Curso de Férias TechNet
Windows Server 2003 – Resolução
de Problemas / Planejando a
Instalação de Servidores
Fabio Hara
MCSA/MCSE/MCT
MVP – Windows Servers / Networking
Curso de Férias TechNet
Evento 1 - Windows Server 2003 - Visão Geral e Conceitos (Marcos)
Evento 2 - Diretivas de Grupo (Marcos)
Evento 3 - DNS/DHCP no Windows Server (Dirk)
Evento 4 - Windows Server 2003 Resolução Problemas / Planejando a
instalação Servidores (Fabio Hara – MVP )
Evento 5 - Segurança no Windows 2003 (Manzano)
Curso de Férias TechNet
Evento 6 - Windows Server 2003 Instalando e Configurando o IIS 6.0
(Guilherme Carnevalle - MVP )
Evento 7 - Windows Server 2003 Gerenciando uma Rede Windows 2003
(Ávila)
Evento 8 - Windows Server 2003 Migração/Interoperabilidade do NT 4.0
e Windows 2003 (Airton Leal – MVP )
Evento 9 - Encerramento & Teste
Agenda
•
•
•
•
•
•
Resolução de Problemas com DNS
Análise de Logs do AD/FRS
Ajuste de Replicação IntraSite e InterSite
Disaster Recovery
Ferramentas de Documentação
Procedimentos de Manutenção e Praticas
Recomendadas
• Ajuste de Desempenho e Otimizações no AD
• Monitoração do AD com o Performance Monitor
Resolução de Problemas
• Windows Server 2003 exige conhecimentos mínimos
para o bom funcionamento.
Treinamento oficial Microsoft (MOC)
Literatura especializada
• A Microsoft vem disponibilizando muitos materiais
técnicos para auxiliar
• Technet Brasil
Webcasts / Palestras / Matérias / Artigos / Forum
• Muitos grupos de usuários tem prestado importante
colaboração para a Comunidade Microsoft.
Check-List Obrigatório
• Antes de mais nada é importante entender se
o Design de rede está correto:
–Nomes de domínio foram planejados corretamente?
–Estrutura de domínio foi planejada corretamente?
–Modelo de Unidades Organizacionais foi planejado
corretamente?
–GPO’s foram planejadas corretamente?
–Houve algum planejamento? As equipes foram treinadas?
–Foi feito levantamento de ambiente?
Guia Obrigatório do Administrador
• Microsoft Solutions Framework
http://www.microsoft.com/technet/itsolutions/msf/default.mspx
• Microsoft Operations Framework
http://www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx
• Microsoft Windows Server 2003 Deployment Kit
http://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.m
spx
• Windows Server 2003 Planning and Architecture
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/plann
ing/default.mspx
• Windows Server 2003 Tech Center
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/defau
lt.mspx
Estrutura de Domínio
• Recomendação sempre é voltada para
simplificação do ambiente.
Modelo de Branch Office: Único domínio, Site
Matriz e vários sites de filiais.
• Regra obrigatória:
Nome de Domínio Netbios ≠ Nome de Domínio
DNS
Resolução de Problemas com DNS
• DNS corresponde a 99% do Active
Directory
• Parâmetros fundamentais de
configuração:
DNS do AD não possui ligação com o DNS de
Internet
Preferência por Integrated Zones
Utilizar Scavenging
• Habilitar em Zone Level E Server Level
Resolução de Problemas com DNS
(cont...)
• Para diagnostico avançado no DNS é altamente
recomendado que entenda os tipos de registros SRV
Q232025 – “Description of the DNS SRV Resource Record Type”
Q306602 – “How to Optimize the Location of a Domain Controller or
Global Catalog That Resides Outside of a Client's Site”
Q241515 – “How to verify that SRV DNS records have been created for
a domain controller”
• Utilize o DNSLint para diagnosticar problemas no
DNS:
Q321046 – “How to use DNSLint to troubleshoot Active Directory
replication issues”
Resolução de Problemas com DNS
(cont...)
Demo: utilizando o Netlogon Service para
recriar todos os registros SRV
Análise de Logs do AD/FRS
• Verificar em TODOS os DC’s da Floresta
eventuais problemas de replicação
Cuidados com Orphaned Objects
• Configurar Antivirus para não efetuar
Scan nos diretórios do Database do AD e
Sysvol.
Análise de Logs do AD/FRS (cont...)
Demo: habilitando o Active Directory Event Logging
Hkey_local_machine\system\currentcontrolset\services\ntds\diag
nostics\
• 0 = (none)
• 1 = Minimal
• 2 = Basic
• 3 = Extensive
• 4 = Verbose
• 5 = Internal
Cuidado! Logs
podem aumentar
drasticamente
Análise de Logs do AD/FRS (cont...)
Demo: utilizando o Replication Monitor
, FRSDiag, Sonar e UltraSound
Ajuste de Replicação IntraSite e InterSite
• Novos parâmetros de replicação no Windows
Server 2003
Windows 2000 – 300/30
Windows Server 2003 – 15/3
• KCC / ISTG Melhorados ( de 300 para mais de
3000 sites no Windows Server 2003 )
Não existe mais necessidade de criar várias
arvores/domínios
• Linked Value Replication reduz tráfego
replicado
Somente Windows Server 2003 em Native Mode
Trafego dos Clientes
• Em todo ambiente é importante analisar o
trafego consumido com serviços de rede
• Vários fatores afetam trafego consumido:
Quantidade de itens configurados em uma GPO
Queries LDAP
Configuração DNS
Localização de objeto em OU (evitar mais de 5 sub-niveis)
Quantidade de atributos definidos no objeto
Group Membership
Kerberos Tickets
obtained (TGT &
TGS).
Access
Initial setup, DHCP,
3 ARPs 650 bytes
12 k/bytes
Starting out
DNS lookup for 1st
Site
DNS lookup for
ldap.tcp.DefaultFirstSite._sites._msdcs.
SMB session
RPC PortMapper
Opnum 0x3 - returns
portnumber.
LDAP query against
DC for WS, WS$,
DomainGUID.
MSRPC for Bind,
DSCrackNames &
UnBind.
NetLOGON RPCs.
3000 bytes
MSRPC
conversation
11 12 1
2
10
9
3
8
4
7 6 5
550 bytes
LDAP query for
WS
2000 bytes
Trafego de Rede
Windows 2000
Professional
PARTE 1
6 k/bytes
1500 bytes
LDAP query against
DC for WS, WS$,
DomainGUID.
LDAP query for
WS
SMB session setup
& connect to IPC$ to
get DFS Referral.
MSRPC
conversation
10 k/bytes
LDAP query against
DC for LDAP
attributes supported
& GPO's.
Time Sync over
NTP
150 bytes
LDAP query for DC LDAP
functionality
16 k/bytes
Group Policies
downloaded.
Default_First_Site_
Name.
250 bytes
DNS lookup for 1st
Site
12 k/bytes
LDAP queries for
GPOs
WS updates DNS
with canonical name
400 bytes
1000 bytes
DNS Dynamic
update.
LDAP query for DC in 1st
site
500 bytes
All
connections
teared
down - WS
done.
1500 bytes
SMB Dialect
negotiated
Total = 68 K/bytes
Access
Kerberos tickets exchanged.
Access
9.5 Kbytes
Kerberos tickets exchanged.
6 Kbytes
0.5 Kbytes
LDAP query for Netlogon
SMB session
SMB session setup
& connect to IPC$ to
get DFS Referral to
Sysvol.
15 Kbytes
Trafego de Rede
Windows 2000
Professional
PARTE 2
Client Interactive
Logon
DSBind, CrackNames, Unbind
MSRPC conversation
SMB session to
download GPO.
12 Kbytes
SMB session
DSBind, CrackNames, Unbind
Repeated!
MSRPC conversation
7 Kbytes
LDAP query for GPOs
6 Kbytes
15+ Kbytes
Trafego de Replicação
Novos
usuários
# Bytes
Replicados
Replication
Time (32K)
Replication
Time (64K)
Replication
Time (96K)
Replication
Time (128K)
Replication
Time (256K)
50
21,700
6
3
2
2
1
100
34,700
9
5
3
3
2
200
60,700
16
8
6
4
2
300
86,700
22
11
8
6
3
Alterações
De
Senha
# Bytes
Replicados
Replication
Time (32K)
Replication
Time (64K)
Replication
Time (96K)
Replication
Time (128K)
Replication
Time (256K)
10
42,000
11
6
4
3
2
20
51,500
13
7
5
4
2
30
61,000
16
8
6
4
2
40
70,500
18
9
6
5
3
Novos grupos
# Bytes
Replicados
Replication
Time (32K)
Replication
Time (64K)
Replication
Time (96K)
Replication
Time (128K)
Replication
Time (256K)
20
11,500
3
2
1
1
1
30
13,350
4
2
2
1
1
40
15,200
4
2
2
1
1
Trafego de Replicação (cont...)
• Demo: Usando o AD Calculator 2-1
Ajuste de Replicação IntraSite e InterSite Active Directory Load Balance
(ADLB)
Connection Objects Load Balancing
Adicionando novos
Bridgehead Servers
Não fazem o
Balanceamento dos
connection objects
Quando novos Sites
são adicionados, novas
connection
objects são
balanceadas entre
os Bridgeheads
Connection objects
não são 100%
balanceadas
Replication Configuration
Connection Objects - Load-Balancing Tool
Load Balancing tool
faz balanceamento
das connection
objects entre todos
Bridgehead Servers
Replication Configuration
Load-Balancing Tool
Load Balancing tool
faz balanceamento
das connection
objects entre todos
Bridgehead Servers
Quando novos
Bridgehead
Servers são adicionados,
connection objects
são balanceadas
novamente
Ferramentas de Documentação
• Importante! Manter sempre muito bem
documentado as configurações do seu
domínio.
• Documentações devem seguir
padronização e metodologia
Microsoft Operations Framework
Ferramentas de Documentação (cont...)
Demo:
Group Policy Management Console
Windows Report Tool ( Windows 2000 apenas )
Server System Monitor
Microsoft Operation Manager 2005 (MOM 2005)
Visio
• Visio 2000 Enterprise Edition
• Visio 2002 Professional + Enterprise Network Tools
• Visio 2003 Professional + Resource Kit for IT
Ecora
Hyena
Ajuste de Desempenho e Otimizações
em Servidores
• Recomendado efetuar manutenção
periódica nos servidores
• Monitorar em TODOS os servidores
• Ajustes nas placas de rede
“Maximize data throughput for network
applications” – cuidado apenas com rede de
backup
Binding Order deve respeitar primeiro a placa que
esteja na mesma rede do Active Directory
Ajuste de Desempenho e Otimizações no
AD (cont...)
Demo: manutenção no Active Directory
Usando o NTDSUtil
Demo: Alterando propriedades da placa de
rede ( Primary DNS, Binding Order e
Maximize Throughput )
Monitoração dos servidores com o
Performance Monitor
• Novos contadores permitem identificar
pequenos problemas
• Log do Performance Monitor no Windows
Server 2003 pode ser maior que 1 GB
Permite monitorar durante várias semanas
Monitoração dos servidores com o
Performance Monitor (cont...)
Demo: utilizando os contadores
Verificando GPO’s
• 02 políticas são criadas por padrão em
qualquer instalação de Active Directory
(Windows 2000 e Windows Server 2003)
Domain Security Policy
• Parâmetros de segurança para senhas e contas de usuários
Domain Controller Security Policy
• Parâmetros de segurança em DC’s
• Q216359 – “How To Identify Group Policy
Objects in the Active Directory and SYSVOL”
Verificando o SYSVOL e NETLOGON
• Armazena as GPO’s em uma estrutura única.
• Todo Domain Controller possui estes 02
compartilhamentos por padrão.
Verificar a cada promoção de Domain Controller se os
compartilhamentos foram montados.
• Em caso de problemas realizar procedimentos
descritos no Event Viewer antes de mais nada
• Q315457 – “How to rebuild the SYSVOL tree
and its content in a domain”
Monitorando a Comunicação Entre os
Sites
• É necessário que não existam restrições para as portas do
Active Directory e demais serviços dependentes
• Importante: o administrador de rede deve ter um mapa físico
de comunicação de todos os segmentos de rede.
• Cuidado com NAT!!! – bloqueio de trafego Netlogon (Q263293
e Q172227)
Q832017 – “Service overview and network port requirements for the Windows
Server system”
Q224196 – “Restricting Active Directory replication traffic to a specific port”
Q319553 – “How to restrict FRS replication traffic to a specific static port”
Q154596 – “How to configure RPC dynamic port allocation to work with
firewalls”
Q179442 – “How to configure a firewall for domains and trusts ”
Monitorando a Comunicação Entre os
Sites (cont...)
• Demo:
Fluke Lan MapShot, Network Inspector e OptiView
Neon CyberGauge e LANSurveyor
Solarwinds EE
3Com Network Supervisor
Ethereal e WinpCap
Network Monitor
Wildpackets EtherPeek
Procedimentos de Manutenção e
Praticas Recomendadas
1.
2.
3.
4.
5.
6.
7.
8.
Verificar registros SRV criados
Verificar configurações TCP/IP
Testar as portas TCP e UDP com o Port Query
Verificar replicação entre os DC`s
Verificar os Connections Objects
Verificar se as GPO`s de Domain Security e
Domain Controller foram criadas
Verificar se as estações efetuam logon e aplicam
Group Policy
Mantenha sempre atualizado seus servidores
Automatic Updates, Windows Update, WSUS e SMS.
Procedimentos de Manutenção e
Praticas Recomendadas (cont...)
Demo: executando procedimentos de
verificação do AD
Demo: Utilizando o Port Reporter Tool e
Port Query
Plano de Contingência contra Disastres DRP
• Caso tenha que realizar testes nos
servidores procure montar um ambiente
de contingência para Restore do System
State
Q263532 – “How to perform a disaster recovery
restoration of Active Directory on a computer with
a different hardware configuration”
Q249694 – “How to move a Windows 2000
installation to different hardware”
Plano de Contingência contra Disastres
– DRP (cont...)
• Utilize o Virtual Server 2005 ou Virtual PC
para simular teste
Utilize o Virtual Server Migration Toolkit (VSMT)
para clonar maquinas e realizar testes.
• Documente sempre seu ambiente
Cadastre-se hoje mesmo:
• http://br.thespoke.net/MyBlog/FabioH/MyBlog.aspx
• http://www.technetbrasil.com.br
• Participe…..
Dos eventos http://www.technetbrasil.com.br/eventos
Dos Foruns: http://www.technetbrasil.com.br/forum
Do Sharepedia:
http://www.technetbrasil.com.br/sharepedia
Assinando a Newsletter quinzenal…
E ganhe prêmios….
• TOP IT – Alta Performance
http://www.technetbrasil.com.br/topit