July 31, 2010

Configurando mi Server Core...

Como te abras dado cuenta ciertos snap-ins que te permiten conectar remotamente a otros equipos no funcionan en Server Core... o al menos no hasta que hagamos los ajustes apropiados.
En lo personal yo agrupo mis Core para razones de parcheo y pues para no crear otra política más por ahí también configuro uno que otro parámetro para estos, desde luego hay excepciones y N casos, usted es quien conoce su ambiente/cliente.
Primero vamos a activar el Device Manager, esto lo haremos habilitando siguiente GPO Computer Configuration/Policies/Administrative Templates/System/Device Installation/Allow remote access to the PnP interface.
Ahora bien… hace un par de días tenía que crear ciertos arreglos de discos pero acá no hay consola de Disk Management! Claro, si iniciamos el servicio de Virtual Disk (net start VDS) y ajustamos las reglas del firewall (netsh advfirewall firewall set rule group=”Remote Volume Management” new enable=yes) podremos desde una consola remota manejar los discos de nuestro servidor.
Con el comando anterior podremos también habilitar otras consolas remotas, esto simplemente al ejecutar el mismo comando pero cambiando el nombre del grupo y así de sencillo se realizaran los ajustes adecuados en el Windows Firewall.
Event Viewer = netsh advfirewall firewall set rule group=”Remote Event Log Management” new enable=yes
Services = netsh advfirewall firewall set rule group=”Remote Service Management” new enable=yes
Shared Folders = netsh advfirewall firewall set rule group=”File and Printer Sharing” new enable=yes
Task Scheduler = netsh advfirewall firewall set rule group=”Remote Scheduled Tasks Management” new enable=yes
Reliability and Performance = netsh advfirewall firewall set rule group=”Performance Logs and Alerts” new enable=yes y también deberá ejecutarse este comando netsh advfirewall firewall set rule group=”File and Printer Sharing” new enable=yes
Windows Firewall with Advanced Security = netsh advfirewall firewall set rule group=”Windows Firewall Remote Management” new enable=yes
Hyper-V = netsh advfirewall firewall set rule group=”Windows Management Instrumentation (WMI)” new enable=yes y después necesitamos agregar el/los usuarios del dominio al grupo local de Distributed COM User, esto mediante el comando net localgroup “Distributed COM Users” /add daemonroot\dannycs
IPSec Management = cscript %systemroot%\system32\SCregEdit.wsf /im 1
Terminal Services (legacy) = cscript %systemroot%\system32\SCregEdit.wsf /cs 0

Si bien usted necesita implementar coutas de disco imagino ya noto que aunque podamos mapear la unidad esta opción no existe, por lo cual debemos ejecutar un par de pasos, el primero para habilitarle y el segundo para asignar las cuotas (en este ejemplo la cuota se habilitara para la unidad F, dándole al usuario dannycs una cuota de 1.5GBs y ejecutando la alerta al llegar a 1GB de utilización.
fsutil quota enforce F:
fsutil quota modify F: 1073741824 1610612736 dannycs
Como referencia puede también leer mi artículo anterior http://telnet25.blogspot.com/2010/05/server-core-rodc.html
Bueno, espero esto les sea útil y se diviertan mucho son sus Server Core.

July 29, 2010

objectClass=Computer y los RODCs.

Cuando pensamos en RODC y la políticas de replicación de contraseñas normalmente pensamos en objetos tipo “usuario” pero recordemos que también los objetos tipo “computador” son un security principal, lo cual implica que tienen una contraseña. Según la definición un security principal es una entidad que puede ser identificada por su singularidad (determinada por su nombre de inicio de sesión y el SID), la cual necesita acceso a recursos (archivos compartidos, servicios u otros) gobernados por una autoridad de seguridad (en este caso AD).
Entonces el punto al que quiero llegar es que recordemos los objetos computadora al momento de configurar las políticas de replicación de contraseñas para nuestros RODCs.
Hasta pronto!

July 28, 2010

El caso del GC que no era.

Hace unos días me contactaron para asistir en un caso… se trataba de un bosque con un único dominio y un solo controlador (existían anteriormente unos en Windows 2003, los cuales fueron reemplazados por este 2008), al tratar de promover un controlador secundario el proceso fallaba pues “no se podía contactar al catálogo global”.
Lo curioso es que en “Active Directory Sites and Services” el controlador aparecía como GC y si lo pensamos en un dominio con un único DC pues este debe de ser también GC.
Chequeando más a fondo encontré que el repadmin mostraba “IS_GROUP_CACHING_ENABLED” (esto significa que el controlador tiene activado el cache de membresías de grupos universales pero no es un GC), el Event Viewer… wow parecía un árbol de navidad con todas esas bolitas rojas y amarillas, PortQry nos indicaba que el puerto 3268 no estaba escuchando y un vistazo al RootDSE mostro “isGlobalCatalogReady=FALSE
Como se pueden imaginar este es uno de esos casos que no se ven muy a menudo, hablando con el cliente este me comento que tenían un dominio hijo en el bosque, el cual no fue removido de la forma apropiada pero que ya se había corregido el problema. Esto me llevo a revisar las cosas por mí mismo y vaya la sorpresa ya que en la partición de Configuración encontré una referencia (objeto tipo crossRef ) a ese dominio inexistente (CN=Partitions,CN=Configuration,DC=dominioABC,DC=com). Según la teoría y mi lógica (la cual a veces es un poco… singular) un catálogo global es un resumen de la partición de dominio de cada dominio en el bosque, para crearlo se contacta a controladores de cada dominio para obtener un listado de los atributos que forman el PAS y esta se empieza a indexar, por lo cual si dicha referencia nos lleva a un lugar inexistente, el proceso nunca completaría, por lo cual removí dicho objeto y badabing badabum… habemus GC.
Esto además de lo singular del caso nos deja ciertas lecciones:
1- No asignar tareas si el personal no está seguro y confiado de la tarea a realizar.
2- Tener un plan de comprobación y desde luego que lo ejecute otra persona, no quien implemento el cambio.
3- Tener cerca la informacion de contacto de su buen amigo el consultor, quien lo podrá salvar de este tipo de situaciones.
Hasta la próxima!

July 13, 2010

Adiós Windows 2000.

Hoy es el día en que llegamos al final de este capítulo de la informática llamado Windows 2000… este marcó un gran paso en la informática y principalmente nos trajo a Active Directory y otros productos/tecnologías más, las cuales hacen mi día a día más divertido. A partir de este momento este producto no tiene soporte alguno así que ~úselo bajo su propio riesgo~ aunque realmente yo evitaría usarlo. http://support.microsoft.com/ph/1131#tab0

July 02, 2010

Exchange 2010... libro nuevo.

Para los que gustan de la lectura a partir de hoy está disponible un título nuevo sobre Exchange 2010 "Microsoft® Exchange Server 2010 Best Practices" , dicho libro incluye el Service Pack 1.
Según la descripción no es un libro para principiantes, así que imagino traerá valiosa información detallada y difícil de encontrar sobre el producto.
Le echaré un vistazo mientras espero el que publicara Tony Redmond alrededor de Octubre.