Mantenimiento de la

disponibilidad de Active
Directory

Contenido

Introducción 2
Lección: Introducción al mantenimiento de Active Directory 3
Lección: Movimiento y desfragmentación de una base de datos de Active Directory 7
Lección: Copia de seguridad de Active Directory 14
Lección: Restauración de Active Directory 20
Lección: Planeamiento para la supervisión de Active Directory 30
2 Mantenimiento de la disponibilidad de Active Directory

Introducción

*************************************************************************************
Introducción La información del servicio de directorio Active Directory® en Microsoft®
Windows Server™ 2003 se almacena en una base de datos de transacciones,
que facilita el mantenimiento de la integridad de los datos si se produce un
error. En los errores se pueden incluir errores de hardware, de software y una
pérdida completa del sistema, por ejemplo, en caso de incendio.
La base de datos de Active Directory utiliza archivos de registro de transacciones
para recuperar datos dañados en la copia local de la base de datos. Una vez que
Active Directory recupera esta información, utiliza la replicación para recuperar
datos de otros controladores de dominio del dominio. La interacción de los
componentes de Active Directory proporciona la base para que Active Directory
realice copias de seguridad y recupere información acerca de datos dañados.
Cuando los controladores de dominio no funcionan a causa de problemas de
hardware o software, es posible que los usuarios no puedan tener acceso a los
recursos ni conectarse a la red.
Objetivos Después de finalizar este módulo, podrá:
„ Describir la relación entre la modificación y el mantenimiento de datos
de una base de datos de Active Directory.
„ Mover y desfragmentar una base de datos de Active Directory.
„ Realizar copias de seguridad de Active Directory.
„ Restaurar Active Directory mediante los métodos de restauración principal,
normal y autoritaria.
„ Aplicar directrices para la supervisión de Active Directory.
 Mantenimiento de la disponibilidad de Active Directory 3

Lección: Introducción al mantenimiento de Active

Directory

*************************************************************************************
Introducción El mantenimiento de una base de datos de Active Directory es una importante
tarea administrativa que debe programar con regularidad para asegurarse de
que, en caso de desastre, puede recuperar datos perdidos o dañados y reparar la
base de datos de Active Directory.
Active Directory dispone de un motor de base de datos propio, el Motor de
almacenamiento extensible (ESE, Extensible Storage Engine), que administra el
almacenamiento de todos los objetos de Active Directory en una base de datos
de Active Directory. Al conocer el modo en que los cambios de atributos de
Active Directory se escriben en la base de datos, entenderá cómo la
modificación de datos afecta al rendimiento de la base de datos, la
fragmentación de la misma y la integridad de los datos.
Objetivos de la lección Después de finalizar esta lección, podrá:
„ Explicar el modo en que se modifican datos en Active Directory y cómo
afecta al rendimiento de la base de datos, la fragmentación de la misma y la
integridad de los datos.
„ Describir la base de datos de Active Directory y los archivos de registro.
4 Mantenimiento de la disponibilidad de Active Directory

Presentación multimedia: Proceso de modificación de datos de

Active Directory

*************************************************************************************
Ubicación de los Para iniciar la presentación Proceso de modificación de datos de Active
archivos Directory, abra el fichero media21_1.html que se puede encontrar dentro del
fichero media21.zip
Objetivos Al final de esta presentación, podrá:
„ Describir el proceso de modificación de datos.
„ Describir el modo en que el proceso de modificación de datos afecta al
rendimiento de la base de datos, la fragmentación de la misma y la
integridad de los datos.

Puntos clave Los puntos clave del proceso de modificación de datos de Active Directory son
los siguientes:
„ Una transacción consiste en un conjunto de cambios y en los metadatos
asociados.
„ El proceso de modificación de datos básico consta de seis pasos:
• La solicitud de escritura inicia una transacción.
• Active Directory escribe la transacción en el búfer de transacciones de
la memoria.
• Active Directory protege la transacción en el registro de transacciones.
• Active Directory escribe la transacción del búfer en la base de datos.
• Active Directory compara la base de datos y los archivos de registro
para asegurarse de que la transacción se ha enviado a la base de datos.
• Active Directory actualiza el archivo de control.
 Mantenimiento de la disponibilidad de Active Directory 5

„ El almacenamiento en caché y el registro mejoran el rendimiento de la base

de datos al permitir que Active Directory procese transacciones adicionales
antes de escribirlas en la base de datos.
„ Active Directory realiza automáticamente una desfragmentación en línea
como parte del proceso de recolección de elementos no utilizados en
intervalos determinados, que son de 12 horas de forma predeterminada.
La desfragmentación en línea resuelve los problemas de rendimiento,
pero no disminuye el tamaño de la base de datos.
„ El controlador de dominio no está disponible para Active Directory al realizar
una desfragmentación sin conexión. Realice una desfragmentación sin
conexión sólo cuando deba disminuir el tamaño del archivo Ntds.dit y haya
resuelto los problemas producidos al desconectar el controlador de dominio.
„ Es importante realizar una copia de seguridad de cada partición de Active
Directory con más frecuencia que la duración de los registros desechados
para proteger los datos en caso de producirse un error de red o de hardware.
„ Al realizar una copia de seguridad de Active Directory, la utilidad de copia
de seguridad realiza automáticamente copias de seguridad de todos los
componentes del sistema y los servicios distribuidos de los que depende
Active Directory. Estos datos dependientes se conocen en conjunto como
datos de estado del sistema.
6 Mantenimiento de la disponibilidad de Active Directory

Base de datos y archivos de registro de Active Directory

*************************************************************************************
Introducción El motor de la base de datos de Active Directory, ESE, almacena todos los
objetos de Active Directory. El ESE utiliza las transacciones y los archivos de
registro para garantizar la integridad de la base de datos de Active Directory.
Archivos en Active Active Directory contiene los siguientes archivos:
Directory
„ Ntds.dit. Base de datos de Active Directory, que almacena todos los
objetos de Active Directory del controlador de dominio. La extensión
.dit hace referencia al árbol de información de directorio. La ubicación
predeterminada es la carpeta %systemroot%\NTDS. Active Directory
registra cada transacción en uno o varios archivos de registro de
transacciones que están asociados al archivo Ntds.dit.
„ Edb*.log. Archivo de registro de transacciones, cuyo nombre predeterminado
es Edb.log. Cada archivo de registro de transacciones es de 10 megabytes
(MB). Cuando el archivo Edb.log está lleno, Active Directory le cambia el
nombre a Edbnnnnn.log, donde nnnnn es un número creciente a partir de 1.
„ Edb.chk. Archivo de control que el motor de la base de datos utiliza para
realizar un seguimiento de los datos que aún no se han escrito en el archivo
de la base de datos de Active Directory. El archivo de control es un puntero
que mantiene el estado entre la memoria y el archivo de la base de datos en
el disco. Indica el punto de inicio en el archivo de registro desde el que se
debe recuperar la información si se produce un error.
„ Res1.log y Res2.log. Archivos de registro de transacciones reservados.
La cantidad de espacio en disco reservada en una unidad o carpeta para los
registros de transacciones es de 20 MB. Este espacio en disco reservado
proporciona espacio suficiente a los archivos de registro de transacciones
para cerrarse si se está utilizando el resto de espacio en disco.
 Mantenimiento de la disponibilidad de Active Directory 7

Lección: Movimiento y desfragmentación de una base de

datos de Active Directory

*************************************************************************************
Introducción Con el tiempo, se produce la fragmentación, puesto que se eliminan registros
de la base de datos de Active Directory y se agregan otros nuevos. Cuando
los registros se fragmentan, el equipo debe buscar la base de datos de Active
Directory para encontrar todos los registros cada vez que se abre la base de
datos de Active Directory. Esta búsqueda ralentiza el tiempo de respuesta.
La fragmentación también disminuye el rendimiento general de las operaciones
de la base de datos de Active Directory.
Por qué desfragmentar La base de datos de Active Directory se debe desfragmentar para superar los
problemas que provoca la fragmentación. La desfragmentación es el proceso
de reescritura de registros en la base de datos de Active Directory en sectores
contiguos para aumentar la velocidad de acceso y recuperación. Al actualizar
los registros, Active Directory guarda dichas actualizaciones en el espacio
contiguo de mayor tamaño de la base de datos de Active Directory.
Por qué mover la base Al desfragmentar la base de datos, se mueve una base de datos a una ubicación
de datos y los archivos nueva. El movimiento de la base de datos no elimina la base de datos original. Por
de registro lo tanto, puede utilizar la base de datos original si la base de datos desfragmentada
no funciona o se ve dañada. Además, puede agregar otra unidad de disco duro y
mover la base de datos a la misma si el espacio en disco es limitado.
Asimismo, los archivos de la base de datos se mueven para realizar el
mantenimiento del hardware. Si el disco en el que están almacenados los
archivos necesita una actualización o mantenimiento, puede mover los archivos
a otra ubicación de forma temporal o definitiva.
Objetivos de la lección Después de finalizar esta lección, podrá:
„ Mover la base de datos y los archivos de registro de Active Directory.
„ Desfragmentar la base de datos de Active Directory.
8 Mantenimiento de la disponibilidad de Active Directory

Cómo mover la base de datos y los archivos de registro de

Active Directory

*************************************************************************************
Introducción Si el espacio en disco es reducido en la partición en la que se almacenan la base
de datos, los archivos de registro o ambos, debe mover la base de datos y los
archivos de registro a una nueva ubicación.
Por qué utilizar Ntdsutil La herramienta de línea de comandos Ntdsutil se utiliza en Modo de
para mover la base de restauración de servicios de directorio para mover la base de datos de una
datos ubicación a otra de un disco. Si la ruta de los archivos de la base de datos
cambia después de moverlos, debe utilizar siempre Ntdsutil para mover los
archivos, en lugar de copiarlos sin más. De este modo, se asegura de que la
clave del Registro se actualiza con la ruta de la nueva ubicación y que Active
Directory se reinicia desde dicha ubicación.
Procedimiento Para mover la base de datos de Active Directory, realice los siguientes pasos:
1. Realice una copia de seguridad de Active Directory como medida de
precaución.
Puede realizar la copia de seguridad de Active Directory mientras se
encuentra en línea si, en el Asistente para copia de seguridad, selecciona
realizar copia de seguridad de todos los elementos del equipo o sólo de los
datos de estado del sistema.
2. Reinicie el controlador de dominio, presione F8 para mostrar el Menú de
opciones avanzadas de Windows, seleccione Modo de restauración de
SD (sólo contr. de dominio de Windows) y, a continuación, presione
ENTRAR.
 Mantenimiento de la disponibilidad de Active Directory 9

3. Inicie sesión con la cuenta de Administrador y la contraseña definida para la

cuenta de administrador local en el Administrador de cuentas de seguridad
(SAM, Security Accounts Manager).

Nota Esta cuenta de Administrador no es la misma que la cuenta de

administrador de dominio. El reinicio del controlador de dominio en Modo de
restauración de servicios de directorio hace que el equipo cargue las cuentas de
usuario del subárbol de SAM local del Registro. Para comprobar que el equipo
utiliza cuentas locales, escriba net user en el símbolo del sistema. Tenga en
cuenta que el nombre del equipo local y no el del dominio precede al nombre
de la cuenta. Asimismo, observe que la lista de usuarios no coincide con los
usuarios que ha creado en el dominio.

4. En el símbolo del sistema, escriba ntdsutil y, a continuación, presione

ENTRAR.
5. Escriba files y, a continuación, presione ENTRAR.
6. En la línea de comandos files, después de determinar una ubicación que
disponga de espacio suficiente en la unidad para almacenar la base de
datos correspondiente, escriba move DB to <unidad>:\<directorio>
(donde <unidad> y <directorio> constituyen la ruta del equipo local en la
que desea colocar la base de datos) y, a continuación, presione ENTRAR.

Nota Debe especificar una ruta de directorio. Si la ruta contiene espacios, su

nombre completo debe estar entre comillas, por ejemplo, “C:\Nueva carpeta”.

La base de datos denominada Ntds.dit se mueve a la ubicación especificada.

7. Escriba quit y, a continuación, presione ENTRAR. Para volver al símbolo
del sistema, escriba quit de nuevo.
8. Reinicie el controlador de dominio.

Nota También puede mover los archivos de registro de transacciones a otra

ubicación. El comando Move logs to <unidad>:\<directorio> mueve los
archivos de registro de transacciones al nuevo directorio especificado en
<unidad>:\<directorio> y actualiza las claves del Registro, lo que reinicia el
servicio de directorio desde la nueva ubicación.

También debe realizar una copia de seguridad de estado del sistema después de
mover los archivos para garantizar que las restauraciones posteriores utilizan la
ruta correcta.
10 Mantenimiento de la disponibilidad de Active Directory

Cómo desfragmentar una base de datos de Active Directory

*************************************************************************************
Introducción La desfragmentación en línea se produce automáticamente durante el proceso
de recolección de elementos no utilizados. La desfragmentación sin conexión se
realiza de forma manual.
Por qué realizar la La desfragmentación sin conexión es necesaria sólo si desea crear una
desfragmentación versión nueva y compactada del archivo de base de datos original. Realice
sin conexión la desfragmentación sin conexión sólo si puede recuperar una cantidad
significativa de espacio en disco que pueda utilizar para otras tareas. Por
ejemplo, si el controlador de dominio fue un servidor de catálogo global para
un bosque de varios dominios en un momento dado, puede liberar una cantidad
significativa de espacio en disco mediante la desfragmentación sin conexión.
Requisitos de espacio Para realizar la desfragmentación, la unidad de la base de datos actual debe
en disco disponer de un espacio libre equivalente al menos al 15 por ciento del tamaño
actual de la base de datos para el almacenamiento temporal durante el proceso
de reconstrucción del índice. Asimismo, la unidad de destino de la base de datos
debe contar con un espacio libre equivalente al menos al tamaño actual de la base
de datos para el almacenamiento del archivo de base de datos compactado.
Procedimiento Para desfragmentar una base de datos de Active Directory sin conexión, realice
los siguientes pasos:
1. Realice una copia de seguridad de los datos de estado del sistema.
2. Reinicie el controlador de dominio, presione F8 para mostrar el Menú de
opciones avanzadas de Windows, seleccione Modo de restauración de
SD (sólo contr. de dominio de Windows) y, a continuación, presione
ENTRAR.
3. Inicie sesión con la cuenta de Administrador y la contraseña definida para la
cuenta de administrador local en el SAM sin conexión.
4. En el símbolo del sistema, escriba ntdsutil y, a continuación, presione
ENTRAR.
5. Escriba files y, a continuación, presione ENTRAR.
 Mantenimiento de la disponibilidad de Active Directory 11

6. En la línea de comandos files, escriba compact to <unidad>:\<directorio>

(donde <unidad> y <directorio> constituyen la ruta a la ubicación) y, a
continuación, presione ENTRAR.
Este paso establece una ubicación que dispone de espacio suficiente en la
unidad para que se almacene la base de datos compactada.

Nota Si la ruta del directorio contiene espacios, la ruta completa debe estar
entre comillas, por ejemplo, “C:\Nueva carpeta”.

Se crea una nueva base de datos denominada Ntds.dit en la ruta especificada.

7. Escriba quit y, a continuación, presione ENTRAR. Para volver al símbolo
del sistema, escriba quit de nuevo.
8. Copie el nuevo archivo Ntds.dit en el archivo Ntds.dit anterior en la ruta
actual de la base de datos de Active Directory.
9. Reinicie el controlador de dominio.
12 Mantenimiento de la disponibilidad de Active Directory

Ejercicio: Movimiento y desfragmentación de una base de datos

de Active Directory

*************************************************************************************
Objetivos En este ejercicio, moverá la base de datos del controlador de dominio a otra
ubicación y, a continuación, realizará una desfragmentación sin conexión.
También realizará una comprobación de la integridad de la base de datos y
un análisis semántico de la misma en la base de datos desfragmentada.
Instrucciones Trabajará con un compañero en el dominio de Active Directory que contiene
su controlador de domino y el de su compañero.
Situación de ejemplo Northwind Traders ha definido un programa de mantenimiento para
desconectar los controladores de dominio y realizar una actualización de disco
duro. Una vez que la actualización haya finalizado, moverá la base de datos de
Active Directory al nuevo disco duro.
Ejercicio Mover y desfragmentar la base de datos de Active Directory
1. Inicie sesión como Nwtradersx\NombreDeEquipoUser (donde
NombreDeEquipo es el nombre de su equipo) con la contraseña P@ssw0rd
2. Inicie un símbolo del sistema como Nwtradersx\Administrador con la
contraseña P@ssw0rd
3. En el símbolo del sistema, escriba shutdown /r /d p:2:4 y, a continuación,
presione ENTRAR.
4. Reinicie el controlador de dominio en Modo de restauración de SD
(sólo contr. de dominio de Windows).
5. Inicie sesión como Administrador con la contraseña P@ssw0rd
6. En el símbolo del sistema, escriba ntdsutil y, a continuación, presione
ENTRAR.
7. En la línea de comandos ntdsutil, escriba files y, a continuación, presione
ENTRAR para especificar el modo de mantenimiento de archivos para
Ntdsutil.
 Mantenimiento de la disponibilidad de Active Directory 13

8. En la línea de comandos file maintenance, escriba move db to c:\moved-

db y, a continuación, presione ENTRAR para mover la base de datos de
Active Directory a C:\moved-db.
9. Desfragmente la base de datos trasladada.
a. En la línea de comandos file maintenance, escriba compact to
c:\defrag y, a continuación, presione ENTRAR.
b. Utilice el Explorador de Windows para copiar la base de datos
desfragmentada en la carpeta moved-db.
Observe que el archivo que va a copiar es de menor tamaño que
el original.
c. Elimine \Windows\NTDS\*.log.
10. En la línea de comandos file maintenance, escriba integrity y, a
continuación, escriba quit para realizar una comprobación de la integridad
de la base de datos.
11. Realice una análisis semántico de la base de datos.
a. En la línea de comandos ntdsutil, escriba Semantic Database Analysis.
b. En la línea de comandos semantic checker, escriba Go.
12. Reinicie el controlador de dominio.
14 Mantenimiento de la disponibilidad de Active Directory

Lección: Copia de seguridad de Active Directory

*************************************************************************************
Introducción La realización de copias de seguridad de Active Directory es fundamental para
el mantenimiento de una base de datos de Active Directory. Puede realizar
copias de seguridad de Active Directory utilizando la interfaz gráfica de usuario
(GUI, Graphical User Interface) y las herramientas de línea de comandos que
proporciona la familia de Windows Server 2003.
Por qué realizar copias Con frecuencia realiza copias de seguridad de los datos de estado del sistema
de seguridad de los controladores de dominio para poder restaurar los datos más actuales.
Al establecer un programa de copias de seguridad periódico, tiene más
posibilidades de recuperar datos cuando sean necesarios.
Para garantizar una copia de seguridad correcta, que incluya al menos los datos
de estado del sistema y el contenido del disco del sistema, debe conocer la
duración de los registros desechados. De forma predeterminada, dicha duración
es de 60 días. Cualquier copia de seguridad con más de 60 días no es una copia
de seguridad adecuada. Planee realizar copias de seguridad de al menos dos
controladores de dominio de cada dominio, uno de los cuales sea un soporte de
funciones de maestro de operaciones. Para cada dominio, debe mantener al
menos una copia de seguridad para habilitar una restauración autoritaria de los
datos cuando sea necesario.
Objetivos de la lección Después de finalizar esta lección, podrá:
„ Describir los componentes de los datos de estado del sistema.
„ Realizar copias de seguridad de Active Directory.
 Mantenimiento de la disponibilidad de Active Directory 15

Componentes de los datos de estado del sistema

*************************************************************************************
Introducción Varias características de la familia de Windows Server 2003 facilitan la
realización de copias de seguridad de Active Directory. Se pueden realizar
copias de seguridad de Active Directory durante los procedimientos habituales
de copia de seguridad sin interrumpir la red o el funcionamiento del controlador
de dominio del que se esté realizando la copia de seguridad.
Componentes Los datos de estado del sistema de un controlador de dominio incluyen los
siguientes componentes:
„ Active Directory. Los datos de estado del sistema no contienen a Active
Directory a menos que el servidor en el que se realice la copia de seguridad
de los datos de estado del sistema sea un controlador de dominio. Active
Directory sólo está presente en controladores de dominio.
„ Carpeta compartida SYSVOL. Esta carpeta compartida contiene plantillas de
directivas de grupo y secuencias de comandos de inicio de sesión. La carpeta
compartida SYSVOL sólo está presente en controladores de dominio.
„ Registro. Este repositorio de base de datos contiene información acerca de
la configuración del equipo.
„ Archivos de inicio del sistema. Windows Server 2003 necesita estos
archivos durante su fase de inicio. Entre ellos se incluyen los archivos de
inicio y de sistema que están bajo la protección de archivos de Windows y
que Windows utiliza para cargar, configurar y ejecutar el sistema operativo.
„ Base de datos de registro de clases COM+. El Registro de clase es una
base de datos de información acerca de las aplicaciones de los servicios de
componentes.
„ Base de datos de Servicios de Certificate Server. Esta base de datos
contiene certificados que un servidor con Windows Server 2003 utiliza para
autenticar usuarios. La base de datos de Servicios de Certificate Server sólo
aparece si el servidor funciona como servidor de certificados.
16 Mantenimiento de la disponibilidad de Active Directory

Los datos de estado del sistema contienen la mayoría de los elementos de una
configuración de sistema, pero puede que no incluyan toda la información
necesaria para recuperar datos en caso de error del sistema. Por lo tanto, asegúrese
de realizar una copia de seguridad de todos los volúmenes de inicio y de sistema,
incluido el estado del sistema, al realizar una copia de seguridad del servidor.
Cuándo realizar una Puede realizar copias de seguridad de:
copia de seguridad de
los datos de estado del „ Los datos de estado del sistema por sí mismos.
sistema „ Los datos de estado del sistema como parte de los procedimientos de
copia de seguridad habituales.
„ Los datos de estado del sistema mientras el controlador de dominio
está conectado.
 Mantenimiento de la disponibilidad de Active Directory 17

Cómo realizar una copia de seguridad de Active Directory

*************************************************************************************
Introducción Para realizar una copia de seguridad de los datos de estado del sistema, debe ser
miembro del grupo Administradores u Operadores de copia de seguridad en el
equipo local o disponer de los permisos adecuados. Si el equipo se encuentra en
un dominio, los miembros del grupo Admins. del dominio pueden llevar a cabo
este procedimiento.
Sólo se puede realizar una copia de seguridad de los datos de estado del sistema
en un equipo local. No se puede realizar una copia de seguridad de los datos de
estado del sistema en un equipo remoto.
Procedimiento Para realizar la copia de seguridad de los datos de estado del sistema, realice los
siguientes pasos:
1. En el menú Inicio, seleccione Todos los programas, Accesorios,
Herramientas del sistema y, a continuación, haga clic en Copia de
seguridad.
2. En la página Asistente para copia de seguridad o restauración, haga clic
en Siguiente.
3. En la página Copia de seguridad o restauración, haga clic en Efectuar
una copia de seguridad de archivos y configuración y, a continuación,
haga clic en Siguiente.
4. En la página Qué desea copiar, haga clic en Elegir lo que deseo incluir
en la copia de seguridad y, a continuación, haga clic en Siguiente.
5. En la página Elementos para incluir en la copia de seguridad, expanda
Mi PC, active la casilla de verificación System State (Estado del sistema)
y, a continuación, haga clic en Siguiente.
18 Mantenimiento de la disponibilidad de Active Directory

6. En la página Destino y nombre del tipo de la copia de seguridad, haga

clic en Examinar, seleccione una ubicación para la copia de seguridad,
haga clic en Guardar y, a continuación, en Siguiente.
7. En la página Finalización del Asistente para copia de seguridad o
restauración, haga clic en Finalizar.
8. En la página Progreso de la copia de seguridad, haga clic en Cerrar.

Puede utilizar las opciones de copia de seguridad avanzadas de la utilidad de

copia de seguridad para configurar parámetros como la comprobación de datos,
la compresión de hardware y las etiquetas de medios. También puede
configurar el trabajo de copia de seguridad para que se anexe a un trabajo
previo o para que programe la copia de seguridad para que se ejecute
desatendida en otro momento. La comprobación de datos permite a la utilidad
de copia de seguridad comprobar las diferencias entre los archivos de los que ha
realizado copias de seguridad desde el controlador de dominio y los que copió a
los medios de copia de seguridad. La utilidad de copia de seguridad muestra los
resultados de la comprobación en el Visor de sucesos.

Importante Para recuperar desastres completos, realice una copia de seguridad de

todos los discos duros y los datos de estado del sistema. Para realizar esta copia de
seguridad, ejecute la utilidad de copia de seguridad. En la página Qué desea
copiar, active la casilla de verificación Toda la información de este equipo.

Nota Para obtener más información acerca de la realización de copias de

seguridad de los datos de estado del sistema con la herramienta de línea de
comandos Ntbackup, consulte “Cómo realizar una copia de seguridad de
Active Directory” en el módulo 10 en la página de los apéndices del disco
compacto Material del alumno.
 Mantenimiento de la disponibilidad de Active Directory 19

Ejercicio: Copia de seguridad de Active Directory

*************************************************************************************
Objetivos En este ejercicio, creará una unidad organizativa que eliminará después de
realizar una copia de seguridad de los datos de estado del sistema.
Instrucciones Trabajará con un compañero en el dominio de Active Directory que contiene
su controlador de domino y el de su compañero.
Situación de ejemplo Northwind Traders ha desarrollado procedimientos de recuperación de desastres.
Debe probar los procedimientos de copia de seguridad para asegurarse de que son
adecuados antes de implementarlos en toda la organización.
Ejercicio
Realizar copias de seguridad de Active Directory
1. Inicie sesión como Nwtradersx\NombreDeEquipoUser con la contraseña
P@ssw0rd
2. Inicie Usuarios y equipos de Active Directory como
Nwtradersx\Administrador con la contraseña P@ssw0rd mediante
Ejecutar como.
3. Cree una unidad organizativa denominada EjercicioNombreDeEquipoUO
en su dominio.
4. Examine las propiedades de este objeto y anote el número de secuencia de
actualización.
____________________________________________________________

____________________________________________________________

5. Inicie la utilidad de copia de seguridad como Nwtradersx\Administrador

con la contraseña P@ssw0rd mediante Ejecutar como y, a continuación,
realice una copia de seguridad del estado del sistema.
6. Elimine la unidad organizativa EjercicioNombreDeEquipoUO.
20 Mantenimiento de la disponibilidad de Active Directory

Lección: Restauración de Active Directory

*************************************************************************************
Introducción En la familia de Windows Server 2003, se puede restaurar una base de datos
de Active Directory si se daña o se destruye a causa de errores de hardware o
software. Debe restaurar la base de datos de Active Directory cuando se
cambian o se eliminan objetos en Active Directory.
Puede restaurar datos replicados en un controlador de dominio de varias formas.
Puede volver a instalar el controlador de dominio y, a continuación, dejar que el
proceso de replicación normal rellene el nuevo controlador de dominio con
datos a partir de sus réplicas o bien puede usar la utilidad de copia de seguridad
para restaurar datos replicados a partir de medios de copia de seguridad sin
volver a instalar el sistema operativo o reconfigurar el controlador de dominio.
Objetivos de la lección Después de finalizar esta lección, podrá:
„ Comparar los métodos de restauración principal, normal y autoritaria.
„ Realizar una restauración principal.
„ Realizar una restauración normal.
„ Realizar una restauración autoritaria.
 Mantenimiento de la disponibilidad de Active Directory 21

Presentación multimedia: Métodos de restauración de Active

Directory

*************************************************************************************
Ubicación de Para iniciar la actividad Métodos de restauración de Active Directory, abra el
los archivos fichero media21_2\media21_2.html que se puede encontrar dentro del fichero
media21.zip
Objetivo Al final de esta actividad, podrá decidir el tipo de método de restauración que
desea realizar.
Instrucciones Haga clic en los temas o subtemas de la izquierda para examinar la información
necesaria. Cada tema contiene una breve animación e información. Puede que
sea necesario desplazarse para ver toda la información de una ficha.
Puntos clave Al realizar una copia de seguridad de un controlador de dominio, se realiza una
copia de seguridad de todos los datos de Active Directory en ese servidor, además
de los componentes del sistema, como el directorio SYSVOL y el Registro.
Al restaurar Active Directory, se restauran todos los datos de la copia de
seguridad. Esta restauración de un estado anterior puede afectar a la configuración
de directivas de grupo y a las relaciones de confianza entre dominios.
22 Mantenimiento de la disponibilidad de Active Directory

Puede utilizar uno de estos tres métodos para restaurar Active Directory a
partir de los medios de copia de seguridad: restauración principal, restauración
normal (no autoritaria) y restauración autoritaria.
„ Restauración principal. Este método reconstruye el primer controlador de
un dominio cuando no existe otro modo de reconstruir el dominio. Realice
una restauración principal sólo cuando se pierdan todos los controladores
del dominio y desee reconstruir el dominio a partir de la copia de seguridad.
„ Restauración normal. Este método restituye los datos de Active Directory
con el estado anterior a la copia de seguridad y, a continuación, actualiza los
datos a través del proceso de replicación normal. Realice una restauración
normal sólo cuando desee restaurar un único controlador de dominio a un
determinado estado correcto anterior.
„ Restauración autoritaria. Este método se realiza conjuntamente con una
restauración normal. Una restauración autoritaria marca datos específicos
como actuales e impide que la replicación sobrescriba dichos datos. A
continuación, los datos autorizados se replican en todo el dominio.
Realice una restauración autoritaria para restaurar objetos individuales de un
dominio que disponga de varios controladores de dominio. Al realizar una
restauración autoritaria, se pierden todos los cambios del objeto restaurado
que hayan tenido lugar después de la copia de seguridad.

Importancia de la Active Directory no se puede restaurar a partir de una copia de seguridad

duración de los anterior a la duración de los registros desechados, que es de 60 días de forma
registros desechados predeterminada. Un controlador de dominio realiza un seguimiento de los
objetos eliminados sólo durante este período. Si existen varios controladores de
dominio y la antigüedad de la copia de seguridad es menor que la duración de
los registros desechados, restaure la copia de seguridad de que dispone y, a
continuación, deje que la replicación entre controladores de dominio actualice
Active Directory. Si sólo dispone de un controlador de dominio, perderá
cualquier cambio realizado tras la última copia de seguridad.
 Mantenimiento de la disponibilidad de Active Directory 23

Cómo realizar una restauración principal

*************************************************************************************
Introducción Para realizar una restauración principal, debe ser miembro del grupo
Administradores en el equipo local o disponer de los permisos adecuados.
Si el equipo se encuentra en un dominio, los miembros del grupo Admins.
del dominio pueden llevar a cabo este procedimiento.
Procedimiento Para realizar una restauración principal de Active Directory, realice los
siguientes pasos:
1. Reinicie el controlador de dominio en Modo de restauración de SD
(sólo contr. de dominio de Windows).
2. Inicie la utilidad de copia de seguridad.
3. En la página Asistente para copia de seguridad o restauración, haga clic
en Modo avanzado.
4. En la página Utilidad de copia de seguridad en modo avanzado, en la
ficha Restaurar y administrar medios, seleccione lo que desee restaurar y,
a continuación, haga clic en Iniciar.
5. En el cuadro de diálogo Advertencia, haga clic en Aceptar.
6. En el cuadro de diálogo Confirmar restauración, haga clic en Avanzadas.
7. En el cuadro de diálogo Opciones de restauración avanzadas, haga clic
en Al restaurar conjuntos de datos replicados, marcar los datos
restaurados como los datos principales para todas las réplicas y, a
continuación, haga clic en Aceptar dos veces.

Importante Al seleccionar esta opción, se garantiza que los datos del

Servicio de replicación de archivos (FRS, File Replication Service) se
replican en el resto de servidores. Seleccione esta opción sólo si desea
restaurar el primer conjunto de réplicas en la red.
24 Mantenimiento de la disponibilidad de Active Directory

8. En el cuadro de diálogo Progreso de la restauración, haga clic en Cerrar.

9. En el cuadro de diálogo Utilidad de copia de seguridad, haga clic en Sí.

Nota Para obtener más información acerca de las opciones avanzadas

disponibles para una restauración principal, consulte “Cómo realizar una
restauración principal” en el módulo 10 en la página de los apéndices del disco
compacto Material del alumno.
 Mantenimiento de la disponibilidad de Active Directory 25

Cómo realizar una restauración normal

*************************************************************************************
Introducción Active Directory se puede restaurar de forma no autoritaria cuando se
reemplaza un controlador de dominio erróneo o se repara una base de datos de
Active Directory dañada.
Procedimiento Para realizar una restauración normal de Active Directory, realice los siguientes
pasos:
1. Reinicie el controlador de dominio en Modo de restauración de servicios
de directorio.
2. Inicie la utilidad de copia de seguridad.
3. En la página Asistente para copia de seguridad o restauración, haga clic
en Siguiente.
4. En la página Copia de seguridad o restauración, haga clic en Restaurar
archivos y configuraciones.
5. En la página Elementos a restaurar, en Elementos para restaurar,
expanda la lista, active la casilla de verificación System State (Estado
del sistema) y, a continuación, haga clic en Siguiente.
6. En la página Finalización del Asistente para copia de seguridad o
restauración, haga clic en Finalizar.
7. En el cuadro de diálogo Advertencia, haga clic en Aceptar.
8. En el cuadro de diálogo Progreso de la restauración, haga clic en Cerrar.
9. En el cuadro de diálogo Utilidad de copia de seguridad, haga clic en Sí.

Advertencia Al restaurar los datos de estado del sistema, la utilidad de copia de

seguridad borra los datos de estado del sistema del equipo y los reemplaza por los
datos de estado del sistema que se están restaurando, incluidos los datos de estado
del sistema que no están relacionados con Active Directory. Dependiendo de la
antigüedad de los datos de estado del sistema, se pueden perder los cambios de
configuración realizados recientemente en el equipo. Para reducir este riesgo,
realice una copia de seguridad de los datos de estado del sistema con regularidad.
26 Mantenimiento de la disponibilidad de Active Directory

Cómo realizar una restauración autoritaria

*************************************************************************************
Introducción A diferencia de una restauración normal, una restauración autoritaria requiere
el uso de una herramienta de línea de comandos independiente (Ntdsutil).
Ninguna utilidad de copia de seguridad, ni siquiera las utilidades del sistema
de Windows Server 2003, puede realizar una restauración autoritaria.
Por qué utilizar Ntdsutil La herramienta de línea de comandos Ntdsutil es un archivo ejecutable que se
para realizar una utiliza para marcar los objetos de Active Directory como autorizados de manera
restauración autoritaria que reciban un número de versión superior al del objeto actual. Al marcar
objetos, se asegura de que los datos cambiados recientemente en otros
controladores de dominio no sobrescriben los datos de estado del sistema
durante la replicación.
Procedimiento Para realizar una restauración autoritaria, realice los siguientes pasos:
1. Reinicie el controlador de dominio en Modo de restauración de servicios
de directorio.
2. Restaure Active Directory a su ubicación original.
3. Si debe realizar una restauración autoritaria en la carpeta SYSVOL, restaure
Active Directory en una ubicación alternativa mediante la utilidad de copia
de seguridad, pero no reinicie el equipo cuando se le solicite tras la
restauración. Si no va a realizar una restauración autoritaria en SYSVOL,
vaya al paso 4.
4. En el símbolo del sistema, ejecute Ntdsutil.exe.
5. En la línea de comandos ntdsutil, escriba authoritative restore.
6. En la línea de comandos authoritative restore, escriba
restore subtree nombre_completo_del_objeto (donde
nombre_completo_del_objeto es el nombre completo o la ruta del objeto).
Por ejemplo, para restaurar una unidad organizativa denominada Sales,
que existía justo debajo del dominio denominado contoso.msft, escriba
restore subtree OU=Sales,DC=contoso,DC=msft.
 Mantenimiento de la disponibilidad de Active Directory 27

7. Escriba quit y, a continuación, presione ENTRAR.

8. Escriba quit de nuevo y, a continuación, presione ENTRAR para cerrar
ntdsutil.
9. Reinicie el controlador de dominio.
10. Una vez que el FRS publique la carpeta SYSVOL, cópiela junto con aquellas
carpetas de directivas de grupo que correspondan a los objetos de directivas
de grupo restaurados de la ubicación alternativa a las ubicaciones existentes.
11. Para comprobar que la operación de copia se ha realizado correctamente,
examine el contenido de la carpeta SYSVOL\Dominio, donde Dominio es el
nombre del dominio.

Nota Para obtener más información acerca de los nombres de usuario

completos, consulte el módulo 1, “Introducción a las infraestructuras de Active
Directory”, del curso 2196A, Planeamiento, implementación y mantenimiento
de infraestructuras de Active Directory en Microsoft Windows Server 2003.
28 Mantenimiento de la disponibilidad de Active Directory

Ejercicio: Restauración de Active Directory

*************************************************************************************
Objetivos En este ejercicio, restaurará la copia de seguridad más reciente antes de
eliminar las unidades organizativas de prueba. También comprobará si la
operación de restauración se ha realizado correctamente mediante el examen de
los datos autorizados.
Instrucciones Trabajará con un compañero en el dominio de Active Directory que contiene su
controlador de domino y el de su compañero. Realice este procedimiento sólo
en el controlador de dominio designado como servidor de restauración.
Situación de ejemplo Northwind Traders ha desarrollado procedimientos de recuperación de
desastres. Debe probar los procedimientos para una restauración autoritaria
antes de implementarlos en toda la organización.
Ejercicio
Restaurar Active Directory de forma autoritaria
1. Reinicie el controlador de dominio en Modo de restauración de servicios
de directorio.
2. Inicie sesión como Administrador con la contraseña P@ssw0rd
3. Inicie la utilidad de copia de seguridad y restaure los datos de estado del
sistema a partir de la copia de seguridad creada en el ejercicio Copia de
seguridad de Active Directory.
4. En el símbolo del sistema, ejecute ntdsutil en modo de restauración
autoritaria.
5. Marque las unidades organizativas eliminadas anteriormente como
autorizadas.
6. Reinicie el controlador de dominio.
 Mantenimiento de la disponibilidad de Active Directory 29

7. Inicie sesión como Nwtradersx\NombreDeEquipoUser.

8. Compruebe que la unidad organizativa creada en el ejercicio Copia de
seguridad de Active Directory se ha restaurado.
9. Examine las propiedades de la unidad organizativa que se ha restaurado y
anote el número de secuencia de actualización.
____________________________________________________________
30 Mantenimiento de la disponibilidad de Active Directory

Lección: Planeamiento para la supervisión de Active

Directory

*************************************************************************************
Introducción La supervisión del servicio de directorio distribuido Active Directory y de los
servicios de los que depende facilita el mantenimiento de datos de directorios
coherentes y del nivel de servicio necesario en todo el bosque. Se pueden
supervisar indicadores importantes para descubrir y resolver problemas
menores antes de que se conviertan en interrupciones de servicio
potencialmente prolongadas. La mayoría de grandes organizaciones que
disponen de numerosos dominios o sitios físicos remotos necesitan un sistema
de supervisión automatizado, como Microsoft Operations Manager 2002
(MOM), para supervisar indicadores importantes. Al utilizar un sistema de
supervisión automatizado para consolidar la información y resolver los
problemas rápidamente, se puede administrar mejor Active Directory.
Objetivos de la lección Después de finalizar esta lección, podrá:
„ Explicar los motivos por los que se debe supervisar Active Directory y los
niveles de supervisión adecuados.
„ Identificar los sucesos que se deben supervisar.
„ Identificar los contadores de rendimiento que se deben supervisar.
„ Aplicar directrices para la supervisión del estado de Active Directory.
 Mantenimiento de la disponibilidad de Active Directory 31

Información general de la supervisión de Active Directory

*************************************************************************************
Introducción Un análisis de costos y beneficios es un buen método para determinar el nivel
de supervisión necesario para el entorno.
Por qué supervisar La supervisión de Active Directory ayuda a resolver problemas de forma
oportuna. Los usuarios experimentan mejoras en la fiabilidad de las
aplicaciones que dependen de servidores, un tiempo de inicio de sesión menor,
un uso más fiable de los recursos y menos llamadas al departamento de soporte.
La supervisión de Active Directory proporciona una vista centralizada de
Active Directory a lo largo del bosque. Mediante la supervisión de indicadores
importantes, se puede mejorar la fiabilidad del sistema y comprender mejor
el funcionamiento del mismo. Además, la supervisión proporciona mayor
flexibilidad de programación y ayuda a priorizar la carga de trabajo, porque
permite descubrir problemas con antelación y resolverlos antes de que se agraven.
La supervisión de Active Directory también garantiza lo siguiente:
„ Todos los servicios necesarios que admiten Active Directory se ejecutan en
cada controlador de dominio.
„ Las consultas del Protocolo ligero de acceso a directorios (LDAP,
Lightweight Directory Access Protocol) se responden con rapidez.
„ Los controladores de dominio no experimentan altos niveles de uso de la
unidad central de procesamiento (CPU, Central Processing Unit).
32 Mantenimiento de la disponibilidad de Active Directory

Niveles de supervisión Normalmente, Active Directory se puede supervisar en tres niveles:

„ Supervisión básica o mínima de sucesos y contadores de rendimiento.
„ Supervisión avanzada de los servicios de los que depende Active Directory,
el tiempo de respuesta de controlador de dominio y la replicación en todo el
bosque. Normalmente se necesitan secuencias de comandos especiales para
proporcionar estos niveles de supervisión avanzada.
„ Supervisión sofisticada, como la que proporciona MOM, para permitir la
supervisión en el ámbito de la empresa. Las soluciones de supervisión
sofisticada recopilan y consolidan datos mediante agentes o servicios locales
que recopilan y distribuyen los datos de supervisión.
Asimismo, estas soluciones se aprovechan de la topología de red física para
reducir el tráfico de red y aumentar el rendimiento. En un entorno complejo,
este nivel sofisticado de supervisión puede ser necesario para proporcionar
datos que se requieren para tomar decisiones correctas.

Windows Server 2003 proporciona un potente conjunto de interfaces y servicios

que los programadores de software pueden utilizar para crear soluciones de
supervisión sofisticada.
Cómo determinar el Para determinar el nivel de supervisión necesario, compare el costo de
nivel de supervisión formalizar una solución de supervisión con los costos asociados a
necesario interrupciones de servicio y el tiempo que debe perder en diagnosticar y
resolver problemas.
El nivel de supervisión necesario también depende del tamaño de la compañía y
de los requisitos del nivel de servicio. Las organizaciones que cuentan con
pocos dominios y controladores de dominio o que deben supervisar sólo un
equipo pueden encontrar la lista de indicadores que han de supervisar en este
módulo y las herramientas necesarias que proporciona Windows Server 2003.
Las organizaciones de mayor tamaño que disponen de muchos dominios,
controladores de dominio o sitios y las organizaciones que no pueden permitirse
el coste de la pérdida de productividad debido a una interrupción de servicio
puede que deseen utilizar una solución de supervisión más sofisticada, por
ejemplo, mediante la escritura de extensas secuencias de comandos internas o
la compra de una solución de supervisión, como MOM.
 Mantenimiento de la disponibilidad de Active Directory 33

Sucesos que supervisar

*************************************************************************************
Introducción Un controlador de dominio de una gran empresa genera normalmente cientos de
sucesos relacionados con Active Directory cada día. Una solución de supervisión
eficaz puede reducir de forma significativa el número de sucesos mediante la
consolidación de éstos en cada controlador de dominio y en varios controladores
de dominio. Aunque muchos de estos sucesos no tienen la importancia suficiente
para disparar la alarma, se pueden incluir en un informe semanal.
Tipos de sucesos La supervisión básica puede incluir los siguientes sucesos, que proporcionan los
mejores indicadores del estado general de los controladores de dominio.
Suceso Descripción Ejemplos

Sucesos del controlador Estos sucesos indican lo siguiente: 6005, 6006, 11151 y
de dominio de la red ƒ Cuándo se inicia y se cierra el servicio de registro de 5773
sucesos.
ƒ Si un controlador de dominio no puede registrar los
registros de nombres del Sistema de nombres de dominio
(DNS, Domain Name System).
Utilice estos sucesos para determinar el momento en que el
sistema estaba en funcionamiento. Los sucesos DNS indican
que la resolución de nombres DNS tiene una importancia
fundamental en el entorno.
Sucesos de la Estos sucesos indican problemas con la funcionalidad principal Gravedad = error
funcionalidad principal de Active Directory.
de Active Directory
34 Mantenimiento de la disponibilidad de Active Directory

(continuación)
Suceso Descripción Ejemplos

Sucesos de replicación
Sucesos de autenticación
Estos sucesos pueden indicar problemas con la replicación de Gravedad = error y
SYSVOL o la aplicación de directivas de grupo. usuario = sistema
Estos sucesos pueden indicar problemas con lo siguiente: Gravedad =
ƒ Mantenimiento de tiempo uniforme en todo el bosque. advertencia, gravedad
= error e informe 11
ƒ Protocolo de autenticación Kerberos versión 5. semanal
ƒ Protocolo de autenticación predeterminado.
ƒ Servicio Netlogon y protocolo necesario para una
funcionalidad correcta del controlador de dominio.

Nota Para obtener más información acerca de las opciones avanzadas disponibles
para una restauración principal, consulte “Sucesos que supervisar” en el módulo
10 en la página de los apéndices del disco compacto Material del alumno.
 Mantenimiento de la disponibilidad de Active Directory 35

Contadores de rendimiento que supervisar

*************************************************************************************
Introducción Al realizar una supervisión básica, también se utilizan contadores de
rendimiento para supervisar el estado general de los controladores de dominio.
Tipos de contadores La supervisión básica incluye los siguientes tipos de contadores de rendimiento.
de rendimiento
Contador de rendimiento Descripción Ejemplos

Contadores de rendimiento para
supervisar la cantidad de datos
replicados
Contadores de rendimiento para
supervisar las funciones y
servicios principales de Active
Directory
Contadores de rendimiento
para supervisar volúmenes de
seguridad clave
Contadores de rendimiento
para supervisar los indicadores
principales de sistema operativo
Utilice las referencias que ha establecido
para determinar los umbrales de estos
contadores de rendimiento, a menos que
se indique lo contrario.
Establezca referencias para determinar
los umbrales para estos contadores de
rendimiento, a menos que se indique lo
contrario.
Establezca referencias para determinar los
umbrales para estos contadores de rendimiento, Peticiones KDC AS/seg. y
a menos que se indique lo contrario.
Utilice estos contadores de rendimiento para
supervisar los indicadores principales de
sistema operativo; estos contadores de
rendimiento tienen un impacto directo en el
rendimiento de Active Directory.
Bytes DRA de entrada
comprimidos, Bytes DRA de salida
comprimidos, Bytes DRA de salida
no comprimidos y Bytes totales
DRA de salida/seg.
Suboperaciones de búsqueda Active
Directory/seg., % de tiempo de
procesador–LSASS, Nº de
búsquedas LDAP/seg., Bytes
privados y Recuento de
identificadores–LSASS
Autenticaciones NTLM/seg.,
Autenticaciones/seg
Errores de página/s., Longitud
actual de la cola de disco, Longitud
de la cola del procesador, Cambios
de s. y Tiempo de actividad del
sistema

Nota Para obtener más información acerca de los contadores de rendimiento,

sus intervalos recomendados, niveles de umbral e importancia, consulte
“Contadores de rendimiento que supervisar” en el módulo 10 en la página
de los apéndices del disco compacto Material del alumno.
36 Mantenimiento de la disponibilidad de Active Directory

Directrices para la supervisión de Active Directory

*************************************************************************************
Introducción Aunque cada organización tiene requisitos de supervisión específicos, debe
asegurarse de seguir las directrices generales al diseñar un sistema de supervisión.
Las organizaciones pequeñas pueden considerar que las siguientes directrices,
las utilidades incluidas en la familia de Windows Server 2003 y algunas
secuencias de comandos personalizadas son suficientes para ofrecer un servicio
de directorio fiable. Las organizaciones de mayor tamaño pueden necesitar una
solución de supervisión más sofisticada que pueda proporcionar una vista de
consola central de muchos controladores de dominio, ejecutando todos ellos
agentes o servicios que consolidan y filtran sucesos, contadores e indicadores.
Directrices Aplique las siguientes directrices para determinar el modo de diseñar e
implementar las soluciones de supervisión:
„ Asocie acciones bien definidas a todas las advertencias o alertas que
genera el sistema de supervisión. Para mantener la integridad operativa
de la infraestructura de Active Directory, debe contar con un plan para
imprevistos bien definido para tratar de forma eficaz los diversos mensajes
que genera Active Directory.
„ Genere alertas sólo para señalar problemas que requieran atención.
El sistema de supervisión no debe generar alertas innecesarias que puedan
abrumar al operador que deba resolver los problemas.
„ Supervise los servicios de los que depende Active Directory. Algunos
servicios son fundamentales para el correcto funcionamiento de Active
Directory, como, por ejemplo, DNS, FRS, el Centro de distribución de
claves (KDC, Key Distribution Center), Netlogon y el Servicio de hora de
Windows (W32time).
„ Determine una referencia fiable para los umbrales que establecen cuándo
se presentan advertencias o alertas. Debe conocer los niveles operativos
normales antes de decidir si se necesita alguna acción. Mediante el
establecimiento de una referencia, puede recopilar datos suficientes con el
paso del tiempo para tomar una decisión sobre un plan de acción cuando
surjan condiciones imprevistas.
 Mantenimiento de la disponibilidad de Active Directory 37

„ Compruebe el espacio libre en disco para la base de datos y los archivos

de registro de Active Directory. Los volúmenes de disco que contienen el
archivo de la base de datos de Active Directory, Ntds.dit, y los archivos de
registro deben disponer de espacio libre suficiente para un aumento y un
funcionamiento normales. Se debe generar una alerta si el espacio libre en
disco es inferior a 50 MB o al 10 por ciento del tamaño del volumen. El
intervalo recomendado para supervisar el espacio en disco es de una hora.
„ Reduzca el uso de recursos al supervisar Active Directory. Tenga en cuenta
las siguientes recomendaciones para reducir el uso de recursos:
• La supervisión no debe utilizar tanta memoria como para disminuir el
rendimiento del sistema y la entrega de servicios principales.
• Los equipos que se supervisen no deben dedicar más del 5 por ciento del
uso total de la CPU a la solución de supervisión.
• La solución de supervisión debe generar una cantidad mínima de tráfico
de red en el entorno distribuido.
• El número total de contadores de rendimiento y la frecuencia con la que se
recopilan se deben reducir. De este modo, se reducen las peticiones al
sistema, mientras se siguen capturando datos relevantes de forma oportuna.
• Las secuencias de comandos se deben ejecutar de forma local y no de
forma remota para reducir la latencia y el ancho de banda de red.