Documento de Riesgos

Preparado para GMX 20 de Junio de 2011 Versin: 1.0 Preparado por bSide Colaboracin Ing. Armando Velzquez Snchez

(Expertos en Soluciones TI S.C.) www.bside.com.mx

Tabla de Contenido
1Introduccin...................................................................................................... 3 2Riesgos............................................................................................................. 4

Health Check AD / GMX / AD

Introduccin

El presente documento tiene como objetivo presentar a GMX los Riesgos existentes en su infraestructura de Directorio Activo y correo electrnico, para la migracin solicitada, de acuerdo a los resultados obtenidos al anlisis realizado el pasado 14 de junio del ao en curso.

Health Check AD / GMX / AD

Riesgos

Se realiza anlisis de la infraestructura de Directorio Activo y correo electrnico, utilizando las siguientes herramientas: a) Ejecucin de la herramienta Active Directory Healt Check Tool. b) Ejecucin de ADmap. Microsoft Visio 2007 o superior. c) Ejecucin de la herramienta MBSA. Obteniendo los siguientes riesgos en cuanto al funcionamiento de Directorio Activo hacia la migracin solicitada: RIESGO
En el anlisis de Repadmin, nos muestra un error en el tiempo de replicacin con los servidores GMXRDSAT y CORPAD.

SOLUCIN
Primeramente realizar los siguiente: A Aplicar: net stop ntfrs B Esperar unos 10 segundos C Aplicar: net start ntfrs Posteriormente aplicar: A dcdiag.exe B netdiag.exe Y de acuerdo a los errores arrojados proceder. -----------------Si el servidor servidores se encuentran en un estado de Tombstone, es decir, que hace ms de 180 das que no replica, se tiene las siguientes 2 opciones. 1 - Despromover el domain controller, limpiar la metadata de ese DC en el DC que queda. Y luego volver a promoverlo (Esta sera la opcin recomendada). Antes realizar un respaldo. 2 - Resumir la replicacin, con el

OBSERVACIONE S

Health Check AD / GMX / AD

riesgo de replicar objetos lingering (que no se desvanecen) a la red. Por lo cual recomendara, a - Despromueve el servidor en Tombstone utilizando dcpromo \forceremoval b - Sigue la siguiente nota para limpiar los rastros de este Domain Controller que has despromovido. http://technet.microsoft.com/enus/libra ry/cc736378(WS.10).aspx c - Promueve nuevamente el domain controller. En el apartado de Sysvol, manda un error en el cual no puede validar al servidor corpad.gmx.com.mx, porque no se cuentan con los permisos suficientes. En el apartado de unlinked Gpos, nos muestra que las polticas mostradas no estn linkeadas a ninguna organizacin. En el anlisis DIT Size, nos muestra un erro con el servidor corpad.gmx.com.mx, en el cual, nos seala que no pudo realizar la conexin por falta de permisos. En el anlisis de IP Configuration, la advertencia que nos enva es porque no pudo validar la configuracin IP del servidor GMXDFDC.GMX.COM.MX. Tambin cabe hacer mencin que la configuracin de los DNS de los dems controladores de dominio tienen que ser cambiadas, ya que como DNS primario est el servidor 192.168.0.4 y como secundario el 192.168.0.5 en todos. En el anlisis de OS Info, nos manda un mensaje de advertencia en el servidor Corpad.gmx.com.mx, en el cual, no pudo hacer la revisin por falta de permisos.
Health Check AD / GMX / AD

Brindar los permisos suficientes en la(s) cuenta(s) de administrador en el directorio activo.

Depurar las GPOs que no estn linkeadas a un objeto del directorio activo. Brindar los permisos suficientes en la(s) cuenta(s) de administrador en el directorio activo.

Verificar las direcciones IP vs host de los controladores de dominio en el servidor DNS.

Brindar los permisos suficientes en la(s) cuenta(s) de administrador en el directorio activo.

Cabe sealar que a 4 de los controladores de dominio basados en Windows 2008 R2 les hace falta el Service Pack 1 En el anlisis Performance Info, nos manda un mensaje de advertencia en el servidor Corpad.gmx.com.mx, en el cual, no pudo hacer la revisin por falta de permisos. En el anlisis de Stale Accounts, nos muestra el siguiente resumen, en el cual, las advertencias es los las cuantas que estn deshabilitadas, las contraseas que no expiran, las cuantas que ya expiraron y las contraseas que nunca iniciaron sesin.

Instalar el Service Pack 1 a los cuatro controladores de dominio mencionados. Brindar los permisos suficientes en la(s) cuenta(s) de administrador en el directorio activo.

Realizar la depuracin de las cuentas en el directorio activo.

Los servidores: gmxdfdc.gmx.com.mx y corpad.gmx.com.mx tienen instalado Windows Server 2003 Standard Edition SP2 La unidad organizacional default Computers, contiene equipos que no estn asignados a sus respectivas OUs. No est definida una poltica de nombres para las computadoras, , no se est respetando.

Migrar los controladores de dominio a Windows Server 2008 Enterprise R2

6
Depurar los equipos (hostname) que tengan ms de 180 das de NO acceso al directorio activo. Asignar los equipos a una OU correspondiente. Definir una nomenclatura de nombre a los equipos firmados en el directorio activo o a la red.

Existe un rbol de Unidades Organizacionales dividido por reas, las cuales, solo contiene a los usuarios de cada una de las localidades respectivamente En el Default-First-Site-Name existen 10 servidores y no se encuentran declaradas las subredes y hace falta asignar los sitos lgicos de cada una de las regiones.

Redisear una estructura de OUs para: regionales, reas, usuarios y equipos.

Declarar las sub-redes y asignar los sitios lgicos de cada regional.

Health Check AD / GMX / AD

Las rplicas de los controladores de dominio, se encuentran de la siguiente forma

Redisear la arquitectura replicacin entre servidores.

de

A continuacin se muestra el listado de riesgos en cuanto a funcionamiento de Exchange (correo electrnico): RIESGO
El siguiente error nos dice Este servidor de buzones tiene 1 GB o ms de memoria pero no tiene /3GB configurado en el archivo Boot.ini El siguiente error nos dice Los tiempos de retorno al servidor de Active Directory superan los 100 ms

SOLUCIN
Optimizar el uso de memoria.

OBSERVACIONE S

Verificar los tiempos de replicacin con el directorio activo.

Health Check AD / GMX / AD

El siguiente error nos dice Los tiempos de retorno al servidor de catlogo global superan los 100 ms El siguiente error nos dice No se ha realizado una copia de seguridad completa del almacn de buzones desde hace ms de 60 das, dicho error aplica para las bases de datos : Users A-H Users I-P Users Q-Z Public Folder

Verificar los tiempos de replicacin con el servidor de catlogo global. Realizar un respaldo completo de las bases de datos correspondientes.

El servidor dfap01, tiene instalado Windows Server 2003 R2 Standard Edition SP2. El siguiente error nos dice Tamao de archivo de pgina mayor que la memoria fsica total. El siguiente error nos dice Este servidor tiene 1 GB o ms de memoria fsica y HeapDeCommitFreeBlockThreshold no se ha configurado en 262144 Error Critico dice El valor de SystemPages est configurado demasiado alto,

Migrar a Windows Server 2008 Enterprise R2 Verificar el siguiente link: http://technet.microsoft.com/esmx/library/bb738135(EXCHG.80).aspx Verificar el siguiente link: http://technet.microsoft.com/esmx/library/aa998162(EXCHG.80).aspx Verificar el siguiente link: http://technet.microsoft.com/esmx/library/aa996786(EXCHG.80).aspx

Sera conveniente que una vez solucionados los anteriores riesgos, hacer uso nuevamente de las herramientas anteriormente mencionadas para verificar que no exista cualquier otro riesgo.

Fin del Documento

Health Check AD / GMX / AD