Social Icons

twitter facebook google plus linkedin

lunes, 28 de diciembre de 2015

Instalación de roles requeridos para SCCM

Hola Mundo:

Hoy les quiero compartir una herramienta que, en lo personal, me apoya bastante en la instalación de SCCM 2012 y 2012 R2.

Es un script construido en Powershell y tiene interfaz gráfica (¡Si! y no bromeo). Requiere de permisos de administador para ejecutar.

Más información sobre las características y descargas pueden encontrarlas en el link de la herramienta:https://gallery.technet.microsoft.com/ConfigMgr-2012-R2-e52919cd

Antes de ejecutar, hay que quitar la protección de ejecución de scripts de Powershell:

Una vez que el sistema está permisivo, se ejecuta la herramienta y muestra su ventana principal:

De inmediato la herramienta acusa que le falta un reinicio al servidor y que no está siendo ejecutada con permisos de administrador.


Ofrece instalar los roles requeridos para cada uno de los tipos de sitio y además permite hacer la descarga de los paquetes requeridos.


También permite hacer otras operaciones como la extensión de esquema de Active Directory, instalación de WSUS, instalación de Windows ADK, creación del contenedor System Management, entre otros.

Si quieres instalar SCCM esta herramienta ayudará a ahorrar mucho trabajo y disminuye el riesgo de la falta de algún rol o configuración.

Espero que les sirva.

¡Chau!


sábado, 19 de diciembre de 2015

Soporte para USB en VM sobre Virtualbox

Hola Mundo:

Esto me trajo muchos problemas por meses. El problema consistía en que la máquina virtual con Windows 7 Pro x64 corriendo sobre Virtualbox en Mac OS X no reconocía los dispositivos que les conectaba por USB.
Mismo escenario con Windows 10, pero con Windows XP Pro x86 funcionaba sin problemas. Podía conectar dispositivos y funcionaba de 10.

Investigando en Internet, llegué a la plataforma de bug tracker de Virtualbox y encontré que un problema parecido había sido solucionado hace años.

Necesitaba trabajar con los USB en mi VM y estuve meses con una carpetita de paso en el host físico para hacer ahí el intercambio de los archivos a las unidades de almacenamiento.
Era bien molesto, porque necesitaba hacer otras cosas con otro tipo de dispositivos que en Mac no podía hacer.

Se me ocurrió hacer lo siguiente: En el apartado de puertos  USB me aseguré que la máquina tuviera soporte para USB y seleccioné la opción de USB 2.0 (EHCI) Controller y habilité un filtro para cada dispositivo USB que necesitaba usar en el momento. El resultado quedó así:


Maravillosamente funcionó. Windows 7 fue capaz de instalar los controladores que necesitaba para hacer funcionar el dispositivo.

¡Espero que le sea de utilidad!

Chau

lunes, 7 de diciembre de 2015

Obtener listado de impresoras

Hola Mundo:

Hoy les traigo un script que encontré en internet y no recuerdo el sitio. El script lo modifiqué para que arrojara el resultado en un archivo CSV.

Este script tiene la funcionalidad de entregar todas las impresoras de un dominio sobre Windows Server 2003. El script está construido en el lenguaje VBS.


Const ADS_SCOPE_SUBTREE = 2 

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objLogFile = objFSO.CreateTextFile("impresoras.csv")
 
Set objConnection = CreateObject("ADODB.Connection") 
Set objCommand =   CreateObject("ADODB.Command") 
objConnection.Provider = "ADsDSOObject" 
objConnection.Open "Active Directory Provider" 
 
Set objCommand.ActiveConnection = objConnection 
objCommand.CommandText = "Select printerName, serverName from " _      
    & " 'LDAP://DC=DOMINIO,DC=TLD'  where objectClass='printQueue'"   
objCommand.Properties("Page Size") = 1000 
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE  
Set objRecordSet = objCommand.Execute 
objRecordSet.MoveFirst 
 
Do Until objRecordSet.EOF 
    objLogFile.Write chr(34) & objRecordSet.Fields("printerName").Value & chr(34) &","
    objLogFile.Write chr(34) & objRecordSet.Fields("serverName").Value & chr(34) &","
    objLogFile.Writeline 
    
    'Wscript.Echo "Printer Name: " & objRecordSet.Fields("printerName").Value 
    'Wscript.Echo "Server Name: " & objRecordSet.Fields("serverName").Value 
    objRecordSet.MoveNext 
Loop 

Espero que les sirva.

 Chau!

jueves, 26 de noviembre de 2015

Migración de File Server y configuración de los SPN

Hola Mundo:
No hay migración de servicios que no esté acompañada de dolores de cabeza. Especialmente si son servicios críticos para las organizaciones, como es el caso de los servidores de archivos.

Nunca hay que creer cuando comentan que la migración de un File Server es solo mover los archivos de un lugar a otro usando Robocopy y luego hacer el cambio en el servidor DNS para que siga conservando el mismo nombre que el servidor de origen y el cambio sea transparente a los usuarios.

Antes de explicar el cambio de SPN, me gustaría que se entendiera el concepto de SPN en su definición más fundamental.
SPN viene de la sigla de Service Principal Name.
Éstos deben estar asociados a un objeto de Active Directory (cuenta de usuario, grupo o computador) en el cual el servicio se ejecuta. Su función principal es soportar la autenticación mutua entre un cliente y un servicio.

Entonces, la configuración de un SPN consiste en la asociación de un servicio a un objeto de AD. Un objeto de AD puede tener varios SPN asociados, pero un SPN solo puede estar asociado a un objeto de AD. En el caso de que se duplique un SPN, vendrán los problemas.

Cuando se realiza una migración de File Server y posteriormente se hace el cambio en el DNS para que el antiguo servidor apunte al nuevo y se intenta acceder a la ruta, el visor de eventos mostrará un error así:

The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server SRV-NUEVO$. The target name used was cifs/SRV-VIEJO. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (DOMINIO.CL) is different from the client domain (DOMINIO.CL), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server. 

Como el SPN no estaba configurado de forma correcta, no es posible hacer ni mantener la autenticación, por lo tanto, da error.

Para configurar el SPN, se debe hacer con una cuenta con privilegios sobre el dominio.

Eliminando un SPN
Antes de asignar un SPN a un objeto, hay que eliminarlo  del objeto al cual estaba asignado. Se debe seguir la sintaxis:
setspn -D servicio/host ObjetoAD Por ejemplo:

setspn -D host/srv-viejo.midominio.cl srv-viejo
setspn -D host/srv-viejo srv-viejo
setspn -D cifs/srv-viejo.midominio.cl srv-viejo
setspn -D cifs/srv-viejo srv-viejo

De esta forma se elimina los SPN asociados al file server del objeto srv-viejo.

Asociar un SPN
Una vez desasociados los SPN al antiguo objeto, se debe asociar al nuevo objeto. La sintaxis es:
setspn -S servicio/host ObjetoAD Por ejemplo:

setspn -S host/srv-viejo.midominio.cl srv-nuevo
setspn -S host/srv-viejo srv-nuevo
setspn -S cifs/srv-viejo.midominio.cl srv-nuevo
setspn -S cifs/srv-viejo srv-nuevo

De esta forma, el servicio podrá autenticar y mantener la autenticación. El recurso compartido es accesible desde los clientes. Hay que tener un especial cuidado con los clientes con Windows XP. Por que aparte de configurar los SPN correspondientes, también hay que hacer un cambio en el editor del registro de Windows. Seguir la documentación de este link: https://support.microsoft.com/en-us/kb/281308

Más información sobre la herramienta setspn se puede encontrar aqui: https://technet.microsoft.com/en-us/library/cc961723.aspx

Así que para la próxima vez que alguien diga que las migraciones de File Server son un proceso sencillo y sin muchos pasos, es pura fantasía.

Hasta la próxima.

Chau

martes, 17 de noviembre de 2015

Configurar direccion ip estatica

Hola Mundo:

Este es un truquito que nunca está demás tener dentro de nuestras notas. 
Es muy util cuando se levanta un ambiente de Windows PE para la recuperación de Windows o para la instalación de imágenes de sistema operativo y la red no cuenta con DHCP.

Con este script podrás configurar una dirección IP estática 


netsh int ipv4 set address "Ethernet" static <Direccion IP> <Mascara de subred> <Gateway>



¡Chau!

domingo, 15 de noviembre de 2015

Ruta Gas Andes

Hola Mundo:

Durante este fin de semana salimos a hacer una ruta bastante conocida por los amantes del 4x4 de la cuenca de Santiago, pero tampoco se tiene mucha referencia sobre ella.

Junto a los amigos del grupo de Suzuki Jimny emprendimos el viaje hacia la aventura.
   

La ruta tiene un poco más de 60 kilómetros. Muchas pendientes fuertes y muchas piedras. La altitud máxima es de, aproximadamente, 2200 msnm.
Hay que tener la precaución de quitarle presión a los neumáticos.
Es altamente recomendado ir en grupo. Hay partes que el camino es complicado y una compañía se agradece.

Por la fecha y las características del invierno recién pasado, los esteros y riachuelos estaban bastante secos, por lo que no habían los pozones que recomiendan.
Aparte de lo lindo e imponente que es el paisaje, es mayormente limpia. La gente se preocupa de no dejar rastro.
Si vas, lleva tu basura de vuelta también para que otros puedan disfrutar

Asi que a preparar el auto, cámaras fotográficas, binoculares, equipos de radio y comida.

Si necesitas el archivo para GPS Garmin, déjame un comentario. También hazlo si necesitas el archivo para Google Earth.

Algunos videos de la ruta









¡Chau!

lunes, 28 de septiembre de 2015

Presentando discos virtuales como iSCSI

Hola Mundo

Cada vez son más las organizaciones que optan por la virtualización y los escenarios de alta
disponibilidad ya son un panorama habitual en muchas empresas.
Hay veces que se necesita levantar un cluster sobre un cluster o generar algún ambiente de laboratorio y es necesario presentar unidades de disco por iSCSI.

El problema está en que muchas empresas no tienen permitido presentar unidades de iSCSI directamente desde el storage hacia máquinas virtuales por políticas de administración, seguridad y respaldo.

Desde versiones anteriores a Windows Server 2012 R2 es posible presentar unidades como iSCSI utilizando herramientas que se descargan y se instalan, o bien, era posible usar Windows Server Storage.

En Windows Server 2012 R2 es posible presentar discos duros virtuales como unidades iSCSI hacia  otras máquinas, a través de la instalación y configuración de un rol.

Para empezar, instalar el rol iSCSI Target Server



Una vez que ya está instalado el rol, ir a las máquinas donde se presentará esta unidad por iSCSI y abrir el iSCSI Initiator.

Al momento de abrir la herramienta de configuración, dará este aviso la primera vez. Se debe hacer click en Yes para que la configuración completa funcione. De otra manera, el cliente no podrá ver la unidad del servidor.

Ya que el servicio está habilitado, se mostrará la ventana principal de la herramienta:

Nada más que hacer en la herramienta, por el momento, en el cliente. Se continúa la configuración en el servidor.
Párrafos más arriba se explicita que las unidades que se presentan como iSCSI son archivos de disco duro virtual. A raíz de esto, hay que tener especial cuidado acerca del disco físico donde estarán estas unidades virtuales y de la carga de trabajo que tendrán.
Para crear una unidad, desde la consola de Server Manager navegar hasta la administración del rol e invocar al asistente:

Luego seleccionar el servidor y volumen que contendrá a esta unidad virtual que se creará:

Ingresar los datos de nombre y descripción de la nueva unidad que se está creando:

Definición de tamaño y tipo de unidad virtual a crear:

En mi laboratorio, tengo dos unidades creadas. Si no tienen unidades creadas, el listado les aparacerá vacío y solo estará la disponible la opción de crear un target nuevo:

Completar la información del nuevo target:

La misma herramienta se encarga de corregir el nombre del target en caso de que tenga caracteres no permitidos:

Este paso es muy importante, ya que se definirá quién (máquina) podrá acceder a este recurso. En primera instancia, el listado aparecerá vacío. Se deben agregar los accesos con la herramienta:

En Add se abrirá una ventana donde se seleccionará quien tendrá acceso. Se puede escoger a través del nombre de la máquina o se puede seleccionar desde el listado, si es que nuestro servidor ya conocía a la máquina cliente:

Una vez ya seleccionada la máquina, aparecerá la dirección en el listado (obviamente se puede agregar más de uno):


En este ejemplo, la autenticación no será necesaria:

Confirmación de la nueva unidad a crear:


La creación de la unidad dependerá del tamaño que se haya definido y del tipo de unidad que se escogió:


La unidad ya está creada, ahora se debe conectar a través de la herramienta iSCSI Initiator en la máquina cliente. La herramienta ya es conocida. Se debe escribir el nombre del servidor y hacer click en Quick Connect:

¡Listo! La unidad ya está disponible en la herramienta Disk Management para ser inicializada y formateada y dar un buen uso:

Si esta configuración se usará en un ambiente productivo, se recomienda realizar pruebas de rendimiento para conocer el, valga la redundancia, rendimiento de la unidad.

Espero que sea de utilidad.

¡Hasta la próxima!












miércoles, 9 de septiembre de 2015

System Center Endpoint Protection y Windows 10

Hola Mundo

Windows 10 llegó para quedarse. Ya hay muchos usuarios de hogar que han actualizado desde la
opción de Windows Update y empresas que ya han comenzado lentamente a adoptar esta nueva versión de Windows.

Siempre en ambientes corporativos es más compleja y lenta la adopción de las nuevas versiones de Windows por la compatibilidad con las aplicaciones de la línea de negocio y herramientas de administración. Sin dejar de lado la estabilidad y compatibilidad de hardware.

System Center Configuration Manager (SCCM) es una herramienta muy potente para la administración de equipos. Dentro de los módulos incluidos está el antivirus System Center Endpoint Protection (SCEP).

El antivirus tiene una consola de administración y se instala junto con el agente de SCCM. Esta forma funciona hasta Windows 8.1. Ya en Windows 10 es otra la forma de trabajo.

Cito textual la referencia desde el sitio de Technet:
If you manage endpoint protection for Windows 10 computers, then you must configure System Center 2012 Configuration Manager to update and distribute malware definitions for Windows Defender. Because Windows Defender is included in Windows 10, an endpoint protection agent does not need to be deployed to client computers.

Esto quiere decir que el antivirus incluido en Windows 10 es Windows Defender. Este antivirus/antimalware no es nuevo. Aparece, creo, en Windows Vista y ha estado saliendo de su escondite con cada release nuevo de Windows.
Desde SCCM se debe distribuir los Definition Updates para Windows Defender. Tal cual como se realizaba para SCEP. Incluso se puede generar una Automatic Deployment Rule para que la actualización sea periódica.

Para que esto funcione, se debe tener instalado el Service Pack 1 para SCCM 2012 R2 o el Service Pack 2 para SCCM 2012.

Dar la bienvenida a Windows 10 no solo implica la actualización de los escritorios, sino llevar a las últimas versiones las herramientas de administración y verificar la compatibilidad con las aplicaciones de negocio.

lunes, 31 de agosto de 2015

Proteger un directorio con AD RMS

Hola Mundo
La pregunta del millón es: ¿se puede proteger un directorio con Active Directory Rights Management Services (AD RMS)? 
La respuesta es: No precisamente.

AD RMS es un servicio que funciona a nivel de dominio que se encarga de la protección del contenido de documentos de Office, correos electrónicos y, eventualmente, otro tipo de documentos como los PDF.

Si se tiene un número considerable de documentos a los que se necesita proteger y este número de documentos aumenta de manera periódica, existe una herramienta gratuita llamada Active Directory Rights Management Services Bulk Protection Tool que se encarga de proteger los documentos de una carpeta en base a plantillas de permisos.

Las plantillas de permisos deben ser generadas en la consola de AD RMS. En la plantilla, se puede asignar permisos por usuario o por grupo.


Las plantillas se deben guardar en un directorio compartido. Esta configuración se realiza, de igual manera, en la consola de AD RMS.

Lo importante es definir de manera correcta los permisos.
Al ir seleccionando los permisos que tendrá el grupo o usuario de Active Directory sobre el (o los) documento, los privilegios que son dependencias de otros se irán seleccionando de forma automática en la medida que son requeridos.

Una vez que la plantilla está creada y disponible en un directorio compartido, se invoca a la herramienta que protege de forma masiva. Esta herramienta debe estar instalada en el  mismo servidor donde están los documentos. Se puede tomar como si fuera un servidor de archivos.

La forma de usar la herramienta es:
RMSBulk [/decrypt location] [/encrypt location rms_template [owner_email]] [/log log_file [/append] [/simple]] [/preserveattributes] [/silent]


La herramienta no tiene interfaz gráfica. Deja abierta la posibilidad de crear un script y automatizar el proceso. Mejor aun, crear una tarea programada con la secuencia de comandos.

Con una buena organización de directorios y plantillas, se puede automatizar la protección de documentos  a gran escala.

¡Hasta la próxima!


lunes, 10 de agosto de 2015

Agregar usuarios administradores a AD RMS

Hola Mundo:
Cuando se implementa AD RMS y no se agregan  otros usuarios administradores de la plataforma, se verá el siguiente error cuando intenten acceder a la plataforma:



Como AD RMS funciona sobre IIS, es un servicio web, los códigos de error y mensajes corresponden a los del protocolo HTTP.  El estado 401 indica que el usuario no cuenta con la autorización para acceder a la consola de administración.

Para agregar un usuario como administrador, solo basta agregar la cuenta de usuario de dominio al grupo local, donde se implementó AD RMS, AD RMS Enterprise Administrators

Ésta configuración se debe hacer en cada máquina del cluster.

Espero que les sea de utilidad.

Chau!



viernes, 17 de julio de 2015

Desinstalar actualización de Microsoft con SCCM 2012 R2

Hola Mundo:

SCCM tiene numerosos roles que se instalan según la funcionalidad que se necesite de la implementación.
Uno de ellos es el rol de Software Update Point que se encarga de la distribución de actualizaciones de Windows. Funciona sobre el rol de Windows Server Update Services (WSUS).
A través del asistente se pueden implementar actualizaciones hacia una colección de dispositivos.

Entonces ¿cómo quitar un update? 
La gram mayoría de las actualizaciones de Microsoft se instalan con la herramienta wusa.exe ubicada en C:\Windows\System32  o C:\Windows\SysWoW64
Esta herramienta tiene parámetros que se encargan de la desinstalación pasiva y silenciosa de actualizaciones. Los parámetros son /uninstall /quiet /norestart
Por ejemplo:
Si se necesita desinstalar un update que su código corresponde al KB1234567 se debe ejecutar la línea:
wusa.exe /uninstall /kb:1234567 /quiet /norestart

Conociendo esto se puede pensar en distribuir un script a través de un paquete o la línea de comandos a través de un paquete para hacer la desinstalación.
Sorpresa causará cuando vean que el update no se desinstalará y arrojará error.

El procedimiento adecuado es usar un Task Sequence.
Habitualmente los Task Sequence se utilizan para desplegar imágenes de sistemas operativos, pero ahora se usará para ejecutar una línea de comandos.

Creación de un Task Sequence personalizado. Ya conté más arriba que no se usará para desplegar una imagen de Sistema Operativo.

Información descriptiva del Task Sequence. No es necesario una imagen de booteo, porque no se desplegará una imagen de sistema operativo.

Resumen de la creación del Task Sequence.

Creación Exitosa.

Una vez creado el Task Sequence, no tiene ningún paso. En este paso es cuando se agrega una tarea de ejecución de línea de comandos.

Configuración de la tarea. En la caja de línea de comandos, se especifica qué update se quiere quitar usando la herramienta wusa.exe. Guardar y aplicar los cambios.

Una vez creado el Task Sequence hay que implementar en la colección que se necesite.



jueves, 28 de mayo de 2015

Error al instalar AD RMS en Windows Server 2008 R2

Hola Mundo:

Para la implementación del rol de AD RMS, se puede utilizar una base de datos interna del rol o se puede utilizar un servidor SQL Server externo.
La instalación no es compleja. Es un asistente que pide datos bastante precisos.
El problema está cuando muestra el siguiente error:


El error hace referencia a la falta de un procedimiento almacenado. El SP se llama sp_dboptions y fue retirado en SQL Server Denali (Pre SQL Server 2012) y el fallo se va arrastrando para las próximas versiones de SQL Server.

El hotfix que se debe es instalar es el KB2619256 y se descarga desde el mismo sitio de Microsoft: https://support.microsoft.com/es-cl/kb/2619256

Para complementar la lectura, sugiero leer la documentación en Technet: https://technet.microsoft.com/en-us/library/dd772673(v=ws.10).aspx


lunes, 18 de mayo de 2015

Problema: Falta de configuración de Sufijo DNS

Hola Mundo:

En todas las organizaciones que cuentan  con el servicio de Active Directory y DNS para la
administración de objetos de equipos, cuentas y políticas, las máquinas pueden tener conectividad a otras máquinas solo usando el nombre, siendo no necesario usar el FQDN.

Por ejemplo:


En ambos casos se ve que el ping funciona correctamente. La otra máquina responde indistintamente si se llama a través de su nombre de máquina o de su FQDN.

Esto se debe al sufijo DNS. Cuando se invoca a una máquina solo por el nombre, la configuración de sufijo de DNS agrega el nombre de dominio como sufijo. En el ejemplo, el sufijo está configurado como bluesolutions.cl.

En el caso que no esté configurado, se puede configurar a través de una GPO:



Una vez esto, desplegar la política a las OU correspondientes y forzar la actualización de polítvas en los clientes.