Cuentas con privilegios locales en productos de System Center

Hola Mundo:
Los productos de System Center están orientados, principalmente, a la administración. Por lo tanto,
es necesario que estas herramientas tengan los privilegios adecuados, ni más ni menos, para poder realizar operaciones propias de la administración con ellas.
Es el caso de System Center Operations Manager en el que la plataforma debe tener acceso  a la máquina que será monitoreada para la instalación del agente, ya sea en cualquier plataforma, o bien, para la ejecución de procesos propios del monitoreo. Esta cuentas son las Action Account y RunAs Accounts. También existen otras cuentas de mantenimiento que no serán tocadas en este artículo.
Por su parte, System Center Configuration Manager, tiene que ser capaz de realizar la instalación del agente, Client Push Installation Account, o poder subir a la máquina al dominio, en caso de estar ejecutando un Task Sequence de distribución de sistemas operativos que incluya esa tarea.

En muchos casos, también se debe configurar una cuenta para que la máquina pueda acceder a los recursos en red para la obtención de un paquete. En los dos últimos casos, esta cuenta se llama Network Access Account.
Es una muy buena práctica y altamente recomendado que las cuentas a configurar no tengan privilegios sobre el dominio. Solo deben poder autenticarse. Es un riesgo innecesario que las cuentas tengan privilegios de administrador de dominio. 
La creación de una cuenta que tenga permisos de administración local de las máquinas administradas no es proceso distinto a como cuando se crea una cuenta de usuario en Active Directory.  
Lo que si es necesario es la configuración de una política de dominio para que esta cuenta se miembro del  grupo de administradores de la máquina.
Para crear esta política ir a la herramienta de administración de políticas de grupo (se requiere permisos sobre el dominio para llevar a cabo esta acción). Idealmente, esta cuenta no debe expirar. En el caso de cambio de contraseña, actualizar las configuraciones realizadas en la plataforma.
Crear una nueva política y asignarle un nombre descriptivo.
En el editor de políticas, navegar hacia: Computer Configuration -> Preferences -> Control Panel Settings -> Local Users and Groups
Crear una nueva definición de grupo. Tener muy en cuenta que la acción Update no quitará los otros miembros que ya forman parte del grupo de administradores local de las máquinas. El ámbito de esta configuración solo aplica a nivel local de las máquinas clientes.
En el combo box se debe seleccionar el grupo Administrators (built-in)
En la última porción del cuadro, se debe agregar los miembros. Aquí es donde se agrega la cuenta que se creó para este propósito. La acción debe ser  Add to this group.
Así se verá el cuadro una vez que se hayan realizado las configuraciones necesarias
Dándole OK a todos los cuadros, la política queda lista para ser enlazada a una OU de computadores y las cuentas listas para ser configuradas.
Sobre los detalles de cuentas de SCCM y SCOM visitar los enlaces:
Espero que sea de su utilidad.

Error con SSRS y SCCM

Hola Mundo:

Actualizar un SCCM 2012 a 2012 R2 puede ser una tarea sin mayor complicación, pero si no se toman los resguardos puede provocar un gran dolor de cabeza.
Uno de los elementos que hay que tener en cuenta es el acceso a los servicios de apoyo, como lo que es SQL Server Reporting Services, en el que SCCM se conecta para consumir sus propios reportes.
Para que SCCM pueda acceder a SSRS necesita de una cuenta de usuario. Esta cuenta debe tener ciertos privilegios sobre el servidor de reportes para que pueda crearlos y consumirlos. Esta autenticación es permanente. 
El error que puede aparecer en el servidor de reportes es:
System.Web.Services.Protocols.SoapException: The DefaultValue expression for the report parameter ‘UserTokenSIDs’ contains an error: Logon failure: unknown user name or bad password. 

Según la documentación: https://technet.microsoft.com/en-us/library/gg712698.aspx#BKMK_InstallReportingServicesPoint la cuenta de servicio que accede al servidor de reportes, debe formar parte del grupo Windows Authorization Access Group y debe tener acceso a los Token Groups Global And Universal

Una vez que agreguen la cuenta al grupo, el problema estará solucionado.

Saludos!

Instalación de roles requeridos para SCCM

Hola Mundo:

Hoy les quiero compartir una herramienta que, en lo personal, me apoya bastante en la instalación de SCCM 2012 y 2012 R2.

Es un script construido en Powershell y tiene interfaz gráfica (¡Si! y no bromeo). Requiere de permisos de administador para ejecutar.

Más información sobre las características y descargas pueden encontrarlas en el link de la herramienta:https://gallery.technet.microsoft.com/ConfigMgr-2012-R2-e52919cd

Antes de ejecutar, hay que quitar la protección de ejecución de scripts de Powershell:

Una vez que el sistema está permisivo, se ejecuta la herramienta y muestra su ventana principal:

De inmediato la herramienta acusa que le falta un reinicio al servidor y que no está siendo ejecutada con permisos de administrador.
Ofrece instalar los roles requeridos para cada uno de los tipos de sitio y además permite hacer la descarga de los paquetes requeridos.
También permite hacer otras operaciones como la extensión de esquema de Active Directory, instalación de WSUS, instalación de Windows ADK, creación del contenedor System Management, entre otros.
Si quieres instalar SCCM esta herramienta ayudará a ahorrar mucho trabajo y disminuye el riesgo de la falta de algún rol o configuración.
Espero que les sirva.
¡Chau!

Migración de File Server y configuración de los SPN

Hola Mundo:
No hay migración de servicios que no esté acompañada de dolores de cabeza. Especialmente si son servicios críticos para las organizaciones, como es el caso de los servidores de archivos.

Nunca hay que creer cuando comentan que la migración de un File Server es solo mover los archivos de un lugar a otro usando Robocopy y luego hacer el cambio en el servidor DNS para que siga conservando el mismo nombre que el servidor de origen y el cambio sea transparente a los usuarios.

Antes de explicar el cambio de SPN, me gustaría que se entendiera el concepto de SPN en su definición más fundamental.
SPN viene de la sigla de Service Principal Name.
Éstos deben estar asociados a un objeto de Active Directory (cuenta de usuario, grupo o computador) en el cual el servicio se ejecuta. Su función principal es soportar la autenticación mutua entre un cliente y un servicio.

Entonces, la configuración de un SPN consiste en la asociación de un servicio a un objeto de AD. Un objeto de AD puede tener varios SPN asociados, pero un SPN solo puede estar asociado a un objeto de AD. En el caso de que se duplique un SPN, vendrán los problemas.

Cuando se realiza una migración de File Server y posteriormente se hace el cambio en el DNS para que el antiguo servidor apunte al nuevo y se intenta acceder a la ruta, el visor de eventos mostrará un error así:

The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server SRV-NUEVO$. The target name used was cifs/SRV-VIEJO. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (DOMINIO.CL) is different from the client domain (DOMINIO.CL), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server. 

Como el SPN no estaba configurado de forma correcta, no es posible hacer ni mantener la autenticación, por lo tanto, da error.

Para configurar el SPN, se debe hacer con una cuenta con privilegios sobre el dominio.

Eliminando un SPN
Antes de asignar un SPN a un objeto, hay que eliminarlo  del objeto al cual estaba asignado. Se debe seguir la sintaxis:
setspn -D servicio/host ObjetoAD Por ejemplo:

setspn -D host/srv-viejo.midominio.cl srv-viejo
setspn -D host/srv-viejo srv-viejo
setspn -D cifs/srv-viejo.midominio.cl srv-viejo
setspn -D cifs/srv-viejo srv-viejo

De esta forma se elimina los SPN asociados al file server del objeto srv-viejo.

Asociar un SPN
Una vez desasociados los SPN al antiguo objeto, se debe asociar al nuevo objeto. La sintaxis es:
setspn -S servicio/host ObjetoAD Por ejemplo:

setspn -S host/srv-viejo.midominio.cl srv-nuevo
setspn -S host/srv-viejo srv-nuevo
setspn -S cifs/srv-viejo.midominio.cl srv-nuevo
setspn -S cifs/srv-viejo srv-nuevo

De esta forma, el servicio podrá autenticar y mantener la autenticación. El recurso compartido es accesible desde los clientes. Hay que tener un especial cuidado con los clientes con Windows XP. Por que aparte de configurar los SPN correspondientes, también hay que hacer un cambio en el editor del registro de Windows. Seguir la documentación de este link: https://support.microsoft.com/en-us/kb/281308

Más información sobre la herramienta setspn se puede encontrar aqui: https://technet.microsoft.com/en-us/library/cc961723.aspx

Así que para la próxima vez que alguien diga que las migraciones de File Server son un proceso sencillo y sin muchos pasos, es pura fantasía.

Hasta la próxima.

Chau

Error al instalar AD RMS en Windows Server 2008 R2

Hola Mundo:
Para la implementación del rol de AD RMS, se puede utilizar una base de datos interna del rol o se puede utilizar un servidor SQL Server externo.
La instalación no es compleja. Es un asistente que pide datos bastante precisos.
El problema está cuando muestra el siguiente error:
El error hace referencia a la falta de un procedimiento almacenado. El SP se llama sp_dboptions y fue retirado en SQL Server Denali (Pre SQL Server 2012) y el fallo se va arrastrando para las próximas versiones de SQL Server.
El hotfix que se debe es instalar es el KB2619256 y se descarga desde el mismo sitio de Microsoft: https://support.microsoft.com/es-cl/kb/2619256
Para complementar la lectura, sugiero leer la documentación en Technet: https://technet.microsoft.com/en-us/library/dd772673(v=ws.10).aspx

Problema: Falta de configuración de Sufijo DNS

Hola Mundo:

En todas las organizaciones que cuentan  con el servicio de Active Directory y DNS para la
administración de objetos de equipos, cuentas y políticas, las máquinas pueden tener conectividad a otras máquinas solo usando el nombre, siendo no necesario usar el FQDN.

Por ejemplo:

En ambos casos se ve que el ping funciona correctamente. La otra máquina responde indistintamente si se llama a través de su nombre de máquina o de su FQDN.
Esto se debe al sufijo DNS. Cuando se invoca a una máquina solo por el nombre, la configuración de sufijo de DNS agrega el nombre de dominio como sufijo. En el ejemplo, el sufijo está configurado como bluesolutions.cl.
En el caso que no esté configurado, se puede configurar a través de una GPO:
Una vez esto, desplegar la política a las OU correspondientes y forzar la actualización de polítvas en los clientes.

Error al mover usuarios de un pool antiguo a un pool nuevo en Lync 2013

Hola Mundo:

Hoy me encontraba moviendo usuarios desde un pool  de Lync 2010 hacia un pool de Lync 2013, en un proyecto de migración hacia la última versión de Lync.

El proceso iba lento, pero suave, hasta que un error salvaje apareció:

Move-CsUser : Move in progress. User «sip:xxxx@yyy.xx» is being moved from «antiguo.yyy.xx» to «antiguo.yyy.xx». At line:1 char:1 + Move-CsUser -Identity «xxxx@yyy.xx» -Target «nuevo.yyy.xx» + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (CN=XXXX,DC=yyy,DC=xx:OCSADUser) [Move-CsUser], MoveUserException + FullyQualifiedErrorId : MoveError,Microsoft.Rtc.Management.AD.Cmdlets.Mo veOcsUserCmdlet

El error hace referencia a que la cuenta ya se estaba moviendo desde un pool antiguo hacia el mismo pool. Extraña cosa.

Esto es causado porque el atributo de usuario  msRTCSIP-TargetUserPolicies tiene un valor asignado. Para corregir esto:

  1. Abrir ADSI Edit
  2. Buscar al usuario
  3. Limpiar el atributo

Al encontrar el atributo, debieran  verlo así:

 Ese atributo se debe limpiar. Dejar en blanco



Luego de eso, se podrá mover el usuario sin problemas.

Instalacion de servicio de Controlador de Dominio en Windows 2003 Server

Hola Amigos, durante este semestre estare cursando la asignatura de «Taller de Sistemas Operativos II» y la temática principal es Windows Server 2003. Así que estaré metiéndome a fondo en este tema.
El primer artículo de la «serie», si es que se puede llamar así, es sobre la instalacion del servicio de Controlador de Dominio de Active Directory en casi 20 pasos.
Al ver las imagenes, se darán cuenta que el asistente es bastante intuitivo y no hay que hacer mayores cambios en la configuración.
Generalmente, si se deja las opciones por defecto, queda bien.

Paso #1: Seleccionar la tarea a hacer.
Seleccionar la opcion de «Agregar Funcion».

Paso #2: Pasos preeliminares
Nos dará una serie de instrucciones que debemos seguir. Si hemos cumplido con todas, le damos siguiente.

Paso #3: Seleccion de la funcion a instalar.
Dentro del listado, nos muestra todos los servicios disponibles que se pueden instalar. Seleccionamos el de Controlador de Dominio

Paso #4: Ejecutar el asistente.
Solo hacemos click en Siguiente y se iniciara el asistente de instalacion.

Paso #5: Inicio del asistente.
Solo hacer click en continuar.

Paso #6: Compatibilidad con Sistemas operativos
Nos advierte sobre la compatibilidad que tendra nuestro Controlador de Dominio con los distintos sistemas operativos que existen en el mercado hasta la fecha de liberacion de Windows Server 2003. Solo hacer click en Siguiente.

Paso #7: Tipo de controlador de Dominio.
Nos dará la opción para instalar un Controlador de dominio nuevo o instalar un controlador de dominio, dentro de un dominio existente.
Seleccionamos controlador de dominio para un dominio nuevo.

Paso #8: Crear Nuevo…
Crear nuevo bosque, dominio secundario en arbol de dominios existentes, arbol de dominios en un bosque existente. Seleccionamos la primera opcion.

Paso #9: Nombre de Dominio
En este paso, le ponemos el nombre de dominio a nuestro dominio (obvio). Si nuestro servidor DNS está ubicado en otro lado, nos dará unas advertencias que las mostraré en este jou-to.

Paso #10:Nombre NetBIOS del Dominio
Este nombre funcionará como una especie de alias del dominio. Generalmente es el nombre del dominio, pero sin la extensión.

Paso #11:Carpetas de la base de datos del registro.
Es el lugar en donde se almacenará la información de nuestro Controlador de Dominio. El lugar donde se almacena es correcto, pero en caso de fallas, es preferible tenerlo en una partición distinta a la principal.

Paso #12:Volumen del sistema compartido
Este directorio almacena una copia de los archivos del servidor. Este contenido se replicará el los futuros controladores de dominio que se agreguen al árbol.

Paso #13: (Opcional) Diagnostico de Registro DNS
Esto ocurre cuando el servidor de DNS está alojado en otro lugar. Como yo estaba instalando el CD en una máquina virtual, es lógico que tendría problemas con el servidor de DNS. La opción que aparece por defecto (La segunda) Nos sirve en este caso.

Paso #14: Permisos
Establecer con que sistema operativo (de la familia de Windows) va a ser compatible nuestro CD. Escogemos la segunda opcion. Pocos dominios cuentan con clientes inferiores a Windows 2000.

Paso #15: Contraseña de Modo de Restauración
En el caso que casi todo falla, es posible entrar a recuperar a un entorno de recuperación de Active Directory y para que sepan, la cuenta de Administrador del sistema normal, no es la misma para la recuperación. En este paso, hay que indicar una password para ese usuario. Se puede dejar en blanco, pero en producción es IMPERDONABLE si es que queda en blanco.

Paso #16: Resumen.
Resumen. Nada mas. Nos mostrara la configuracion final. Eso. hacer click en siguiente.

Paso #17: Instalacion.
Nothing to do.

Paso #18: (Opcional) Configuracion de IP
Pelmazo yo. Se me olvidó configurar la tarjeta de red. Para prestar cualquier servicio, es ultra archi necesario que la interfaz de red cuente con una IP estática. Si es que no la hemos configurado, el asistente de instalación del servicio de Controlador de Dominio, nos dará la opción de configurar la tarjeta de red. Yo la dejé así.

Paso #19: Finalizacion de la Instalacion.
Aqui te muestra que terminó y que solo resta reiniciar. Reiniciamos ahora!

Paso #20: Login.
Aqui nos damos cuenta si realmente nos loguearemos dentro del dominio. Nos saldra el boton de «Opciones», hacemos click en el y veremos en nombre NetBIOS de nuestro Dominio.

Como ven, la instalacion es super sencilla. No tiene mayores complicaciones y lo mas probable es que ustedes lo hagan en menos pasos.
Para el proximo capitulo, veremos como enrolar un Windows XP y asignar unos usuarios.