September 16, 2010

El nuevo OCS... digo Lync!

Recuerdan cuando en los medios de instalación de Exchange 2000 existía un disco que nos permitía instalar el Instant Messaging Server… Con su EXIPC (enlace entre IIS 5 y Exchange), RCP (creo que Trillian aun utiliza Rendezvous Protocol, a partir de LCS 2005 utilizamos SIP), FTM, el Locator y otros componentes más… ah y el cliente, claro el Windows Messenger! Bueno como sabemos eso evoluciono luego en LCS, después en OCS y OCS R2 hasta que llegamos con ansias a nuestra actualidad cuando esperamos ver que nos traerá la nueva versión del producto. Creo que lo primero que notaran es que trae un nombre nuevo, ya que ahora en su quinta generación se llama Lync! Y el RC se puede obtener acá http://www.microsoft.com/downloads/en/details.aspx?FamilyID=29366ba5-498f-4d21-bc3e-0b4e8ba58fb1
Para información sobre los requerimientos del sistema http://www.microsoft.com/downloads/en/details.aspx?FamilyID=634a3616-4199-4d51-88ee-618e72d91b7c
Guía de iniciación http://www.microsoft.com/downloads/en/details.aspx?FamilyID=e33765bc-9c5d-49b2-bb4f-ec8d42ccc1c7
Guía de implementación de ambiente de pruebas http://www.microsoft.com/downloads/en/details.aspx?FamilyID=709d1609-a62a-47bd-baa4-6221dfd3c34c
Versión RC de la herramienta de planeamiento http://www.microsoft.com/downloads/en/details.aspx?FamilyID=bcd64040-40c4-4714-9e68-c649785cc43a
Documentación de planeamiento http://www.microsoft.com/downloads/en/details.aspx?FamilyID=2da9fa26-e032-4dcf-b487-da916ddc508f
Introducción a la topología http://blogs.msdn.com/b/jcalev/archive/2010/09/14/lync-topologies-an-introduction.aspx
Portal principal http://www.microsoft.com/en-us/lync/technology-overview.aspx
Pues bien, tenemos juguete nuevo, que se diviertan!

September 11, 2010

Grupos restringidos.

Por medio de las políticas de grupo se pueden manipular incontables aspectos de un equipo, afortunadamente las membresías de grupos locales son uno de estos parámetros manejables. Algo que se presta para confusiones son los “Restricted Groups” o grupos restringidos, recordemos que con esta política podemos agregar usuarios a grupos ya existentes o bien sobre-escribir las membresías de los grupos con una lista determinada por nosotros.
Para modificar dicha política debemos navegar a la siguiente ruta Computer Configuration \ Windows Settings \ Security Settings \ Restricted Groups.
Acá tenemos dos opciones, veamos cómo sacar provecho de ambas aplicándolas a lo que podría ser un escenario realista de nuestro día a día.
En un grupo determinado de equipos necesito que únicamente cierto usuario sea el único miembro del grupo de Administradores locales, esto sería algo autoritativo sobre los valores actuales. En este caso navego a la ruta anterior y en la opción de “Members” agrego a los usuarios de mi lista autoritativa. Esto eliminara a los administradores anteriores. Recordemos que si dejamos a aplicar esta política mi usuario seguirá en la lista de Administradores locales, o sea, se poblaran las membresías por defecto y se mantendrá esta.
Escenario dos, en un grupo determinado de equipos necesito agregar un grupo de seguridad al grupo de Administradores locales. En este caso conservare las membresías anteriores. Acá caso necesito modificar el parámetro “Members of”.
Debemos tener en mente que cual sea nuestra selección por defecto el sistema reaplicara estos parámetros cada 16 horas y únicamente debemos utilizar 1 de estas opciones a la vez.
Hasta pronto!

September 04, 2010

NTP, el gran misterio.

Buenas amigos, hoy escribiendo desde Panamá City, con una magnifica vista de esta bella ciudad.
Mucha gente simplemente lo ignora, pero cuán importante es la sincronización de tiempo en nuestro ambiente? Muchísimo. Recordemos que con un desfase mayor o menor a los 5 minutos Kerberos no te emitirá tiquetes, Office Communicator es bastante sensible con respecto al tiempo, también he visto problemas con Exchange, GPOs, NtFrs/DFS y otros. Entonces como configurar esto?
Tomemos en cuenta lo siguiente, para la sincronización de tiempo debemos establecer una cierto tipo de organización, pensemos en una cascada o jerarquía en la cual nuestro PDC-Emulator será el nivel más alto, la autoridad de NTP, luego en el siguiente nivel o estrato están los demás controladores y estos serán consultados por todos los clientes o maquinas miembros del dominio. PDC-Emulator { DCs { clientes. En el caso de tener dominios hijos pues estos consultaran al dominio padre.
Ok, primero configuremos el PDC, en este link http://www.ntp.org/ podemos obtener una lista de NTPs que nos puede ser útil, yo le aconsejaría buscar el más cercano a la localización de los servidores y al menos un par más de respaldo.
Veamos la configuración actual de nuestro PDC ejecutando el siguiente comando: w32tm /dumpreg /subkey:parameters o bien naveguemos en el Registro de Windows a HKLM\System\CurrentControlSer\Services\W32Time\Parameters. Acá para simplificarnos nos concentraremos en los valores del Type (acá se establece el tipo/modo de servidor a consultar/utilizar) y el NtpServer (dirección de el o los servidores).
Entonces vamos a indicarle a nuestro servidor que su fuente de tiempo es un servidor tipo NTP, para los demás controladores, vamos a asegurarnos su fuente de NTP sea tipo NT5DS.
Entonces primero digámosle a nuestro PDC la dirección o FQDN de nuestros servidores primarios, recordemos que NTP utiliza el puerto 123 en UDP.
w32tm /config /manualpeerlist: ”gnomon.cc.columbia.edu,0x8 navobs1.gatech.edu,0x8 ntp2.usno.navy.mil,0x8 tick.mit.edu,0x8 time.nist.gov,0x8 ” /update
Ahora básicamente indicaremos al equipo que utilice la lista anterior y que se actualice.
w32tm /config /syncfromflags:MANUAL /update
Si el resultado es satisfactorio podremos observar un evento número 37 en la sección del Sistema en el Visor de Eventos, algo similar a esto:

Event Type: Information
Event Source: W32Time
Event Category: None
Event ID: 37
Date: 9/4/2010
Time: 7:57:18 AM
User: N/A
Computer: hostName
Description:
The time provider NtpClient is currently receiving valid time data from ntpServerFQDN (ntp.d
ntpClient->ntpServer:123).

Pensemos que en nuestro dominio raíz tenemos 3 controladores, entonces la configuración de estos se vería más o menos así:

w32tm /dumpreg /subkey:parameters /computer:domainControllerA(PDC-Emulator)
Value Name Value Type Value Data
-------------------------------------------------
ServiceMain REG_SZ SvchostEntry_W32Time
ServiceDll REG_EXPAND_SZ C:\WINNT\system32\w32time.dll
NtpServer REG_SZ gnomon.cc.columbia.edu,0x8 navobs1.gatech.edu,0x8 ntp2.usno.navy.mil,0x8 tick.mit.edu,0x8 time.nist.gov,0x8
Type REG_SZ NTP

w32tm /dumpreg /subkey:parameters /:domainControllerB
Value Name Value Type Value Data
-------------------------------------------------
ServiceMain REG_SZ SvchostEntry_W32Time
ServiceDll REG_EXPAND_SZ C:\WINNT\system32\w32time.dll
NtpServer REG_SZ
Type REG_SZ NT5DS

w32tm /dumpreg /subkey:parameters /:domainControllerC
Value Name Value Type Value Data
-------------------------------------------------
ServiceMain REG_SZ SvchostEntry_W32Time
ServiceDll REG_EXPAND_SZ C:\WINNT\system32\w32time.dll
NtpServer REG_SZ
Type REG_SZ NT5DS

Ahora bien como averiguo el estado del tiempo entre mis controladores de dominio, pues para esto tan solo necesito emitir un w32tm /monitor

w32tm /monitor /domain:daemonroot.com
domainControllerA *** PDC *** [192.168.1.22]:
ICMP: 0ms delay.
NTP: +0.0000000s offset from domainControllerA
RefID: navobs1.gatech.edu [130.207.244.240]
*Nótese que en el primer controlador enlistado es mi PDC, acá puedo también ver contra que servidor está funcionando él.

domainControllerB [192.168.1.23]:
ICMP: 0ms delay.
NTP: -0.0115700s offset from domainControllerA
RefID: domainControllerA [192.168.1.22]

domainControllerC [192.168.1.24]:
ICMP: 99ms delay.
NTP: +0.0156915s offset from domainControllerA
RefID: domainControllerA [192.168.1.22]
*En el caso de los controladores adicionales lo que me interesa es saber cuánto es la diferencia de tiempo entre el PDC y ellos, que como vemos en este caso no es mayor a una centésima de Segundo, nada mal eh?

Los equipos miembros del dominio por defecto utilizaran a los controladores de dominio para sincronizar su tiempo (Type = NT5DS). Si aún tenemos problemas con algún equipo el comando w32tm /config /computer:hostName /update nos podría ser muy útil o bien un w32tm /config /syncfromflags:DOMHIER /update no más para asegurarnos que el equipo está configurado apropiadamente ya que como sabemos hay clientes muy singulares que gustan cambiar parámetros de configuración pues “ellos saben de esto”.
Bueno estimados lectores espero esto les sea útil de alguna manera, realmente no es una guía autoritativa ni nada similar, este es un interesante tema del que podríamos hablar mucho más pero ya es TIEMPO de que me marche, hasta la próxima!