Agregar equipos al dominio sin conexión - DJOIN

Muy bueno y muy útil, sobretodo para hacer un despliegue masivo de equipos en un dominio sin tener los equipos conectados al dominio.

Aplicable a W Server 2008 R2 y cliente Windows 7.

ESCENARIO:

Somo administradores de un dominio Windows y disponemos de delegaciones donde la conectividad con el DC es limitada, queremos unir los equipos nuevos de las delegaciones al dominio sin que se produzca tráfico entre el servidor y el cliente.

Utilizaremos el comando DJOIN.

Ejemplos:
Para aprovisionar una cuenta de equipo en el dominio:
djoin.exe /PROVISION /DOMAIN /MACHINE
          /SAVEFILE
          Nota: los demás parámetros son opcionales

Para solicitar que el equipo local realice una unión a un dominio sin
conexión:
djoin.exe /REQUESTODJ /LOADFILE /WINDOWSPATH
          Nota: los demás parámetros son opcionales

En el servidor ejecutamos:

md C:\Offline-DJoin (creamos un directorio donde guardaremos el fichero)

djoin.exe /PROVISION /DOMAIN dominio.com /MACHINE nombre_equipo /SAVEFILE C:\Offline-DJoin\nombre_equipo.txt

Esto nos crea un fichero txt (no editable) que debemos mandar/copiar en el equipo cliente.

En el cliente ejecutamos:

md C:\DJoin (creamos un directorio donde copiaremos el fichero)

djoin.exe /REQUESTODJ /LOADFILE C:\Djoin\nombre_equipo.txt /WINDOWSPATH C:\Windows /LOCALOS

Y ya está, equipo unido al dominio sin tener conexión. Ahora nos conectamos al dominio y hacemos un logon con una cuenta de dominio.

Transferencia de FSMO con ntdsutil.exe

En este artículo voy a explicar como transferir los roles FSMO con la herramienta de la linea de comandos ntdsutil.exe. Aplicable a Active Directory de Windows Server 2008.


FSMO: Flexible Single Master Operations.

Breve descripción del FSMO: Microsoft Windows 2000 Active Directory es el repositorio central en el que se almacenan todos los objetos de una empresa y sus atributos respectivos. Se trata de una base de datos jerárquica habilitada para varios maestros, capaz de almacenar millones de objetos. La posibilidad de trabajar con varios maestros permite que los cambios realizados en la base de datos se procesen en cualquier controlador de dominio (DC) de la empresa, tanto si está conectado a la red como si está desconectado. FSMO es el maestro de operaciones y hay 5 roles FSMO.

Antes de nada, tener en cuenta que para transferir los roles entre DC hemos de comprobar que funcionan las réplicas: Lo podemos comprobar con el comando:

                   C:\>nltest /dsgetdc:dominio.com,  o bien con

                   C:\>repadmin /replsummary *

Ahora comprobaremos que Roles tiene un DC:

C:\>netdom /query fsmo

Maestro de esquema               server.dominio.com

Maestro nomencl. dominios     server.dominio.com
PDC                                         server.dominio.com
Administrador de grupos RID  server.dominio.com
Maestro de infraestructura      server.dominio.com

Transferir roles desde línea de comando:

 

C:\>ntdsutil.exe

(en negrita y cursiva lo que debemos escribir después del comando ntdsutil.exe)

Roles  -enter-

fsmo maintenance: connections -enter-
server connections: Connect to server: xxxxx (nombre servidor destino) -enter-
Connected to xxxxx (server destino) using ……
server connections: q  -enter-
(escribir el rol a transferir con el comando transfer)
fsmo maintenance: Transfer naming master -enter-
fsmo maintenance: Transfer infrastructure master -enter-
fsmo maintenance: Transfer PDC -enter-
fsmo maintenance: Transfer RID master -enter-
fsmo maintenance: Transfer Schema master -enter-
q

También se pueden transferir los roles con el comando SEIZE, en lugar de transfer.

SEIZE fuerza a que el DC adopte el rol. Esta es la que usaremos en el caso de que el servidor que tenía los roles este apagado (o haya muerto). Una vez utilizado este comando si llegamos a recuperar el DC original no deberemos ponerlo en red ya que el DC original que aún tendrá los roles entraría en conflicto con el nuevo DC que ahora tiene los roles.

Después de un SEIZE  el DC estropeado no se puede poner otra vez en el A.D. en ningún caso.

Esto es todo. En un próximo artículo describiré cada uno de los 5 roles del maestro de operaciones (FSMO).

Comandos en Windows Server 2008

Vamos a describir algunos comandos que se han añadido en W Server 2008 y ubicación de ciertos ficheros tras la instalación.

LOGS DE LA INSTALACIÓN:

Detección de hardware, enlace con drivers: C:\Windows\inf\setupapi.dev.log

Proceso de la instalación: C:\Windows\Panther\setupact.log

Errores de la instalación: C:\Windows\Panther\setuperr.log
     (Si está vació, la instalación ha sido OK)

Cuando se une un equipo al dominio: C:\Windows\Debug\netsetup.log

LINEA DE COMANDOS:

Para saber la edición del S.O.:
C:\>wmic OS get OpertingSystemSKU
OperatingSystemSKU
10

El número indica la edición y son:

# 7 = Windows Server 2008 Standard Edition (full installation)

# 8 = Windows Server 2008 Datacenter Edition (full installation
# 10 = Windows Server 2008 Enterprise Edition (full installation)
# 12 = Windows Server 2008 Datacenter Edition (core installation)
# 13 = Windows Server 2008 Standard Edition (core installation)
# 14 = Windows Server 2008 Enterprise Edition (core installation)
# 42 = Hyper-V Server 2008

Deshabilitar la hibernación:

C:\>powercfg.exe /hibernate off

Para saber si el sistema es de 32 bits o 64 bits: (hay 4 métodos)

C:\>msinfo32

C:\>systeminfo | find "Tipo de sistema"
Tipo de sistema:                           X86-based PC

C:\>set PROCESSOR_ARCHITECTURE
PROCESSOR_ARCHITECTURE=x86

C:\>wmic OS get OSArchitecture
OSArchitecture
32 bits

Sysprep

Sysprep sustituye a la herramienta ya retirada por Microsoft NewSid. Por defecto viene instalada.

C:>%windir%\System32\sysprep\sysprep.exe

MSTSC.EXE

Han cambiado/añadido nuevos parámetros. Ahora por ejemplo para conectar con una sesión de consola ya no es /console sino /admin. La versión de mstsc.exe es la 6.1

Saber los Roles de un DC:

C:\>netdom query fsmo
Maestro de esquema                 server.contoso.local
Maestro nomencl. dominios     server.contoso.local
PDC                                          server.contoso.local
Administrador de grupos RID  server.contoso.local
Maestro de infraestructura        server.contoso.local
El comando se completó correctamente.

Información de usuarios y grupos:

C:\>whoami
contoso\administrador

Si ejecutamos whoami /all nos muestra todos los usuarios y grupos.

Herramientas de diagnóstico y monitorización:

netdiag.exe: ya no existe en W Server 2008.
dcdiag.exe: diagnóstico del DC.
dsastat.exe: diagnóstico del DA.
replmon.exe: ya no existe en W Server 2008.
repadmin.exe: Configuración de réplica.