Fabio Hara MCSA/MCSE/MCTMVP – Windows Servers / Networking

Curso de Férias TechNet

Windows Server 2003 – Resolução de Problemas / Planejando a Instalação de Servidores

Curso de Férias TechNet

Evento 1 - Windows Server 2003 - Visão Geral e Conceitos (Marcos)

Evento 2 - Diretivas de Grupo (Marcos)

Evento 3 - DNS/DHCP no Windows Server (Dirk)

Evento 4 - Windows Server 2003 Resolução Problemas / Planejando a instalação Servidores (Fabio Hara – MVP )

Evento 5 - Segurança no Windows 2003 (Manzano)

Curso de Férias TechNet

Evento 6 - Windows Server 2003 Instalando e Configurando o IIS 6.0 (Guilherme Carnevalle - MVP )

Evento 7 - Windows Server 2003 Gerenciando uma Rede Windows 2003 (Ávila)

Evento 8 - Windows Server 2003 Migração/Interoperabilidade do NT 4.0 e Windows 2003 (Airton Leal – MVP )

Evento 9 - Encerramento & Teste

Agenda• Resolução de Problemas com DNS• Análise de Logs do AD/FRS• Ajuste de Replicação IntraSite e InterSite• Disaster Recovery• Ferramentas de Documentação• Procedimentos de Manutenção e Praticas

Recomendadas• Ajuste de Desempenho e Otimizações no AD• Monitoração do AD com o Performance Monitor

Resolução de Problemas

• Windows Server 2003 exige conhecimentos mínimos para o bom funcionamento.

Treinamento oficial Microsoft (MOC)Literatura especializada

• A Microsoft vem disponibilizando muitos materiais técnicos para auxiliar

• Technet BrasilWebcasts / Palestras / Matérias / Artigos / Forum

• Muitos grupos de usuários tem prestado importante colaboração para a Comunidade Microsoft.

Check-List Obrigatório

• Antes de mais nada é importante entender se o Design de rede está correto:

–Nomes de domínio foram planejados corretamente?–Estrutura de domínio foi planejada corretamente?–Modelo de Unidades Organizacionais foi planejado corretamente?

–GPO’s foram planejadas corretamente?–Houve algum planejamento? As equipes foram treinadas?–Foi feito levantamento de ambiente?

Guia Obrigatório do Administrador• Microsoft Solutions Framework

http://www.microsoft.com/technet/itsolutions/msf/default.mspx

• Microsoft Operations Frameworkhttp://www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx

• Microsoft Windows Server 2003 Deployment Kithttp://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx

• Windows Server 2003 Planning and Architecturehttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/planning/default.mspx

• Windows Server 2003 Tech Centerhttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/default.mspx

Estrutura de Domínio

• Recomendação sempre é voltada para simplificação do ambiente.

Modelo de Branch Office: Único domínio, Site Matriz e vários sites de filiais.

• Regra obrigatória:Nome de Domínio Netbios ≠ Nome de Domínio DNS

Resolução de Problemas com DNS

• DNS corresponde a 99% do Active Directory

• Parâmetros fundamentais de configuração:

DNS do AD não possui ligação com o DNS de Internet

Preferência por Integrated ZonesUtilizar Scavenging

• Habilitar em Zone Level E Server Level

Resolução de Problemas com DNS (cont...)• Para diagnostico avançado no DNS é altamente

recomendado que entenda os tipos de registros SRVQ232025 – “Description of the DNS SRV Resource Record Type”Q306602 – “How to Optimize the Location of a Domain Controller or Global Catalog That Resides Outside of a Client's Site”

Q241515 – “How to verify that SRV DNS records have been created for a domain controller”

• Utilize o DNSLint para diagnosticar problemas no DNS:

Q321046 – “How to use DNSLint to troubleshoot Active Directory replication issues”

Resolução de Problemas com DNS (cont...)

Demo: utilizando o Netlogon Service para recriar todos os registros SRV

Análise de Logs do AD/FRS

• Verificar em TODOS os DC’s da Floresta eventuais problemas de replicação

Cuidados com Orphaned Objects

• Configurar Antivirus para não efetuar Scan nos diretórios do Database do AD e Sysvol.

Análise de Logs do AD/FRS (cont...)Demo: habilitando o Active Directory Event Logging

Hkey_local_machine\system\currentcontrolset\services\ntds\diagnostics\

• 0 = (none)• 1 = Minimal• 2 = Basic• 3 = Extensive• 4 = Verbose• 5 = Internal Cuidado! Logs

podem aumentar drasticamente

Análise de Logs do AD/FRS (cont...)

Demo: utilizando o Replication Monitor , FRSDiag, Sonar e UltraSound

Ajuste de Replicação IntraSite e InterSite

• Novos parâmetros de replicação no Windows Server 2003

Windows 2000 – 300/30Windows Server 2003 – 15/3

• KCC / ISTG Melhorados ( de 300 para mais de 3000 sites no Windows Server 2003 )

Não existe mais necessidade de criar várias arvores/domínios

• Linked Value Replication reduz tráfego replicado

Somente Windows Server 2003 em Native Mode

Trafego dos Clientes

• Em todo ambiente é importante analisar o trafego consumido com serviços de rede

• Vários fatores afetam trafego consumido:Quantidade de itens configurados em uma GPO

Queries LDAP

Configuração DNS

Localização de objeto em OU (evitar mais de 5 sub-niveis)

Quantidade de atributos definidos no objeto

Group Membership

In itia l setup, D H C P,3 AR Ps

Starting out

LDAP query forW S

DNS lookup for 1stS ite

MSRPCconversation

D N S lookup forldap.tcp.D efault-

F irs t-S ite ._s ites._m sdcs.

LD AP query againstD C for W S, W S$,

D om ainG U ID .

RPC PortMapperOpnum 0x3 - returns

portnum ber.

N etLO G O N R PC s.

7 56

121110

8 4

21

9 3T im e Sync over

N T P

DNS lookup for 1stS ite

LDAP query for DC in 1stsite

SMB Dialectnegotiated

Access Kerberos T icketsobta ined (T G T &

T G S).

SMB session

SM B session setup& connect to IPC $ to

get D FS R eferra l.

LDAP query forW S

LD AP query againstD C for W S, W S$,

D om ainG U ID .

MSRPCconversation

M SR PC for B ind,D SC rackN am es &

U nB ind.

LDAP query for DC LDAPfunctionality

LD AP query againstD C for LD AP

attributes supported& G PO 's.

LDAP queries forGPOs

DNS Dynam icupdate.

W S updates D N Swith canonica l nam e

A llconnec tionstea reddow n - W Sdone .

G roup Polic iesdownloaded.

D efault_F irs t_S ite_N am e.

650 bytes

1500 bytes

2000 bytes

3000 bytes

150 bytes

250 bytes

400 bytes

500 bytes

12 k/bytes

6 k/bytes

550 bytes

10 k/bytes

16 k/bytes

12 k/bytes

1000 bytes

1500 bytes

Total = 68 K/bytes

Trafego de Rede Trafego de Rede Windows 2000 Windows 2000 ProfessionalProfessional

PARTE 1PARTE 1

Access

K erberos tickets exchanged.

LDAP query for Netlogon

MSRPC conversation

D S B ind, C rackN am es, U nb ind

MSRPC conversation

D S B ind, C rackN am es, U nb ind

Repeated!

LDAP query for GPOs

Access

K erberos tickets exchanged.

SMB session

SM B session setup& connect to IPC $ toget D FS R eferra l to

Sysvol.

SMB session

SM B session todownload G PO .

9 .5 K bytes

12 K bytes

0 .5 K bytes

7 K bytes

6 K bytes

15 K bytes

15+ K bytes

6 K bytes

Trafego de Rede Trafego de Rede Windows 2000 Windows 2000 ProfessionalProfessional

PARTE 2PARTE 2Client Interactive Client Interactive

LogonLogon

Trafego de ReplicaçãoNovos

usuários# Bytes

ReplicadosReplication Time (32K)

Replication Time (64K)

Replication Time (96K)

Replication Time (128K)

Replication Time (256K)

50 21,700 6 3 2 2 1

100 34,700 9 5 3 3 2

200 60,700 16 8 6 4 2

300 86,700 22 11 8 6 3

Novos grupos # BytesReplicados

Replication Time (32K)

Replication Time (64K)

Replication Time (96K)

Replication Time (128K)

Replication Time (256K)

20 11,500 3 2 1 1 1

30 13,350 4 2 2 1 1

40 15,200 4 2 2 1 1

Alterações De

Senha

# BytesReplicados

Replication Time (32K)

Replication Time (64K)

Replication Time (96K)

Replication Time (128K)

Replication Time (256K)

10 42,000 11 6 4 3 2

20 51,500 13 7 5 4 2

30 61,000 16 8 6 4 2

40 70,500 18 9 6 5 3

Trafego de Replicação (cont...)

• Demo: Usando o AD Calculator 2-1

Ajuste de Replicação IntraSite e InterSite Active Directory Load Balance (ADLB)Connection Objects Load Balancing

Adicionando novos Adicionando novos Bridgehead ServersBridgehead ServersNão fazem o Não fazem o Balanceamento dos Balanceamento dos connection objectsconnection objects

Quando novos Sites Quando novos Sites são adicionados, novas são adicionados, novas connectionconnectionobjects sãoobjects sãobalanceadas entrebalanceadas entreos Bridgeheadsos Bridgeheads

Connection objectsConnection objectsnão são 100% não são 100% balanceadasbalanceadas

Replication ConfigurationConnection Objects - Load-Balancing Tool

Load Balancing toolLoad Balancing toolfaz balanceamentofaz balanceamentodas connectiondas connectionobjects entre todosobjects entre todosBridgehead ServersBridgehead Servers

Replication ConfigurationLoad-Balancing Tool

Load Balancing toolLoad Balancing toolfaz balanceamentofaz balanceamentodas connectiondas connectionobjects entre todosobjects entre todosBridgehead ServersBridgehead Servers

Quando novos Quando novos BridgeheadBridgeheadServers são adicionados,Servers são adicionados,connection objectsconnection objectssão balanceadas são balanceadas novamentenovamente

Ferramentas de Documentação

• Importante! Manter sempre muito bem documentado as configurações do seu domínio.

• Documentações devem seguir padronização e metodologia

Microsoft Operations Framework

Ferramentas de Documentação (cont...)

Demo: Group Policy Management ConsoleWindows Report Tool ( Windows 2000 apenas )Server System MonitorMicrosoft Operation Manager 2005 (MOM 2005)Visio

• Visio 2000 Enterprise Edition• Visio 2002 Professional + Enterprise Network Tools• Visio 2003 Professional + Resource Kit for IT

EcoraHyena

Ajuste de Desempenho e Otimizações em Servidores• Recomendado efetuar manutenção

periódica nos servidores• Monitorar em TODOS os servidores• Ajustes nas placas de rede

“Maximize data throughput for network applications” – cuidado apenas com rede de backup

Binding Order deve respeitar primeiro a placa que esteja na mesma rede do Active Directory

Ajuste de Desempenho e Otimizações no AD (cont...)

Demo: manutenção no Active Directory Usando o NTDSUtil

Demo: Alterando propriedades da placa de rede ( Primary DNS, Binding Order e Maximize Throughput )

Monitoração dos servidores com o Performance Monitor• Novos contadores permitem identificar

pequenos problemas

• Log do Performance Monitor no Windows Server 2003 pode ser maior que 1 GB

Permite monitorar durante várias semanas

Monitoração dos servidores com o Performance Monitor (cont...)

Demo: utilizando os contadores

Verificando GPO’s

• 02 políticas são criadas por padrão em qualquer instalação de Active Directory (Windows 2000 e Windows Server 2003)

Domain Security Policy• Parâmetros de segurança para senhas e contas de usuários

Domain Controller Security Policy• Parâmetros de segurança em DC’s

• Q216359 – “How To Identify Group Policy Objects in the Active Directory and SYSVOL”

Verificando o SYSVOL e NETLOGON

• Armazena as GPO’s em uma estrutura única. • Todo Domain Controller possui estes 02

compartilhamentos por padrão.Verificar a cada promoção de Domain Controller se os compartilhamentos foram montados.

• Em caso de problemas realizar procedimentos descritos no Event Viewer antes de mais nada

• Q315457 – “How to rebuild the SYSVOL tree and its content in a domain”

Monitorando a Comunicação Entre os Sites• É necessário que não existam restrições para as portas do

Active Directory e demais serviços dependentes• Importante: o administrador de rede deve ter um mapa físico

de comunicação de todos os segmentos de rede. • Cuidado com NAT!!! – bloqueio de trafego Netlogon (Q263293

e Q172227) Q832017 – “Service overview and network port requirements for the Windows Server system”

Q224196 – “Restricting Active Directory replication traffic to a specific port”Q319553 – “How to restrict FRS replication traffic to a specific static port”Q154596 – “How to configure RPC dynamic port allocation to work with firewalls”Q179442 – “How to configure a firewall for domains and trusts ”

Monitorando a Comunicação Entre os Sites (cont...)• Demo:

Fluke Lan MapShot, Network Inspector e OptiView

Neon CyberGauge e LANSurveyor

Solarwinds EE

3Com Network Supervisor

Ethereal e WinpCap

Network Monitor

Wildpackets EtherPeek

Procedimentos de Manutenção e Praticas Recomendadas1. Verificar registros SRV criados2. Verificar configurações TCP/IP3. Testar as portas TCP e UDP com o Port Query4. Verificar replicação entre os DC`s5. Verificar os Connections Objects6. Verificar se as GPO`s de Domain Security e

Domain Controller foram criadas7. Verificar se as estações efetuam logon e aplicam

Group Policy8. Mantenha sempre atualizado seus servidores

Automatic Updates, Windows Update, WSUS e SMS.

Procedimentos de Manutenção e Praticas Recomendadas (cont...)

Demo: executando procedimentos de verificação do AD

Demo: Utilizando o Port Reporter Tool e Port Query

Plano de Contingência contra Disastres - DRP• Caso tenha que realizar testes nos

servidores procure montar um ambiente de contingência para Restore do System State

Q263532 – “How to perform a disaster recovery restoration of Active Directory on a computer with a different hardware configuration”

Q249694 – “How to move a Windows 2000 installation to different hardware”

Plano de Contingência contra Disastres – DRP (cont...)• Utilize o Virtual Server 2005 ou Virtual PC

para simular testeUtilize o Virtual Server Migration Toolkit (VSMT) para clonar maquinas e realizar testes.

• Documente sempre seu ambiente

Cadastre-se hoje mesmo:• http://br.thespoke.net/MyBlog/FabioH/MyBlog.aspx• http://www.technetbrasil.com.br• Participe…..

Dos eventos http://www.technetbrasil.com.br/eventos

Dos Foruns: http://www.technetbrasil.com.br/forum

Do Sharepedia: http://www.technetbrasil.com.br/sharepedia

Assinando a Newsletter quinzenal…E ganhe prêmios….

• TOP IT – Alta Performance http://www.technetbrasil.com.br/topit