.2.18 3% 26% 39% 11% 54% 1% 22% 78% 1% 54% 6% 40% 9% 27% 57% 2 2 4 4 2 1 2 4 4 2 2 4 4 4 4 128 Mb 280 Mb 85 Mb 480 Mb 200 Mb 200 Mb 80 Mb 550 Mb 2923 Mb 451 Mb 850 Mb 294 Mb 313 Mb 1186 Mb 1439 Mb 1 Gb 1 Gb 2 Gb 2 Gb 1 Gb 512 Mb 2 Gb 2 Gb 4 Gb 2 Gb 2 Gb 4 Gb 4 Gb 3,2 Gb 4 Gb

Esto indica que hay algunos servidores que estn degradados en su performance, en Rojo (grave) y Amarillo (alerta). Estos deben ser potenciados o reemplazados. Por ejemplo, DC1 solo tena al momento de la medicin 85 Mb disponibles de RAM, y lo recomendado es al menos 200 Mb para una respuesta adecuada. Tambin est el caso de BH01, el cual la memoria solo tiene disponible 80 Mb y BH01 donde CPU esta a ms del 78%, y esto finalmente redundar en una percepcin y respuesta lenta de esta mquina. Windows Server 2003 64 bits Hasta hace poco, la gran mayora de servidores disponibles en el mundo, eran servidores de 32 bits basados en el conjunto de instrucciones x86. Los sistemas Windows 32 bits han sido ampliamente implementados por su facilidad de uso y extensa funcionalidad. Hoy da dentro de servidores basados en el set de instrucciones Intel x86, se incluye una nueva clase denominada "x64". Estos servidores cuentan con el mismo conjunto de instrucciones x86, pero con la funcionalidad aadida de 64 bits. Esto significa que pueden ejecutar el software existente de 32 bits, adems del nuevo software de 64 bits. Las ediciones de Windows Server 2003 x64 estn diseadas para el nuevo hardware x64 que es actualmente el estndar de la industria. Los sistemas x64 ofrecen la opcin de ejecutar hoy da sistemas Windows 32 bits, mientras se pasan a sistemas Windows de 64 bits. El siguiente cuadro ilustra las alternativas que existen:
32 bits
Aplicaciones Windows Server Device Drivers Hardware 32 bits 32 bits 32 bits x64

Hibrido
32/64 Bits x64 x64 x64

64 bits Puro
x64 x64 x64 x64

En cuanto a compatibilidad y rendimiento los resultados de pruebas comparativas muestran que las ediciones de Windows Server 2003 x64 cumplen la promesa de ejecutar software de 32 y 64 bits a mayor velocidad. En la siguiente tabla, se compara el aumento de los recursos mximos de equipos basados en versiones de Windows de 64 bits y el procesador Intel de 64 bits con los recursos mximos existentes de 32 bits.

43

Componente Memoria virtual Tamao archivo paginacin Hiperespacio Bloque paginado Bloque no paginado Cach del sistema PTEs de sistema

Windows 64 bits 16 terabytes 512 terabytes 8 GB 128 GB 128 GB 1 terabyte 128 GB

Windows 32 bits 4 GB 16 terabytes 4 MB 470 MB 256 MB 1 GB 660 MB

La memoria virtual es mtodo para extender la memoria fsica disponible de un equipo. El sistema operativo crea un archivo de paginacin, y divide la memoria en unidades denominadas pginas. Una consideracin importante es que incluso las aplicaciones de 32 bits se beneficiarn de un mayor espacio de direcciones de memoria virtual cuando se ejecuten en versiones Windows 64 bits. Las aplicaciones que son compiladas con la opcin /LARGEADDRESSAWARE para aprovechar el parametro /3GB (boot.ini) en Windows de 32 bits, podrn direccionar automticamente 4 GB de memoria virtual sin ningn modificador en el booteo y sin hacer ningn cambios en Windows de 64 bits. Adems, el sistema operativo no tiene que compartir esos 4 GB de espacio. Por tanto, no hay ninguna restriccin. Al escoger instalar el sistema en 64 bits, debemos asegurarnos que el servidor como las aplicaciones soporten los 64 bits. En el caso de la mquina, prcticamente todos los procesadores actuales soportan los 64 bits (a partir de 2008). Para instalar un servidor Windows 2003 64 bits, se necesitar al menos 4 Gb de RAM (se puede instalar con menos, pero entonces rendira menos que la versin de 32 bits). En lo que respecta a las aplicaciones de 32 bits que se instalen en 64bits, la mayora funcionan sin problemas, aunque habra que asegurarse con la informacin que d el fabricante de las mismas, ya que es posible que en algn caso se necesite alguna actualizacin o parche. Para verificar consideraciones de compatibilidad tambin se recomienda el siguiente URL de Microsoft: http://support.microsoft.com/kb/896456/en-us Se recomienda entonces por las ventajas que ofrece principalmente en el manejo de memoria, gradualmente reemplazar los Domain Controllers Windows server 2003 a la versin equivalente 64 bits, con 4 Gb de RAM al menos. Ahora si se quiere utilizar la versin Windows server 2003 R2, se deber tener en cuenta que es necesario hacer una extensin del schema de active directory (va utilidad adprep), ya que es requerido para instalar un Domain controller con esta versin. Otros servidores Microsoft que podran ser candidatos a ser migrados a versiones 64 bits son los File Share y Print Share, los cuales podran ser migrados directamente a la versin Windows Server 2008 R2 sin otra consideracin que las diferencias que en cuanto a la administracin de estos productos.

8.6 Cambiar Plataforma fsica a Vmware

Las ventajas de la virtualizacin son muchas, tanto que el Grupo Gartner, dice lo siguiente: "Las empresas que no adopten dentro de su estrategia de IT la virtualizacin pagarn, de aqu al 2008, casi un 40% ms en costes de adquisicin, y prcticamente un 20% ms en costes de administracin". La virtualizacin se asocia con: Consolidacin de servidores. Aumento de la disponibilidad, reduccin de downtime. Reduccin de los costos de administracin. Mejora de las polticas de backup, recuperacin gil mediante puntos de control de las mquinas virtuales. Aprovechamiento ptimo de los recursos disponibles. Respuesta rpida ante cambios bajo demanda. Continuidad de negocio y recuperacin ante desastres. En caso de fallo de un sistema fsico, los sistemas lgicos all contenidos pueden distribuirse dinmicamente a otros sistemas. Escalabilidad. Crecimiento gil con contencin de costes. Virtual appliance: mquinas virtuales preconfiguradas, cargar y funcionar. Mquinas en-package y preconfiguradas para desempear una funcin determinada. Mantenimiento de aplicaciones heredadas. Aplicaciones propietarias que no han sido adaptadas a las nuevas versiones de sistema operativo. Eficiencia energtica. Eficiencia de uso de espacio fsico Al considerar todas estas ventajas, el proceso natural es tender a pasar la mayora de los sistemas a ambientes virtualizado, existiendo dos mtodos para lograr este objetivo en plataforma Vmware: Crear la maquina virtual y traspasar manualmente los servicios

44

 Usar herramienta de PTV tal como Vmware vCenter Converter Es recomendable antes de pasar un sistema a servidor Virtual, cerciorase que la aplicacin ser completamente soportada en el ambiente virtualizado. Para aplicaciones Microsoft se recomienda usar el wizard indicada en la URL, para cualquier ambiente Virtual: www.windowsservercatalog.com

8.7 Incorporar alternativa Exchange 2010

Los siguientes son los roles que puede tener un servidor Exchange 2010, y pueden convivir en un solo equipo o no, dependiendo de las caractersticas y funcionalidad de la solucin diseada: Mailbox Server: Responsable de almacenar los buzones de correo y las bases de datos Public folders. Client Access Server: Permite el acceso a los buzones desde mltiples dispositivos a travs de los protocolos como POP3, IMAP4, RPC sobre HTTP, Exchange Active Sync, MAPI y Web Access. Hub Transport Server: Maneja el ruteo de mensajes a travs de los sitios del Directorio Activo y la topologa de sitios. Adicionalmente aplica polticas para correo entrante y saliente. Edge Transport Server: Provee una capa adicional de seguridad donde pueden trabajar sistemas antivirus y anti-spam en la red perimetral de la organizacin de Exchange. Unified Messaging Server: Combina sistemas de mensajera de voz, fax y correo electrnico en una infraestructura de mensajera unificada para ser accedido desde telfono o computadora.

8.7.1 Funcionalidades de Exchange 2010

Algunas de las funcionalidades que estarn disponibles en una organizacin con servidores Exchange 2010 son las que siguen: Polticas de Mensajera: Una coleccin de agentes de transporte permite configurar reglas y caractersticas que se aplican a cada mensaje al momento de entrar y salir del flujo de los componentes. Se puede crear una poltica de mensajera con reglas que estn diseadas para cumplir con diferentes regulaciones y pueden ser adaptadas fcilmente a los requerimientos de la organizacin. La poltica de mensajes basa en transporte incluye reglas de servidor que se pueden configurar para cumplir con los requisitos de la organizacin. Alta Disponibilidad: El sistema de Exchange Server 2010 se basa en cinco roles diferentes que realizan funciones separadas, con el objetivo de mejorar el desempeo de cada una de las actividades del sistema de mensajera. En este sentido cada uno de estos roles tiene un esquema de alta disponibilidad que no requiere necesariamente de un hardware adicional o equipo para baCorpcear cargas. El esquema de alta disponibilidad para cada rol es flexible en administracin y configuracin. En la plataforma de Corporacin utilizaremos alta disponibilidad en los roles de CAS, a travs de BaCorpce de Carga Externo, Hub Transport con mltiples Hub Transport baCorpceados a travs de Active Directory, pero siendo estos parte del mismo hardware, y en el servidor de buzones se utilizar Database Availability Group (DAG), este ltimo con 2 unidades de almacenamiento. Exchange ActiveSync: Esta funcionalidad permite sincronizar datos entre su dispositivo mvil y Exchange Server 2010. Se puede sincronizar correo, contactos, informacin de calendario y tareas. Dispositivos que corran Windows Mobile Sofware, Pocket PC 2002, Pocket PC 2003 y Windows Mobile 5.0 esta soportados. Si se utiliza un dispositivo Windows Mobile 5.0 y el paquete de seguridad y funcionalidades para mensajera (Messaging Security and Feature Pack) el sistema puede soportar Direct Push que mantiene un dispositivo mvil continuamente sincronizado con su buzn de Exchange. Outlook Web Access: Esta funcionalidad de Exchange Server 2010 permite acceder al correo electrnico desde cualquier navegador web. Se ha rediseado para mejorar la experiencia del usuario y la productividad de varias maneras. Se integra a Sharepoint Services, mejoras en recordatorios y funciones adicionales proveen al usuario con una experiencia enriquecida. La versin ligera de Outlook Web Access esta optimizada para dispositivos mviles. Outlook Anywhere: Esta funcionalidad de Exchange Server 2010 permite acceder al correo electrnico desde cualquier cliente Outlook 2003 y/o Outlook 2007 directamente con el cliente MAPI. Lo anterior permite al cliente no necesitar varias interfaces de acceso a su correo, simplemente utiliza su cliente MS Outlook MAPI. (RPC over HTTPS)

8.7.2 Alta disponibilidad en Exchange Server 2010

Debido a los requerimientos de alta disponibilidad, se debera utilizar roles del sistema Exchange Server 2010 en dos o ms servidores separados para distribuir la carga entre ellos y proveer los esquemas alta disponibilidad en cada servicio proporcionado.

45

El acceso a clientes HTTP/MAPI/ otro debe ser proporcionado por 2 o ms servidores con el rol de Client Access Server de manera baCorpceada. Los servicios de Webmail, Exchange ActiveSync y Outlook Anywhere deben ser publicados directamente hacia Internet solo a travs del protocolo SSL (443) o a travs ISA server o Forefront Threat Management Gateway (TMG). Para el ruteo de mensajes, a cargo del rol de Hub Transport Server, se encargara de hacerlo dentro y fuera de la organizacin. Entregarn los correos internos a sus respectivos Mailbox server y se ayudar de los servicios SMTP para enviar correos fuera de la organizacin. La alta disponibilidad es obtenida a travs de la configuracin almacenada en Active directory que permite incluir mas de un servidor con Source o target de los mensajes. El de Mailbox Server est dedicado al almacenamiento de los buzones de correo de los usuarios Exchange Server 2010. En el siguiente diagrama se muestra la distribucin fsica de la mensajera electrnica en configuracin llamada DAG, la cual permite mantener varias copias de las bases de datos a travs de la red de datos y donde se requieran.

8.7.3 Requerimientos de directorio para Exchange 2010

Para un funcionamiento correcto de la solucin de Exchange Server 2010 se deben tomar en cuenta las siguientes consideraciones: Asegurarse que la infraestructura DNS esta correctamente configurada en el sitio principal y las oficinas remotas. La resolucin de nombres y la funcionalidad DNS deben operar correctamente. Al menos un Controlador de dominio en cada sitio del Directorio Activo que contiene Exchange Server 2010 debe correr con Windows Server 2003 SP2. El nivel de funcionalidad del Directorio Activo debe ser Windows 2003 Server o superior para todos los dominios en el bosque del Directorio donde se instalar Exchange Server 2010 Verificar que los sitios del Directorio Activo estn configurados correctamente para manejar el ruteo de mensajes. Componente
Schema master

Requerimiento
Por defecto, el rol de schema master corre sobre el primer domain controller Windows Server 2003 o Windows Server 2008 /R2 Instalado en una foresta. El rol de schema master debe corer en cualquiera de los siguientes: Windows Server 2003 Standard o Enterprise SP1 o posterior(32-bit or 64-bit) Windows Server 2008 Standard o Enterprise (32-bit or 64-bit) Windows Server 2008 R2 Standard o Enterprise En cada sitio Active Directory donde est instalado Exchange 2010, debe haber al menos un servidor Global catalog que puede ser cualquiera de los siguientes: Windows Server 2003 Standard o Enterprise, SP1 o posterior (32-bit or 64-bit) Windows Server 2008 Standard o Enterprise (32-bit or 64-bit) Windows Server 2008 R2 Standard o Enterprise

Global catalog server

46

Domain controller

Active Directory forest

En cada sitio Active Directory donde est instalado Exchange 2010, debe tener al menos un servidor Domain Controller que puede ser algunos de los siguientes: Windows Server 2003 Standard o Enterprise, SP1 o posterior (32-bit or 64-bit) Windows Server 2008 Standard o Enterprise (32-bit or 64-bit) Windows Server 2008 R2 Standard o Enterprise Active Directory debe tener el nivel de funcionalidad Windows Server 2003 forest o mas alto.

8.7.4 Diseo Fsico de Exchange Server 2010

La arquitectura requerida para Exchange Server 2010 se basa en 64 bits. Esta condicin incrementa las capacidades de manejo de memoria del sistema y prepara los servicios para satisfacer las necesidades crecientes de los usuarios.
Exchange 2010 rol Edge Transport Hub Transport Client Access Unified Messaging Mailbox Client Access/Hub Transport corriendo en la misma maquina Multiple roles (Hub Transport, Client Access, y Mailbox server roles en la misma mquina) CPU Mnimo/Recomendado 1 x processor/12 x processor core 1 x processor/12 x processor core 2 x processor12 x processor core 2 x processor/12 x processor core 2 x processor /12 x processor core 2 x processor/12 x processor core 2 x processor/12 x processor cores Memoria Mnima/Recomendado 1 GB por core (4 GB mnimo) 1 GB por core (4 GB mnimo) 2 GB por core (4 GB mnimo) 2 GB por core (4 GB mnimo) 4 GB + 3-30 Mbytes (MB)/mailbox, (4 GB mnimo) 2 GB por core (4 GB mnimo) 10 GB +3-30 MB por mailbox (4 core server) 14 GB +3-30 MB por mailbox (8 core server) 18 GB +3-30 MB por mailbox (12 core server) 22 GB +3-30 MB por mailbox (16 core server) 30 GB +3-30 MB por mailbox (24 core server)

8.7.5 Consideraciones de Almacenamiento

Drive del Sistema: Se recomienda utilizar 100 GB consistentemente en el primer disco lgico (system drive) de los servidores de Exchange. Este espacio ofrece suficiente capacidad para los archivos binarios de Windows Server 2008 y el archivo de paginacin, que utiliza el sistema operativo para el swap de memoria. Se recomienda dejar el espacio remanente en el drive de sistema para actualizaciones, Service Packs u otras tareas administrativas. Siempre es una buena prctica tener un poco de reserva en ste disco. Espacio para Buzones: En la siguiente tabla mostramos la relacin y el clculo aproximado de almacenamiento para 7500 usuarios y considerando la mayora de las bases con una rplica en DAG:
Servidor
EXCH1 EXCH2 EXCH3

Usuarios
2500 2500 2500

Cuota Standard
200 Mb 200 Mb 200 Mb

Mnimo requerido
800 Gb 800 Gb 800 Gb

Recomendado
1,2 Tb 1,2 Tb 1,2 Tb

Como vemos debemos considerar idealmente 3,6 Tb para soportar a los usuarios y las replicas de las bases DAG. Ahora si consideramos que adems se requiere espacio suficiente para crecimiento y Tolerancia a fallas, debemos considerar un 50% mas para crecimiento y mantencin el espacio requerido en el Storage es de 7,2 Tb.

8.7.6 Requisitos para alta disponibilidad y resistencia de sitios

Microsoft Exchange Server 2010 incluye un nuevo modelo para la resistencia de Mailbox que incluye nuevas caractersticas, como DAG. Si bien la implementacin de estas nuevas caractersticas es un proceso simple y rpido, debe realizarse una pCorpificacin cuidadosa en forma anticipada para garantizar que cualquier solucin de alta disponibilidad y resistencia de sitios que use estas caractersticas cumpla con sus expectativas y requisitos propuestos. Requisitos de software : La opcin DAG est disponible en Exchange 2010 Standard Edition y Exchange 2010 Enterprise Edition. Asimismo, un DAG puede incluir una combinacin de servidores que ejecuten Exchange 2010 Standard Edition y Exchange 2010 Enterprise Edition. Cada miembro del DAG tambin debe ejecutar el mismo sistema operativo. Exchange 2010 se admite en los sistemas operativos Windows Server 2008 y Windows Server 2008 R2.

47

Adems de cumplir con los requisitos previos para la instalacin de Exchange 2010, existen requisitos del sistema operativo que deben cumplirse. Los DAG usan tecnologa de clster de Windows y, por lo tanto, requieren la versin Enterprise de Windows. Requisitos de red: Las redes del DAG son similares a las redes pblicas, mixtas y privadas usadas en versiones anteriores de Exchange. Sin embargo, a diferencia de las versiones anteriores, es posible configurar una nica red en cada miembro del DAG. Adems, la terminologa ha cambiado. En lugar de redes pblicas, privadas o mixtas, cada DAG cuenta con una nica red MAPI, que es usada por otros servidores para comunicarse con el miembro del DAG, y ninguna o ms redes de replicacin, que son redes dedicadas al transporte de logs y la inicializacin. Si bien se admite una nica red, recomendamos que cada DAG tenga, al menos, dos redes: una nica red MAPI y una nica red de replicacin. Esto ofrece redundancia para la red y la ruta de la red, y permite al sistema distinguir entre un error del servidor y un error de la red. El uso de dos adaptadores de red en cada miembro del DAG le ofrece una red MAPI y una red de replicacin, y los siguientes comportamientos de recuperacin: En caso de que ocurra un error que afecte la red MAPI, ocurrir un failover del servidor (siempre que haya copias de base de datos de Mailbox en buen estado que puedan activarse). En caso de que ocurra un error que afecte la red de replicacin, si la red MAPI no se ve afectada por el error, las operaciones de transporte de logs e inicializacin se revertirn para usar la red MAPI. Cuando se restaure la red de replicacin que presenta el error, las operaciones de transporte de logs e inicializacin volvern a la red de replicacin. Cada miembro del DAG debe tener el mismo nmero de redes. Por ejemplo, si pCorpea usar un nico adaptador de red en cada miembro del DAG, todos los miembros del DAG tambin deben usar un nico adaptador de red. Cada DAG debe tener una red MAPI como mximo. La red MAPI debe proporcionar conectividad a los otros servicios y servidores de Exchange, como Active Directory y DNS. Se pueden agregar redes de replicacin, segn sea necesario. Tambin puede evitar que un adaptador de red individual sea un punto de falla al usar teams de adaptadores de red. Cada servidor miembro del DAG debe encontrarse en su propia subred. Cada servidor del DAG puede encontrarse en una subred diferente, pero las redes MAPI y las redes de replicacin deben ser ruteables y suministrar conectividad, tal que: Cada red MAPI del servidor parte del DAG puede comunicarse con las dems redes MAPI del miembro del DAG. Cada red de replicacin del servidor miembro del DAG puede comunicarse con las dems redes de replicacin del miembro del DAG. No existe ruteo directo que permita trfico de Heartbeat de la red de replicacin a la red MAPI en otro servidor del DAG. Independientemente de su ubicacin geogrfica en relacin con otros miembros del DAG, cada miembro del DAG debe contar con un delay de red de ida y vuelta que no supere los 250 milisegundos (ms) entre cada uno de los dems miembros. Es posible que los requisitos de latencia sean menos estrictos que los de ancho de banda. Se debe evaluar la carga de red total, que incluye Client Access, Active Directory, HubTransport, replicacin continua y trfico de aplicacin, para determinar los requisitos de red necesarios para su entorno. Las redes del DAG admiten el protocolo de Internet versin 4 (IPv4). Requisitos de servidor testigo: Un servidor testigo es un servidor externo al DAG que se usa para alcanzar y mantener qurum cuando el DAG cuenta con un nmero par de miembros. Los DAG con un nmero impar de miembros no usan un servidor testigo. Todos los DAG con nmero par de miembros usarn un servidor testigo. El servidor testigo puede ser cualquier equipo que ejecute Windows Server. No es necesario que la versin del sistema operativo Windows Server del servidor testigo coincida con el sistema operativo usado por los miembros del DAG. Un DAG tiene qurum cuando la mayora de sus miembros estn conectados y pueden comunicarse con los dems miembros conectados del DAG. El qurum es un recurso interno del clster que ofrece un medio para arbitrar las decisiones de pertenencia y de estado del clster. El recurso de qurum tambin proporciona un almacenamiento para la informacin de configuracin. El qurum se usa tambin como mecanismo para resolver empates que podran ocurrir cuando los miembros del DAG no pueden comunicarse entre ello, pero se

48

encuentran en ejecucin. Este sntoma se evita al requerir la disponibilidad e interaccin de la mayora de los miembros del DAG.

8.7.7 Coexistencia con otras plataformas

Exchange server 2010 puede coexistir en una organizacin con diversas plataformas, y obviamente mantener las plataformas de versiones ms antiguas de Exchange, tales como Exchange 2000, 2003 y 2007. Durante todo el periodo en que existan servidores con plataformas distintas, la coexistencia ser funcional, pero se recomienda no extenderla por mucho tiempo, principalmente debido a los esfuerzos de administracin y capacitacin que esto significa. Para la integracin de nuevos elementos en la plataforma ya existente, se recomienda lo siguiente: Mantener esquema de dominios, pero actualizar los controladores de dominio a Windows 2008 R2, as que al existir dos ms en un dominio se remueva el servicio Domain Controller del controlador antiguo Windows 2003 En cuanto a el servicio Exchange, al agregar a la organizacin de Exchange un servidor Exchange 2010, se generar un nuevo Grupo administrativo donde irn a parar todos los siguientes. En cuanto a los conectores, se usar la misma configuracin que tienen los site link de AD. Coexistencia con Google Apps: Para la coexistencia de la plataforma de correo Google Apps y Exchange se considera simplemente mantener como est, es decir independiente de la versin de Exchange instalada (2003 2010) en cada sitio, que el correo fluya desde internet a travs de Postini (Google) y ste lo derive a Exchange o entregue internamente a los servidores de Google apps. En el sentido inverso los servidores Exchange entregaran directamente el correo.

49

8.8 Mejorar el soporte a fallas completas de Datacenter

Un datacenter es una instalacin utilizada para albergar a los sistemas informticos y componentes asociados, tales como las telecomunicaciones y sistemas de almacenamiento. Habitualmente, incluye respaldo de las fuentes de alimentacin o redundantes, conexiones redundantes de comunicaciones de datos, los controles ambientales (por ejemplo, aire acondicionado, extincin de incendios) y dispositivos de seguridad. Muchas soluciones de resistencia de sitios implican la implementacin del hardware en otro Data center Sitio secundario. El diseo general de este incluido el nmero de servidores y el nmero de copias, depender del SLA de recuperacin que se defina. En una configuracin activa/activa, los usuarios estn conectados a ambas ubicaciones, y cierto porcentaje del nmero total de bases de datos dentro de la solucin posee una ubicacin activa preferida. En caso de ocurrir un error en el servicio para los usuarios de un centro de datos, dichos usuarios se activan en el otro centro de datos. Similarmente a los sistemas de mensajera los datacenter tienen clasificaciones equivalentes, definidas por TIA942:Data Center Standards
Tier Level 1 Requerimientos

Path nicos no-redundantes, ofrecidos a todo el equipamiento Componentes sin capacidad redundante Infraestructura bsica del sitio garantizanda al 99,671% de disponibilidad Cumple todos los requisitos de Tier 1 Componentes redundantes para la infraestructura del sitio que garantizen una capacidad de 99,741% de disponibilidad Cumple todos los requisitos de Tier 1 & Tier 2 Varias rutas de distribucin independiente al servicio d el equipamiento Todo el equipamiento debe ser de doble encendido y totalmente compatibles con la topologa de la arquitectura del sitio Adems la infraestructura del sitio debe mantener garantizando 99,982% de disponibilidad Cumple todos los requisitos de Tier 1, Tier 2 y Tier 3 Todos los equipos de refrigeracin son independientemente doblemente alimentados, incluyendo refrigeracin y calefaccin, ventilacin y aire acondicionado (HVAC) Infraestructura de sitio tolerante a fallas con las instalaciones de almacenamiento elctrico y de distribucin que garantizan 99.995% de disponibilidad

8.8.1 PCorpificacin general de resistencia de sitios

Para minimizar el tiempo que demora la activacin de un sitio secundario y permitir que ste aloje los servicios de un sitio fallido, debe realizarse la pCorpificacin adecuada: Los objetivos SLA para la solucin deben comprenderse y documentarse correctamente. Los servidores en el Sitio secundario deben tener la capacidad suficiente para alojar la carga de usuarios de ambos centros de datos. El Sitio secundario debe tener habilitados todos los servicios entregados por el Sitio principal (excepto que el servicio no est incluido como parte del SLA). Esto incluye Active Directory, infraestructura de red (DNS, TCP/IP, etc.), e infraestructura del sitio (energa, refrigeracin, etc.). Para que ciertos servicios puedan brindarse a los usuarios del Sitio fallido, se deben tener configurados los certificados del servidor correctos. Ciertos servicios no permiten la instanciacin (POP3 e IMAP4) y slo permiten el uso de un certificado nico. En dichos casos, debe ser un certificado con nombre SAN que incluya varios nombres, o los diferentes nombres deben ser lo suficientemente similares para que pueda usarse un certificado wildcard . Deben definirse los servicios necesarios en el Sitio secundario. Por ejemplo, si el primer Sitio tiene tres direcciones SMTP distintas en diferentes servidores Hub Transport, debe definirse la configuracin apropiada en el Sitio secundario para habilitar al menos un servidor de transporte (si no se habilitan los tres) para alojar la carga de trabajo. Debe realizarse la configuracin de red necesaria para admitir el cambio de centro de datos. Esto significa que debe asegurarse de que la configuracin del BaCorpceador de carga est realizada, el DNS global est configurado y la conexin a Internet est habilitada con la configuracin de ruteo apropiada.

50

Debe comprenderse la estrategia para permitir los cambios de DNS necesarios a fin de realizar un cambio de Datacenter. Los cambios de DNS especficos, incluidos los valores del perodo de vida (TTL), deben definirse y documentarse para permitir los SLA vigentes. Tambin debe establecerse una estrategia para probar la solucin. La validacin peridica de la implementacin es la nica forma de garantizar la calidad y la vigencia de la implementacin. Una vez validada la implementacin, se debe documentar explcitamente la parte de la configuracin que afecte de manera directa SLA. Asimismo, se recomienda mejore los procesos de administracin del cambios en relacin con dichos segmentos de la implementacin. El Sitio principal debe alojar el servidor testigo, esto garantiza el servicio en el sitio principal incluso si la conectividad de red entre los dos centros de datos falla. Esto tambin implica que cuando falle el sitio principal se perder el qurum de los miembros del Sitio secundario y se deber activar el Sitio secundario manualmente (servidores del Sitio donde se produjo un error se quitan temporalmente del DAG) Durante la operacin de cambio, los servicios del Sitio principal se redirigen a direcciones IP alternativas para los mismos servicios en el Sitio secundario. Esto minimiza el nmero de cambios que deben realizarse en la informacin de configuracin almacenada en Active Directory. Hay dos formas de completar este paso: Update de los registros DNS. Reconfiguracin del baCorpceador de carga y del DNS global para habilitar y deshabilitar las direcciones IP alternativas y as trasladar los servicios entre los Datacenter. Establecer una estrategia para probar la solucin. Debe tenerse en cuenta en el SLA.

Catalogo Global HA, Google apps Revisar Dsaccess

9 Probar pCorp de contingencia

9.1 Checklist Configuracin y Pruebas de Dominio
Preparado Por Nombre Dominio Quintec CORP.com Prueba (Replmon - dcdiag). Resultado Fecha Observaciones

Validacin Active Directory

Pruebas Resolucin de Nombres (DNS Internoexterno) Verificacin de Visor de Sucesos en todas las mquinas -Reportes Verificar estandarizacin de password (Administrador local) Pruebas de HA para Servidores de Bridgehead Verificar estado de Windows Update en Mquinas

Verificar presencia y Exclusiones de AV en Servidores Revisar Configuracin de Red de cada mquina (IP DNS - GW) - Reportes Eliminar Software y Utilitarios que no corresponden al ambiente de produccin. Verificar presencia de Agentes y Mecanismos de Respaldo en cada Servidor

51

9.2 Checklist Pruebas Servicio Outlook

Preparado Por Nombre Dominio Quintec CORP.COM Prueba
(conectividad

Fecha
Resultado Observaciones Conexin Outlook: Demora: SI seg. NO

Pruebas de Acceso a Servicio Outlook y acceso)

Creacin de Mensajes en formato HTML, Texto Enriquecido y pCorpo Creacin de Mensajes con Archivos Adjuntos de distintos formatos (EXE, ZIP, DOC, XLS) Creacin de Mensajes con distintos niveles de importancia y sensibilidad Creacin de Msg con opciones de voto y seguimiento Envo de Msg mayores a polticas definidas Descarga de encabezados de Msg. Revisin de Lista Global de Direcciones GAL Verificar Acceso a OAB Creacin de citas Individuales, recurrentes y verificacin de disponibilidad Creacin y uso de notas Creacin y uso de contactos Creacin y verificacin de reglas de correo: Redireccionamiento a carpetas - Out Office Creacin y categorizacin de contactos Revisin de nuevos paneles y vistas incluidas en nueva versin de Outlook Verificacin de opciones de organizacin de Msj. Utilizar y verificar marcas para control y seguimiento de Msg. Llamadas a procedimientos remotos (RPC) con protocolo de transferencia de hipertexto (HTTP)

9.3 Checklist Pruebas de Operacin Plataforma AD/Exchange

Preparado Por Nombre Dominio Quintec CORP.COM Fecha

Prueba
Crear Contactos Crear Listas de Distribucin Agregar Usuarios a la Listas de Distribucin Eliminacin de Mailbox de usuarios

Resultado

Observaciones

52

Eliminacin del usuarios asociado a los mailbox eliminados Verificar que no existan los objetos User y Mailbox eliminados dentro del Active Directory

9.4 Checklist Pruebas de Operacin - Clientes de Correo

Prueba
Conectar desde Internet Clientes Outlook 2003 y Probar funcionalidades de RPC over HTTP Enviar y recibir correos desde y haca Internet Conectar Desde Internet Clientes Outlook 2007 y Probar funcionalidades de RPC over HTTP Enviar y recibir correos desde y haca Internet Conectar Desde Internet Clientes Windows Mobile y Probar funcionalidades ActiveSync

Resultado

Observaciones

9.5 Checklist Pruebas de Operacin - Disponibilidad del servicio

Preparado Por Nombre Dominio Quintec CORP.COM Fecha

Prueba
Conectar Clientes OWA y MAPI Realizar Failover del servicio en Cluster Verificar envo y recepcin de correos Volver los grupos de Cluster al primer Nodo Realizar el mismo ejercicio anterior pero con BridgeHead Server Apagado de 1 Servidor AD Apagado de 1 Servidor Exchange

Resultado

Observaciones

9.6 Pruebas Alta Disponibilidad Exchange

Preparado Por Nombre Dominio Quintec CORP.COM Fecha

Prueba
Fail-over manual

Resultado

Observaciones

53

Fail-Back Manual Re-iniciar nodo Activo del Cluster Re-iniciar servidor BridgeHead Apagar nodo Activo del Cluster Apagar servidor BridgeHead Ejecutar lnea base de performance Monitor

54

10 Anexos
10.1 Procedimientos disponibles en Internet para Active Directory
Associate an Existing Subnet Object with a Site Back Up System State and the System Disk on a Domain Controller Back Up System State on a Domain Controller Change Polling Interval Change the Delay for Initial Notification of an Intrasite Replication Partner Change the Garbage Collection Logging Level Change the Garbage Collection Period Change the Priority for DNS SRV Records in the Registry Change the Space Allocated to the Staging Area Folder Change the Static IP Address of a Domain Controller Change the Weight for DNS SRV Records in the Registry Check Directory Database Integrity Check the Status of the Shared System Volume Clean Up Metadata Clear the Global Catalog Setting Compact the Directory Database File (Offline Defragmentation) Compare the Size of the Directory Database Files to the Volume Size Configure a Domain Controller as a Global Catalog Server Configure a Domain Controller as a Preferred Bridgehead Server Configure a Domain Controller to not be a Preferred Bridgehead Server Configure DNS Server Recursive Name Resolution Configure SID Filtering Configure the DNS Client Settings Configure the Selected Computer as a Reliable Time Source Configure the Site Link Cost Configure the Site Link Interval Configure the Site Link Schedule Configure Time on the Forest Root PDC Emulator Configure Windows NT 4.0 Emulation Copy the Directory Database Files to a Remote Share and Back Create a Connection Object Create a Delegation for a New Domain Controller Create a One-way Trust (MMC Method) Create a One-way Trust (Netdom.exe Method) Create a Secondary DNS Zone Create a Site Link Object Create a Site Object Create a Subnet Object Create a Temporary Connection Link for Replication Partners Create a Two-way Trust (MMC Method) Create a Two-way Trust (Netdom.exe Method) Create the New Staging Area Folder Create the SYSVOL Folder Structure Delete a Lingering Object from a Global Catalog Server Delete a Server Object from a Site Delete a Site Link Object Delete a Site Object Delete a Subnet Object Delete an Object from a Domain Determine the Database Size and Location Offline Determine the Database Size and Location Online Determine the Initial Change Notification Delay on a Domain Controller Determine the ISTG Role Owner for a Site Determine the Tombstone Lifetime for the Forest Determine When Intersite Replication is Scheduled to Begin Determine Whether Account Lockout Policy is Defined on a Domain Determine Whether a Domain Controller is a DNS Server Determine Whether a Domain Controller is a Global Catalog Server Determine Whether a Domain Controller is a Preferred Bridgehead Server Determine Whether a Server Object has Child Objects Determine Whether a Site Has at Least One Global Catalog Server Disable Compression on a Site Link Disable Outbound Replication Disable Time Service Flush the DNS Cache Enable Active Directory Diagnostic Event Logging Enable Change Notification on a Site Link Enable Secure Dynamic Updates for a DNS Zone Establish Credentials to Access a Remote Computer

55

Establish the Distinguished Name and GUID of an Object Gather the System Volume Path Information Generate the Replication Topology Identify a Revived Lingering Object and Replication Source on a Writable Domain Controller Identify and Delete a Known Non-Replicated Lingering Object on an Outdated Domain Controller Identify Replication Partners Identify the GUID of a Domain Controller Identify Unknown Lingering Objects on an Outdated Domain Controller Import the SYSVOL Folder Structure Install Active Directory Install the DNS Server Service Locally Restart a Domain Controller in Directory Services Restore Mode Monitor Global Catalog Removal in Event Viewer Monitor Global Catalog Replication Progress Move a Server Object to a Different Site Move the Directory Database Files to a Local Drive Perform Authoritative Restore of a Subtree or Leaf Object Perform Authoritative Restore of Entire Directory Perform Directory Database Recovery Perform Semantic Database Analysis with Fixup Prepare a Domain Controller for Non-Authoritative SYSVOL Restore Remotely Restart a Domain Controller in Directory Services Restore Mode Remove a Manually Configured Time Source on a Selected Computer Remove a Manually Created Trust Remove a Site from a Site Link Remove a Time Source Configured on the Forest-Root PDC Emulator Remove Active Directory Rename a Member Server Reset the Computer Account Password on the PDC Emulator Restart Disabled Outbound Replication on a Domain Controller Restart the Net Logon Service Restore Applicable Portion of SYSVOL from an Alternate Location Restore from Backup Media Restore from Backup Media for Authoritative Restore Restore System State to an Alternate Location Restore SYSVOL from an Alternate Location Seize the Operations Master Role Set a Manually Configured Time Source on a Selected Computer Set the fRSRootPath Set the PDC Emulator to not Synchronize Time Set the Staging Area Path Set the SYSVOL Path Stop and Start Windows Time Service Start the File Replication Service Stop the File Replication Service Stop the Net Logon Service Stop Windows NT 4.0 Emulation Synchronize Replication from a Source Domain Controller Synchronize Replication Partners with the PDC Emulator Transfer the Domain-Level Operations Master Roles Transfer the Forest-Level Operations Master Roles Update Security on the New SYSVOL Update the Junction Points Use the Net Time Tool Use the W32tm Tool Verify Active Directory Restore Verify a Connection Object Verify Communication with Other Domain Controllers Verify DNS Records Verify DNS Records by Using Dcdiag.exe Verify DNS Registration and Functionality Verify Domain Membership for a New Domain Controller Verify Global Catalog DNS Registrations Verify Global Catalog Readiness Verify Network Configuration Verify Network Connectivity Verify Replication is Functioning Verify an SPN Verify Successful Replication to a Domain Controller Verify that an IP Address Maps to a Subnet and Determine the Site Association Verify that Windows Time Service is Synchronizing Time Verify the Existence of the Operations Masters View Replication Metadata of an Object View the Current Operations Master Role Holders View the List of Preferred Bridgehead Servers

56

10.2 Procedimientos disponibles en Internet para Exchange Server

The 32-bit version of ASP.NET is installed in a 64-bit version of Windows 2007 Office System Converter: Microsoft Filter Pack is Not Installed Microsoft Filter Pack is not installed Account Lockout installed Active Directory site mismatch Active Server Pages is not installed ActiveSync virtual directory permissions should be restricted Administrative file shares disabled AFD.SYS driver and X.400 connector interoperability Aging Keep Time interval for database is non-default Antigen Update Available Application log size An application pool is running under an incorrect identity An important update for Microsoft COM+ server is available ASP.NET Rootver is damaged ASP.NET 2.0 is not enabled At Least One Exchange 2007 Public Folder Store is Required At Least One Exchange 2010 CAS Server Must Be Present Automatic Operating System debugging has been disabled Average LDAP read latency has exceeded 50 milliseconds Maximum LDAP read latency has exceeded 100 milliseconds Average LDAP search latency has exceeded 50 milliseconds Maximum LDAP search latency has exceeded 100 milliseconds Cannot identify the specified Exchange gateway Categorizer queue length beyond threshold CDO.DLL file is missing CimWin32.dll update available The CAS, HUB Transport, MBX or UM server is not a member of the Exchange Servers group Client Applications Impact on Server Performance Cluster TEMP path is invalid or non-default This Computer Requires the Update Described in Microsoft Knowledge Base Article 979099 Consider multiple offline address book replicas Connection to Recipient Update Service domain controller Content compression is not enabled or content compression is too high on the Microsoft-Server-ActiveSync virtual directory Content indexing is enabled for this public folder store but updates are not scheduled Content indexing is enabled for this mailbox store but updates are not scheduled Content Update Available CPQCIDRV.SYS driver update available CrashOnAuditFail in effect Custom public folder referral list The database cache size is not set to the recommended value Database performance monitor object is not available DAVEX.DLL file is missing Debug Tracing is Enabled DHCP Client service is not running Directory browsing is enabled on a Microsoft-Server-ActiveSync virtual directory The domain name is not consistently authoritative or nonauthoritative among recipient policies Dr. Watson not enabled

57

DSA Computer name mismatch DSACCESS.DLL file is missing The DSAccess configuration cache is full DSAccess configuration cache value is non-default DSAccess DisableNetLogonCheck registry parameter is non-default DSAccess has been hard-coded DSAccess is not using port 389 for LDAP domain controller requests DSAccess is not using port 3268 for LDAP global catalog requests DSAccess LdapKeepAliveSecs registry parameter is non-default DSAccess LdapKeepAliveSecs registry parameter is set to non-supported value DSAccess PreloadBaseDNs registry parameter is non-default DSAccess PreloadFilters registry parameter is non-default DSAccess reports that this Active Directory server is not functional DSAccess reports that this Active Directory server is not synchronized with the rest of the topology DSAccess reports that this Active Directory server is taking longer than 2 seconds to respond to LDAP requests DSAccess TopoCreateTimeoutSecs registry parameter is non-default The DSAccess user cache is full DSAccess user cache value is non-default DSProxy RFR service has been disabled Duplicate httpRuntime entries in the Web.config file EMSMTA.EXE file is missing EnableAuthEpResolution registry key is enabled Epoxy Client Out Queue Length (IMAP) beyond threshold Epoxy Client Out Queue Length (POP) beyond threshold EPOXY.DLL file is missing Epoxy performance monitor object is not available Epoxy Store Out Queue Length (IMAP) beyond threshold Epoxy Store Out Queue Length (POP) beyond threshold Error Accessing Exchange Server Error Accessing Exchange Server Information Error Accessing Message Tracking Log Error while upgrading ACLs ESE.DLL file is missing ESEUTIL.EXE file is missing EXCDO.DLL file is missing EXCHMEM.DLL file is missing EXMIME.DLL file is missing EXOLEDB.DLL file is missing EXPOP3.DLL file is missing EXPROX.DLL file is missing EXRES.DLL file is missing EXSMTP.DLL file is missing EXSMTP.DLL file version is outdated Exchange ActiveSync tracing is currently enabled Exchange binary file version is newer than installed version of Exchange Server This Exchange cluster node is also a domain controller Exchange Error Reporting is disabled This Exchange front-end server has the /3GB startup switch in the Boot.ini file Exchange IFS drive has not been explicitly excluded from Windows Backup This Exchange mailbox server has 1 GB or more of memory but does not have /3GB set in the Boot.ini file

58

Exchange Management service is not running as LocalSystem Exchange Management service is stopped Exchange Provider Tracing is Enabled Exchange 2000 Server is not running the latest Service Pack Exchange 2000 Server is not supported on Windows Server 2003 Exchange 2007 pre-release version is installed Exchange 2007 server object has been moved to a different administrative group Exchange 2010 does not support the Exchange 2007 Best Practices Analyzer Exchange resident on domain controller that is not a global catalog server Exchange Servers group does not have default group membership Exchange Server 5.5 detected Exchange Server 5.5 is not running the latest Service Pack Exchange Server 5.5 is not supported on Windows 2003 Exchange Server 5.0 is not running the latest Service Pack or Update Rollup Exchange Server 5.5 resident on Active Directory domain controller Exchange Server 2010 cannot be installed on a domain controller if the forest is in split permission mode Exchange Server 2010 installation is stopped if WinRM-IIS-Ext is installed on the server Exchange Server 2010 SP1 Poison Mailbox Quarantine Feature Exchange Server DNS name resolution failure The Exchange server has been designated as a front-end and appears to host mailboxes This Exchange server is also a domain controller, which is not a recommended configuration This Exchange server is down or unreachable This Exchange server is running on Windows NT4.0; limited diagnostic information is available This Exchange Server 2003 server is not running the final Service Pack 2 build Exchange Server is running SharePoint Portal Server Exchange Server is running Virtual Server 2005 with another Exchange Server installed as a Guest Exchange server running DNS services Exchange server running SQL Server Exchange server running under VMware This Exchange server has less than 1 GB of memory but has the /3GB and /USERVA=3030 switches in the boot.ini file This Exchange server has less than 1 GB of memory but has the /3GB switch set in the Boot.ini file This Exchange server has the /3GB startup switch set in the Boot.ini file This Exchange 2003 server is not running the final Service Pack 1 build (7226.6) This Exchange server is running Windows 2000 Server but has the /3GB switch set in the boot.ini file Exchange Server WMI could not be accessed The Exchange System Attendant service is not running on this front-end server The Exchange System Attendant service is not running Exchmem Heaps Indicating Performance Issue ExMon Tracing is not Enabled on the Server EXCHMEM.DLL present in Windows System32 folder The ExternalURL value must be set Fatal error found FCL logging is not Enabled for the server File Check for Windows Server 2008 NTFS.sys hotfix Free Page Table entries is at the critical threshold Free Page Table entries is at the warning threshold Front-end server is running Site Replication Service GAPI32.DLL file is missing from bin folder GAPI32.DLL file is missing from system32 folder GlobalFlag has been set

59

A high number of ACL upgrade failures are occurring Highly Active Exmon User Hosting mode setup: unsupported switches and roles Hotfix KB977020 and hotfix KB973136 are required on the Microsoft Exchange Client Access Server IIS is Creating 32-bit processes on a 64-bit Machine IIS SMTP Service Installed Improve Kernel Memory Improve User Memory Improve Virtual Memory Integrated Windows authentication is turned off Intelligent Message Filter is not installed on one or more servers running Exchange Server 2003 IPv4 is Not Enabled on Windows Server 2008 ISAPI Caching Is Disabled ISA Server 2000 Update is available Journaling recipient is not valid Journaling recipient points to a deleted object Journaling recipient points to a disabled account Journaling recipient points to the local server Journaling recipient should be hidden Junk store threshold not configured Kernel memory depletion Kernel Resource Depletion: Volume Shadow Copy Service Update LeakDiag is installed LeakDiag is enabled Less Than Seven Days of Log Space Left The LegacyExchangeDN for this Exchange server does not match the parent administrative group The LegacyExchangeDN for this Exchange server is invalid License logging service is set to Automatic Load BaCorpcing Update Required Log Filename does not Match Log Generation Number Log Sequence Signature Mismatch Log Signature Issue Log record bytes/sec beyond error threshold LogicalDisk performance monitor object is not available Long-latency MAPI operations found Long-running MAPI bulk operation Long-running MAPI 'FindRow' operation Long-running MAPI online operation Long-running MAPI operation Long-running MAPI 'SaveChangesMessage' operation Long-running MAPI 'SetColumns' operation Long-running MAPI synchronization operation Long-running MAPI 'TaskQ' operation Long-running operation due to MAPI 'Restrict' operation MAD.EXE file is missing MAD NSPI port is below 5000 MAD RFR port has been manually overridden MAD RFR port is below 5000 MAPI32.DLL file is missing from bin folder MAPI32.DLL file is missing from system32 folder

60

MAPI session limit disabled MAPISTUB.DLL file is missing MAPISP32.EXE file is missing Maximum ESE Cache size larger than 1.2 GB Maximum recipient limit has been changed Maximum recipient limit is high Maximum recipient limit is too low MaxUserPort Key is Missing or Non-default MaxUserPort value is too low MDBSZ.DLL file is missing Memory performance monitor object is not available The Mscordacwks.dll file must be updated on computers that have more than 8 processors MSExchangeDSAccess Processes performance monitor object is not available MSExchangeIS Mailbox performance monitor object is not available MSExchangeIS performance monitor object is not available MSExchangeIS Public performance monitor object is not available MSFTE.DLL file is missing MSGINA.DLL driver update available MTA APDU logging required parameter is non-default MTA Call-stack diagnostics required parameter is non-default MTA Computer name mismatch MTA Concurrent connections to CORP-MTAs parameter is non-default MTA Concurrent connections to X.400 gateways parameter is non-default MTA Concurrent MDB/delivery queue clients parameter is non-default MTA data files are being written to a compressed folder MTA data files are being written to an encrypted folder MTA data files are being written to a non-NTFS partition MTA DB data buffers per object parameter is non-default MTA DB file handles parameter is non-default MTA Diagnostic Logging level is greater than 5 (MTA is in debug mode) MTA Diagnostic logging level is non-zero MTA Dispatcher threads parameter is non-default MTA is not running under LocalSystem account MTA Kernel threads parameter is non-default MTA CORP-MTAs parameter is non-default MTA MDB users parameter is non-default MTA Max RPC calls outstanding parameter is non-default MTA Min RPC threads parameter is non-default MTA RTS threads parameter is non-default MTA service is not running MTA service is set to Disabled MTA Submit/deliver threads parameter is non-default MTA TCP/IP control blocks parameter is non-default MTA TCP/IP threads parameter is non-default MTA Transfer threads parameter is non-default MTA Transport threads parameter is non-default Message tracking disabled Message tracking logs are being written to a compressed folder Message tracking logs are being written to a non-NTFS partition Message tracking logs are being written to an encrypted folder

61

Metabase cannot be accessed MinUserDC value is non-default More than 1000 mailbox stores are present Most Ongoing store.exe calls are waiting for a response from ESE Most Ongoing store.exe calls are waiting for a response from IMAIL Most Ongoing store.exe calls are waiting for a response from LSASS Most Ongoing store.exe calls are waiting for a response from the directory Most Ongoing store.exe calls are waiting for a response from the Virus Scanner Most Ongoing store.exe calls are waiting for a response from VSS Snapshot The MOUNTMGR.SYS File is an Incorrect Version Move Temp and TMP Directories Move User Mailboxes to Another Server Multiple MAPI public folder trees detected NAS configuration problem networkAddress attribute is not set correctly Network Interface performance monitor object is not available Newer MSGTRACK.dll available Newer WLDAP32.DLL available NNTP service enabled No Client Authentication Methods Available for ActiveSync No DNS servers are available for tests No Master Account SID No SMTP instance found NSPI target server has been manually overridden A non-Exchange Server MAPI subsystem is installed Non-Microsoft ESE engine detected Non-Microsoft Extensible Storage Engine detected Nonpaged Pool is over the warning threshold The number of free page table entries is low, which can cause system instability The number of Ongoing Calls currently waiting on virus-scanning is near the limit. OABGEN.DLL file is missing Obtaining the latest service pack/update rollup for Exchange Server 5.0 Obtaining the latest service pack/update rollup for Exchange Server 5.5 Obtaining the latest service pack/update rollup for Exchange Server 2003 Obtaining the latest service pack/update rollup for Exchange 2000 Server Offline address book server has been deleted Offline address book server is running on a front-end server Offline address book site public folder deleted Older CDO.DLL file detected Older DAVEX.DLL file detected Older DRVIIS.DLL file detected Older DSACCESS.DLL file detected Older EMSMTA.EXE file detected Older EPOXY.DLL file detected Older ESE.DLL file detected Older ESEUTIL.EXE file detected Older EXCDO.DLL file detected Older EXCHMEM.DLL file detected Older EXCHMEM.DLL present Older EXMIME.DLL file detected

62

Older EXOLEDB.DLL file detected Older EXPOP3.DLL file detected Older EXPROX.DLL file detected Older EXRES.DLL file detected Older EXSMTP.DLL file detected Older MAD.EXE file detected Older MAPI32.DLL file detected Older MAPI32.DLL file detected in system32 folder Older MDBSZ.DLL file detected Older OABGEN.DLL file detected Older PHATCAT.DLL file detected Older PHATQ.DLL file detected Older REAPI.DLL file detected Older RESVC.DLL file detected Older STORE.EXE file detected Ongoing Calls to Active Directory found Ongoing Calls to ESE found Ongoing Calls to IMail found Ongoing Calls to LSASS found Ongoing calls to Virus Scanning found Online database maintenance is configured Operating System GlobalFlag has been set The operating system is in debug mode Outlook Anywhere clients require hotfix to support load baCorpced deployments Outlook Web Access is Configured Without SSL Outlook Web Access requires hotfix for Windows Server 2003 SP1 Outlook Web Access template file mismatch Outstanding RPC requests reached maximum threshold PHATCAT.DLL file is missing PHATQ.DLL file is missing Page cannot be displayed error when you access a mailbox Page File Performance Issue Page File Size is Less than Physical Memory Size Plus 10 MB Page File Usage counter greater than 50% PageHeapFlags has been set Nonpaged Pool is over the error threshold Paged pool is over the warning threshold Path for RPC proxy server extension is incorrect The path of a virtual directory on the server does not match the path in Active Directory PDC emulator is not excluded from DSAccess topology Performance data for Available MBytes counter Performance data from Average Disk sec/Read counter of the LogicalDisk performance object Performance data from Average Disk sec/Read counter of the PhysicalDisk performance object Performance data from Average Disk sec/Write counter of the LogicalDisk performance object Performance data for Average Disk sec/Write counter Performance data from Epoxy Client Out Queue Length (DSAccess) counter Performance data from Epoxy Client Out Queue Length (SMTP) counter Performance data from Epoxy Store Out Queue Length (DSAccess) counter Performance data from Epoxy Store Out Queue Length (SMTP) counter Performance data from RPC Averaged Latency counter

63

Performance data from RPC Operations/sec counter Performance data from RPC Requests counter Performance data from SMTP Categorizer Queue Length counter Performance data from SMTP Local Queue Length counter Performance data from SMTP Remote Queue Length counter Performance data from Virus Scan Queue Length counter Performance data for Log Record Stalls/sec counter Performance data for Log Threads Waiting counter Performance data for Pages/sec counter Performance data for % Processor Time counter Performance data for Bytes Total/sec counter Performance data from LDAP Read Time counter Performance data from LDAP Search Time counter Performance data is not collected PhysicalDisk performance monitor object is not available Port conflict: Site Replication Service Port conflict: Store HTTP Port conflict: Store TCP Port conflict: System Attendant HTTP Port conflict: System Attendant HTTP NSPI Port conflict: System Attendant NSPI Port conflict: System Attendant RFR Pre-release service pack update rollup detected Problem with Page File Location Processor Bottleneck Processor performance monitor object is not available Public folder content replication is paused Public Folder Database Cannot be Found Public folder store present on front-end server REAPI.DLL file is missing Recipient Update Service deleted Recipient Update Service is missing or is not configured Recommended updates for Windows 2000 Server SP 4 on a cluster Remote Queue length beyond threshold Remote Retry Queue length beyond threshold Replica of Offline Address Book version 4 not found Replication Receive Queue queue length beyond threshold RESVC.DLL file is missing RestrictRemoteClients registry key is enabled RFR target server has been manually over-ridden RegTrace is currently enabled Rejection threshold not configured RPC binding does not contain FQDN RPC binding does not match DNS resolved name The RPC binding order is not correct The Rpc_Binding_Order registry entry is present The Rpc_Svr_Binding_Order registry value has been modified from its default value Round-trip times to Active Directory server are taking more than 100 ms Round-trip times to Active Directory server are taking more than 10 ms Round-trip times to global catalog server are taking more than 100 ms

64

Round-trip times to global catalog server are taking more than 10 ms Scalable Networking Pack Update is Available Scan is not supported error message Search filter change is required for Recipient Policy Search filter change required for Recipient Policy A security group does not have sufficient rights to an OAB folder Sender ID not Configured Server name case mismatch Server name mismatch Server name too long Server RPC network address does not match Exchange server name Service Principal Name missing Service principal name should not be registered Services Value is Missing or Inaccessible Setup cannot detect an SMTP or Send connector that has an address space of * A service terminated unexpectedly in the last 24 hours Single free/busy replica found Single free/busy replica found for large number of mailboxes Single global catalog is present in topology Site folder server deleted Slow Active Directory directory service calls Slow ESE Calls Slow IMAIL Calls Slow LSASS calls Slow Virus Scanner Calls Slow VSS Snapshot Calls An 'SMTPSVC' error event (ID: 429) was logged within the last 24 hours SMTP instance fully-qualified domain name does not match server name SMTP Local Queue length beyond threshold SMTP Server performance monitor object is not available SQL Server is running Virtual Server 2005 with Exchange Server installed as a Guest SRS port is below 5000 SRS port has been manually overridden SSL Certificate Is Not Installed or Is Not Configured SSL is enabled on the ExchWeb virtual directory SSL is enabled on the Public virtual directory The start-up account configured for System Attendant is not supported Store.exe and Exoledb.dll file version mismatch STORE.EXE file is missing Store HTTP port is below 5000 Store: HTTP port is non-default Sub-optimal Memory Settings The SuppressStateChanges registry value must be changed Suspect Desktop Search Installed on Clients SystemPages set too high SystemPages Value Is Non-Default on 64-bit Computer System Attendant HTTP port is below 5000 System Attendant HTTP NSPI port is below 5000 System Attendant: HTTP NSPI port is non-default System Attendant: HTTP port value is non-default

65

System Attendant legacyExchangeDN value is missing System Attendant NSPI port has been manually overridden System Attendant service is configured to interact with desktop System Attendant service is not running as LocalSystem TcpTimedWaitDelay Key is Missing or Non-default The computer is running Windows Web Server 2008 or Windows Web Server 2008 R2 The Mailbox and Categorizer thread count exceeds the recommended limit The maximum event log size is set too high The Track Duplicates registry entry is missing The TEMP/TMP variable appears to point to an invalid or inappropriate folder This server has 1 GB or more of physical memory and HeapDeCommitFreeBlockThreshold has not been set to 262144 This server is running Windows Server 2003 and the SystemPages value is not equal to 0 This Exchange server has the /PAE startup switch set in the Boot.ini file This Exchange server is running with Physical Address Extensions enabled This Exchange server is running with Physical Address Extensions enabled and the /3GB Startup Switch This Exchange server is running with the /PAE and /3GB Startup Switches This front-end server is configured with the recipient update service There is a discrepancy with the Exchange server name between the registry and Active Directory There is a discrepancy with the Exchange server name in Active Directory There is more than one network between the Active Directory server and this Exchange server Too many hops Unable to access Windows Management Instrumentation (WMI) Unified Communications Managed API 2.0 Redist (64 Bit) Hotfix required Unsupported virtual machine configuration - clustered Exchange Server detected Unsupported virtual machine configuration - Exchange Server 2003 Service Pack 2 or later not detected Unsupported virtual machine configuration - virtual machine additions not detected Update for Daylight Saving Time Available Update Rollup for Windows 2000 SP4 not installed URLScan is installed USERVA is set incorrectly Verify that Mailbox Database Points to the FQDN of the CAS Server Array, if CAS is Used The version of the Tcpip.sys file installed on this computer may require a hotfix A virtual directory is running under an incorrect application pool Virtual machine configuration detected Virtual memory is fragmented Virtual Server 2005 R2 or later not detected Virus Scan queue length beyond threshold Virus Scan queue length beyond warning threshold Volume Mount Point Failure: Windows Server 2003 SP1 not Installed Web Site Is Stopped Windows Firewall Service is Enabled on Exchange Server Windows Management Instrumentation cannot be accessed Windows Management Instrumentation service is not running as LocalSystem Windows Server 2003 SP1: Outlook Web Access hotfix is required Windows Server 2003 SP1 Security Configuration Wizard was detected XESE.DLL file is present PowerShell Virtual Directory issues cause problems with Exchange Management tools Exchange 2010 System Requirements Exchange 2010 Discontinued Features and De-Emphasized Functionality

66