Desde hace unos años la virtualización está ganando terreno y confianza entre los administradores y gerentes de gran cantidad de empresas. Es más, me atrevería a decir, que en su mayoría, las empresas de primera línea están considerando usos para la virtualización o incluso piensan en reservar alguna porción del presupuesto para comenzar con las pruebas o implementación. Esto sin duda incentivará al sector para continuar invirtiendo en desarrollos de mejores productos, tanto en materia de hardware como de software.
Ahora, la pregunta es: Si todo es tan bueno y parece estar solucionado. ¿Porque estoy escribiendo sobre esto?
Como toda nueva tendencia mucha gente considera solo los beneficios, , obviamente, por ser los aspectos más difundidos. Pero son pocos los que tienen en cuenta las dificultades y exigencias de una infraestructura virtualizada. Es justamente por la falta de investigación acerca de esas dificultades que comenzaron a observarse algunos problemas relacionados con las malas implementaciones de los sistemas virtuales.
Aclaro que la idea de este artículo no es plantear una discusión sobre buenas prácticas de virtualización, Sino demostrar con un ejemplo práctico como una mala implementación puede traernos más de un dolor de cabeza.
Y así empieza la historia…
En muchas empresas los domain controllers representan una molestia para el administrador, ya que o bien comparten el hardware con otras aplicaciones, reduciendo notablemente la seguridad de los mismos. O están instalados sobre hardware sobrante de dudosa confiabilidad. Por lo tanto, siempre es un excelente candidato para la virtualización.
Aquí es donde comienza el problema, quien no escucho alguna vez decir: “Lo bueno de la virtualización es que si el sistema operativo deja de funcionar restauras el archivo VHD y listo, todo solucionado”. Lo cual puede ser cierto para algunos servicios básicos, dependiendo de la antigüedad del backup de ese disco virtual. Pero cuando hablamos de un Domain Controller o cualquier otro servidor más complejo las cosas no son tan simples. Obviamente siendo un elemento crítico de nuestra infraestructura, el Active Directory cuenta con más de una medida de protección para evitar inconsistencias. Entre ellos el USN o Update Sequence Number.
Update Sequence Number e invocationID
El USN es el índice que los domain controllers incrementan cada vez que un objeto es creado, borrado o actualizado. Durante la replicación de Active Directory el USN es quien marca a partir de que cambios se debe replicar a los demás compañeros de replicación. Pero este indicador por si solo no podría realizar el trabajo, y por eso contamos con el invocationID que es quien identifica a la base de datos de cada domain controller como única, y solo es modificado en caso de una restauración del estado de sistema o system state. Luego de la cual los demás DC’s, descartaran el USN del DC restaurado y toman el actual como valido, y por lo tanto luego de la replicación nuestra infraestructura volverá a estar como antes de la falla. En la figura 1 se muestra un ejemplo sencillo de este procedimiento.
Fig.1. Actualización de USN e InvocationID restaurados de manera correcta.
Imagen tamaño completo
Como se puede observar si el proceso se lleva a cabo como es debido y el system state está dentro del Tombstone time (el tiempo máximo de validez de un backup de sistema), no tenemos ningún inconveniente luego de la restauración del equipo.
Pero veamos qué pasa en el mismo escenario cuando a partir de la caída del DC, el administrador decide reemplazar el disco virtual para ganar tiempo.
Imagen en tamaño completo
1) El administrador instala 3 DC en su oficina, uno de los cuales decide agregar sobre un equipo virtual.
2) Se crean 100 nuevos usuarios en el VDC1, los cuales replican correctamente.
3) El administrador realiza un backup del sistema tomando una copia del archivo VHD del equipo virtual.
4) Se cambian los passwords para las 100 cuentas creadas recientemente, los cambios replican correctamente.
5) El administrador apaga el DC3 para realizar tareas de mantenimiento.
6) El administrador crea 50 cuentas de equipo en el VDC1, los cuales replican correctamente al DC2
7) El VDC1 sufre una falla de la que no puede ser restaurado
8) El administrador decide restaurar el VDC1 a partir de la copia del disco virtual.
9) El DC3 vuelve a estar online.
10) Cuando el administrador vuelve a realizar cambios en el VDC1, los mismos aumentan el USN a partir de 201 y manteniendo su InvocationID (Estado del VDC1 en el momento de la copia de seguridad). Debido a esto los demás DC no reconocen la falla en el VDC1 y continúan con su replicación normal. Creando varias inconsistencias en la Base de nuestro directorio.
A partir de la Windows 2000 y posteriormente en Windows 2003 Microsoft libero un parche que ayuda a la detección y recuperación de este comportamiento en los Domain Controllers (KB 885875 para Windows 2000 y KB 875495 para Windows 2003). Pero, solo ayuda, no puede evitarlo si los cambios no son lo suficientemente significativos como para disparar la alarma del mismo.
Conclusión
Aunque tal vez no lo parezca estoy totalmente de acuerdo con la virtualización, y creo que en un futuro muy cercano será la base de la infraestructura de muchas empresas. Es por ello que, en este articulo solo intento mostrar en pocas líneas, como toda implementación debe ser llevada a cabo con un previo relevamiento de mercado para evaluar las mejores opciones siguiendo siempre de cerca las recomendaciones de los fabricantes de software.
Hoy espero haber despertado la curiosidad de aquellos que deseen comenzar a recorrer el largo camino de la virtualización de infraestructura. Si es así tengan en cuenta algunas recomendaciones: en primer lugar no olvide que los puntos planteados en este articulo no son los únicos, como estos hay muchos y deben tenerse en cuenta. Por lo tanto es fundamental mantenerse informado sobre los muchos aspectos de esta nueva tecnología, Y , principalmente no dejarse llevar por los comentarios y las tendencias del mercado.
Mas información.
How to detect and recover from a USN rollback in Windows 2000 Server(http://support.microsoft.com/kb/885875/es)
How to detect and recover from a USN rollback in Windows 2003 Server (http://support.microsoft.com/kb/875495/es)
Condiciones de soporte para virtualización de hardware no-Microsoft (http://www.support.microsoft.com/kb/897615/es)
Condiciones de soporte técnico para Virtual Server (http://www.support.microsoft.com/kb/897613/es)
¿Alguna vez se puso a pensar que porcentaje del tiempo le dedica a la administración de los sistemas de producción? .Según estudios realizados por Microsoft, los administradores de red invertimos un 80% de nuestro tiempo manteniendo la base instalada. Lo que obviamente, nos deja poco tiempo nuevas implementaciones. Dejando como resultado implementaciones caóticas a causa de planes poco desarrollados y un exceso de trabajo para el staff de IT que debe estar en constante movimiento para solucionar los problemas cotidianos. Convirtiéndonos en “bomberos reactivos” corriendo siempre atrás de los problemas, cuando deberíamos ser profesionales de la información buscando las mejores tecnologías para ayudar a las operaciones del negocio.
A partir de este problema Microsoft desarrollo un programa llamado DSI o Dynamic System
Initiative. Esta iniciativa plantea 4 estadios en los cuales se puede encontrar una empresa: Básico, Estandarizado, Racionalizado o Dinámico. Utilizando las herramientas y recursos provistos por DSI, los itpros podrán analizar su estadio actual y tomar acciones que los lleven a escenarios más ventajosos, lo que dará como resultado una infraestructura más robusta, estable y escalable.
Tomando DSI como su base, a mediados de este año, Microsoft liberara una nueva familia de productos denominada System Center. Esta suite esta netamente orientada a brindar mayor control sobre la plataforma instalada, lo que nos ayudara a dejar de ser el “bombero” de la empresa para comenzar a transformarnos en los profesionales de la información que el negocio necesita.
Conozcamos a la familia
Todo departamento de sistemas necesita soluciones que permitan el monitoreo de performance y disponibilidad, realicen distribución de parches de seguridad y aplicaciones de negocio, permitan el backup y restore de datos y sistemas, brinden reportes y datos históricos y permitan administrar los problemas y las operaciones de la empresa. Para todo esto podremos contar con System Center.
¿Pero quiénes son los miembros de esta familia que promete tanto?
System Center Operations Manager: La nueva versión del Microsoft Operation Manager (MOM), nos permitirá tener una visión clara de la salud de nuestra infraestructura, monitoreando miles de contadores de performance y eventos a través de nuestros sistemas operativos y aplicaciones. Continuando con el compromiso adquirido por todas las líneas de productos de proveer Managemet Packs para cada nuevo lanzamiento, lo que garantizara una integración completa de la herramienta con nuestra plataforma, e incluso con herramientas de monitoreo de terceros.
System Center Configuration Manager: La evolución del System Management server (SMS) nos permitira ganar tiempo libre automatizando las tareas de deployment masivo de aplicaciones y sistemas dentro de la empresa. Por otro lado nos ayudara mantener el control de nuestros activos mediante los procesos de inventario de Hardware y Software, lo que ayudara a tomar decisiones llegado el momento de cambiar equipos o adquirir nuevas licencias.
System Center Data Protection Manager: Esta nueva herramienta de backup supera por mucho a su predecesora (Data Protection Server), ya que incorpora la posibilidad de realizar el resguardo de Exchange Server y SQL Server por medio de Volume Shadow Copies. Adicionalmente brinda herramientas que permitirán que el usuario gestiones sus propias restauraciones liberando en muchos casos a los administradores de esta tarea.
System Center Virtual Machine Manager: Esta herramienta permitirá administrar nuestra infraestructura virtualizada desde un punto único, facilitando el mejor aprovechamiento del hardware y brindando funciones adicionales como transferencia de maquinas físicas a virtuales en tiempo real aprovechando las virtudes de Volume Shadow Copies.
System Center Capacity Planner: Finalmente podremos simular nuestras implementaciones antes de llevarlas a la práctica, validando así el hardware seleccionado para el proyecto, las comunicaciones de la empresa y la utilización esperada de los equipos antes de su instalación. Por el momento solo permite simulaciones de Exchange 2003 y MOM 2005, pero en futuras versiones ampliaran el soporte para productos Microsoft y contara con SDK que permitirá realizar simulaciones de aplicaciones desarrolladas in-house.
System Center Service Desk: Y la visión de management seria incompleta sin una herramienta de seguimiento de incidentes que permita a los operadores ver el estado de la infraestructura, elevar incidentes y manejar los SLA de la empresa todo dentro de un marco procedimental dado por el Microsoft Operation Framework (MOF).
¿Les parece poco?
Si con todos estos productos no les alcanzo, o piensan que está faltando algo para terminar de controlar su infraestructura definitivamente no deben preocuparse porque hay muchas más cosas en camino.
