Fabio Hara MCSA/MCSE/MCTMVP – Windows Servers / Networking
Curso de Férias TechNet
Windows Server 2003 – Resolução de Problemas / Planejando a Instalação de Servidores
Curso de Férias TechNet
Evento 1 - Windows Server 2003 - Visão Geral e Conceitos (Marcos)
Evento 2 - Diretivas de Grupo (Marcos)
Evento 3 - DNS/DHCP no Windows Server (Dirk)
Evento 4 - Windows Server 2003 Resolução Problemas / Planejando a instalação Servidores (Fabio Hara – MVP )
Evento 5 - Segurança no Windows 2003 (Manzano)
Curso de Férias TechNet
Evento 6 - Windows Server 2003 Instalando e Configurando o IIS 6.0 (Guilherme Carnevalle - MVP )
Evento 7 - Windows Server 2003 Gerenciando uma Rede Windows 2003 (Ávila)
Evento 8 - Windows Server 2003 Migração/Interoperabilidade do NT 4.0 e Windows 2003 (Airton Leal – MVP )
Evento 9 - Encerramento & Teste
Agenda• Resolução de Problemas com DNS• Análise de Logs do AD/FRS• Ajuste de Replicação IntraSite e InterSite• Disaster Recovery• Ferramentas de Documentação• Procedimentos de Manutenção e Praticas
Recomendadas• Ajuste de Desempenho e Otimizações no AD• Monitoração do AD com o Performance Monitor
Resolução de Problemas
• Windows Server 2003 exige conhecimentos mínimos para o bom funcionamento.
Treinamento oficial Microsoft (MOC)Literatura especializada
• A Microsoft vem disponibilizando muitos materiais técnicos para auxiliar
• Technet BrasilWebcasts / Palestras / Matérias / Artigos / Forum
• Muitos grupos de usuários tem prestado importante colaboração para a Comunidade Microsoft.
Check-List Obrigatório
• Antes de mais nada é importante entender se o Design de rede está correto:
–Nomes de domínio foram planejados corretamente?–Estrutura de domínio foi planejada corretamente?–Modelo de Unidades Organizacionais foi planejado corretamente?
–GPO’s foram planejadas corretamente?–Houve algum planejamento? As equipes foram treinadas?–Foi feito levantamento de ambiente?
Guia Obrigatório do Administrador• Microsoft Solutions Framework
http://www.microsoft.com/technet/itsolutions/msf/default.mspx
• Microsoft Operations Frameworkhttp://www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx
• Microsoft Windows Server 2003 Deployment Kithttp://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx
• Windows Server 2003 Planning and Architecturehttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/planning/default.mspx
• Windows Server 2003 Tech Centerhttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/default.mspx
Estrutura de Domínio
• Recomendação sempre é voltada para simplificação do ambiente.
Modelo de Branch Office: Único domínio, Site Matriz e vários sites de filiais.
• Regra obrigatória:Nome de Domínio Netbios ≠ Nome de Domínio DNS
Resolução de Problemas com DNS
• DNS corresponde a 99% do Active Directory
• Parâmetros fundamentais de configuração:
DNS do AD não possui ligação com o DNS de Internet
Preferência por Integrated ZonesUtilizar Scavenging
• Habilitar em Zone Level E Server Level
Resolução de Problemas com DNS (cont...)• Para diagnostico avançado no DNS é altamente
recomendado que entenda os tipos de registros SRVQ232025 – “Description of the DNS SRV Resource Record Type”Q306602 – “How to Optimize the Location of a Domain Controller or Global Catalog That Resides Outside of a Client's Site”
Q241515 – “How to verify that SRV DNS records have been created for a domain controller”
• Utilize o DNSLint para diagnosticar problemas no DNS:
Q321046 – “How to use DNSLint to troubleshoot Active Directory replication issues”
Resolução de Problemas com DNS (cont...)
Demo: utilizando o Netlogon Service para recriar todos os registros SRV
Análise de Logs do AD/FRS
• Verificar em TODOS os DC’s da Floresta eventuais problemas de replicação
Cuidados com Orphaned Objects
• Configurar Antivirus para não efetuar Scan nos diretórios do Database do AD e Sysvol.
Análise de Logs do AD/FRS (cont...)Demo: habilitando o Active Directory Event Logging
Hkey_local_machine\system\currentcontrolset\services\ntds\diagnostics\
• 0 = (none)• 1 = Minimal• 2 = Basic• 3 = Extensive• 4 = Verbose• 5 = Internal Cuidado! Logs
podem aumentar drasticamente
Análise de Logs do AD/FRS (cont...)
Demo: utilizando o Replication Monitor , FRSDiag, Sonar e UltraSound
Ajuste de Replicação IntraSite e InterSite
• Novos parâmetros de replicação no Windows Server 2003
Windows 2000 – 300/30Windows Server 2003 – 15/3
• KCC / ISTG Melhorados ( de 300 para mais de 3000 sites no Windows Server 2003 )
Não existe mais necessidade de criar várias arvores/domínios
• Linked Value Replication reduz tráfego replicado
Somente Windows Server 2003 em Native Mode
Trafego dos Clientes
• Em todo ambiente é importante analisar o trafego consumido com serviços de rede
• Vários fatores afetam trafego consumido:Quantidade de itens configurados em uma GPO
Queries LDAP
Configuração DNS
Localização de objeto em OU (evitar mais de 5 sub-niveis)
Quantidade de atributos definidos no objeto
Group Membership
In itia l setup, D H C P,3 AR Ps
Starting out
LDAP query forW S
DNS lookup for 1stS ite
MSRPCconversation
D N S lookup forldap.tcp.D efault-
F irs t-S ite ._s ites._m sdcs.
LD AP query againstD C for W S, W S$,
D om ainG U ID .
RPC PortMapperOpnum 0x3 - returns
portnum ber.
N etLO G O N R PC s.
7 56
121110
8 4
21
9 3T im e Sync over
N T P
DNS lookup for 1stS ite
LDAP query for DC in 1stsite
SMB Dialectnegotiated
Access Kerberos T icketsobta ined (T G T &
T G S).
SMB session
SM B session setup& connect to IPC $ to
get D FS R eferra l.
LDAP query forW S
LD AP query againstD C for W S, W S$,
D om ainG U ID .
MSRPCconversation
M SR PC for B ind,D SC rackN am es &
U nB ind.
LDAP query for DC LDAPfunctionality
LD AP query againstD C for LD AP
attributes supported& G PO 's.
LDAP queries forGPOs
DNS Dynam icupdate.
W S updates D N Swith canonica l nam e
A llconnec tionstea reddow n - W Sdone .
G roup Polic iesdownloaded.
D efault_F irs t_S ite_N am e.
650 bytes
1500 bytes
2000 bytes
3000 bytes
150 bytes
250 bytes
400 bytes
500 bytes
12 k/bytes
6 k/bytes
550 bytes
10 k/bytes
16 k/bytes
12 k/bytes
1000 bytes
1500 bytes
Total = 68 K/bytes
Trafego de Rede Trafego de Rede Windows 2000 Windows 2000 ProfessionalProfessional
PARTE 1PARTE 1
Access
K erberos tickets exchanged.
LDAP query for Netlogon
MSRPC conversation
D S B ind, C rackN am es, U nb ind
MSRPC conversation
D S B ind, C rackN am es, U nb ind
Repeated!
LDAP query for GPOs
Access
K erberos tickets exchanged.
SMB session
SM B session setup& connect to IPC $ toget D FS R eferra l to
Sysvol.
SMB session
SM B session todownload G PO .
9 .5 K bytes
12 K bytes
0 .5 K bytes
7 K bytes
6 K bytes
15 K bytes
15+ K bytes
6 K bytes
Trafego de Rede Trafego de Rede Windows 2000 Windows 2000 ProfessionalProfessional
PARTE 2PARTE 2Client Interactive Client Interactive
LogonLogon
Trafego de ReplicaçãoNovos
usuários# Bytes
ReplicadosReplication Time (32K)
Replication Time (64K)
Replication Time (96K)
Replication Time (128K)
Replication Time (256K)
50 21,700 6 3 2 2 1
100 34,700 9 5 3 3 2
200 60,700 16 8 6 4 2
300 86,700 22 11 8 6 3
Novos grupos # BytesReplicados
Replication Time (32K)
Replication Time (64K)
Replication Time (96K)
Replication Time (128K)
Replication Time (256K)
20 11,500 3 2 1 1 1
30 13,350 4 2 2 1 1
40 15,200 4 2 2 1 1
Alterações De
Senha
# BytesReplicados
Replication Time (32K)
Replication Time (64K)
Replication Time (96K)
Replication Time (128K)
Replication Time (256K)
10 42,000 11 6 4 3 2
20 51,500 13 7 5 4 2
30 61,000 16 8 6 4 2
40 70,500 18 9 6 5 3
Trafego de Replicação (cont...)
• Demo: Usando o AD Calculator 2-1
Ajuste de Replicação IntraSite e InterSite Active Directory Load Balance (ADLB)Connection Objects Load Balancing
Adicionando novos Adicionando novos Bridgehead ServersBridgehead ServersNão fazem o Não fazem o Balanceamento dos Balanceamento dos connection objectsconnection objects
Quando novos Sites Quando novos Sites são adicionados, novas são adicionados, novas connectionconnectionobjects sãoobjects sãobalanceadas entrebalanceadas entreos Bridgeheadsos Bridgeheads
Connection objectsConnection objectsnão são 100% não são 100% balanceadasbalanceadas
Replication ConfigurationConnection Objects - Load-Balancing Tool
Load Balancing toolLoad Balancing toolfaz balanceamentofaz balanceamentodas connectiondas connectionobjects entre todosobjects entre todosBridgehead ServersBridgehead Servers
Replication ConfigurationLoad-Balancing Tool
Load Balancing toolLoad Balancing toolfaz balanceamentofaz balanceamentodas connectiondas connectionobjects entre todosobjects entre todosBridgehead ServersBridgehead Servers
Quando novos Quando novos BridgeheadBridgeheadServers são adicionados,Servers são adicionados,connection objectsconnection objectssão balanceadas são balanceadas novamentenovamente
Ferramentas de Documentação
• Importante! Manter sempre muito bem documentado as configurações do seu domínio.
• Documentações devem seguir padronização e metodologia
Microsoft Operations Framework
Ferramentas de Documentação (cont...)
Demo: Group Policy Management ConsoleWindows Report Tool ( Windows 2000 apenas )Server System MonitorMicrosoft Operation Manager 2005 (MOM 2005)Visio
• Visio 2000 Enterprise Edition• Visio 2002 Professional + Enterprise Network Tools• Visio 2003 Professional + Resource Kit for IT
EcoraHyena
Ajuste de Desempenho e Otimizações em Servidores• Recomendado efetuar manutenção
periódica nos servidores• Monitorar em TODOS os servidores• Ajustes nas placas de rede
“Maximize data throughput for network applications” – cuidado apenas com rede de backup
Binding Order deve respeitar primeiro a placa que esteja na mesma rede do Active Directory
Ajuste de Desempenho e Otimizações no AD (cont...)
Demo: manutenção no Active Directory Usando o NTDSUtil
Demo: Alterando propriedades da placa de rede ( Primary DNS, Binding Order e Maximize Throughput )
Monitoração dos servidores com o Performance Monitor• Novos contadores permitem identificar
pequenos problemas
• Log do Performance Monitor no Windows Server 2003 pode ser maior que 1 GB
Permite monitorar durante várias semanas
Monitoração dos servidores com o Performance Monitor (cont...)
Demo: utilizando os contadores
Verificando GPO’s
• 02 políticas são criadas por padrão em qualquer instalação de Active Directory (Windows 2000 e Windows Server 2003)
Domain Security Policy• Parâmetros de segurança para senhas e contas de usuários
Domain Controller Security Policy• Parâmetros de segurança em DC’s
• Q216359 – “How To Identify Group Policy Objects in the Active Directory and SYSVOL”
Verificando o SYSVOL e NETLOGON
• Armazena as GPO’s em uma estrutura única. • Todo Domain Controller possui estes 02
compartilhamentos por padrão.Verificar a cada promoção de Domain Controller se os compartilhamentos foram montados.
• Em caso de problemas realizar procedimentos descritos no Event Viewer antes de mais nada
• Q315457 – “How to rebuild the SYSVOL tree and its content in a domain”
Monitorando a Comunicação Entre os Sites• É necessário que não existam restrições para as portas do
Active Directory e demais serviços dependentes• Importante: o administrador de rede deve ter um mapa físico
de comunicação de todos os segmentos de rede. • Cuidado com NAT!!! – bloqueio de trafego Netlogon (Q263293
e Q172227) Q832017 – “Service overview and network port requirements for the Windows Server system”
Q224196 – “Restricting Active Directory replication traffic to a specific port”Q319553 – “How to restrict FRS replication traffic to a specific static port”Q154596 – “How to configure RPC dynamic port allocation to work with firewalls”Q179442 – “How to configure a firewall for domains and trusts ”
Monitorando a Comunicação Entre os Sites (cont...)• Demo:
Fluke Lan MapShot, Network Inspector e OptiView
Neon CyberGauge e LANSurveyor
Solarwinds EE
3Com Network Supervisor
Ethereal e WinpCap
Network Monitor
Wildpackets EtherPeek
Procedimentos de Manutenção e Praticas Recomendadas1. Verificar registros SRV criados2. Verificar configurações TCP/IP3. Testar as portas TCP e UDP com o Port Query4. Verificar replicação entre os DC`s5. Verificar os Connections Objects6. Verificar se as GPO`s de Domain Security e
Domain Controller foram criadas7. Verificar se as estações efetuam logon e aplicam
Group Policy8. Mantenha sempre atualizado seus servidores
Automatic Updates, Windows Update, WSUS e SMS.
Procedimentos de Manutenção e Praticas Recomendadas (cont...)
Demo: executando procedimentos de verificação do AD
Demo: Utilizando o Port Reporter Tool e Port Query
Plano de Contingência contra Disastres - DRP• Caso tenha que realizar testes nos
servidores procure montar um ambiente de contingência para Restore do System State
Q263532 – “How to perform a disaster recovery restoration of Active Directory on a computer with a different hardware configuration”
Q249694 – “How to move a Windows 2000 installation to different hardware”
Plano de Contingência contra Disastres – DRP (cont...)• Utilize o Virtual Server 2005 ou Virtual PC
para simular testeUtilize o Virtual Server Migration Toolkit (VSMT) para clonar maquinas e realizar testes.
• Documente sempre seu ambiente
Cadastre-se hoje mesmo:• http://br.thespoke.net/MyBlog/FabioH/MyBlog.aspx• http://www.technetbrasil.com.br• Participe…..
Dos eventos http://www.technetbrasil.com.br/eventos
Dos Foruns: http://www.technetbrasil.com.br/forum
Do Sharepedia: http://www.technetbrasil.com.br/sharepedia
Assinando a Newsletter quinzenal…E ganhe prêmios….
• TOP IT – Alta Performance http://www.technetbrasil.com.br/topit