Reflexiones de un
“Dummy” en AD:
Experiencias en Migración y
Administración de Exchange 2000
y Active Directory en el Mundo
Real
Natalie Gil – Ing. de Sistemas, Banco de Crédito BCP
Oscar Vargas – Arquitecto de Redes, TIM Perú
Objetivos y Audiencia



Compartir experiencias y errores (y éxitos)
Identificar riesgos relación con la
migración a Active Directory y Exchange
2000 y proponer formas de mitigarlos
Audiencia:


Ingenieros / Implantadores con
conocimientos de AD y E2K
Administradores de NT4 / Exchange 5.5
preparándose para la migración
Agenda

Planificación Previa a la Migración:






La Migración





Mitos de una Migración
Upgrade de AD? O todo nuevo?
Sizing de Servidores
Recomendaciones para un buen diseño
Delegación de Active Directory
El Día “D” – La Migración
El Active Directory Connector
Problemas típicos de la migración
Diferencias importantes entre E5.5 y E2K
Recomendaciones de Administración






Plan de Backups
Seguridad
Errores comunes de un Administrador
Monitoreo
Qué hacer cuando hay problemas
Beneficios de la Migración
No creas todo lo que te dice
Microsoft (Mitos de una migración)

El mito:




“Basta con colocar el CD y hacer upgrade”
“Corre el Wizard y listo”
“Setup!”
Es importante estar preparado antes de hacer la
migración




No es “sin dolor”
Investiga, lee, documenta muchísimo (harto!)
Considera una consultoría o un apoyo experto
Revisar el tema de procesos
 Gente que crea cuentas
 Gente que maneja seguridad
 Esta implantación puede ser multi-área
¿Upgrade de AD? ¿O todo
nuevo?



Decisión importante y primordial
Es preferible hacer una instalación nueva
(dominio paralelo) porque es más limpia
Poner un dominio paralelo puede sonar
“tremendo”, pero hay una serie de
problemas que se pueden evitar:



ADC
Sincronización y replicación
Troubleshooting
¿Upgrade de AD? ¿O todo
nuevo?

Puntos negativos de un dominio paralelo:



Hay un tema económico involucrado
 Se requiere una infraestructura paralela igual de
grande y compleja o mayor
Puede haber dependencias que no se pueden
manejar
 Interacción con Producción
 Cuentas o aplicaciones duras de migrar
 Limites de Tiempo
Si vas a optar por un upgrade in-place, considera
la posibilidad en el tiempo de
re-hacer el PDC
El Tamaño Sí Importa (Sizing)

Es importante hacer un estimado adecuado de los
recursos que necesito






Procesador, memoria y disco
Exchange y Domain Controllers de AD
Capacidad de backup y restore (y tiempo!)
Impacto a la red – Exchange y los Global Catalogs
Recursos humanos
Bases de datos de Exchange crecen:





Nuevos stores – Más capacidad de crecimiento
Más capacidad de consolidación
Falta de políticas
Migración de cuentas con ExMerge = pérdida de Single Instance
Base de datos de Streaming – OWA 2000
El Tamaño Sí Importa (Sizing)



De todas maneras Win2K va a requerir más HW, y
E2K probablemente también
Considerar necesidad de GCs para E2K… inclusive
podrían ser dedicados y por site
Documentos y herramientas útiles
(http://www.microsoft.com/exchange/techinfo/pl
anning/2000 ):




Documentos y herramientas de Sizing de Microsoft
Proliant Sizer for Microsoft Exchange 2000
Proliant Storage Planning Calculator
HP Consolidation Tool for Microsoft Exchange 2000
Sizing: Ejemplo

BCP





6000 Usuarios
Exchange: 4 Servidores
(4CPUs, 2 GB RAM c/u)
con un Storage Externo
de 800 GB
2 Servidores de
conectores para Internet
y Credicorp
DC: Win2K (PDC
Emulator) de 4CPUs, 1
GB RAM (dedicado),
asume también función
de GC
2 Servidores Adicionales
dedicados para DC (uno
pequeño, otro igual al
PDC para ser GC)

TIM




1500 Usuarios
Exchange: 4 Servidores
Proliant DL580 con
4CPUs Xeon900,
2GBRAM, 72GB HD, 1
Storage Externo de
144GB
1 servidor de conectores
para Internet y F/E Server
DC: 9 Servidores Proliant
DL380G2 con 2CPUx PIII
1400Mhz, 1GB RAM,
36GB HD
Recomendaciones para un buen
diseño: Mantenerlo simple!


Implantar la menor complejidad posible
(aunque ésto requiera más trabajo)
Solucionar problemas pendientes antes de
migrar


Consolidación de dominios


La migración no va a lavar tu ropa sucia!
Tratar de armar el diseño en base a OUs, no a
dominios hijos
Consolidar/limpiar esquema de DNS
Recomendaciones para un buen
diseño: Puntos Adicionales

Definir responsabilidades de administración del Directorio
– Active Directory





Es necesario considerar roles ahora y en el futuro – es importante
saber si tenemos la capacidad de administrar
Llenado de información en OUs
Planificar la delegación de administración
Hacer la mayor cantidad posible de laboratorios antes
Intercomunicación con otros sites Exchange / Empresas /
Bosques





Planificarlo bien
Organización Exchange 2000 = Forest
Public Folders
Address Book
Para situaciones de interrelación compleja, podría ser necesario
Microsoft Metadirectory Services (MMS), o herramientas de
terceros
Delegación de AD - Ejemplo
Esquema de OUs armado
por locales
Cada OU de local es
organizada por
tipos de usuarios
Las GPO aplican a todos
los OUs EXCEPTO a
los de servidores y
DCs
Los servidores también son
agrupados por OU
según su objetivo, para
facilitar administración
El Día “D” (La Migración)



Hacer el cleanup del servidor antes de
hacer la migración a AD
No olvidar desconectar un BDC antes de
hacer la migración – Contingencia y
rollback
DomainPrep y ForestPrep – Prep-árate!


Tener todo a la mano



Pruebas en laboratorio antes de hacerlo!
Uy, no tengo el CD!
No tengo soporte!
Espera lo inesperado…
Cambios de Resolución entre NT4 y Win2K
¿A qué Domain
Win2K Win2KPro
Member
WinXP
NT4BDC1
DNS
WinNT
Member
Controllers
me
conecto?
WinNTWks
Win9x
NT4PDC
PDC migrado
a Windows
2000 Active
Directory!!!
NT4BDC2
WINS
Toma la lista:
NT4PDC,
NT4BDC1,
NT4BDC2
Cambios de Resolución entre NT4 y Win2K
WinNT
Member
NT4BDC1
DNS
WinNTWks
Win9x
NT4PDC
NT4BDC2
WINS
Toma la lista:
NT4PDC (porque
es 2K)
¿A qué Domain
Controllers
me
conecto?
Para que esto no ocurra hay 2
alternativas:
1.Migrar
Win2K
Member
Win2KPro
WinXP
más domain controllers
a Windows 2000 (con todo lo
que esto implica!)
2. Hacer que los DCs Windows
2000 se comporten como DCs
NT4.0 a través de la llave
NT4Emulator del Registry.
El Día “D” – El Registry
NT4Emulator


Registry NT4Emulator –KB Article 298713
Beneficios / Riesgos


Riesgo: No ponerlo en todos!
Al quitar la llave recién están haciendo la
migración…
Durmiendo con el Enemigo
(El Active Directory Connector - ADC)



El ADC puede ser (si lo planificas mal) tu peor dolor de
cabeza
No es posible instalar Exchange 2000 en un ambiente
mixto E2K/E5.5 sin instalar el ADC
Instalar el ADC de SP3 de Exchange 2000




Planificar y probar diseño de ADCs
Instalar los ADCs en modo two-way



No usar el ADC de Win2K, ni el de E2K!
Verificar que no hayan salido parches para el ADC antes de
instalarlo
Si lo tienen en one-way, no pasarlo a two-way; crear uno nuevo
Ejemplo: Pérdida de relación casilla-cuenta
Monitorear el ADC!


Mensajes de error en el Event log
Servicio debe estar siempre levantado
Será por la migración? Definitivamente Sí! (Problemas típicos
tras la migración)

Problemas típicos luego de una migración:





Resolución ha cambiado entre WINS y DNS
Logon scripts – Replicación NETLOGON
Políticas de cambio de password, expiración,
etc.
Políticas de máquina
Solución: Planificar esto antes de la
migración!
Exchange – ¿Para qué
#$dre
migré? (Diferencias importantes entre
versiones de Exchange)

Diferencias entre E2K y E5.5 que afectarán el servicio si no
son adecuadamente planificadas:


En E2K la “cuenta” y la “casilla” son lo mismo
 Revisar usuarios que utilizan muchas casillas
 ADC va a replicar las cuentas de manera inadecuada
Recipient Update Services

Políticas de Addressing en un site mixto vienen de E5.5
(prioridad)
 Tener cuidado en no crear políticas que hagan conflicto con
5.5, o esperar a migrar a site Nativo
 Como para entrar a OWA se requieren direcciones SMTP, las
políticas del RUS podrían hacer que los usuarios no entren a
OWA
Exchange – ¿Para qué
#$dre
migré? (Diferencias importantes entre
versiones de Exchange)
 Diferencias entre E2K y E5.5 que afectarán
el servicio si no son adecuadamente
planificadas:


SMTP es nativo para todo
 Usuarios que no tienen salida a Internet…
pueden terminar teniéndola
 Puede comprometer tráfico
OWA no funciona como en E5.5
 Debe haber un Front-End Server para OWA
en Internet
Haciendo las cosas más
complicadas… si se puede aún más
(Planificación para Backups)

El proceso de respaldo ha cambiado; es necesario
planificar para esto:




System State: Imprescindibles para poder recuperar
Exchange 2000
Active Directory – System State de los DCs
Backup del disco C:\ - Recomendado por Microsoft,
pero no hemos encontrado una dependencia
específica, y sí algunos riesgos – Sacar backup igual
Leer e implementar documento de Disaster Recovery
de Exchange
(http://www.microsoft.com/technet/prodtechnol/exch
ange/exchange2000/proddocs/onlinebooks/disrec/de
fault.asp)
Haciendo las cosas más
complicadas… si se puede aún más
(Planificación para Backups)

Validar pruebas de restore!!

Políticas de tamaño


Se puede fácilmente perder el control del tamaño de las bases de
datos
Considerar utilizar NTBackup por más que se tenga una
herramienta de terceros

Por ejemplo, backup de NTBackup a disco
Por Esto Casi me Botan (errores de un
administrador)

Mentalidad de administración “NT4-Exchange 5.5” no aplica en un
mundo “Active Directory – Exchange 2000”






Autorizar DHCPs, y Definir esquema de permisos para DHCPs
Permisos Schema Admin y Enterprise Admin podrían ser un peligro!
URLScan en servidores Exchange (OWA) – ver Q396508
Antivirus



Administración del directorio Activo (ej. defrags)
Dependencia de Exchange en servidores GCs
No correrlo en el disco M: ni en las BDs de Exchange (ni en \EXCHSRVR)
Considerar encender dumps de servidores
Subestimar complejidad


El grueso de los errores es falta de conocimiento
Dependencias
Si todo está OK … para qué me
complico (monitoreando lo que NO se ve)




Me complico porque hay cosas que pueden pasar
que no veo… y que en algún momento me van a
explotar en la cara!!
Encender logging de todo lo que quieras
monitorear (ej. ADCs) a minimum por lo menos
Revisar logs de DCs y Exchange por lo menos una
vez a la semana (diario durante la migración), y
tomar acciones
Poner una herramienta que monitoree la
infraestructura


Por ejemplo Microsoft Operations Manager (MOM)
Exchange System Monitor / Link Monitor
Monitoreo: MOM
Monitoreo: MOM
Monitoreo: MailQ
Auxilio! Esto no funciona!
(Qué hacer cuando hay problemas)

Qué hacer cuando hay problemas












Ver si la alerta es cierta (…)
Ver si es problema de servidor (masivo) o de uno o pocos clientes
Ver si es un problema de Exchange o de Active Directory
Revisar event logs del servidor o servidores sospechosos
Revisar alertas de MOM…
Abrir el Exchange System Manager y ver colas, stores caidos, etc.
Buscar casos en http://support.microsoft.com
Herramientas útiles: Replmon, ADCheck (NetIQ),
Tener casillas de prueba en cada store de cada servidor
Contar con algún tipo de soporte – No asuman que la linea gratuita de
Microsoft les va a resolver problemas con Exchange 2000!
Ten a la mano el teléfono de Bembos, Dinos Pizza, etc… tu dieta va a
cambiar
Ten paciencia… va a replicar!
Por fin! El Sol! (tras semanas bajo tierra)
(Beneficios obtenidos de la migración)


… al final sí replica
Algunos beneficios obtenidos:









Administración remota en los servidores – Terminal
Bases de datos más pequeñas y manejables – menos
tiempo de respuesta y menos usuarios afectados
Mayor granularidad administrativa y seguridad
OWA 2000
Integración con DNS
Herramientas más simples para monitorear (ej. MOM)
Monitoreo más centralizado de AD
Acceso vía Celular con Mobile Information Server
Y vivieron felices para siempre…
Los expertos…
Links






Revisar los siguientes artículos de Knowledge Base
(http://support.microsoft.com): 270143, 272314, 284148, 298713,
307917, 288150
Service Pack 3 de Exchange:
http://www.microsoft.com/exchange/downloads/2000/sp3/default
.asp
Mejores Prácticas de Exchange 2000:
http://www.microsoft.com/exchange/techinfo/tips/
Guia de Migracion a Exchange 2000 http://www.microsoft.com/technet/itsolutions/guide/default.asp
Documentos y herramientas útiles de Exchange
(http://www.microsoft.com/exchange/techinfo/planning/2000 )
Disaster Recovery de Exchange 2000
(http://www.microsoft.com/technet/prodtechnol/exchange/exchan
ge2000/proddocs/onlinebooks/disrec/default.asp)
Descargar

La Migración