telnet25

dssite.msc

2012-02-08T22:01:00.000-06:00

Alguna vezhan notado que la consola DSSITE se llama "Active Directory Sites andServices" pero no hay nada en dicha interfaz que haga referencia a losservicios?

Claro y porende cuando debemos hacer algún trabajo relacionado a estos pues debemos ir al(para algunos) muy temido y oscuro ADSIedit.

Bien puesla solución está a un clic de distancia, pues si miras en el menú de View, ahí estála opción de Show Services Node.
Perfecto,ahora ya pueden manipular los servicios como Exchange, Lync, RRAS, PKI y otros.

Hasta pronto!

y mi RID pool?!

2012-02-06T00:08:00.001-06:00

Cada security principal (computer, user,group, OU) tiene un RID y otros métodos para ser identificado, perodejemos eso para luego...
Estos son asignados por los controladores de domino, lo cuales piden al portadordel FSMO llamado RID Master bloques de 500 RIDs paraasignarlas según se soliciten, esto básicamente les da cierta autonomía paraque estos puedan crear securityprincipals.
Tomando esto en cuenta el gusanito de la curiosidad creo hace que usted sepregunte que bloque o segmento de RIDs actual tiene un controladordeterminado.
Esto lo podemos averiguar por medio de un convertidor que tiene la herramienta LDP.
Al ejecutar LDP, luego vaya a la opción de Bind y presione OK en la siguiente pantalla, eso lellevara al RootDSE bajo el contexto de seguridad actual.
Luego navegue a la opción de View,a continuación seleccione Tree navigate y presione OK,esto le permitirá navegar la partición de domino.
Navegue al OU donde están loscontroladores, en mi caso OU=DomainControllers,DC=contoso,DC=com.
Si expande dichos objetos vera una serie de objetos hijos, para este escenarionos interesa el RID Set y losatributos de este rid* como se muestraen la imagen.

Toma el valor del rIDAllocationPool,navega a Utilities, Large Integer Converter, pega elvalor
anterior y presiona el boton Run.

En mi caso esto me revela que mi segmento de RID inicia en 28600 (Low Part)y finaliza en 29099 (High Part).
Puedo saber con el mismo procedimiento cual fue el pool o segmento de RIDs anteriormente asignado (rIDPreviousAllocationPool) o bien elultimo RID asignado (rIDNextRID).
Otra cosa interesante que podríamos hacer en este mismo tema es mirar el objetoRID Manager$ que está ubicado en elcontenedor llamado System en el mismocontexto de nombres.
En dicho objeto el rIDAvailablePoolno indica el total de RID disponibles nuestro domino.
Además acá podemos mirar "quien" nuestro DC cree es el fSMORoleOwner o dicho de otra maneracual DC es el portador del FSMO de RIDMaster.
Bueno, espero esto les ayude a tener una mejor comprensión de sus controladoresy su ambiente.
Como ya sabemos pronto saldrá el previewde Windows Server 8... cuando lo tengan les insto a hacer este ejercicio enesta versión del sistema ;-)
Hasta pronto!

Service Pack 2 E14 "Database is mandatory on UserMailbox"

2012-01-03T23:36:00.000-06:00

Algo rápido pues el tiempo es algo que últimamente escasea.
Si se encuentran con este error al aplicar el SP2 a sus Exchange 2010...

Les invito a darle un vistazo a las cuentas del sistema como "FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042" y "Discovery Search Mailbox"
Probablemente el homeMDB de estos no este poblado o apunte a un buzón que ya no existe.
Hasta pronto! (eso espero).

Buscando computadoras virtualizadas.

2011-10-07T06:41:00.001-06:00

Una rápidadesde el campo de batalla.

Comoencontrar maquinas virtualizadas con Hyper-V, pues ellas crean un objeto SCP enAD, este en el caso de los hosts que ofrecen el servicio es algo como losiguiente:

D:\>adfind -f “(&(objectClass=serviceConnectionPoint)(cn=MicrosoftHyper-V))”

dn:CN=Microsoft Hyper-V,CN=DAE-DC-01,OU=DomainControllers,DC=contoso,DC=com

>objectClass: top

>objectClass: leaf
>objectClass: connectionPoint
>objectClass: serviceConnectionPoint
>cn: Microsoft Hyper-V
>distinguishedName: CN=MicrosoftHyper-V,CN=DAE-DC-01,OU=Domain Controllers,DC=contoso,DC=com
>name: Microsoft Hyper-V
>keywords: Service mode=Standalone server
>serviceBindingInformation: dae-dc-01.contoso.com
>serviceBindingInformation: RDP listener port=2179
>serviceBindingInformation:msxml://D:\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml
>objectCategory: CN=Service-Connection-Point,CN=Schema,CN=Configuration,DC=contoso,DC=com

Acá eloutput lo filtre un poco, cabe resaltar los atributos keywords (me indica si esin servidor stand-alone o cluster) y el serviceBindingInformation (indica elhost ofreciendo el servicio y el puerto entre otros).

Ahora paraun equipo virtualizado la consulta sería algo similar a esto:

D:\>adfind -f “(&(objectClass=serviceConnectionPoint)(cn=Windows Virtual Machine))”

dn:CN=Windows Virtual Machine,CN=DAE-DC-03,OU=DomainControllers,DC=contoso,DC=com

>objectClass: top
>objectClass: leaf
>objectClass: connectionPoint
>objectClass: serviceConnectionPoint
>cn: Windows Virtual Machine
>distinguishedName: CN=Windows VirtualMachine,CN=DAE-DC-03,OU=Domain Controllers,DC=contoso,DC=com
>name: Windows Virtual Machine

Comopodemos observar en el dn de ambosobjetos estos son objetos hijos de la cuenta computadora en cuestión, esto noson visibles desde ADUC.

Todo loanterior lo podrían hacer también con WMI pero no es algo que yo maneje contanta destreza y además eso requeriría consultas a los equipos versus este métodoque toma ventaja del directorio.

Saludos.

CachedLogonsCount

2011-09-29T14:51:00.001-06:00

Como sabemospara agilizar el inicio de sesión la maquinas guardan cierta cantidad decredenciales, este comportamiento lo podemos modificar al navegar a HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon y variar el valor del registro CachedLogonsCount que por defecto es 10.Si este lo ponemos en 0 deshabilitaríamos el inicio de sesión fuera de línea,forzando siempre a que el equipo contacte a un DC/GC para el inicio de sesión.

Este enalgunos casos como instituciones financieras puede ser muy útil.

¿Qué le paso a mi certificado?

2011-09-21T07:42:00.003-06:00

Estaba trabajando en un ambiente de Exchange cuando note cierta anomalía en el estado de un certificado que claramente sabia es válido, luego de hacer la investigación respectiva les comparto la solución.

Resulta que en ciertos casos la información sobre la lista de revocación de certificados expira o bien la información sobre el estado de estos, dicha información Windows la obtiene por medio del servicio de WinHttpAutoProxySvc el cual en este escenario no estaba configurado apropiadamente.
Entonces vamos a hacer los siguiente, eliminar la información del CRL y OCSP y luego configurar el proxy y las excepciones apropiadas para que este pueda obtener la información, algo muy sencillo con los siguientes comandos:
certutil -urlcache ocsp delete
certutil -urlcache crl delete
netsh winhttp set proxy proxy-server="http://192.168.1.22:8080;https://192.168.1.22:8080" bypass-list="*.microsoft.com"
En algunoscasos es necesario reiniciar el servicio, también para que el cambio se reflejedebe usted reiniciar el EMC.
Recordemosque este servicio brinda a ciertos Win32 APIs y objetos COM la facilidad depeticiones tipo HTTP.
Estaconfiguración es explicita al servicio y no afecta la configuración que el/losusuarios tengan en su navegador.
(*192.168.1.22:8080 = tu servidor proxy:puerto del servicio)

Aclaración.

2011-09-19T10:36:00.000-06:00

Desde hace unos meses cambie mi badge por uno azul con el logo de Microsoft, acepte una plaza como PFE así que con suerte llegue a conocer a algunos de mis lectores.

Tan solo deseo aclarar que este es mi blog personal, donde comparto parte de mi vivir diario, mi idea es únicamente compartir y documentar ciertas experiencias con la finalidad de ayudar a la gente, esto es mi blog, mi punto de vista y no tiene nada que ver con Microsoft.

De ninguna manera aunque yo sea un empleado de la empresa esto representa un punto de vista oficial de esta, ni tampoco tiene aval técnico alguno por su parte.

Como lo exprese en mis inicios tampoco hay algún tipo de garantía que mis humildes artículos sean exactamente lo que usted necesita, de hecho como abran notado frecuentemente también utilizo herramientas de terceros (no MSFT) pero como todos sabemos en el mundo de la informática hay mil y una formas de solucionar un problema… o hacerlo más grande.

La información acá descrita no revela datos de algún ambiente o cliente explicito, de hecho antes de publicar algo lo recreo en mi propio ambiente de pruebas para así evitar divulgar dato alguno.

Gracias por su tiempo e interés.

Curiosidades de las bases de datos.

2011-09-19T09:07:00.000-06:00

Notas rapidas desde el campo de batalla.
1- Ya no existe el evento 1207 por lo cual para saber el espacio en blanco necesitamos ejecutar algo como: Get-MailboxDatabase -Status | Select-Object Server,Name,AvailableNewMailboxSpace

2- A parte de los límites de retención de ítems borrados de 14 días también hay otro limite por espacio el cual por defecto es de 30GBs. Este lo podemos ver de la siguente forma: Get-MailboxDatabase | Select-Object Name,Server,RecoverableItemsQuota,RecoverableItemsWarningQuota

Les recomiendo tomar en cuenta estos simple puntos al momento de planear la capacidad de sus sistemas.

PortQry.exe múltiple.

2011-09-08T16:19:00.000-06:00

Tan solo un script rápido que revisa el estado de ciertos puertos clave, en este caso de Controladores de Dominio.
Primero, tenemos un archivo con la lista de los controladores a revisar (serverList.txt), este archivo lo recorreremos revisando los puertos uno a uno (53, 88, 135, 389 y 3268), la información obtenida la almacenaremos en el archivo llamado “outcome-PortCheck.log”.
Realmente la información obtenida va a ser bastante así que en un siguiente paso haremos un tipo de resumen con la información clave que necesitamos y seguidamente la enviaremos por correo electrónico.
Al revisar el script notaran que los archivos de la corrida anterior se eliminan, iniciando así de nuevo el ciclo.
No es nada sofisticado pero hace el trabajo.

@echo off
REM ### ~daemonRoot ##################################################
REM ### El siguiente script es una sencilla herramienta de monitoreo de los puertos claves de los controladores ###
REM ### de dominio ###
REM ### Removiendo archivos anteriores ###
del C:\scripts\sum-PortCheck.log
del C:\scripts\outcome-PortCheck.log
REM ### Revisando puerto 53 (DNS) ###
for /f %%a in (C:\scripts\serverList.txt) do (echo hostName=%%a >>C:\scripts\outcome-portCheck.log) && (portqry -n %%a -e 53 >>C:\scripts\outcome-PortCheck.log)
REM ### Revisando puerto 88 (Kerberos) ###
for /f %%a in (C:\scripts\serverList.txt) do (echo hostName=%%a >>C:\scripts\outcome-PortCheck.log) && (portqry -n %%a -e 88 >>C:\scripts\outcome-PortCheck.log)
REM ### Revisando puerto 135 (RPC) ###
for /f %%a in (C:\scripts\serverList.txt) do (echo hostName=%%a >>C:\scripts\outcome-PortCheck.log) && (portqry -n %%a -e 135 >>C:\scripts\outcome-PortCheck.log)
REM ### Revisando puerto 389 (LDAP) ###
for /f %%a in (C:\scripts\serverList.txt) do (echo hostName=%%a >>C:\scripts\outcome-PortCheck.log) && (portqry -n %%a -e 389 >>C:\scripts\outcome-PortCheck.log)
REM ### Revisando puerto 3268 (GlobalCatalog) ###
for /f %%a in (C:\scripts\serverList.txt) do (echo hostName=%%a >>C:\scripts\outcome-PortCheck.log) && (portqry -n %%a -e 3268 >>C:\scripts\outcome-PortCheck.log)
REM ### Creando resumen ###
type outcome-PortCheck.log | findstr /i "hostname= listening filtered" >>C:\scripts\sum-PortCheck.log
REM ### Enviando resultados... ###
BLAT C:\scripts\sum-PortCheck.log -to engineering@sysadmin-cr.com -s "Reporte de Puertos de AD" -server smtp.sysadmin-cr.com -f daemonroot@sysadmin-cr.com
REM ### El archivo de salida debe ser analizado para tomar las respectivas acciones ###
REM ### ~daemonRoot ##################################################

cuando un cliente borra un ítem...

2011-09-08T06:13:00.003-06:00

En las versiones de Outlook, cuando un cliente borraba un ítem de su buzón de correo… kaput, este era eliminado y la única manera de retenerlo era a través de una restauración de la base de datos. A partir de Exchange 2000 se introduce el “dumpster”, lo cual es un segundo repositorio especial donde se almacenan los ítems que fueron borrados por el usuario o bien por las políticas de retención.
En Exchange 2003 estos ítems eran retenidos por 7 días por defecto, a partir de Exchange 2007 esto se incrementó a 14; a grandes rasgos les comento que los ítems simplemente permanecían ocultos por medio del MAPI flag llamado “ptagDeletedOnFlag”.
Ya en Exchange 2010 estos son almacenados en una subcarpeta llamada “Deletions” dentro de la carpeta “Recoverable Items”. Otro punto que cabe resaltar es la versatilidad que nos brinda Outlook Web App para la recuperación de estos. Estas y otras mejoras más se hicieron para cumplimiento de regulaciones de retención, búsqueda y otras.
Debo resaltar que estos ítems no son considerados en los cálculos de la cuota de buzón, pensemos que userA tiene una cuota de 100MBs, en un día promedio este recibe el equivalente a 40MBs de correos, de los cuales desecha digamos 30MBs. Por ende el “dumpster” recibe 30MBs por día y si el valor por defecto de retención es de 14 días entonces 30 x 14 + 100 = 520MBs… Como cambio la perspectiva de los 100MBs de cuota por N usuarios en el servidor!… Creo que con esto ya ustedes están pensando cuan acertados son sus cálculos para el almacenaje de Exchange, lo cual es exactamente el punto de mi artículo.
Realmente desconozco alguna regla de oro para calcular este tipo de cosas, pero firmemente creo que el análisis continuo y proactivo de nuestro ambiente nos ayuda a determinar qué es lo más adecuado para este y también como prepararnos para futuros cambios.
Con una línea como esta puedes obtener información detallada de los buzones de correo alojados en un servidor determinado, exportando dicha información en un archivo con formato CSV:

Get-MailboxStatistics -Server hostname | Sort-Object TotalItemSize -Descending | Select DisplayName, MailboxGUID, ItemCount,TotalItemSize, DatabaseName, StorageLimitStatus, TotalDeletedItemSize | Export-CSV daemonR00t.csv

O bien le agregamos un par de funciones para convertir los datos en MBs:

Get-MailboxStatistics -Server excMBX00 | Sort-Object TotalItemSize -Descending | Select DisplayName, MailboxGUID, ItemCount,@{expression={$_.totalitemsize.value.ToMB()}}, DatabaseName, StorageLimitStatus, @{expression={$_.totaldeleteditemsize.value.ToMB()}} | Export-CSV daemonR00t.csv

También sugiero echar un vistazo a los eventos 1207 (EXC 2003/2007) ya que estos nos brindan la información sobre las tareas de purgado del cache de objetos borrados o “dumpster”.

Ya poniéndonos un poco creativos lo anterior lo podemos ejecutar en una tarea programada, que luego nos envíe el archivo de salida como un adjunto en un corre y así mantener los datos históricos para analizar tendencias y demás, pero ya es pasada la media noche y mañana me espera mucha más diversión frente a la consola así que, hasta pronto!

No tocar [MpsSvc]...

2011-08-10T07:29:00.000-06:00

Creo que muchas personas concordarían conmigo al razonar que: si en un sistema detenemos el Windows Firewall (MpsSvc) nuestro sistema quedaría desprotegido, permitiendo acceso total a este. Pues esto no es cierto, al contrario. A partir de Windows Server 2008 al detener o deshabilitar dicho servicio encontraremos que el sistema caerá en cierto estado de bloqueo donde por ejemplo servicios como IPSec o Windows Service Hardening no funcionaran. Aun mas, en el caso de los controladores de dominio estos denegaran todo trafico entrante pero si permitirán el trafico saliente (créanme no es nada agradable). Por ende o corres al centro de datos o te conectas por alguna herramienta como el ILO de HP o el DRAC de Dell para iniciar el servicio, pero mientras no haces no tendrás nada, no resolución de nombres, no autenticación, nada.

DAG caído/eliminado parcialmente.

2011-08-08T22:04:00.000-06:00

Hay momentos en que las estrellas es alinean, causando erupciones volcánicas, ciclones, usnRollBacks y que tu DAG muera… todo en cuestión de minutos y afectando tu servicio de directorio y mensajería.

En este pequeño articulo relatare un poco sobro como solucione este problema para volver a tener nuestro DAG (la parte del usnRollBack yo no la trabaje pero hay bastante información en la web… Bing es su amigo en estos casos).

Primero que nada unos conceptos, cuando creas un DAG veras dos objetos uno en la partición de configuración en “CN=Database Availability Groups,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=tuOrganizacion,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=sysadmin-cr,DC=com” tipo “msExchMDBAvailabilityGroup” el cual es el DAG en sí, este contiene parámetros de configuración como el file share witness, dirección IP y otras. El segundo objeto lo encontraremos en la partición de dominio, un objeto tipo “computer” que es la representación del DAG, este lo llamaremos el “CNO (Cluster Name Object)”.
Además de esto nos interesa el atributo “msExchMDBAvailabilityGrouoLink” que está en los objetos tipo “msExchExchangeServer”, básicamente acá se apunta la membresía del servidor con el DAG. De hecho en el objeto del DAG este se refleja como el “msExchMDBAvailabilityGrouoLinkBL”
Muy bien, recordemos que no podemos eliminar un equipo de un DAG si este tiene copias de bases de datos por lo cual estas deben de ser eliminadas. Una vez que nuestros bases de datos de buzones no tengan copia alguna entonces será posible modificar la membresía del DAG removiendo sus miembros. Les sugiero dar un vistazo al “msExchMDBAvailabilityGroupLink” para evitar problemas más adelante.
Ahora que el DAG no tiene miembros lo podremos remover sin problema alguno.
Nótese que este no es el proceso normal, acá estoy trabajando en caliente con un ambiente en producción, no hay más servidores de Mailbox disponibles ni otras opciones, valore usted su posición antes de proceder de una manera así de drástica.
Una vez eliminado el DAG debo de detener y deshabilitar el servicio del “Cluster Service” esto en cada miembro del antiguo DAG.
También debo mencionar que en las bases de datos o “msExchPrivateMDB” (buzones de correo) y/o “msExchPublicMDB” (carpetas compartidas) se refleja cual es el servidor primario de dicha base de datos, llamado “master”. Esta información se almacena en el “msExchMasterServerOrAvailabilityGroup” el cual muy probablemente luego de eliminar el DAG va a mostrar el GUID del objeto borrado y otra información que no le será muy común, basta con actualizar este atributo con el “distinguishedName” del servidor que ahora hospeda la base de datos. Uno de los cambios en Exchange 2010 es el hecho de que las bases de datos son portables, estas ya no están ligadas a un servidor especifico, solamente se hospedan en estos, pero esto también la necesidad de que su nombre sea único en la organización de Exchange.
En nuestro caso en CNO no existía y las opciones de restauración eran nulas.
Como siguiente paso pre-configuraremos el objeto del CNO, creando un objeto tipo “computer” en el contenedor de nuestra elección, dicho objeto debe estar deshabilitado y además necesitamos darle “Full Control” al grupo del “Exchange Trusted Subsystem” y al primer equipo que vayamos a unir al DAG. Desde luego esto luego de un tiempo prudencial para la replicación de Active Directory.
Cuando agreguemos dicho equipo al DAG parte de las modificaciones que se realizaran habilitaran la cuenta, mantenga esto en mente por si el proceso falla que usted verifique dicho objeto continúe deshabilitado.
Si usted pudo agregar el miembro del DAG exitosamente pues es usted el héroe y feliz administrador de un DAG, a partir de este punto la administración es completamente normal.
Se agregan y configuran otros miembros, las redes, copias de bases de datos y demás.
Cualquier duda sugiero dar un vistazo a http://technet.microsoft.com/en-us/library/ff367878.aspx , http://technet.microsoft.com/en-us/library/dd351172.aspx y finalmente http://technet.microsoft.com/en-us/library/dd298065.aspx
Hasta pronto!

Exclusión del PDC.

2011-06-20T00:22:00.000-06:00

Cuando diseñamos ambientes tecnológicos a veces se nos olvida uno que otro detalle… a algunos esto nos pasa muy a menudo por ende mejor documento esto.
En ciertos escenarios puede darse que nuestros servidores de Exchange empiecen a hablar/consultar al servidor que es el dueño del FSMO de PDC Emulator, el cual por dicha condición ya tiene una cantidad de carga extra con respecto a los demás, razón por la cual quizás deseemos controlar o bien evitar esto.
En la primer opción podemos regular un mínimo de controladores disponibles antes de DSAccess empiece a consultar el PDC. Por ejemplo, tienes 10 controladores y se da una caiga, desde luego DSAccess hará los ajustes necesarios pero hasta que lleguemos al límite, digamos 3 no vamos a contactar al PDC.
http://technet.microsoft.com/en-us/library/aa998226%28EXCHG.80%29.aspx
O bien, podríamos simplemente excluirlo por completo, esto siguiendo las instrucciones provistas en el siguiente híper vinculo.
http://blogs.technet.com/b/richardroddy/archive/2010/06/16/msexchange-adaccess-dsaccess-errors-and-the-manage-auditing-and-security-right.aspx
Claro no hay una receta mágica y cada ambiente es diferente, la primer opción deja la probabilidad de la utilización del PDC por el DSAccess, mientras que la segunda no. Factores como frecuencia de cambios en políticas, sistemas de provisión de cuenta y/o cambio de contraseñas y otros relacionados al rol deben de tomarse en cuenta al realizar esta configuran.
Bueno espero este les ayude a tener mayor control sobre su ambiente y a la vez mejorar su experiencia con este.
Hasta pronto!

Un nuevo capítulo arranca.

2011-04-27T04:14:00.000-06:00

Creo que como muchos niños de los 80s crecí frente a la consola de videojuegos y aun hoy en día continúo frente a esta. Sin esta dulce etapa creo nunca me hubiese interesado en la tecnología, la cual me apasiona y me mueve, me intriga y me crea esta curiosa sed.

Hoy cierro un capítulo muy largo de mi carrera profesional, para mañana empezar uno nuevo. Lleno de nostalgia por todos las aventuras vividas en esta montaña rusa de emociones y aprendizaje pero muy feliz pues coseché grandes amigos me enrumbo a algo nuevo, certeramente un poco más cerca de esa tecnología que tanto me gusta! Me preparo para iniciar a escribir este capítulo nuevo con la mente ansiosa por el conocimiento, deseando aportar mucho a mi nuevo equipo… aprender muchísimo más!

Gracias juegos de video, gracias a mis compañeros de equipo, a mis lectores, a mi familia que me soporta largas horas acá en la computadora y a mi Dios que me brinda la dicha de abrir los ojos cada día.

Espero poder aportar mucho más por este medio y otros como ActiveDir.org, GPOGuy, el foro de Mark Minasi e inclusive TechNet y con un poco de suerte quizás llegue a conocerles en persona durante mis andanzas en mi nuevo trabajo.

Hasta pronto!

SRC?!

2011-04-20T20:54:00.003-06:00

Dice la teoría que hay dos modos de replicación “Loose Consistency Replication” y “Strict Consistency Replication”, estos controlan el comportamiento de los controladores al recibir de otro una actualización a un objeto que no existe un su base local. En el caso de SCR se ubicara en cuarentena la partición que contenga dicho tipo de objeto, deshabilitando así la replicación con ese compañero hasta que este objeto en cuestión sea removido.
Recordemos que un “lingering object” puede aparecer al no removerse un tombstone por el garbage collector o bien al poner en línea un DC que ha estado fuera de línea por más tiempo que el TSL.
Ahora bien cosas que hay que tomar en cuenta sobre la activación del SCR, lo primordial, si tu ambiente no está limpio pues tú mismo vas a crearte una serie de problemas.
Al detectarse “lingering objects” se registra un evento 1988, estos los podríamos monitorear con genial EventQuery http://technet.microsoft.com/en-us/library/bb490900.aspx
Otra opción es utilizar el GCcheck para buscar estos y eliminarlos apropiadamente con repadmin /removelingeringobjects.
Y cuál es la configuración actual de mis controladores? Pues podemos obtener esto con un par de consultas, la primera es únicamente para obtener la lista de los controladores de mi dominio, luego utilizando esta lista voy a revisar el registro para saber si está o no activado el SCR.
dsquery server -forest -o rdn >>dclist.txt
for /f %a in (dclist.txt) do echo %a >>srcCheck.log && reg query \\%a\HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters | findstr /I "Consistency" >>srcCheck.log
Veamos un ejemplo del output, los comments en /negrita/.

DAEMON-WRDC01
    Strict Replication Consistency    REG_DWORD    0x1
DAEMON-WRDC02 /Valor 1 = SRC/    Strict Replication Consistency    REG_DWORD    0x0
DAEMON-WRDC03 /Valor 0 = LRC/    Strict Replication Consistency    REG_DWORD    0x1
DAEMON-WRDC04 /Valor no encontrado = 0/DAEMON-WRDC05
    Strict Replication Consistency    REG_DWORD    0x1

Podríamos cambiar la configuración al agregar la llave de registro anterior (HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency) o bien con repadmin /regkey serverFQDN +strict o repadmin /regkey * +strict para activarlo a todos los controladores del bosque.
Otra opción es crear un archivo LDF que me creara un importe un “Operational GUID” en la partición de configuración para que los nuevos controladores tengan por defecto el SRC habilitado.

dn: CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=sysadmin-cr,DC=com
changetype: add
objectClass: container
showInAdvancedViewOnly: TRUE
name: 94fdebc6-8eeb-4640-80de-ec52b9ca17fa
objectCategory: CN=Container,CN=Schema,CN=Configuration,DC=sysadmin-cr,DC=com

Una vez que tengas el archivo la forma de importarlo es “ldifde.exe -i -f nombreArchivo.ldf”.
Nótese que crear este objeto no modifica la configuración de los controladores ya existentes, tampoco lo hace el hecho de elevar el modo funcional del dominio/bosque.
También es importante recalcar lo siguiente:
SCR está habilitado por defecto en ambientes donde el PDC del forest root domain fue actualizado a Windows Server 2003 utilizando winnt32.exe o bien el forest root domain fue creado al instalar un servidor Windows Server 2003 o superior.
SCR esta deshabilitado al hacer actualizaciones de servidores Windows 2000 a Windows 2003 o bien al promover un Windows 2000 en un bosque de Windows 2003.
Otros puntos a recalcar son:
*El “Garbage Collector” corre por defecto cada 12 horas en cada DC. El criterio que utiliza para la eliminación de objetos es la propiedad llamada “whenDeleted”.
*Para registrar los eventos referentes al “Garbage Collector” debe darle un valor de 1 a la llave “HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\6 Garbage Collector” (Esto creara eventos con las siguientes características: Event Type: Information / Event Source: NTDS Database / Event Category: Garbage Collection /Event ID: 1646)
*El valor por defecto del TSL es de 60 o 180 días (esto según la versión del OS) pero puede variarse al modificar el “tombstoneLifetime” en “CN=Directory Service,CN=Windows NT,CN=Configuration,DC=sysadmin-cr,DC=com”. .
Hasta la próxima!

Analizador de dumps.

2011-04-11T09:09:00.000-06:00

Hace un tiempo adquirí un libro de “Windows Internals”, el cual pronto espero leer por completo y así mejorar en ciertas áreas, como el análisis de archivos de memory dumps, pero mientras termino de leer otros libros y adquiero dicha habilidad pues utilizare esta grandiosa herramienta gratuita http://www.osronline.com/page.cfm?name=analyze que hace el análisis por mí.
Espero a ustedes también les sea muy útil.

Consulta personalizada.

2011-04-09T07:51:00.000-06:00

En múltiples ocasiones necesitamos hacer consultas frecuentes al directorio, pero estas tal vez van más allá de lo que normalmente la interfaz de ADUC nos muestra, por ende debemos recurrir a la consola u otras alternativas.
Hoy veremos cómo crear una de estas consultas y también desplegar dicha información en la pantalla de una forma más amigable para aquellos que no saborean la consola.
Ejecute ADUC, navegue a “Saved Queries” e indique que desea crear una consulta nueva, asígnele un nombre y si gusta una descripción.
También puede especificar el punto de partida de búsqueda con la opción de “Query Root” o utilizar la opción por defecto que inicia la búsqueda desde la raíz del dominio explorando todos sus subniveles.
Seleccione “Define Query” y luego despliegue el menú de “Find” y seleccione “Custom Search”. Acá, en la etiqueta de “Advanced” podríamos manualmente escribir el filtro de la consulta, pero mientras nos familiarizamos con esto vamos a utilizar el GUI.
Seleccione "Field" y luego "User". En este momento usted vera una extensa lista de atributos, seleccione el que usted necesita.
Muy bien, ahora se le presentaran 4 condiciones de búsqueda sobre el atributo que acá usted de seleccionar:
Is = Es EXACTAMENTE x valor, esto para cuando sabemos explícitamente que valor buscamos en dicho atributo.
Is not = Lo contrario a lo anterior.
Present = El atributo está poblado con algún valor.
Not Present= Lo contrario a lo anterior.
En el siguiente ejemplo yo estoy haciendo una búsqueda de objetos tipo “User” que tengan una dirección de correo especificada, que su nombre no sea “SystemM*” y que tengan un numero de empleado asignado.

Bien ahora para desplegar más información podríamos seleccionar las columnas que deseamos ver, esto en el menu de “View” “Add/Remove Columns”.
Como sabrán no todos los atributos están disponibles en dicho menú, entonces agregaremos unos cuantos por medio de un par de cambios que haremos con muestra muy útil y amistosa herramienta ADSIEdit.
Navegamos a “CN=DisplaySpecifiers,CN=Configuration,DC=tuDominio,DC=com”.
Si su sistema operativo esta en Ingles navegua al folder “CN=409”, si esta en Español pues ingresa al “CN=C0A”.
Dentro del contenedor de mi idioma necesito modificar las propiedades del objeto llamado “CN=default-Display”, específicamente el atributo llamando “extraColumns”.

Entonces para agregar el “legacyExchangeDN” debo especificar lo siguiente: “legacyExchangeDN,legacyDN,0,175,0”. O bien para mostrar el número de empleado: “employeeID,codEmp,0,50,0”
El formato es algo como “atributo,nombreDeLaColumna,0,máximoCarácteres,0”
En la siguiente imagen he agregado una columna que me muestra el legacyExchangeDN (legacyDN), employeeID (codEmp), employeeType (empType).

Nótese la misma consulta, esta vez por consola. El filtro utilizado es el obtenido en los primeros pasos.

Un servicio de directorio es como un cuaderno nuevo, su valor será la información que le agreguemos a este, dependiendo cuando ordenada esta la información en esta nuestras búsquedas serán más rápidas y simples… algo así como en Active Directory.

Manejo de politicas.

2011-03-29T14:36:00.001-06:00

Les comparto una consulta que tuve hoy.
En X ambiente se necesita desactivar la sección de usuario de ciertas políticas. Como es muy común esto debe de hacerse con el mínimo de recursos.
Muy bien, este parámetro es controlado por el atributo llamado flags del objeto tipo groupPolicyContainer, que se encuentra en domainDNS/SYSTEM/Policies.
Los valores del atributo son:

flags = 0 = Habilitado.

flags = 1 = Configuración de usuario deshabilitado.

flags = 2 = Configuración de equipo deshabilitado.

Muy bien, con la información anterior en mente entonces veamos la configuración actual de las políticas:

adfind -f (objectClass=groupPolicyContainer) cn displayName flags

El comando anterior me mostrara las políticas, su nombre común y su configuración.
Y bien, como sé yo si la política ABC123 está ligada a un OU especifico?
Pues en este caso deberemos ver las propiedades de la Unidad Organizativa, el atributo que nos interesa es el llamado gPLink, por ende, una consulta como la siguiente debería de darle ma información necesaria:

adfind -f "(&(objectClass=organizationalUnit)(gPLink=*ABC123*))" cn

Ahora, si lo que deseas es buscar la información "al revés" (cuales GPOs están ligadas al OU XYZ) entonces usted necesita algo como:

adfind -f "(OU=XYZ)" gpLink

El resultado de la consulta anterior sería algo como:

dn:OU=XYZ,DC=sysadmin-cr,DC=com
>gPLink: [LDAP://cn={4449C74E-409F-471E-93C3-D02AAEE9722D},cn=policies,cn=system,DC=sysadmin-cr,DC=com;0]...

Nótese el valor entre {} y el resultado del cn de las consultas anteriores.
Eh aquí una versión grafica de lo anterior, espero le sea útil. Recuerde que una política puede estar ligada a N sitios y/o OUs.

Hasta pronto y gracias por leer.

AD Snapshots.

2011-03-28T07:37:00.000-06:00

Ah tan linda que es la fotografía! Gratas memorias quedan plasmadas en estas. Pero qué tal si hacemos algo similar con nuestro AD, nos podría ser muy útil como material de referencia e inclusive con una que otra herramienta por ahi nos puede funcionar para restaurar/reanimar objetos. Ok, vamos como tomar y mirar snapshot de nuestro AD.

Para esto necesitamos utilizar un par de herramientas, veamos el proceso.
1- Crear el snapshot
NTDSUTIL
ACTIVATE INSTANCE NTDS
SNAPSHOT
CREATE

Listo, si queremos ver los snapshot existentes utilizaremos el comando “LIST ALL”

2- Montar el snapshot.
En este caso tengo un par de versiones, la que acabamos de crear y una más antigua. Vamos a utilizar la más reciente, entonces con el mismo NTDSUTIL emitiremos el siguiente comando:
MOUNT 4

Nótese que hay un archivo para el volumen C y también pare el E. En mi caso el NTDS.dit está almacenado en E:\WinNT\NTDS\. Esto explica la la existencia de ambos.
Ahora bien, necesitamos utilizar la herramienta llamada dsamain.exe, le indicaremos la ruta del .DIT y que utilice el puerto 5000. Esto lo ejecutamos en una consola nueva.
DSAMAIN /DBPATH {rutaObtenidaEnElPasoAnterior}\ruta\ntds.dit /LDAPPORT 5000

3- Accesar/mirar el snapshot.
En la documentación Microsoft se sugiere utilizar LDAP, yo opto por ADExplorer, entonces le vamos a decir al ADExplorer que se conecte al puerto 5000 del servidor donde montamos el snapshot.

Y bingo! Como podemos ver acá está nuestro AD!!!

Hasta pronto!

Exchange RU3 y BES 5.0

2011-03-19T06:37:00.000-06:00

Hace unos días se notificó sobre un problema entre el RU3 de Exchange 2010 SP1 y Blackberry 5.0 MR4, pues bien Microsoft a decidido retirar este RollUp mientras se provee una solución final. Por su parte RIM no ha confirmado el lanzamiento de un MR5 que contenga el fix para esto. Como vemos, una razón más para tener un ambiente de pruebas y utilizarlo apropiadamente. Para mayor información visite http://blogs.technet.com/b/exchange/archive/2011/03/14/exchange-2010-sp1-rollup-3-and-blackberrys-sending-duplicate-messages.aspx
Por cierto, que buen nuevo look tiene el blog del Exchange :)

0xc00013c5 y eso que significa?!

2011-02-21T17:04:00.001-06:00

Alguna vez al revisar bitácoras ha obtenido un mensaje de error como 0xc00013c5, o bien algo como -1073741819?
La mayoría de las veces estos corresponden a códigos de error Win32 lo cuales podemos interpretar con el comando NET.
En un caso como el primero, lo que hacemos es tomar los últimos cuatro caracteres (13c5), abrimos la calculadora y la ponemos en modo científico, seleccionando la opción de hexadecimal (HEX), ingresamos el valor y presionamos la opción de decimal (DEC) para así convertir ese valor. El resultado es 5061, ahora tomamos este valor y lo “traduciremos” con NET HELPMSG :-)

C:\tools
>NET HELPMSG 5061

The cluster node is already up.

Ahora bien, en el Segundo ejemplo tomamos el -1073741819, lo pasamos a HEX, tomamos los últimos 4 caracteres y los convertimos en valores decimales, es como el primer proceso pero al revés. Esto da como resultado el número 5.

C:\tools
>NET HELPMSG 5

Access is denied.

Espero que después de leer esto no ponga esa cara de ~que diantres!?~ cuando obtenga un código de error 0xc000089A!

Hasta pronto.

Configurando seguridad del Internet Explorer.

2011-02-17T16:47:00.000-06:00

Un amigo me contacto pues tenían una necesidad de agregar ciertos valores sobre los sitios de confianza en la configuración de seguridad del Internet Explorer, eso sí, manteniendo la posibilidad de que los usuarios según su necesidad continuen administrando esto.
Para lograrlo necesitamos hacer unos cambios en el registro, estos los salve como un archivo BAT y los ligue a una política, en la sección de “User Configuration\Windows Settings\Scripts\Logon”.
Acá agrego el dominio y los protocolos en los que confío.

REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sysadmin-cr.com
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sysadmin-cr.com" /V http /T REG_DWORD /D 0x00000001 /F
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sysadmin-cr.com" /V https /T REG_DWORD /D 0x00000001 /F
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sysadmin-cr.com" /V ftp /T REG_DWORD /D 0x00000001 /F

Nótese que le estoy dando un valor de 1 a cada entrada del registro, este significa Intranet. Otros valores podrían ser 2 (Sitios de confianza), 3 (Internet) o bien 4 (Sitios restringidos)
Si gustan ir un poco más allá con la configuración del IE les sugiero mirar este KB: http://support.microsoft.com/kb/182569
Otra forma de hacerlo para quienes tienen un ambiente actualizado es por medio de los GPP http://www.microsoft.com/downloads/en/details.aspx?FamilyID=42E30E3F-6F01-4610-9D6E-F6E0FB7A0790

Saludos!

W7 SP1 y RSAT

2011-02-13T17:13:00.000-06:00

Como sabemos el próximo Martes 22 será el “frabuyoso” día en que el Service Pack 1 de Windows Server 2008 R2 y Windows 7 estará disponible para descargarlo, hay un pequeño detalle que debemos notar, la versión actual de RSAT no funciona en un sistema con SP1, según informo Microsoft se lanzara una nueva versión de este el próximo Abril. Asi que si usas tu equipo W7 para administrar otros pues yo esperaría un poco antes de actualizarlo.

Configurando SNMP

2011-02-11T13:49:00.000-06:00

Hace un par de días tuve que hacer una cantidad de cambios en el servicio de SNMP, básicamente necesitaba modificar los derechos de las comunidades, este proceso normalmente requiere que me conecte al snap-in de Services de cada equipo, lo cual pues consume una considerable cantidad de tiempo por ende me di a la tarea de investigar un poco, mi primer opción fueron los comando SC pues estos se utilizan para la configuración de servicios de Windows, pero no funciono.
Para mayor información visite http://support.microsoft.com/kb/324263
La información requerida esta almacenada en HKLM\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities
Según los derechos asignados usted deberá asignar diferentes valores de la siguiente manera:

Notify 2
Read Only 4
Read Write 8
Read Create 16

Luego agregué un mágico /for y en cuestión de minutos el trabajo estaba listo.
Eh acá unos cuantos ejemplos.
Para crear una entrada con derechos de "Read Create":

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities /V testReadCreate /t REG_DWORD /d 0x00000010

Para remover una entrada e inhabilitar la confirmación de borrado:

reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities /V dcs /f

Ahora veamos como haría esto con una cantidad mayor de servidores, para lo cual necesito una línea de comandos como la siguiente:

for /f %a in (dclist.txt) do echo %a >>remove.txt && reg delete \\%a\HKLM\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities /V ghi /f >>remove.txt && net stop SNMP /y && net start SNMP

Veamos esta con más detalle:
Leo el archivo [for /f %a in (dclist.txt)]
Guardo el nombre del equipo que estoy manipulando [echo %a]
Borro la entrada del registro [reg delete \\%a\HKLM\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities /V ghi /f]
Detengo el servicio [net stop SNMP /y]
Y luego lo vuelvo a iniciar [net start SNMP]
El output de estos comando lo almaceno en un archivo de texto llamado remove.txt.

Con la siguiente serie de comando hago una consulta al Windows Registry para verificar los valores actuales y también reviso que el servicio de SNMP este ejecutándose.

for /f %a in (dclist.txt) do echo %a >>check.txt && reg query \\%a\HKLM\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities >>check.txt && sc \\%a query SNMP
FINDSTR /I "STATE"

Esto es tan solo una forma más de hacer algo, espero tal como me sirvió a mí y me ahorro tiempo, le sea útil a ustedes!

La recomendación del día.

2011-01-18T11:14:00.000-06:00

El día de hoy quería mencionar una herramienta para el inventario y administración de cuentas de usuario inactivas, es el “Inactive Users Tracking” de NetWrix. Existen dos versiones, la gratuita ofrece únicamente opciones de inventario/reporte, este último mediante correo electrónico por medio de una tarea programada que se crea automáticamente al configurar el utilitario. La otra versión ofrece opciones avanzadas de reporte e inclusive aislamiento o desactivación de las cuentas, también maneja objetos tipo computadora, ignoro su valor ni voy a ganar alguna comisión por sus ventas, así que esto no es un comercial.
Si gustan descargarlo y probarlo de forma gratuita lo pueden hacer en http://www.netwrix.com/inactive_users_tracker_freeware.html
En mi humilde opinión es una muy buena herramienta, lo único que me parece un poco lento es el tiempo que le toma procesar los datos y el consumo de memoria, pero sigue siendo más rápido que hacer un dump con ADFind y luego procesar los datos.

La historia de la Navidad... digital.

2010-12-24T22:11:00.000-06:00

Increíble, como me he reído con esto!

Feliz Navidad!

http://www.youtube.com/watch?v=GkHNNPM7pJA

EMTshooter

2010-12-11T09:44:00.002-06:00

En el tercer ambiente donde instale Exchange 2010 SP1 tuve que afrontar una serie de problemas con WinRM… en cierto punto no podía administrar mi ambiente. En ese momento como que no había mucha información disponible al respecto y lo poco que encontré no funciono, afortunadamente nada que una reinstalación no solucionara.

Para bien de todos ahora contamos con esta herramienta el EMTshooter, espero les salve un poco de su valioso tiempo http://msexchangeteam.com/archive/2010/12/07/457139.aspx

Nuevo servicio de Google.

2010-12-11T07:35:00.000-06:00

Excelente oferta por parte de Google! Y el precio me parece pues bueno.
http://www.google.com/postini/continuity.html

Y pues yo no cambio Exchange, pero todos necesitamos un plan B.

Lista de programas instalados.

2010-12-07T11:46:00.001-06:00

Hola amigos, solo un tip rápido para averiguar qué programas están instalados en un equipo…
REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\ /S | FIND "DisplayName" | FIND /V "QuietDisplayName"
Y si lo que ocupamos es la lista de parches/actualizaciones pues nada como el fiel WMIC QFE LIST FULL /FORMAT:HTABLE >C:\hotfixes.htm
Claro, si son varios equipos podemos incluir un FOR por ahí… hasta pronto!

Jugando con PerfMon

2010-12-03T09:36:00.003-06:00

Hace unos días tuve que implementar una serie de contadores para poder comprender y también documentar un poco sobre rendimiento de mis controladores, entonces pues por la gran cantidad de estos busqué un poco como automatizar el proceso y así ahorrarme tiempo que puedo invertir explorando las maravillas de la web u otros.
Básicamente haremos lo siguiente, crear el conjunto de contadores, una tarea que los inicie al arrancar el equipo y luego otra que a media noche cree una bitácora nueva y envíe la anterior a un punto centralizado de almacenaje.
Realmente podríamos escribir la bitácoras directo a un SQL pero eso me crearía ciertas dependencias adicionales que en mi caso no deseo. Igual esto es tan solo una de las mil formas de hacer las cosas.
Pues bien, manos a la obra!
El primer punto entonces es crear el conjunto de contadores, los cuales guardaremos en un archivo XML que funcionara como plantilla, para esto ejecute el Performance Monitor, navegue a la sección de Data Collector Sets y luego User Defined. Si usted no tiene pues mucha experiencia con el PerfMon pues le recomiendo iniciar acá http://technet.microsoft.com/en-us/library/cc749249.aspx
Es ahí donde deberá agregar los contadores que usted necesite, recuerde que también hay plantillas que usted podría utilizar o bien personalizar según sus necesidades.
Para efectos de estandarización en la plataforma creare una carpeta llamada "scripts" en la raíz de C: y en esta almacenaré la plantilla o machote del Performance Monitor, esta se almacenara en formato XML.
En este caso esto lo necesito hacer únicamente en mi controladores de domino por lo cual con este comando los enlistare todos "dsquery server -o rdn >dc-list.txt"
Listo, ahora vamos a crear la carpeta y copiar su contenido en todos los servidores de la lista anterior, necesitaremos también los archivos para las tareas.
“logman start testCollectorSet”
Este lo llamaremos start-PerfData.bat
El comando anterior iniciara el set de colección de datos llamado "testCollectorSet", acá no hay como que mucha magia.
Siguiente!
“logman stop testCollectorSet
start-sleep 10
robocopy D:\perfmon \\repositorio.fqdn\carpeta\ /mov
start-sleep 180
logman start testCollectorSet”
Este lo llamaremos recycle-PerfData.ps1
Acá detenemos la captura de datos, esperamos un poco, movemos los datos hacia un repositorio central (el cual no es más que un simple folder compartido con sus respectivos permisos), purgamos los archivos e iniciamos la recolección de datos.
Procedamos a copiar la carpeta y su contenido a los servidores.
"for /f %a in (C:\serverList.txt) do xcopy C:\Scripts \\%a\c$\scripts\ /I /E"
Ahora bien, para crear el grupo de contadores en cada servidor simplemente necesito el siguiente comando:
"for /f %a in (C:\serverList.txt) do logman -s %a import testCollectorSet -xml C:\scripts\testCollectorSet.xml"
Necesito crear dos tareas, estas invocaran los archivos que acabo de transferir, la primera iniciara los contadores al arranque y la segunda que hará el movimiento de la información se ejecutara a media noche.
Para crear dichas tareas ejecute este comando:
"for /f %a in (C:\serverList.txt) do schtasks /create /s %a /RU cuentaDeServicio@daemonroot.com /RP P@$$w0rd /SC onstart /TN inicia-perfData /TR C:\Scripts\start-PerfData.bat & schtasks /create /s %a /RU cuentaDeServicio@daemonroot.com /RP P@$$w0rd /SC daily /ST 00:00 /TN reinicia-perfData /TR C:\Scripts\recycle-PerfData.ps1"
Notemos que acá estoy utilizando una cuenta de servicio, como son controladores debe usted de tomar en cuenta los permisos necesarios para esta.
Y si todo lo anterior es exitoso pues podríamos iniciar las tareas sin problema alguno
"for /f %a in (C:\serverList.txt) do schtasks /run /s %a /tn inicia-perfData"
En nuestro caso uno de mis compañeros desarrollo un humilde script que lee los archivos CSV del repositorio central, los lee y crea reportes de estos... un poco avanzado para mis capacidades!
En las propiedades del PerfMon especificamos que se recopilen datos cada minuto y que el nombre del archivo sea %computername%_Performance Counterfecha.csv, acá estan sus propiedades.
C:\>logman query testCollectorSet

Name: testCollectorSet
Status: Stopped
Root Path: C:\perfmon
Duration: 60 second(s)
Segment: Off
Schedules: On
Run as: DAEMONROOT\cuentaDeServicio
Name: testCollectorSet\Performance Counter
Type: Counter
Output Location: C:\perfmon\NEMESIS_Performance Counter031210.csv
Append: Off
Circular: Off
Overwrite: Off
Sample Interval: 60 second(s)

Counters:
\Processor(_Total)\% Privileged Time
\LogicalDisk(_Total)\% Disk Read Time
\LogicalDisk(_Total)\% Disk Write Time
\Processor(_Total)\% C1 Time
\Processor(_Total)\% C2 Time
\Processor(_Total)\% C3 Time

Bueno, espero esto les sea útil, como siempre acá estaré si necesitan una mano, hasta pronto!

2K8 R2 SP1 RC.

2010-10-31T08:13:00.000-06:00

Desde hace un par de días ya está disponible el Release Candidate del Service Pack 1 para Windows Server 2008 R2 y Windows 7, en lo personal e utilizado la versión Beta los últimos meses y no he tenido problema alguno http://www.microsoft.com/downloads/en/details.aspx?FamilyID=c3202ce6-4056-4059-8a1b-3a9b77cdfdda
Que se diviertan!

Autoarchivado y retención de bitácoras.

2010-10-30T21:29:00.000-06:00

Una de las cosas que más me gusta de Windows Server 2008 es el visor de sucesos, vaya que mejora ha sido!
Vamos a explorar el siguiente escenario, necesito almacenar todas las bitácoras de seguridad por 45 días, desde luego el proceso de recolección y eliminación debe de ser automatizados para que el esfuerzo de nuestra parte sea mínimo.
Entonces manos a la obra, vamos a ajustar un poco la configuración de los eventos de seguridad “WEvtUtil SL Security /RT:true /AB:true /MS:52428800 /LFN:D:\eventViewer-depo\Security.evtx”
Con esto estoy activando la retención por medio del archivado automático y estableciendo un límite de 50MBs por archivo de bitácoras (formato EVTX). Dichos archivos serán almacenados en la ruta y archivo que indique (D:\eventViewer-Depo\Security.evtx) [La ruta por defecto es %windir%\System32\wbem\Logs]
Listo, ahora si revisamos nuestra ruta de almacenaje deberíamos de encontrar unos archivos llamados Archive-Security*.EVTX y otros más. Para manejar esto de forma automática podríamos salvar las siguientes líneas en un archivo tipo BAT e invocarla con una tarea programada diaria.

@echo off
REM ### ~ daemonRoot@sysadmin-cr.com ###
REM ### Inicia búsqueda de archivos mayores a los 45 días ###
forfiles /P D:\eventViewer-Depo /S /M * /D -45 /C "cmd /c echo @path" > D:\eventViewer-Depo\toDelete.log
REM ### Se remueven los archivos encontrados con el criterio anterior ###
for /f %%a in (D:\eventViewer-Depo\toDelete.log) do del /Q %%a
REM ### Se procede a enviar un reporte por correo electrónico sobre el purgado, el cual nos indica los archivos eliminados y la ejecución exitosa de la tarea ###
sendEmail.exe -f monitoring@sysadmin-cr.com -t server-support@sysadmin-cr.com -u REPORTE: Purgado de archivos de evento -m El archivo adjunto contiene la lista de bitácoras eliminadas como parte del proceso de retención y limpieza –a D:\eventViewer-Depo\toDelete.log -s smtp.sysadmin-cr.com
REM ### Se borra el archivo con la lista de ítems eliminados ###
del /q D:\eventViewer-Depo toDelete.log
REM ### Tarea completa ###

Que diferente era hacer esto con Windows Server 2003… que lindo como evoluciona la tecnología!
Gracias por su tiempo.

E14-SP1 UR1!!!

2010-10-09T10:12:00.000-06:00

Como habrán notado desde un par de días está disponible el Update Rollup 1 para el SP1 de Exchange 2010, en este artículo veremos cómo aplicarlo a un DAG.
Básicamente moveremos las base de datos a uno de los servidores, detendremos la activación de las bases de datos (también cuando aplique debemos detener ciertos servicios que podrían causar conflictos como el de Forefront), actualizamos, y regresamos todo a la normalidad.
Con el comando “Get-MailboxDatabase” veremos el listado de bases de datos.
Ahora bien, movamos la base de datos a un solo servidor, esto ejecutando el comando “Move-ActiveMailboxDatabase nombreDaseDatos –ActivateOnServer servidorDestino” y luego lo confirmamos con el primer comando.

De la siguiente manera podemos ver la política de activación de las bases de datos en el servidor llamado HADES (recuerda que las bases de datos están en AQUERONTE, no deseo que estas se activen en el servidor que voy a parchear):
[PS] C:\>Get-MailboxServer HADES | FL Name,DatabaseCopyAutoActivationPolicy

Name : HADES
DatabaseCopyAutoActivationPolicy : Unrestricted

Para desactivarla utilizaremos el siguiente CMDLET "Set-MailboxServer HADES -DatabaseCopyAutoActivationPolicy Blocked" (el parámetro "DatabaseCopyAutoActivationPolicy -Unrestricted" revierte el cambio).
Bien, ahora podremos aplicar el RU1 simplemente ejecutando el archivo MSU en que viene empaquetado, este procedimiento también aplica para el Service Pack, solo que la instalación de este debe de invocarse mediante el SETUP (para mayor información visite este enlace).
Por el momento el UR1 solo está disponible por descarga directa, se espera que para este Patch Tuesday esté disponible vía Windows Update.

Como toda instalación/actualización de Exchange esto debe de ejecutarse en orden alfabético según las funciones del servidor (CAS-1, HUB-2, MBX-3, UC-4).
Hasta pronto.

Servidores nuevos, siiii!

2010-10-05T15:20:00.000-06:00

Estamos en la fase de diseño de nuestros nuevos controladores, necesitamos comprender como se comporta el equipo actual para asi hacer nuestros pronósticos para el siguiente.
Con perfmon puedo crear un set de contadores como memoria, tiempos de lectura de la partición donde se aloja el NTDS.DIT y procesador, estos los salvo como un archivo HMT (Server 2003) o XML para crear un machote (a partir de Server 2008) y así los puedo reutilizar en otros equipos. Además puedo especificar que el output sea en formato CSV lo cual hará más fácil el proceso de datos en Excel.
Entonces con lo anterior puedo tener ciertos números aproximados de cuanta memoria necesito, si mi arreglo de discos y velocidad de estos es adecuado, también si necesito más procesadores, o tal vez alguno más poderoso.
También algo que nos puede ser útil es llevar un archivo histórico que refleje el comportamiento de la base de datos de AD, en el EventID 1646 podemos encontrar el tamaño de este, entonces podríamos analizar el crecimiento de este y junto con información sobre el crecimiento o proyecciones de la empresa podríamos calcular el espacio adecuado de los discos para almacenarlo. También en la sana teoría es óptimo poder cargar nuestro AD en memoria, por lo cual saber su tamaño es muy importante.
Otros factores como futuras implementaciones o ampliaciones de servicios que dependen en AD nos pueden afectar, tal como Exchange que estará haciendo consultas continuas a AD, o el almacenaje de llaves de encriptación de BitLocker lo cual hará crecer el .DIT.
Recordemos que cambiar el hardware no es algo que se hace a menudo por lo cual además de lo que con nuestro método podamos prever debemos dar un espacio de error y desde luego calcular cuántos años pretendemos utilizar el equipo nuevo.
Como siempre, esto no es una guía definitiva, son tan solo un manojo de ideas que espero les puedan ayudar, gracias por su lectura.

WSUS en un RODC

2010-10-01T11:48:00.003-06:00

Estaba yo trabajando con unas instalaciones en oficinas remotas, en uno de los casos necesitaba instalar un WSUS en mi único servidor, un RODC.
Al tratar de instalar mi WSUS obtuve el siguiente error:
CInstallDriver::PerformSetup: Installation of wYukon failed (Error 0x80070643: Fatal error during installation.)
Después de dar muchas vueltas y rascarme la cabeza note que en el contenedor Users existían dos grupos que por su descripción y tomando en cuenta el error anterior pues estos parecían estar ligados al WSUS, o al menos a la base de datos de este.
Entonces cree los grupos de seguridad con ámbito local, simplemente cambie hostName por el nombre de su servidor y listo.
SQLServer2005MSFTEUser$hostName$Microsoft##SSEE
SQLServer2005MSSQLUser$hostName$Microsoft##SSEE
Una vez que estos replicaron (repadmin /replicate serverDestino serverFuente DC=dominio,DC=com) al RODC la instalación fue exitosa.

Este mismo truco funciona por ejemplo para instalar la consola administrativa del antivirus Kaspersky, acá se necesitan los siguientes grupos "SQLServer2005SQLBrowserUser$hostName", "SQLServer2005MSSQLServerADHelperUser$hostName" y el "SQLServer2005MSSQLUser$hostName$KAV_CS_ADMIN_KIT".
Estos originalmente son grupos locales, pero al ser esto un DC no hay SAM por ende la necesidad de crearos en AD.
Hasta pronto.

El nuevo OCS... digo Lync!

2010-09-16T04:30:00.000-06:00

Recuerdan cuando en los medios de instalación de Exchange 2000 existía un disco que nos permitía instalar el Instant Messaging Server… Con su EXIPC (enlace entre IIS 5 y Exchange), RCP (creo que Trillian aun utiliza Rendezvous Protocol, a partir de LCS 2005 utilizamos SIP), FTM, el Locator y otros componentes más… ah y el cliente, claro el Windows Messenger! Bueno como sabemos eso evoluciono luego en LCS, después en OCS y OCS R2 hasta que llegamos con ansias a nuestra actualidad cuando esperamos ver que nos traerá la nueva versión del producto. Creo que lo primero que notaran es que trae un nombre nuevo, ya que ahora en su quinta generación se llama Lync! Y el RC se puede obtener acá http://www.microsoft.com/downloads/en/details.aspx?FamilyID=29366ba5-498f-4d21-bc3e-0b4e8ba58fb1
Para información sobre los requerimientos del sistema http://www.microsoft.com/downloads/en/details.aspx?FamilyID=634a3616-4199-4d51-88ee-618e72d91b7c
Guía de iniciación http://www.microsoft.com/downloads/en/details.aspx?FamilyID=e33765bc-9c5d-49b2-bb4f-ec8d42ccc1c7
Guía de implementación de ambiente de pruebas http://www.microsoft.com/downloads/en/details.aspx?FamilyID=709d1609-a62a-47bd-baa4-6221dfd3c34c
Versión RC de la herramienta de planeamiento http://www.microsoft.com/downloads/en/details.aspx?FamilyID=bcd64040-40c4-4714-9e68-c649785cc43a
Documentación de planeamiento http://www.microsoft.com/downloads/en/details.aspx?FamilyID=2da9fa26-e032-4dcf-b487-da916ddc508f
Introducción a la topología http://blogs.msdn.com/b/jcalev/archive/2010/09/14/lync-topologies-an-introduction.aspx
Portal principal http://www.microsoft.com/en-us/lync/technology-overview.aspx
Pues bien, tenemos juguete nuevo, que se diviertan!

Grupos restringidos.

2010-09-11T07:14:00.002-06:00

Por medio de las políticas de grupo se pueden manipular incontables aspectos de un equipo, afortunadamente las membresías de grupos locales son uno de estos parámetros manejables. Algo que se presta para confusiones son los “Restricted Groups” o grupos restringidos, recordemos que con esta política podemos agregar usuarios a grupos ya existentes o bien sobre-escribir las membresías de los grupos con una lista determinada por nosotros.
Para modificar dicha política debemos navegar a la siguiente ruta Computer Configuration \ Windows Settings \ Security Settings \ Restricted Groups.
Acá tenemos dos opciones, veamos cómo sacar provecho de ambas aplicándolas a lo que podría ser un escenario realista de nuestro día a día.

En un grupo determinado de equipos necesito que únicamente cierto usuario sea el único miembro del grupo de Administradores locales, esto sería algo autoritativo sobre los valores actuales. En este caso navego a la ruta anterior y en la opción de “Members” agrego a los usuarios de mi lista autoritativa. Esto eliminara a los administradores anteriores. Recordemos que si dejamos a aplicar esta política mi usuario seguirá en la lista de Administradores locales, o sea, se poblaran las membresías por defecto y se mantendrá esta.

Escenario dos, en un grupo determinado de equipos necesito agregar un grupo de seguridad al grupo de Administradores locales. En este caso conservare las membresías anteriores. Acá caso necesito modificar el parámetro “Members of”.

Debemos tener en mente que cual sea nuestra selección por defecto el sistema reaplicara estos parámetros cada 16 horas y únicamente debemos utilizar 1 de estas opciones a la vez.

Hasta pronto!

NTP, el gran misterio.

2010-09-04T06:58:00.000-06:00

Buenas amigos, hoy escribiendo desde Panamá City, con una magnifica vista de esta bella ciudad.
Mucha gente simplemente lo ignora, pero cuán importante es la sincronización de tiempo en nuestro ambiente? Muchísimo. Recordemos que con un desfase mayor o menor a los 5 minutos Kerberos no te emitirá tiquetes, Office Communicator es bastante sensible con respecto al tiempo, también he visto problemas con Exchange, GPOs, NtFrs/DFS y otros. Entonces como configurar esto?
Tomemos en cuenta lo siguiente, para la sincronización de tiempo debemos establecer una cierto tipo de organización, pensemos en una cascada o jerarquía en la cual nuestro PDC-Emulator será el nivel más alto, la autoridad de NTP, luego en el siguiente nivel o estrato están los demás controladores y estos serán consultados por todos los clientes o maquinas miembros del dominio. PDC-Emulator { DCs { clientes. En el caso de tener dominios hijos pues estos consultaran al dominio padre.
Ok, primero configuremos el PDC, en este link http://www.ntp.org/ podemos obtener una lista de NTPs que nos puede ser útil, yo le aconsejaría buscar el más cercano a la localización de los servidores y al menos un par más de respaldo.
Veamos la configuración actual de nuestro PDC ejecutando el siguiente comando: w32tm /dumpreg /subkey:parameters o bien naveguemos en el Registro de Windows a HKLM\System\CurrentControlSer\Services\W32Time\Parameters. Acá para simplificarnos nos concentraremos en los valores del Type (acá se establece el tipo/modo de servidor a consultar/utilizar) y el NtpServer (dirección de el o los servidores).
Entonces vamos a indicarle a nuestro servidor que su fuente de tiempo es un servidor tipo NTP, para los demás controladores, vamos a asegurarnos su fuente de NTP sea tipo NT5DS.
Entonces primero digámosle a nuestro PDC la dirección o FQDN de nuestros servidores primarios, recordemos que NTP utiliza el puerto 123 en UDP.
w32tm /config /manualpeerlist: ”gnomon.cc.columbia.edu,0x8 navobs1.gatech.edu,0x8 ntp2.usno.navy.mil,0x8 tick.mit.edu,0x8 time.nist.gov,0x8 ” /update
Ahora básicamente indicaremos al equipo que utilice la lista anterior y que se actualice.
w32tm /config /syncfromflags:MANUAL /update
Si el resultado es satisfactorio podremos observar un evento número 37 en la sección del Sistema en el Visor de Eventos, algo similar a esto:

Event Type: Information
Event Source: W32Time
Event Category: None
Event ID: 37
Date: 9/4/2010
Time: 7:57:18 AM
User: N/A
Computer: hostName
Description:
The time provider NtpClient is currently receiving valid time data from ntpServerFQDN (ntp.d
ntpClient->ntpServer:123).

Pensemos que en nuestro dominio raíz tenemos 3 controladores, entonces la configuración de estos se vería más o menos así:

w32tm /dumpreg /subkey:parameters /computer:domainControllerA(PDC-Emulator)
Value Name Value Type Value Data
-------------------------------------------------
ServiceMain REG_SZ SvchostEntry_W32Time
ServiceDll REG_EXPAND_SZ C:\WINNT\system32\w32time.dll
NtpServer REG_SZ gnomon.cc.columbia.edu,0x8 navobs1.gatech.edu,0x8 ntp2.usno.navy.mil,0x8 tick.mit.edu,0x8 time.nist.gov,0x8
Type REG_SZ NTP

w32tm /dumpreg /subkey:parameters /:domainControllerB
Value Name Value Type Value Data
-------------------------------------------------
ServiceMain REG_SZ SvchostEntry_W32Time
ServiceDll REG_EXPAND_SZ C:\WINNT\system32\w32time.dll
NtpServer REG_SZ
Type REG_SZ NT5DS

w32tm /dumpreg /subkey:parameters /:domainControllerC
Value Name Value Type Value Data
-------------------------------------------------
ServiceMain REG_SZ SvchostEntry_W32Time
ServiceDll REG_EXPAND_SZ C:\WINNT\system32\w32time.dll
NtpServer REG_SZ
Type REG_SZ NT5DS

Ahora bien como averiguo el estado del tiempo entre mis controladores de dominio, pues para esto tan solo necesito emitir un w32tm /monitor

w32tm /monitor /domain:daemonroot.com
domainControllerA *** PDC *** [192.168.1.22]:
ICMP: 0ms delay.
NTP: +0.0000000s offset from domainControllerA
RefID: navobs1.gatech.edu [130.207.244.240]
*Nótese que en el primer controlador enlistado es mi PDC, acá puedo también ver contra que servidor está funcionando él.

domainControllerB [192.168.1.23]:
ICMP: 0ms delay.
NTP: -0.0115700s offset from domainControllerA
RefID: domainControllerA [192.168.1.22]

domainControllerC [192.168.1.24]:
ICMP: 99ms delay.
NTP: +0.0156915s offset from domainControllerA
RefID: domainControllerA [192.168.1.22]
*En el caso de los controladores adicionales lo que me interesa es saber cuánto es la diferencia de tiempo entre el PDC y ellos, que como vemos en este caso no es mayor a una centésima de Segundo, nada mal eh?

Los equipos miembros del dominio por defecto utilizaran a los controladores de dominio para sincronizar su tiempo (Type = NT5DS). Si aún tenemos problemas con algún equipo el comando w32tm /config /computer:hostName /update nos podría ser muy útil o bien un w32tm /config /syncfromflags:DOMHIER /update no más para asegurarnos que el equipo está configurado apropiadamente ya que como sabemos hay clientes muy singulares que gustan cambiar parámetros de configuración pues “ellos saben de esto”.
Bueno estimados lectores espero esto les sea útil de alguna manera, realmente no es una guía autoritativa ni nada similar, este es un interesante tema del que podríamos hablar mucho más pero ya es TIEMPO de que me marche, hasta la próxima!

Manejando bitácoras

2010-08-09T23:34:00.000-06:00

En el siguiente escenario manejaremos la bitácora del servicio NetLogon, la cual se registra en el archivo netlogon.log, el cual se almacena en la ruta %windir%\Debug, podría ser cualquier archivo pero me gusta la idea de explicarlo con este específicamente.
Presentare dos soluciones (si es que les puedo llamar así) para tratar de abarcar más escenarios y así que eso le sea útil a mas personas.
Primero, en este caso utilizaremos WinRAR para archivar el archivo antiguo, además tendremos un repositorio común, el cual representaremos con la unidad Z, en la cual encontraremos una serie de folders llamados archive-%hostname% (%hostname% = el nombre de tu equipo).
Alternativamente podría agregar la ruta de instalación de WinRAR a la variable PATH, para asi no tener que especificar la ruta completa del utilitario (SETX PATH "%PATH%;C:\Program Files\WinRAR\" –M)
A continuación la serie de comandos para lograr nuestro objetivo.

# necesitamos detener el servicio para reemplazar la bitácora
Stop-Service netlogon
# esperamos unos segundos para que el servicio se detenga completamente
Start-Sleep -Seconds 7
#invocamos el utilitario RAR.exe, le indicamos crear un archivo llamado netlog-archiveYYYY-MM-DD-HH-MM-SS.rar (año-mes-día-hora-minuto-segundo), utilizaremos el nivel máximo de compresión (m5), indicamos el archivo a comprimir, eso sí solo el archivo, sin su ruta de carpetas (ep) y luego lo eliminamos (df).
"C:\Program Files\WinRAR\rar.exe" a Z:\archive-%hostname%\netlog-archive.rar -ag[YYYY-MM-DD-HH-MM-SS] -m5 C:\Windows\Debug\netlogon.log -ep -df
# ahora simplemente iniciamos el servicio y listo!
Start-Service netlogon

En el siguiente caso no tenemos un utilitario de compresión así que haremos un poco de rotación de bitácoras, tambien utilizaremos comandos de batch, en el ejemplo anterior el sabor era PowerShell asi que variemos un poco.

# eliminamos el archivo más antiguo (versión 0 = más reciente, versión 2= mas antiguo)
del C:\Windows\Debug\netlogon-2.log
# la version 1 es renombrada a version 2
ren C:\Windows\Debug\netlogon-1.log C:\Windows\Debug\netlogon-2.log
# la version 0 es renombrada a version 1
ren C:\Windows\Debug\netlogon-0.log C:\Windows\Debug\netlogon-1.log
# detenemos el servicio del netlogon
net stop netlogon
# esperamos un tiempo prudencial para que este se detenga por completo
Start-Sleep -Seconds 7
# renombramos el archivo original a version 0
ren C:\Windows\Debug\netlogon.log C:\Windows\Debug\netlogon-0.log
# iniciamos el servicio
net start netlogon
# esperamos un tiempo prudencial para que este inicie satisfactoriamente
Start-Sleep -Seconds 7
# ahora para referencia guardaremos la fecha de ejecución en el archivo aquí mencionado
date /t && time /t >>C:\Windows\Debug\renombradoLog.txt
# tambien registraremos el estado del servicio luego de ejecutar esta tarea
sc query netlogon >>C:\Windows\Debug\renombradoLog.txt

*En Windows Server 2008 no existe ni wait ni sleep por lo cual recurro al cmdlet Start-Sleep
**El comando now se puede usar para reemplazar la parte de “date /t && time /t”
Como vemos estas tareas son bastante flexibles y las líneas de una se pueden complementar con otras, también si usted gusta del sabor de WinZip podría entonces utilizar wzzip.
Espero esto les sea útil y les facilite un poco las cosas, hasta pronto!

Configurando mi Server Core...

2010-07-31T23:09:00.001-06:00

Como te abras dado cuenta ciertos snap-ins que te permiten conectar remotamente a otros equipos no funcionan en Server Core... o al menos no hasta que hagamos los ajustes apropiados.
En lo personal yo agrupo mis Core para razones de parcheo y pues para no crear otra política más por ahí también configuro uno que otro parámetro para estos, desde luego hay excepciones y N casos, usted es quien conoce su ambiente/cliente.
Primero vamos a activar el Device Manager, esto lo haremos habilitando siguiente GPO “Computer Configuration/Policies/Administrative Templates/System/Device Installation/Allow remote access to the PnP interface”.
Ahora bien… hace un par de días tenía que crear ciertos arreglos de discos pero acá no hay consola de Disk Management! Claro, si iniciamos el servicio de Virtual Disk (net start VDS) y ajustamos las reglas del firewall (netsh advfirewall firewall set rule group=”Remote Volume Management” new enable=yes) podremos desde una consola remota manejar los discos de nuestro servidor.
Con el comando anterior podremos también habilitar otras consolas remotas, esto simplemente al ejecutar el mismo comando pero cambiando el nombre del grupo y así de sencillo se realizaran los ajustes adecuados en el Windows Firewall.
Event Viewer = netsh advfirewall firewall set rule group=”Remote Event Log Management” new enable=yes
Services = netsh advfirewall firewall set rule group=”Remote Service Management” new enable=yes
Shared Folders = netsh advfirewall firewall set rule group=”File and Printer Sharing” new enable=yes
Task Scheduler = netsh advfirewall firewall set rule group=”Remote Scheduled Tasks Management” new enable=yes
Reliability and Performance = netsh advfirewall firewall set rule group=”Performance Logs and Alerts” new enable=yes y también deberá ejecutarse este comando netsh advfirewall firewall set rule group=”File and Printer Sharing” new enable=yes
Windows Firewall with Advanced Security = netsh advfirewall firewall set rule group=”Windows Firewall Remote Management” new enable=yes
Hyper-V = netsh advfirewall firewall set rule group=”Windows Management Instrumentation (WMI)” new enable=yes y después necesitamos agregar el/los usuarios del dominio al grupo local de Distributed COM User, esto mediante el comando net localgroup “Distributed COM Users” /add daemonroot\dannycs
IPSec Management = cscript %systemroot%\system32\SCregEdit.wsf /im 1
Terminal Services (legacy) = cscript %systemroot%\system32\SCregEdit.wsf /cs 0

Si bien usted necesita implementar coutas de disco imagino ya noto que aunque podamos mapear la unidad esta opción no existe, por lo cual debemos ejecutar un par de pasos, el primero para habilitarle y el segundo para asignar las cuotas (en este ejemplo la cuota se habilitara para la unidad F, dándole al usuario dannycs una cuota de 1.5GBs y ejecutando la alerta al llegar a 1GB de utilización.
fsutil quota enforce F:
fsutil quota modify F: 1073741824 1610612736 dannycs
Como referencia puede también leer mi artículo anterior http://telnet25.blogspot.com/2010/05/server-core-rodc.html
Bueno, espero esto les sea útil y se diviertan mucho son sus Server Core.

objectClass=Computer y los RODCs.

2010-07-29T07:48:00.000-06:00

Cuando pensamos en RODC y la políticas de replicación de contraseñas normalmente pensamos en objetos tipo “usuario” pero recordemos que también los objetos tipo “computador” son un security principal, lo cual implica que tienen una contraseña. Según la definición un security principal es una entidad que puede ser identificada por su singularidad (determinada por su nombre de inicio de sesión y el SID), la cual necesita acceso a recursos (archivos compartidos, servicios u otros) gobernados por una autoridad de seguridad (en este caso AD).
Entonces el punto al que quiero llegar es que recordemos los objetos computadora al momento de configurar las políticas de replicación de contraseñas para nuestros RODCs.
Hasta pronto!

El caso del GC que no era.

2010-07-28T15:24:00.000-06:00

Hace unos días me contactaron para asistir en un caso… se trataba de un bosque con un único dominio y un solo controlador (existían anteriormente unos en Windows 2003, los cuales fueron reemplazados por este 2008), al tratar de promover un controlador secundario el proceso fallaba pues “no se podía contactar al catálogo global”.
Lo curioso es que en “Active Directory Sites and Services” el controlador aparecía como GC y si lo pensamos en un dominio con un único DC pues este debe de ser también GC.
Chequeando más a fondo encontré que el repadmin mostraba “IS_GROUP_CACHING_ENABLED” (esto significa que el controlador tiene activado el cache de membresías de grupos universales pero no es un GC), el Event Viewer… wow parecía un árbol de navidad con todas esas bolitas rojas y amarillas, PortQry nos indicaba que el puerto 3268 no estaba escuchando y un vistazo al RootDSE mostro “isGlobalCatalogReady=FALSE”
Como se pueden imaginar este es uno de esos casos que no se ven muy a menudo, hablando con el cliente este me comento que tenían un dominio hijo en el bosque, el cual no fue removido de la forma apropiada pero que ya se había corregido el problema. Esto me llevo a revisar las cosas por mí mismo y vaya la sorpresa ya que en la partición de Configuración encontré una referencia (objeto tipo crossRef ) a ese dominio inexistente (CN=Partitions,CN=Configuration,DC=dominioABC,DC=com). Según la teoría y mi lógica (la cual a veces es un poco… singular) un catálogo global es un resumen de la partición de dominio de cada dominio en el bosque, para crearlo se contacta a controladores de cada dominio para obtener un listado de los atributos que forman el PAS y esta se empieza a indexar, por lo cual si dicha referencia nos lleva a un lugar inexistente, el proceso nunca completaría, por lo cual removí dicho objeto y badabing badabum… habemus GC.
Esto además de lo singular del caso nos deja ciertas lecciones:
1- No asignar tareas si el personal no está seguro y confiado de la tarea a realizar.
2- Tener un plan de comprobación y desde luego que lo ejecute otra persona, no quien implemento el cambio.
3- Tener cerca la informacion de contacto de su buen amigo el consultor, quien lo podrá salvar de este tipo de situaciones.
Hasta la próxima!

Adiós Windows 2000.

2010-07-13T12:46:00.001-06:00

Hoy es el día en que llegamos al final de este capítulo de la informática llamado Windows 2000… este marcó un gran paso en la informática y principalmente nos trajo a Active Directory y otros productos/tecnologías más, las cuales hacen mi día a día más divertido. A partir de este momento este producto no tiene soporte alguno así que ~úselo bajo su propio riesgo~ aunque realmente yo evitaría usarlo. http://support.microsoft.com/ph/1131#tab0

Exchange 2010... libro nuevo.

2010-07-02T14:04:00.000-06:00

Para los que gustan de la lectura a partir de hoy está disponible un título nuevo sobre Exchange 2010 "Microsoft® Exchange Server 2010 Best Practices" , dicho libro incluye el Service Pack 1.
Según la descripción no es un libro para principiantes, así que imagino traerá valiosa información detallada y difícil de encontrar sobre el producto.

Le echaré un vistazo mientras espero el que publicara Tony Redmond alrededor de Octubre.

Perfiles de energía.

2010-06-27T13:46:00.000-06:00

Al menos hablando de mi persona yo soy uno que casi no reviso los perfiles de poder/energía del equipo… si lo analizamos es importante que estos sean homogéneos en nuestro ambiente, por ejemplo al hacer implementaciones masivas ya sea por WDS o el producto de nuestro agrado, también para obtener un mayor rendimiento… los que me conocen saben que casi nunca utilizo mi portátil solo con su batería esto pues el rendimiento no es el mismo (sí, soy una persona complicada y lo acepto).

Resulta que la consola (bendita sea) nos brinda la herramienta POWERCFG que nos permite administrar los perfiles de poder del equipo, con lo cual podríamos hacer algo como “powercfg –export C:\tools\myPerfil.pow” y así exportar nuestro perfil favorito, luego con el parámetro “-import” lo importamos en otro equipo y lo configuramos como activo “-setactive” y así con tan solo unos comandos que podríamos inclusive aplicar por medio de una política estaríamos estandarizando los esquemas de poder de nuestros equipos, desde luego lo idóneo es hacer esto en equipos de similar configuración.

La opción que más me gusta (disponible en Win7 y 2008R2) es la de “–energy” que me crea un reporte de utilización de energía, lo que me encanta es la parte del reporte donde se especifica que proceso o controlador es responsable de cierta utilización del procesador significativamente superior a otros.

Mediante una mayor comprensión de nuestros equipos podemos llegar a brindar un mejor servicio a nuestros clientes y en mi humilde opinión una herramienta como esta es de gran ayuda.

Saludos cordiales.

El buscador de políticas (GPS).

2010-06-24T19:28:00.001-06:00

Hace unos meses lo observe en beta y me gustó mucho… ya hoy se anunció su lanzamiento oficial, es la herramienta de búsqueda de GPOs.
Esto realmente nos hará la vida más sencilla pues a veces es un poco confuso encontrar la política exacta que necesitamos, échenle un ojo http://gps.cloudapp.net/
Que se diviertan!

Que servicios corre esta cuenta?

2010-06-24T06:08:00.000-06:00

Me preguntaba un amigo sobre cómo buscar en varios equipos los servicios que se ejecutan bajo una cuenta determinada? En este caso lo primero que se me vino en mente fue el comando SC, pero luego de jugar un poco me di cuenta que PSSERVICE es más flexible.
Entonces vamos a preparar una lista que contenga el nombre de los equipos que vamos a revisar, la cual para efectos del ejemplo guardaremos en G: y le llamaremos listServers.txt.
El resultado de esto lo salvaremos en un archivo llamado serviceCheck.log en C:\output.
En el siguiente ejemplo la cuenta que me interesa es llamada DAEMONROOT\OCSRtcServ
G:\tools\|>for /f %a in (G:\listServers.txt) do (echo %a >>C:\output\serviceCheck.log) && (psservice \\%a config | findstr /I "SERVICE_NAME DAEMONROOT\OCSRtcServ" >>C:\output\serviceCheck.log)
El archivo tendrá un formato similar a:
hostName0
servico A
servico B
servicio C
     cuentaQueLoEjecuta
servicio D
     cuentaQueLoEjecuta
servicio E
servicio F
hostName1
servico A
servico B
servicio C
     cuentaQueLoEjecuta
servicio D
     cuentaQueLoEjecuta
servicio E
hostname2
servicio A

Si bien tan solo quiero información general sobre cuentas y servicios entonces cambio mi filtro a algo como "SERVICE_NAME SERVICE_START_NAME" y esto me dará una lista de todos los servicios y la cuenta que lo ejecuta en mi lista de equipos.
Hasta pronto.

check-auth@verifier.port25.com una excelente herramienta!

2010-06-24T05:26:00.000-06:00

Les presento otra valiosa herramienta que nos brinda excelente información sobre nuestro sistema de correo, simplemente envíen un correo a check-auth@verifier.port25.com y obtendrán un grandioso reporte sobre su sistema de correo. Un par de minutos luego de enviarlo recibirás un correo de respuesta con información de SPF, Sender-ID, información sobre tu MX y mucho más!

Respaldando políticas.

2010-06-18T08:22:00.000-06:00

Como me gusta facilitarme mi vida pues no tiene sentido hacer una restauración autoritativa tan solo por una simple política… y aún más cuando tal vez toda la algarabía es por algún cambio en la política el cual no detectamos a simple vista. O me van a decir que nunca les ha pasado que de repente tienen un “version mismatch” en alguna política y no tienen la más mínima idea de que diantres paso?!
Para estos casos lo que yo recomiendo es respaldar las GPOs a diario, en su propio esquema de respaldos.
Si miran la carpeta de instalación del GPMC notaran una carpeta llamada “Scripts” que está llena de cosas útiles! Entonces tomando algunos de estos scripts vamos a crear una tarea programada que respalde todas las políticas del dominio y luego basados en la fecha de creación se eliminen los respaldos antiguos.
El script se almacena en C:\Scripts\GPOScripts (van a necesitar el archivo WSF y el Lib_CommonGPMCFunctions.js), la información se respalda en E:\GPOs-backup.
Esta es una versión más simple, puede ser modificada fácilmente para ambientes multi-dominios, también en el caso de cierto cliente lo modifiqué para que mande por correo un resumen de la actividad y también comprima los respaldos.
Si gustan pueden también usar el script llamado GetReportsForAllGPOs.wsf para obtener un reporte de cada política en su formato favorito (XML o HTML).

del E:\GPOs-backUp\GPObu.old
ren E:\GPOs-backUp\GPObu.log GPObu.old
cd C:\Scripts\GPOscripts
cscript BackupAllGPOs.wsf //NoLogo E:\GPOs-backUp\daemonRoot /domain:daemonroot.com /comment:Backup done on %date% at %time% >>E:\GPOs-backUp\GPObu.log
type E:\GPOs-backUp\GPObu.log
find /I "Backup" >E:\GPOs-backUp\summaryGPO.txt
REM ### Search For GPOs that are older than 30 days ###
del E:\GPOs-backUp\filelist.log
forfiles /P E:\GPOs-backUp\daemonRoot /S /M * /D -7 /C "cmd /c echo @path" >>E:\GPOs-backUp\filelist.log
REM ### Deleting old files ###
for /f %%a in (E:\GPOs-backUp\filelist.log) do rmdir /S /Q %%a
REM ### Job completed ###

Bueno, espero este les dé una ayuda para desarrollar un mejor esquema de respaldos y tener una rápida solución con respecto a políticas.

Ouch, me equivoque de llave del producto...

2010-06-08T05:07:00.000-06:00

Alguna vez les ha pasado que por una extraña suerte le instalan a su servidor la llave de la versión Standard, cuando ocupaban la Enterprise? Y aun mejor usted está utilizando Server Core...
Pues para estos casos existe el “Deployment Image Servicing and Management tool (dism.exe)”
Con el comando “dism /Online /Get-CurrentVersion” usted averiguara la versión actual del sistema operativo.
Ejecutando “dism /Online /Get-TargetEditions” sabrá cuáles son sus opciones de upgrade.
Para realizar el cambio o upgrade simplemente ejecute “dism /Online /Set-Edition:edicionDeseada /ProductKey:codigoDe25Caracteres” y listo!

Esta es una de las facilidades que hoy en dia ofrece Windows Anytime Upgrade.
Nos hablamos luego que tengo mucho que jugar con Exchange 2010 SP1, saludos.

Remote Desktop Connection Manager

2010-05-29T08:47:00.004-06:00

Remote Desktop no es mi fuerte, pero échenle un ojo a este utilitario que fue publicado hace un par de días.
Sinceramente me gusta más que mi MMC personalizada con N iconos para Remote Desktop y me simplifica un poco las cosas!
http://www.microsoft.com/downloads/details.aspx?FamilyID=4603c621-6de7-4ccb-9f51-d53dc7e48047&displaylang=en

AD dañando, a limpiar Metadata.

2010-05-29T08:19:00.005-06:00

Por una serie eventos desafortunados llegue a un punto en que mis controladores no replicaban entre si pues “habían” dos referencias de más a controladores inexistentes.
Si miramos la imagen adjunta notaremos que en el OU de Domain Controllers hay tres objetos, pero en la partición de Configuración hay cinco, eso no es bueno :S
Intente remover dichos objetos con LDP, ADmod y DSRM pero no lo logre por lo cual recurrí a la herramienta NTDSUtil, esto es lo que yo llamo “operando AD a corazón abierto”
Los comandos estan en MAYUSCULAS y los comentarios los antecede el signo numeral.

NTDSUTIL
# Selecciono la opción de limpieza del Meta Data.
MET CLE
# Me conecto y autentico a un controlador, este de hecho es mi maestro de operaciones para todos los roles.
SEL OPE TAR
CON
# “set cre” se utiliza para establecer los credenciales, especificando dominio, usuario y contraseña. Esto en caso de que no deseemos utilizar las credenciales actuales.
SET CRE daemonroot root Exchange14!
# Acá establezco la conexión con el servidor.
CON TO SER nemesis
QUI
# En esta sección voy a enlistar mis objetos con “lis” y luego selecciono el que deseo manipular con “sel” y el número del objeto.
LIS DOM
Found 1 domain(s)
0 - DC=daemonroot,DC=com
SEL DOM #
LIS NAM CON
Found 5 Naming Context(s)
0 - CN=Configuration,DC=daemonroot,DC=com
1 - DC=daemonroot,DC=com
2 - CN=Schema,CN=Configuration,DC=daemonroot,DC=com
3 - DC=DomainDnsZones,DC=daemonroot,DC=com
4 - DC=ForestDnsZones,DC=daemonroot,DC=com
SEL NAM CON #
LIS SIT
Found 1 site(s)
0 - CN=daemonHQ,CN=Sites,CN=Configuration,DC=daemonroot,DC=com
SEL SIT #
LIS SER IN SIT
Found 5 server(s)
0 - CN=NEMESIS,CN=Servers,CN=daemonHQ,CN=Sites,CN=Configuration,DC=daemonroot,DC=com
1 - CN=HADES,CN=Servers,CN=daemonHQ,CN=Sites,CN=Configuration,DC=daemonroot,DC=com
2 - CN=AQUERONTE,CN=Servers,CN=daemonHQ,CN=Sites,CN=Configuration,DC=daemonroot,DC=com
3 - CN=KERBEROS,CN=Servers,CN=daemonHQ,CN=Sites,CN=Configuration,DC=daemonroot,DC=com
4 - CN=CERBEROS,CN=Servers,CN=daemonHQ,CN=Sites,CN=Configuration,DC=daemonroot,DC=com
# Notese el registro de los cinco controladores. En el siguiente paso seleccionare uno de estos para eliminarlo.
SEL SER #
# Verifico mi selección.
LIS CUR SEL
select operation target: LIS CUR SEL
Site - CN=daemonHQ,CN=Sites,CN=Configuration,DC=daemonroot,DC=com
Domain - DC=daemonroot,DC=com
Server - CN=CERBEROS,CN=Servers,CN=daemonHQ,CN=Sites,CN=Configuration,DC=daemonroot,DC=com
DSA object - CN=NTDS Settings,CN=NEMESIS,CN=Servers,CN=daemonHQ,CN=Sites,CN=Configuration,DC=daemonroot,DC=com
DNS host name - nemesis.daemonroot.com
Computer object - CN=NEMESIS,OU=Domain Controllers,DC=daemonroot,DC=com
QUI
# Y ahora elimino el servidor seleccionado, esto me dará una opción de confirmación, no hace daño leer y verificar que no nos estamos equivocando.
# En mi caso el “Computer Object” no aparecía, acá lo muestro por referencia.
REM SEL SER
# Una vez completado debemos seleccionar el siguiente objeto a remover con “sel xx”
# También podemos eliminar objetos debajo del controlador, dominios y/o contextos de nombre.
QUI
QUI
QUI

Luego de eliminar los objetos malignos y verificar el Metadata simplemente cierro la herramienta, ejecuto un “REPADMIN /SYNCALL” y espero llegar a un punto de convergencia.
Los comandos en NTDSUtil yo los acorto usando las primeras tres letras, para simplificarnos, si usted prefiere puede escribir “remove selected server” o evitar el desgaste de la yema de sus dedos y solo usar “rem sel ser”, es cuestión de gustos.
Como hemos visto NTDSUtil es una herramienta extremadamente útil, desde luego antes de utilizarla realice respaldos y verifique cada comando antes de emitirlo pues podría usted causar un severo daño a su directorio; gracias a Dios estas advertencias son ignoradas y asi yo tengo trabajo.

Server Core / RODC

2010-05-28T10:22:00.011-06:00

En la red en encontrado N artículos referentes a Windows Server Core, pero en mi humilde opinión algunos son muy genéricos y a otros les falta un par de cosas por lo cual aquí voy!
Primero les comento que los comando estarán escritos en Italics para así no confundirnos y el nombre de mi host es “cerberos”.
Tomando en cuenta que la instalación de Windows genera un nombre aleatorio para los equipos, esto será lo primero que cambiaremos.
Primero necesitamos saber el nombre actual, esto con el comando hostname, luego lo cambiaremos.
hostname
netdom renamecomputer "elNombreQueObtuvimosAnteriormente" /NewName:cerberos Necesitará reiniciar el equipo para que el cambio tome efecto.
shutdown /t 0 /r
Ahora vamos a asignarle una dirección IP estática.
netsh interface ipv4 show interface. Esto le mostrara las interfaces, en mi caso yo utilizo Hyper-V y por alguna razón mis Server Core (ya sea 2008 o 2008R2) no me reconocieron la NIC regular, por lo cual tuve que instalar un Legacy NIC. Acá el comando pnputil le puede ser útil para instalar las tarjetas u otros dispositivos.
netsh interface set interface name="Local Area Connection #" newname=LAN0. Por razones personales me irrita eso de "Local Area Connection #" así que utilizo una nomenclatura similar a LAN0, WAN1, TEAM2, BRIDGE0… por orden y un poco de estética, por lo cual con el comando anterior e renombrado la conexión.
netsh interface ipv4 set address name="LAN0" source=static address=0.0.0.0 mask=0.0.0.0 gateway=0.0.0.0 . Lista la dirección IP, mascara de subred y puerta de enlace.
netsh interface ipv4 add dnsserver name="" address=0.0.0.22 index=1
netsh interface ipv4 add dnsserver name="" address=0.0.0.23 index=2
Si usted tiene más de un servidor DNS agréguelos usando el comando anterior, eso sí aumentando el número del index, esto es la prioridad con que se consultaran los servidores DNS.
Ahora bien, confirmemos la comunicación y resolución de nombres.
Si el paso anterior es satisfactorio entonces procedamos a la promoción del controlador. Como sabemos el DCPROMO es una herramienta gráfica así que acá variaremos un poco las cosas y lo haremos por la consola, simplemente le brindaremos un archivo de respuesta y kaboom!
Afortunadamente podemos en el mismo Server Core invocar el notepad o bien crear el archivo y transferirlo por la red.
Este es un archivo que le puede servir de guía, nótese que al utilizarse el sistema elimina las contraseñas eliminadas en este, sea o no satisfactorio su resultado.
[DCINSTALL]
UserName=root
UserDomain=daemonroot
Password=
SiteName=daemonHQ
ReplicaOrNewDomain=ReadOnlyReplica
ReplicaDomainDNSName=daemonroot.com
DatabasePath="%systemroot%\NTDS"
LogPath="%systemroot%\NTDS"
SYSVOLPath="%systemroot%\SYSVOL"
ConfirmGC=yes
InstallDNS=yes
SafeModeAdminPassword=
RebootOnCompletion=yes
Si no deseamos un RODC podríamos poner el valor Replica en la línea “ReplicaOrNewDomain=”Para más información refiérase a http://support.microsoft.com/kb/947034
Bien ejecutemos el comando, como verán el proceso es bastante explicito, asi que cualquier error lo podremos ver fácilmente e investigar.
dcpromo /answer:archivo-respuesta.txt
En este punto su nuevo y feliz RODC debería de reiniciar y usted con suerte ordenar una pizza para celebrar.

Ahora vamos con los últimos pasos, activar la llave del producto, activar Windows Update (aunque imagino tiene usted una implementación solida de WSUS), habilitar Remote Desktop o bien utilice psexec :-P
Los scripts que necistamos para estar tareas están en %systemroot%\system32.
Para ingresar el Product Key:
cscript slmgr -ipk abcde-12345-abcde-12345-abcde
Para activar su copia de Windows:
cscript slmgr -ato
Para habilitar las actualizaciones de Windows:
cscript %systemroot%\system32\scregedit.wsf /au 4
Para habilitar RDP:
cscript %systemroot%\system32\scregedit.wsf /ar 0
Para habilitar RDP atravez del firewall:
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
Por último, en mi caso siempre instalo ciertos utilitarios y juguetes mis servidores, como soy muy perezoso me gusta ahorrar tecleos por lo cual en vez de navegar a mi ruta de utilitarios simplemente agrego esta a la variable del sistema llamada PATH, reinicio y listo!
SETX PATH "%PATH%;C:\tools" -M
Desde luego hay varias formas de promover un RODC, esta es tan solo una de ellas, espero mi aporte le sea útil

Hasta la proxima!

Lista de SMTP relays borrada.

2010-05-27T05:39:00.002-06:00

Me he encontrado con un par de casos en donde se achaca al KB976323 haber eliminado la lista de SMTP relays. Así que les comento para que tomen las medidas preventivas antes de implementarlo. Imagino esto está en investigación y pronto saldrá una actualización para este parche. http://support.microsoft.com/kb/976323
De hecho si visitan el hipervínculo anterior notaran que se hizo una actualización al artículo el pasado 20 de Abril y en dicho artículo se recomienda manualmente respaldar la información del SMTP.

Y que versión tenemos?

2010-05-20T10:45:00.007-06:00

Saber la versión de un archivo es relativamente sencillo con el utilitario filever, pero y si necesito esta información de 100 equipos o más?
En este caso vamos a averiguar la versión del dcpromo.exe, la lista de equipos está en el archivo de texto que indica la línea del comando (G:\workingDir\lista-hosts.txt).
for /f %a in (G:\workingDir\lista-hosts.txt) do echo %a >>version-dcpromo.log & filever //%a/c$/Windows/system32/dcpromo.exe >> version-dcpromo.log
Y listo!

Rendimiento y almacenaje de Exchange...

2010-05-20T08:53:00.004-06:00

Se queja usted del rendimiento que obtiene de su servidor de Exchange?
Veamos tres puntos rápidos sobre el almacenaje que nos podrían ayudar.
1- Por defecto Windows crea la partición a partir del sector 64 del disco, lo cual causa una alineación de la partición con la estructura del disco no optima (esto no aplica en Windows 2008).
Mientras que Diskpart.exe permite crear particiones con los sectores alineados, lo cual incrementa el rendimiento hasta en un 20%.
Si desea hacer pruebas de rendimiento a los discos puede utilizar WINSAT http://technet.microsoft.com/en-us/library/cc742157(WS.10).aspx
Como referencia sobre la creación de particiones adjunto estos hipervínculos http://support.microsoft.com/kb/929491 & http://technet.microsoft.com/en-us/library/cc770877(WS.10).aspx & http://support.microsoft.com/kb/300415
2- "Disk timeout is not set at default" curiosamente el ExBPA captura esto, pero en mi humilde opinión no lo marca con la severidad que merece. Eh visto casos donde una configuración incorrecta acá causa retrasos de hasta 15 minutos en el intercambio de correo, al ajustarlo apropiadamente y reiniciar el equipo el intercambio de correos con terceros se ejecutaba en menos de 1 minuto ( = cliente feliz = factura cancelada rápido = de compras en Amazon).
Para referencia http://technet.microsoft.com/en-us/library/aa997069(EXCHG.80).aspx
3- Es usted de esos que compra 1 disco de 500GBs y listo... mejor usemos arreglos! Son muchas las ocasiones en que tenemos la capacidad (tarjetas controladoras y bahías disponibles) pero simplemente no hacemos la inversión en discos (que cada día son más baratos), claro esta mentalidad cambia hasta que perdemos los datos... Y recuerden lo ideal es una partición o volumen para las bases de datos y otra para las bitácoras... de preferencia que los discos de los logs sean lo más rápidos (15K RPM) Igualmente se aconseja separar las colas de transferencia y la carpeta TEMP también ya que acá se ejecuta la conversión de contenido, en especial en organizaciones mixtas.

Les adjunto esta imagen para su referencia.

Hasta pronto!

Y se viene el SP1...

2010-05-10T18:01:00.001-06:00

http://msexchangeteam.com/archive/2010/04/07/454533.aspx

Cambiando el banner de SMTP.

2010-05-04T19:51:00.004-06:00

Por defecto al hacer Telnet a nuestro servidor de correo la respuesta es algo como "220 hostFQDN Protocolo versión de Exchange ready at fecha, hora y zona horaria" lo cual en ciertos casos es problemático, por ejemplo cuando otros hacen un reverse lookup, esto pues la respuesta obtenida acá muy probablemente no concuerde con nuestro registro MX.
Por lo cual veremos cómo cambiar esto rápidamente mediante el siguiente comando:
Set-ReceiveConnector -Identity "Nemesis\25" -Banner "220 mail.daemonroot.com"
Notese que acá mi conector de recepción se llama "Nemesis\25", de paso cambiare un par de parámetros más como la cantidad máxima de destinatarios de 5000 a 500 (aunque mi organización soy y yo mi otro yo, pero 500 está bien), también cambio los parámetros de expiración de la sesión de 10 y 5 minutos a 5 y 3 en el tiempo de vida de la sesión y el tiempo máximo de inactividad respectivamente (nada hago con N sesiones abiertas por tanto tiempo en mi humilde conexión en mi humilde ambiente virtual).
Primero podría verificar la configuración actual, luego ejecuto cambios, verifico y reinicio el servicio del MSExchangeTransport para que los cambios tomen efecto.
Get-ReceiveConnector -Identity nemesis\25
Set-ReceiveConnector -Identity "Nemesis\25" -Banner "220 mail.daemonroot.com" -MaxRecipientsPerMessage 500 -DefaultDomain daemonroot.com -ConnectionTimeout 00:05:00 -ConnectionInactivityTimeout 00:03:00
Get-ReceiveConnector -Identity nemesis\25 FL Name,Banner,MaxRecipientsPerMessage,DefaultDomain,Bindings,ConnectionTimeOut,ConnectionInactivityTimeout,Server,Identity Restart-Service MSExchangeTransport

*Les recomiendo dejar el “220” pues este indica que el servidor está listo para la transferencia.

* Aplica para Exchange 2007 y 2010.

Monitoreando un servicio.

2010-04-23T16:30:00.009-06:00

Algo rápido y simple para cerrar la semana!
Estaba visitando un cliente donde el servicio de DNS fallaba continuamente, como sabemos podemos configurar acciones de recuperación para un servicio, esto en sus Propiedades por lo cual haremos un simple script que reinicie el servicio, luego documente su estado, fecha, hora y nombre del host y finalmente nos envíe esta información.

Seria algo como:
(sc start DNS) & (sc query DNS >G:\Scripts\serviceWatch\dns.txt)
date /t >>G:\Scripts\serviceWatch\dns.txt
time /t >>G:\Scripts\serviceWatch\dns.txt
hostname >>G:\Scripts\serviceWatch\dns.txt
blat.exe - -attach G:\Scripts\serviceWatch\dns.txt -to daemonroot22@gmail.com -f service-account@daemonroot.com -server 192.168.0.22 -subject "El servicio de DNS se ha reiniciado nuevamente" -body "El servicio de DNS se ha detenido y reiniciado en múltiples ocasiones, por favor referirse al archivo adjunto para mayor información"
Salve lo anterior en un archivo tipo BAT e indique la ruta como muestra la imagen, para ver la consola de administración de los servicios ejecute el services.msc.
Desde luego, ajuste las rutas de los archivos, direcciones de correo e IPs de acuerdo a su ambiente. Como en este caso el servicio de DNS no es 100% confiable, mejor utilice la IP de su Hub Transport y no el FQDN.
**Para descargar BLAT visite http://sourceforge.net/projects/blat/files/ o bien utilice SendEmail o el utilitario de su agrado.
***Si alguna vez este script le envía cientos de correos a su teléfono a media madrugada y su esposa se molesta, no me hago responsable, pero créame que lo entiendo!
Feliz fin de semana.

Respaldos del System State en C:

2010-04-18T17:53:00.022-06:00

No es recomendado pero la necesidad muchas veces manda… por defecto Windows Server 2008 no permite almacenar respaldo del System State en su unidad C: pero hay ocasiones donde no tenemos elección.
Primero necesitamos instalar las herramientas de respaldo, de alguna de las siguientes maneras:
-Por medio del Server Manager, seleccionando Windows Server Backup Features y sus subcomponentes o en la sección de Features.
-Con el comando “servermanagercmd -install Backup-Features Backup-Tools” *
-Por medio de PoS “Add-WindowsFeature Backup-Features,Backup-Tools”
-O el comando “ocsetup WindowsServerBackup” en Server Core.
Ok, ahora el truco para lograr correr los respaldos esta en el Registry, debemos navegar a la ruta: “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wbengine” donde crearemos una sub-llave llamada “SystemStateBackup” en la cual crearemos un registro tipo DWORD llamado “AllowSSBToAnyVolume” con un valor decimal de 1.
Ahora bien, ya tenemos la forma de crear los respaldos, cuando lo hagan notaran que el tamaño es un poco grande, por lo cual necesitamos hacer algo para purgarlos, afortunadamente el mismo utilitario de creación nos permite hacer esto.
Entonces el script sería algo como esto:
del C:\WindowsImageBackup\%computername%\ssbu.old
ren C:\WindowsImageBackup\%computername%\ssbu.log ssbu.old
(WBAdmin START SYSTEMSTATEBACKUP -BackupTarget:C: -quiet >C:\WindowsImageBackup\%computername%\ssbu.log) && (WBAdmin DELETE SYSTEMSTATEBACKUP -keepVersions:2 -quiet >>C:\WindowsImageBackup\%computername%\ssbu.log )
Primero renombramos la bitácora (me gusta tener información sobre la vez anterior que la tarea se ejecutó la tarea), luego hacemos el respaldo... si este es exitoso entonces purgamos los respaldos antiguos manteniendo 2 versiones o las que usted guste... todo esto se graba en nuestra bitácora. La cual la próxima vez será renombrada para tomar el lugar de su sucesora...
espero el ciclo sea comprensible.
Ahora bien, hagamos este proceso más fácil, creemos una tarea programada que se encargue de el! "SCHTASKS /Create /TN SSBU /SC Weekly /D Fri /TR C:\Scripts\ssbu-job.bat /ST 23:00"
Acá asumo que los comando anteriores fueron guardados en un archivo .bat (para efectos del ejemplo llamado ssbu-job.bat, esto en "C:\Scripts") el cual ha sido programo para ejecutarse todos los Viernes a las 2300 horas, listo!

Como ya sabemos existen mil y una formas de ejecutar una tarea, esta es tan solo una humilde contribución de este colaborador, espero les sea útil!
*ServerManagerCMD esta practicamente en desuso en Server 2008 R2.
**WBAdmin también incluye el parámetro “-schedule” para programar respaldos, yo soy fan del batch, por lo cual hago esto así :P

Nuevo KB!

2010-04-18T17:19:00.004-06:00

Atención con este KB recién publicado, recuerden que este hotfix debe aplicarse únicamente cuando es necesario, esto NO es una actualización o parche rutinario.
"A domain controller that is running Windows Server 2003 SP2 stops responding intermittently"
http://support.microsoft.com/kb/981259
Esto se debe a un problema en el Directory System Agent, el cual afecta todas las versiones de Windows Server 2003.

E14 en WSUS!

2010-04-14T19:18:00.000-06:00

Ya es oficial! Exchange 2010 en WSUS.
http://blogs.technet.com/wsus/archive/2010/04/07/new-product-category-for-exchange-server-2010.aspx

La magia antes del Ctl+Alt+Del

2010-04-10T08:59:00.002-06:00

Todo inicia con una consulta tipo SRV al servidor DNS...
1- El computador o servidor miembro busca un Domain Controller en su dominio para autenticar (si, esta información esta almacenada en el Registro de Windows). Recordemos que los objetos "computer" son un "security principal" así como los objetos "user" por lo cual también deben autenticar, cambiar contraseñas y demas...
2- Mediante el puerto 53 UDP se hace una petición al servidor DNS por todos los registros SRV de la zona ldap._tcp.._sites.dc._msdcs., donde corresponde al sitio en AD donde la computadora se localiza y se refiere al dominio al cual el equipo es miembro. La información sobre el sitio es almacenada en la siguiente sub-llave del registro HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Netlogon\Parameters\DynamicSiteName. Si el nombre del sitio cambio desde el ultimo reinicio del equipo o bien este no existe pues la consulta fallara y entonces el equipo hará una búsqueda en la zona ldap._tcp.dc._msdcs. en donde está la lista de todos los Domain Controllers del dominio y en la sana teoría cualquiera podría autenticarnos.
3- El DNS retorna al equipo la lista de DCs para el sitio o bien para el dominio.
4- El cliente hace una consulta LDAP para validar que dicho cliente existe en el directorio, acá se valida el nombre del equipo, el nombre del dominio al cual pertenece, el GUID y sAMAccountName (equipo01$). Esto se hace por medio de una consulta anónima, aun no se ha dado la autenticación.
5- Si el controlador encuentra que la información es correcta se envía una respuesta de "success" a la petición de LDAP.
6- Basado en la lista de controladores obtenida en el paso 3 el equipo envía un ping a estos, el primer controlador en responder será el que maneje la petición de autenticación (acá mi cabecita asume que la prioridad y peso de los registros SRV se toma en cuenta, si este es el mismo para todos [0 y 100 respectivamente] simplemente se escoge el orden de los equipos de forma aleatoria, similar a un Round Robin, realmente debo buscar más información al respecto, pero lo anterior sería lo más lógico basado en la teoría, claro mi lógica a veces es un poco extraña).
7- El equipo inicia una serie de conexiones TCP con el controlador que selecciono anteriormente. Se realizaran consultas al puerto de RPC (135 TCP), como sabemos dicho protocolo utiliza puertos aleatorios para la comunicación así que esta consulta nos dirá cual puerto debemos usar creando así las conexiones necesarias para realizar las comunicaciones RPC (RPC se puede limitar a usar puertos estáticos, lo cual disminuirá la cantidad de puertos habilitados en el firewall http://support.microsoft.com/kb/555381). También se establecerá comunicación mediante SMB (445 TCP), esto para File Sharing.
8- Una vez creadas las conexiones anteriores el equipo intentara enviar su petición de autenticación por el puerto 88 UDP, que es donde Kerberos escucha. Como sabemos UDP no ofrece garantía/confirmación de entrega por lo cual si este proceso falla se reintentara la transmisión, esta vez utilizando TCP. Este comportamiento también se pude manipular, forzando a que únicamente se utilice TCP (http://support.microsoft.com/?kbid=244474).
9- Basado en la información recibida del RPC Port Mapper (paso 7) el equipo creara una conexión TCP a dicho puerto, donde el AD Logon RPC Server está escuchando, toda información que se intercambia en este paso esta encriptada.
10- El controlador responde la petición de autenticación Kerberos brindando una llave de sesión, la cual será utilizada durante el proceso de autenticación con el controlador.
11- Utilizando dicha llave y la conexión establecida en el paso 9 se envía múltiples peticiones de autenticacion tipo RPC R_Logon al controlador.
12- Utilizando la conexión SMB creada anteriormente el equipo se conecta al volumen compartido IPC$. También se consulta al controlador si este sabe de algún Microsoft DFS Referral.
13- Utilizando la conexión SMB anterior el equipo realiza pruebas para determinar si la conexión al controlador es de alta velocidad (slow-link test). Dicha prueba determinara ciertos comportamientos futuros, como por ejemplo el proceso de ciertas políticas o también la uso/proceso de perfiles roaming. La prueba de slow-link consiste en un ping de 60 bytes el cual esta cronometrado, luego otro de 1514 bytes repitiendo ambos 3 veces, con la información de latencia se determina la velocidad del enlace y si este debe ser catalogado como slow-link (menor a los 500Kbps o cual sea el valor definido para este).
14- El equipo hará consultas al puerto 389 TCP sobre el dominio y contextos de nombre (consultas al rootDSE, al menos eso creo).
15- El equipo intentara hacer una conexión autenticada a LDAP, esto enviando una petición tipo Generic Security Service (GSS)SPNEGO.
16- Mediante LDAP el equipo averigua su lugar en la jerarquía de AD, con lo cual sabe que GPOs aplican a su sitio, dominio y/o Unidad Organizativa, esto mediante una consulta LDAP que le retorne el los atributos "gpLink" y "gpOptions" de cada contenedor.
17- Dicha consulta retornara el DN de los GPOs (si gusta ver una lista de sus políticas en AD navegue al contenedor de Policies, que se encuentra en el contenedor System en la partición de dominio).
18- El equipo mediante una petición SMB leerá del SYSVOL el GPC de cada GPO que le aplique. Eso si antes revisara por algún DFS Referal que le lleve al share más cercano (cuando aplica).
19- El equipo leerá y procesara el contenido de cada GPT.
20- El equipo utilizara NTP para hacer una sincronización de tiempo contra el controlador, esto en el caso ideal de que el NTP para nuestros clientes sea tipo NT5DS.
21- Por último el equipo determinara si se necesita realizar alguna transacción referente a certificados, esto al hacer una consulta LDAP a la partición de configuración, específicamente al contenedor CN=Public.Key.Services,CN=Services,CN=Configuration,DC=daemonroot,dc=com en búsqueda de objetos tipo "NTAuthCertificates" y "caCertificate".

Aunque todo esto suena a mucho trabajo realmente es algo rápido y sencillo, que en promedio dura unos 30/40 segundos... en la sana teoría =P
A partir de este punto ya se inicia el proceso de mostrarnos el prompt del Ctl+Alt+Del para así autenticarnos, pero eso ya es otro cuento y el Lobo Feroz hoy no está para contárnoslo...

E14, ojo!

2010-04-09T18:48:00.007-06:00

A como voy explorando Exchange 2010 me encuentro y me encanto con sus mil nuevas funciones, también he visto pequeños parámetros que para un mejor funcionamientos deben de ser ajustados apropiadamente.

1. Al crear DAGs se debe especificar el valor máximo para el reset de la bitácora del quórum, recordemos que el DAG a final de cuentas es un clúster...
Esto se debe especificar manualmente en la siguiente llave de registro:
HKEY_LOCAL_MACHINE\Cluster\Quorum\MaxQuorumLogSize dándole un valor de 4194304 decimal o bien 0x400000 hexadecimal.

2.Exchange es muy sensible en cuando a su almacenaje, e visto casos donde una mala configuración de discos se trae abajo el rendimiento del servidor por completo.
En el Registro hay un valor que establece el timeout de los discos, para un server con DAGs este debe de ser de 20 mientras que para un servidor regular este debe de ser de 10.
Esto se debe configurar en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Disk\TimeOutValue.
3. Otra más, cuando se crea un nuevo Mailbox Database, este no se liga automáticamente un Offline Address Book, así que se debe de especificar manualmente.
Esto en las Propiedades de la base de datos en la etiqueta de Client Settings.

Tal vez estas y otras cosillas más que deben de haber por ahí se arreglen con el SP1 que fue anunciado hace un par de días, esperémoslo! http://msexchangeteam.com/archive/2010/04/07/454533.aspx

Analizador de conectividad remota

2010-03-30T07:47:00.003-06:00

Muchas veces cuando estamos implementando o solucionando problemas con conectividad de Exchange tenemos que buscar algún amigo que revise las cosas “desde afuera”… realmente eso no es necesario pues Microsoft creo una página que nos provee con diferentes escenarios de conectividad y funcionalidad https://www.testexchangeconnectivity.com/
Acá podemos realizar pruebas con ActiveSync, AutoDiscover, WebServices, Outlook AnyWhere y flujo de correo.
Desde luego no vamos a utilizar la cuenta del Domain Admin para realizar las pruebas, por más certificados y demás que la herramienta tiene… créanme, sucede!
Realmente la herramienta está muy completa, fácil de usar y nos da información detallada… por lo cual este es “el sabor del mes” :)

Cambios en el proceso de políticas.

2010-03-23T13:27:00.005-06:00

Microsoft a cambiado la forma en que se procesan las políticas y scripts de inicio de sesión, esto a partir de Windows Vista/Server 2008 se hace de forma asincrónica.
Esto significa que la computadora ya no espera que el script anterior termine de procesar para iniciar el siguiente.
Para su referencia las llaves de registro involucradas en esto son las siguientes:

Computer Preference
Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
ValueName: RunStartupScriptSync

Computer Policy
Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
ValueName: RunStartupScriptSync

User Preference
Key: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
ValueName: RunLogonScriptSync

Computer Preferences
Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
ValueName: RunLogonScriptSync

User Policy
Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
ValueName: RunLogonScriptSync

Computer Policy
Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
ValueName: RunLogonScriptSync

Nótese que los scripts de cierre de sesión y apagado no tienen este comportamiento.
Si por alguna razón usted desea revertir este cambio y volver al comportamiento anterior se deberá modificar:

Computer Configuration\Administrative Templates\System\Scripts\Run startup scripts asynchronously = Disabled

AD troubleshooting guide.

2010-03-17T08:53:00.003-06:00

Con el pasar del tiempo he notado que una de las cosas más difíciles a la hora de buscar soluciones a los problemas es el ~por dónde empezar?~
Entre uno de los tantos blogs que leo encontré este documento que considero les puede ser útil.
http://deuby.com/adtroubleshooting/Active%20Directory%20Troubleshooting.pdf

Buscando cambios en la membresía de un grupo.

2010-03-17T08:39:00.003-06:00

Es de cierta forma común que de alguna u otra manera se remuevan miembros de un grupo y luego por alguna razón necesitamos saber quiénes eran los miembros de este (excelente eso de no documentar)… por ende vamos a mirar una forma rápida de averiguar esto. Para lo cual utilizaremos la herramienta repadmin.
Vamos a ejecutar el siguiente comando: repadmin /showobjmeta "nombreServidor" "DN del objeto" (repadmin /showobjmeta GURU-DC007 CN=testGroup,OU=domainGroups,DC=daemonroot,DC=com)
Del output nos importan los siguientes detalles:

Type Attribute Last Mod Time Originating DC Loc.USN Org.USN Ver ======= ============ ============= ================= ======= ======= ===
Distinguished Name =============================

PRESENT member 2010-01-27 20:20:02 daemonrootHQ\GURU-DC015 276715089 277715102 1 CN=ruffo.ee,OU=domainUsers,DC=daemonroot,DC=com
PRESENT member 2010-01-13 19:49:39 daemonrootHQ\GURU-DC007 273577311 337396944 11 CN=porchak.ml,OU=domainUsers,DC=daemonroot,DC=com
PRESENT member 2010-01-13 19:46:32 daemonrootHQ\GURU-DC007 273576011 337394983 11 CN=mcclenaghan.da,OU=domainUsers,DC=daemonroot,DC=com
ABSENT member 2010-01-05 15:58:36 daemonrootHQ\GURU-DC016 271672373 271672373 2 CN=perce.kh,OU=domainUsers,DC=daemonroot,DC=com
ABSENT member 2009-12-22 17:50:00 daemonrootHQ\GURU-DC016 268903788 268903788 6 CN=mcfarland.j,OU=domainUsers,DC=daemonroot,DC=com
PRESENT member 2010-01-13 19:42:08 daemonrootHQ\GURU-DC007 273573792 337391465 11 CN=gryfe.b,OU=domainUsers,DC=daemonroot,DC=com

Aquellas líneas marcadas como “ABSENT” se refieren a un vínculo borrado, un vinculo del miembro hacia el grupo, algo como un tombstone ya que así lo maneja AD.
Entonces acá podemos saber cuáles membresías fueron/están borradas y también la fecha e inclusive el nombre del controlador en que realizo la transacción :)
Para referencia acá esta la última versión del documento de la herramienta repadmin http://www.microsoft.com/downloads/details.aspx?FamilyID=c6054092-ee1e-4b57-b175-5aabde591c5f&displayLang=en
Y para los que ya dieron el salto a Windows Server 2008 pues también pueden usar el grandioso auditpol.exe http://support.microsoft.com/default.aspx/kb/921469?p=1
Saludos!

Atributos del objeto USER.

2010-03-02T11:55:00.011-06:00

Muchas veces cambiar de la consola de Active Directory Users and Computers a ADSI, ADFind o cual sea nuestra elección se complica más que nada por el hecho de no poder encontrar la información que deseamos, esto pues el nombre con que se presentan los atributos en el ADUC es diferente a su nombre en LDAP.
Razón por la cual me he dedicado a hacer una guía rápida de referencia para los objetos tipo USER, esta no es una guía definitiva ni autoritativa, lo único que pretendo es que les sirva de orientación. Notese que se basa en Windows 2003/Exchange 2003.
Luego hare una sobre Exchange 2007/2010.
Además e agregado el switch respectivo para los comandos DS (cuando aplica, para más información dsadd /user /?).

Para ver la lista completa: : http://spreadsheets.google.com/ccc?key=0AmAynvZNk1VsdHVfRXFhYTlMUElYRFRxS2RNRUVvWHc&hl=en

Hasta pronto!

~D~

Consola personalizada

2010-03-01T21:28:00.006-06:00

Una vez un cliente abrió la consola de comandos y dijo "por acá estuvo daemonRoot"... muy cierto, ya que siempre cambio los parámetros de esta para obtener un mejor rendimiento.
Hoy voy a compartir un poco de como personalizar la consola.
Si damos clic derecho y luego seleccionamos Propiedades lo primero que tendremos es la etiqueta de Opciones, acá si seleccionamos la opción de "Quit Edit Mode" con la cual podremos seleccionar información solo con marcarla y presionar Enter, igualmente de sencillo será pegar información en la consola pues solo se necesitara un clic derecho y listo.

Cuando uno trabaja en consola haciendo por ejemplo consultas a Active Directory veremos que rápidamente llenaremos la memoria temporal de la consola, con lo cual iremos perdiendo la información anterior e inclusive los mismos comandos ejecutados, por lo cual modificar los parámetros del buffer de la consola es muy útil.
Esto lo hacemos en la etiqueta de Layout, donde también podremos modificar el tamaño de la consola.

También es útil tener información como el nombre de la máquina, tiempo, fecha y otros.
La consola de comandos es muy manejable, simplemente creamos una variable del sistema con los parámetros correctos y listo!

Por ejemplo: PROMPT=[%computername%\%username% $D $T GMT-6]$M$_$P$B$G
Este ejemplo nos mostrara el [nombre del computador\usuario fecha hora zona horaria] maquina remota_unidad y ruta.

Como sabemos en informática mucha información nunca es demasiada información!
Algunos otros parámetros con los que podemos jugar son:
$A & (Ampersand)
$B (pipe)
$C ( (Left parenthesis)
$D Current date
$E Escape code (ASCII code 27)
$F ) (Right parenthesis)
$G > (greater-than sign)
$H Backspace (erases previous character)
$L < (less-than sign) $N Current drive $P Current drive and path $Q = (equal sign) $S (space) $T Current time $V Windows version number $_ Carriage return and linefeed $$ $ (dollar sign) $+ zero or more plus sign (+) characters depending upon the depth of the PUSHD directory stack, one character for each level pushed. $M Displays the remote name associated with the current drive letter or the empty string if current drive is not a network drive. ________________________________________________

cls

exit :)

Herramientas actualizadas.

2010-02-13T23:10:00.001-06:00

El dia de hoy el genial joe a lanzado una version actualizada de sus populares ADFind y ADMod...
http://joeware.net/freetools/tools/admod/index.htm
http://joeware.net/freetools/tools/adfind/index.htm
Solo para amantes de la consola :)

Nota de garantía.

2010-02-12T06:00:00.001-06:00

A pesar de que reviso la documentación e implemento lo que acá escribo unas cuantas veces antes de publicarlo no puedo garantizar que esta sea la cura que usted necesita, por lo cual le recomiendo hacer un respaldo antes de ponerse a jugar con ADSIEdit, el registro de Windows o ejecutar alguno de los locos comando que le recomiendo, ya que cada ambiente es un mundo diferente.
Espero mis publicaciones le sean útiles, de lo contrario pues hay miles de blogs en el ciberespacio… el mío tan solo es uno más, eso sí tratando de marcar la diferencia al hacerlo en español, con eñe… a mucho orgullo!
Si necesita una mano extra puede contactarme, no prometo nada pero intentare lo mejor de mí para ayudarle.
~D~

Removiendo los Internet Headers

2010-02-12T05:18:00.007-06:00

Eh notado como en algunas auditorias se considera grave que los mensajes contengan en sus Internet Headers la información de ruteo interno (lo cual en mi humilde opinión no causa problema alguno a menos que dudemos de nuestra seguridad perimetral, pero es solo mi opinión... en fin han sido solo unos cuantos billones de mensajes enviados con los Internet Headers llenos de información interna y aun no se de nadie que sufriera alguna enfermedad terminal por eso....), por lo cual vamos a removerlo.
Si observamos en ADSIEdit los permisos para el Send Connector hacia Internet (que en este caso se llama internetSMTP) notaremos que ANONYMOUS LOGON tiene permisos de Send Routing Header, este es el causante de nuestro inconveniente.
Para observarlo debemos usar ADSIEdit y navegar hacia: "daemonroot.com/Configuration/Services/Microsoft Exchange/zeus/Administrative Groups/Exchange Administrative Group (FYDIBOHF23SPDLT)/Routing Groups/Exchange Routing Group (DWBGZMFD01QNBJR)/Connections/internetSMTP” y luego mirar en las opciones avanzadas de seguridad.

Ejecutando el siguiente comando en el Exchange Management Shell podremos remover ese permiso apropiadamente:
Get-SendConnector “internetSMTP” Remove-ADPermission -AccessRight ExtendedRight -ExtendedRights “ms-Exch-Send-Headers-Routing” -user “NT AUTHORITY\Anonymous Logon”
Debemos recordar reiniciar el Servicio del Microsoft Exchange Transport Server para que este cambio tome efecto (Restart-Service MSExchangeTransport).

Si fuera necesario revertir el cambio entonces usaremos este comando: Get-SendConnector “internetSMTP” Add-ADPermission -AccessRight ExtendedRight -ExtendedRights “ms-Exch-Send-Headers-Routing” -user “NT AUTHORITY\Anonymous Logon”
*Noten que aca el nombre de ciertos objecto en Active Directory pertenecen a mi organizacion por lo cual deberan ser ajustados a los propios.
*Este procedimiento aplica tanto a Exchange 2007 como a Exchange 2010.

Libro de Office 2010...

2010-02-09T21:03:00.004-06:00

Hace unos días comentábamos como muchas veces los clientes "necesitan" la más reciente version de programas como Office... pero siguen creando la misma carta, con el mismo formato desde Office 95... Ahora bien si usted gusta de aprender y así maximizar el uso de los productos y sus nueva capacidades pues acá podrá bajar un libro gratuitito sobre Office 2010.
http://blogs.msdn.com/microsoft_press/archive/2010/01/20/free-ebook-first-look-microsoft-office-2010.aspx
Happy reading!

El misterioso legacyExchangeDN.

2010-01-21T20:49:00.003-06:00

Es muy común que los administradores de Exchange no se involucren mucho con Outlook y viceversa, pero hay un atributo que realmente no podemos dejar pasar por alto, es el legacyExchangeDN.
La arquitectura original de Exchange utilizaba nombres distinguidos para cada objeto en el directorio, los cuales se formaban con los nombres y ruta de los contenedores del objeto, estos era un poco rígidos lo cual llevaba a cierta complejidad y poca flexibilidad en su manejo. Por ejemplo, no se podía cambiar el nombre de un sitio en Exchange 5.5 o mover objetos entre contenedores, a menos que se eliminara el objeto para así obtener el nuevo nombre distinguido o distinguishedName.
Esto llevo a que los desarrolladores fueran más cautelosos al hacer la transición de Exchange a Active Directory, este continua utilizando nombres distinguidos pero no son el identificador primario, esta función la han tomado los GUIDs (Global Unique Identifier). El cual no varía sin importar la cantidad de modificaciones que se hagan al distinguishedName.
No obstante Exchange aún tiene partes de código que utilizan el distinguishedName para funcionar apropiadamente, razón por la cual surge una necesidad de un atributo que nos de esta compatibilidad, aca es cuando el legacyExchangeDN entra en juego.
Veamos a este atributo como "el nombre viejo" de un objeto en Exchange o bien como un identificador MAPI pues todo cliente MAPI pueden utilizar el legacyExchangeDN para hacer referencia a objetos.
De hecho usted puede responder correos usando una dirección en dicho formato ya que Active Directory responderá a la consulta ejecutada por el transport engine y resolverá la dirección apropiadamente, además este atributo esta indexado para así agilizar los tiempos de respuesta.
Ahora bien, donde vemos el legacyExchangeDN en acción... pues cada vez que respondemos un correo y el destinatario está en la lista de direcciones de uso frecuente (Outlook Autocomplete o Automatic Name Resolution). Aunque normalmente lo unico que vemos es la última parte de este, la cual casi siempre es igual al mailNickname realmente es el legacyExchangeDN lo que esta ahí.
Por lo cual al migrar buzones entre organizaciones debemos recordar esto para no afectar el ruteo de correos, esto pues los clientes Outlook seguirán enviando correos a la dirección antigua, esto desde luego únicamente con destinatarios internos pues con los externos usa el ReturnPath que es una dirección SMTP.
Si usted es de esos incrédulos pues puede usar el MDB Viewer Utility (MDBVu32) para abrir su buzón de correo y mirar un mail enviado por un usuario interno, específicamente en la propiedad PR_SENDER_EMAIL_ADDRESS. Ahora si me cree? A bueno!
Y bien, si por alguna razón como la creación de una nueva Organización de Exchange o el movimiento de buzones entre organizaciones debemos modificar el legacyExchangeDN y deseamos preservar el ruteo pues tomando el legacyExchangeDN y agregándolo como una dirección X500 lo lograremos, algo como:
adfind -b DC=daemonroot,DC=com -f "(&(objectClass=user)(objectClass=person)(legacyExchangeDN=*)(!(objectClass=computer)))" legacyExchangeDN -adcsv admod proxyAddresses::X500:{{legacyExchangeDN}} -unsafe
Qué pasa si simplemente modificamos el legacyExchangeDN, pues vamos a tener NDRs por cada respuesta a un mail con el valor antiguo o por cada correo enviado a destinatarios que están el AutoComplete y pues al menos yo no quiero recibir todas esas quejas...

El mito del adminSDHolder...

2009-12-19T15:14:00.005-06:00

Existe en todos los dominios y constantemente está en acción pero muchos lo ignoramos, es el adminSDHolder.
La definición técnica de dicho objeto la podemos encontrar en http://support.microsoft.com/kb/232199, básicamente lo que este hace es asegurarse que ningún security principal tenga altos derechos sobre otro que pertenezca a alguno de los grupos por defecto como Domain Admins, Account Operators u otros o, humanamente que Pedrito no le pueda cambiar la contraseña a Juanito, quien es el administrador del dominio, esto para dar un simple ejemplo.
Y dónde lo vemos, con el lindo ADSIEdit, en el contenedor System, por ejemplo CN=System,DC=bla-bla,DC=com.
Ahora bien, como lo vemos en accion? Pensemos en un escenario súper común, intentas migrar el buzón de correo de uno de tus compañeros y no lo logras, el error que se te muestra es relacionado a permisos en Active Directory pero tus permisos aparentan estar bien.
Si miras detenidamente el objeto, en la sección Avanzada, dentro de la etiqueta de Seguridad notaras que la herencia de permisos para dicho objeto esta deshabilitada, la podríamos habilitar pero en la próxima corrida del adminSDHolder los valores serán sobre-escritos.
En muchos casos con hacer esto tan simple podremos continuar nuestras tareas.
Ahora bien, casos de la vida real, en muchas empresas diferentes personas han realizado tareas técnicas en algún momento y luego dejaron esto de lado, muy comúnmente sus membresías no son ajustadas o bien lo hacen pero el adminSDHolder sigue monitoreando/afectando dichos objetos.
Entonces como sabe el adminSDHolder que debe auditar un objeto? Esto lo hace por medio del atributo adminCount. Lo más normal es que este no tenga valor alguno, pero en las cuentas protegidas verán que el valor es de 1.
Por razones de diseño este bit no se desactiva al remover las membresías. O sea que aunque yo remueva a mis antiguos administradores de los grupos privilegiados, cambiando asi sus permisos, el adminSDHolder continuara monitoreando dichos objetos y cambiando su ACL según sea necesario.
Los insto a hacer una rápida revisión de su ambiente, para determinar cuántas cuentas protegidas tienen en su ambiente!
adfind -f "(&(objectClass=user)(adminCount=1)(!(objectClass=computer)))" sAMAccountname memberOf
Esto les dará un listado de las cuentas de usuario protegidas por el adminSDHolder y la lista de grupos a que pertenezcan.
Cómo removerlo? Pues con ADSIEdit borren ese 1 del adminCount, luego busquen en objeto en ADUC, clic derecho Properties / Security / Advanced y denle clic en Restore Defaults. Bingo!
Hasta el 2010!

Y mis Public Folders??? (decomision Exchange 2003)

2009-12-07T01:01:00.003-06:00

Cuando movemos nuestra organizacion a Exchange 2007 parte del proceso es mover las carpeta publicas o public folders (PFs para simplificarnos).
Recordemos que Outlook 2003 e inferiores necesitan de las carpetas del sistema para obtener las libretas de direcciones, calendarizacion y otras, las cuales estan dentro de la jerarquia de PFs.
Por ahi existen buenos articulos sobre el proceso adecuado de decomision de Exchange 2003, no obstante me e encontrado varias veces con este escenario: al remover el grupo administrativo de Exchange 2003 las conexiones de Outlook 2003 e inferiores fallan, lo mas comun es ver un mensaje de error que se refiere a un bloqueo/restriccion a esta version de Outlook; aunque estos pueden variar ligeramente pero normalmente hacen referencia a los PFs o la version del cliente.
De hecho al tratar de revisar el estado de los PFs no podremos, debido a una inconsistencia que causamos nosotros mismos.
Basicamente la jerarquia de PFs no existe, a pesar de que los datos fueron migrados el sistema no sabe como estos se organizan, por lo cual no estan disponibles para los clientes.
Para solucionarlo debemos utilizar la herramienta ADSIEdit ( I love ADSIEdit).
1- En la particion de Configuration navegar al contenedor de Exchange, el cual como sabemos se encuentra dentro del de Services.
2- Click derecho sobre el grupo administrativo de Exchange 2007 "Exchange Administrative Group (FYDIBOHF23SPDLT)".
3- Seleccionar New Object/msExchPublicFolderTreeContainer y llamarlo "Folder Hierarchies".
4- Dentro de este crear un objecto tipo msExchPFTree llamado "Public Folders", dandole el valor "1" a su atributo llamado msExchPFTreeType. Cuidado, si no hacemos esto Exchange ignorara que este es un arbol MAPI!
Ahora necesitamos darle un valor al atributo msExchOwningPFTreeBL, como vemos este es un atributo BackList por lo cual no podemos editarlo directamente, razon por la que deberemos hacer lo siguiente para cada almacen de PFs que tengamos.
1- Copiar el distinguishedName del objeto "Public Folders" que recientemente creamos.
2- Navegar al Storage Group que contenga el Public Folder Store para el servidor a reparar, click derecho sobre el objeto tipo msExchPublicMDB y copiar el valor del paso 1 en el atributo msExchOwningPFTree.
3- Reiniciar el servicio msExchangeIS.
Una vez que el servicio este arriba podremos manipular las popiedas del PF y los clientes legacy podran conectarse!

Server 2008 R2 / Exchange 2010 p2

2009-11-16T19:18:00.006-06:00

Pues bien, la instalación de los mailbox servers a terminado sin problema alguno, solo un par de cosas por resaltar, los requisitos de instalación, para simplificarnos podemos cumplirlos corriendo estos comandos de PoS:
•Import-Module ServerManager
•Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth, Web-Digest-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy -Restart
•Set-Service NetTcpPortSharing -StartupType Automatic
Algo que me a fascinado es que ya no se depende del bendito servicio de Windows Cluster, para los que lo sufrimos esto es una gloria, no más “cluadmin .” Ahora Exchange se encarga de hacer la magia del failover.
Otro aspecto es que, durante la instalación del primer CAS se establece el nombre de Internet de tu organización, esto te pre-configura los URLs externos, lo cual realmente era una tarea lenta y tediosa en 2007, en donde realmente era muy simple comerter algun error.
Por otro lado, e esta instruyéndome en el tema en una manera más formal, les comparto un poco de las consideraciones a tomar en una implementación de Exchange 2010.
Si se puede pasar de Exchange 2003 a Exchange 2010, lo único necesario es expandir el esquema, además el modo funcional del bosque deba de ser 2003 y al menos contar con un servidor 2003 SP2 que funcione como GC en cada sitio donde se va a implementar Exchange. El modo operacional de la organización debe de ser Nativo.
RODC/ROGC no son soportados por E14! Esto como sabemos solo está disponible a partir de Windows Server 2008.
Si se va a hacer un upgrade desde 2007 también se requiere extender el esquema, igual se necesita tener SP2 instalado.
El CAS de E14 se puede usar como front-end con 2003 y 2007! Genial esto…
En un caso de migración de 2007 se deben de mantener los Hub Transport Servers, esto pues el HUB 2010 no puede comunicarse con mailbox servers en 2007.
Existen dos métodos para moverse a E14, por migración el cual te permite mover datos desde otras organizaciones o bien desde aplicaciones de mensajería de terceros (sigamos matando a Domino…) o bien por transición, la cual se efectúa cuando movemos datos entre nuestra misma organización.
Así rápidamente les comento algunas de las múltiples mejoras en el área de almacenaje.
Coalesced I/O. En Exchange Server 2010, ESE combina múltiples operaciones de I/O para crea una única operación, lo cual al final son menos I/Os, disminuyendo así la frecuencia de operaciones al disco, lo cual alarga su vida y nos da un mayor rendimiento general. Ligado a esto tenemos también que estas operaciones ahora manejan una mayor cantidad de datos.
También el viejo proceso de Online Defragmentation ha cambiado ya que este afectaba negativamente el rendimiento del servidor y sus dispositivos de almacenaje. Ahora el ESE contiene un nuevo evento llamado Defragmentation Manager, el cual monitorea la base de datos e identifica cuales B-Tress (método de almacenaje del ESE) necesitan ser desfragmentados, una vez identificados el mantenimiento se lleva a cabo en el background cuando la actividad en el servidor es menor, eliminando así el impacto mencionado anteriormente.
Realmente cuando me metí en Exchange 2007 note un gran salto tecnológico y en mi humilde opinión también agregaron cosillas que ofrecía la competencia y lo mejor las mejoraron, pero ahora veo un salto aun mayor, un producto más maduro y amistoso con el administrador, esperare con ansias mi primer implementación real!
Tambien pueden referirse al Exchange Deployment Assistant, esta herramienta les ayudará con su implementación, por ahora solo disponible de 2003 a 2010.

~D~

Y dónde está???

2009-11-14T20:15:00.003-06:00

Alguna vez les ha pasado que llegan a ver un ambiente y no encuentran algo… por ejemplo el grupo de Enterprise Admins?! Y lo mejor, cuando preguntan te ven como si tuvieras 3 ojos!!!
Desafortunadamente es muy común que los informáticos hagamos cosas y no las documentemos… o bien, algunos documentamos vía email y la gente simplemente no lee los correos… desgraciados…
Ok, mantengámonos en lo expuesto anteriormente ya que es algo muy común, ahora bien, a resolverlo.
Existe una categoría especial de entidades predefinidas controladas por el sistema interno de seguridad de Windows, estas existen en todos los equipos, aunque varían ligeramente según la versión del sistema operativo; no importa si es un equipo en un workgroup o en un dominio, siempre encontraremos algunos de los llamados Well Know Security Principals, como son por ejemplo el grupo Everyone, Creator Owner, Administrators.
Estos son simple y sencillamente necesarios para el funcionamiento de nuestro sistema, además no podemos crear nuestros propios Well Know Security Principals.
Ok y que hacen estas entidades, básicamente agregan un SID a nuestro token de acceso, lo cual nos dará ciertos derechos predeterminados. Esto del SID y token entonces me lleva a mencionar ciertos puntos, el SID o Security Identifier es como lo que los ticos conocemos como el numero de cedula o identificación, en este caso esa cedula es un conjunto de valores alfanumérico que nos identifica, ahora bien, el hecho de renombrar un objeto no significa que el SID cambien, así como cambiarnos de nombre no varía nuestro numero de cedula (por lo cual esta técnica no me sirve para evadir mis deudas :-[ que mal).
Entonces para hacer una historia larga corta pensemos que al iniciar sesión se crea un token, el cual contiene nuestro SID y los SIDs de los grupos a los que pertenecemos, con esto el sistema sabe quién es y a que grupos de seguridad pertenece esa entidad y así puede otorgar los permisos adecuados. Realmente eso es un tema mucho más complejo que esto, pero hoy Sábado no creo que mi esposa quiera que pase toda la noche en la computadora escribiendo, a si que luego ahondamos en todas esas maravillas de la seguridad.
Habiendo dicho esto entendemos que el SID del Well Know Security Principal se suma al nuestro y así se dan ciertos permisos, algo como “mi número de identificación + el número de identificación de los Domain Admins = daemonRoot es Domain Admin = peligro!”
Bien pero como mencione anteriormente algún sonajas renombro alguno de estos grupos y ahora no sabemos donde están entonces vamos a rastrearlos. Cómo?! Pero ya les di la clave, por el SID! Primero necesitamos saber el SID de nuestro dominio, esto por la forma en que un SID está compuesto, para esto vamos a usar la herramienta llamada ADFind http://joeware.net/freetools/tools/adfind/index.htm luego necesitaremos otra herramienta que nos de el displayName del objeto que buscamos, el SidToName http://joeware.net/freetools/tools/sidtoname/index.htm .
El primer paso es ejecutar este comando en al consola adfind –f “objectClass=domain” –samdc objectSID este nos va a dar el SID del domino, que es algo como S-1-5-21-3922922491-1485192142-2417811997.
Ahora bien para saber cómo están formado los SIDs de los Well Know Security Principals podemos consultar el KB 243330.
Entonces el siguiente paso es ejecutar este otro comando en la consola sidtoname S-1-5-21-3922922491-1485192142-2417811997-519 el cual nos va a dar el displayName del grupo llamado Enterprise Admins o talvez queramos probar con el -512 que pertenece a los Domain Admins <:0)
Si lo analizan un poco, esa tendencia que tenemos de renombrar la cuenta Administror “por seguridad” pues no lo es tanto, ya que el SID del Administrator siempre va a ser S-1-5-21-(SID del dominio)-500… lero-lero ^_^ !
Espero estas gotas de información les sea útil, si alguien gusta discutir más a fondo algún tema, pues bienvenido! Realmente trato de expresarme y explicar las cosas de una forma simple y sencilla pero di… cada cabeza es un mundo, hasta pronto!
~D~

Server 2008 R2 / Exchange 2010.

2009-11-12T23:11:00.000-06:00

Como podrán imaginar e estado esperando con mucha emoción el lanzamiento de Exchange 2010... hace un par de días mi buzón de correo corporativo fue migrado al ambiente de pruebas y ahora pues lo mejor "hágalo usted mismo!"
El día de ayer inicie la tarde de actualizar un poco mi ambiente de pruebas... para lo cual instalare Windows Server 2008 R2 Enterprise con Exchange 2010 Enterprise.
Les describo un poco el ambiente... lo que tengo es una maquina con un AMD Phenom X3 2.3Ghz, 4GBs RAM 800Mhz y dos discos SATA de 500GB... Espero Colacho me traiga una con 2 procesadores y mas slots de memoria, acepto donaciones!
El host como les dije es un Server 2008 R2, DC/GC, DNS, WINS, CA, Exchange 2010 CAS y HT.
Este tiene dos maquinas virtuales, mismo sistema operativo y además DC/GC, DNS, WINS y próximamente Exchange 2010 MBX.
La instalación del sistema operativo no varia mucho, realmente si es mas rápido que la versión anterior, ningún controlador me dio problema alguno...
Realmente todo fue muy bien, hasta que intente agregar la segunda maquina al dominio.
Como sabemos el Windows Firewall utiliza perfiles y pues algún parámetro en el perfil de domino no me permitía una buena comunicación con equipos que no están en el domino, realmente podía desde el cliente en el workgroup hacer ping, nslookup, nltest y otros, mas no podía mapear unidades de red ni agregar la maquina al dominio.
Llegue a pensar en problemas de resolución de nombres, configuración de las redes virtuales... también culpe al pobre Symantec... y como vemos era sencillo, claro, encontrar esto no lo fue tanto.
En fin, habiliten todo tipo de conexiones en el perfil de domino del Windows Firewall, agreguen el o los equipos al dominio y luego vuelvan a la configuración recomendada.
Ok perfecto, ahora tenía 3 controladores hablando entre sí felizmente... ahora vamos con Exchange!
Acá tampoco cambio mucho el proceso de instalación, lo primero el Setup.com /PrepareAD /OrganizationName. En mi cabecita dije, para tener más recursos disponibles voy a detener las maquinas virtuales mientras hacia esto, luego las inicio y listo, de por si el Schema Master es la maquina física o sea que pipa soy... pues no, parte de los chequeos preliminares que el instalador hace son buscar problemas de replicación, de existir la instalación no procede.
El error dice algo así como "The server side error is: 0x21a2 The FSMO role ownership could not be verified because its directory partition has not replicated successfully with at least one replication partner".
Listo, maquinas virtuales arriba, NTDS reciclado*, repadmin /replsummary no muestra problema alguno.... después de unos minutos el proceso termina... ahora el Setup.com /PrepareSchema.
*Funny fact… algo que es una bendición en 2008 es que se puede reinicar el servicio de Active Directory ( net stop ntds o sc \\host stop ntds ) eso te va a quitar unas cuantas reiniciadas de sistema a lo largo de la vida… algo más curioso es que en 2000/2003 si navegan a HKLM\SYSTEM\CurrentControlSet\Services verán que el NTDS esta ahí solo que no podemos manipularlo; para mí que algún developer por estar chateando dejo eso a medias y no fue sino hasta 2008 que lo arreglaron... no sean hipocritas, también les a pasado!
Si son curiosos antes de correr esto podrían hacer lo siguiente, via ADSIEdit conéctense a la partición de Configuration... y naveguen al contenedor de llamado Services.
Acá encontraran aquellos servicios que se prestan en nuestro bosque, noten que digo bosque, pues otros como LCS/OCS se almacenan en la partición de dominio y no en la de configuración, esto pues la ultima es compartida por todos los DCs de nuestro bosque. También como parte del ejercicio podrían revisar el snap-in del Active Directory Schema ( el cual aparece al correr el comando regsvr32 schmmgmt.dll)... acá si revisan el contenedor de atributos, notaran que los atributos msExch* no están presentes...
Esto les da una breve idea de lo que los comandos anteriores hacen, ok ahora después de correr el Setup.com revisen de nuevo.
Bueno, manos a la obra a instalar Exchange!
Una de las cosas que más me gusta de 2007 es que los binarios son guardados en el disco local, por lo cual si pones tu disco de Exchange guindando en el retrovisor de tu carro y el sol lo daña, no hay problema!
Ok si van a instalar la función de Client Access van a necesitar esto http://go.microsoft.com/fwlink/?LinkId=123380 así que mejor ya y evitarse la regañada.
Por ahí también puede que les salga un error que habla del NetTcpPortSharing... Dios nunca había escuchado de eso... claro Daniel sea inteligente y corra un sc query findstr /I "net" eso le va a dar la respuesta, pues... no! Acá es cuando me voy con solo los 500 mil pesos en ¿Quien quiere ser millonario? :(
Para solucionar esto debemos correr este comando de PowerShell o PoS Set-Service NetTcpPortSharing -StartupType Automatic y listo!
El set up continuara sin problema alguno.
Ah como disfrute cuando salude a mi servidorcito...
220 nemesis.daemonroot.com Microsoft ESMTP MAIL Service ready at Thu,
12 Nov 2009 22:49:13 -0600
ehlo daemonroot.com
250-nemesis.daemonroot.com Hello [::1]
250-SIZE
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-X-ANONYMOUSTLS
250-AUTH NTLM
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250-XEXCH50
250-XRDST
250 XSHADOW

Ok a este punto ya tengo mis DCs... y un CAS/HUB... mañana espero seguir con la parte de los Mailbox servers, espero estas líneas les ayuden en algo... hasta pronto!

P.D si ustedes tienen un chip que decodifica IPv6, los envidio, yo no... asi que talvez esto les sea útil http://support.microsoft.com/default.aspx/kb/929852

virgen del blog...

2009-11-12T22:59:00.000-06:00

Ok ok... aquí un fan más de la tecnología, amante de la consola...
Realmente me gusta escribir y por los últimos años e mantenido una pequeña lista de distribución de correo a la cual contantemente bombardeo con noticias, trucos y mis vivencias, razones por las cuales me decidido a crear un blog para poder así llegar a más personas y tal vez poder ser de ayuda con mis humildes aportes...
Aca voy!