Hola, soy Yolanda Muñoz, del equipo de Directorio Activo. En algunas ocasiones, nos hemos encontrado con la necesidad de disminuir la carga de logon en determinados DCs o bien por ser el de menor recursos hardware del Site o porque se encuentre destinado a otro tipo de operaciones/aplicaciones. En estos casos sugerimos implementar las siguientes recomendaciones:

• Quitar la opción de GC.
• Ajustar el “weight” (peso) y la “priority” (prioridad) de los registros SRV en DNS para minimizar el número de peticiones de logon recibidas por los DCs.
• Si lo que queremos conseguir es reducir proporcionalmente el número de peticiones clientes recibidas, ajustaremos el “weight”.
• Sin embargo, si lo que queremos es minimizar al máximo el número de peticiones recibidas,ajustaremos la “priority”.

En esta ocasión nos detendremos a explicar la segunda de las recomendaciones:

• El Directorio Activo asigna por defecto el valor de 100 para el “weight”. Si queremos reducir a la mitad el número de peticiones atendidas por el DC, crearemos la clave del registro que controla dicho valor y lo estableceremos a 50.

Como cambiar el “weight” de los registros SRV en DNS:

1. In the Run dialog box, type regedit, and then press ENTER.
2. In the registry editor, navigate to
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
3. Click Edit, click New, and then click DWORD value.
4. For the new entry name, type LdapSrvWeight, and then press ENTER. (The value
name is not case sensitive.)
5. Double-click the entry name you just typed.
6. In the Edit DWORD Value dialog box, select Decimal as the Base option.
7. Enter a value between 0 and 65535 (the recommended value is 10), and then click OK.
8. Click File, and then click Exit to close the registry editor.

• El Directorio Activo asigna por defecto el valor de 0 para la “priority” . Así, si creamos la clave del registro que controla dicho valor y lo establecemos a 200, las peticiones de autenticación de los clientes serán atendidas por los DCs cuya “priority” sea menor. De esta manera, el equipo configurado con mayor valor de “priority” no atenderá ninguna petición siempre que existan DCs disponibles con un valor de “priority” menor.

Cuando el valor de “priority” es el mismo para varios DCs, el valor especificado en “weight” determinará el orden en que los servidores van a ser contactados por los clientes.

Como cambiar la “priority” de los registros SRV en DNS:

1. In the Run dialog box, type regedit, and then press ENTER.
2. In the registry editor, navigate to
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
3. Click Edit, click New, and then click DWORD value.
4. For the new entry name, type LdapSrvPriority, and then press ENTER.
5. Double-click the entry name that you just typed.
6. In the Edit DWORD Value dialog box, select Decimal as the Base option.
7. Enter a value between 0 and 65535 (the recommended value is 500), and then click OK.
8. Click File, and then click Exit to close the registry editor.

Para que los valores mencionados anteriormente sean efectivos, es necesario reiniciar el servicio de Netlogon (net stop netlogon && net start netlogon). El servicio al iniciar leerá la nueva configuración y actualizará los registros en DNS con los nuevos valores, siempre que las actualizaciones dinámicas estén permitidas en la zona.

Los nuevos valores quedan reflejados tanto en el archivo netlogon.dns (%Systemroot%\System32\config), como en el netlogon.log (%Systemroot%\debug) si el valor DBFlag está establecido a 0x2080FFFF.

- Yolanda Muñoz Muñoz

Hola a todos,

Hoy nos gustaría proponeros una lista de blogs de otros compañeros de Soporte a diferentes productos de Microsoft en España. Podéis dirigiros a estos blogs para encontrar más información, novedades, trucos, soluciones a problemas, etc. de dichos productos.

También queremos aprovechar para agradecer a nuestros compañeros el publicar información tan variada e interesante :)

La lista es la siguiente:

Disfrutad de la lectura :)

Se esta publicando el nuestros blogs en Ingles un anuncio que cambiará la forma en que se aplican los pasos recomendados en nuestros KB para modificar el sistema.

Esto se produce en respuesta a los comentarios por parte de los usuarios de que, en algunos casos, los pasos a seguir publicados en nuestros artículos, podían resultar complicados y si no se seguían correctamente podían, no solo no solucionarlo, sino agravar el problema.

Esta nueva funcionalidad esta publicada ampliamente en el siguiente artículo:

“Fix it” – The Next Evolution of KB Articles and WER

En resumen, se comenzará a añadir a los nuevos artículos publicados el siguiente icono (para ver un ejemplo visitar KB 934885)

Fix this problem

Si se pulsa, no comenzará automáticamente a solucionar el problema en la máquina, sino que se realizara la descarga de un paquete MSI el cual, al ser ejecutado, realizará las modificaciones indicadas en el articulo.

En principio los Wizard están todos en ingles, pero funcionan en otros idiomas de instalación.

Si queréis ampliar la información sobre esta nueva funcionalidad esta publicado en el siguiente Blog Fix it for me.

También se podrá seguir mediante una WebCast el Martes 19 de Febrero, los detalles, (en Ingles ya que la webcast será en ese idioma)

Want to learn about Fix it, Microsoft’s newest support offering?  Join John Bukowski (Architect) and Brian Kinchen (Senior Program Manager) for an overview of the capabilities and features of Fix it, demonstrations, and a live Question and Answer session.  Microsoft Fix it represents a new phase of automated self-help by providing resolutions to problems with the click of a button.

Requirements for Attending this Event
We strongly suggest you test your computer's configuration to ensure you are running the most current version of Microsoft Office Live Meeting:
https://events.livemeeting.com/LM2007test.htm

Note: If you are unable to click this link, you can also copy and paste the link into the address bar of your browser.  When you enter the test event, you will be prompted to install and run the Office Live Meeting Client software if you have not downloaded it already.  If you cancel the software installation, you will be given a link to attend the event using the Microsoft Web Access, a browser-based client.  Once entered, you should see the Office Live Meeting client with a slide that indicates your test is successful.  If you are not able to see the slides, please contact Event Support: http://www.livemeeting.com/ask or call 1-800-893-8779 in the US or Canada, or 1-971-544-3222 in other regions.

Login Details for Live Event Session on Microsoft Fix it
On the day of the event, please perform the following actions no later than 15 minutes before the event begins.  The Webcast starts at:

• 1 PM or 13:00 PST Thursday February 19, 2009
• 4 PM or 16:00 EST Thursday February 19, 2009
• 9 PM or 21:00 GMT Thursday February 19, 2009

View the Internet Portion of the Event

1. Click the attendee meeting URL: https://www.livemeeting.com/cc/lmevents/join?id=MSFT14185&role=attend&pw=ATT1485J1357.  If you can’t click the above meeting URL, click the following link: https://www.livemeeting.com/cc/lmevents/join
2. When you click on either URL, the Join Meeting page appears. In the following fields, verify or enter this information:
   Name: (Enter your first and last name)
   Meeting ID: MSFT14185
   Entry Code: ATT1485J1357
3. If prompted, install and run the Office Live Meeting software (recommended) or launch the Microsoft Web Access client (for Attendees unable to install the software, as well as anyone joining using a Macintosh).  It will take a few moments for the Office Live Meeting client to launch.
4. On the next page, please enter your e-mail and company name in their respective fields, if necessary, and click Continue.

Un saludo.

Consulta con el equipo de Windows.

Replicación de drivers de impresora en un clúster Windows 2003

En Windows Server 2003, los drivers de impresora en un servidor de impresión en clúster son almacenados en un disco compartido y replicados a todos los nodos del clúster. Los drivers son guardados en un directorio bajo el raíz del disco compartido del cual el servicio spooler o cola de impresión depende, llamado PrinterDrivers

Nota Este nombre de carpeta no podrá ser cambiado aunque haya una propiedad privada de recurso que de pie a ello.

Cuando un driver de impresora es actualizado, es establecido el valor TimeStamp en el registro al sello de fecha y hora incluidas en el driver. Cuando el recurso spooler o cola de impresión su estado pasa a Online, él comprueba este valor bajo la siguiente rama del registro:

HKLM\Cluster\Resources\%GUID%\Parameters\Environments\Windows NT x86\Drivers\Version-3\%DriverName%\TimeStamp

Y lo compara con el valor:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Print\Cluster\%GUID%\Windows NT x86\Version-3\%DriverName%\TimeStamp

Nota %GUID% corresponde al identificador en el registro del recurso spooler o cola de impresión

Si él encuentra que la versión bajo la primera rama es mas nuevo que el de la segunda, el driver actualizado es descargado desde el disco compartido al disco del sistema operativo del nodo.

Se comprueba driver por driver, y si hay alguna diferencia de versión, son descargados desde la carpeta o directorio \PrinterDrivers del disco compartido a la siguiente ruta local del nodo %SystemRoot%\System32\Spool\ResourceGUID\Drivers, donde ResourceGUID es el identificador único global (GUID) que representa al recurso spooler o cola de impresión. Estos drivers son mantenidos aparte de cualquier driver instalado en el nodo o de otro recurso spooler en configuraciones activo/activo.

Imagen 1: Directorio con el GUID del recurso spooler

En un servidor de impresión no en clúster, los drivers para cada sistema operativo son almacenados en directorios diferentes. Una simple impresora puede tener diferentes drivers cargados y cada uno de estos está almacenado en una carpeta diferente bajo Drivers. El Cluster mantiene las mismas convenciones en la separación de drivers bajo cada carpeta GUID de cada recurso de spooler o cola de impresión.

La replicación de todos los drivers puede incrementar el tiempo que a un recurso spooler o cola de impresión pasar su estado a online, porque cuando un driver es actualizado, el spooler debe comprobar la lista de todas las impresoras pare ver cuáles son las impresoras afectadas (y ver si usa algún archivo actualizado) y si así fuera, decir a la impresora que actualice su información de driver. No se pasara el estado del recurso spooler o cola de impresión a Online hasta que esta comprobación y actualización este completa. Este retraso no afectara a otros nodos hasta que el recurso spooler se ponga online por primera vez en ellos. Cuando tu agregas un gran número de colas de impresión y drivers de una vez, es altamente recomendado que después de haberlas añadido, muevas el recurso spooler o cola de impresión a cada uno de los nodos en el clúster. Esto necesita ser hecho solo una vez, y cuando el recurso es puesto online ocurrirá la replicación de los driver. Esto asegura que todos los nodos tienen los drivers más actuales. El tiempo de failover será menor después que la que mayoría de los drivers estén replicados para las siguientes impresoras que añadas.

El spooler y otras aplicaciones no deberían copiar drivers de impresora directamente al disco compartido, porque si se produjese un failover el proceso de carga de drivers obtendría un error de E/S. Esto es el por qué los drivers son descargados y mantenidos en cada uno de los nodos localmente. Cuando se accede a un driver, se usa rutas UNC (\\%VirtualServer%\print$\%GUID%) en vez de la ruta local al driver (%SystemRoot%\System32\spool\Driver).

El sitio de Windows Update es seguro usarlo en los clúster. Si es usado el actualizara los drivers en el nodo local y también en los servidores virtuales, pero para poder hacerlo el recurso spooler debe estar online en el nodo donde se está usando Windows Update.

A la hora de borrar un recurso cuando un nodo está offline, la próxima vez que el nodo este online borrara la carpeta GUID del nodo local.

Cuando borras un recurso spooler, ocurren dos cosas:

1. La carpeta GUID es borrada del nodo local (o marcada para borrar en el reinicio si los archivos de un driver están en uso).
2. La carpeta PrinterDrivers es borrada del disco compartido.

El resto de los nodos (sin hacer caso si están online u offline) llevaran a cabo una limpieza cuando el Servicio de clúster inicie (ya que había una marca para borrado porque los archivos del driver estaban en uso). Esto es debido a cuando un recurso es borrado el servicio de clúster solo notifica a la DLL de recursos en el nodo donde el recurso está siendo borrado.

Una cosa a tener en cuenta a la par de la replicación de los drivers entre los discos compartidos y los nodos es la información que se pasan los nodos a través de la rama CLUSTER del registro. A veces debemos ser cuidadosos a la hora de agregar muchas impresoras y tenemos configurado un reseteo del log de quórum cada pocos KB. En un movimiento o failover puede perderse información relacionada con colas de impresión si es muy bajo el valor.

Para incrementarlo sigue estos pasos:

1. Abrir la consola de administración de clúster (CluAdmin.exe).
2. Clic con el botón derecho sobre el nombre de clúster en la parte superior izquierda, y luego Propiedades.
3. Clic en el tabulador de Quorum.
4. En la caja Reset quorum log at, teclear un valor mayor que el tamaño del archive CLUSDB en el carpeta \windows\cluster.

Nota Introducir un valor múltiplo de 64. Por ejemplo, 5120 o 8192.

Nota Este valor es global y solo necesita cambiarse en un nodo. El servicio de clúster llevara este cambio al resto de nodos y el cambio es dinámico no es necesario reiniciar el servicio de clúster.

Troubleshooting (solucionando problemas)

Directorio o carpeta del driver corrupta

Cuando una carpeta de un driver esta corrupta, cualquier impresora cuyo driver este corrupto no imprimirá. Puedes encontrar en alguna situación que una impresora en un nodo puede imprimir correctamente, pero desde otro nodo por la misma impresora no es posible. Esto puede ser debido a un driver corrupto o faltan archivos del driver en el nodo. Para corregir esto tú puedes manualmente forzar el borrado de todos los drivers del nodo y luego llevar a cabo una replicación completa desde el nodo que no tiene problemas.

Ya que el Servicio de clúster comprueba si las versiones coinciden en el failover, sería raro que en un failover el recurso spooler no propagara los drivers correctos al otro nodo..

Si la carpeta GUID en uno de los nodos esta corrupta puedes hacer una de estas cosas:

• Restaurarla de un backup
• Quitar y volver añadir el nodo problemático de la lista de la caja Possible Owners para recrear los drivers.

Con esta última opción el servicio de clúster copiara los drivers del disco compartido al disco local del nodo:

1. Abrir el administrador de cluster, y mover el grupo que contiene el spooler al nodo que sospechamos que no tiene los drivers corruptos.
2. Clic con el botón derecho en el recurso del spooler o cola de impression y luego Take Offline.
3. Doble clic en el recurso Spooler, y luego clic en Modify bajo Possible Owners.
4. Mover el nodo que sospechas que tiene el problema a la lista Available Nodes, y luego clic en OK.
5. Clic en Apply.
6. Clic en Modify bajo Possible Owners, y luego mueve de vuelta el nodo problemático a la lista Possible Owners.
7. Clic en OK, y luego clic en OK.
8. Mover el grupo que contine el recurso spooler al nodo problematico.
9. Clic con el derecho sobre el recurso Spooler, y luego en Bring Online.

Esto causara que el recurso Spooler recree los drivers en el nodo local. Los driver viejos pueden ser movidos dentro de una carpeta llamada old dependiendo si pueden ser borrados o no. Si los driver en el nodo problemático todavía parecen estar corruptos, reinicia el nodo después de que lo hayas quitado de Possible Owners. Cuando tú hagas esto, cualquier driver que tuvieran handles abiertos serán cerrados. Normalmente este paso no es necesario.

Nosotros recomendamos que uses drivers de nivel 3 en pro de la estabilidad del clúster. Evita los de nivel 2 o de modo núcleo. Ellos pueden causar un stop e inestabilidad en el sistema.

Carpeta PrinterDrivers esta corrupta o le faltan archivos

Si por cualquier razón, la carpeta \PrinterDrivers en el disco compartido se pierde o la información que contiene se daña o se borra, tu puedes usar uno de los siguientes métodos para recuperarla:

· Restaurar de un backup.

· Copiar desde la carpeta %SystemRoot%\System32\Spool\SpoolerResource GUID a %SharedSpoolerDisk% y renombrar SpoolerResource GUID a PrinterDrivers.

· Reinstalar las impresoras (la carpeta PrinterDrivers es recreada cuando un driver es instalado).

Como ya hemos hablado otras veces, con 2008 se he realizado un rediseño del antiguo clúster MSCS que utilizábamos en versiones anteriores de Windows.

De entre todos los cambios introducidos hoy nos centraremos en el registro.

HKLM\Cluster

También conocida como “Cluster hive”, continua siendo la clave principal dentro del registro, almacenando información sobre la configuración del clúster. Residente en todos los nodos del clúster es también replicada al disco de witness en caso de haberse definido.

Las claves modificadas son:

HKLM\Cluster

HKLM\Cluster\Checkpoints

HKLM\Cluster\Dependencies

HKLM\Cluster\Groups

HKLM\Cluster\Networks

HKLM\Cluster\Nodes

HKLM\Cluster\Quorum

HKLM\Cluster\ResourceTypes

HKLM\System\CCS\Services\clusdisk

HKLM\System\CCS\Services\ClusSvc

HKLM\System\CCS\Services\Netft

A continuación adjunto el acceso al documento con toda la información, pantallazos y ejemplos de configuración.

Espero que os resulte de utilidad.

Un saludo, Paloma García

Técnico de Soporte Microsoft Premier

Con Windows 2008, aparece un nuevo evento que nos avisa de que el archivo de paginación no tienen el tamaño suficiente como para que se genere un fichero de dump en caso de crash del sistema.

Si os encontráis con este evento lo primero es revisar que el tamaño del archivo de paginación para asegurarnos que su tamaño es de al menos el tamaño de la memoria +50 Mb.

Si a pesar de esto sigue apareciendo el evento,  es posible que nos encontremos ante un problema con el componente Crashdmp.sys. reportado en el articulo siguiente.

950858  Dedicated dump files are unexpectedly truncated to 4 GB on a computer that is running Windows Server 2008 or Windows Vista and that has more than 4 GB of physical memory

http://support.microsoft.com/default.aspx?scid=kb;EN-US;950858

Un saludo, Paloma García

Técnico de Soporte Microsoft Premier

L a tarea de mapear una impresora mediante el interface gráfico es algo que cualquier usuario puede realizar con facilidad, el problema se presenta eres el administrador de la plataforma, son las 8 de la tarde y mañana las 8 todos los usuarios deben tener mapeadas esa impresoras tan chulas que han crecido por los pasillos.

Para agilizar esta tarea podemos crear scripts y utilizar una librería que aunque lleva bastante tiempo entre nosotros tal vez no es lo suficientemente conocida, para los que la conozcáis se llama PrintUI.dll.

A lo largo de estas líneas intentaré mostrar las funciones más comunes.

1.- Añadir una impresora nueva

El objetivo es instalar una impresora de red en un equipo cliente. La impresora ser visible solo para el usuario que ejecuta el comando.

rundll32 printui.dll,PrintUIEntry /in /n\\servidorimpresion\nombre_impresora

Para que la impresora esté disponible para todos los usuarios del equipo, un administrador local de la misma deberá ejecutar lo siguiente:

rundll32 printui.dll PrintUIEntry /ga /n\\ servidorimpression\nombre_impresora

2.- Eliminar una impresora existente

Como en el caso anterior esto solo afecta a la impresora del usuario que ejecuta el comando

rundll32 printui.dll,PrintUIEntry /dn /n\\ servidorimpresion\nombre_impresora

Para eliminar la impresora para todos los usuarios del equipo la sintaxis es la siguiente.

rundll32 printui.dll PrintUIEntry /gd /n\\ servidorimpresion\nombre_impresora

3.- Establecer una impresora por defecto

rundll32 printui.dll,PrintUIEntry /y /n\\ servidorimpresion\nombre_impresora

Aquí os he mostrado las funciones más comunes pero si consultáis la ayuda encontraréis el resto de opciones disponibles ya que seguro os serán también de utilidad.

rundll32 printui.dll PrintUIEntry /?

Un saludo, Paloma García

Técnico de Soporte Microsoft Premier

Hola de nuevo, somos Juan Arlandis (Sistema Operativo) y Javier Rama (Directorio Activo / Networking).

En esta ocasión, y sumándonos al mensaje que lanzan nuestros compañeros en LATAM, hablaremos sobre la reciente oleada de casos que hemos recibido con respecto al tema.

El pasado mes de Octubre, Microsoft publicó el siguiente boletín de seguridad (MS 08-067) que corrige una vulnerabilidad en el servicio Servidor.

En caso de no haberlo hecho ya, recomendamos encarecidamente proceder a instalar cuanto antes esta actualización en todos los equipos de vuestros entornos.

A partir de aquí, y explotando esta vulnerabilidad, han ido apareciendo multitud de virus/gusanos que pueden manifestarse de diversas maneras en el entorno.

Desde Soporte, los síntomas más comunes que hemos observado son:

· Parada de los servicios Server y Browser  (casi siempre han sido asociados al virus Conficker.A)

Comportamientos tales como servicios no disponibles, recursos que han dejado de estar compartidos, etc. han sido el síntoma inicial.

Un estudio más en profundidad, suele revelar la existencia de un servicio (con nombres con letras aleatorias tales como qbmmf) extraño instalado en el servidor afectado.

· Bloqueo de múltiples cuentas del dominio  (variante del anterior y comúnmente denominada Conficker.B)

Podemos consultar una descripción amplia de este virus, así como un procedimiento para determinar si una máquina está infectada, en el siguiente enlace:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B

Ante una infección de nuestros sistemas, será necesario tanto proceder a instalar la actualización KB 958644 como eliminar el virus de todas las máquinas.

Para eliminar el virus de las máquinas, podemos utilizar cualquiera de los múltiples software de antivirus existentes en el mercado.

(teniendo el fichero de firmas correspondiente en su versión lo más actualizada posible)

En caso de no ser capaces de detectarlo con él, siempre tenemos disponible el scanner online One Care Live.

Para esta solución, el único requisito es que el equipo afectado tenga conexión a Internet.

Por último comentar que, muy posiblemente, estén surgiendo variantes nuevas de los virus mencionados más arriba.

Por ello, nuevamente advertiros sobre la importancia de mantener nuestros servidores actualizados.

Enlaces relacionados

• 962007 - Virus alert about the Win32/Conficker.B worm
• AskPerf:  MS08-067: Worms, worms, worms
• More ms08-067 exploits

Esperamos que esta información os haya servido de utilidad,

- Javier Rama del Castillo y Juan Arlandis Villarroya

Hola a todos,

Desde hace algún tiempo venimos teniendo algunos casos relacionados la instalación distribuida de Windows XP, tras el anuncio del SP3 la forma de distribución ha cambiado bastante, y muy especialmente la integración de la versión para Tablet PC.

Revisando nuestros post de USA he localizado uno muy interesante referente a la instalación distribuida de esta versión y la documentación de que se dispone con estos cambios.

El post es de Michael Murgolo y los podéis revisar en: http://blogs.technet.com/deploymentguys/archive/2009/01/21/windows-xp-tablet-pc-edition-2005-deployment-white-papers-updated-for-service-pack-3.aspx

En resumen:

The notes on Service Pack 3 can be found in the Important section at the beginning of each page.

Deploying Microsoft Windows XP Tablet PC Edition 2005
Updated: January 21, 2009

Deploying Windows XP Tablet PC Edition 2005: Single-Image Deployment Supplemental Guide
Published: August 01, 2004 | Updated: January 21, 2009

Esta alojado en el blog de Deploy de USA, por lo que aparte de este post podéis curiosear un poco ya que todas las novedades, soluciones a errores de instalación, etc suelen ser publicadas en el.

Un saludo.

Raúl del Moral.

Técnico de Soporte Premier.

Hola a todos,

Hace algunos días se publicaron una serie de guías sobre Hyper-V y Servicios de Cluster en Technet.

Para todos los interesados en testar e implantar esta tecnología resultaran de gran utilidad y los reunimos todos en este post para que sean mas fáciles de localizar.

· Design for a Failover Cluster in Which All Nodes Run Hyper-V   http://go.microsoft.com/fwlink/?LinkId=129117

· Requirements and Recommendations for Failover Clusters in Which All Nodes Run Hyper-V   

http://go.microsoft.com/fwlink/?LinkId=129110

· Checklist: Failover Cluster in Which the Servers Run Hyper-V   

http://go.microsoft.com/fwlink/?LinkId=129123

Step by-Step Guide: Hyper-V and Failover Clustering

http://go.microsoft.com/fwlink/?LinkId=129063

Configure a Virtual Machine for High Availability

http://go.microsoft.com/fwlink/?LinkId=131363

Un saludo.

Raúl del Moral.

Técnico de Soporte Premier

A petición de uno de vosotros (Paco), este post nos muestra un ejemplo de utilización de un fichero de respuestas para instalar ASP.

1.- Creación del fichero de respuestas

Como podéis ver el código XML es bastante sencillo, el truco está en tener mucho cuidado con las mayúsculas/minúsculas y saber que “Web Server (IIS)” es un RoleService y el nombre del RoleService Id correspondiente con ASP es “Web-ASP”.

Ejemplo para instalar ASP

<?xml version="1.0" encoding="utf-8" ?>

<ServerManagerConfiguration Action="Install" xmlns="http://schemas.

microsoft.com/sdm/Windows/ServerManager/Configuration/2007/1" xmlns

:xs="http://www.w3.org/2001/XMLSchema">

   <Role Id="Web-Server" />

   <RoleService Id= "Web-ASP" />

</ServerManagerConfiguration>

No copiar directamente, editar en notepad y tras corregir los 

saltos añadidos en la edición renombrar a xml.

2.- Ejecutar ServerManagerCmd utilizando el fichero de respuestas

Para realizar esta operación deberemos abrir un Command Prompt con credenciales administrativas.

Sintaxis:

ServerManagerCmd.exe -inputPath <answerfile.xml> -whatIf -restart

Si añadimos el modificador –restart el servidor se reiniciara automáticamente al finalizar la instalación del role si es que esta lo requiere.

-whatIf nos mostrará el listado de software instalado como resultado de la ejecución del comando anterior, incluyendo las dependencias de Roles, role services y características (features)

Para más información sobre este tema os recomiendo los siguientes enlaces:

http://download.microsoft.com/download/b/1/0/b106fc39-936c-4857-a6ea-3fb9d1f37063/Server%20Manager%20Scenarios%20Step-by-Step%20Guide.doc

http://technet.microsoft.com/en-us/library/cc753762.aspx

Un saludo, Paloma García

Técnico de Soporte Microsoft Premier

Hola a todos. Soy Rafa del equipo de Sistema Operativo. Para aquellos que quieren una introducción rápida a Virtual Server hoy tenía pensado comentar cómo crear nuestra primera máquina virtual. En Virtual Server tenemos varias posibilidades: crear una máquina virtual de cero, crear una máquina virtual utilizando un disco virtual ya creado o crear una máquina virtual creada en virtual pc.

Voy a centrarme en crear una máquina virtual desde cero y, si queréis, más adelante podemos hablar de las otras opciones. Para ello, necesitaremos crear primero un disco virtual donde instalar el sistema operativo y una o varios adaptadores de red virtuales.

Antes de crear el disco, deberemos configurar las rutas donde queremos almacenar la información de las máquinas virtuales. Para ello, nada más abrir Virtual Server nos encontraremos con la pantalla de inicio en la cual no aparecerán máquinas virtuales porque no tenemos ninguna creada (en la captura de pantalla sí hay máquinas virtuales creadas) y seleccionaremos Server Properties:

Ahora seleccionamos Search Paths y definimos todas las rutas donde queremos almacenar tanto las máquinas virtuales como los discos:

Para volver a la página de inicio solo tenemos que seleccionar Master Status en la barra de navegación.

Crear un disco virtual

Para crear un disco virtual iremos a la opción de Virtual Disk, create:

Tenemos varias posibilidades de selección de discos de las cuales explico las más comunes:

Para más información sobre discos se puede consultar el siguiente enlace: Creating virtual hard disks in Virtual Server

Yo aconsejaría crear un disco dinámico (me centraré en ese). Por tanto seleccionamos crear un disco dinámico. Ahora tenemos que seleccionar dónde vamos a almacenar ese disco virtual en el disco físico del servidor:

En location, seleccionaremos en el desplegable una de las rutas que hayamos definido al principio (en los search paths). Después, le daremos un nombre al disco y el tamaño máximo que queremos que alcance:

Crear una máquina virtual

En la barra de navegación seleccionamos crear un máquina virtual:

Ahora, deberemos definir las propiedades que tendrá nuestro sistema operativo virtual (cuánta memoria, discos virtuales a utilizar, redes, etc)

Para definir las propiedades de memoria, deberemos tener en cuenta la memoria física del sistema y cuántas máquinas virtuales vayamos a crear y a ejecutar en un momento dado. Es decir, las máquinas virtuales utilizan la memoria física del sistema por tanto, si le damos demasiada memoria a una máquina virtual y vamos a correr varias más puede que no tengan suficiente memoria para funcionar o que el rendimiento sea excesivamente lento.

En cuanto al disco, seleccionaremos bien el disco que hemos creado o bien crearemos uno nuevo en este momento.

Para el adaptador de red, podemos seleccionar uno si lo hemos creado anteriormente o crear un adaptador de red en este momento. Por ahora lo dejaremos en no connected (más tarde se puede añadir en las propiedades de la máquina virtual).

Tras definir estas características, tendremos la máquina virtual creada. Deberemos instalar un sistema operativo ya que el disco que hemos creado está vacío.

Crear un adaptador de red

Seleccionamos crear una red:

Y le damos las opciones que queremos:

Como se puede ver, podemos crear bien una red que se comunique con la tarjeta física, es decir, con salida exterior o bien una red interna si pulsamos guests only.

Para información más detallada siempre podemos echarle un vistazo a la deployment guide disponible en TechNet ;)

Virtual Server Deployment Guide

Un saludo a todos

Rafa Basterra Careaga

Platforms Support Engineer

Hola de nuevo. Soy Paula del equipo de Directorio Activo.

Hoy hablaremos sobre el funcionamiento básico de RPC que afecta a diferentes operaciones de Directorio Activo. Como seguramente la mayor parte de vosotros ya sabe, la comunicación utilizada para múltiples operaciones en Directorio Activo es RPC. Estas operaciones incluyen, por ejemplo, la replicación de DA, la replicación FRS, la promoción de un nuevo Controlador de Dominio, etc. También realizan conexiones RPC a los DCs la ejecución del comando dcdiag /v o incluso consultar qué DCs son los maestros de operaciones (mediante el comando netdom query fsmo). También es muy común que tratemos casos con problemas de conectividad RPC en que la replicación de DA y/o FRS no se lleva a cabo de manera satisfactoria o incluso que la replicación de DA funcione perfectamente pero los Controladores de Domino no puedan replicar SysVol por FRS.

En una comunicación RPC, el cliente se conecta al puerto TCP 135 del servidor y solicita un puerto al End Point Mapper (EPM) para comenzar la conversación RPC. El EPM del servidor reserva un puerto (llamado puerto dinámico) para este cliente y se lo envía. A partir de este punto, el cliente abre una nueva conexión TCP a dicho puerto del servidor y comienza la comunicación.

Los puertos dinámicos RPC (o puertos efímeros) que puede utilizar el EPM  de RPC (o RPCSS) van del 1025 hasta el 65535, aunque Windows 2000/XP/2003 por defecto utilizan puertos que están comprendidos en el rango 1025-5000 (en total 3976 puertos). En Windows Vista y Windows Server 2008, el rango de puertos por defecto es 49152-65535 (un total de 16384 puertos).

Puede encontrarse más información en el siguiente artículo (muy recomendable para identificar y entender los pasos a seguir cuando nos encontramos ante un problema con el RPC Endpoint Mapper):

839880  Troubleshooting RPC Endpoint Mapper errors using the Windows Server 2003 Support Tools from the product CD

Cuando no se puede establecer la conexión por estos puertos efímeros, al realizar las operaciones que hemos comentado anteriormente podemos recibir errores como el siguiente:

There are no more endpoints available from the endpoint mapper.

Vamos a ver unas trazas de red de ejemplo de un establecimiento de una comunicación RPC fallida debido a que el cliente no puede establecer la sesión al puerto dinámico que le indica el EPM del servidor.

Las trazas de red las podéis capturar con cualquier sniffer, por ejemplo en este caso nosotros hemos utilizado Microsoft Network Monitor 3.2.

Esta es la conversación inicial RPC entre un DC y una máquina desde la que se ejecuta la operación netdom query fsmo:

En la respuesta del End Point Mapper (EPM) del DC ante la solicitud de conexión del cliente (trazas en rojo), el DC indica que van a continuar hablando por el puerto TCP 1025. Si filtramos el tráfico generado en el cliente con destino el DC y puerto 1025, vemos los siguientes intentos de conexión al mismo:

Como podemos ver claramente en las trazas de red, el cliente trata de conectarse varias veces a dicho puerto en el DC y no recibe respuesta (ver retransmisiones). Si observamos unas trazas de red simultáneas a las anteriores pero obtenidas en el DC (capturar el tráfico en ambos extremos es muy recomendable en este tipo de situaciones), únicamente se observa la conversación inicialmente descrita en la primera tabla. Es decir, el DC no llega a recibir los paquetes que el cliente le envía por el puerto 1025.

Lo más probable en este caso es que haya un firewall que esté bloqueando las comunicaciones. Puede ser un firewall hardware/software, el firewall integrado de Windows o incluso un antivirus con funcionalidad de firewall. (Tened también en cuenta que no todos los problemas relacionados con conectividad RPC se deben a la configuración de los firewalls!!!)

Ante esta situación tenemos dos opciones para evitar el bloqueo:

1. Abrir los puertos comprendidos entre el 1025 y el 5000 en el firewall para permitir la negociación/tráfico RPC entre las máquinas implicadas
2. Configurar RPC en el DC para utilizar un rango de puertos específicos y abrir dichos puertos en el firewall para permitir la negociación/tráfico RPC entre dichas máquinas
• La desventaja que hay que tener en cuenta es la posibilidad de que en determinados momentos no haya puertos disponibles al estar todos en uso, por lo que habrá que realizar pruebas y verificar cuál es el número de puertos adecuado para el entorno. Hay que tener en cuenta que los DCs utilizan RPC para multitud de funcionalidades, como puede ser la replicación de DA o FRS.
• El mecanismo para Windows 2000/XP/2003 se define en el siguiente artículo: 154596  How to configure RPC dynamic port allocation to work with firewalls
• El artículo anterior también apunta a mecanismos para configurar si se prefiere, por ejemplo, un único puerto concreto para la replicación FRS en lugar de un rango de puertos.
• El mecanismo para Windows Vista/2008 se define en el siguiente artículo: 929851    The default dynamic port range for TCP/IP has changed in Windows Vista and in Windows Server 2008
  

Si queréis obtener una lista completa de los puertos necesarios para el correcto funcionamiento de un entorno de Directorio Activo, echadle un vistazo a los siguientes artículos:

• 179442  How to configure a firewall for domains and trusts
• 832017 Service overview and network port requirements for the Windows Server system

Espero que esta información os sirva de utilidad, ya que es uno de los problemas que tratamos más frecuentemente y su detección es relativamente sencilla a partir de unas trazas de red.

- Paula Tomás Galed

Hola a todos , vamos a tratar un tema que desde que trabajo en soporte en Microsoft siempre me ha llamado la atención ( esto es debido a que como los seres imaginarios que he puesto en el título, al ser desconocidos llaman poderosamente la atención , como cualquier tema esotérico )

El primer ser imaginario que vamos a tratar es el microcorte , como todo ser imaginario tiene una serie de características no muy definidas :

1º Nadie lo ha visto jamás , en 7 años de experiencia en el mundo del soporte ( dentro del grupo de plataformas y en las especialidad de NETWORKING ) nunca he resuelto un caso en el que un microcorte fuera el causante del problema.

2º Tiene un hábitat especial , vive dentro de los cables de red .

3º Son difíciles de cazar ( la causa de esto está en el punto 1 ) , para cazarlos necesitaríamos equipamiento especial , como por ejemplo : El fluke EtherScope II : http://www.flukenetworks.com/fnet/en-us/products/EtherScope+Series+II/

Ahora que conocemos un poco mas nuestro ser imaginario , pasemos a identificar el problema:

Muchas veces este empieza de esta manera , tenemos un problema con nuestro servidor , no podemos llegar a los shares , tenemos microcortes ó El cluster esta balanceando entre los nodos creemos que tenemos microcortes en nuestra red y por esto ocurre este problema.

La pregunta lógica desde un punto de vista de un cazador de mitos o ingeniero de soporte ,seria :

¿Porque creéis que son microcortes? ¿Que herramienta habéis utilizado para ver los mismos?

La respuesta a la segunda es : “ninguna” en el 98 % de las ocasiones , a la primera suele ser más variada:

50 % se desconecta la ( añadir lo que se desee , unidad , share , volumen , nodo )-

25 % hay resets en la red.

25 % hay retrasmisiones en la red.

Aquí normalmente , yo ya empiezo a enfadarme con el termino MICROCORTE , por que el problema no es otro que de terminología , es decir ante lo desconocido , lo llamo MICROCORTE ( al igual que cuando vamos por la nieve , vemos algo grande que se mueve a lo lejos ,,, que es : EL YETI ) .

También ocurre mucho con la lentitud de los equipos , suele darse esta situación .

Me va lento el equipo . -----------> tienes un virus.

Me va lenta la red . ----------------> tienes microcortes.

El microcorte como termino , se ha importado de la red eléctrica :

Un fenómeno particular de los "blackouts" son los micro-cortes de energía o micro-blockouts, estos, como la palabra lo indica son pequeñas desapariciones del suministro eléctrico o caídas a niveles bajísimos, la características principal es que son de cortísima duración, se los ubica en el orden de los mili-segundos (1 a 20). Son tan pequeños que a veces son inocuos e intrascendentes, dependiendo del tipo de carga que alimentan, pueden causar daños irreparables o fallas en el funcionamiento.

imagen de : http://www.alcion.es/DOWNLOAD/ArticulosPDF/en/08articulo.pdf

Así que siendo fieles a la definición microcorte debería ser un problema eléctrico , un problema en el transporte de energía , un problema físico . ( Physical layer en OSI ) .

Para poder detectar un problema real de microcortes deberíamos utilizar un analizador como el comentado en el punto 3 .

Para el resto de problemas de red , vamos a utilizar el NETMON3.2 http://www.microsoft.com/downloads/details.aspx?FamilyID=f4db40af-1e08-4a21-a26b-ec2f4dc4190d&DisplayLang=en

Por ahora no trataremos el problema en wireless , ya que el problema de los microcortes en este ámbito se transforma en interferencias ( en un futuro articulo se trataran como Hombres Lobos ).

si alguien quiere utilizar el Wireshark:  http://www.wireshark.org/ .también puede hacerlo los dos tienen ventajas e inconvenientes , pero eso queda para otra entrada en el blog :-).

Asi que como dice Laura Chappel : “The analyzer should be the first tool used against a problematic network, not the last.”

Hablemos entonces de los otros posibles causantes , RESETs y Retransmisiones:

1º RESETs :

La manera que tiene TCP de manejar las conexiones half-open y otras situaciones problemáticas es incluir una función especial de reset.

Un reset es un segmento TCP que se envía con el Flag RST a 1, hablando de forma general un reset se envía cuando ocurre algo inesperado por TCP.

Algunos de los causas generales de un reset son :

• La recepción de un segmento TCP de cualquier dispositivo con el cual no tenemos una sesión TCP iniciada ( cualquier otro que no sea un SYN para iniciar una sesión , se entiende ;-) ).
• La recepción de un segmento TCP con un numero de secuencia invalido o incorrecto.
• Recepción de un SYN en un puerto donde no hay ningún proceso escuchando ( listener ).

Si vemos reset que no corresponde con estos casos lo mejor es capturar trazas y junto con un NETSTAT – NAO verificar que proceso esta escuchando en ese puerto. ( esto netmon 3.2 lo trae incluido )

VS  

2º Retransmisiones:

TCP inicia un temporizador de retransmisión cuando cada segmento se entrega a IP. Si no se no se ha recibido un ACK para los datos de un segmento determinado antes de que caduque el temporizador, este es retransmitido. Para las nuevas solicitudes de conexión, el temporizador de retransmisión se inicia a 3 segundos, y la petición (SYN) es reenviada hasta el valor especificado en TcpMaxConnectRetransmissions ( 2 por defecto ).. En las conexiones existentes, el número de retransmisiones es controlado por el parámetro del Registro TcpMaxDataRetransmissions (5 por defecto). El tiempo de espera de retransmisión se ajusta sobre la marcha para que coincida con las características de la conexión.

Algunos parámetros para controlar el comportamiento de las Retransmisiones ( pudiendo mejorar o empeorar J ) :

TcpMaxConnectRetransmissions

Clave: Tcpip\Parameters
Tipo del valor: REG_DWORD (número)
Intervalo válido: 0 - 0xFFFFFFFF
Valor predeterminado: 2
Descripción: este parámetro determina el número de veces que TCP retransmite una solicitud de conexión (SYN) antes de cancelar el intento. El tiempo de espera de retransmisión se duplica con cada retransmisión sucesiva en un intento de conexión concreto. El valor de tiempo de espera inicial es de tres segundos.

TcpMaxDataRetransmissions

Clave: Tcpip\Parameters
Tipo del valor: REG_DWORD (número)
Intervalo válido: 0 - 0xFFFFFFFF
Valor predeterminado: 5
Descripción: este parámetro controla el número de veces que TCP retransmite un segmento de datos individual (segmento de no conexión) antes de cancelar la conexión. El tiempo de espera de retransmisión se duplica con cada retransmisión sucesiva en una conexión. Se restablece cuando se reanuda la respuesta. El valor de tiempo de espera de base se determina de forma dinámica mediante el tiempo de ida y vuelta medido en la conexión.

Un saludo desde el cable y cuidado con los seres imaginarios…

Alberto Camina Alvarez

Técnico de Soporte Microsoft Premier

Cuando necesitamos analizar una captura de performance monitor, hay algunos cambios en la visualización que nos ayudarán en el análisis de los mismos:

• Eliminar líneas verticales que impiden ver el gráfico
• Mostrar separadores de coma
• Mostrar los identificadores de proceso
• Mostrar la línea del proceso marcado en otro color

Eliminar líneas verticales que impiden ver el gráfico

Para habilitar o deshabilitar este comportamiento:

1. Inicie Regedit.exe.
2. Busque la clave siguiente: HKEY_CURRENT_USER\Software\Microsoft\SystemMonitor
3. En el menú Edición, haga clic en Nuevo y, a continuación, en Valor DWord.
4. Escriba el valor siguiente en el cuadro Nombre: DisplaySingleLogSampleValue
5. Configure el valor como 1 si no desea ver los indicadores de línea vertical o como 0, que es la opción predeterminada, para mostrarlos.

En la herramienta Sysmon aparecen líneas verticales que impiden ver el gráfico

Antes

Después

Mostrar separadores de coma

1. Inicie el Editor del Registro (Regedit.exe).
2. Busque y haga clic en la siguiente clave del Registro:
3. HKEY_CURRENT_USER\Software\Microsoft\SystemMonitor\
4. En el menú Edición, haga clic en Nuevo y agregue el siguiente valor del Registro:
Nombre de valor: DisplayThousandsSeparator
Tipo de datos: DWORD
Datos de valor: 1
5. Salga del Editor del Registro.

Cómo mostrar separadores de coma en Monitor de sistema

Mostrar identificadores de proceso

1. Para habilitar o deshabilitar PID en nombres de los procesos, siga estos pasos:
2. Haga clic en Inicio , haga clic en Ejecutar , escriba regedit y, a continuación, haga clic en Aceptar .
3. Busque y haga clic en la siguiente subclave del Registro:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PerfProc\Performance
4. En el menú Edición , haga clic en Nuevo y, a continuación, haga clic en Valor DWORD .
5. Haga clic con el botón secundario del mouse (ratón) en Nuevo valor # 1 , haga clic en Cambiar nombre y, a continuación, escriba ProcessNameFormat para nombrar el nuevo valor.
6. Haga clic con el botón secundario del mouse (ratón) en ProcessNameFormat y, a continuación, haga clic en Modificar .
7. En el cuadro Valor de datos , escriba uno de los siguientes valores y, a continuación, haga clic en Aceptar :
• 1 : deshabilita datos PID. Este valor es el valor predeterminado.
• 2 : permite datos PID.
8. Editor del Registro de salida.

Importante Si habilita esta característica, puede no se puede supervisar información específicos de procesos mediante utilidades de terceros o programas personalizados.

El objeto Proceso en el Monitor de rendimiento puede mostrar los identificadores del proceso (PID)

Mostrar la línea de proceso en otro color

Dos opciones pulsar botón con forma de bombilla o la combinación de teclas Ctrl+Y

- Paloma García Martín

Desde el equipo de soporte nos hemos encontrado con diversos casos en los que se añaden nuevos discos a un cluster. Dichos discos se inicializan y formatean desde el Disk Manager del nodo 1 (pongamos un entorno cluster de dos nodos). Cuando se intentan ver esos discos desde el Disk Manager del nodo 2 vuelven a aparecer como no inicializados.

Esto ocurre normalmente al presentar los discos con todos los nodos del cluster levantados. Al estar levantado el servicio de cluster el driver clusdisk, que es quien se encarga de proteger los discos en un cluster, tiene el control del sistema de discos no permitiendo añadir correctamente los nuevos discos.

La forma adecuada de añadir nuevos discos en cualquiera de las versiones de Microsoft Cluster Service (MSCS) es la siguiente:

1. Hacer un failover de todos los recursos a un solo nodo

2. Apagar todos los nodos menos el que tiene los recursos

3. Deshabilitar  el servicio de cluster poniendo el arranque del servicio de cluster como Manual

4. Deshabilitar el driver cluster disk:

a. Abrir Device Manager

b. En el menú Ver, seleccionar ‘mostrar dispositivos ocultos’

c. Expandir la rama Non-Plug and Play Drivers, botón derecho sobre Cluster Disk Driver, propiedades, pestaña Driver y seleccionar Deshabilitado

5. Cerramos todas las ventanas y reiniciamos el nodo

6. Añadir los nuevos discos, inicializarlos, formatearlos y seleccionar las unidades

7. Habilitar de nuevo el clusdisk

8. Poner el servicio de cluster en automático

9. Apagar el nodo

10. Para asegurarnos que los discos tienen la misma letra en todos los nodos (recomendable por temas administrativos), arrancar el otro nodo y repetir los pasos del 3 al 9 (no habrá que formatear otra vez el disco; Para agilizar, se puede deshabilitar tanto el servicio de cluster como el clusdisk antes de apagar el nodo en el paso 2).

11. Arrancar el nodo 1

12. Una vez arrancado, arrancar el nodo 2

Hay artículos interesantes de la Knowledge Base que se pueden consultar:

890549  You cannot format a shared cluster hard disk volume, and you receive "The format did not complete successfully" error message in Windows Server 2003

http://support.microsoft.com/default.aspx?scid=kb;EN-US;890549

257937  HOW TO: Format an Existing Partition on a Shared Cluster Hard Disk

http://support.microsoft.com/default.aspx?scid=kb;EN-US;257937

929275  A new disk resource from a SAN or from an iSCSI storage device does not appear in the Disk list on a Windows Server 2003-based server cluster

http://support.microsoft.com/default.aspx?scid=kb;EN-US;929275

Si tenéis cualquier problema a la hora de realizar este procedimiento, desde soporte siempre estaremos encantados de ayudaros.

Un saludo,

Rafael Basterra Careaga
Platforms Support Engineer

Seguro que alguna vez os habéis enfrentado a la tarea de abrir wmimgmt.msc y cambiar la seguridad. El procedimiento no es difícil, y está documentado en perfecto castellano (ver artículo más abajo), pero si esto lo tenemos que repetir en cientos de equipos, la cosa se vuelve más tediosa.

http://support.microsoft.com/kb/325353/es

Para facilitar esta tarea utilizaremos el script de ejemplo siguiente:

Pasos a seguir

1.- Configurar manualmente un equipo con el procedimiento habitual

CÓMO: Configurar la seguridad del espacio de nombres WMI en Windows Server 2003

2.- Crear un vbs en el equipo conteniendo el código del script de ejemplo

3.- Desde una ventana de comandos ejecutaremos lo siguiente “cscript permwmi_vbs.vbs”

Una vez le suministremos el nombre namespace del que vamos a copiar los permisos, este generará un fichero de salida llamado SetNamespaceSDScript_vbs.txt

Ejemplo de SetNamespaceSDScript_vbs.txt generado:

Set objSecurity=GetObject("WinMgmts:{impersonationLevel=impersonate}!root:__SystemSecurity=@") strSD = Array(1,0,4,129,148,0,0,0,164,0,0,0,0,0,0,0,20,0,0,0,2,0,128,0,5,0,0,0,0,2,24, 0,63,0,6,0,1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0,0,2,20,0,19,0,0,0,1,1,0,0,0,0,0,1,0,0,0,0,0, 2,20,0,19,0,0,0,1,1,0,0,0,0,0,5,19,0,0,0,0,2,20,0,19,0,0,0,1,1,0,0,0,0,0,5,20,0,0,0,0,0, 36,0,1,0,0,0,1,5,0,0,0,0,0,5,21,0,0,0,113,186,132,153,107,218,182,220,46,52,126,188, 242,3,0,0,1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0,1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0) ret = objSecurity.SetSD(strSD) wscript.Echo "__SystemSecurity.SetSD() completed : Return Code = " & ret

4.- Ya con el fichero anterior, solo nos faltaría renombrar el fichero a .vbs, distribuirlo y ejecutarlo en los equipos donde deseemos cambiar los permisos.

¿Fácil no?

- Paloma García Martín

Soporte Microsoft Premier

Hola. Soy Paula de nuevo. Hoy quería comentaros que nuestros compañeros de Soporte MS a Directorio Activo de Estados Unidos tienen blogs muy interesantes y de gran calidad que merece la pena leer y agregar a vuestros lectores RSS:

•  Ask the Directory Services Team: http://blogs.technet.com/askds
• Tim Springston's Active Directory Blog: http://blogs.technet.com/ad/

Podéis encontrar un enlace a estos blogs también en la barra lateral de nuestro blog. 

 Como los blogs están en inglés, si tenéis algún problema, podéis usar el traductor online de Windows Live :):

• Ask the Directory Services Team en español
• Tim Springston's Active Directory Blog en español

 - Paula Tomás Galed

Si queréis ampliar esta información para Windows XP en el blog de los compañeros de Deploy tenéis un Post muy amplio donde se trata este tema en profundidad

http://blogs.technet.com/deploymentguys/archive/2008/02/18/configuring-default-user-and-computer-settings-for-windows-image-deployment.aspx

Opción de CopyProfile para Windows Vista

Con la llegada de Windows Vista ya no es recomendable modificar ntuser.dat para personalizar el perfil del usuario por defecto en la generación de una imagen con Sysprep para desplegar en su entorno.

Sysprep realiza una serie de modificaciones en el perfil que no están documentadas lo que hace poco fiable este método.

Se deben seguir los siguientes pasos para emplear CopyProfile en el fichero Unattend.xml para establecer un perfil de usuario personalizado con Sysprep:

Log on como un usuario cuyo perfil pueda modificar (por ejemplo, la cuenta integrada de administrador).

Realice las modificaciones que desee en el perfil.

Establezca el valor de CopyProfile a true en el fichero Unattend.xml que va aa emplear con Sysprep en el próximo paso.

Ejecutar sysprep /generalizeunattend:unattend.xml para copiar el user profile con las modificaciones sobre el default user profile.

Todas las cuentas que sean creadas a continuación tendrás las modificaciones que se han establecido. Para más detalles sobre Sysprep, revisar el Sysprep Technical Reference en el Windows OEM Preinstallation Kit (Windows OPK) User's Guide. (Opk.chm).

Esta opción no copia el built-in administrador profile a menos que este sea el usuario actualmente logado en la máquina.

Nota

La opción CopyProfile unattend es procesada únicamente en el paso generalize del proceso de instalación de  Windows , se debe emplear Sysprep con la opción /generalize.

Nota

Si se captura una imagen después de que la fase generalize de la instalación de Windows ha completado (esto es, tras es paso 4) Y se usa esta imagen para instalar Windows con un fichero de respuesta Unattend.xml en el Setup.exe, entonces las opciones incluidas en Unattend.xml deben tener CopyProfile esablecido a true, de otra forma no será copiado sobre el default user profile.

Importante

El perfil de la cuenta built-in administrator es eliminado cuando ejecutas una instalación limpia de Windows Vista, o se ejecuta la herramienta Sysprep.

El modificador CopyProfile es procesado antes de que el la cuenta built-in administrator sea borrada, así cualquier modificación realizada debe aparecer en el nuevo perfil generado, incluyendo el perfil de la cuenta built-in administrator.

Valores

true

Especifica que el perfil del usuario actualmente logado es copiado como perfil por defecto en el proceso Sysprep.

Establecer a true solo si han hecho modificaciones en el usuario logado y se quieren aplicar estas modificaciones a todos los nuevos usuarios.

false

Especifica que el perfil del usuario actualmente logado no es copiado. Este es el valor por defecto.

Momento en que se aplica

specialize

Parent Hierarchy del fichero xml

Microsoft-Windows-Shell-Setup | CopyProfile

Aplica a los siguientes sistemas.

http://technet.microsoft.com/en-us/library/cc766375.aspx

Ejemplo en XML

La siguiente salida XML especifica que el perfil de usuario actualmente logado será copiado.

Copy Code

<CopyProfile>true</CopyProfile>

También se pueden controlar los perfiles del usuario, opciones de carpeta, … a través de las nuevas GPOs de W2K8, pero eso lo trataremos en otra entrada.

Raúl del Moral

Soporte Microsoft Premier.

Os presentamos algunas de las opciones que tenemos para poder solucionar cuando aparece la lista con los Writers de Shadow Copy de la máquina en blanco.

Una de las tareas que debemos intentar a la hora de solucionar problemas relacionados con VSS es ejecutar el comando:

VSSADMIN LIST WRITERS

Si la salida de dicho comando es una lista vacía, lo más seguro que tengamos problemas con las herramientas de backup que se apoyen en los componentes de VSS.

Si estamos en esa situación, y nuestra máquina tiene un procesador x64 los pasos siguientes nos pueden servir para regenerar esta lista:

1. Hacer clic en el botón Inicio, clic en Ejecutar, y luego teclear REGEDIT para abrir el editor del registro, y luego clic en Aceptar.

2. Encontrar y hacer clic sobre la siguiente rama: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\{26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions

3. En el menú Edición, hacer clic en Eliminar, y luego clic en Si para confirmar que la queremos eliminar. Siempre que operamos con el registro es bueno antes de eliminar cualquier valor o rama que exportemos en un archivo .reg para poder usarlo, si queremos volver sobre nuestros pasos.

4. Salir del editor del registro.

5. De nuevo clic en botón Inicio, clic en Ejecutar, teclear SERVICES.MSC y luego clic en el botón Aceptar. Con esto se abrirá la consola de servicios

6. Clic con el botón derecho en cada uno de los siguientes servicios y en el menú elegir Reiniciar. Con esto se irá regenerando la información en la rama borrada previamente:

     Sistema de sucesos COM+    

     Aplicación de sistema COM+         

     Microsoft Software Shadow Copy Provider       

     Instantáneas de Volumen

7. Clic en el botón Inicio, clic en Ejecutar, y teclear CMD, y luego clic en Aceptar.

8. En el símbolo de sistema, teclear el siguiente comando VSSADMIN LIST WRITERS, y luego presionar INTRO.

9. SI ahora los writers de VSS son listados, cerrar la ventana del símbolo de sistema y no continuar con los siguientes pasos. Si no son listados no cerrarla y teclear los siguientes comandos:

(Es importante situarse en el directorio SYSTEM32, que aunque su nombre puede llevar a equívocos con otro directorio llamado SYSWOW64, en el directorio SYSTEM32 se encuentran los componentes de 64 bits, y en el SYSWOW64 los de 32 bits)

cd /d %windir%\system32           

net stop vss      

net stop swprv                

regsvr32 ole32.dll           

regsvr32 oleaut32.dll    

regsvr32 vss_ps.dll        

vssvc /register

regsvr32 /i swprv.dll     

regsvr32 /i eventcls.dll

regsvr32 es.dll

regsvr32 stdprov.dll      

regsvr32 vssui.dll            

regsvr32 msxml3.dll      

Regsvr32 msxml4.dll

Net start " Sistema de sucesos COM+"

Después de registrar los componentes de VSS podemos probar de nuevo el comando:

VSSADMIN LIST WRITERS

Esta vez es probable que sean mostrados, sino es repetir los pasos del 1-8.

Espero que la información comentada os sirva en algún caso que os encontréis en esta situación.

Francisco Fraile

Técnico de Soporte de Microsoft Premier

Para la investigación y resolución de problemas que nos puedan surgir en nuestros Windows Server Core, utilizaremos las herramientas disponibles desde línea de comandos, y de manera remota herramientas tradicionales como pueden ser el visor de eventos o el monitor de rendimiento.

Logs de eventos

A pesar que la consola tradicional no se encuentra disponible en Windows Core, el subsistema de eventos que gestiona estos es el mismo que el incluido en las instalaciones completas de Windows Server 2008. Para ver los eventos tenemos dos métodos:

• De manera remota, utilizando la consola eventvwr.msc desde equipos con sistema operativo Windows Vista o Windows Server 2008.

Para poder utilizar esta opción es preciso modificar las reglas del firewall y habilitar “Remote Event log Management (RPC)” en el Server Core.

• Localmente utilizando la herramienta wevtutil.exe. Esta herramienta nos permitirá, visualizar, crear consultas, archivar, ordenar y limpiar los visores de eventos.

Ejemplos de uso común:

• Listar todos los logs de eventos disponibles

• Exportar el visor de eventos de sistema a un fichero de texto

• Crear un fichero de texto con los últimos 100 eventos del log de aplicación

 Monitorización del rendimiento

Aunque no disponemos de la consola gráfica, el subsistema de rendimiento es el mismo que el contenido en instalaciones completas de sistema operativo.

Si necesitamos monitorizar el rendimiento del sistema, tenemos dos opciones:

• Remotamente, utilizando la consola gráfica desde un equipo Windows Vista o 2008.
• Localmente, mediante el uso de las siguientes herramientas de línea de comandos:

Logman.exe

Lo más común y sencillo es crear una plantilla “Data Collector” utilizando la consola gráfica en un servidor con Windows server 2008 completo o Windows Vista, para posteriormente proceder a importar está utilizando logman.exe

Logman import –n <nombre> -xml <nombre fichero>

Donde:

• <nombre> = nombre que le daremos al “Data Collector Set”
• <nombre fichero> = nombre de la plantilla que estamos importando

Una vez importada la plantilla, solo nos queda poner en marcha el “Data Collector set”

Logman start <nombre>

Para listar el conjunto de “Data Collector set” configurados en el equipo utilizaremos

logman query

Todos los logs de rendimiento se crearán en la ruta %systemdrive%\PerfLogs

Typeperf.exe

Con esta herramienta podremos realizar las siguientes tareas:

• Escribir datos de rendimiento por línea de comandos o ficheros de log con formatos csv, tsv, bin o sql.
• Mostrar todos los contadores actualmente disponibles en el equipo local o uno remoto.

Sintaxis:

typeperf { <counter [counter ...]>

                                | -cf <filename>

                                | -q [object]

                                | -qx [object]

                                } [options]

 

- Paloma García Martín

Hola!

Soy Gastón Gardonio y les dejo un video detallando la instalación de System Center Configuration Manager 2007.

Aquí podrán ver los requerimientos del SCCM 2007, aspectos de la migración de SMS 2003 a SCCM 2007 y características de la nueva versión.

También se comenta en detalle que modificaciones se hacen en el Active Directory y como realizarlas.

Y por ultimo un paso a paso detallado y explicado de cómo realizar la instalación.

Creo que vale la pena para aquellos que desean migrar de SMS 2003 y para aquellos que ya poseen SCCM 2007 pero desean saber que se realiza durante la instalación.

El video esta disponible en:

http://content4.catalog.video.msn.com/e2/ds/alt-es-es/ALTESES_TECHNET/ALTESES_TECHNET_PG/9631270b-bbc8-4480-9ab9-ca6cde64811f.wmv

Pronto volveré con mas presentaciones.

Saludos

Gastón Federico Gardonio

Técnico de Soporte Microsoft Premier España

Format: wmv
Duration: 20:33

Hola a todos. Soy Paula, del equipo de Directorio Activo. Hoy trataremos sobre cómo configurar una relación de confianza de tal manera que podamos restringir qué usuarios acceden a qué recursos.

La manera de restringir el acceso a recursos de un dominio a determinados usuarios de otro dominio con el que se tiene una relación de confianza externa (external trust) o de bosque (forest trust) es configurando dicha relación de confianza para que realice una Autenticación Selectiva. La siguiente imagen procedente de aqui muestra gráficamente la diferencia en el acceso a los recursos dependiendo del tipo de autenticación que se configure (en todo el dominio/bosque o selectiva):

Autenticación en todo el dominio/bosque:

Autenticación selectiva:

Sólo puede habilitarse este tipo de autenticación en relaciones de confianza de bosque o externas. En el caso de una relación de confianza de bosque, el bosque donde residen los recursos (trusting forest) debe tener el nivel funcional del bosque establecido a Windows Server 2003. Si la relación es externa, el dominio donde residen los recursos (trusting domain) debe tener el nivel funcional del dominio establecido a Windows Server 2000 nativo.

Para habilitar la Autenticación Selectiva pueden seguirse estos pasos con un usuario que sea miembro del grupo Domain Admins del dominio (del dominio root si es una relación de confianza de bosque) o Enterprise Admins:

1. Abrir la consola Dominios y Relaciones de confianza de Directorio Activo
2. Hacer click derecho sobre el nodo del dominio que tiene la relación de confianza (si es un forest trust, el nodo será el dominio raíz del bosque) y seleccionar Propiedades
3. En la pestaña Confía, seleccionar la relación de confianza que queramos configurar y hacer click sobre el botón Propiedades
4. En la pestaña Autenticación, seleccionar Autenticación Selectiva

Para que un usuario de un dominio en el que se confía (trusted) pueda acceder a los recursos del dominio que “confía” (trusting) con este tipo de autenticación es necesario dar permisos explícitos a los usuarios del dominio trusted en los recursos determinados del dominio trusting a los que se quiera dar acceso. Este permiso se configura en Directorio Activo en las propiedades del objeto Computer del servidor de recursos concreto y se denomina Allowed to Authenticate (Permitido Autenticarse).

1. Abrir la consola Usuarios y Equipos de Directorio Activo del dominio donde se encuentra la máquina con el recurso al que los usuarios del otro dominio deben acceder
2. Hacer click derecho sobre la cuenta de máquina y seleccionar Propiedades
3. En la pestaña Seguridad, otorgar el permiso de Permitido Autenticarse

Si la relación de confianza que se establece entre dos dominios es unidireccional, para poder agregar a los usuarios del dominio trusted a la seguridad de la cuenta de máquina del servidor a través de la consola de Usuarios y Equipos de Active Directory, se solicita un usuario con permisos para realizar consultas en el dominio trusted. El artículo KB 263956 (You cannot browse users in a trusted domain) describe este escenario y especifica que se necesita un usuario del otro dominio para poder realizar las búsquedas en el dominio trusted  desde el dominio trusting cuando existe una relación de confianza de un solo sentido. Para esta operación es suficiente con un Domain User.

Los artículos que recopilan la información sobre Selective Authentication y el permiso Allowed to Authenticate que hay que darle a los usuarios del dominio en el que se confía son los siguientes:

Enable selective authentication over an external trust

Grant the Allowed to Authenticate permission on computers in the trusting domain or forest

Información interesante sobre consideraciones de seguridad a tener en cuenta a la hora de establecer una relación de confianza y sobre cómo funciona, cómo afecta a los DCs y qué ventajas presenta en cuanto a seguridad una Relación de Confianza con Autenticación Selectiva:

Más información sobre Relaciones de Confianza:

How Domain and Forest Trusts Work

Tener acceso a los recursos entre bosques

- Paula Tomás Galed

Desde el equipo de Consulta con el equipo de Windows estamos en contacto con nuestros compañeros de LATAM para coordinar esfuerzos en la publicación de información que pueda resultar interesante.

No queremos duplicar esfuerzos, por lo que desde nuestros POST haremos referencia a sus publicaciones relacionadas con la tecnología, y ellos harán lo mismo en contrapartida.

Por esto os recomendamos visitarles para tener acceso a toda la información en castellano (ellos también publican en otros idiomas como el portugués).

Os adjunto el acceso por si queréis revisar la información que publican y os resulta de utilidad.

Blog de LATAM

Saludos.