viernes, 3 de abril de 2009

Windows 2008: Parte 4: Controladores de Dominio de sólo lectura (RODC) y DHCP

Una prestación nueva e interesante de Windows 2008 son los Controladores de Dominio de Sólo Lectura (Read Only Domain Controller). Este tipo de Controlador de Dominio tiene dos particularidades básicas:
  • No pueden ser origen de replicación, por tanto, no podemos usarlos para tareas de administración porque sólo pueden recibir cambios del Active Directory.
  • Permiten definir que sólo se repliquen las contraseñas de una parte del Active Directory. Esta funcionalidad es interesante para sedes remotas que necesiten un DC, pero éste no esté debidamente securizado y no haya administrador local. Así, si nos comprometen el servidor y se llevan los archivos de AD para un ataque de fuerza bruta, sólo tendrán acceso a una parte de las contraseñas.
Sin embargo, los RODC sí pueden tener el resto de funciones habituales de un DC: servidor DNS, servidor DHCP, e incluso Servidor de ficheros. El típico escenario donde encajarían los RODC sería el siguiente:


Tenemos la infraestructura principal de servidores en un Data Center/Hub: el primer DC y FSMO, servidor Exchange Hub, Sharepoint, etc.
En cada sede/Branch Office tenemos un RODC contra el que se autentican los clientes locales, un servidor de ficheros, un servidor Mailbox de Exchange, etc.

Implementando una infraestructura similar a la del gráfico me he encontrado el siguiente problema con el servicio DHCP:

Si el primer servidor DHCP del dominio lo instalamos en un RODC, la instalación se desarrolla normalmente, pero falla al final y el servicio DHCP no arranca, obteniéndose el siguiente y críptico mensaje de error:

"Attempt to configure DHCP Server failed. The DHCP Server service could not be started in a timely manner".

La explicación es que al hacer la instalación del primer servidor DHCP de un dominio se modifica el esquema del Active Directory y se crean una serie de grupos. Posteriormente, cuando añadamos más servidores DHCP en el dominio, tendremos que realizar la autorización del servidor DHCP dentro del Active Directory: Todo servidor perteneciente a un dominio que queramos configurar como servidor DHCP debe estar autorizado para serlo, porque, entre otras cosas, un servidor DHCP está autorizado para crear registros en el DNS (las IP's que va otorgando a los clientes que la solicitan).

Al hacer la instalación del primer DHCP Server del dominio en un RODC, éste intenta realizar las modificaciones antes comentadas sobre su copia local de AD y, al no poder escribir sobre ella, la instalación falla al final.

La solución es instalar el rol de DHCP server primero en un servidor miembro o en un Controlador de Dominio de Lectura/Escritura (un servidor del Data Center en el escenario anterior). De esta manera, al hacer esta primera instalación se crean los grupos necesarios y se modifica el esquema y, al añadir el rol de DHCP a un RODC, éste ya se encuentra el Active Directory preparado para albergar su nueva función sin problemas.

jueves, 2 de abril de 2009

Mover la biblioteca de iTunes

Los que llevamos toda la vida trabajando con Microsoft, primero con MsDOS y luego con Windows, tenemos el vicio de trastear las tripas del sistema operativo y hacer muchas cosas manualmente.
Al pasar (o coexistir, en mi caso) a MacIntosh nos olvidamos a menudo que con el Mac todo es tan fácil que muchas veces hemos de desaprender lo aprendido y dejarnos llevar por la manera más lógica de hacer las cosas.
Como ya casi no me quedaba espacio en el disco de mi MacBook, el otro día me puse a mover mi biblioteca de iTunes (117 GB) del MacBook a mi Netgear Ready NAS. También para tener la música en un sitio más seguro, con su RAID por hardware, y poder acceder a ella con el Logitech Squeezebox sin tener que encender el MacBook.
Para hacerlo pensé: "cortaré y pegaré toda la carpeta iTunes en el NAS y luego le diré a iTunes que la biblioteca está ahora en la carpeta compartida del NAS".
Ni corto ni perezoso me puse a hacerlo. A pesar de la conexión a Gigabit tardó varias horas en mover toda la carpeta al NAS. Luego fuí a Preferencias de iTunes, Avanzado y, en ubicación de la carpeta iTunes Music, cambié y apunté a la carpeta del NAS. Cuando quise reproducir música y vi que no sonaba nada y que las canciones iban saltando rápidamente marcadas con un signo de admiración me quedé lívido... ¿He perdido toda la biblioteca que tanto tiempo me ha costado ripear???


El procedimiento correcto para mover a otro disco o carpeta la biblioteca de iTunes es:
  1. Ir a Preferencias de iTunes, Avanzado, Cambiar la ubicación de la carpeta iTunes Music a donde queramos mover los archivos.
  2. Ir al menú Archivo, Biblioteca, Consolidar Biblioteca. Nos dirá: "Al consolidar la biblioteca se copiará toda su música en la carpeta iTunes Music. Esta acción no puede deshacerse" (Glups!)
iTunes empezará él sólo a mover los archivos al lugar de destino y quedará todo perfectamente indexado y operativo.

Apéndice
Con mi sistema Avecrem (a mano), para recuperar la configuración correcta tuve que:
  1. Borrar todas las canciones de la biblioteca de iTunes y añadir a la biblioteca la carpeta donde había movido la antigua biblioteca.
  2. Seleccionar Consolidar Biblioteca, pues no le gusta que le digas tú dónde están los archivos, sino ubicarlos y moverlos él mismo.
Para el primer proceso se tiró sus buenas 3 horas (más de 15.000 canciones...), pero para el segundo proceso, como tuvo que mover todos los archivos de una carpeta a otra del NAS y reindexar la biblioteca ha tardado ¡¡¡tres días!!!, esta vez con el Mac conectado a 100 MBps con el NAS.