Documente Academic
Documente Profesional
Documente Cultură
Preparado para GMX 20 de Junio de 2011 Versin: 1.0 Preparado por bSide Colaboracin Ing. Armando Velzquez Snchez
Tabla de Contenido
1Introduccin...................................................................................................... 3 2Riesgos............................................................................................................. 4
Introduccin
El presente documento tiene como objetivo presentar a GMX los Riesgos existentes en su infraestructura de Directorio Activo y correo electrnico, para la migracin solicitada, de acuerdo a los resultados obtenidos al anlisis realizado el pasado 14 de junio del ao en curso.
Riesgos
Se realiza anlisis de la infraestructura de Directorio Activo y correo electrnico, utilizando las siguientes herramientas: a) Ejecucin de la herramienta Active Directory Healt Check Tool. b) Ejecucin de ADmap. Microsoft Visio 2007 o superior. c) Ejecucin de la herramienta MBSA. Obteniendo los siguientes riesgos en cuanto al funcionamiento de Directorio Activo hacia la migracin solicitada: RIESGO
En el anlisis de Repadmin, nos muestra un error en el tiempo de replicacin con los servidores GMXRDSAT y CORPAD.
SOLUCIN
Primeramente realizar los siguiente: A Aplicar: net stop ntfrs B Esperar unos 10 segundos C Aplicar: net start ntfrs Posteriormente aplicar: A dcdiag.exe B netdiag.exe Y de acuerdo a los errores arrojados proceder. -----------------Si el servidor servidores se encuentran en un estado de Tombstone, es decir, que hace ms de 180 das que no replica, se tiene las siguientes 2 opciones. 1 - Despromover el domain controller, limpiar la metadata de ese DC en el DC que queda. Y luego volver a promoverlo (Esta sera la opcin recomendada). Antes realizar un respaldo. 2 - Resumir la replicacin, con el
OBSERVACIONE S
riesgo de replicar objetos lingering (que no se desvanecen) a la red. Por lo cual recomendara, a - Despromueve el servidor en Tombstone utilizando dcpromo \forceremoval b - Sigue la siguiente nota para limpiar los rastros de este Domain Controller que has despromovido. http://technet.microsoft.com/enus/libra ry/cc736378(WS.10).aspx c - Promueve nuevamente el domain controller. En el apartado de Sysvol, manda un error en el cual no puede validar al servidor corpad.gmx.com.mx, porque no se cuentan con los permisos suficientes. En el apartado de unlinked Gpos, nos muestra que las polticas mostradas no estn linkeadas a ninguna organizacin. En el anlisis DIT Size, nos muestra un erro con el servidor corpad.gmx.com.mx, en el cual, nos seala que no pudo realizar la conexin por falta de permisos. En el anlisis de IP Configuration, la advertencia que nos enva es porque no pudo validar la configuracin IP del servidor GMXDFDC.GMX.COM.MX. Tambin cabe hacer mencin que la configuracin de los DNS de los dems controladores de dominio tienen que ser cambiadas, ya que como DNS primario est el servidor 192.168.0.4 y como secundario el 192.168.0.5 en todos. En el anlisis de OS Info, nos manda un mensaje de advertencia en el servidor Corpad.gmx.com.mx, en el cual, no pudo hacer la revisin por falta de permisos.
Health Check AD / GMX / AD
Depurar las GPOs que no estn linkeadas a un objeto del directorio activo. Brindar los permisos suficientes en la(s) cuenta(s) de administrador en el directorio activo.
Cabe sealar que a 4 de los controladores de dominio basados en Windows 2008 R2 les hace falta el Service Pack 1 En el anlisis Performance Info, nos manda un mensaje de advertencia en el servidor Corpad.gmx.com.mx, en el cual, no pudo hacer la revisin por falta de permisos. En el anlisis de Stale Accounts, nos muestra el siguiente resumen, en el cual, las advertencias es los las cuantas que estn deshabilitadas, las contraseas que no expiran, las cuantas que ya expiraron y las contraseas que nunca iniciaron sesin.
Instalar el Service Pack 1 a los cuatro controladores de dominio mencionados. Brindar los permisos suficientes en la(s) cuenta(s) de administrador en el directorio activo.
Los servidores: gmxdfdc.gmx.com.mx y corpad.gmx.com.mx tienen instalado Windows Server 2003 Standard Edition SP2 La unidad organizacional default Computers, contiene equipos que no estn asignados a sus respectivas OUs. No est definida una poltica de nombres para las computadoras, , no se est respetando.
6
Depurar los equipos (hostname) que tengan ms de 180 das de NO acceso al directorio activo. Asignar los equipos a una OU correspondiente. Definir una nomenclatura de nombre a los equipos firmados en el directorio activo o a la red.
Existe un rbol de Unidades Organizacionales dividido por reas, las cuales, solo contiene a los usuarios de cada una de las localidades respectivamente En el Default-First-Site-Name existen 10 servidores y no se encuentran declaradas las subredes y hace falta asignar los sitos lgicos de cada una de las regiones.
de
A continuacin se muestra el listado de riesgos en cuanto a funcionamiento de Exchange (correo electrnico): RIESGO
El siguiente error nos dice Este servidor de buzones tiene 1 GB o ms de memoria pero no tiene /3GB configurado en el archivo Boot.ini El siguiente error nos dice Los tiempos de retorno al servidor de Active Directory superan los 100 ms
SOLUCIN
Optimizar el uso de memoria.
OBSERVACIONE S
El siguiente error nos dice Los tiempos de retorno al servidor de catlogo global superan los 100 ms El siguiente error nos dice No se ha realizado una copia de seguridad completa del almacn de buzones desde hace ms de 60 das, dicho error aplica para las bases de datos : Users A-H Users I-P Users Q-Z Public Folder
Verificar los tiempos de replicacin con el servidor de catlogo global. Realizar un respaldo completo de las bases de datos correspondientes.
El servidor dfap01, tiene instalado Windows Server 2003 R2 Standard Edition SP2. El siguiente error nos dice Tamao de archivo de pgina mayor que la memoria fsica total. El siguiente error nos dice Este servidor tiene 1 GB o ms de memoria fsica y HeapDeCommitFreeBlockThreshold no se ha configurado en 262144 Error Critico dice El valor de SystemPages est configurado demasiado alto,
Migrar a Windows Server 2008 Enterprise R2 Verificar el siguiente link: http://technet.microsoft.com/esmx/library/bb738135(EXCHG.80).aspx Verificar el siguiente link: http://technet.microsoft.com/esmx/library/aa998162(EXCHG.80).aspx Verificar el siguiente link: http://technet.microsoft.com/esmx/library/aa996786(EXCHG.80).aspx
Sera conveniente que una vez solucionados los anteriores riesgos, hacer uso nuevamente de las herramientas anteriormente mencionadas para verificar que no exista cualquier otro riesgo.