Dominio de Pruebas

Posted on 09/07/2008

0


Es muy recomendable, sobre todo para los "nuevos administradores" tener un dominio paralelo al productivo, a fin de poder probar configuraciones en ambiente de laboratorio antes de implementar en la realidad.

Hay varios elementos a considerar, pero lo principal es Hardware, Software y Active Directory.

Por el tema hardware, hay dos grandes posibilidades:

  1. Tener el hardware necesario para cada equipo que necesitemos en laboratorio
  2. Disponer de un equipo lo con suficientes recursos como para poder virtualizar el entorno necesario

En general, es mucho mejor la segunda opción ya que cuaquiera sea la aplicación de virtualización utilizada podremos fácilmente deshacer los cambios que no funcionan como queremos.

Hay productos gratis y de pago para todos los gustos. En el caso de Microsoft se dispone gratuitamente de VirtualPC y Virtual Server 2005 R2 y la nueva opción Hyper-V incluida en algunas versiones de Windows Server 2008.

Además hay otros productos también con opciones gratis y pagas. Para nombrar sólo una de ellas que en mi caso es muy importante vean VMware

Con las opciones de Microsoft, disponemos de "Undo disks" que nos permiten deshacer cambios y volver al estado inicial. Con VMware Workstation, podemos congelar diferentes estados (Snapshots) para luego volver a cada uno de ellos.

Voy a suponer que la mayoría (si yo lo hago así entonces todo los hacen así ) que vamos a utilizar un ambiente de pruebas virtualizado.

En mi caso, en este momento dispongo de un equipo "más o menos poderoso" con QuadCore 2.4 y 4GB RAM, pero también he hecho mucha de mi experiencia con un PIV 2.8 y 1GB RAM sin grandes problemas y un poco de paciencia.

Por la importancia que en mi trabajo diario tiene la virtualización uso más de un producto, tanto ambos de Microsoft, como VMware Workstation, dado que este último pude emular ambientes WAN de poca o mala conectividad.
Desarrollaré el tema con el producto de VMware y Snapshots, pero es fácilmente implementable también en los productos de Microsoft usando "Discos Diferenciales".

Primero que nada, si queremos ahorrarnos muuuuuuuucho tiempo, nos conviene tener "máquinas virtuales plantilla". De cada versión de sistema operativo que usemos crearnos una instalación básica, la configuramos como mejor nos parezca, pero MUY IMPORTANTE: le copiamos la utilidad Sysprep correspondiente a dicho sistema operativo, o en mi caso uso NewSID de las utilidades de Sysinternals (Ver Applicaciones Buenas, Baratas y Gratis). Copio a disco y hago un acceso directo sobre el escritorio. Recién entonces apago la máquina virtual.

Si es VirtualPC/Server será usada como Disco Master, si es VMware será una "Base" a partir de la cual haré los "Linked Clone".

A partir de esto, disponer de, por ejemplo, cinco instalaciones de Server 2003 puede llevar no más de 10 minutos. Simplemente se crean "Linked Clone", se arrancan, se configura la red, y se ejecuta NewSID para cambiar los identificadores únicos y en el mismo paso renombrarla. Vale el mismo proceso para otros sistemas operativos Windows.

Hasta ahora "solucionamos" el tema hardware y software, pero ¿cómo obtengo un dominio Active Directory de pruebas similar al productivo.

Tengo dos opciones en mente, la primera que realmente veo complicada sería instalar una virtual como Controlador de Dominio adicional al dominio, esperar que replique toda la info, luego aislarla en red virtual separada, cambiar DNS, tomar roles, GC, etc.. Y muy importante: borrar en el AD productivo este equipo con el NTDSUTIL. NO me gusta mucho "tocar" el ambiente productivo.

Si lo único que necesitamos son los usuarios, grupos y OUs entonces es mucho más fácil, ya que podemos usar LDIFDE.EXE para exportar todo a un archivo de texto y luego importarlo en nuestro AD de laboratorio

Vean estos enlaces

LDIFDE – Export / Import data from Active Directory:
http://support.microsoft.com/kb/555634/en-us

LDIFDE – Export / Import data from Active Directory – LDIFDE commands:
http://support.microsoft.com/kb/555636/en-us

LDIFDE – Export / Import data from Active Directory – LDIFDE commands 2 (AN: 555636):
http://support.microsoft.com/kb/555637/en-us

Bueno, ya podemos probar tranquilamente esas restricciones que nunca nos atrevimos, o esa GPO de la que siempre tuvimos dudas

Posted in: Active Directory