Entendiendo el Bloqueo de cuentas

Hola!, un tema interesante para la protección de cuentas de usuarios de dominio es el Bloqueo de cuentas o Account Lockout.

¿Por qué protegemos las cuentas de usuarios y sus contraseñas? En primer lugar debemos considerar la seguridad como un estatuto que debe regir en nuestra organización. A nivel de cuentas de usuarios de dominio podemos lograrlo habilitando auditoría de cuentas, protección de cuentas deshabilitándolas, contraseñas seguras y complejas.

Los bloqueos de cuentas de usuarios se definen luego de una cantidad de intentos fallidos de inicio de sesión porque se escribe una contraseña incorrecta.

Los bloqueos de cuentas de usuarios de un dominio son definidos en una GPO o una Directiva de Grupo a nivel de todo el dominio.

Nosotros podemos poner a trabajar esta Directiva de Grupo modificando la Default Domain Policy o Directiva del dominio usando la consola GPMC o desde el Active Directory Users and Computers.

Habilitar el bloqueo de cuentas:

1. Ingresamos al Active Directory y le hacemos click derecho al dominio y seleccionamos propiedadaes, cargará una ventana e ingresamos a la pestaña Group Policy y hacemos clic en Edit.
2. Expandimos la Directiva de Grupo: Computer Settings, Windows Settings, Security Settings, Account Policies, Account Lockout Policy.
   
3. Debemos definir tres valores para el Bloqueo de cuentas.


4. Account Lockout Threshold: Define el número de intentos fallidos para bloqueo de cuentas de usuario. Se recomienda que al quinto intento se bloquee la cuenta, por lo tanto escribámos 5.


5. Account Lockout Duration: Define el tiempo de bloqueo de la cuenta de usuario. Por defecto es 30 minutos cuando definimos el Account Lockout Threshold. Mejor dicho luego de 30 minutos la cuenta se desbloquea sola. Si deseamos que nunca se desbloquee y que se desbloquee de forma manual por un administrador debemos escribir 0.


6. Reset account lockout counter after: Define el tiempo en el que el valor Badpwdcount es reseteado, por defecto es 30 minutos cuando definimos el Account Lockout Threshold. Mejor dicho que en 30 minutos el valor no debe exceder el valor definido en el Account Lockout Threshold, de lo contrario la cuenta se bloquea.


7. Finalmente esperamos que la política se ejecute en el dominio. Las políticas de grupos de propagan en un lapso de 30 a 90 minutos de manera automática.
   

Cuando una cuenta de usuario se bloquea aparecerá la siguiente pantalla:

Para desbloquear un cuenta de usuario ingresamos al Active Directory Users and Computers, identificamos el usuario, clic derecho y seleccionamos Propiedades. En la ventana Propiedades nos vamos a la pestaña Account o Cuenta y desmarcamos la opción Account is Locked out.

Aplicando las directivas de bloqueo de cuentas podremos identificar:

• Las cuentas de usuarios bloqueadas pueden ser visualizadas desde el Visor de eventos en cualquier Controlador de dominio. Opción: Security, Evento 644.
• Identificar dónde las cuentas se bloquean en que estacion de trabajo o servidor. Esto permitirá saber porque las cuentas de servicios o de usuarios se bloquean ayudándonos en tareas de resoluciones de problemas.

Vídeo:

Espero sus comentarios.

Saludos!!!

Instalación de un servidor Exchange 2007

Hola! nuevamente con ustedes, hoy aprenderemos: ¿Cómo instalar un servidor Microsoft Exchange 2007?. Como sabemos, Exchange 2007 es el último producto de Microsoft liberado para Mensajería. Exchange 2007 ahora interactúa con otros servicios de Microsoft como Live Communications 2007 permitiendo la convergencia de voz y datos por un sólo medio.

En Exchange 2007 existen roles:

• Hub o Edge Transport, servidores de transporte de correos dentro y fuera de la organización.
• Unified Messaging Server, servidor encargado del Outlook Voice Access (OVA) y de servicios de fax.
• Client Access Server, servidor encargado de proveer los servicios de Outlook Web Access (OWA), ActiveSync, Outlook anywhere y otros protocolos de internet como IMAP4, POP3.
• Mailbox Server, servidor encargado de almacenar los buzones.

Escenario de pruebas para este post:

• PC de 32 bits con Windows 2003 Enterprise SP1. Exchange 2007 puede ser instalado sobre la plataforma de 32 bits únicamente para pruebas, no para entornos de producción.
• Active Directory sin ningún servidor Exchange instalado. Únicamente se instalará Exchange 2007, no se realizará un upgrade en este documento. El upgrade o migración lo veremos más adelante.
• Todos los parches y actualizaciones son de 32 bits, porque es un escenario de pruebas. Para un entorno de producción deben contar un procesador de 64 bits, con Windows 2003 de 64 bits, parches y actualizaciones que soporten 64 bits.

Requisitos para la instalación de Exchange 2007:

• Un servidor con Windows Server 2003 Enterprise/Standard con SP1 o SP2 para la instalación de MS Exchange 2007
• Un servidor Controlador de dominio configurado como Catálogo Global (Global Catalog) sobre Windows Server 2003 SP1 en el dominio donde se instalará el primer servidor Exchange 2007.
• Nivel funcional de dominio: Windows 2000 Nativo o Windows 2003.
• Instalación de ASP y componentes del IIS a exepción de los protocolos SMTP y NNTP.
• Instalación del .NET Framework 2.0 o superior y una actualización de .NET Framework 2.0.
• Instalación de Microsoft Windows PowerShell e instalación del Microsoft Management Console 3.0
• No debe hallarse ningún servidor Exchange 5.5.
• El servidor Exchange debe contar con salida a Internet para verificar los requisitos para Exchange 2007.

Pasos:

1. Verificar el nivel funcional del dominio. Elevaremos el nivel funcional a Windows 2003. Nota: luego de realizar la elevación de nivel funcional no existe reversa y el cambio será replicado a todos los controladores de dominio. Si lo elevan a Windows Server 2003, deben verificar que no cuenten con Controladores de dominio sobre Windows 2000/Windows NT 4.0
2. Instalamos los siguientes componentes del IIS desde Agregar o Quitar programas del Panel de Control: ASP.NET, Internet Information Services (Seleccionamos Common Files, Internet Information Services Manager, World Wide Services). Ojo: No seleccionar SMTP y NNTP.
3. Instalamos el .NET Framework 2.o. Podemos descargarlo desde: http://www.microsoft.com/downloads/details.aspx?FamilyID=0856EACB-4362-4B0D-8EDD-AAB15C5E04F5&displaylang=en
4. Instalamos el parche KB926776. Podemos descargalo desde: http://go.microsoft.com/fwlink/?linkid=74469. Información del hotfix en: http://support.microsoft.com/kb/926776/en-us. Luego de la instalación debemos reiniciar el servidor.
5. Instalamos Windows PowerShell 1.0. Lo descargamos desde: http://support.microsoft.com/kb/926139/en-us
6. Instalamos el Microsoft Management Console 3.0. Lo podemos descargar desde: http://support.microsoft.com/kb/907265/en-us
7. Insertamos el CD de Exchange 2007 y ejecutamos el instalador: Setup.exe.
8. Cargará una ventana de Bienvenida de Exchange. Seleccionaremos Install Exchange 2007. El wizard de instalación verificará que se hayan instalado todos los requisitos necesarios para Exchange 2007.
9. Aceptamos el acuerdo de licenciamiento y términos.
10. Opcionalmente podemos permitir que se envíen reportes de errores a Microsoft, para la mejora continua de Microsoft Exchange 2007. Seleccionaremos Si.
11. Tenemos dos tipos de instalación: Típica y personalizada, en esta oportunidad seleccionaremos típica, porque los roles de Exchange se ejecutarán sobre un sólo servidor. Opcionalmente podemos seleccionar una ruta para la instalación de MS Exchange.
12. Escribimos un nombre para la organización Exchange 2007, en esta ocasión escribiremos ExchangePro.
13. A continuación podemos seleccionar si en nuestra organización existen clientes MAPI como Outlook 2003, Entourage o anteriores. En esta ocasión seleccionamos Si, porque existen clientes MAPI como OL 2003. Si existiesen sólo OL 2007 seleccionamos No.
14. Cargará una lista donde se revisarán si todos los requisitos de instalación y preparación se encuentran correctamente instalados y configurados. Es recomendable que el Servidor Exchange valide los requisitos basándonos en un checklist de Internet.
15. Luego de la verificación, se inicia la instalación de MS Exchange 2007.
16. Finalmente tenemos nuestro servidor Exchange 2o07 instalado. Podemos Acceder al Exchange Management Console o Windows PowerShell para empezar a administrar nuestro servidor.

Enlaces:

Requisitos para la Instalación de Microsoft Exchange 2007: http://technet.microsoft.com/en-us/library/aa996719.aspx

Checklist para la Instalación de Microsoft Exchange 2007: http://technet.microsoft.com/en-us/library/bb125239.aspx

Descarga del Service Pack 1 de Exchange 2007: http://www.microsoft.com/downloads/details.aspx?FamilyID=44c66ad6-f185-4a1d-a9ab-473c1188954c&displaylang=en

Release Notes del Service Pack 1 de Exchange 2007: http://www.microsoft.com/downloads/details.aspx?FamilyId=5770BD59-376E-42EC-B940-BE6225CD97FF&displaylang=en

Instalación típica de Microsoft Exchange 2007: http://technet.microsoft.com/en-us/library/bb123694.aspx

Si existe algún comentario o duda hágamenlo llegar.

Saludos!!!

Vídeo: Instalación de Exchange 2007

Corrigiendo el acceso al OWA en Exchange 2003 usando IE 7 en Windows Vista

Hola, hoy quiero compartir con ustedes un tema importante. Corrigiendo el acceso al OWA (Outlook Web Access) de Exchange 2003 usando Internet Explorer 7 de Windows Vista. El problema se debe a un comportamiento de un componente de ActiveX que actúa diferente en el IE 7 de Windows Vista.

Los síntomas son los siguientes:

• No se puede componer un correo, mejor dicho no podemos escribir en el textbody, al momento de enviar, recibir o reenviar un correo.


• No se puede crear un contacto, tarea, nota, etc.


• No se puede cambiar la configuración de las carpetas vía OWA.

Microsoft liberó un hotfix, el cuál tiene la solución completa para este problema, la solución es reemplazar el componente ActiveX por uno denominado "iframe". Este hotfix debe ser instalado en los servidores Back-End y los Front-End.

Documento técnico puede ser hallado en: http://support.microsoft.com/?kbid=911829.

Descarga del hotfix: http://www.microsoft.com/downloads/details.aspx?FamilyId=5BC06E8A-08EB-4976-BC68-A03EBE3A2552&displaylang=en&displaylang=en.

Problemas con firma S/MIME en IE 7.

También existe un problema adicional con el IE 7 y Exchange 2003, cuando se redacta un correo y al momento de enviarlo aparece un mensaje de error. Esto se debe a que se ha configurado una firma S/MIME en un cliente con IE 7. Para ello se puede aplicar el siguiente parche en los servidores Exchange Back-End y Front-End: http://support.microsoft.com/?kbid=924334.

Finalmente recomiendo descargar e instalar la versión mas reciente del S/MIME desde la página del OWA. Para ello es necesario ingresar a Opciones y desde ahí buscar: Seguridad de Correo Electrónico.

Quedo a la espera de sus opiniones

Configurando ActiveSync en una organizacíón Exchange 2003

Hola, hoy aprenderemos a Cómo habilitar el ActiveSync en Exchange 2003. ActiveSync es una herramienta de Microsoft que nos permite sincronizar nuestro buzón con un dispositivo móvil que soporte Windows Mobile 2003, 5.0 o superior. Esta guía solo configurará el ActiveSync a través del protocolo HTTP. Es posible configurar el ActiveSync usando certificados vía HTTPS.

Para configurar ActiveSync debemos contar con los siguientes requisitos:

• El servidor Exchange debe estar actualizado a Service Pack 2. El SP2 lo podemos descargar de: http://www.microsoft.com/downloads/details.aspx?FamilyID=535bef85-3096-45f8-aa43-60f1f58b3c40&displaylang=en


• Contar con dispositivos móviles con Windows Mobile 2003, 5 o superior. Estos dispositivos incluyen el ActiveSync para la sincronización de correos. Además para sincronizar los correos lo pueden realizar a través de un cable conectado a la PC, a través de una red inalámbrica o a través de GPRS o Edge (Carriers).

Pasos para habilitar el ActiveSync en el lado Servidor:

1. Ingresar al Exchange System Manager y expandir Global Setting y hacer clic en Propiedades en Mobile Devices.


2. Habilitar todos los checks dentro de Exchange ActiveSync. Esto permitirá que los usuarios de la organización puedan sincronizar su buzón, habilitar las notificaciones de correo y el DirectPush.


3. También podemos habilitar el OMA (Outlook Mobile Access), es una característica de Exchange 2003, que permite que usuarios puedan ver sus correos usando un celular que soporte WAP.


4. Debemos comprobar que el ActiveSync funcione correctamente en el lado del servidor. Para ellos desde el mismo servidor Exchange u otro lugar accedemos a la siguiente URL: http://servidordecorreo/Microsoft-Server-ActiveSync.

Pasos para publicar ActiveSync en el Firewall o en el ISA Server:

1. El tráfico ActiveSync viaja a través del protocolo HTTP (Definido en este post) o a través del protocolo HTTPS (Usando certificados). Si ya tenemos publicado el OWA a través del puerto 80, ya no será necesario realizar este paso.


2. En nuestro firewall o ISA Server debemos publicar el puerto 80, haciendo referencia el Servidor Exchange 2003 SP2 Front-End o el que da la cara a Internet.


3. Es posible obtener más información de Cómo publicar el ActiveSync usando un ISA 2004/2006 como Firewall en: http://support.microsoft.com/kb/837354/en-us

Pruebas en dispositivos móviles:

1. La sincronización del buzón usando la PC como puente puede ser realizada si descargamos el ActiveSync 4.5 y lo instalamos en la PC. http://www.microsoft.com/windowsmobile/activesync/activesync45.mspx


2. Podemos ingresar a ActiveSync desde el dispositivo móvil. Y seguir el wizard para la configuración de la dirección del servidor (publicada en Internet Ej. http://mail.empresa.com/), el nombre de usuario y password (Ej. dominio\user y contraseña), las carpetas a sincronizar: Inbox, calendar, task, etc. Más información en: http://technet.microsoft.com/en-us/library/bb123822.aspx

Si tienen problemas al momento de sincronizar su dispositivo móvil puede ingresar a la siguiente página de códigos de errores: http://www.pocketpcfaq.com/faqs/activesync/exchange_errors.php

Vídeo:

Espero sus comentarios. Saludos!

Configurando un conector SMTP para la salida de correos

Hola, hoy conoceremos el uso de conectores SMTP y la configuración de éstos en una organización Exchange 2000/2003.

Un conector SMTP nos ayuda por las siguientes razones:

• Quieres configurar el comando ETRN/TURN en el lado servidor o cliente.


• Quieres configurar la seguridad en los correos de salida. Mejor dicho hacer que correos que cumplan ciertos parámetros pasen sean enviados a través de un conector.


• Quieres establecer prioridades para envío de correos a ciertos dominios.


• Enviar el comando, negociación SMTP, HELO en vez de EHLO.


• Limitar salida de correos por tamaño, por horario (calendario)


• Establecer costos para el ruteo de mensajes.

En esta oportunidad configuraremos un conector SMTP para la salida de correos hacia Internet de forma personalizada. Normalmente la salida/entrada de correos hacia Internet es realizada por el servidor Exchange Front-End. Debemos considerar la creación de conectores en servidores que enviarán correos a Internet o a ciertos dominios.

1. Ingresamos al Exchange System Manager y clic derecho a la organización Exchange: Ej. ExchangePro(Exchange) y marcar los checks: Display Routing Groups y Display Administrative Groups.


2. Expandemos: Administrative Groups, First Administrative Groups, Routing Groups, First Routing Group, Conectores.


3. Hacemos clic derecho, seleccionamos New SMTP Connector.


4. Asignamos un nombre al Conector. Ej. Conector a Internet.


5. Seleccionamos que el DNS se encarga de resolver consultas de nombres usando este conector. Podemos seleccionar el reenvío de correos usando un smarthost. En esta ocasión no usaremos un servidor SMTP para reenviar correos.


6. Agregamos los local Bridgehead o cabeza puente. Seleccionaremos el servidor SMTP Virtual por donde salen los correos. Recuerden que es a través de este servidor por donde los correos serán enviados al dominio destino que configuraremos. Por lo tanto debemos considerar en dar permisos necesarios en el Firewall interno para la salida de correos a través del puerto 25.


7. Seleccionamos la pestaña Address Space. luego hacemos clic en Agregar y seleccionamos como tipo de dirección al protocolo SMTP. Finalmente escribimos el nombre de dominio destino. Ej. Si quieremos que todos los correos salgan a través de este conector escribir * en Address Space y 1 en Costo. Si por ejemplo queremos que a través de este conector sean enviados los correos a hotmail.com, debemos especificar en Address space: hotmail.com y en costo 1(El costo es a criterio de ustedes).


8. Seleccionamos el ámbito del conector: Toda la organización.


9. Guardamos cambios. Les recomiendo reiniciar el servicio Simple Mail Transfer Protocol para que los cambios hagan efectos instantáneos.

Opcionalmente se pueden configurar estas ocpiones en los conectores SMTP

• Restricción de envío por usuarios:


• Envío de HELO en vez de EHLO


• Opciones de envío: especificación del tiempo en el cual el conector trabajará enviando correos.


• Restricción de contenido: Prioridades, mensajes del sistema, tamaño del mensaje.

Puedes obtener mayor infomación del uso e implementación de conectores SMTP en: http://support.microsoft.com/kb/265293/en-us

Dudas a mi comentarios, no duden en escribirme.

Instalación y configuración de un servidor Exchange Server 2003 Front-End

Hola, hoy aprenderemos a Instalar un servidor Exchange Server 2003 y configurarlo como servidor Front-End o Servidor de Aplicaciones. En primer lugar un servidor Front-End es aquel el cuál brinda los servicios de OWA, RPC sobre HTTPS, ActiveSync, OMA, etc. Este servidor también cumple la tarea de enviar los correos internos a Internet así como la entrada de correos hacia la organización interna. Un sólo servidor Exchange 2003 puede cumplir todas estas tareas pero su rendimiento será menor y las mejores prácticas para despliegue de servidores Exchange no lo recomiendan. La recomendación es realizar lo siguiente: Contar con 01 servidor Front-End para la entrada y salida de correos hacia Internet (cara a Internet, ubicado en la DMZ o en la red interna, publicar y habilitar servicios como: OWA, RPC sobre HTTPS, ActiveSync, OMA) y uno o varios servidores Exchange Back-End, el cual sirve de repositorio de los buzones de los usuarios y a este servidor se conectan los usuarios a través de clientes como Outlook (Conexiones MAPI). El proceso de envío de correos en una topología Back-End y Front-End es el siguiente. Un usuario conectado al servidor Exchange a través del cliente Outlook envía un correo, el correo es enviado y categorizado por el Servidor Back-End al servidor Front-End y este según las configuraciónes del Servidor Virtual SMTP y de los conectores lo enviará hacia el destino correcto como puede ser Internet. Para el ingreso de correos, el servidor Front-End recibe el correo y lo reenvía al Back-End y este último notifica al usuario la llegada de un nuevo correo a su buzón.


Pasos para configurar un Servidor Exchange 2003 Front-End:

1. Unir al dominio como servidor miembro al Servidor Windows 2003 sobre el cuál se instalará Exchange.


2. Debemos instalar los pre-requisitos como los componentes IIS. Podemos obtener los pasos completos en: http://exchangepro.blogspot.com/2007/12/instalando-nuestro-primer-servidor.html


3. Usando el CD de Exchange 2003 preparamos el dominio para el ingreso de un servidor Exchange adicional. Ejecutamos lo siguiente: UnidadLectora:\SETUP\I386\SETUP /domainprep.


4. Aceptamos los términos, la ruta de instalación y continuamos con la instalación.


5. Ahora instalamos Exchange 2003. Ejecutamos lo siguiente: UnidadLectora:\SETUP\I386\SETUP.


6. Instalamos Exchange aceptando los términos de licenciamiento y la ruta de instalación.


7. Luego de terminar la instalación de Exchange 2003 debemos actualizarlo a Exchange 2003 SP2. Para ello podemos acceder a: http://exchangepro.blogspot.com/2007/12/instalando-nuestro-primer-servidor.html


8. Cuando ya tenemos nuestro servidor Exchange instalado ingresamos al Exchange System Manager y expandimos Servidores, veremos dos servidores Exchange 2003.


9. Seleccionamos el nuevo servidor instalado, el cuál será el servidor Front-End, hacemos clic derecho, seleccionamos Propiedades. En la ventana cargada debemos marca el check de This is a Front-End Server o Este es un Servidor de Aplicaciones. Esperamos que cargue y listo, aparecerá una ventana de advertencia indicándonos que debemos reiniciar los servicios de Exchange, POP3, etc. Es posible reiniciar todo el servidor Exchange. OJO: El servidor el cuál será Front-End no debe contener buzones de usuarios.



10. Ahora tenemos un servidor Front-End, ahora podemos aprovechar al máximo presentaciones del SP2 como: OWA con SSL, RPC sobre HTTPS, ActiveSync, OMA. Servicios que más adelante configuraremos.


11. Consideremos que ahora los correos deben salir e ingresar por el servidor Front-End, se recomiendan cambios en el Firewall. También recomiendo la creación de uno o más conectores SMTP. Este tema lo publicaré próximamente.


12. El flujo de correos entre el Back-End y Front-End ocurre de forma automática, sólo es necesario habilitar el check de Front-End en el servidor de cara, los que no tienen este check por defecto son Back-End.

Espero que este artículo sea de su ayuda, dudas o consultas no duden en escribirme.

Enlances:




Configurando servidores Front-End: http://technet.microsoft.com/en-us/library/aa997801.aspx

Guía de la Topología Back-End y Front-End en Exchange 2003: http://technet.microsoft.com/en-us/library/aa996980.aspx



Vídeo:

Limpiando el Active Directory: Eliminando Objetos huérfanos

Buenas, hoy aprenderemos a como limpiar el Active Directory de objetos huérfanos. Un caso muy común es cuando un controlador de dominio deja de funcionar, o cuando intentamos removerlo pero no es posible. Entonces es en esos momentos donde podemos remover objetos de manera manual. Hago énfasis en que este procedimiento es válido para Controladores de dominio sobre Windows Server 2003 SP1 en adelante. Es posible realizar este procedimiento en Windows 2000/2003, pero recomiendo que revisen el siguiente artículo de Microsoft: http://support.microsoft.com/kb/216498/en-us.

Pasos:

1. Primero debemos asegurarnos que los roles FSMO se encuentren alojados en Controladores de Dominio que trabajan en producción. Algo muy común es que los Controladores de dominio que poseen roles sufran de fallas de HW o SW. Por lo tanto debemos apoderarnos de los roles FSMO. Recuerden que es necesario que un dominio tenga 3 roles FSMO y un forest tenga 2 roles FSMO. Ej. Un único dominio tiene 05 roles FSMO, porque es un forest. Ej. el dominio padre peru.local tiene 5 roles FSMO pero dominio hijo lima.peru.local sólo 03 roles. Pueden ver el procedimiento de Seize o apoderamiento de roles FSMO: http://exchangepro.blogspot.com/2007/12/transferencia-y-apoderamiento-de-roles.html.


2. Usando el utilitario netdom query fsmo podemos ver que Controlador de Dominio posee los roles FSMO.


3. Accedemos a Inicio, ejecutar, cmd o línea de comando.


4. Escribimos ntdsutil.


5. ntdsutil: metadata cleanup


6. metadata cleanup: connections


7. server connections: connect to server xxxxxx (Donde xx es el Controlador de dominio a donde nos conectaremos para limpiar el AD).


8. server connections: q


9. metadata cleanup: select operation target


10. select operation target: list domains (Lista los dominios).


11. select operation target: select domain %, donde % es el número que identifica al dominio donde se encuentra el Controlador de dominio a remover.


12. select operation target: list sites (Lista los sites).


13. select operation target: select site %, donde % es el número que identifica el site donde se encuentra el Controlador de dominio a remover.


14. select operation target: list servers in site (Lista los Controladores de dominios en el site seleccionado anteriormente).


15. select operation target: select server %, donde % es el número que identifica al Controlador de dominio a remover


16. select operation target: q


17. metadata cleanup: remove selected server. Debemos aceptar el mensaje que nos informa que removeremos un DC.


18. Ingresar al Active Directory Sites and Services y expandir servidores y eliminar el Controlador de dominio manualmente. Haciendo clic derecho al servidor y seleccionamos Delete.


19. Ingresamos al adsiedit.msc (Debemos tener instalado el Support Tools), y removemos los siguientes registros:


20. * OU=Domain Controllers,DC=exchangePro,DC=local
    * CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=exchangePro,DC=local
    * CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=exchangePro,DC=local


21. Ingresamos a la consola de adminsitración DNS. Eliminamos todos los registros que asocian a ese servidor, tipo NS y A(Host). OJO: Debemos considerar que dentro de las zonas DNS se encuentren registrados otros servidores para resolver consultas DNS. De lo contrario existirán problemas con el Servicio de Resolución de nombres.

Si estamos removiendo el último controlador de un dominio o el último controlador de un dominio hijo, debemos realizar lo siguiente:

1. Ingresamos al Adsiedit.msc y comprobamos que no exista ningún registro del Controlador de dominio removido manualmente.
   
2. Expandir el contenedor: Domain NC, expandir DC=tuDominio,DC=local, expandir System, seleccionar Trust Domain clic derecho y Delete.

Finalmente les recomiendo que accedan a los siguiente artículos de Microsoft.
http://support.microsoft.com/kb/555846/en-us
http://support.microsoft.com/kb/216498/en-us
Saludos!!!

Vídeo: