Social Icons

twitter facebook google plus linkedin

martes, 8 de noviembre de 2016

Consola de SCOM se cierra de forma inesperada

Hola Mundo:

El día de ayer atendí un caso de soporte en el que la consola se SCOM 2012 R2 se cerraba de forma
inesperada.
Según el visor de eventos, el mensaje de error reportado es:

Faulting application name: Microsoft.EnterpriseManagement.Monitoring.Console.exe, version: 7.1.10226.1090, time stamp: 0x55ba7214
Faulting module name: ntdll.dll, version: 6.1.7601.23543, time stamp: 0x57d2fde1
Exception code: 0xc0000374
Fault offset: 0x00000000000bf262
Faulting process id: 0x1038
Faulting application start time: 0x01d2393cc1f5ba30
Faulting application path: E:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Console\Microsoft.EnterpriseManagement.Monitoring.Console.exe
Faulting module path: C:\Windows\SYSTEM32\ntdll.dll

Haciendo una investigación en mi buscador favorito, encuentro que otros usuarios han reportado el mismo comportamiento luego de la instalación de una actualización de octubre del 2016.
Una rápida solución consiste en la desinstalación de la actualización KB3185331.

Afortunadamente, Microsoft ya se hizo cargo del problema y liberó una actualización:
https://support.microsoft.com/en-us/kb/3200006

Solución: Instalar la actualización especificada en el link y reiniciar el servidor.

Más referencia sobre el problema:

Éxito!


viernes, 4 de noviembre de 2016

Ejecutar acciones en clientes SCCM de forma remota

Hola Mundo:
En implementaciones de SCCM para la administración de estaciones de trabajo es necesario realizar
refresco de políticas de algunas máquinas cliente antes del tiempo agendado de refresco.
Me explico. Por defecto, todas las máquinas conversan con el servidor de administración (MP) una vez cada 60 minutos. Estos minutos se empiezan a contar cuando se instala el agente, por lo que no todos los agentes sincronizan al mismo tiempo.
A través de la máquina local del cliente se puede forzar la ejecución del refresco de políticas de máquina, que alteraría el normal tiempo de refresco. 
Para efectos de pruebas y distribución de algún paquete es necesario hacerlo, pero supone un problema darle las indicaciones al usuario para que el lleve a cabo la acción, o bien, intentar conectarse a su máquina e interrumpirlo en sus labores, también es un problema.

Afortunadamente, SCCM y sus agentes funcionan sobre WMI para la ejecución de sus procesos y recolección de información. Teniendo esto asumido, ya podemos decir que se pueden ejecutar procesos de WMI de forma remota.

Cada una de las acciones del agente de SCCM está identificado a través de un identificador. Los más comunes son:
  • Hardware Inventory: {00000000-0000-0000-0000-000000000001}
  • Software Inventory: {00000000-0000-0000-0000-000000000002}
  • Machine policy retrieval and evaluation cycle: {00000000-0000-0000-0000-000000000021}
El cmdlet Invoke-WmiMethod nos apoyará en esta operación. 

Por ejemplo, si se necesitara ejecutar la acción de refresco de políticas de máquina la linea para ejecutar en Powershell sería así:


 Invoke-WmiMethod -ComputerName NOMBRE_DEL_CLIENTE -Namespace root\CCM -Class SMS_Client -Name TriggerSchedule -ArgumentList "{00000000-0000-0000-0000-000000000021}"

Es importante que la sesión de Powershell debe ser con privilegios de administración local de la máquina cliente.
¿Ven? ya se pueden ahorrar problemas y optimizar el trabajo.

Saludos!

miércoles, 26 de octubre de 2016

Rápida reflexión sobre seguridad y IoT

Hola Mundo:

En los últimos 2 ó 3 años hemos visto como han ido creciendo el desarrollo de las tecnologías que se conectan directamente a internet y aportan datos de todo tipo. Ya es cada vez más común que los electrodomésticos se conecten a Internet y muchas personas estén experimentando con dispositivos y componentes cada vez más baratos que apoyan en la lectura de variable y automatización de procesos.

Es entretenido ver a adultos jugando como niños al construir sus proyectos con Arduino o Raspberry Pi o algún otro hardware y construyendo piezas de software exclusivos para el sistema.

El principal problema está en que no se trabaja con un equipo con roles definidos, donde cada uno se encargue de las distintas variables de un sistema: red, administración, seguridad, procesos, etc.
Es momento de tomar conciencia y hacerse responsable de todo lo que conectamos a internet.

Esto nace del conocido ataque DDoS al servicio Dyn del pasado viernes, donde se descubrió que el ataque venía del Botnet Mirai. Este botnet se aprovecha de los dispositivos sencillos conectados a internet o que forman parte de algún sistema IoT.

Existen decenas de herramientas gratuitas y de código abierto que apoyan en el monitoreo de recursos y detección de intrusos que permitirían apoyar en la seguridad de los entornos.

Aparte de las herramientas externas para el monitoreo de nuestra solución, también se deben revisar constantemente las actualizaciones del firmware de nuestro dispositivo o del sistema operativo que esté utilizando. Es altamente recomendable unirse a las listas de distribución del dispositivo para estar  enterado de las actualizaciones del componente.

El llamado es a trabajar en equipo y a estudiar más allá del desarrollo del proyecto en si, siendo responsable de las "cosas" que conectamos a internet.

Mas información:
http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/
https://en.wikipedia.org/wiki/2016_Dyn_cyberattack
http://www.zdnet.com/article/the-dyn-report-what-we-know-so-far-about-the-worlds-biggest-ddos-attack/


Un abrazo a todos y sigamos desarrollando!

viernes, 9 de septiembre de 2016

Error al distribuir updates con SCCM

Hola Mundo:


System Center Configuration Manager es una plataforma muy cómoda y competente para la
administración de un servicio de distribución de actualizaciones para productos Microsoft. Estamos hablando de Windows Server Update Services (WSUS).






Al momento de distribuir actualizaciones, en el log WUAHandler.log (de la máquina cliente) se puede observar lo siguiente:


El mensaje es:
Group Policy settings were overwritten by a higher authority (Domain controller) to: <URL WSUS> Policy

Básicamente, SCCM reconoce que las políticas del dominio tienen más autoridad que las que él puede manejar.

Solución:  Desactivar política de dominio donde se le indica a las estaciones de trabajo dónde tienen que ir a buscar actualizaciones.

De esta forma, le entregamos el control a SCCM para que se encargue de aplicar las reglas de actualización de productos  Microsoft.

Eso.
Chau.

lunes, 5 de septiembre de 2016

Recomendaciones para base de datos para SCCM

Hola Mundo:

La implementación de System Center Configuration Manager requiere de un servidor de base de
datos SQL Server y existen recomendaciones para esta implementación, que presentaré las más relevantes.

Servidor dedicado
SCCM es una plataforma que almacena absolutamente todo en base de datos e incluso realiza transacciones sin darnos cuenta. Hay que pensar, que en todo momento se están recibiendo inventarios e información de distribución de paquetes. Aparte, hay que tener que es una herramienta asíncrona y mantiene su propia cola de procesos y transacciones con la base de datos.
Es por eso que siempre tiene muchas conexiones abiertas hacia la base de datos.

Particiones de disco
Como todo servidor de base de datos, la configuración de los discos es vital. Es muy importante que sistema operativo, datos, logs, tempdb y respaldo queden en discos distintos. Incluso, si son máquinas virtuales, los discos virtuales deberían estar en discos físicos distintos. Si se crean los discos duros virtuales en el mismo disco o LUN, las operaciones de las bases de datos harán uso de los recursos de un único disco, impactando el rendimiento.

Collation
El collation de una base de datos SQL Server es cómo el sistema interpreta cada uno de los caracteres que se almacena en la base de datos. SCCM requiere del collation SQL_Latin1_General_CP1_CI_AS. No funciona con otro más.

Cuentas
Al momento de instalar el servidor de base de datos, es altamente recomendado configurar una contraseña para la cuenta SA. Esto facilitará la resolución en caso de problemas. Es recomendado, también, configurar las cuentas de servicio como cuentas de dominio.

Puertos
SCCM no soporta puertos dinámicos de SQL Server. Así que cuando instales una instancia para SCCM, asegúrate que el servicio esté escuchando por el puerto 1433.
Mucho cuidado con las instancias nombradas, ya que tienden a configurarse como puertos dinámicos.

64 bits siempre
La arquitectura de 32 bits no está soportada por la plataforma. Siempre se debe usar SQL Server x64 para que SCCM pueda reconocerlo como un servidor de base de datos compatible. En el caso que no sea así, el programa de instalación dará un mensaje de error de incompatibilidad, aun cuando la versión de SQL Server sea soportada.

Uso de memoria
Siempre establece un mínimo y un máximo de memoria para la instancia. Recuerda que un servidor de base de datos es como un sistema operativo, por lo tanto, el uso de memoria es crítico. Como recomendación, siempre dejar un 10% para procesos propios del sistema operativos. Con esto evitas que la instancia utilice el 100% de la memoria y el servidor se quede sin recursos.

Respaldos
La misma plataforma de SCCM incluye una tarea de mantenimiento del sitio completo, inclusive de
la base de datos. Para que en el caso de recuperación ante un desastre, desde el programa de restauración del sitio, se restaure la base de datos. No está recomendado restaurar la base de datos de forma manual. La tarea de respaldo de SCCM debe ser habilitada.

Monitoreo
Como todo servidor de base de datos, está altamente recomendado contar con una solución de monitoreo de servicios para tener conocimiento del estado real de salud del servicio y del servidor y prevenir cuellos de botella e indisponibilidad del servicio.

CPU
Recomendación obvia, pero de todas maneras hay que mencionarla. Para una implementación de este estilo, mínimo 4 CPU si es una máquina virtual. Con esto se evita cuello de botella en el servidor.

Con estas recomendaciones, tendrás un servidor cercano a las mejores prácticas de funcionamiento e implementación y esto se traduce en un mejor rendimiento de la plataforma de SCCM.

Hasta la próxima.

jueves, 25 de agosto de 2016

SCCM OSD, UEFI y Secure Boot: Conviviendo con los tres

Hola Mundo:

Hace algunos años atrás apareció UEFI con la promesa de modernizar el proceso de arranque de los sistemas operativos y ser una mejor interfaz entre el usuario y el firmware del equipo. 
Uno de los componentes importantes que incluye UEFI es Secure Boot.

Secure Boot protege a la máquina de arranques de sistemas operativos infectados. Básicamente valida que todo lo que se vaya arrancar y a escribir sea legítimo. No olvidar que existe software malicioso que infecta el arranque del sistema operativo, para que cuando inicie la interfaz del usuario ya esté infectado y sea más invisible al antivirus del equipo.


El esquema, explica claramente que luego de iniciar el arranque del sistema operativo, se hace una revisión con software antimalware. En el caso que exista algún problema, intenta repararse solo.

¿Cómo afecta esto a la distribución de sistemas operativos con SCCM? Junto con la aparición de UEFI, SCCM también se subió al carro y comenzó a soportar la distribución de sistemas operativos a máquinas que soportan UEFI. 
La misma herramienta es capaz de creas las particiones necesarias para el funcionamiento (recordar que no usa MBR y que no necesita de una partición reservada de sistema).
El problema se puede presentar al momento de instalar la imagen que se descarga desde el servidor. Al momento de comenzar a aplicarla, dará error. 
Si revisan con calma el log, verán que no puede escribir el registro de arranque.
¿Por qué? Porque Secure Boot lo impide.

Entonces, cuando vayan a distribuir algún sistema de esta forma, lo más seguro es que tengan que deshabilitar Secure Boot.

Otra opción es deshabilitar UEFI y usar BIOS.

Espero que les sirva.








domingo, 17 de julio de 2016

Cuentas con privilegios locales en productos de System Center

Hola Mundo:

Los productos de System Center están orientados, principalmente, a la administración. Por lo tanto,
es necesario que estas herramientas tengan los privilegios adecuados, ni más ni menos, para poder realizar operaciones propias de la administración con ellas.

Es el caso de System Center Operations Manager en el que la plataforma debe tener acceso  a la máquina que será monitoreada para la instalación del agente, ya sea en cualquier plataforma, o bien, para la ejecución de procesos propios del monitoreo. Esta cuentas son las Action Account y RunAs Accounts. También existen otras cuentas de mantenimiento que no serán tocadas en este artículo.

Por su parte, System Center Configuration Manager, tiene que ser capaz de realizar la instalación del agente, Client Push Installation Account, o poder subir a la máquina al dominio, en caso de estar ejecutando un Task Sequence de distribución de sistemas operativos que incluya esa tarea.

En muchos casos, también se debe configurar una cuenta para que la máquina pueda acceder a los recursos en red para la obtención de un paquete. En los dos últimos casos, esta cuenta se llama Network Access Account.

Es una muy buena práctica y altamente recomendado que las cuentas a configurar no tengan privilegios sobre el dominio. Solo deben poder autenticarse. Es un riesgo innecesario que las cuentas tengan privilegios de administrador de dominio. 

La creación de una cuenta que tenga permisos de administración local de las máquinas administradas no es proceso distinto a como cuando se crea una cuenta de usuario en Active Directory.  
Lo que si es necesario es la configuración de una política de dominio para que esta cuenta se miembro del  grupo de administradores de la máquina.

Para crear esta política ir a la herramienta de administración de políticas de grupo (se requiere permisos sobre el dominio para llevar a cabo esta acción). Idealmente, esta cuenta no debe expirar. En el caso de cambio de contraseña, actualizar las configuraciones realizadas en la plataforma.

Crear una nueva política y asignarle un nombre descriptivo.


En el editor de políticas, navegar hacia: Computer Configuration -> Preferences -> Control Panel Settings -> Local Users and Groups


Crear una nueva definición de grupo. Tener muy en cuenta que la acción Update no quitará los otros miembros que ya forman parte del grupo de administradores local de las máquinas. El ámbito de esta configuración solo aplica a nivel local de las máquinas clientes.
En el combo box se debe seleccionar el grupo Administrators (built-in)

En la última porción del cuadro, se debe agregar los miembros. Aquí es donde se agrega la cuenta que se creó para este propósito. La acción debe ser  Add to this group.


Así se verá el cuadro una vez que se hayan realizado las configuraciones necesarias

Dándole OK a todos los cuadros, la política queda lista para ser enlazada a una OU de computadores y las cuentas listas para ser configuradas.
Sobre los detalles de cuentas de SCCM y SCOM visitar los enlaces:


Espero que sea de su utilidad.

domingo, 26 de junio de 2016

Error con SSRS y SCCM

Hola Mundo:
Actualizar un SCCM 2012 a 2012 R2 puede ser una tarea sin mayor complicación, pero si no se toman los resguardos puede provocar un gran dolor de cabeza.
Uno de los elementos que hay que tener en cuenta es el acceso a los servicios de apoyo, como lo que es SQL Server Reporting Services, en el que SCCM se conecta para consumir sus propios reportes.

Para que SCCM pueda acceder a SSRS necesita de una cuenta de usuario. Esta cuenta debe tener ciertos privilegios sobre el servidor de reportes para que pueda crearlos y consumirlos. Esta autenticación es permanente. 

El error que puede aparecer en el servidor de reportes es:

System.Web.Services.Protocols.SoapException: The DefaultValue expression for the report parameter ‘UserTokenSIDs’ contains an error: Logon failure: unknown user name or bad password. 

Según la documentación: https://technet.microsoft.com/en-us/library/gg712698.aspx#BKMK_InstallReportingServicesPoint la cuenta de servicio que accede al servidor de reportes, debe formar parte del grupo Windows Authorization Access Group y debe tener acceso a los Token Groups Global And Universal

Una vez que agreguen la cuenta al grupo, el problema estará solucionado.

Saludos!


viernes, 10 de junio de 2016

Error en la instalación de System Center Operations Manager

Hola Mundo:

En la instalación de System Center Operations Manager (SCOM) es necesaria la configuración a una
base de datos SQL Server.

Al momento de configurar el nombre del servidor, la instancia de la base de datos y el puerto de conexión puede que aparezca un error de base de datos.

El error dice que puede que la base de datos no sea compatible con los requerimientos de SCOM.

El error es parecido a este:

Si vamos a mirar el log de instalación, en la parte de configuración de la base de datos, encontraremos algo asi:

[10:13:36]: Debug: :Connection was not open.  We will try to open it.
[10:13:37]: Debug: :SqlConnectionReady returned True.
[10:13:37]: Warn: :Warning:Current user doesn't have enough permissions to force Sql service to start state. We will still continue and try to connect to Sql Server
[10:13:37]: Debug: :Connection was not open.  We will try to open it. [10:13:37]: Debug: :SqlConnectionReady returned True.
[10:13:37]: Info: :Info:Using DB command timeout = 1800 seconds.
[10:13:37]: Info: :SQL Product Level: SP1
[10:13:37]: Info: :SQL Edition: Standard Edition (64-bit)
[10:13:37]: Info: :SQL Version: 11.0.3128.0
[10:13:37]: Always: :Current Version of SQL=11.0.3128.0   Required Version=10.50.2500.0
[10:13:37]: Always: :Entering GetRemoteOSVersion.
[10:13:37]: Error: :GetRemoteOSVersion(): Threw Exception.Type: System.UnauthorizedAccessException, Exception Error Code: 0x80070005, Exception.Message: Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED))

Lo que quiere decir el mensaje de error: "El usuario con el que está ejecutando la instalación no tiene permisos para levantar el servicio de SQL Server".

Solución: Agregue el usuario que está usando al grupo de administradores local de la máquina que tiene al SQL Server.

¡Espero que les sirva!

Chau.



domingo, 15 de mayo de 2016

Paseo a la Reserva Nacional El Yali

Hola Mundo:
El día sábado realicé una visita a un lugar muy poco visitado, y según me enteré allá un lugar muy poco respetado a pesar de su importancia.

Este lugar es la Reserva Nacional El Yali. Esta reserva está ubicada en la última porción al sur-oeste de la región de Valparaíso. Específicamente, está en la provincia de San Antonio y al sur de Santo Domingo (si, justo al sur de las Rocas de Santo Domingo).

Entrada a la Reserva


Esta reserva esta conformada por 3 lagunas: Matanza, Albúfera y Colejuda.
Este sitio es de vital importancia, porque es aquí donde viven muchas especies, principalente aves, que están en peligro o son especies muy raras. Además, el 30% de la población de aves son migratorias. Vienen a pasar temporadas a este lugar.



Algunas de las especies raras y en peligro que viven en esta zona.

El lugar tiene exigencias para poder entrar. Primero que todo, hay que ponerse en contacto con Conaf para agendar una visita. Esto debe ser así, porque para poder llegar a la reserva hay que atravesar un predio de Agrosuper (aquí mismo crían pollos), por lo tanto debe existir un control sanitario al entrar al sitio de Agrosuper y dos controles al momento de salir de la reserva y al salir del predio de Agrosuper.
Una vez que está la autorización, que debe ser tramitada al menos dos días antes de la visita, se puede ya acercar al lugar, entrar y pagar la entrada que son solo $3000.
Las instalaciones son cómodas. La atención es muy buena. Va muy poca gente. Los que van, más que nada son ornitólogos (profesionales y aficionados) y estudiosos de la biología, geografía y medio ambiente. Son muy pocas la personas que van de paseo.
Oficina de administración.

Para llegar a la laguna Albúfera, no estña muy señalizado. Me guié por las indicaciones del personal  y por mi instinto. El camino va por la playa hasta llegar a la laguna.
 Camino por la playa.
Otra vista del mar

La vegetación crece en la arena por la presencia de nutrientes del agua salada y agua dulce del humedal. 

¡Por favor!

Es sorprendente ver como la vegetación va cambiando a medida que se va acercando a la laguna.


Notar el cambio tajante de vegetación

Notar el cambio tajante de vegetación




 El día estaba más o menos nublado. La lluvia amenazaba desde hacía un rato. En el camino cayó algo de agua.
Supe que ya estaba por llegar a la laguna, porque los zancudos me dieron una muy cordial bienvenida.
Supe, también, que estaba dentro del sitio de la reserva, porque el letrero lo indicaba.

Iba en la dirección correcta.

Ya en la laguna Albúfera.

Se llama Albúfera, porque esta separada del mar por una pequeña porción de tierra. De vez en cuando, el agua de mar alimenta este cuerpo de agua.

En vuelo

Precioso el lugar. Sonidos de aves y del mar. Escenario perfecto para la relajación.

La cantidad y calidad de la señalización cambia al visitar las otras dos lagunas. Adentrándose al bosque, se aprecia, mayoritariamente, pinos y eucaliptos. La laguna Matanza, tiene 2 dueños. Uno es el estado y el otro es un particular. Este particular, abogado de profesión, se adjudicó la mitad de la laguna Matanza. Justamente la mitad que tiene bosques nativos. Entonces en su fundo, quedó media laguna. A su vez, plantó especies que requerían mucha agua. Esto provocó que él necesitara más agua. Desvió el curso del estero La Rosa que alimenta de agua a la laguna. 
Consecuencia: La laguna Matanza y la laguna Colejuda se secan por completo.

Bosque de eucaliptos. La lluvia, el olor a tierra mojada y el característico olor fresco de esta especie, era un escenario de ensueño.

Bosque de pinos. El suelo esta cubierto de acículas de pino. 

Señalización clara y bien mantenida. Iba en la dirección correcta para llegar al lugar.

No era un bosque desolado. Vive alguno que otro cuadrúpedo.

Laguna Matanza. Triste el panorama. Está completamente seca. Indudablemente que las especies que viven aquí ya no se verán por el sector.

Lindo puente para llegar al camino de la otra laguna

Go Home! You are drunk.

Laguna Colejuda. Completamente seca.

Va muy pocas personas a esta reserva. Lo triste es que entran más personas sin autorización, rompiendo las cercas y molestando a las especies que quieren y necesitan hacer su vida. Entran motociclisas y jeeperos, molestando a las especies que necesitan tranquilidad.

Algunos videos del lugar:



  Tranquilidad

Las aves se pusieron a volar porque pasaron dos vehículos a través de un acceso no autorizado. Esa es la clase de vistantes que no se necesita

Estaba lloviendo.


A modo de reflexión, este es un lugar que es sumamente importante para la conservación de especies y no puede ser que personas sin escrúpulos velan por sus propios intereses, ya sean económicos o de esparcimiento, molestando y no respetando sus hábitat a seres que no tienen absoluta responsabilidad en sus quehaceres. 
Este es un sitio Ramsar, o sea, está protegido bajo acuerdos internacionales. Chile se jacta de tener altos estándares de conservación de medio ambiente. Lamentablemente, esto queda solo en el papel.
¿De qué sirve tener leyes y las personas no las respetan? ¿De qué sirve tener bienes y propiedades si no existe conciencia?