Tras la aparición del SP1 de Configuration Manager SP1 se están produciendo un gran número de incidencias en soporte, aparte de los profundos cambios que introduce en  Configuration Manager debemos tener en cuenta las características especiales que puede tener nuestro entorno y que pueden provocar situaciones inesperadas que afecten al comportamiento del producto en producción.

Esto hace que la instalación del SP1 no sea algo sencillo como lanzarnos a la instalación y finalizar el wizard, se deben tener bastantes elementos en cuenta antes de lanzarnos a la instalación y configuraciones previas que modifican la respuesta tras la instalación.

A continuación adjunto información pública y algunas recomendaciones ante configuraciones específicas.

Muchas gracias Alessandro por facilitarnos esta información.

System Center 2012 Configuration Manager SP1 Reference and Configuration List

Informacion general y referencias interesantes:

1. Novedades en  Configuration Manager 2012 SP1

2. Como actualizar Configuration Manager 2012 a SP1

3. Si se tienen multiples “System Center Products” instalados, aquí esta el orden de instalacion recomendado: http://technet.microsoft.com/en-us/library/jj628203.aspx (No va a ocurrir nada grave si no se sigue este orden, el único riesgo es perder funcionalidades de forma temporal durante la instalación debido a dependencias entre conectores, una vez finalizada la actualización del elemento del que depende volvera a funcionar correctamente)

4. Configuration Manager 2012 SP1 Release Notes

5. Configuration Manager 2012 SP1 Toolkit

6. Package Conversion Manager 2.0 for SP1

7. Lista Configuration Manager 2012 SP1 Fixes y  KB articles incluidos

8. New Configuration Manager SP1 SDK

9. Referencias del SP1 PowerShell Cmdlet

10. Quick Start Deployment Guide

11. Cloud Based and Pull Distribution Points added to SP1

12. How to Manage Mobile Devices by using Windows Intune Connector in Configuration Manager

13. Deploying Windows 8 with Configuration Manager SP1

14. Troubleshooting DRS Replication in Configuration Manager: 

http://blogs.msdn.com/b/minfangl/archive/2012/05/16/tips-for-troubleshooting-sc-2012-configuration-manager-data-replication-service-drs.aspx

http://blogs.technet.com/b/sudheesn/archive/2012/10/21/drs-initialization-in-configuration-manager-2012.aspx

15. SQL 2012 SP1 now supported 

Configuración sp1:

1. Confirmar que tenemos suficiente espacio en disco antes de realizar la instalación.  Revisar  http://technet.microsoft.com/en-us/library/hh846235.aspx#BKMK_ReqDiskSpace para guía.

2. Los cambios realizados en las  “Built-in Collections” son sobrescritos y no se mantienen tras la instalación del SP1:   http://support.microsoft.com/kb/2739984. 

3. Se recomienda desinstalar el  WAIK (Windows Automated Installation Kit) y tras esto instalar el “Windows Assessment and Deployment Kit (ADK) for Windows 8” antes de pasar a instalar el SP1.  Configuration Manager 2012 SP1 y el sistema operativo no soportan WAIK y ADK en la misma máquina.  (See: how to upgrade)

4. SUP deja de funcionar tras la actualización. Para evitar esto, necesitamos asegurarnos que es CAS, Primary y el  Remote SUP site systems están actualizados con el  WSUS patch KB 2734608 antes de actualizar. (See Release Notes). 

5. SP1 incluye el fix http://support.microsoft.com/kb/2796086, sin embargo la versión RTM del cliente en un MP puede que no se actualice automáticamente tras la instalación del SP1. Esto se resuelve con un “client Push” teniendo configurada la opción 'always install client' en el MP.

6. OSD: Boot images pueden quedar corruptas si tenemos ciertos antivirus. Deshabilitar el AV durante la instalación evita el problema. Es recomendable excluir también ciertas carpetas de Configuration Manager para evitar errores.  Revisar http://blogs.technet.com/b/systemcenterpfe/archive/2013/01/11/updated-system-center-2012-configuration-manager-antivirus-exclusions-with-more-details.aspx

7. OSD: Boot Images ahora requieren WinPE 4.0.  http://technet.microsoft.com/en-us/library/hh397288.aspx.

Some older machines may have BIOS that don’t support the Data Execution prevention.  http://social.technet.microsoft.com/Forums/en-US/configmanagerosd/thread/8faa337b-a648-49b4-8431-49c022b96e04. 

8. OSD: WinPE 4.0 aparentemente no funciona en ninguna versión de ESXi por debajo de la 5 con el Patch 4. Este es un error generado por VMWare.  Revisar: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2006859

9. MAC Client falla en el registro con  Configuration Manager SP1.  Esto puede estar causado por un error en la cadena de certificados.  Revisar  http://support.microsoft.com/kb/2806021

10. Cuando configuramos el  SUP en SP1, las opciones para el proxy no aparecen.

Con  Configuration Manager sin service pack puedes configurar estas opciones para el active software update point. Con Configuration Manager SP1, las “proxy server options” solo están disponibles para el software update point cuando tenemos configurado un proxy para el “site system server”. 

Más información en  http://technet.microsoft.com/en-us/library/gg712282.aspx#BKMK_PlanforProxyServers

Un saludo, Raul de Moral

Ya esta disponible para descargar el sp3 de UAG 2010. Forefront Unified Access Gateway (UAG) Service Pack 3 (SP3)

Os dejo el enlace con las nuevas características y problemas corregidos en este nuevo paquete

Descripción de Forefront Unified Access Gateway 2010 Service Pack 3

Un saludo, Sergio Medina

Hola,

Somos Paula Tomás y Yolanda Muñoz del grupo de Plataformas para Directorio Activo. En esta ocasión nos gustaría comentar el comportamiento general sobre la funcionalidad introducida en los Sistemas Operativos Windows desde Windows Vista llamada UAC (User Account Control). 

Información general sobre UAC (User Account Control) 

UAC es un componente de seguridad incluido en el Sistema Operativo a partir de Windows Vista. 

El objetivo de UAC (User Account Control) es minimizar el uso de “privilegios de administración” por parte de los “usuarios estándar” en los equipos. De esta manera, evitamos modificaciones del sistema operativo que puedan dar lugar a un comportamiento no esperado. Las ventajas principales de trabajar con los privilegios de usuario estándar por defecto, son reducir el número de llamadas al help desk, así como minimizar el impacto de virus o malware, por ejemplo. 

Así, durante el proceso de logon se genera el token de acceso del usuario. En la generación de dicho token se evalúan los SIDs  y privilegios, de manera que  si alguno se considera como “elevado” se produce el split (o “división”) del token. Por una parte, se genera un token para el “usuario estándar” con los SIDs y privilegios, y otro token elevado con todos SIDs y privilegios del usuario. Esta funcionalidad se denomina Protected Admin (PA). Con el Split del token incluso los usuarios con privilegios de administración se comportan por defecto como “usuarios estándar”, si en algún momento se requiere del uso de los privilegios elevados, se presentará al usuario el aviso para utilizar las credenciales administrativas (es decir, el token elevado). 

El Split del token se producirá siempre que: 

• El usuario pertenezca a alguno de los grupos”administrativos”: Domain Admins, Domain Controllers, Power Users, Print Operators, etc.
• Que el usuario tenga alguno de los privilegios “elevados”: Create a token object, Act as part of the operating system, Debug Programs, Impersonate a client after authentication,etc. 

En la siguiente figura se muestra el comportamiento de Protected Admin: 

Understanding and Configuring User Account Control in Windows Vista  

Si el usuario que ha iniciado sesión en el equipo es un “usuario estándar” y la aplicación que se está ejecutando necesita privilegios de administrador, el comportamiento por defecto es solicitar al usuario las credenciales para realizar dicha operación. Este mensaje se recibe al instalar o desinstalar una programa, abrir o cambiar la configuración del firewall, modificar la configuración de las directivas de seguridad, configurar el acceso al escritorio remoto, etc. En el caso de los “usuarios estándar” no se produce el split del token ya que dicha cuenta no contiene ninguno de los SIDs o privilegios mencionados anteriormente. 

En el caso de los administradores built-in (administrador del equipo y el administrador del dominio) tampoco se produce el split del token ya que estos usuarios no están protegidos por UAC. 

Información adicional sobre UAC (User Account Control)   

 En los siguientes enlaces se puede encontrar información adicional referida al comportamiento de UAC:  

What is User Account Control? 

Inside Windows 7 User Account Control  

Getting Started with User Account Control on Windows Vista  

Understanding and Configuring User Account Control in Windows Vista 

922708 How to use User Account Control (UAC) in Windows Vista  

UAC Group Policy Settings and Registry Key Settings  

Windows Vista Application Development Requirements for User Account Control  

Sample code is available to show you how to develop programs by using least-privilege administration and UAC. To download this sample code, visit the following Microsoft Web site

Un saludo, Paula y Yolanda

Hola a todos

Hoy queremos hablaros sobre un tema que esperemos no vuelva a producirse, pero que en su momento provocó muchas llamadas a soporte a finales del año pasado y a principios de este año

⦁    Normalmente, la revisión del paquete de actualización KB931125 que se publicó el 11 de Diciembre de 2012 sólo se dirigiría a sistemas operativos cliente, pero durante un corto periodo de tiempo también se ofreció para sistemas operativos servidor a través de Windows Update y WSUS.

⦁    Esta actualización agregó más de 330 certificados de Entidades Certificadoras (CAs) Raíz de terceros al correspondiente almacén de certificados de confianza en los servidores.
⦁    Como resultado, cualquier servidor Windows Server 2008, 200R2 (o 2012) que instaló la actualización y proporcionaba servicios que dependían de la comunicación por TLS/SSL empezó a experimentar problemas de autenticación y de comunicación a través de este protocolo

⦁    Algunos de los múltiples síntomas experimentados incluían:

⦁    Fallos en el acceso a redes inalámbricas  y/o redes conectadas por cable que utilizaban autenticación basada en certificados
⦁    Problemas de conectividad de clientes a servidores de Lync o de Office Communications Server
⦁    Fallos en el acceso a portales web por SSL
⦁    Fallos de autenticación en Outlook/OWA
⦁    Retardos en el arranque de equipos cliente y en el inicio de sesión por parte de los usuarios

⦁    Una de las pistas más claras para identificar el problema podría encontrarse en el visor de sucesos de los servidores donde se había instalado la actualización:

⦁    Al haber instalado tantos certificados raíz, se había superado el tamaño máximo de la lista de CAs de confianza que Schannel puede enviar durante la autenticación cliente/servidor (16kb)
⦁    Al superarse este límite, el servidor SSL envía una lista truncada de certificados raíz al cliente durante la conversación SSL/TLS, de la cual que el cliente no encuentra uno en el que confía para poder validar correctamente el certificado del servidor con quien mantiene la comunicación.

⦁    El siguiente artículo proporciona una manera automatizada de eliminar los certificados raíz en los servidores afectados que instalaron la actualización 931125.

2801679 SSL/TLS communication problems after you install KB 931125

⦁    A partir de eliminar estos certificados, cualquier servidor Windows Server 2008 (o cliente Windows Vista) en adelante con conectividad a Internet debería poder descargar e instalar los certificados raíz de terceros que necesite bajo demanda mediante el mecanismo Automatic Root Update presente en estos sistemas operativos.

Información Adicional

⦁    Podemos encontrar más información sobre el mecanismo de actualización automática de certificados raíz en los siguientes enlaces.

Windows root certificate program members (sección: How Windows Updates Root Certificates) 

Certificate Support and Resulting Internet Communication in Windows Vista  

Importante resaltar que para que funcione, es necesario que los equipos tengan conectividad con Internet y que no se haya deshabilitado el mecanismo mediante directiva de grupo

⦁    En su día, podríamos habernos encontrado con una problemática parecida en servidores TLS/SSL Windows Server 2003, con la diferencia de que el límite de Schannel en este caso eran 12kb, antes de instalarse la  siguiente actualización

933430  Clients cannot make connections if you require client certificates on a Web site or if you use IAS in Windows Server 2003  

⦁    Resaltar también que pueden existir “workarounds” alternativos para que los servicios SSL/TLS no se vean afectados por esta casuística, como por ejemplo evitar por completo que Schannel envíe una lista de certificados a los clientes.

⦁    Como os seguiremos contando a través de estas páginas, Windows Server 2012 trae muchas novedades, entre ellas, otra nueva manera de evitar que nos encontremos con este problema durante la autenticación SSL.

Así que, “Watch this space” para seguir informados! :)

Tolu Igbon

Aquí os dejo un truco para abrir un CMD y situarnos directamente  la carpeta donde el explorador de Windows estaba abierto.

Los pasos son rapidos y sencillos:

1.- Abrir el explorador de Windows y situarse en la carpeta deseada.

2.- Pinchar sobre un archivo   (Si pinchas sobre una carpeta te abrirá el CMD situándote dentro de esa carpeta.

3.- Ir al menú “File” –  “Open command prompt” y seleccionar la opción de apertura deseada

¿Fácil no?

Paloma García

Hola a todos,

En algunas ocasiones nos hacéis llegar dudas con respecto a las acciones que van a poder realizar los usuarios o grupos a los que se les han otorgado ciertos privilegios para que determinas aplicaciones o servicios funcionen correctamente según las instrucciones de configuración facilitadas por el fabricante. Las principales dudas vienen con respecto a la seguridad y si por el hecho de otorgar los privilegios a los usuarios o grupos van a poder realizar cierto tipos de acciones o modificaciones de configuración en los equipos donde han sido configurados.

Es importante que tengáis en cuenta que existe un grupo de privilegios a nivel de Sistema Operativo denominados “Súper Privilegios”. En este grupo se encuentran aquellos privilegios cuya obtención indebida podría suponer riesgo “elevado” de seguridad. Los usuarios a los que se le otorga este tipo de privilegios podrían permitirle realizar cualquier tipo de acción sobre la máquina. En este caso el usuario pasaría tener control total sobre el equipo llegando a ser lo que se conoce como “Súper Usuario”.  

 En la lista de los “Súper Privilegios” se encuentran los siguientes:

·         Debug Programs: Un usuario con dicho privilegio puede abrir cualquier proceso en el sistema sin tener en cuenta el Security Descriptor del proceso.  

·         Take Ownership: Este privilegio permite tomar posesión de cualquier objeto escribiendo su propio SID en el campo Propietario del Security Descriptor del objeto. 

·         Restore files and directories: Se permite reemplazar cualquier fichero del sistema en el sistema. 

·         Load and unload device drivers: Los drivers son considerados como “trusted parts” del Sistema Operativo que pueden ser ejecutados con las credenciales de System.

·         Create a token object: Puede ser utilizado para crear tokens de seguridad que representen cuentas de usuarios, su membresía de grupos y privilegios otorgados a dichos usuarios.

·         Act as part of operating system: La función LsaRegisterLogonProcess , a la que los procesos llaman para establecer una “trusted connection” con Lsass, comprueba dicho privilegio. Este privilegio permitiría a un proceso que ha establecido una conexión con Lsass ejecutar la función LsaLogonUser para crear una nueva “logon session”. Esta función requiere un nombre de usuario y contraseña valido y acepta una lista opcional de SIDs para añadir al token de la nueva sesión. Por esto, el usuario puede utilizar su propio nombre de usuario y contraseña para crear una sesión que incluya los SIDs de usuarios o grupos con más privilegios en el token resultante.  

En cualquier caso, es importante mencionar que el uso de elevación de privilegios se limita al propio equipo y en ningún caso a la interacción con otros equipos o acceso a los mismos a través de la red.

Otros privilegios pueden utilizarse como un ataque de “Denial of Service”. En este caso estaría, por ejemplo, Lock Pages In Physical Memory.      

Por ejemplo, el derecho de usuario  “Allow log on locally” determina cuando un usuario puede iniciar sesión interactiva en un equipo. Es importante tener en cuenta que los usuarios que no tienen dicho derecho son capaces de iniciar sesión remota de manera interactiva si tienen otorgado el derecho “Allow logon through Terminal Services” explícitamente a partir de Windows 2003.    

En el siguiente enlace podéis encontrar información adicional sobre la definición del derecho, la configuración por defecto en los diferentes equipos, posibles vulnerabilidades y resto de información que puede ser de interés desde el punto de vista de seguridad.      

Threats and Countermeasures Guide: Security Settings in Windows Server 2003 and Windows Vista      

http://technet.microsoft.com/en-us/library/cc749467(WS.10).aspx    

Para completar la información os recomendamos revisar el siguiente artículo. Este es la mejor referencia a nivel de KB para conocer las consecuencias, ventajas y desventajas de otorgar o quitar derechos de usuario:      

823659  Client, service, and program incompatibilities that may occur when you modify security settings and user rights assignments

http://support.microsoft.com/default.aspx?scid=kb;EN-US;823659

 Paula Tomás Galed y Yolanda Muñoz Muñoz

Debido al cambio de interfaz gráfico en Windows 8/Windows Server 2012 nos puede surgir la duda de como apagar/reiniciar el Sistema a continuación os vamos a mostrar las distintas opciones para hacerlo:

Una de las opciones es mostrando los Charms (Winkey+I o acercando el ratón a la esquina inferior derecha para mostrar los Charms) seleccionamos Configuración

Lo que nos mostraría la pantalla de la imagen con las opciones de Iniciar/apagar que nos permitirá suspender, reiniciar o apagar la maquina

Pero esta no es la única forma de apagar la maquina otras opciones son

Pulsando Alt- F4 en el escritorio nos muestra el antiguo desplegable de Cerrar Windows que nos permitirá las opciones de cambiar de usuario, cerrar sesión, suspender, apagar y reiniciar

Otra opción es utilizando la línea de comandos y ejecutando alguno de estos comandos:

Y por si no quieres escribir el comando cada vez que necesites apagar la maquina nos podemos crear un acceso directo en el escritorio indicándole el comando que quieres ejecutar y haciendo click en el acceso directo realizara la acción configurada para ello:

Creamos un nuevo acceso directo y en escribir la ubicación del elemento escribimos uno de los comandos anteriores , por ejemplo “shutdown /s /t 0”

Una vez creado el acceso directo podemos cambiar el icono con el botón derecho y mostrando las propiedades del acceso directo y también podemos anclarlo al inicio con el botón derecho, anclar a inicio

De esta forma basta con hacer click en apagar para que la maquina se apague.

Un saludo, Juan arlandis

“Window Scaling Heuristics” es una opción que permite a una maquina cliente detectar problemas de conectividad producidos por causa de dispositivos intermedios (generalmente dispositivos antiguos o que no se comporten correctamente en cuanto a escalado de ventana) y actuar en consecuencia.

Es un método que pretende evitar fallos en la comunicación de red provocados por un mal manejo del escalado.

Tenemos en este White Paper una buena explicación de este comportamiento:

http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/Perf-tun-srv.docx

La clave de registro que afecta a esta propiedad es la siguiente:

- EnableWsd 

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\(REG_DWORD)

The default is 1 for client SKUs. By default, Windows automatically disables TCP receive window autotuning when heuristics suspect a network switch component may not support the required TCP option (scaling). Setting this value to 0 disables this heuristic and allows autotuning to stay enabled. When no faulty networking devices are involved, applying the setting can enable more reliable high-throughput networking via TCP receive window autotuning.

Esto quiere decir que si se habilita “Window Scaling Heuristics”, es probable que ante fallos en el escalado de ventana (y debido como se explica más arriba a dispositivos intermedios que no soporten el escalado o no lo manejen bien), éste se deshabilite completamente. Esto puede causar un impacto directo en el rendimiento de red pero evitará fallos en la comunicación a la vez que es una buena indicación de que algo está pasando en la red para que el escalado se haya deshabilitado.

Hay que tener en cuenta que esta opción fue diseñada para clientes que acceden a Internet y no para servidores que actúan en la Intranet o Datacenter.

Si generamos y analizamos trazas de red en ambos extremos veríamos algo similar a lo siguiente:

Sin uso de escalado (Heuristics habilitado)

127                         11.0330416            System                   TCP          TCP:Flags=......S., SrcPort=60351, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=3665122992, Ack=0, Win=8192 (  ) = 8192  {TCP:14, IPv4:13}

128                         11.0936054            System                   TCP          TCP:Flags=...A..S., SrcPort=Microsoft-DS(445), DstPort=60351, PayloadLen=0, Seq=1231207440, Ack=3665122993, Win=8192 ( Scale factor not supported ) = 8192    {TCP:14, IPv4:13}

129                         11.0936319            System                   TCP          TCP:Flags=...A...., SrcPort=60351, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=3665122993, Ack=1231207441, Win=64240 (scale factor 0x0) = 64240    {TCP:14, IPv4:13}

 

Con uso de escalado (Heuristics deshabilitado)

201                         10.3617560            System                   TCP          TCP:Flags=......S., SrcPort=62325, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=1502484362, Ack=0, Win=8192 ( Negotiating scale factor 0x8 ) = 8192   {TCP:18, IPv4:17}

205                         10.4234921            System                   TCP          TCP:Flags=...A..S., SrcPort=Microsoft-DS(445), DstPort=62325, PayloadLen=0, Seq=2333543882, Ack=1502484363, Win=8192 ( Negotiated scale factor 0x8 ) = 2097152            {TCP:18, IPv4:17}

206                         10.4235320            System                   TCP          TCP:Flags=...A...., SrcPort=62325, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=1502484363, Ack=2333543883, Win=513 (scale factor 0x8) = 131328      {TCP:18, IPv4:17}

Para habilitar o deshabilitar esta opción se utilizan los siguientes comandos de Netsh:

Para mostrar la configuración:

netsh int tcp show heuristics

Para habilitarlo:

netsh interface tcp set heuristics wsh=enabled

Para deshabilitarlo:

netsh interface tcp set heuristics wsh=disabled

Para volver al valor por defecto del sistema:

netsh interface tcp set heuristics wsh=default

Un saludo, Karin Galli