tag:blogger.com,1999:blog-87672709036717775902024-02-21T02:15:00.033-06:00telnet25Las andanzas de un fiebre de la consola, el que trata de escuchar en el 389 y responde el saludo con un "ehlo"... sumergido entre libros, foros, webcasts y otros. Un computin mas que desea continuamente aprender y compartir... ese es daemonRoot, ese soy yo!daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.comBlogger115125tag:blogger.com,1999:blog-8767270903671777590.post-35789150097583229472018-01-28T21:21:00.001-06:002018-01-28T21:21:15.665-06:00Aunque Cisco diga que no...Hace unos días me encontré con un escenario muy interesante, el despliego de un software de Cisco, el AnyConnect mediante GPOs.<br />
Esto desde luego para acelerar el proceso, lo curioso es que el fabricante dice esto no se pude hacer por este medio, únicamente con un componente propio.<br />
Leyendo foros encontré lo mismo y una gran cantidad de ingenieros que tropezaron con esto, así que les comparto el proceso.<br />
<br />
<br />
<h1>
<a href="https://www.blogger.com/null" name="_Toc504931561"></a><a href="https://www.blogger.com/null" name="_Ref504859786"><span style="mso-bookmark: _Toc504931561;"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Preparación de
los paquetes</span></span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></h1>
<div class="MsoNormal">
<br /></div>
<h2>
<a href="https://www.blogger.com/null" name="_Toc504931562"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Punto
de distribución</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></h2>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Cree una unidad compartida, considere su topología, cantidad de clientes, enlaces, utilización y aspectos similares para decidir sobre este tema.</div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">DFS es la solución óptima </span><a href="https://msdn.microsoft.com/en-us/library/bb540025(v=vs.85).aspx"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">https://msdn.microsoft.com/en-us/library/bb540025(v=vs.85).aspx</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"> <o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Como
necesitamos que prácticamente todo usuario acceda el software los permisos en
la unidad compartida se pueden brindar a <i style="mso-bidi-font-style: normal;">Authenticated
Users</i>.<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<h2>
<a href="https://www.blogger.com/null" name="_Toc504931563"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Personalización
de los paquetes</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></h2>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Por los
diferentes parámetros que requieren los paquetes la forma más segura de personalizarlos
es mediante un archivo de transformación (tipo MST) el cual se realiza con el software
ORCA o similares.<o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Básicamente
lo que hacemos es abrir el instalador e insertar una o varias propiedades
nuevas en el archivo diferencial, el MST.<o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">No existe
un instalador separado para ORCA, este es parte del </span><a href="https://msdn.microsoft.com/en-us/library/windows/desktop/aa370557(v=vs.85).aspx"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">SDK</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"> de Windows.<o:p></o:p></span></div>
<div class="MsoListParagraph" style="mso-list: l2 level1 lfo1; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Ejecute ORCA y especifique el
instalador que desea personalizar.<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoListParagraph" style="mso-list: l2 level1 lfo1; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">En el panel izquierdo seleccione la
opción llamada <i style="mso-bidi-font-style: normal;">Property</i><o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwMVFlPV20FbQo4cxZc2zSPRcemO_iT0TnkCCB668M8piygakdo_jBcYsZHU6WMyXc2h7gltt88CGH91vNeGRiQ0TOBq17eSdlRPTr3jEM_jNXltTpd6KSUcJ66kMtqIvpYtYMxd95amKv/s1600/orca.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="461" data-original-width="624" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwMVFlPV20FbQo4cxZc2zSPRcemO_iT0TnkCCB668M8piygakdo_jBcYsZHU6WMyXc2h7gltt88CGH91vNeGRiQ0TOBq17eSdlRPTr3jEM_jNXltTpd6KSUcJ66kMtqIvpYtYMxd95amKv/s1600/orca.jpg" /></a></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoListParagraph" style="mso-list: l2 level1 lfo1; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Seleccione la opción <i style="mso-bidi-font-style: normal;">Transform / New Transform</i> para crear su
archivo de transformación. <o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraph" style="mso-list: l2 level1 lfo1; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">4.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Posicione el curso en la tabla de
propiedades, clic derecho agregar línea.<o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraph" style="mso-list: l2 level1 lfo1; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">5.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Estas líneas son simplemente los
parámetros que hubiesen especificado en el comando de instalación, por ejemplo <b style="mso-bidi-font-weight: normal;">PRE_DEPLOY_DISABLE_VPN=1</b> para suprimir
el módulo de VPN. Simplemente inserte el nombre de la propiedad y el valor de
esta.<o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAShcxFonKFSWObIdU0HW0N9zpuKArvshnNVAGC9MRHD2qSbhgFIzPIbbSOLVVimpmccVWrR0FPviPsoHK-n3huZHjhMxVcycsFhGKirjc2GWGbjiMehcvTaEuFQXHjg8TNxQR_5UvlDEm/s1600/row.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="344" data-original-width="417" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAShcxFonKFSWObIdU0HW0N9zpuKArvshnNVAGC9MRHD2qSbhgFIzPIbbSOLVVimpmccVWrR0FPviPsoHK-n3huZHjhMxVcycsFhGKirjc2GWGbjiMehcvTaEuFQXHjg8TNxQR_5UvlDEm/s1600/row.jpg" /></a></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l2 level1 lfo1; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">6.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Otras propiedades son:<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 1.0in; mso-add-space: auto; mso-list: l2 level2 lfo1; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">a.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><b style="mso-bidi-font-weight: normal;"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">LOCKDOWN</span></b><span lang="ES-CR" style="mso-ansi-language: ES-CR;"> para
deshabilitar la posibilidad de que el usuario modifique algún parámetro del
software una vez instalado.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 1.0in; mso-add-space: auto; mso-list: l2 level2 lfo1; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">b.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><b style="mso-bidi-font-weight: normal;"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">RebootYesNo</span></b><span lang="ES-CR" style="mso-ansi-language: ES-CR;">
para especificar si desea reiniciar el equipo.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="margin-left: 1.0in; mso-add-space: auto; mso-list: l2 level2 lfo1; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">c.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><b style="mso-bidi-font-weight: normal;"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">DISABLE_CUSTOMER_EXPERIENCE_FEEDBACK</span></b><span lang="ES-CR" style="mso-ansi-language: ES-CR;"> para deshabilitar que automáticamente se envíe
información de uso y experiencia del producto al fabricante.<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-f9J-rBHtR3nCqI5aBwtSkiov6Zv7dzWppz1GbVB21WwkaHpH_eOsGV8FSfHORkiyYr8QkI6MR-P4v6a2SlGAlJz4Qq2Kk-2jDhh6IupHETxRBposdepRWZrymWEhyDY-QDfOb15LqN4e/s1600/props.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="75" data-original-width="624" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-f9J-rBHtR3nCqI5aBwtSkiov6Zv7dzWppz1GbVB21WwkaHpH_eOsGV8FSfHORkiyYr8QkI6MR-P4v6a2SlGAlJz4Qq2Kk-2jDhh6IupHETxRBposdepRWZrymWEhyDY-QDfOb15LqN4e/s1600/props.jpg" /></a></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Para más
información refiérase a la documentación de CISCO.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoListParagraph" style="mso-list: l2 level1 lfo1; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">7.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Salve los cambios en el archivo MST.<o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l2 level1 lfo1; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">8.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Ubique los archivos MST junto con
los instaladores y otros necesarios.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast">
<br /></div>
<h1>
<a href="https://www.blogger.com/null" name="_Toc504931564"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Creación
de los GPOs</span></a></h1>
<h2>
<a href="https://www.blogger.com/null" name="_Toc504931565"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Creación
de la política de distribución de software</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></h2>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Este es el
método sugerido tanto por seguridad como rendimiento del mismo.<o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">En la
consola de administración de políticas cree una política nueva en el nivel de
su preferencia.<o:p></o:p></span></div>
<div class="MsoListParagraph" style="mso-list: l6 level1 lfo2; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Navegue en la consola a la sección: <i style="mso-bidi-font-style: normal;">Computer Configuration / Policies / Software
Settings / Software Installation</i>.<o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgN4SJCdfiRIF4PZkk1f-5KjzkYDCofgnIPrgUbdJPwP3poMyNIYLAd-KS3M0o-xuLMgt6-_Cfq_yrCP35ABKkFAbYiKrI0HcNrHAnoe9l22srzzOre93qi4cinTM6KsY0rbX-f2V2ZDIka/s1600/softdist.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="167" data-original-width="352" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgN4SJCdfiRIF4PZkk1f-5KjzkYDCofgnIPrgUbdJPwP3poMyNIYLAd-KS3M0o-xuLMgt6-_Cfq_yrCP35ABKkFAbYiKrI0HcNrHAnoe9l22srzzOre93qi4cinTM6KsY0rbX-f2V2ZDIka/s1600/softdist.jpg" /></a></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l6 level1 lfo2; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Dar clic derecho<span style="mso-spacerun: yes;"> </span><i style="mso-bidi-font-style: normal;">New /
Package.</i><o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle">
<br /></div>
<div class="MsoListParagraphCxSpLast" style="mso-list: l6 level1 lfo2; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Especifique la ruta UNC al paquete
de instalación, seleccione <i style="mso-bidi-font-style: normal;">Open </i>y
luego <i style="mso-bidi-font-style: normal;">Advanced</i>.<o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l6 level1 lfo2; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">4.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Navegue a la etiqueta <i style="mso-bidi-font-style: normal;">Deployment</i> y de clic en el botón de <i style="mso-bidi-font-style: normal;">Advanced</i>.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle">
<br /></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l6 level1 lfo2; text-indent: -.25in;">
<!--[if !supportLists]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">5.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Active la opción <i style="mso-bidi-font-style: normal;">Ignore Language when deploying this package</i>. Presione <i style="mso-bidi-font-style: normal;">OK</i>.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle">
<br /></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l6 level1 lfo2; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">6.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Navegue a la etiqueta <i style="mso-bidi-font-style: normal;">Modifications</i> y de clic en el boton <i style="mso-bidi-font-style: normal;">Add</i>.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhb5bbc8ODPdYRc-yAWdu0AvdWOtUyCdP4MrEykRurkvPBsL220lh-u2ZglrV2x-OS5XFIf_kVqvTSAEHBKBkNPAFmVnigc0CAwNJQnKd25BEFWA0yTkeAfI9b1pk2moqVD87gy_1m2M2BJ/s1600/modif.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="464" data-original-width="409" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhb5bbc8ODPdYRc-yAWdu0AvdWOtUyCdP4MrEykRurkvPBsL220lh-u2ZglrV2x-OS5XFIf_kVqvTSAEHBKBkNPAFmVnigc0CAwNJQnKd25BEFWA0yTkeAfI9b1pk2moqVD87gy_1m2M2BJ/s320/modif.jpg" width="282" /></a></div>
<div class="MsoListParagraphCxSpMiddle">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p><br /></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p><br /></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="mso-list: l6 level1 lfo2; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">7.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Especifique la ruta UNC al paquete
de modificación. Presione <i style="mso-bidi-font-style: normal;">Ok</i>.<o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p> </o:p></span><span style="text-align: center;"> </span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Su política
de instalación de software se verá como la siguiente.<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDE2bhQ7m8YuXcVNaGFW6GWQZIMKpaYxBQeUspStkrRTBG01wKYRLGt18Z1TXDWdABBFZ1PKOCi4Q3C4IZiQHX6_S2TzFNP1Lxe0pGd712Z6U3_0Tn_ImundIlUm7v49h9AbltijuPO9I4/s1600/result00.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="94" data-original-width="624" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDE2bhQ7m8YuXcVNaGFW6GWQZIMKpaYxBQeUspStkrRTBG01wKYRLGt18Z1TXDWdABBFZ1PKOCi4Q3C4IZiQHX6_S2TzFNP1Lxe0pGd712Z6U3_0Tn_ImundIlUm7v49h9AbltijuPO9I4/s1600/result00.jpg" /></a></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">* Nótese que
esta se ejecuta al iniciar el equipo.<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<br /></div>
<h2>
<a href="https://www.blogger.com/null" name="_Toc504931566"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Creación
de los archivos de configuración</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></h2>
<div class="MsoNormal">
<br /></div>
<div class="MsoListParagraph" style="mso-list: l1 level1 lfo4; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Navegue en la consola a la sección <i style="mso-bidi-font-style: normal;">Computer Configuration / Preferences /
Windows Settings / Files</i><o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l1 level1 lfo4; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Clic derecho <i style="mso-bidi-font-style: normal;">New / File</i>.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle">
<br /></div>
<div class="MsoListParagraphCxSpLast" style="mso-list: l1 level1 lfo4; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Seleccione la acción, en este caso <i style="mso-bidi-font-style: normal;">Create</i> (este método permite actualizar,
remover<span style="mso-spacerun: yes;"> </span>o bien reemplazar archivos.<o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMWdoSqRuc2dK9GWjHUX7s1_JzQIGo3ts3L4BGIIXtnK2Ucf-Po-in-FheFjUz5o59Sfl2qM6P2ovB8nenvwye9l2DMS8U_uSiUy_8_Yp6cGbzQHBF4TYtl235mb3ElCtYxOSnxWV98Z5D/s1600/files.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="467" data-original-width="411" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMWdoSqRuc2dK9GWjHUX7s1_JzQIGo3ts3L4BGIIXtnK2Ucf-Po-in-FheFjUz5o59Sfl2qM6P2ovB8nenvwye9l2DMS8U_uSiUy_8_Yp6cGbzQHBF4TYtl235mb3ElCtYxOSnxWV98Z5D/s1600/files.jpg" /></a></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l1 level1 lfo4; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">4.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Especifique la ruta UNC del archivo
a enviar y la ruta local de donde gusta este se cree. No olvide el nombre del
archivo y su terminación.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjRSYgQjskhJtpkN34heuJILlaCK4U49EpL5u6SKvY0SFPYZl4trZCnzmd5Z_1AulfU4XNe_Hg_4aUlz8c-9tTwNRJBe_oz8yTi7aPu6MGIFGFigFvKB5tZKkdxtlhhyphenhyphenzAJ-fOdsv01gFLG/s1600/files00.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="187" data-original-width="418" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjRSYgQjskhJtpkN34heuJILlaCK4U49EpL5u6SKvY0SFPYZl4trZCnzmd5Z_1AulfU4XNe_Hg_4aUlz8c-9tTwNRJBe_oz8yTi7aPu6MGIFGFigFvKB5tZKkdxtlhhyphenhyphenzAJ-fOdsv01gFLG/s1600/files00.jpg" /></a></div>
<div class="MsoListParagraphCxSpMiddle">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p><br /></o:p></span></div>
<div align="center" class="MsoListParagraphCxSpMiddle" style="text-align: center;">
<span style="mso-no-proof: yes;"><!--[if gte vml 1]><v:shape id="Picture_x0020_19"
o:spid="_x0000_i1044" type="#_x0000_t75" style='width:313.5pt;height:139.5pt;
visibility:visible;mso-wrap-style:square'>
<v:imagedata src="file:///C:\Users\Danny\AppData\Local\Temp\msohtmlclip1\01\clip_image020.png"
o:title=""/>
</v:shape><![endif]--><!--[if !vml]--><!--[endif]--></span><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast">
<br /></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">En este
caso los archivos a enviar son el de configuración (<i style="mso-bidi-font-style: normal;">configuracition.xml</i>) que se debe almacenar en “<i style="mso-bidi-font-style: normal;">C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Network
Access Manager\system\configuration.xml”</i>.<o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><br /></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">También se
debe enviar el archivo de traducción de idioma (<i style="mso-bidi-font-style: normal;">AnyConnect.mo</i>) que se debe de almacenar en “<i style="mso-bidi-font-style: normal;">C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility
Client\l10n\es\LC_MESSAGES\AnyConnect.mo</i>”.<o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><br /></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Consulte la
documentación de Cisco para más información sobre estos.<o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><br /></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Una vez
configurada la política esta lucirá de la siguiente forma.<o:p></o:p></span></div>
<div class="MsoNormal">
<span style="mso-no-proof: yes;"><!--[if gte vml 1]><v:shape
id="Picture_x0020_20" o:spid="_x0000_i1043" type="#_x0000_t75" style='width:468pt;
height:56.25pt;visibility:visible;mso-wrap-style:square'>
<v:imagedata src="file:///C:\Users\Danny\AppData\Local\Temp\msohtmlclip1\01\clip_image021.png"
o:title=""/>
</v:shape><![endif]--><!--[if !vml]--><!--[endif]--></span><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWppTw5yXxOgTjrGGdhmcSoa_RoosQW4v_G7fkLPuRkwBOQi2zEVO0zpR6_brYW0xxfKRdxdmyFk1ihclYJMQT2jf8b4LMubSTFlbv6TXWpvdzW5MIBW9QIZUdsL2k3izoHjBUe-mXGrAP/s1600/files01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="75" data-original-width="624" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWppTw5yXxOgTjrGGdhmcSoa_RoosQW4v_G7fkLPuRkwBOQi2zEVO0zpR6_brYW0xxfKRdxdmyFk1ihclYJMQT2jf8b4LMubSTFlbv6TXWpvdzW5MIBW9QIZUdsL2k3izoHjBUe-mXGrAP/s1600/files01.jpg" /></a></div>
<br />
<h2>
<a href="https://www.blogger.com/null" name="_Toc504931567"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Creación
de llaves de registro (Windows Registry)</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></h2>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Por una
recomendación de Cisco (</span><a href="https://quickview.cloudapps.cisco.com/quickview/bug/CSCuw01496"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">CSCuw01496</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;">) es necesario crear una llave de
registro tipo <i style="mso-bidi-font-style: normal;">DWORD</i> con el valor <i style="mso-bidi-font-style: normal;">1</i>, llamada <i style="mso-bidi-font-style: normal;">LsaAllowReturningUnencryptedSecrets</i>. Esta debe almacenarse en la
ruta <i style="mso-bidi-font-style: normal;">HKLM\SYSTEM\CurrentControlSet\Control\Lsa</i>.<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoListParagraph" style="mso-list: l7 level1 lfo5; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Navegue en la consola a la sección <i style="mso-bidi-font-style: normal;">Computer Configuration / Preferences /
Windows Settings / Registry</i><o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l7 level1 lfo5; text-indent: -.25in;">
<!--[if !supportLists]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Clic derecho <i style="mso-bidi-font-style: normal;">New
/ Registry Item</i>.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle">
<br /></div>
<div class="MsoListParagraphCxSpLast" style="mso-list: l7 level1 lfo5; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Seleccione la acción, en este caso <i style="mso-bidi-font-style: normal;">Create</i> (este método permite actualizar,
remover<span style="mso-spacerun: yes;"> </span>o bien reemplazar ítems del
Registro de Windows).<o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l7 level1 lfo5; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">4.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Especifique la ruta, nombre del
ítem, tipo y valor del mismo, esto según la información provista al inicio de
la sección.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast">
<br /></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Una vez
configurada esta sección de la política esta lucirá de la siguiente forma.<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSyPPGbxeiIP8vtQl3JO_ytP2nYa18N_TiwSdDs4wG1JKCLhruttM1yVyaqAqq6-_dw0hlcH_jliv-urlMA9T5u7kr4Z5jhkKVl8j6qjLAaOGC9PL46t1KubWiC73rrRp9AEqeHL12bkOB/s1600/reg.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="83" data-original-width="624" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSyPPGbxeiIP8vtQl3JO_ytP2nYa18N_TiwSdDs4wG1JKCLhruttM1yVyaqAqq6-_dw0hlcH_jliv-urlMA9T5u7kr4Z5jhkKVl8j6qjLAaOGC9PL46t1KubWiC73rrRp9AEqeHL12bkOB/s1600/reg.jpg" /></a></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<br /></div>
<h2>
<a href="https://www.blogger.com/null" name="_Toc504931568"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Creación
de la política de distribución de software (por archivo BAT)</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></h2>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Este es un
método alternativo, por temas de seguridad y rendimiento el método sugerido es
el anterior.<o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">En la
consola de administración de políticas cree una política nueva en el nivel de
su preferencia.<o:p></o:p></span></div>
<div class="MsoListParagraph" style="mso-list: l5 level1 lfo3; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Navegue en la consola a la sección: <i style="mso-bidi-font-style: normal;">Computer Configuration / Policies / Windows
Settings / Scripts / Startup</i>.<o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l5 level1 lfo3; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Dar clic en <i style="mso-bidi-font-style: normal;">Add</i>.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle">
<br /></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l5 level1 lfo3; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Especifique la ruta UNC al archivo
de comandos.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast">
<br /></div>
<h3>
<a href="https://www.blogger.com/null" name="_Toc504931569"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Detalle
del archivo de comandos</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></h3>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Las
siguientes líneas de código realizas la validación e instalación del software, utilizando
como insumo los archivos MSI y MST mencionados anteriormente, salvar como
archivo tipo BAT en la ruta UNC donde residen los otros archivos.<o:p></o:p></span></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;"><br /></span></i></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">IF EXIST
"C:\Program Files (x86)\Cisco\Cisco AnyConnect VPN
Client\vpndownloader.exe" GOTO :dae<o:p></o:p></span></i></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">ELSE<o:p></o:p></span></i></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">msiexec /i
\\dae-rwdc-100\ISE\anyconnect-win-4.5.03040-core-vpn-predeploy-k9.msi
TRANSFORMS=\\dae-rwdc-100\ISE\anyconnect-win-4.5.03040-core-MOPT.mst /quiet
/passive<o:p></o:p></span></i></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">msiexec /i
\\dae-rwdc-100\ISE\anyconnect-win-4.5.03040-nam-predeploy-k9.msi
TRANSFORMS=\\dae-rwdc-100\ISE\anyconnect-win-4.5.03040-nam-reboot.mst<span style="mso-spacerun: yes;"> </span>/quiet /passive<o:p></o:p></span></i></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">shutdown /t
120 /c "Shutting down, save and close your documents"<o:p></o:p></span></i></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">exit<o:p></o:p></span></i></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">:dae<o:p></o:p></span></i></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">exit<o:p></o:p></span></i></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Código con
comentarios en color verde.<o:p></o:p></span></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;"><br /></span></i></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">IF EXIST
"C:\Program Files (x86)\Cisco\Cisco AnyConnect VPN Client\vpndownloader.exe"
GOTO :dae<o:p></o:p></span></i></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">ELSE </span></i><span lang="ES-CR" style="color: #00b050; font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">SECCION DE
VALIDACION, SI ENCUENTRA EL ARCHIVO vpndownloader.exe VAYA AL PUNTO :dae Y
CONCLUYA. DE EXISTIR DICHO ARCHIVO ES PORQUE EL SOFTWARE YA FUE INSTALADO EN EL
EQUIPO.<o:p></o:p></span></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">msiexec /i
\\dae-rwdc-100\ISE\anyconnect-win-4.5.03040-core-vpn-predeploy-k9.msi
TRANSFORMS=\\dae-rwdc-100\ISE\anyconnect-win-4.5.03040-core-MOPT.mst /quiet
/passive </span></i><span lang="ES-CR" style="color: #00b050; font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">SE INVOCA EL
ARCHIVO DE INSTALACION Y EL DE MODIFICACION CON LOS PARAMETROS ADECUADOS PARA
OMITIR LA INTERVENCION DEL USUARIO<o:p></o:p></span></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">msiexec /i
\\dae-rwdc-100\ISE\anyconnect-win-4.5.03040-nam-predeploy-k9.msi
TRANSFORMS=\\dae-rwdc-100\ISE\anyconnect-win-4.5.03040-nam-reboot.mst<span style="mso-spacerun: yes;"> </span>/quiet /passive </span></i><span lang="ES-CR" style="color: #00b050; font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">SE INVOCA EL ARCHIVO DE INSTALACION Y EL DE
MODIFICACION CON LOS PARAMETROS ADECUADOS PARA OMITIR LA INTERVENCION DEL
USUARIO</span><i style="mso-bidi-font-style: normal;"><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;"><o:p></o:p></span></i></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">shutdown /t 120 /c "Shutting down, save and close your
documents" </span></i><span lang="ES-CR" style="color: #00b050; font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">ORDEN DE APAGADO
EN 120 SEGUNDO, CON COMENTARIO PARA EL USUARIO, ESTE ES OPCIONAL.<o:p></o:p></span></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">exit </span></i><span lang="ES-CR" style="color: #00b050; font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">ORDEN DE SALIDA</span><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;"><o:p></o:p></span></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">:dae </span></i><span lang="ES-CR" style="color: #00b050; font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">PUNTO DEFINIDO
EN EL AREA DE VALIDACION<o:p></o:p></span></div>
<div class="MsoNormal">
<i style="mso-bidi-font-style: normal;"><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">exit </span></i><span lang="ES-CR" style="color: #00b050; font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">ORDEN DE SALIDA</span><i style="mso-bidi-font-style: normal;"><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;"><o:p></o:p></span></i></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><br /></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Esto
también se podría lograr con un archivo tipo PS1, el cual se puede firmar
digitalmente y agregar otros temas de seguridad.<o:p></o:p></span></div>
<div class="MsoToc2" style="tab-stops: right dotted 467.5pt;">
<br /></div>
<div class="MsoToc2" style="tab-stops: right dotted 467.5pt;">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Combine esto con los pasos anteriores de los archivos de configuración y llaves del registro.</span></div>
<h2>
<a href="https://www.blogger.com/null" name="_Toc504931570"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Policita
deshabilitado UAC</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></h2>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Aunque la
recomendación del fabricante es mantener habilitado el UAC existen escenarios
en donde la capa adicional de seguridad que este crea puede entorpecer el
proceso de instalación de algunos productos, por ende se sugiere crear una
política con los siguientes parámetros para facilitar el despliegue del
software. <o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Dicha
política contempla parámetros que buscan ajustar ligeramente el comportamiento
del sistema operativo y procesamiento de las políticas.<o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">En la
consola de administración de políticas cree una política nueva en el nivel de
su preferencia. Este se sugiere concuerde con los anteriores.<o:p></o:p></span></div>
<div class="MsoListParagraph" style="mso-list: l9 level1 lfo6; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Navegue en la consola a la sección: <i style="mso-bidi-font-style: normal;">Computer Configuration / Policies / Windows
Settings / Security Settings / Local Policies / Security Options</i>.<o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj9aT55ccpFarYeiFe71kUO_8T3UOCrLfzCuPK3fyAsqfZuL1aklp3RmqF2RQX7zoMJk72kHcML5uL1DwwZW0ihWH5HOHoEp-ZDtzUaXPlPRJ-PMtXsqwSCEbQ3DtcKQE4JUav_s2XKAYNY/s1600/gpo-sec.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="258" data-original-width="308" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj9aT55ccpFarYeiFe71kUO_8T3UOCrLfzCuPK3fyAsqfZuL1aklp3RmqF2RQX7zoMJk72kHcML5uL1DwwZW0ihWH5HOHoEp-ZDtzUaXPlPRJ-PMtXsqwSCEbQ3DtcKQE4JUav_s2XKAYNY/s1600/gpo-sec.jpg" /></a></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoListParagraph" style="mso-list: l9 level1 lfo6; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Modifique los siguientes 3
parámetros de acuerdo a la imagen.<o:p></o:p></span></div>
<div align="right" class="MsoNormal" style="text-align: right;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjTUhnyyz96TBZWwvK2jhTxLSHLX5zYOiFXnG_K8X8ypy-iH4OD9KvIAyDvsRJjVTdS-e3n4Nu5sQQA-qa1PdWafxoGn5l-rkc6v8mWl6pyoHn1J_1QY9LhNKemP8UEMyRF3xFYxkr1qPq4/s1600/uac.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="172" data-original-width="624" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjTUhnyyz96TBZWwvK2jhTxLSHLX5zYOiFXnG_K8X8ypy-iH4OD9KvIAyDvsRJjVTdS-e3n4Nu5sQQA-qa1PdWafxoGn5l-rkc6v8mWl6pyoHn1J_1QY9LhNKemP8UEMyRF3xFYxkr1qPq4/s1600/uac.png" /></a></div>
<div class="MsoNormal" style="text-align: center;">
<br /></div>
<div align="right" class="MsoNormal" style="text-align: right;">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l9 level1 lfo6; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Navegue en la consola a la sección: <i style="mso-bidi-font-style: normal;">Computer Configuration / Policies / Administrative
Templates / System / Group Policy </i>y modifique el valor detallado.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjdgBpHSqmlWOq34QoR9Xr2vtwBGJoUJim4M1ubjiWPyskSVeHtUS-RLUiX2dIp1nuWRyjgDno2SoMrq_aI3tcwoPTvmkoUpMKmWFZ-2OXM4dxldQdnFTi9M-2fZE0JfOtR5q4LcMWBf0Jc/s1600/uac00.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="83" data-original-width="453" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjdgBpHSqmlWOq34QoR9Xr2vtwBGJoUJim4M1ubjiWPyskSVeHtUS-RLUiX2dIp1nuWRyjgDno2SoMrq_aI3tcwoPTvmkoUpMKmWFZ-2OXM4dxldQdnFTi9M-2fZE0JfOtR5q4LcMWBf0Jc/s1600/uac00.jpg" /></a></div>
<div align="center" class="MsoNormal" style="margin-left: .25in; text-align: center;">
<br /></div>
<div align="center" class="MsoNormal" style="margin-left: .25in; text-align: center;">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l9 level1 lfo6; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">4.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Navegue en la consola a la sección: <i style="mso-bidi-font-style: normal;">Computer Configuration / Policies /
Administrative Templates / System / Logon </i>y modifique el valor detallado.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7UAu00emEi66HmqQ-N7LAAMvsNFaSl92mRc4cqPs82gfizZ5gkbqnDB8scOcbFM4-y4iFxQgx5tRl74CBC-DVRJe1_UsE-dbEztWIBRFm4Re5x9lBH6wEUH-9jADwQMpAFDaOY7tKMGrB/s1600/uac01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="90" data-original-width="450" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7UAu00emEi66HmqQ-N7LAAMvsNFaSl92mRc4cqPs82gfizZ5gkbqnDB8scOcbFM4-y4iFxQgx5tRl74CBC-DVRJe1_UsE-dbEztWIBRFm4Re5x9lBH6wEUH-9jADwQMpAFDaOY7tKMGrB/s1600/uac01.jpg" /></a></div>
<div align="center" class="MsoNormal" style="margin-left: .25in; text-align: center;">
<br /></div>
<div align="center" class="MsoNormal" style="margin-left: .25in; text-align: center;">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l9 level1 lfo6; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">5.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Navegue en la consola a la sección: <i style="mso-bidi-font-style: normal;">Computer Configuration / Policies /
Administrative Templates / Windows Components / Windows Instaler </i>y
modifique el valor detallado.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p><br /></o:p></span></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhR-E4bXf7kPYppQMH8UhEfU8l5j7kVu_xKf01J6htNEKP-2zu2uUCCMqlszfAEUsLoEXV-mtdvmJibmsF1c0T2y9E8858XcJOpvNlpmqHf7jKK222suqd2orSofZZASyZA3MEU5-_pA8tk/s1600/uac02.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="86" data-original-width="439" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhR-E4bXf7kPYppQMH8UhEfU8l5j7kVu_xKf01J6htNEKP-2zu2uUCCMqlszfAEUsLoEXV-mtdvmJibmsF1c0T2y9E8858XcJOpvNlpmqHf7jKK222suqd2orSofZZASyZA3MEU5-_pA8tk/s1600/uac02.jpg" /></a></div>
<div class="MsoListParagraphCxSpLast" style="text-align: center;">
<br /></div>
<div align="center" class="MsoNormal" style="margin-left: .25in; text-align: center;">
<i style="mso-bidi-font-style: normal;"><span style="mso-no-proof: yes;"><!--[if gte vml 1]><v:shape
id="Picture_x0020_25" o:spid="_x0000_i1034" type="#_x0000_t75" style='width:329.25pt;
height:64.5pt;visibility:visible;mso-wrap-style:square'>
<v:imagedata src="file:///C:\Users\Danny\AppData\Local\Temp\msohtmlclip1\01\clip_image035.png"
o:title=""/>
</v:shape><![endif]--><!--[if !vml]--><!--[endif]--></span></i><i style="mso-bidi-font-style: normal;"><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></i></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoListParagraph" style="mso-list: l9 level1 lfo6; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">6.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Navegue en la consola a la sección <i style="mso-bidi-font-style: normal;">Computer Configuration / Preferences /
Windows Settings / Registry</i><o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l9 level1 lfo6; text-indent: -.25in;">
<!--[if !supportLists]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">7.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Clic derecho <i style="mso-bidi-font-style: normal;">New
/ Registry Item</i>.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle">
<br /></div>
<div class="MsoListParagraphCxSpLast" style="mso-list: l9 level1 lfo6; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">8.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Seleccione la acción, en este caso <i style="mso-bidi-font-style: normal;">Create</i> (este método permite actualizar,
remover<span style="mso-spacerun: yes;"> </span>o bien reemplazar ítems del
Registro de Windows).<o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraph" style="mso-list: l0 level1 lfo7; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Cree una llave de registro tipo <i style="mso-bidi-font-style: normal;">DWORD</i> con el valor <i style="mso-bidi-font-style: normal;">0</i>, llamada <i style="mso-bidi-font-style: normal;">HiberbootEnabled</i>.
Esta debe almacenarse en la ruta <i style="mso-bidi-font-style: normal;">HKLM\SYSTEM\</i>
<i style="mso-bidi-font-style: normal;">CurrentControlSet\Control\Session Manager\Power</i><o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Una vez
configurada esta sección de la política esta lucirá de la siguiente forma.<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikcFAdWYS6oeMReUPC8hKioJx3Nz41qM88C8Hyxn5aIlVfpg9aj3yIX4tccmSptkwaoWYt2z8goYVZlUr4hIhxENvp53Bc1OKL7Bb10b_jgWDSmdxfcjri5fYWGlTBHrhF2dU81UmjgCrc/s1600/result01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="68" data-original-width="624" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikcFAdWYS6oeMReUPC8hKioJx3Nz41qM88C8Hyxn5aIlVfpg9aj3yIX4tccmSptkwaoWYt2z8goYVZlUr4hIhxENvp53Bc1OKL7Bb10b_jgWDSmdxfcjri5fYWGlTBHrhF2dU81UmjgCrc/s1600/result01.jpg" /></a></div>
<div class="MsoNormal">
<br /></div>
<h1>
<a href="https://www.blogger.com/null" name="_Toc504931571"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Filtrado
de clientes</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></h1>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">La
políticas grupales pueden ser filtradas de diferentes formas, por su </span><a href="https://msdn.microsoft.com/en-us/library/aa373513(v=vs.85).aspx"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">ubicación</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"> (a nivel de dominio, sitio o bien
unidad organizativa), por </span><a href="https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc752992(v=ws.11)"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">membresía</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"> de grupos (mantenga presente el
concepto me membresías anidadas) o bien por medio de consultas WMI.<o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><br /></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">En este
escenario se utilizaremos filtros WMI, esto para no tener que mantener uno o
varios grupos y sus membresías y poder discriminar sistemas operativos en
versión Server de una forma eficaz.<o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><br /></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Filtros
utilizados:<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">select * from Win32_OperatingSystem WHERE
ProductType="1" AND NOT Version like "10.%"<o:p></o:p></span></div>
<div class="MsoNormal">
<span style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;"><br /></span></div>
<div class="MsoNormal">
<span style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">select * from Win32_OperatingSystem WHERE Version like
"10.%" </span><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">AND ProductType="1"<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Código con
comentarios en color verde.<o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><br /></span></div>
<div class="MsoNormal">
<span style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">select * from Win32_OperatingSystem WHERE
ProductType="1" AND NOT Version like "10.%" </span><span lang="ES-CR" style="color: #00b050; font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">ESTE FILTRO BUSCA EQUIPOS CON SISTEMA
OPERATIVO DE ESTACION DE TRABAJO, NO SERVIDORES. ADICIONALMENTE QUE SU VERSION
NO SEA LA 10.*, LO CUAL SE TRADUCE A CUALQUIERA MENOS WINDOWS 10.<o:p></o:p></span></div>
<div class="MsoNormal">
<span style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">select * from Win32_OperatingSystem WHERE Version like
"10.%" </span><span lang="ES-CR" style="font-size: 9.0pt; line-height: 107%; mso-ansi-language: ES-CR; mso-bidi-font-size: 11.0pt;">AND ProductType="1" <span style="color: #00b050;">ESTE FILTRO BUSCA EQUIPOS CUYO SISTEMA OPERATIVO SEA
VERSION 10.* EN ADELANTE, EXPLICITAMENTE AQUELLOS CON VERSION DE ESTACION DE
TRABAJO, ESTO PARA EVITAR QUE LA POLITICA APLIQUE A LAS ULTIMAS VERSIONES DE
WINDOWS SERVER.<o:p></o:p></span></span></div>
<div class="MsoNormal">
<br /></div>
<h2>
<a href="https://www.blogger.com/null" name="_Toc504931572"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">CREACION
DE FILTRO WMI</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></h2>
<div class="MsoNormal">
<br /></div>
<div class="MsoListParagraph" style="mso-list: l4 level1 lfo8; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Navegue en la consola de
administración de políticas a la sección: <i style="mso-bidi-font-style: normal;">WMI
FIlters</i>.<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l4 level1 lfo8; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Clic derecho <i style="mso-bidi-font-style: normal;">New</i><o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle">
<br /></div>
<div class="MsoListParagraphCxSpLast" style="mso-list: l4 level1 lfo8; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Especifique un nombre,
adicionalmente una descripción (para futuras referencias) y presione <i style="mso-bidi-font-style: normal;">Add</i>.<o:p></o:p></span></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraph" style="mso-list: l4 level1 lfo8; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">4.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Ingrese el texto del filtro,
documentado en el paso anterior.<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<h2>
<a href="https://www.blogger.com/null" name="_Toc504931573"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">APLICACIÓN
DEL FILTRO WMI</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></h2>
<div class="MsoNormal">
<br /></div>
<div class="MsoListParagraph" style="mso-list: l8 level1 lfo9; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Navegue en la consola de
administración de políticas a la política donde desea aplicar el filtro <i style="mso-bidi-font-style: normal;">WMI</i>, en la parte inferior de la etiqueta
<i style="mso-bidi-font-style: normal;">Scope</i> encontrará la opción <i style="mso-bidi-font-style: normal;">WMI Filtering</i>.<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiS0Cju8sk_LhJYnsCs2hjkVMoQ5KROIDz_C-GYn4HY0gyIx3V1Q2UfPRDMWbPFyYzaNUCR7HnwiZI3czy4guT0OUTY3diVWys66-LGzfd6MA57xzPEvgfALiYigDebLW4D6PdCPElcp6xN/s1600/wmis.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="470" data-original-width="326" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiS0Cju8sk_LhJYnsCs2hjkVMoQ5KROIDz_C-GYn4HY0gyIx3V1Q2UfPRDMWbPFyYzaNUCR7HnwiZI3czy4guT0OUTY3diVWys66-LGzfd6MA57xzPEvgfALiYigDebLW4D6PdCPElcp6xN/s1600/wmis.jpg" /></a></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoListParagraph" style="mso-list: l8 level1 lfo9; text-indent: -.25in;">
<!--[if !supportLists]--><span lang="ES-CR" style="mso-ansi-language: ES-CR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Seleccione el filtro a aplicar.<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<h1>
<a href="https://www.blogger.com/null" name="_Toc504931575"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">Resolución
de problemas</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></h1>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Los
siguientes enlaces contienen información y procedimientos útiles para la
resolución de problemas con las políticas, estos pueden deberse a múltiples
factores, desde permisos, resolución de nombres,<span style="mso-spacerun: yes;"> </span>productos de terceros, bloqueos de herencia,
temas propios del diseño de la jerarquía de unidades y/o más.<o:p></o:p></span></div>
<div class="MsoNormal">
<a href="https://blogs.technet.microsoft.com/grouppolicy/2010/02/19/troubleshooting-group-policy/"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">https://blogs.technet.microsoft.com/grouppolicy/2010/02/19/troubleshooting-group-policy/</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></div>
<div class="MsoNormal">
<a href="https://technet.microsoft.com/en-us/library/ff812646.aspx"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">https://technet.microsoft.com/en-us/library/ff812646.aspx</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"><o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">Herramientas
como </span><a href="https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc733160(v=ws.11)"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">GPResult</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;">, </span><a href="https://technet.microsoft.com/en-us/library/bb490983.aspx"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">GPUppdate</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"> y las bitácoras de </span><a href="https://support.microsoft.com/en-us/help/221833/how-to-enable-user-environment-debug-logging-in-retail-builds-of-windo"><span lang="ES-CR" style="mso-ansi-language: ES-CR;">UserEnv</span></a><span lang="ES-CR" style="mso-ansi-language: ES-CR;"> también son de gran ayuda.<o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><br /></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">¡Feliz inicio de semana!</span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><br /></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><br /></span></div>
<div class="MsoNormal">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;">~d</span></div>
<br />daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-19225196000016980972017-05-14T23:36:00.004-06:002017-05-14T23:37:36.852-06:00#WannaCry… de hecho, tú mismo quisiste llorar.<div class="MsoNormal">
Entonces, el pánico del momento es derivado de un protocolo que se empezó a utilizar en mayor escala allá en <a href="https://en.wikipedia.org/wiki/Server_Message_Block#History" target="_blank">1990</a>… y muchos administradores a pesar de la obsolescencia del mismo y la múltiple documentación de sus carencias lo continúan utilizando o bien permitiendo en sus ambientes. Esto sumado a equipos sin actualizaciones. ¿No les suena esto como a negligencia?</div>
<div class="MsoNormal">
Cuántas veces he escuchado un sinfín de escusas respecto a las actualizaciones, cuántas veces se encuentran cosas hechas en la forma "fácil" como por ejemplo deshabilitar el firewall de Windows, claro es más rápido que configurarlos apropiadamente.</div>
<div class="MsoNormal">
¡¿Cuántos gerentes de TI piensan que vivir en la obsolescencia es igual a maximizar el ROI?!</div>
<div class="MsoNormal">
Esto es un tema de no acabar, los banderines de seguridad se muestran y luego son ignorados, una y otra vez... he aquí un artículo de otra vulnerabilidad hace unos meses <a href="https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/">https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/</a> esta también relacionada a SMB v1.</div>
<div class="MsoNormal">
Ahora, quizás con ese temor latente imagino ya han descargado y distribuido los archivos del <a href="https://technet.microsoft.com/library/security/ms17-010" target="_blank">MS17-010</a>… o ¿van también a ignorarlo?</div>
<div class="MsoNormal">
Seamos responsables con nuestros ambientes, con nuestros clientes.</div>
<div class="MsoNormal">
Es una llave de registro la que desactiva este protocolo, que en muchos casos inclusive es innecesario.</div>
<div class="MsoNormal">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQDoke-fOZhG8grHgN-fM9oZV4aqK3JvD8CmMROncLd4hG3bm_f41rXIvziRdyI4VK_nCoFjzOOW0KBrNeihn-1nuZPzDCO6qs14prIA1pd27MoEgg1j5zmDw0IsBCx9PC-NkY5WrTPISH/s1600/smb1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="204" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQDoke-fOZhG8grHgN-fM9oZV4aqK3JvD8CmMROncLd4hG3bm_f41rXIvziRdyI4VK_nCoFjzOOW0KBrNeihn-1nuZPzDCO6qs14prIA1pd27MoEgg1j5zmDw0IsBCx9PC-NkY5WrTPISH/s640/smb1.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Hasta pronto.</div>
daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-29879078993788538132015-06-20T14:22:00.000-06:002017-05-05T08:12:03.395-06:00Políticas para terceros.Bueno esto es algo que un buen amigo me pidió y la verdad se lo debía hace ya tiempo… a veces las 24 horas del día no alcanzan.<br />
Los siguiente parámetros funcionan para deshabilitar las actualizaciones de varios productos de terceros que la verdad aunque sabemos las actualizaciones son parte de cualquier producto a veces es también necesario deshabilitarlas con productos como estos por temas de compatibilidad y similares. En lo personal muchas veces he escuchado la frase “mi producto X no funciona con la nueva versión de Java”.<br />
Ok entonces tenemos una serie de llaves de registro para deshabilitar Java (32 y 64 bits) y luego Acrobat Reader versiones 10 y 11 respectivamente<br />
Todas las llaves son tipo DWORD con el valor 0.<br />
<br />
<em>Hive HKEY_LOCAL_MACHINE</em><br />
<em>Key path SOFTWARE\JavaSoft\Java Update\Policy</em><br />
<em>Value name EnableJavaUpdate</em><br />
<br />
<em>Hive HKEY_LOCAL_MACHINE</em><br />
<em>Key path SOFTWARE\Wow6432Node\JavaSoft\Java Update\Policy</em><br />
<em>Value name EnableJavaUpdate</em><br />
<br />
<em>Hive HKEY_LOCAL_MACHINE</em><br />
<em>Key path SOFTWARE\Policies\Adobe\Acrobat Reader\10.0\FeatureLockDown</em><br />
<em>Value name bUpdater</em><br />
<br />
<em>Hive HKEY_LOCAL_MACHINE</em><br />
<em>Key path SOFTWARE\Policies\Adobe\Acrobat Reader\11.0\FeatureLockDown</em><br />
<em>Value name bUpdater</em><br />
<br />
Estas las vamos a distribuir tomando ventaja de las GPP <a href="https://technet.microsoft.com/en-us/library/cc731892(v=ws.10).aspx">https://technet.microsoft.com/en-us/library/cc731892(v=ws.10).aspx</a><br />
Una gran ventaja de estas es que podemos utilizar el Item Level Targeting <a href="http://www.windowsnetworking.com/articles-tutorials/common/Group-Policy-Preferences-Understanding-Implementing-Item-Level-Targeting.html">http://www.windowsnetworking.com/articles-tutorials/common/Group-Policy-Preferences-Understanding-Implementing-Item-Level-Targeting.html</a> para así discriminar las diferentes arquitecturas (y mucho más).<br />
Ahora para el Flash Player debemos hacer algo ligeramente diferente, crear un archivo que contiene el parámetro para deshabilitar las actualizaciones y enviarlo a los equipos.<br />
Afortunadamente esto es relativamente sencillo por medio también de GPPs, el único punto con que debemos ser cuidadosos en con la codificación del archivo pues debe ser <strong>UTF-8</strong> y llamarse <strong>mms.cfg</strong>.<br />
El contenido de este es una simple línea “<em>AutoUpdateDisable=1</em>”.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj2VO_MRI01MCY5A2uYA91WTXk-fhKvGCJHUkddDmUHQ8WeI9jwEfmR5mkG4kh7gJr9h7MdM3jNRh9ozpFCobhM_3SIBK-6xg6lcnfAqWc8Bm0qYp0Ja4PFDWN-McgTM5V_yy2d29S8oyNC/s1600/mms.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="131" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj2VO_MRI01MCY5A2uYA91WTXk-fhKvGCJHUkddDmUHQ8WeI9jwEfmR5mkG4kh7gJr9h7MdM3jNRh9ozpFCobhM_3SIBK-6xg6lcnfAqWc8Bm0qYp0Ja4PFDWN-McgTM5V_yy2d29S8oyNC/s400/mms.png" width="400" /></a></div>
<br />
Como podemos ver lo he salvado en el SYSVOL para que así todas las maquinas del dominio tengan acceso a este.<br />
<br />
Navegue en el editor de políticas a “<em>Computer Configuration \ Preferences \ Windows Settings \ Files”</em> y agregue los parámetros necesarios indicando la ruta fuente del archivo y la ruta destino que debe ser “<strong>C:\Windows\System32\Macromed\Flash\mms.cfg</strong>”<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjWbIDKvBS3yUKk8EbgmVVrseNlOrVCho5WrjUDd3YRtCOkvZlKdlflbYQEkI7hN01e5_x8OMS3e_OqvJU01mtBDGJnJ3XfzHq49nZ-SId8k0CBgd71ekB7vDuD8Nri820RJh_Sc46Scesb/s1600/mms1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="76" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjWbIDKvBS3yUKk8EbgmVVrseNlOrVCho5WrjUDd3YRtCOkvZlKdlflbYQEkI7hN01e5_x8OMS3e_OqvJU01mtBDGJnJ3XfzHq49nZ-SId8k0CBgd71ekB7vDuD8Nri820RJh_Sc46Scesb/s640/mms1.png" width="640" /></a></div>
<br />
<br />
Despliegue la política y listo.<br />
Que tengan un excelente fin de semana!<br />
<strong>~daemonR00t</strong>daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-6813061001183676712015-06-18T07:45:00.000-06:002017-05-05T07:46:55.722-06:00Migrando DHCPsPor algunas razón en el cosmos últimamente he tenido que migrar unos cuantos DHCPs hacia Windows 2012 R2… quizás por el final de soporte de Windows Server 2003 en menos de un mes?! Créanme… eso nos tiene corriendo a muchos.<br />
Desde 2003 hacia 2012 este proceso se debe de hacer con el viejo y fiel netsh… oh sí! Aunque en 2012 te dice que ya va de salidita aún tiene su utilidad.<br />
<strong>netsh</strong><br />
<strong>dhcp server \\tuServidor2003</strong><br />
<strong>export C:\exports\miDhcpDb all</strong><br />
Como imaginaran con algo muy similar se hace el importado en el servidor 2012 donde previamente instalamos la función de DHCP.<br />
<strong>netsh</strong><br />
<strong>dhcp server \\tuServidor2012</strong><br />
<strong>import C:\exports\miDhcpDb all</strong><br />
<br />
En el caso de Windows Server 2008 en adelante este proceso se pude hacer con Powershell. Desde el mismo equipo 2012 simplemente ejecuta los cmdlets para exportar e importar el DHCP.<br />
<strong>Export-DhcpServer</strong> <a href="https://technet.microsoft.com/en-us/library/jj590659(v=wps.630).aspx">https://technet.microsoft.com/en-us/library/jj590659(v=wps.630).aspx</a><br />
<strong>Import-DhcpServer</strong> <a href="https://technet.microsoft.com/en-us/library/jj553823.aspx">https://technet.microsoft.com/en-us/library/jj553823.aspx</a><br />
<br />
Otra de las cosas que se encuentra uno mucho en la calle es el DHCP junto con tu DC, lo cual sabemos no es lo mejor pero sucede y muy a menudo. Si lo vas a hacer protégete asignando una cuenta de servicio al DHCP. Este articulo <a href="https://support.microsoft.com/en-us/kb/255134">https://support.microsoft.com/en-us/kb/255134</a> aunque un poco viejito aun aplica.<br />
<br />
Otro punto interesante es el balance de carga, pues desde luego tienes mínimo dos controladores y por ende dos DHCPs en tu ambiente, ¿verdad???<br />
Acá tenemos dos equipos SERVER A y SERVER B.<br />
Ambos tienen el mismo ámbito configurado (176.22.0.0/24) solo que en uno de ellos el rango de IPs disponibles es mucho mayor que en el otro, buscando así cierto nivel de tolerancia y balanceo y a su vez designando un equipo como primario para un rango específico. Inclusive se podrían alternar y que un servidor sea primario para algunos rangos y secundario para otros, o bien segregar los rangos de forma equitativa entre ellos.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuNQWvb2a_JSMg_dndPwxGewIQm-EXlnUNDbyCc09q85ueA4iZsCW_KF8JkH9A-B1rQiV16F7U3CekVynahqFyehmLqT2gCMiXqBm4HfZPE8J8tfp2fUso_iCB_juemjQuF1wT1xVpDKsM/s1600/dhcp.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="420" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuNQWvb2a_JSMg_dndPwxGewIQm-EXlnUNDbyCc09q85ueA4iZsCW_KF8JkH9A-B1rQiV16F7U3CekVynahqFyehmLqT2gCMiXqBm4HfZPE8J8tfp2fUso_iCB_juemjQuF1wT1xVpDKsM/s640/dhcp.png" width="640" /></a></div>
<br />
<br />
En este ejemplo se observa lo siguiente:<br />
Mismo rango de reservas en ambos equipos, misma puerta de enlace y otro parámetros que no varían pues es un mismo rango.<br />
SERVER A = asignación de IPs entre la 176.22.0.21 y la 176.22.0.165<br />
SERVER A = DNS primario SERVER A, DNS secundario SERVER B<br />
SERVER B = asignación de IPs entre la 176.22.0.166 y la 176.22.0.253<br />
SERVER B = DNS primario SERVER B, DNS secundario SERVER A<br />
<br />
Bueno, espero este les ayude un poco en sus tareas de migración y también a tener un servicio de DHCP más saludable.<br />
¡Hasta pronto!<br />
<br />
~daemonR00tdaemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-30395960772437408772014-09-19T09:59:00.001-06:002014-09-19T10:00:46.792-06:00Lync Server, arreglando el MS14-055Bueno pues lamentablemente el las cosas salieron mal con el MS14-055 (<a href="https://support.microsoft.com/kb/2990928">https://support.microsoft.com/kb/2990928</a>) y algunos servidores por ahí no pueden arrancar servicios como <em>Lync Server Audio/Video Authentication</em> y el <em>Lync Server Audio/Video Edge</em>.<br />
<br />
Esto sucede en Windows Server 2008R2 con Lync Server 2010. Por ahí se muestran EventIDs 7024, 50007 y/o 12331.<br />
<br />
Ahora para solucionarlo basta reinstalar las actualizaciones, esto con la versión del Abril pues la de Setiembre dado los inconvenientes ha sido temporalmente retirada.<br />
<br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2014/09/lync04.png"><img alt="lync04" class="aligncenter size-large wp-image-766" src="http://sysadmin-cr.com/wp-content/uploads/2014/09/lync04-1024x525.png" height="328" width="640" /></a><br />
<br />
El punto es que al ejecutar el LyncServerupdateInstaller este mostrara que no ningún componente requiere actualización, tampoco existe la opción de reinstalarlos. Lo que debemos hacer es descomprimir los instaladores que este contiene y así proceder con la reinstalación de forma individual.<br />
<br />
Simplemente invoque el instalador desde la consola de comando con el parámetro /ExtractAll<br />
<br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2014/09/lync00.png"><img alt="lync00" class="aligncenter size-full wp-image-758" src="http://sysadmin-cr.com/wp-content/uploads/2014/09/lync00.png" height="43" width="408" /></a><br />
<br />
Esto creara una carpeta llamada Extracted en la ruta actual, su contenido es los diferentes instaladores que necesitamos.<br />
<br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2014/09/lync01a.png"><img alt="lync01a" class="aligncenter size-full wp-image-765" src="http://sysadmin-cr.com/wp-content/uploads/2014/09/lync01a.png" height="62" width="595" /></a><br />
<br />
Proceda y ejecute los archivos <em>OcsCore.msp</em> y <em>Server.msp</em>.<br />
<br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2014/09/lync02.png"><img alt="lync02" class="aligncenter size-full wp-image-760" src="http://sysadmin-cr.com/wp-content/uploads/2014/09/lync02.png" height="344" width="640" /></a><br />
<br />
A continuación reinicie los servicios de Lync Server.<br />
<br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2014/09/lync03.png"><img alt="lync03" class="aligncenter size-full wp-image-761" src="http://sysadmin-cr.com/wp-content/uploads/2014/09/lync03.png" height="105" width="439" /></a><br />
<br />
Luego relájese y cómase un sabroso postre lleno de azúcar para alegrar su día <img alt=":P" class="wp-smiley" src="http://sysadmin-cr.com/wp-includes/images/smilies/icon_razz.gif" /><br />
<br />
Saludos mi gente!<br />
<br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2014/09/chilenaMod.jpg"><img alt="chilenaMod" class="aligncenter size-medium wp-image-767" src="http://sysadmin-cr.com/wp-content/uploads/2014/09/chilenaMod-300x241.jpg" height="241" width="300" /></a>daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-90156693591669596722014-09-19T09:57:00.005-06:002014-09-19T10:01:05.040-06:001 GPO + muchos gpLinkSabemos que las mejores prácticas y sugerencias del fabricante no siempre son acatadas, hoy por ejemplo miraba un ambiente donde hay N bloqueos de herencias de políticas en una estructura ligeramente compleja de OUs.<br />
<br />
Surgió la necesidad de aplicar un GPO nuevo, el cual debía ubicarse justamente en los mismos lugares que otro ya existente.<br />
<br />
Pensando que (en forma simplificada) los GPOs en AD simplemente tienen punteros que utilizan el atributo GPLink (<a href="http://msdn.microsoft.com/en-us/library/cc219956.aspx">http://msdn.microsoft.com/en-us/library/cc219956.aspx</a>) pensé esto sería sencillo, hacer un barrido de los objetos que contuviesen los valores adecuados en dicho atributo y utilizarlo como insumo para el siguiente comando que agregaría el nuevo GPO al atributo, más por la naturaleza del atributo no me fue tan fácil.<br />
<br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2014/09/gpo00.png"><img alt="gpo00" class="aligncenter wp-image-756 size-full" src="http://sysadmin-cr.com/wp-content/uploads/2014/09/gpo00.png" height="400" width="370" /></a><br />
<br />
Luego de varios intentos tuve que recurrir a PowerShell, lo cual no es mi fuerte pero si el de unos amigos <img alt=":)" class="wp-smiley" src="http://sysadmin-cr.com/wp-includes/images/smilies/icon_smile.gif" /> En fin, la siguiente orden busca los OUs donde el GPO1 está aplicado y ese insumo lo utiliza para ligar el GPO2.<br />
<em></em><br />
<em>(Get-ADObject -LDAPFilter “(gplink=*{GPO1 | Select-Object Name -ExpandProperty DistinguishedName) | ForEach-Object {New-GPLink -GUID GPO2 -Target $_}</em><br />
<br />
Explicado es algo como, busque el objeto de AD, donde el GPLink contiene GPO1 | almacene su distinguishedName | ahora por cada uno de estos enlazo la nueva política.<br />
<em></em><br />
<em>(Get-ADObject -LDAPFilter “(gplink=*{6AC1786C-*)” | Select-Object Name -ExpandProperty DistinguishedName) | ForEach-Object {New-GPLink -GUID AE154AC3-B643-4E10-950E-26404961A2A5 -Target $_}</em><br />
<br />
Nótese que acá estoy identificando los objetos por el GUID. Este lo obtiene fácilmente desde el GPMC en la etiqueta Details de cada GPO involucrada tal como muestra la siguiente imagen.<br />
<br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2014/09/gpo01.png"><img alt="gpo01" class="aligncenter size-full wp-image-757" src="http://sysadmin-cr.com/wp-content/uploads/2014/09/gpo01.png" height="314" width="640" /></a><br />
<br />
Hasta pronto!daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-21527783795681057682014-09-19T09:56:00.004-06:002014-09-19T10:01:19.526-06:00Problemas con el Visor de Sucesos.Normalmente el Visor de Sucesos (<em>Event Viewer</em>) es un componente muy noble que no nos causa problemas, curiosamente hace unos días encontré ciertos casos donde este presentaba inconvenientes a nivel funcional y/u operativo.<br />
<br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2014/09/evetView00.png"><img alt="evetView00" class="alignnone size-full wp-image-752" src="http://sysadmin-cr.com/wp-content/uploads/2014/09/evetView00.png" height="159" width="429" /></a><br />
<br />
Algunas de las bitácoras no estaban disponibles, en otros casos el servicio (<em>EventLog</em>) no se podía manipular o bien ni tan siquiera iniciaba.<br />
Luego de filosofar un poco me percate que faltaba una entrada en la lista de control de accesos de la carpeta <em>C:\Windows\System32\WinEvt.</em><br />
<em></em><br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2014/09/evetView01.png"><img alt="evetView01" class="alignnone size-full wp-image-751" src="http://sysadmin-cr.com/wp-content/uploads/2014/09/evetView01.png" height="238" width="468" /></a><br />
<br />
Al agregar dicha entrada y reiniciar el equipo todo volverá a su normalidad. Ese ACE se puede agregar por medio de la interfaz gráfica, únicamente asegúrese de seleccionar el equipo en la opción “<em>Locations</em>” y escriba el nombre de la entidad “<em>NT Service\EventLog</em>” brindándole permisos <em>FULL</em>.<br />
<br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2014/09/evetView02.png"><img alt="evetView02" class="alignnone size-full wp-image-750" src="http://sysadmin-cr.com/wp-content/uploads/2014/09/evetView02.png" height="259" width="468" /></a><br />
<br />
Otra forma de hacerlo es mediante la consola de comandos [<strong><em>icacls C:\Windows\System32\winevt /grant “NT Service\EventLog”:(F)]</em> </strong><br />
<strong></strong><br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2014/09/evetView03.png"><img alt="evetView03" class="alignnone size-full wp-image-749" src="http://sysadmin-cr.com/wp-content/uploads/2014/09/evetView03.png" height="49" width="640" /></a><br />
<br />
Saludos!daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-80957735566087503072014-03-19T07:24:00.004-06:002014-03-19T07:24:53.063-06:00Analizador de Internet HeadersMediante los <i>internet headers</i> de un correo se logra obtener información sobre la ruta que siguió este así como el tiempo que le tomo dar el paso de un servidor u organización a otra.<br />
Estos se pueden mirar fácilmente desde OWA, Outlook más en algunas ocasiones la poca familiaridad con las cabeceras hace que los administradores no las utilicen apropiadamente.<br />
Para solventar esto los amigos de MXToolBox an creado un formidable analizador web gratuito le cual puedes encontrar acá <a href="http://mxtoolbox.com/EmailHeaders.aspx">http://mxtoolbox.com/EmailHeaders.aspx</a><br />
El resultado se obtiene en segundos y de una forma muy detallada.<br />
<br />
<div style="text-align: center;">
<a href="http://sysadmin-cr.com/wp-content/uploads/2014/03/mailHeaderA.png"><img alt="mailHeaderA" class="wp-image-729 aligncenter" height="865" src="http://sysadmin-cr.com/wp-content/uploads/2014/03/mailHeaderA.png" style="height: 525px; width: 549px;" width="1057" /></a></div>
<br />
421 Transmission channel timeout.<br />
Connection to host lost ;-) daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-17556387321682920092014-03-19T06:59:00.002-06:002014-03-19T06:59:30.552-06:00Owa para iPhoneEstaba yo jugando con el flamante Exchange 2013 SP1 lo cual me llevo a descubrir <a href="https://itunes.apple.com/us/app/owa-for-iphone/id659503543?mt=8">Owa para iPhone</a> (si, las manzanitas también derecho de disfrutar de una plataforma de correo corporativo robusta).<br />
Realmente me pareció algo excelente, la experiencia es nítida y totalmente funcional. No tengan temor, pues aunque la página de descarga habla de que este app es para aquellos que tienen su cuenta en Office365 usted también puede disfrutarlo al tener su Exchange 2013 on-premises.<br />
La configuración es algo sumamente sencillo, gracias a temas como al famoso AutoDiscover, no obstante encontré problemas con algunas cuentas, el app simplemente parpadeaba al inicio y no terminaba de cargar, o bien lo hacía por un instante y luego se reiniciaba. Desde luego acá el primer pensamiento es “algo en el dispositivo” pero no fue asi.<br />
Mirando las bitácoras encontré esto:<br />
<i>EventID 1035</i><br />
<i>Description: Exchange ActiveSync doesn’t have sufficient permissions to create the “CN=Danny Castillo,CN=userAccounts,DC=daemonroot,DC=com” container under Active Directory user “Active Directory operation failed on cri-wdc-01.daemonroot.com. This error is not retriable. Additional information: Access is denied.</i><br />
<i>Active directory response: 00000005: SecErr: DSID-03152492, problem 4003 (INSUFF_ACCESS_RIGHTS)…</i><br />
Recordemos que los dispositivos móviles que están ligados a tu buzón se representan por medio de un objeto tipo msExchActiveSyncDevice, el cual yace debajo de nuestra cuenta de usuario en un tipo de contenedor llamado msExchangeActiveSyncDevices. En este caso el usuario en cuestión tiene derechos elevados en el directorio, por lo cual el <i>adminSDHolder</i> le reguarda<br />
Basta con hacer un reset al ACL del objeto usuario para que así Exchange pueda crear los objetos requeridos y listo!<br />
<br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2014/03/easDevice.png"><img alt="easDevice" class="wp-image-726 aligncenter" height="400" src="http://sysadmin-cr.com/wp-content/uploads/2014/03/easDevice.png" width="353" /></a><br />
<br />
Para más información refiérase a esta antiguo post <a href="http://telnet25.blogspot.com/2009/12/el-mito-del-adminsdholder.html">http://telnet25.blogspot.com/2009/12/el-mito-del-adminsdholder.html</a><br />
Y si gusta comparar los diferentes dispositivos móviles y sus prestaciones refiérase a<br />
<a href="http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_clients">http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_clients</a><br />
Hasta pronto!daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-25136183478295789382014-03-12T22:52:00.000-06:002014-03-19T06:59:48.230-06:00Convertir grupos universales a mail enabled.Si usted, al igual que este servidor ha pasado parte de su valioso tiempo buscando como habilitar un grupo universal existente para que este reciba correo pues le comparto la simple solución.<br />
Gracias al orden que mantenemos en nuestro AD todos los objetos tipo <em>group</em> se encuentran en un mismo OU, lo cual facilita mucho el trabajo, entonces lo que haremos es efectuar una búsqueda en dicho contenedor y habilitar los grupos mediante el cmdlet apropiado.<br />
<br />
<a data-mce-href="http://sysadmin-cr.com/wp-content/uploads/2014/03/tlcGroups.png" href="http://sysadmin-cr.com/wp-content/uploads/2014/03/tlcGroups.png"><img alt="tlcGroups" class="alignnone size-full wp-image-720" data-mce-src="http://sysadmin-cr.com/wp-content/uploads/2014/03/tlcGroups.png" src="http://sysadmin-cr.com/wp-content/uploads/2014/03/tlcGroups.png" height="112" width="640" /></a><br />
<br />
<a data-mce-href="http://technet.microsoft.com/en-us/library/aa996594(v=exchg.150).aspx" href="http://technet.microsoft.com/en-us/library/aa996594(v=exchg.150).aspx">Get-Group</a> -OrganizationalUnit nombreOU | <a data-mce-href="http://technet.microsoft.com/en-us/library/aa998916(v=exchg.150).aspx" href="http://technet.microsoft.com/en-us/library/aa998916(v=exchg.150).aspx">Enable-DistributionGroup</a><br />
Listo, así de fácil y rápido es el Power del Shell ;-)daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-29996035993632823012014-01-17T01:09:00.001-06:002014-01-17T01:09:41.967-06:00Cacería de brujas… problemas de rendimiento.<p>Es relativamente regular que afrontamos temas de “el sistema esta lento” y pues debemos dedicarnos a la cacería de brujas para determinar porque ese componente de nuestro ambiente no da un rendimiento óptimo. <p>Sinceramente esto no es tan simple pues la mezcla de componentes agrega complejidad a nuestra ecuación, además existen tareas previas a la implementación de un servicio que muchas veces no son ejecutadas. <p>Veamos algunos puntos que considero le pueden ayudar: <h5></h5> <h5>Análisis de capacidad.</h5> <p>Previo a cualquier implementación o cambio es altamente sugerido evaluar la capacidad actual de los sistemas y su rendimiento, tanto en la actualidad como en la proyección estimada. <p>Además se deben contemplar temas como proyectos (tanto actuales como futuros), así como crecimiento promedio de la institución y otros. Esto debe cotejarse con planes similares de otras áreas para que dicho estudio sea más asertivo. <p>Así con estos datos se podrá pronosticar de una mejor manera las necesidades de los sistemas para poder satisfacer a los clientes. <p>Desde luego junto a esto se debe desarrollar la documentación apropiada de los cambios, evaluación de riesgo, procesos de reversión, criterios de satisfacción y demás. <h5>Configuración para un rendimiento óptimo. </h5> <p>Según la función que vaya a ejecutar el equipo es altamente sugerido realizar ciertos ajustes explícitos para así obtener el máximo rendimiento, Microsoft ha publicado una serie de artículos para este fin, los cuales contemplan diferentes escenarios o funciones según la versión de sistema operativo que se esté utilizando. <p>· <a href="http://msdn.microsoft.com/en-us/library/windows/hardware/dn529133">Performance Tuning Guidelines for Windows Server 2012R2</a> <p>· <a href="http://download.microsoft.com/download/0/0/B/00BE76AF-D340-4759-8ECD-C80BC53B6231/performance-tuning-guidelines-windows-server-2012.docx">Performance Tuning Guidelines for Windows Server 2012</a> <p>· <a href="http://download.microsoft.com/download/6/B/2/6B2EBD3A-302E-4553-AC00-9885BBF31E21/Perf-tun-srv-R2.docx">Performance Tuning Guidelines for Windows Server 2008R2</a> <p>· <a href="http://download.microsoft.com/download/2/8/0/2800a518-7ac6-4aac-bd85-74d2c52e1ec6/tuning.doc">Performance Tuning Guidelines for Windows Server 2003</a> <p>Adicionalmente se sugiere consultar la documentación del producto así como aquella del vendedor del hardware. <p>Puntos como por ejemplo deshabilitar RSS y TCP Chimney pueden tener un gran impacto en el rendimiento general. <p><b>Virtualización?</b> <p>Wow esto a veces se presenta como la cura de todos los males, pero estamos conscientes de las recomendaciones y limitaciones de la virtualización? <p>Algo así de simple como que usted deberá asignar entre un 110% y 125% de los recursos que antes tenía a un equipo virtual para obtener un rendimiento similar al que obtenía cuando era basado en metal. <p>A continuación tres artículos que le aseguro serán muy útiles. <p>6 Best Practices for Physical Servers Hosting Hyper-V Roles <p><a href="http://technet.microsoft.com/en-us/magazine/dd744830.aspx">http://technet.microsoft.com/en-us/magazine/dd744830.aspx</a> <p>Hyper-V: Deployment Best Practices <p><a href="http://social.technet.microsoft.com/wiki/contents/articles/215.hyper-v-deployment-best-practices.aspx">http://social.technet.microsoft.com/wiki/contents/articles/215.hyper-v-deployment-best-practices.aspx</a> <p>Planning for Hyper-V <p><a href="http://technet.microsoft.com/en-us/library/dd283088(v=WS.10).aspx">http://technet.microsoft.com/en-us/library/dd283088(v=WS.10).aspx</a> <h5>Mejoras al MaxConcurrentApi</h5> <p>Esto se refiera a un parámetro que aumenta la cantidad de hilos para autenticación que maneja el equipo, con lo cual se mejora la experiencia de usuario final. No es algo estrictamente relacionado a rendimiento pero si a cómo se maneja el proceso de autenticación, sin el cual no tenemos acceso a nuestros preciados datos. <p><a href="http://blogs.technet.com/b/ad/archive/2008/09/23/ntlm-and-maxconcurrentapi-concerns.aspx">http://blogs.technet.com/b/ad/archive/2008/09/23/ntlm-and-maxconcurrentapi-concerns.aspx</a> <p><a href="http://support.microsoft.com/kb/326040">http://support.microsoft.com/kb/326040</a> <h5>Optimización de los perfiles de poder</h5> <p>Como parte de las iniciativas de “Green IT” y otras similares que buscan ahorrar en temas de consumo energético, el perfil de poder por defecto es el “Balanceado”. <p>Dicho conjunto de parámetros busca un consumo responsable de energía pero limita por ejemplo la utilización del procesador (down clocking), lo cual no permite obtener el rendimiento máximo de este. <p>Es por esto que se sugiere utilizar el perfil de poder de “Alto Rendimiento”. <p>Para asegurar una configuración homogénea es sugerido aplicar estos parámetros por medio de una política grupal o GPO. <p><a href="http://lh6.ggpht.com/-Jwe1W42HUZ8/UtjXGl3_ZMI/AAAAAAAAAUc/B4H-XKW01Sw/s1600-h/clip_image002%25255B3%25255D.jpg"><img title="clip_image002" style="border-top: 0px; border-right: 0px; background-image: none; border-bottom: 0px; padding-top: 0px; padding-left: 0px; margin: 0px; border-left: 0px; display: inline; padding-right: 0px" border="0" alt="clip_image002" src="http://lh6.ggpht.com/-LpfQAWe7IGE/UtjXKJIR1uI/AAAAAAAAAUk/42O2tp4hwOE/clip_image002_thumb.jpg?imgmax=800" width="244" height="113"></a> <p>Más información sobre este tema puede encontrarse en el siguiente enlace <a href="http://support.microsoft.com/kb/2207548">http://support.microsoft.com/kb/2207548</a> <h5>Configuración SMB v2.0</h5> <p><i>Server Message Block (SMB)</i> es el protocolo por defecto para compartir archivos en equipos Windows. Su última versión la 2.0 fue dimensionada para satisfacer las necesidades de los archivos de servidores actuales y futuros, esta versión permite enviar múltiples comandos en un mismo paquete (reduciendo así la cantidad de paquetes enviados entre cliente-servidor), tamaños de buffer mucho mayores, más conexiones concurrentes al igual que una cantidad mayor de recursos compartidos, soporte de <i>Symbolic Links</i> y <i>Durable Handles</i> entre otros. <p>Ahora bien existen casos donde por ejemplo la coexistencia de múltiples versiones de sistemas operativos, así como diferentes capacidades de tarjetas de red y otros que ameritan SMB v2.0 sea deshabilitado. <p>Esto se puede lograr con un rápido cambio en el Windows Registry, específicamente en la llave <b>HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB2</b> <p><b></b> <p><a href="http://lh6.ggpht.com/-_L7B7EdFV_s/UtjXK_keEbI/AAAAAAAAAUs/sfJpC0lsRI0/s1600-h/clip_image004%25255B3%25255D.jpg"><img title="clip_image004" style="border-top: 0px; border-right: 0px; background-image: none; border-bottom: 0px; padding-top: 0px; padding-left: 0px; margin: 0px; border-left: 0px; display: inline; padding-right: 0px" border="0" alt="clip_image004" src="http://lh6.ggpht.com/-83p4Z53IvnY/UtjXLlwfe-I/AAAAAAAAAU0/neLzfoThL4w/clip_image004_thumb.jpg?imgmax=800" width="244" height="119"></a> <p>De hecho los mismos documentos de “<i>Performance tuning</i>” sugieren no habilitar otros servicios y/o prestaciones de SMB a menos que sean estrictamente necesarios/sugeridos tal como SMB signing, cache de lado de clientes, minifiltros, compresión NTFS, encriptado NTFS y otros. <p>Para mayor información refiérase a la sección “Tuning Parameters for SMB File Servers” de dicho documento. <p>Adicionalmente tareas de copiado de archivos pueden ser también optimizadas por ejemplo con los parámetros /Q y /K de <b>xcopy</b>, el primero ayuda a reducir la carga al procesador al reducir la información que se muestra en la consola y el segundo reduce el tráfico en la red. <p><a href="http://technet.microsoft.com/en-us/library/bb491035.aspx">http://technet.microsoft.com/en-us/library/bb491035.aspx</a> <p>Otro ejemplo útil es la utilización del parámetro /MT en <b>robocopy</b> el cual mejora los tiempos de transferencia de archivos al utilizar múltiples threads. <p><a href="http://technet.microsoft.com/en-us/library/cc733145(v=WS.10).aspx">http://technet.microsoft.com/en-us/library/cc733145(v=WS.10).aspx</a> <h5>Aplicación de actualizaciones.</h5> <p>Parte del procedimiento de mantenimiento de los equipos es la instalación de las actualizaciones en un tiempo apropiado. <p>Microsoft publica las actualizaciones el segundo Martes de cada mes, adicionalmente existen excepciones donde una actualización es publicada fuera de este periodo por su alta prioridad. <p>Deben también contemplarse las actualizaciones de productos de terceros así como del fabricante de hardware. <p>Este es un tema tabú, pero ya luego escribiré un poco sobre todo el largo proceso que Microsoft ejecuta previo a la publicación de las actualizaciones. <p>Recuerde también que la carencia de estas puede llevarle inclusive a un punto de no obtener soporte por parte del fabricante. <p>En el caso de máquinas virtuales también contemplarse las actualizaciones de las herramientas y controladores propios de estos llamados <i>Integration Services</i>. <p>En la siguiente imagen se muestra como obtener el número de versión del Integration Services de un equipo o bien visite el siguiente enlace para conocer otro método. <p><a href="http://lh6.ggpht.com/-7dxS6tr4ceg/UtjXMNohIaI/AAAAAAAAAU8/DOSai0GMtHw/s1600-h/clip_image006%25255B3%25255D.jpg"><img title="clip_image006" style="border-top: 0px; border-right: 0px; background-image: none; border-bottom: 0px; padding-top: 0px; padding-left: 0px; border-left: 0px; display: inline; padding-right: 0px" border="0" alt="clip_image006" src="http://lh5.ggpht.com/-R-FWu84lMHM/UtjXMu86BaI/AAAAAAAAAVE/uIt1x5lnyvk/clip_image006_thumb.jpg?imgmax=800" width="244" height="35"></a> <p><a href="http://technet.microsoft.com/en-us/library/ee207413(v=WS.10).aspx">http://technet.microsoft.com/en-us/library/ee207413(v=WS.10).aspx</a> <p>Otro recurso valioso es el sitio <a href="http://catalog.update.microsoft.com/v7/site/Home.aspx">Microsoft Update Catalog</a> donde usted puede obtener información de las actualizaciones y también descargarlas individualmente. <h5>Configuración del antivirus.</h5> <p>No, instalar un antivirus y dar media vuelta no basta. <p>Dichos productos pueden tener un gran impacto en el rendimiento y operación de sus equipos, para más información visite: <p><a href="http://support.microsoft.com/kb/822158">http://support.microsoft.com/kb/822158</a> <p>Veamos por ejemplo algunas de las recomendaciones para los equipos que ejecutan Hyper-V: <p>· Default virtual machine configuration directory (C:\ProgramData\Microsoft\Windows\Hyper-V) <p>· Custom virtual machine configuration directories <p>· Default virtual hard disk drive directory (C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks) <p>· Custom virtual hard disk drive directories <p>· Custom replication data directories, if you are using Hyper-V Replica <p>· Snapshot directories <p>· Vmms.exe (Note: This file may have to be configured as a process exclusion within the antivirus software.) <p>· Vmwp.exe (Note: This file may have to be configured as a process exclusion within the antivirus software.) <h5>Almacenaje</h5> <p>Esto del almacenaje corporativo no es lo mío, simplemente paso molestando a los señores que lo administran solicitando más espacio (lo cual creo todos hacemos) pero veamos un par de cosas... <p>Según las mejores prácticas es altamente recomendado implementar discos que funcionen a 10,000RPM para así obtener un alto rendimiento de estos. <p>También creo van a querer recordar que si hacen un análisis de rendimiento y este muestra un cuello de botella en las colas de disco, pero los tiempos de respuesta de escritura/lectura están bien es sugerido mirar a los <i>HBAs</i> o <i>fabrics</i>, si por el contrario no hay colas en los discos, pero los tiempos de lectura/escritura están por arriba de los 15 (preocupante) o 25 (muy preocupante) milisegundos entonces esto sugiera revisar el almacenamiento en sí. <p>Quizás su aplicativo/servidor necesita discos dedicados versus un volumen X, también hay casos donde un pass-thru disk puede ser la solución, esto cuando tenemos virtualización presente. <p>Como dije esto no es lo mío pero acá encontraran bastante información <a href="http://mcpmag.com/articles/2011/05/12/how-to-speak-san-ish.aspx">http://mcpmag.com/articles/2011/05/12/how-to-speak-san-ish.aspx</a> <h5>Y la red?</h5> <p>Ya sea físico o virtual, tener tarjetas de red dedicadas nos puede ayudar muchísimo por ejemplo escenarios donde necesitas replicar información, dedícale una tarjeta! <p>Y si hablamos de Hyper-V pues aún más, no creo que vayas a obtener un rendimiento óptimo si en una misma tarjeta de red están tu Exchange y ese aplicativo clave al que N usuarios de la compañía se conecta. <p>Ahora, que hay entre los servidores? E visto casos donde un equipo de ruteo no está configurado apropiadamente y este causa un cuello de botella. No les va a agradar, pero igual contacta a los compañeros de redes y verifica esto. <h5>Modificar VMQ (Hyper-V)</h5> <p>Parte de las prestaciones del sistema operativo en conjunto con las tarjetas de red permiten la optimización del control del tráfico en estas, dicha prestación debe manipularse explícitamente en la o las tarjetas donde es requerido, esto es llamado <i>Virtual Machine Queue</i>. <p><a href="http://technet.microsoft.com/en-us/library/gg162704(v=ws.10).aspx">http://technet.microsoft.com/en-us/library/gg162704(v=ws.10).aspx</a> <p><a href="https://social.technet.microsoft.com/wiki/contents/articles/13066.hyper-v-vmq-should-be-enabled-on-vmq-capable-physical-network-adapters-bound-to-an-external-virtual-switch.aspx">https://social.technet.microsoft.com/wiki/contents/articles/13066.hyper-v-vmq-should-be-enabled-on-vmq-capable-physical-network-adapters-bound-to-an-external-virtual-switch.aspx</a> <p>Bueno, ahora creo que la próxima vez que alguien le cuestione sobre el rendimiento de algún componente del ambiente usted se divertirá un buen rato mientras analiza los N ingredientes de esta dulce receta. <p>Hasta pronto!</p> <p>~danny (aka daemonR00t)</p> daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-85602124753516593962013-06-13T12:26:00.000-06:002013-06-13T12:30:03.058-06:00Consultando LDAP.LDAP (si, el corazón de Active Directory) fue hecho para que lo consultemos, pero ¿no les pasa que a veces como que no hacemos las mejores preguntas? Sí, claro tal como cuando hablamos y no nos expresamos de la mejor manera así puede suceder cuando “hablamos” con el directorio.<br />
El primer punto a definir es la base, el punto de partida a partir de donde estoy consultando, este puede ser desde la raíz del dominio, o bien en el contenedor de <em>Sites</em> de la partición de<em> Configuration</em> o porque no desde un <em>Organization Unit</em> explícito. Inclusive si no estamos seguros de la localización del objeto en el bosque pues podríamos consultar al <em>Global Catalog</em> directamente, esto con las restricciones pertinentes (para agregar más atributos al<em> PAS</em> véase <a href="http://support.microsoft.com/kb/248717">http://support.microsoft.com/kb/248717</a> ).<br />
Lo anterior va ligado también al tema del ámbito de nuestra búsqueda, por ejemplo si buscamos un único objeto es sugerido usar la opción de <em>Base</em>. Ahora si buscamos múltiples objetos que se encuentra en un mismo contenedor se recomienda utilizar el ámbito de <em>One-Level</em>, mientras que si no tenemos certeza del almacenamiento de los objetos de nuestra búsqueda es recomendado utilizar la opción de <em>Subtree</em>; esta la podemos ver como una búsqueda recursiva.<br />
Ahora existen atributos que se agregan a un índice, el cual disminuye los tiempos de repuesta y costo de las consultas al directorio, desde luego no todo está indexado, aun así si usted lo requiere puede agregar más atributos al índice siguiente la documentación de este articulo <a href="http://technet.microsoft.com/en-us/library/aa995762(v=EXCHG.65).aspx">http://technet.microsoft.com/en-us/library/aa995762(v=EXCHG.65).aspx</a><br />
Un claro ejemplo de lo anterior son los atributos <em>objectCategory</em> y el <em>objectClass</em>, en este caso el segundo no está indexado, así que se sugiere evitar utilizarlo en la medida de lo posible.<br />
Otra buena práctica es también limitar el resultado, es mucho mejor obtener únicamente aquellos atributos que realmente necesitamos versus todos los atributos del objeto/clase en cuestión.<br />
También con cierta regularidad encuentro ambientes donde las políticas de <em>LDAP</em> son alteradas, cambiando así comportamientos como la paginación, es mejor que el aplicativo sea programado de una forma inteligente que utilice paginación versus poner en riesgo la estabilidad del servicio. Para mayor información refiérase a <a href="http://support.microsoft.com/kb/315071">http://support.microsoft.com/kb/315071</a> .Nótese también que a partir de<em> Windows Server 2008</em> se introducen limites fijos para ciertos parámetros <a href="http://support.microsoft.com/kb/2009267">http://support.microsoft.com/kb/2009267</a><br />
Existen más recomendaciones, por ejemplo para la aplicación apropiada de operadores o bien las búsquedas con <em>ARN</em> y más, sugiero si este tema es de su interese visitar <a href="http://msdn.microsoft.com/en-us/library/ms808539.aspx">http://msdn.microsoft.com/en-us/library/ms808539.aspx</a> Estas recomendaciones aplican tanto para consultas por <em>ADSI</em>, <em>PowerShell</em> u otros métodos.<br />
Ahora <em>Windows Server</em> también nos provee herramientas para la verificación y localización de consultas no optimas, a continuación algunos trucos para esto, simples cambios en el registro de los Controladores de Dominio que generaran las bitácoras apropiadas.<br />
<strong>HKEY_LOCAL_MACHINE\SYSTEM\Current Control Set\Services\NTDS\Diagnostics\ 9 Internal Processing</strong><br />
Al asignar un valor de 4 a esta llave de registro se registrara la utilización de los índices.<br />
<strong>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering</strong><br />
Asignar valor de 4 para generar entradas en la bitácora sobre las consultas costosas o ineficientes generadas durante el último ciclo de recolección (ejecución del <em>Garbage Collector</em> + mantenimiento en línea de la base de datos (cada 12 horas por defecto) o bien un valor de 5 para generar bitácoras por cada una de estas consultas.<br />
<strong>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold</strong><br />
<strong>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient Search Results Threshold</strong><br />
Los elementos anteriores categorizaran las consultas según corresponda, sus valores por defecto son 10000 y 1000 respectivamente. Donde una consulta que visite o toque más de 10000 objetos es considerada costosa y una consulta se cataloga como ineficiente si esta visita más de un-mil objetos y de estos retorna menos de un 10% de estos.<br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2013/06/ldpQuery.png"><img alt="ldpQuery" class="size-full wp-image-687 aligncenter" height="329" src="http://sysadmin-cr.com/wp-content/uploads/2013/06/ldpQuery.png" width="640" /></a><br />
Recuerde, pregunte lo que necesita, reduzca el ámbito de esta pregunta de una forma inteligente y por último filtre el resultado según su necesidad.<br />
Que bien se siente blogguear de Nuevo!daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-52054119484229491062013-06-13T12:24:00.002-06:002013-06-13T12:24:48.392-06:00GPPs, una excelente herramienta.Con Windows 2008 se introdujeron las “Group Policy Preferences”, estas nos brindan una rica experiencia al poder manipular parámetros que antes no estaban disponibles o bien que eran un poco rígidos por así decirlo.<br />
Desde luego existen diferencias entre las políticas regulares que ya conocemos y estas. Como por ejemplo el hecho de que los parámetros de configuración no son forzados, es decir la política te aplica pero aun luego de esto puedes manipular el/los parámetros en cuestión versus una política regular donde las opciones no son manipulables.<br />
Aun así un punto interesante es que al remover un GPP los parámetros originales no se reestablecerán por sí mismos. Otro punto a destacar es que no debemos preocuparnos si por ejemplo el aplicativo al que le estamos buscando aplicar la política o no es capaz de interpretar la política, esto pues las GPP proveen al administrador una interfaz muy amigable para poder hacer modificaciones al registro de Windows, tal como se detalla en la siguiente imagen:<br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2013/02/gpp00.png"><img alt="gpp00" class="size-medium wp-image-630 aligncenter" height="122" src="http://sysadmin-cr.com/wp-content/uploads/2013/02/gpp00-300x122.png" width="300" /></a><br />
Otra diferencia es el punto que podemos configurar un GPP para que aplique una única vez, como sabemos las políticas son refrescadas cada 90 minutos de forma automática, este comportamiento por defecto es compartido pero existen casos donde puede que se necesite aplicar cierta configuración una única vez y también permitir al usuario final manipular esta.<br />
Algo que en lo personal me encanta es el “ítem level targetting”, una prestación que me permite filtrar de una manera muy detallada y minuciosa, por ejemplo basado en la cantidad de RAM, versión del OS y más.<br />
Además, por medio de esto yo en una misma política podría aplicar múltiples filtros, algo que normalmente ameritaría múltiples políticas.<br />
Para utilizar esta opción de filtrado deberá navegar a la etiqueta de “Common” y ahí habilitar la opción de “Item Level Targetting”.<br />
<a href="http://sysadmin-cr.com/wp-content/uploads/2013/02/gpp01.png"><img alt="gpp01" class="size-medium wp-image-631 aligncenter" height="206" src="http://sysadmin-cr.com/wp-content/uploads/2013/02/gpp01-300x206.png" width="300" /></a><br />
Lamentablemente he observado que los GPPs por alguna razón son subutilizados, les insto a tomar unos minutos y valorar esta excelente opción para sus ambientes. Para<br /> mayor información refiérase a <a href="http://www.microsoft.com/en-us/download/details.aspx?id=24449">http://www.microsoft.com/en-us/download/details.aspx?id=24449</a><br /> Hasta pronto!daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-67351327571925123092013-06-13T12:23:00.005-06:002013-06-13T12:23:56.347-06:00Exchange 2010 SP3<em>data</em><br />
Bueno y ya está el Service Pack 3 para Exchange Server 2010 disponible para su descarga <a href="http://www.microsoft.com/en-us/download/details.aspx?id=36768">http://www.microsoft.com/en-us/download/details.aspx?id=36768</a><br />
Este además los fixes acumulativos provee compatibilidad con Exchange 2013, Windows 2012 e inclusive con el Internet Explorer 10.<br />
Y hablando de Exchange 2013 les comento que está buenísimo! Se ha simplificado la infraestructura, ahora solo hay servidores tipo Mailbox y Client Access. Sí, todo lo que es transporte es ahora simplemente un servicio, además nuestro fiel y viejo amigo MAPI (Messaging API RPC) está ahora en desuso… si vamos hacia RPS sobre HTTPS.<br />
También ahora podemos despreocuparnos del tema aquel de los URL internos y externos, que alegría me trae eso… al igual lo que se refiere a métodos de autenticación y certificados se simplifico.<br />
Y si aun así necesitas más razones para moverte al nuevo Exchange, te invito a leer un poco sobre “Managed Availability” <a href="http://blogs.technet.com/b/exchange/archive/2012/09/21/lessons-from-the-datacenter-managed-availability.aspx">http://blogs.technet.com/b/exchange/archive/2012/09/21/lessons-from-the-datacenter-managed-availability.aspx</a><br />
.daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-46236120975472559852013-06-13T12:23:00.002-06:002013-06-13T12:23:32.548-06:00Libros gratis :)¿Y que tal un ebook para aprender sobre esa tecnología o producto que tanto te llama la atención?<br />
Pues ahora es ¡cuando! <a href="http://blogs.msdn.com/b/mssmallbiz/archive/2012/07/27/large-collection-of-free-microsoft-ebooks-for-you-including-sharepoint-visual-studio-windows-phone-windows-8-office-365-office-2010-sql-server-2012-azure-and-more.aspx">http://blogs.msdn.com/b/mssmallbiz/archive/2012/07/27/large-collection-of-free-microsoft-ebooks-for-you-including-sharepoint-visual-studio-windows-phone-windows-8-office-365-office-2010-sql-server-2012-azure-and-more.aspx</a>daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-31031446914949185542013-06-13T12:22:00.004-06:002013-06-13T12:22:40.574-06:00El nuevo ExchangeAun recuerdo mi cambio del mundo de Lotus Notes a Exchange 2000, de hecho desde acá veo los libros de los MOCs que aun conservo en mi librero y wow… ya viene el nuevo Exchange, como pasa el tiempo de rápido cuando uno se divierte.<br />
<a href="http://blogs.technet.com/b/exchange/archive/2012/07/23/the-new-exchange.aspx">http://blogs.technet.com/b/exchange/archive/2012/07/23/the-new-exchange.aspx</a>daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-83512533115926621572013-06-13T12:22:00.002-06:002013-06-13T12:22:24.757-06:00OABValidateComo parte de las múltiples tareas que ejecuta el MSExchageSA esta la generación/actualización de las libretas de direcciones. Esto por defecto se hace diariamente a eso de las 0500 horas, el proceso OABGen es el encargado.<br />
Si gustas ver mas información eleva el detalle del generado de bitácoras (<b><i>Set-EventLogLevel -Identity "MSExchangeSA\OAL Generator" -Level Medium</i></b>).<br />
Existen casos en los que entradas corruptas en el directorio causan que estos procesos fallen, por ejemplo usuarios con direcciones SMTP invalidas, o bien caracteres inválidos o punteros incorrectos como un <b><i>homeMDB</i></b> que apunta a un servidor que ya no existe.<br />
Realmente señalar y arreglar aquellos objetos que están causando estos inconvenientes puede ser una tarea agotadora y que consume muchísimo tiempo, pero con la herramienta OABValidate esto se disminuye a tan solo minutos.<br />
Esta básicamente emula el comportamiento del OABGen y genera un archivo con las entradas corruptas, bingo!<br />
Para mayor información <a href="http://blogs.msdn.com/b/dgoldman/archive/2005/03/31/overview-of-the-oabgen-process.aspx">http://blogs.msdn.com/b/dgoldman/archive/2005/03/31/overview-of-the-oabgen-process.aspx</a><br />
Para bajar el utilitario <a href="http://oabvalidate.codeplex.com/releases/view/72281">http://oabvalidate.codeplex.com/releases/view/72281</a><br />
Hasta muy pronto!daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-34110299218709894772013-06-13T12:21:00.002-06:002013-06-13T12:21:38.301-06:00Consejos de WSUS<span style="font-family: Consolas;">Buenas amigos,</span><br />
<span style="font-family: Consolas;">Acá documento un poco esos despistes u omisiones comunes que tenemos con los servidores de WSUS y los procesos de parcheo, esto basado en el día a día de lo que uno se encuentra en la calle.</span><br />
<span style="font-family: Consolas;">Recordemos que el único “punto negativo” es que WSUS no hace push de los binarios, mas con un script que por ejemplo mi amigo Jimcesse hizo, esto se puede solucionar.</span><br />
<span style="font-family: Consolas;">Primero es optimo que el equipo mismo del WSUS este este actualizado apropiadamente, esto pues las actualizaciones propias de él incluyen entre otros los nuevos productos/categorías que este puede distribuir.</span><br />
<span style="font-family: Consolas;">Seria muy positivo configurar los servidores para que estos nos envíen notificaciones por correo electrónico cuando se descargan nuevas actualizaciones, esto nos avisaría oportunamente sobre nuevos binarios. Dicho reporte puede ser enviado en Español o en muchos otros idiomas de preferencia.</span><br />
<span style="font-family: Consolas;">Acá les muestro un ejemplo de este reporte.</span><br />
<strong>Subject:</strong> WSUS: New Update(s) Alert From SYS-WSUS001<br />
<table border="0" cellpadding="0" cellspacing="0"><tbody>
<tr><td><strong>New Update Alert</strong><strong></strong></td></tr>
<tr><td>The following 17 new updates have been synchronized to BDC-ADMGT001 since Wednesday, May 23, 2012 9:05 AM (GMT).</td></tr>
<tr><td><strong>Critical and Security Updates</strong><strong></strong></td></tr>
<tr><td><a href="http://go.microsoft.com/fwlink/?LinkID=237374"><strong>Security Update for Microsoft .NET Framework 2.0 SP2 on Windows Server 2003 for Itanium-based Systems (KB2656352)</strong></a> <br />A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.</td></tr>
<tr><td><a href="http://go.microsoft.com/fwlink/?LinkID=237374"><strong>Security Update for Microsoft .NET Framework 2.0 SP2 on Windows Server 2003 and Windows XP for x64-based Systems (KB2656352)</strong></a> <br />A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.</td></tr>
</tbody></table>
<span style="font-family: Consolas;">Ahora bien, sobre la división de los grupos; es optimo crear los grupos basados en sistema operativo, arquitectura y función que el servidor desempeña, esto desde luego sin abusar de estos.</span><br />
<span style="font-family: Consolas;">Por ejemplo:</span><br />
<strong><em><span style="font-family: Consolas;">WinServ 2003 / i386 / web (versión del sistema operativo / arquitectura / función)</span></em></strong><br />
<strong><em><span style="font-family: Consolas;">WinServ 2008 / i386 / web</span></em></strong><br />
<strong><em><span style="font-family: Consolas;">WinServ 2008 R2 / x64 /web</span></em></strong><br />
<span style="font-family: Consolas;">*El Service Pack acá no lo estamos tomando en cuenta pues como sabemos las mejores practicas sugieren tener la ultima versión de este instalado, de lo contrario si ese día ando yo con mi gafete de MSFT pues será lo primero que le indique.</span><br />
<span style="font-family: Consolas;">Por orden y respeto a otros compañeros sugiero crear alguna estructura de nombres en la medida de lo posible intuitiva y explicita, algo como</span><br />
<strong><em><span style="font-family: Consolas;">wsus-ws2k3-i386-web</span></em></strong><br />
<strong><em><span style="font-family: Consolas;">wsus-ws2k8-i386-web</span></em></strong><br />
<strong><em><span style="font-family: Consolas;">wsus-ws2k8r2-x64-web</span></em></strong><br />
<span style="font-family: Consolas;">Esta se puede aplicar tanto para los grupos del WSUS mismo y los grupos de seguridad para el filtrado de políticas.</span><br />
<span style="font-family: Consolas;">Cambiando un poco el tema pero sobre la línea del manejo de actualizaciones y parches les comento también un poco sobre la resolución de problemas en el cliente final.</span><br />
<span style="font-family: Consolas;">Todas las actividades relacionadas al agente de actualizaciones de Windows se registran en el archivo <em>windowsupdate.log</em>, que por defecto se ubica en <em>C:\Windows</em>.</span><br />
<span style="font-family: Consolas;">Este archivo afortunadamente es fácil de leer, el muestra información detallada cuando arranca el agente, con que servidor sincroniza, que actualizaciones se encontraron y mas.</span><br />
<span style="font-family: Consolas;">Sugiero lo leas desde la consola con el comando <em>type</em>, este recorrerá el archivo y te muestra las ultimas líneas, que contienen la información mas reciente.</span><br />
<span style="font-family: Consolas;">En el siguiente ejemplo puede ver como leer el archivo local, o bien para un equipo remoto. Desde luego con los permisos respectivos.</span><br />
<em>C:\>type </em><em><a href="file://equiporemoto/C$/Windows/WindowsUpdate.log">\\equipoRemoto\C$\Windows\WindowsUpdate.log</a></em><em></em><br />
<em>2012-05-31 15:00:08:544 6580 1bf4 Misc =========== Logging initialized (build: 7.8.8250.0, tz: -0600) ===========</em><br />
<em>2012-05-31 15:00:08:544 6580 1bf4 Misc = Process: C:\Windows\system32\cscript.exe</em><br />
<em>2012-05-31 15:00:08:544 6580 1bf4 Misc = Module: C:\Windows\System32\wuapi.dll</em><br />
<em>2012-05-31 15:00:08:544 6580 1bf4 COMAPI ———– COMAPI: IUpdateServiceManager::AddService2 ———–</em><br />
<em>2012-05-31 15:00:08:546 6580 1bf4 COMAPI – Service ID = {7971f918-a847-4430-9279-4a52d1efe18d}</em><br />
<em>2012-05-31 15:00:08:596 6580 1bf4 COMAPI – Allow pending registration = Yes; Allow online registration = Yes; Register service with AU = Yes</em><br />
<em>2012-05-31 15:00:08:661 6580 1bf4 COMAPI – Authorization cab path = <null></null></em><br />
<em>2012-05-31 15:00:08:775 6580 1bf4 COMAPI – <span style="background-color: yellow;">Added service, URL = </span><a href="https://winbeta.update.microsoft.com/v6/"><span style="background-color: yellow;">https://winbeta.update.microsoft.com/v6/</span></a></em><br />
<em></em><br />
<em>C:\>type C:\Windows\WindowsUpdate.logm</em><br />
<em>2012-05-31 14:22:13:746 1240 f14 Agent * Added update {79B7AB58-733A-468C-A69A-97FC302409CD}.2 to search result</em><br />
<em>2012-05-31 14:22:13:746 1240 f14 Agent * Added update {1582FC6C-C2B8-426A-90D0-3890B205B654}.2 to search result</em><br />
<em>2012-05-31 14:22:13:747 1240 f14 Agent * Added update {815FBB17-398D-4549-A679-F2F0492BF4D5}.2 to search result</em><br />
<em>2012-05-31 14:22:13:747 1240 f14 Agent * <span style="background-color: yellow;">Found 8 updates and 20 categories in search; evaluated appl. rules of 42 out of 59 deployed entities</span></em><br />
<span style="font-family: Consolas;">Por ejemplo en los ejemplos anteriores fácilmente podemos determinar de donde se están obteniendo las actualizaciones y la cantidad encontradas.</span><br />
<span style="font-family: Consolas;">Para mayor información visite </span><a href="http://support.microsoft.com/kb/902093"><span style="font-family: Consolas;">http://support.microsoft.com/kb/902093</span></a><span style="font-family: Consolas;"> .</span><br />
<span style="font-family: Consolas;">Ahora bien, el agente de actualizaciones corre con el ejecutable <em>wuauclt.exe</em>. Algunos de los parámetros que les pueden ser útiles.</span><br />
<span style="font-family: Consolas;"><em>wuauclt /detectnow</em> (Causa que se detecten y apliquen las actualizaciones que estén aprobadas).</span><br />
<span style="font-family: Consolas;"><em>wuauclt /reportnow</em> (Causa que el cliente reporte al WSUS su estado/necesidad de actualizaciones).</span><br />
<span style="font-family: Consolas;"><em>wuauclt /resetauthorization</em> (Hace un tipo de reset entre el cliente y el servidor al que este le reporta).</span><br />
<span style="font-family: Consolas;">Algo muy útil para ejecutar procesos en equipos remotos es el utilitario PsExec, sugiero lo mires </span><a href="http://technet.microsoft.com/es-es/sysinternals/bb897553"><span style="font-family: Consolas;">http://technet.microsoft.com/es-es/sysinternals/bb897553</span></a><br />
<span style="font-family: Consolas;">Son muy pocos los casos en los que he encontrado problemas del agente en si, lo mas que he tenido con clientes que por otros problemas no reportan en u largo tiempo entonces ejecuto un “<em>wuauclt /resetauthorization /detectnow</em>”, lo cual como les comente recrea la relación entre el cliente y el servidor WSUS y además en este caso iniciaría el proceso de instalación y reporte posterior (de haber paquetes ya autorizados) o bien una versión muy viejita de este.</span><br />
<span style="font-family: Consolas;">Recordemos que las actualizaciones son publicadas el segundo martes de cada mes aunque también existen aquellas criticas que simplemente no pueden esperar y por ultimo que un WSUS puede servirle a múltiples dominios e inclusive equipos fuera del contexto de seguridad del dominio, siempre y cuando las redes nos permitan una comunicación efectiva.</span><br />
<span style="font-family: Consolas;">Suerte amigos y recuerden de mantener sus sistema actualizados.</span>daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-56138467142545584352013-06-13T12:20:00.001-06:002013-06-13T12:20:47.415-06:00Versión de esquema 52.<span style="font-family: Consolas;">Para esos curiosos, esto es lo que trae la versión del esquema 52 (Windows Server 8 Consumer Preview).</span><br />
<em>ldapDisplayName: msDS-MembersOfResourcePropertyList</em><br />
<em>adminDescription: For a resource property list object, this multi-valued link attribute points to one or more resource property objects.</em><br />
<em>ldapDisplayName: msDS-MembersOfResourcePropertyListBL</em><br />
<em>adminDescription: Backlink for ms-DS-Members-Of-Resource-Property-List. For a resource property object, this attribute references the resource property list object that it is a member of.</em><br />
<em>ldapDisplayName: msDS-ClaimValueType</em><br />
<em>adminDescription: For a claim type object, specifies the value type of the claims issued.</em><br />
<em>ldapDisplayName: msDS-ClaimPossibleValues</em><br />
<em>adminDescription: For a claim type or resource property object, this attribute describes the values suggested to a user when the he/she use the claim type or resource property in applications.</em><br />
<em>ldapDisplayName: msDS-ClaimAttributeSource</em><br />
<em>adminDescription: For a claim type object, this attribute points to the attribute that will be used as the source for the claim type.</em><br />
<em>ldapDisplayName: msDS-ClaimTypeAppliesToClass</em><br />
<em>adminDescription: For a claim type object, this linked attribute points to the AD security principal classes that for which claims should be issued. (For example, a link to the user class).</em><br />
<em>ldapDisplayName: msDS-ClaimSharesPossibleValuesWith</em><br />
<em>adminDescription: For a resource property object, this attribute indicates that the suggested values of the claims issued are defined on the object that this linked attribute points to. Overrides ms-DS-Claim-Possible-Values on itself, if populated.</em><br />
<em>ldapDisplayName: msDS-ClaimSharesPossibleValuesWithBL</em><br />
<em>adminDescription: For a claim type object, this attribute indicates that the possible values described in ms-DS-Claim-Possible-Values are being referenced by other claim type objects.</em><br />
<em>ldapDisplayName: msDS-IsUsedAsResourceSecurityAttribute</em><br />
<em>adminDescription: For a resource property, this attribute indicates whether it is being used as a secure attribute.</em><br />
<em>ldapDisplayName: msSPP-KMSIds</em><br />
<em>adminDescription: KMS IDs enabled by the Activation Object</em><br />
<em>ldapDisplayName: msSPP-CSVLKPid</em><br />
<em>adminDescription: ID of CSVLK product-key used to create the Activation Object</em><br />
<em>ldapDisplayName: msSPP-CSVLKSkuId</em><br />
<em>adminDescription: SKU ID of CSVLK product-key used to create the Activation Object</em><br />
<em>ldapDisplayName: msSPP-PhoneLicense</em><br />
<em>adminDescription: License used during phone activation of the Active Directory forest</em><br />
<em>ldapDisplayName: msSPP-ConfigLicense</em><br />
<em>adminDescription: Product-key configuration license used during online/phone activation of the Active Directory forest</em><br />
<em>ldapDisplayName: msSPP-OnlineLicense</em><br />
<em>adminDescription: License used during online activation of the Active Directory forest</em><br />
<em>ldapDisplayName: msSPP-ConfirmationId</em><br />
<em>adminDescription: Confirmation ID (CID) used for phone activation of the Active Directory forest</em><br />
<em>ldapDisplayName: msSPP-InstallationId</em><br />
<em>adminDescription: Installation ID (IID) used for phone activation of the Active Directory forest</em><br />
<em>ldapDisplayName: msSPP-IssuanceLicense</em><br />
<em>adminDescription: Issuance license used during online/phone activation of the Active Directory forest</em><br />
<em>ldapDisplayName: msSPP-CSVLKPartialProductKey</em><br />
<em>adminDescription: Last 5 characters of CSVLK product-key used to create the Activation Object</em><br />
<em>ldapDisplayName: msTPM-SrkPubThumbprint</em><br />
<em>adminDescription: This attribute contains the thumbprint of the SrkPub corresponding to a particular TPM. This helps to index the TPM devices in the directory.</em><br />
<em>ldapDisplayName: msTPM-OwnerInformationTemp</em><br />
<em>adminDescription: This attribute contains temporary owner information for a particular TPM.</em><br />
<em>ldapDisplayName: msTPM-TpmInformationForComputer</em><br />
<em>adminDescription: This attribute links a Computer object to a TPM object.</em><br />
<em>ldapDisplayName: msTPM-TpmInformationForComputerBL</em><br />
<em>adminDescription: This attribute links a TPM object to the Computer objects associated with it.</em><br />
<em>ldapDisplayName: msDS-ClaimTypes</em><br />
<em>adminDescription: A container of this class can contain claim type objects.</em><br />
<em>ldapDisplayName: msDS-ResourcePropertyList</em><br />
<em>adminDescription: An object of this class contains a list of resource properties.</em><br />
<em>ldapDisplayName: msDS-ResourceProperties</em><br />
<em>adminDescription: A container of this class can contain resource properties.</em><br />
<em>ldapDisplayName: msDS-ClaimTypePropertyBase</em><br />
<em>adminDescription: An abstract class that defines the base class for claim type or resource property classes.</em><br />
<em>ldapDisplayName: msDS-ResourceProperty</em><br />
<em>adminDescription: An instance of this class holds the definition of a property on resources.</em><br />
<em>ldapDisplayName: msDS-ClaimType</em><br />
<em>adminDescription: An instance of this class holds the definition of a claim type that can be defined on security principals.</em><br />
<em>ldapDisplayName: msSPP-ActivationObjectsContainer</em><br />
<em>adminDescription: Container for Activation Objects used by Active Directory based activation</em><br />
<em>ldapDisplayName: msSPP-ActivationObject</em><br />
<em>adminDescription: Activation Object used in Active Directory based activation</em><br />
<em>ldapDisplayName: msTPM-InformationObjectsContainer</em><br />
<em>adminDescription: Container for TPM objects.</em><br />
<em>ldapDisplayName: msTPM-InformationObject</em><br />
<em>adminDescription: This class contains recovery information for a Trusted Platform Module (TPM) device.</em><br />
<em>ldapDisplayName: msDNS-IsSigned</em><br />
<em>adminDescription: An attribute used to define whether or not the DNS zone is signed.</em><br />
<em>ldapDisplayName: msDNS-NSEC3OptOut</em><br />
<em>adminDescription: An attribute used to define whether or not the DNS zone should be signed using NSEC opt-out.</em><br />
<em>ldapDisplayName: msDNS-SigningKeys</em><br />
<em>adminDescription: An attribute that contains the set of encrypted DNSSEC signing keys used by the DNS server to sign the DNS zone.</em><br />
<em>ldapDisplayName: msDNS-SignWithNSEC3</em><br />
<em>adminDescription: An attribute used to define whether or not the DNS zone is signed with NSEC3.</em><br />
<em>ldapDisplayName: msDNS-NSEC3UserSalt</em><br />
<em>adminDescription: An attribute that defines a user-specified NSEC3 salt string to use when signing the DNS zone. If empty, random salt will be used.</em><br />
<em>ldapDisplayName: msDNS-DNSKEYRecords</em><br />
<em>adminDescription: An attribute that contains the DNSKEY record set for the root of the DNS zone and the root key signing key signature records.</em><br />
<em>ldapDisplayName: msDNS-DSRecordSetTTL</em><br />
<em>adminDescription: An attribute that defines the time-to-live (TTL) value assigned to DS records when signing the DNS zone.</em><br />
<em>ldapDisplayName: msDNS-KeymasterZones</em><br />
<em>adminDescription: A list of Active Directory-integrated zones for which the DNS server is the keymaster.</em><br />
<em>ldapDisplayName: msDNS-NSEC3Iterations</em><br />
<em>adminDescription: An attribute that defines how many NSEC3 hash iterations to perform when signing the DNS zone.</em><br />
<em>ldapDisplayName: msDNS-PropagationTime</em><br />
<em>adminDescription: An attribute used to define in seconds the expected time required to propagate zone changes through Active Directory.</em><br />
<em>ldapDisplayName: msDNS-NSEC3CurrentSalt</em><br />
<em>adminDescription: An attribute that defines the current NSEC3 salt string being used to sign the DNS zone.</em><br />
<em>ldapDisplayName: msDNS-RFC5011KeyRollovers</em><br />
<em>adminDescription: An attribute that defines whether or not the DNS zone should be maintained using key rollover procedures defined in RFC 5011.</em><br />
<em>ldapDisplayName: msDNS-NSEC3HashAlgorithm</em><br />
<em>adminDescription: An attribute that defines the NSEC3 hash algorithm to use when signing the DNS zone.</em><br />
<em>ldapDisplayName: msDNS-DSRecordAlgorithms</em><br />
<em>adminDescription: An attribute used to define the algorithms used when writing the dsset file during zone signing.</em><br />
<em>ldapDisplayName: msDNS-DNSKEYRecordSetTTL</em><br />
<em>adminDescription: An attribute that defines the time-to-live (TTL) value assigned to DNSKEY records when signing the DNS zone.</em><br />
<em>ldapDisplayName: msDNS-MaintainTrustAnchor</em><br />
<em>adminDescription: An attribute used to define the type of trust anchor to automatically publish in the forest-wide trust anchor store when the DNS zone is signed.</em><br />
<em>ldapDisplayName: msDNS-NSEC3RandomSaltLength</em><br />
<em>adminDescription: An attribute that defines the length in bytes of the random salt used when signing the DNS zone.</em><br />
<em>ldapDisplayName: msDNS-SigningKeyDescriptors</em><br />
<em>adminDescription: An attribute that contains the set of DNSSEC Signing Key Descriptors (SKDs) used by the DNS server to generate keys and sign the DNS zone.</em><br />
<em>ldapDisplayName: msDNS-SignatureInceptionOffset</em><br />
<em>adminDescription: An attribute that defines in seconds how far in the past DNSSEC signature validity periods should begin when signing the DNS zone.</em><br />
<em>ldapDisplayName: msDNS-ParentHasSecureDelegation</em><br />
<em>adminDescription: An attribute used to define whether the parental delegation to the DNS zone is secure.</em><br />
<em>ldapDisplayName: msDNS-SecureDelegationPollingPeriod</em><br />
<em>adminDescription: An attribute that defines in seconds the time between polling attempts for child zone key rollovers.</em><br />
<em>ldapDisplayName: msAuthz-MemberRulesInCentralAccessPolicy</em><br />
<em>adminDescription: For a central access policy, this attribute identifies the central access rules that comprise the policy.</em><br />
<em>ldapDisplayName: msAuthz-MemberRulesInCentralAccessPolicyBL</em><br />
<em>adminDescription: Backlink for ms-Authz-Member-Rules-In-Central-Access-Policy. For a central access rule object, this attribute references one or more central access policies that point to it.</em><br />
<em>ldapDisplayName: msDS-ClaimSource</em><br />
<em>adminDescription: For a claim type, this attribute indicates the source of the claim type. For example, the source can be certificate.</em><br />
<em>ldapDisplayName: msAuthz-ProposedSecurityPolicy</em><br />
<em>adminDescription: For a Central Access Policy Entry, defines the proposed security policy of the objects the CAPE is applied to.</em><br />
<em>ldapDisplayName: msDS-ClaimSourceType</em><br />
<em>adminDescription: For a security principal claim type, lists the type of store the issued claim is sourced from</em><br />
<em>ldapDisplayName: msAuthz-EffectiveSecurityPolicy</em><br />
<em>adminDescription: For a central access rule, this attribute defines the permission that is applying to the target resources on the central access rule.</em><br />
<em>ldapDisplayName: msDS-ClaimIsSingleValued</em><br />
<em>adminDescription: For a claim type object, this attribute identifies if the claim type or resource property can only contain single value.</em><br />
<em>ldapDisplayName: msAuthz-LastEffectiveSecurityPolicy</em><br />
<em>adminDescription: For a Central Access Policy Entry, defines the security policy that was last applied to the objects the CAPE is applied to.</em><br />
<em>ldapDisplayName: msAuthz-ResourceCondition</em><br />
<em>adminDescription: For a central access rule, this attribute is an expression that identifies the scope of the target resource to which the policy applies.</em><br />
<em>ldapDisplayName: msDS-ClaimIsValueSpaceRestricted</em><br />
<em>adminDescription: For a claim type, this attribute identifies whether a user can input values other than those described in the msDS-ClaimPossibleValues in applications.</em><br />
<em>ldapDisplayName: msAuthz-CentralAccessPolicyID</em><br />
<em>adminDescription: For a Central Access Policy, this attribute defines a GUID that can be used to identify the set of policies when applied to a resource.</em><br />
<em>ldapDisplayName: msDS-GenerationId</em><br />
<em>adminDescription: For virtual machine snapshot resuming detection. This attribute represents the VM Generation ID.</em><br />
<em>replace: adminDescription</em><br />
<em>adminDescription: For a claim type object, indicates that the possible values of the claims issued are defined on the object this linked attribute points to; overrides msDS-ClaimPossibleValues, msDS-ClaimValueType, and msDS-ClaimIsValueSpaceRestricted, if populated.</em><br />
<em>ldapDisplayName: msDNS-ServerSettings</em><br />
<em>adminDescription: A container for storing DNS server settings.</em><br />
<em>ldapDisplayName: msAuthz-CentralAccessPolicies</em><br />
<em>adminDescription: A container of this class can contain Central Access Policy objects.</em><br />
<em>ldapDisplayName: msAuthz-CentralAccessRules</em><br />
<em>adminDescription: A container of this class can contain Central Access Policy Entry objects.</em><br />
<em>ldapDisplayName: msAuthz-CentralAccessRule</em><br />
<em>adminDescription: A class that defines Central Access Rules used to construct a central access policy.</em><br />
<em>ldapDisplayName: msAuthz-CentralAccessPolicy</em><br />
<em>adminDescription: A class that defines Central Access Policy objects.</em><br />
<em>ldapDisplayName: msDS-AllowedToActOnBehalfOfOtherIdentity</em><br />
<em>adminDescription: This attribute is used for access checks to determine if a requestor has permission to act on the behalf of other identities to services running as this account.</em><br />
<em>ldapDisplayName: msKds-Version</em><br />
<em>adminDescription: Version number of this root key.</em><br />
<em>ldapDisplayName: msKds-DomainID</em><br />
<em>adminDescription: Distinguished name of the Domain Controller which generated this root key.</em><br />
<em>ldapDisplayName: msKds-KDFParam</em><br />
<em>adminDescription: Parameters for the key derivation algorithm.</em><br />
<em>ldapDisplayName: msKds-CreateTime</em><br />
<em>adminDescription: The time when this root key was created.</em><br />
<em>ldapDisplayName: msKds-RootKeyData</em><br />
<em>adminDescription: Root key.</em><br />
<em>ldapDisplayName: msDS-PrimaryComputer</em><br />
<em>adminDescription: For a user or group object, identifies the primary computers.</em><br />
<em>ldapDisplayName: msKds-UseStartTime</em><br />
<em>adminDescription: The time after which this root key may be used.</em><br />
<em>ldapDisplayName: msImaging-HashAlgorithm</em><br />
<em>adminDescription: Contains the name of the hash algorithm used to create the Thumbprint Hash for the Scan Repository/Secure Print Device.</em><br />
<em>ldapDisplayName: msKds-KDFAlgorithmID</em><br />
<em>adminDescription: The algorithm name of the key derivation function used to compute keys.</em><br />
<em>ldapDisplayName: msImaging-ThumbprintHash</em><br />
<em>adminDescription: Contains a hash of the security certificate for the Scan Repository/Secure Print Device.</em><br />
<em>ldapDisplayName: msKds-PublicKeyLength</em><br />
<em>adminDescription: The length of the secret agreement public key.</em><br />
<em>ldapDisplayName: msKds-PrivateKeyLength</em><br />
<em>adminDescription: The length of the secret agreement private key.</em><br />
<em>ldapDisplayName: msDS-IsPrimaryComputerFor</em><br />
<em>adminDescription: Backlink atribute for msDS-IsPrimaryComputer.</em><br />
<em>ldapDisplayName: msKds-SecretAgreementParam</em><br />
<em>adminDescription: The parameters for the secret agreement algorithm.</em><br />
<em>ldapDisplayName: msKds-SecretAgreementAlgorithmID</em><br />
<em>adminDescription: The name of the secret agreement algorithm to be used with public keys.</em><br />
<em>ldapDisplayName: msDS-ValueTypeReference</em><br />
<em>adminDescription: This attribute is used to link a resource property object to its value type.</em><br />
<em>ldapDisplayName: msDS-ValueTypeReferenceBL</em><br />
<em>adminDescription: This is the back link for ms-DS-Value-Type-Reference. It links a value type object back to resource properties.</em><br />
<em>ldapDisplayName: msDS-IsPossibleValuesPresent</em><br />
<em>adminDescription: This attribute identifies if ms-DS-Claim-Possible-Values on linked resource property must have value or must not have value.</em><br />
<em>ldapDisplayName: msKds-ProvRootKey</em><br />
<em>adminDescription: Root keys for the Group Key Distribution Service.</em><br />
<em>ldapDisplayName: msKds-ProvServerConfiguration</em><br />
<em>adminDescription: Configuration for the Group Key Distribution Service.</em><br />
<em>ldapDisplayName: msDS-ValueType</em><br />
<em>adminDescription: An value type object holds value type information for a resource property.</em><br />
<em>ldapDisplayName: msDS-TransformationRules</em><br />
<em>adminDescription: Specifies the Transformation Rules for Cross-Forest Claims Transformation.</em><br />
<em>ldapDisplayName: msDS-AppliesToResourceTypes</em><br />
<em>adminDescription: For a resource property, this attribute indicates what resource types this resource property applies to.</em><br />
<em>ldapDisplayName: msDS-TransformationRulesCompiled</em><br />
<em>adminDescription: Blob containing compiled transformation rules.</em><br />
<em>ldapDisplayName: msDS-EgressClaimsTransformationPolicy</em><br />
<em>adminDescription: This is a link to a Claims Transformation Policy Object for the egress claims (claims leaving this forest) to the Trusted Domain. This is applicable only for an incoming or bidirectional Cross-Forest Trust. When this link is not present, all claims are allowed to egress as-is.</em><br />
<em>ldapDisplayName: msDS-IngressClaimsTransformationPolicy</em><br />
<em>adminDescription: This is a link to a Claims Transformation Policy Object for the ingress claims (claims entering this forest) from the Trusted Domain. This is applicable only for an outgoing or bidirectional Cross-Forest Trust. If this link is absent, all the ingress claims are dropped.</em><br />
<em>ldapDisplayName: msDS-TDOEgressBL</em><br />
<em>adminDescription: Backlink to TDO Egress rules link on object.</em><br />
<em>ldapDisplayName: msDS-TDOIngressBL</em><br />
<em>adminDescription: Backlink to TDO Ingress rules link on object.</em><br />
<em>ldapDisplayName: msDS-ManagedPassword</em><br />
<em>adminDescription: This attribute is the managed password data for a group MSA.</em><br />
<em>ldapDisplayName: msDS-ManagedPasswordId</em><br />
<em>adminDescription: This attribute is the identifier for the current managed password data for a group MSA.</em><br />
<em>ldapDisplayName: msDS-GroupMSAMembership</em><br />
<em>adminDescription: This attribute is used for access checks to determine if a requestor has permission to retrieve the password for a group MSA.</em><br />
<em>ldapDisplayName: msDS-GeoCoordinatesAltitude</em><br />
<em>adminDescription: ms-DS-GeoCoordinates-Altitude</em><br />
<em>ldapDisplayName: msDS-GeoCoordinatesLatitude</em><br />
<em>adminDescription: ms-DS-GeoCoordinates-Latitude</em><br />
<em>ldapDisplayName: msDS-GeoCoordinatesLongitude</em><br />
<em>adminDescription: ms-DS-GeoCoordinates-Longitude</em><br />
<em>ldapDisplayName: msDS-ManagedPasswordInterval</em><br />
<em>adminDescription: This attribute is used to retrieve the number of days before a managed password is automatically changed for a group MSA.</em><br />
<em>ldapDisplayName: msDS-ManagedPasswordPreviousId</em><br />
<em>adminDescription: This attribute is the identifier for the previous managed password data for a group MSA.</em><br />
<em>ldapDisplayName: msDS-ClaimsTransformationPolicies</em><br />
<em>adminDescription: An object of this class holds the one set of Claims Transformation Policy for Cross-Forest Claims Transformation.</em><br />
<em>ldapDisplayName: msDS-ClaimsTransformationPolicyType</em><br />
<em>adminDescription: An object of this class holds the one set of Claims Transformation Policy for Cross-Forest Claims Transformation.</em><br />
<em>ldapDisplayName: msDS-GroupManagedServiceAccount</em><br />
<em>adminDescription: The group managed service account class is used to create an account which can be shared by different computers to run Windows services.</em><br />
<em>ldapDisplayName: msDS-RIDPoolAllocationEnabled</em><br />
<em>adminDescription: This attribute indicates whether RID pool allocation is enabled or not.</em><br />
<em>ldapDisplayName: netbootDUID</em><br />
<em>adminDescription: This attribute is used to store DHCPv6 DUID device ID.</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute1</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute2</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute3</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute4</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute5</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute6</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute7</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute8</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute9</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute10</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute11</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute12</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute13</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute14</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute15</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute16</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute17</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute18</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute19</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>lDAPDisplayName: msDS-cloudExtensionAttribute20</em><br />
<em>adminDescription: An attribute used to house an arbitrary cloud-relevant string</em><br />
<em>ldapDisplayName: msDS-CloudExtensions</em><br />
<em>adminDescription: A collection of attributes used to house arbitrary cloud-relevant strings</em><br />
<br />
<span style="font-family: Consolas;">Interesante como se ven cosas relacionadas a la nube…</span>daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-26288761840282336172013-06-13T12:19:00.002-06:002013-06-13T12:19:35.358-06:00Sobre las bitácoras de Exchange.<span style="font-family: Consolas;">Sabias que referente a las bitácoras de envío/recepción de correo en Microsoft Exchange Server existen limites de retención basados en la fecha de creación así como tamaño máximo de los archivos y de la carpeta que los contiene?</span><br />
<span style="font-family: Consolas;">Es una omisión muy común el únicamente configurar tu servidor para que mantenga las bitácoras por un tiempo determinado, obviando los otros dos puntos anteriores.</span><br />
<span style="font-family: Consolas;">Claro, todo va a funcionar perfecto hasta que nuestro jefe nos pida rastrear aquel correo de vida a muerte y kabum…</span><br />
<span style="font-family: Consolas;">Estos parámetros los podemos manejar con el siguiente cmdlet:</span><br />
<b><i><span style="font-family: Consolas;">Set-TransportServer -Identity SYS-EXHT-01 -SendProtocolLogMaxDirectorySize 1073741824 -ReceiveProtocolLogMaxDirectorySize 5368709120 -ReceiveProtocolLogMaxFileSize 26214400</span></i></b><br />
<span style="font-family: Consolas;">En este ejemplo estamos estableciendo los limites de los archivos y las carpetas que los contienen.</span><br />
<span style="font-family: Consolas;">Desde luego estos parámetros van a variar en cada ambiente, los parámetros apropiados solo usted los podrá determinar.</span><br />
<span style="font-family: Consolas;">Recordemos que los valores deben ingresarse en bytes.</span><br />
<span style="font-family: Consolas;">Y como cualquier cambio referente al servicio de transporte este deberá reiniciarse para que estos tomen efecto.</span><br />
<span style="font-family: Consolas;">Además, si lo que se desea es mantener registros de aquellos mensajes enviados por algún aplicativo a través de un conector entonces deberá habilitarse el registro a nivel de SMTP.</span><br />
<span style="font-family: Consolas;">Hasta pronto y gracias por su tiempo.</span>daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-34484167111600825892013-06-13T12:16:00.000-06:002013-06-13T12:16:56.570-06:00Delegación para desbloqueo de cuentas y cambio de contraseñas.<span style="font-family: Consolas;">Este pequeño artículo trata explícitamente sobre como delegar un OU o bien un dominio para que un grupo determinado pueda restablecer contraseñas y desbloquear cuentas de usuario</span><br />
<span style="font-family: Consolas;">1- Seleccione el OU a delegar, clic derecho “Delegar Control”</span><br />
<a href="http://ticards.me/website/sysadmin-cr/wp-content/uploads/2012/07/clip_image001.jpg"><span style="font-family: Consolas;"><img alt="clip_image001" border="0" height="186" src="http://ticards.me/website/sysadmin-cr/wp-content/uploads/2012/07/clip_image001_thumb.jpg" style="background-image: none; border-width: 0px; display: block; float: none; margin-left: auto; margin-right: auto; padding-left: 0px; padding-right: 0px; padding-top: 0px;" title="clip_image001" width="244" /></span></a><br />
<span style="font-family: Consolas;">2- Agregue el o los grupos que desea delegar. Recuerden que las mejores practicas indican brindar permisos a grupos y no entes individuales.</span><br />
<a href="http://ticards.me/website/sysadmin-cr/wp-content/uploads/2012/07/clip_image002.jpg"><span style="font-family: Consolas;"><img alt="clip_image002" border="0" height="170" src="http://ticards.me/website/sysadmin-cr/wp-content/uploads/2012/07/clip_image002_thumb.jpg" style="background-image: none; border-width: 0px; display: block; float: none; margin-left: auto; margin-right: auto; padding-left: 0px; padding-right: 0px; padding-top: 0px;" title="clip_image002" width="244" /></span></a><br />
<span style="font-family: Consolas;">3- Esta asistente ya tiene ciertas delegaciones predefinidas que les pueden ser útiles, como ven en este ejemplo estoy utilizando la opción de restablecer contraseñas e indicar si estas deben cambiarse en el próximo inicio de sesion.</span><br />
<a href="http://ticards.me/website/sysadmin-cr/wp-content/uploads/2012/07/clip_image003.jpg"><span style="font-family: Consolas;"><img alt="clip_image003" border="0" height="170" src="http://ticards.me/website/sysadmin-cr/wp-content/uploads/2012/07/clip_image003_thumb.jpg" style="background-image: none; border-width: 0px; display: block; float: none; margin-left: auto; margin-right: auto; padding-left: 0px; padding-right: 0px; padding-top: 0px;" title="clip_image003" width="244" /></span></a><br />
<span style="font-family: Consolas;">4- A continuación podrá confirmar su operación antes de ejecutar los cambios.</span><br />
<a href="http://ticards.me/website/sysadmin-cr/wp-content/uploads/2012/07/clip_image004.jpg"><img alt="clip_image004" border="0" height="170" src="http://ticards.me/website/sysadmin-cr/wp-content/uploads/2012/07/clip_image004_thumb.jpg" style="background-image: none; border-width: 0px; display: block; float: none; margin-left: auto; margin-right: auto; padding-left: 0px; padding-right: 0px; padding-top: 0px;" title="clip_image004" width="244" /></a><br />
<span style="font-family: Consolas;">5- De nuevo navegue a las propiedades del OU que esta delegando, recuerde que las opciones de vista avanzada deben estar habilitadas para poder ver todas las etiquetas correspondientes.</span><br />
<span style="font-family: Consolas;">6- Diríjase a las opciones “Avanzadas”.</span><br />
<a href="http://ticards.me/website/sysadmin-cr/wp-content/uploads/2012/07/clip_image005.jpg"><span style="font-family: Consolas;"><img alt="clip_image005" border="0" height="107" src="http://ticards.me/website/sysadmin-cr/wp-content/uploads/2012/07/clip_image005_thumb.jpg" style="background-image: none; border-width: 0px; display: block; float: none; margin-left: auto; margin-right: auto; padding-left: 0px; padding-right: 0px; padding-top: 0px;" title="clip_image005" width="244" /></span></a><br />
<span style="font-family: Consolas;">7- Presione agregar, esto pues debemos delegar permisos sobre un atributo mas.</span><br />
<span style="font-family: Consolas;">8- Ahora seleccione la etiqueta de “Propiedades”.</span><br />
<span style="font-family: Consolas;">9- En la sección de “Aplica A” selecciones los objetos tipo usuario descendientes.</span><br />
<a href="http://ticards.me/website/sysadmin-cr/wp-content/uploads/2012/07/clip_image006.jpg"><span style="font-family: Consolas;"><img alt="clip_image006" border="0" height="244" src="http://ticards.me/website/sysadmin-cr/wp-content/uploads/2012/07/clip_image006_thumb.jpg" style="background-image: none; border-width: 0px; display: block; float: none; margin-left: auto; margin-right: auto; padding-left: 0px; padding-right: 0px; padding-top: 0px;" title="clip_image006" width="184" /></span></a><br />
<span style="font-family: Consolas;">10- Seleccione la opción de “Permitir” lo siguiente “Leer <em><strong>lockoutTime</strong></em>” y “Escribir <em><strong>lockoutTime</strong></em>”.</span><br />
<span style="font-family: Consolas;">11- Si gustan que por ejemplo también se pueda manipular si la contraseña expira o no, si el usuario puede o no cambiarla entonces aplique estos mismos permisos al atributo “<em><strong>userAccountControl</strong></em>”</span><br />
<span style="font-family: Consolas;">Excelente, esto es todo lo que necesitamos para este escenario.</span><br />
<span style="font-family: Consolas;">Hasta pronto.</span>daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-30175717087937983452013-06-13T12:15:00.002-06:002013-06-13T12:15:42.040-06:00Truco rápido de DNSCMD.<span style="font-family: Consolas;">Hace unos días encontré un caso donde necesitaba agregar un nuevo servidor de nombres a una lista de zonas DNS, por lo que pensé que lo podía hacer con mi amigo DNSCMD.</span><br />
<span style="font-family: Consolas;">Realmente me tomo mas tiempo del que creí pues no lograba lo que necesitaba hasta que luego de leer mucha documentación me di cuenta que necesitaba una @ en mi comando.</span><br />
<strong><em><span style="font-family: Consolas;">for /f %a in (zoneList.txt) do dnscmd /recordadd %a @ NS serverName.sysadmin-cr.com /f</span></em></strong><br />
<span style="font-family: Consolas;">El comando anterior leerá una lista de zonas (que también obtuve con este comando) y agregara a serverName.sysadmin-cr.com como un Name Server para esta zona.</span><br />
<span style="font-family: Consolas;">Que fácil, no?! <img alt="Winking smile" class="wlEmoticon wlEmoticon-winkingsmile" src="http://sysadmin-cr.com/wp-content/uploads/2012/07/wlEmoticon-winkingsmile.png" /></span>daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-25959333628899319882012-07-17T14:38:00.001-06:002012-07-17T14:41:33.170-06:00http://sysadmin-cr.com<br />
<div class="MsoNormal" style="margin: 0in 0in 0pt;">
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><span style="font-family: Calibri;">Ya
visitaste nuestro nuevo sitio? Ahora sumado a todo lo de Active Directory y
Exchange también tenemos temas de MOSS, TMG y mucho mas scripting, hasta OpenSource! Los
esperamos.<o:p></o:p></span></span></div>
<br />
<a href="http://sysadmin-cr.com/"><span style="font-size: x-large;">http://sysadmin-cr.com/</span></a>daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-78718727299656895202012-06-05T11:25:00.000-06:002012-06-05T11:25:13.259-06:00Nuevo sitio! http://sysadmin-cr.com<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><span style="font-family: Calibri;">Por mucho
tiempo me dedique o al menos intente en mi antiguo trabajo a ayudar a otros,
responder preguntas posteadas en foros internos, documentar formas de
solucionar problemas en general, compartir información. Luego me di cuenta cuan
difícil es a veces encontrar información en Español, por lo cual un día me decidí
a tener mi propio blog y pues desde ahí tratar de contribuir con la comunidad
de informáticos.<o:p></o:p></span></span><br />
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><span style="font-family: Calibri;">No es fácil,
pues el lenguaje coloquial local y otros hacen que escribir unas cuantas líneas
sea todo un reto, si es que realmente quieres llegar a una audiencia amplia…
pero creo por la cantidad y localización de los visitantes en mi blog pues que
de alguna u otra forma lo he logrado o bien los motores de búsqueda me han
favorecido y de forma equivoca han enviado cibernautas hasta mi.<o:p></o:p></span></span><br />
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><span style="font-family: Calibri;">Bueno, ya
hace un tiempo junto con un grupo de buenos amigos nos decidimos por crear un
grupo de informáticos, con conocimientos, experiencias y enfoques muy variados,
hoy tengo el gusto de fusionar mi blog con el de ellos para así tener la información
centralizada.<o:p></o:p></span></span><br />
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><span style="font-family: Calibri;">Agradezco a
todos aquellos que tomaron algo de su valioso tiempo para leer mis artículos y
realmente espero les hayan sido de provecho. Espero poder contar con ustedes en
mi nuevo hogar cibernético en </span><a href="http://sysadmin-cr.com/"><span style="color: blue; font-family: Calibri;">http://sysadmin-cr.com/</span></a><span style="font-family: Calibri;">
<o:p></o:p></span></span><br />
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><span style="font-family: Calibri;">Ahí encontraran
contenido mixto, pues nuestras áreas de enfoque son las mismas, aunque al
final, todos vivimos la cultura geek.<o:p></o:p></span></span><br />
<span lang="ES-CR" style="mso-ansi-language: ES-CR;"><span style="font-family: Calibri;">Gracias y
hasta pronto!</span></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmtINAGiOFG2aMIObdMGWBbKZ9D9DF9tyu0NYMO-BRUok_-7MRYkI93MhvnO5uTrJjXGdUq4KcykS-lr2ErsrINN-RvoNydZnjYn3f9ctjdzrFfs0Q-Bpzg3hBdeUk2tc000sfO1zAA2Gn/s1600/mudado.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmtINAGiOFG2aMIObdMGWBbKZ9D9DF9tyu0NYMO-BRUok_-7MRYkI93MhvnO5uTrJjXGdUq4KcykS-lr2ErsrINN-RvoNydZnjYn3f9ctjdzrFfs0Q-Bpzg3hBdeUk2tc000sfO1zAA2Gn/s320/mudado.jpg" width="298" /></a></div>
<br />daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0tag:blogger.com,1999:blog-8767270903671777590.post-85999373527611467512012-04-03T15:27:00.002-06:002012-06-05T11:11:03.559-06:00Registros SPF.Algunas veces en la lucha continua contra el spam caemos en otros problemas, como los de los registros SPF.<br />A grandes rasgos lo que hace el registro SPF es establecer quien envía correos desde un determinado domino. No nos compliquemos, la forma mas simple y eficaz de crearlos es <a href="http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/">http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/</a><br />Recuerda que aunque tengas varios servidores que envían correo, solo necesitas un registro.<br />Este registro puede ser validado en <a href="http://www.kitterman.com/spf/validate.html%20" target="_blank">http://www.kitterman.com/spf/validate.html </a><br />Hasta pronto mis estimados.daemonRoothttp://www.blogger.com/profile/07471434373416883683noreply@blogger.com0