Hola a todos

El próximo día 28 de mayo de 16:00 a 17:30 estaré participando en el siguiente Webcast:

APP-V 5.0 y la integración con SCCM 2012 SP1

• Overview de APP-V 
• Beneficios tiene y en que escenarios aplica el producto
• Novedades de la versión 5.0
• Overview rápido de los cambios que hay en SCCM 2012 SP1
• Beneficios al integrar APP-V con SCCM 2012.

Podéis registraros gratuitamente en

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032543221&Culture=es-ES&community=0

Un Saludo

Raúl del Moral

Hola,

Últimamente han surgido varias consultas sobre el nuevo método de arranque de los fabricantes, UEFI, y su integración e impacto sobre Configuration Manager.

Configuration Manager se ve impactado por esta tecnología sobre todo en la parte de PXE, se precisa un cambio en la lógica y ficheros del arranque, para que dispositivos con UEFI en modo nativo sean capaces de arrancar por PXE, descargar los ficheros de arranque correctos y comenzar con el despliegue, previamente a tener disponible el ADK Windows Assessment and Deployment Kit (Windows ADK).

Esto se debe a que UEFI modifica la forma de arrancar el hardware, la configuración de disco del hardware, y otros componentes, lo que precisa de un modo diferente de acceso al sistema de arranque, con lo que todo ocurre antes de que el sistema operativo se encuentre disponible, que es la parte que nosotros podemos controlar.

Por esto, hasta que no se ha tenido disponible System Center Configuration Manager 12 SP1, en el cual se ha integrado ADK, no se ha tenido un pleno soporte a esta solución, siendo la opción disponible el arranque del dispositivo en modo BIOS-Compatibility Mode.

En caso de no ser así se puede recibir el mensaje "PXE-E16: No offer received", entre otros eventos.

A continuación adjunto algunos links que amplían esta información.

Information about UEFI support in Configuration Manager:

http://technet.microsoft.com/en-us/library/jj591552.aspx#BKMK_WhatsNewSP1_Clients
Changes to task sequence:
◦ The default task sequences were changed to optimize the deployment of operating systems starting with Windows 7.
◦ Support for computers that are in Unified Extensible Firmware Interface (UEFI) mode. The task sequence sets the SMSTSBootUEFI built-in task sequence variable when it detects a computer that is in UEFI mode.
◦ The default task sequence automatically partitions the computer based on whether it was booted in UEFI mode or BIOS mode (conditioned based on the value of the _SMSTSBootUEFI variable).
http://technet.microsoft.com/en-us/library/jj938037.aspx
UEFI-based computers: Before you install Windows 8 on a UEFI-based computer, note the following.
◦ All computers that are certified for Windows 8 use firmware that meets the UEFI specifications.
◦ For some computers, you might have to perform additional steps to make sure that Windows is installed in UEFI mode, and not in legacy BIOS-compatibility mode. It is not supported to switch from legacy BIOS-compatibility mode to UEFI mode by using a task sequence. For more information, see How to Switch from BIOS-Compatibility Mode to UEFI Mode.
◦ Some computers might support UEFI. However, they do not support a PXE-initiated boot when in UEFI mode. To provision these computers in UEFI mode, you must start them from boot media instead of using PXE. If the computer performs a PXE-initiated boot, Configuration Manager detects that the computer is in BIOS mode and therefore provisions the computer as such. For more information about how to create boot media, see the How to Create Bootable Media section in the How to Deploy Operating Systems by Using Media in Configuration Manager topic.
◦ UEFI and BIOS have different disk partitioning requirements. UEFI hard disks require the GUID partition table (GPT) partition structure, instead of the master boot record (MBR) partition structure that is used in BIOS. When you use a task sequence to deploy Windows 8, the task sequence detects whether the computer was started in UEFI mode or BIOS-compatibility mode, and the task sequence configures the partitions on the hard disk to accommodate the associated requirements.

Un Saludo

Raul del Moral

Hola a todos,

Frecuentemente recibimos esta pregunta sobre cómo configurar autenticación 802.1x para dispositivos que carecen de suplicante 802.1x.

Desde el punto de vista de administración de uno (o múltiples) switches, es mucho más sencillo habilitar la autenticación en todos los puertos que realizar un inventariado de equipos "802.1x ready" por nuestra infraestructura.

(Obviamente siempre habrá excepciones a esto, como el caso de los puertos del switch asignados a servidores por ejemplo)

Ante esta situación siempre se plantea la misma cuestión: ¿Qué pasa con las impresoras de red/teléfonos IP/etc. que carecen de suplicante 802.1x?

La solución típica a esto es realizar la autenticación utilizando la dirección física MAC como usuario y contraseña.

Esta opción ofrece cierta flexibilidad, ya que toda la configuración necesaria se realizará desde el lado del servidor RADIUS (el NPS en nuestro caso).

Los pasos necesarios serían los siguientes:   

 1. Política de contraseñas en el servidor NPS del tipo user:MAC/pass:MAC   
   
Configurar, a través de las políticas locales en el servidor NPS, las políticas de contraseña
de tal forma que nos permita crear usuarios cuyo username y password sean el mismo
valor.

Configuring Password Policies

http://technet.microsoft.com/en-us/library/dd277399.aspx

 2. Cambiar el dominio por defecto para el servicio NPS
    

Para ello, configuraremos la clave de registro DefaultDomain descrita en el siguiente artículo:

(Esta clave aplica a todos los sistemas operativos servidor desde Windows Server 2003 a Windows Server 2012)

HOW TO: Change the default domain that is used by the Routing and Remote Access Service or by IAS to authenticate users

http://support.microsoft.com/kb/826158  

En este punto, estableceremos el nombre de máquina del servidor NPS como dominio.

De esta manera, el servidor NPS utilizará por defecto su base de datos local SAM para validar cualquier petición de autenticación.

NOTA: Esta configuración en ningún caso interferirá con el resto de autenticaciones que reciba, típicamente con el protocolo EAP-TLS o con PEAP-MSCHAPV2.

En ambos casos, la información del dominio de cada usuario "viajará" como parte de la petición de autenticación.  Por tanto, siempre que el NPS sea capaz de localizar el dominio correspondiente, el resto de autenticaciones funcionará de manera correcta. 
 

Un ejemplo, para los mensajes EAP: Identity Response enviados por un cliente Windows sería:

               Credenciales de usuario:  user@dominio.com

               Credenciales de equipo:  host\dominio.com

3. Creación de cuentas user:MAC / pass:MAC locales en el servidor NPS

Por último, será necesario agregar las cuentas de usuario correspondientes (con el formato
u: MAC/ p: MAC) para cada dispositivo en la base de datos local SAM del servidor NPS.

Espero que esta información os haya sido útil.

Un saludo y hasta la próxima!

Javier Rama

Hola a todos,

 Soy Paula Tomás, del equipo de Directorio Activo. Hoy hablaremos sobre algunas de las recomendaciones a la hora de elegir un espacio de nombres DNS para nuestro bosque de Directorio Activo. Como sabemos, el nombre del dominio raíz del bosque es también el nombre del bosque. Se trata de un nombre DNS que consta de un prefijo y un sufijo en la forma prefijo.sufijo. Por ejemplo, podemos tener una organización con un nombre de bosque corp.contoso.com, donde corp es el prefijo y contoso.com el sufijo.

A la hora de elegir el sufijo para nuestro Directorio Activo recomendamos elegir un nombre DNS que haya sido registrado con una Internet Authority. Por otra parte, en la elección del prefijo será necesario seleccionar uno que no haya sido ya utilizado en nuestra red. Hay que tener en cuenta que no recomendamos utilizar nombres DNS de etiqueta única (o single-label) ni utilizar prefijos no registrados, tales como .local.

Algunas pautas para la elección del prefijo:

Para la elección de prefijo+sufijo será necesaria una estrecha colaboración con los administradores de DNS de la organización para garantizar la unicidad e idoneidad de los nombres elegidos en la misma.

Estas recomendaciones tienen por objeto por un lado a unicidad de nombre interno a la hora de elegir un prefijo, y la unicidad de nombre de dominio en Internet como sufijo por otro. Al seguir estas pautas se asegura la correcta resolución de nombres basada en DNS tanto internamente como externamente.

En el siguiente enlace se puede encontrar información adicional sobre la nomenclatura recomendada por Microsoft a la hora de crear nuevos Bosques en el entorno de Directorio Activo: Selecting the Forest Root Domain.

A continuación varios enlaces interesantes sobre el tema:

Assigning the Forest Root Domain Name

Add your domain to Office 365

Namespace planning for DNS

Un saludo,

Paula Tomás Galed

 
Hola a todos  

En un post anterior os hablamos sobre problemas de comunicación SSL a raíz de instalar la actualización  KB931125 a finales del año pasado.

Como mencionamos en su momento, Windows Server 2012 trae algunas novedades con respecto al tema de la configuración de certificados para SSL.

Con esta nueva funcionalidad, SSL Certificate Hints, tenemos ahora más opciones para configurar y controlar la lista de entidades certificadoras (CAs) que se devuelven a los clientes durante el intercambio (handshake) SSL

IIS y autenticación cliente    

Durante una conexión a una página SSL, un servidor IIS puede requerir que el cliente se autentifique a través de un certificado, y envía al cliente una lista de las CAs en las que confía.

Si el cliente dispone de un certificado (válido) emitido por una de las CAs de la lista enviada por el servidor, se lo envía al servidor para que éste le autentifique.

Certificate Hints nos permite ahora controlar aún más esta lista.

Comportamiento Pre-Windows Server 2012    

En versiones anteriores de Windows Server, el servidor envía todos los certificados de su almacén raíz de confianza durante el intercambio SSL  (hasta el límite de 16k de Schannel descrito en nuestro post anterior).

Algunos métodos para limitar esto incluían:

· Eliminar certificados no esenciales del almacén de confianza en el servidor

· Crear una lista de certificados de confianza (Certificate Trust List/CTL)
  con sólo las CAs Raiz deseadas e introducir esta CTL en los
  bindings http del servidor web a través del comando Netsh

Novedad: Comportamiento Windows Server 2012

Con Windows Server 2012, los certificate hints de cliente ahora nos permiten configurar CAs raíz, intermedias y emisoras.

Podemos:

· Definir los certificados CA enviados a los clientes para ayudarles a
  determinar con qué certificado intentar validarse.

· Definir los certificados CA utilizados por el servidor para validar los
  certificados cliente 

Hay 3 opciones de configuración:

·  Per-binding
   Podemos crear y definir almacenes de certificados en el
   equipo con Windows Powershell, e importar una lista  restringida de los
   certificados CA que elijamos para ser enviados a los clientes durante el
   intercambio SSL y para validar los certificados cliente. Utilizamos Netsh
   para añadir el nuevo almacén a los bindings del servidor web
    

·  Almacén de certificados de equipo específico para SSL        
   La instalación de Windows Server 2012 crea un nuevo almacén de
   certificados específicamente para los certificate hints de cliente
   llamado Emisoras de autenticación de cliente (Client Authentication
   Issuers). Viene vacío por defecto, pero si importamos certificados
   CA aquí, serán éstos que envíe y utilice el servidor durante el
   intercambio /validación SSL a nivel de todo el equipo, salvo que este
   configurado un almacén de certificados per-binding

·  Almacén de emisoras raíz de confianza del equipo
   Almacén de CAs raíz de confianza con el mismo comportamiento que en
   versiones anteriores de Windows Server, en caso de no configurar algunos
   de los 2 tipos anteriores

(Nota: Aunque los podemos seguir utilizando, en Server 2012, ya no se recomienda el uso de CTLs para limitar los certificados raíz en el intercambio SSL)  

Orden de preferencia de las configuraciones

Windows Server 2012 tiene preferencias en cuanto al orden en el que procesa cada una de las configuraciones anteriormente citadas. Este orden de preferencia nos permitiría utilizar una combinación de configuraciones “per-binding” y específicas a los almacenes:

1.       Per-binding, con una CTL definida

2.       Per-binding con un almacén específico definido

3.       Almacén de Emisoras de autenticación de cliente (Client
          Authentication Issuers )

4.       Almacén de Emisoras Raíz de Confianza (Trusted Root Certificate
          Authorities)

Notificación de cambios

Los almacenes Emisoras de autenticación de cliente y Emisoras Raíz de Confianza  proporcionan notificación de cambios a los bindings de los sitios web que los utilicen, a diferencia de los almacenes creados “per-binding” que NO notifican de cambios.

En caso de añadir a o eliminar un certificado del almacén per-binding, será necesario reiniciar el sitio web correspondiente para que se efectúen los cambios.

Gracias y hasta la próxima!

Tolu Igbon

Hola a todos

En  post anteriores os comentábamos las novedades de SMB 3.0, en este post os vamos a hablar de las distintas versiones de SMB y de como habilitarlas en Windows Server 2012

En la siguiente tabla podemos ver las versiones que se usan dependiendo del sistema operativo del cliente y del servidor:

En Windows Server 2012 podemos habilitar o deshabilitar los distintos protocolos SMB mediante comandos Powershell, evitando así tener que modificar claves de registro:

·         Para ver la configuración actual:

·         Para deshabilitar SMB1:

·         Para deshabilitar SMB2/SMB3:

·         Para habilitar SMB1:

·         Para habilitar SMB2/SMB3:

Un saludo

Arancha Alvarez Sierra

Hola a todos,

En bastantes ocasiones nos habéis hecho llegar las dudas con respecto a la posibilidad de renombrar los Controladores de Dominio y las implicaciones de dicha acción.

Desde Windows 2003 existe la posibilidad de renombrar los Controladores de Dominio de una manera sencilla, o bien desde la pantalla de “Propiedades del Sistema” o mediante la herramienta netdom. Para que el “nuevo” nombre sea utilizado hay que reiniciar el equipo. Durante el reinicio, se llevaran a cabo las actualizaciones de los registros necesarios en DNS mediante los diferentes servicios encargados de dicho proceso.

Sería lógico pensar que en este punto que el proceso estaría completado aunque en realidad no es así. Nos falta un punto muy importante que debe ser realizado manualmente, renombrar los objetos relativos a FRS o DFSR haciendo referencia al nuevo nombre de DC.

Por otra parte, hay que tener en cuenta, que si el Controlador de Dominio es un Entidad Certificadora habría que desinstalar el componente antes de poder renombrar el DC. En este punto, y para mantener la infraestructura PKI existen, será necesario planificar el movimiento de la CA a un nuevo equipo antes de renombrar el DC. En el siguiente enlace se detalla dicho proceso:

Move a CA to a Different Computer

http://technet.microsoft.com/en-us/library/cc755153(v=WS.10).aspx

En el siguiente enlace se puede encontrar la información detallada de los pasos a seguir para completar el proceso de renombrado de DCs:

Renaming a Domain Controller

http://technet.microsoft.com/en-us/library/cc794951(v=ws.10)

If you want to use Netdom, the domain functional level must be set to Windows Server 2003 or Windows Server 2008.

To complete this task, use one of the following two sets of procedures:

1.Rename a Domain Controller Using System Properties

2.Update the FRS or DFS Replication Member Object - http://technet.microsoft.com/en-us/library/cc794759(v=ws.10)

Or

1.Rename a Domain Controller Using Netdom

2.Update the FRS or DFS Replication Member Object- http://technet.microsoft.com/en-us/library/cc794759(v=ws.10)

Un saludo,

Yolanda Muñoz

Hola a todos,

Windows 8 y Windows Server 2012 introducen una nueva versión del protocolo SMB, con múltiples mejoras. Vamos a recapitular primero cuáles son las distintas versiones que tenemos:

• SMB 1.0 (o SMB1) – Esta es la versión que se usa en Windows 2000, Windows XP, Windows Server 2003 y Windows Server 2003 R2
• SMB 2.0 (o SMB2) – Esta versión fue introducida en Windows Vista (SP1 o superior) y Windows Server 2008
• SMB 2.1 (o SMB2.1) – Esta es la versión empleada en Windows 7 y Windows Server 2008 R2
• SMB 3.0 (o SMB3) – La nueva versión introducida en Windows 8 y Windows Server 2012

A continuación os detallamos las mejoras que introduce este nuevo protocolo:

Un saludo

Arancha Alvarez Sierra

Si queremos desplegar el  KB2775511 (Update rollup package para  Windows 7/Windows Server 2008 R2 ) con ConfigMgr o WSUS debemos tener en cuenta que este no se publicara de forma automática en estas herramientas.

Se trata de un  limited release hotfix rollup, por lo que no se publica automáticamente en WSUS, sino que se precisa importar el update metadata desde el  Windows Update catalog en tu WSUS o el SUP en ConfigMgr, ya que puede que no aplique a todos los entornos este update no se sincroniza automáticamente con tu WSUS/SUP.

Las instrucciones para la importación están disponibles en:

http://technet.microsoft.com/en-us/library/cc708583(v=ws.10).aspx

Un saludo, Raul del Moral

Hola a todos,

Esta vez os pasamos una nota sobre la disponibilidad de un nuevo rollup para Windows 7 SP1 y Windows Server 2008 R2. Se trata de un compendio de 90  actualizaciones generadas tras el Service Pack 1 de estos Sistemas Operativos.

2775511               An enterprise hotfix rollup is available for Windows 7 SP1 and Windows Server 2008 R2 SP1

Estas actualizaciones proporcionan una mejora general del rendimiento del sistema y su instalación es recomendada como parte de la rutina de mantenimiento regular.

Es muy recomendable la aplicación del rollup en los casos donde nos encontremos arranques de máquina o inicios de sesión “lentos”, ya que se ha comprobado en la mayoría de los casos una mejora sustancial en los tiempos tras su instalación.

Un saludo,

Paula Tomás Galed

Hola a todos,

Una pregunta muy común que recibimos en soporte es la de saber qué infraestructura de PKI (y cuántos certificados) es necesaria para realizar un despliegue de una red wireless con 802.1x en un entorno corporativo.

La respuesta a esta pregunta está completamente ligada al método EAP (Extensible Authentication Protocol) seleccionado para realizar la autenticación 802.1x.

Los sistemas operativos cliente (Windows XP, Windows Vista, Windows 7 y Windows 8) soportan de manera nativa los siguientes:

- EAP-TLS

- PEAP MS-Chapv2

- PEAP EAP-TLS

- EAP-TTLS  (solo en Windows 8 de manera nativa al sistema operativo)

Mientras que por otro lado, el servicio RADIUS de Microsoft (IAS en Windows Server 2003 y NPS en Windows Server 2008/R2 y 2012) soporta estos otros:

- EAP-TLS

- PEAP MS-Chapv2

- PEAP EAP-TLS

Nota:  Existen más métodos EAP disponibles a través de software de terceros. La información presentada en este post corresponde a los protocolos implementados en el sistema operativo, que son los soportados oficialmente por Microsoft.

Por tanto, los requisitos de certificado en función del protocolo utilizado serían:

* Necesario siempre y cuando tengamos habilitada la opción de Validar el certificado del servidor en las opciones del perfil 802.1x que tengamos configurado:

** En caso de tratarse de una CA basada en Windows Server, se recomienda utilizar una copia de la plantilla RAS and IAS Servers disponible entre la colección de plantillas de la entidad certificadora.  

Podéis encontrar más información en el siguiente enlace:

                NPS Server Certificate: Configure the Template and Autoenrollment

                http://technet.microsoft.com/en-us/library/cc754198.aspx

Por último, hacemos referencia al artículo que explica en profundidad todos los requisitos (tanto certificados cliente como servidor) que han de tener los certificados a la hora de utilizar estos protocolos:

 Certificate requirements when you use EAP-TLS or PEAP with EAP-TLS

http://support.microsoft.com/kb/814394

Esperamos que esta información os sirva de ayuda :)

Un saludo,

Javier Rama

Tras la aparición del SP1 de Configuration Manager SP1 se están produciendo un gran número de incidencias en soporte, aparte de los profundos cambios que introduce en  Configuration Manager debemos tener en cuenta las características especiales que puede tener nuestro entorno y que pueden provocar situaciones inesperadas que afecten al comportamiento del producto en producción.

Esto hace que la instalación del SP1 no sea algo sencillo como lanzarnos a la instalación y finalizar el wizard, se deben tener bastantes elementos en cuenta antes de lanzarnos a la instalación y configuraciones previas que modifican la respuesta tras la instalación.

A continuación adjunto información pública y algunas recomendaciones ante configuraciones específicas.

Muchas gracias Alessandro por facilitarnos esta información.

System Center 2012 Configuration Manager SP1 Reference and Configuration List

Informacion general y referencias interesantes:

1. Novedades en  Configuration Manager 2012 SP1

2. Como actualizar Configuration Manager 2012 a SP1

3. Si se tienen multiples “System Center Products” instalados, aquí esta el orden de instalacion recomendado: http://technet.microsoft.com/en-us/library/jj628203.aspx (No va a ocurrir nada grave si no se sigue este orden, el único riesgo es perder funcionalidades de forma temporal durante la instalación debido a dependencias entre conectores, una vez finalizada la actualización del elemento del que depende volvera a funcionar correctamente)

4. Configuration Manager 2012 SP1 Release Notes

5. Configuration Manager 2012 SP1 Toolkit

6. Package Conversion Manager 2.0 for SP1

7. Lista Configuration Manager 2012 SP1 Fixes y  KB articles incluidos

8. New Configuration Manager SP1 SDK

9. Referencias del SP1 PowerShell Cmdlet

10. Quick Start Deployment Guide

11. Cloud Based and Pull Distribution Points added to SP1

12. How to Manage Mobile Devices by using Windows Intune Connector in Configuration Manager

13. Deploying Windows 8 with Configuration Manager SP1

14. Troubleshooting DRS Replication in Configuration Manager: 

http://blogs.msdn.com/b/minfangl/archive/2012/05/16/tips-for-troubleshooting-sc-2012-configuration-manager-data-replication-service-drs.aspx

http://blogs.technet.com/b/sudheesn/archive/2012/10/21/drs-initialization-in-configuration-manager-2012.aspx

15. SQL 2012 SP1 now supported 

Configuración sp1:

1. Confirmar que tenemos suficiente espacio en disco antes de realizar la instalación.  Revisar  http://technet.microsoft.com/en-us/library/hh846235.aspx#BKMK_ReqDiskSpace para guía.

2. Los cambios realizados en las  “Built-in Collections” son sobrescritos y no se mantienen tras la instalación del SP1:   http://support.microsoft.com/kb/2739984. 

3. Se recomienda desinstalar el  WAIK (Windows Automated Installation Kit) y tras esto instalar el “Windows Assessment and Deployment Kit (ADK) for Windows 8” antes de pasar a instalar el SP1.  Configuration Manager 2012 SP1 y el sistema operativo no soportan WAIK y ADK en la misma máquina.  (See: how to upgrade)

4. SUP deja de funcionar tras la actualización. Para evitar esto, necesitamos asegurarnos que es CAS, Primary y el  Remote SUP site systems están actualizados con el  WSUS patch KB 2734608 antes de actualizar. (See Release Notes). 

5. SP1 incluye el fix http://support.microsoft.com/kb/2796086, sin embargo la versión RTM del cliente en un MP puede que no se actualice automáticamente tras la instalación del SP1. Esto se resuelve con un “client Push” teniendo configurada la opción 'always install client' en el MP.

6. OSD: Boot images pueden quedar corruptas si tenemos ciertos antivirus. Deshabilitar el AV durante la instalación evita el problema. Es recomendable excluir también ciertas carpetas de Configuration Manager para evitar errores.  Revisar http://blogs.technet.com/b/systemcenterpfe/archive/2013/01/11/updated-system-center-2012-configuration-manager-antivirus-exclusions-with-more-details.aspx

7. OSD: Boot Images ahora requieren WinPE 4.0.  http://technet.microsoft.com/en-us/library/hh397288.aspx.

Some older machines may have BIOS that don’t support the Data Execution prevention.  http://social.technet.microsoft.com/Forums/en-US/configmanagerosd/thread/8faa337b-a648-49b4-8431-49c022b96e04. 

8. OSD: WinPE 4.0 aparentemente no funciona en ninguna versión de ESXi por debajo de la 5 con el Patch 4. Este es un error generado por VMWare.  Revisar: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2006859

9. MAC Client falla en el registro con  Configuration Manager SP1.  Esto puede estar causado por un error en la cadena de certificados.  Revisar  http://support.microsoft.com/kb/2806021

10. Cuando configuramos el  SUP en SP1, las opciones para el proxy no aparecen.

Con  Configuration Manager sin service pack puedes configurar estas opciones para el active software update point. Con Configuration Manager SP1, las “proxy server options” solo están disponibles para el software update point cuando tenemos configurado un proxy para el “site system server”. 

Más información en  http://technet.microsoft.com/en-us/library/gg712282.aspx#BKMK_PlanforProxyServers

Un saludo, Raul de Moral

Ya esta disponible para descargar el sp3 de UAG 2010. Forefront Unified Access Gateway (UAG) Service Pack 3 (SP3)

Os dejo el enlace con las nuevas características y problemas corregidos en este nuevo paquete

Descripción de Forefront Unified Access Gateway 2010 Service Pack 3

Un saludo, Sergio Medina

Hola,

Somos Paula Tomás y Yolanda Muñoz del grupo de Plataformas para Directorio Activo. En esta ocasión nos gustaría comentar el comportamiento general sobre la funcionalidad introducida en los Sistemas Operativos Windows desde Windows Vista llamada UAC (User Account Control). 

Información general sobre UAC (User Account Control) 

UAC es un componente de seguridad incluido en el Sistema Operativo a partir de Windows Vista. 

El objetivo de UAC (User Account Control) es minimizar el uso de “privilegios de administración” por parte de los “usuarios estándar” en los equipos. De esta manera, evitamos modificaciones del sistema operativo que puedan dar lugar a un comportamiento no esperado. Las ventajas principales de trabajar con los privilegios de usuario estándar por defecto, son reducir el número de llamadas al help desk, así como minimizar el impacto de virus o malware, por ejemplo. 

Así, durante el proceso de logon se genera el token de acceso del usuario. En la generación de dicho token se evalúan los SIDs  y privilegios, de manera que  si alguno se considera como “elevado” se produce el split (o “división”) del token. Por una parte, se genera un token para el “usuario estándar” con los SIDs y privilegios, y otro token elevado con todos SIDs y privilegios del usuario. Esta funcionalidad se denomina Protected Admin (PA). Con el Split del token incluso los usuarios con privilegios de administración se comportan por defecto como “usuarios estándar”, si en algún momento se requiere del uso de los privilegios elevados, se presentará al usuario el aviso para utilizar las credenciales administrativas (es decir, el token elevado). 

El Split del token se producirá siempre que: 

• El usuario pertenezca a alguno de los grupos”administrativos”: Domain Admins, Domain Controllers, Power Users, Print Operators, etc.
• Que el usuario tenga alguno de los privilegios “elevados”: Create a token object, Act as part of the operating system, Debug Programs, Impersonate a client after authentication,etc. 

En la siguiente figura se muestra el comportamiento de Protected Admin: 

Understanding and Configuring User Account Control in Windows Vista  

Si el usuario que ha iniciado sesión en el equipo es un “usuario estándar” y la aplicación que se está ejecutando necesita privilegios de administrador, el comportamiento por defecto es solicitar al usuario las credenciales para realizar dicha operación. Este mensaje se recibe al instalar o desinstalar una programa, abrir o cambiar la configuración del firewall, modificar la configuración de las directivas de seguridad, configurar el acceso al escritorio remoto, etc. En el caso de los “usuarios estándar” no se produce el split del token ya que dicha cuenta no contiene ninguno de los SIDs o privilegios mencionados anteriormente. 

En el caso de los administradores built-in (administrador del equipo y el administrador del dominio) tampoco se produce el split del token ya que estos usuarios no están protegidos por UAC. 

Información adicional sobre UAC (User Account Control)   

 En los siguientes enlaces se puede encontrar información adicional referida al comportamiento de UAC:  

What is User Account Control? 

Inside Windows 7 User Account Control  

Getting Started with User Account Control on Windows Vista  

Understanding and Configuring User Account Control in Windows Vista 

922708 How to use User Account Control (UAC) in Windows Vista  

UAC Group Policy Settings and Registry Key Settings  

Windows Vista Application Development Requirements for User Account Control  

Sample code is available to show you how to develop programs by using least-privilege administration and UAC. To download this sample code, visit the following Microsoft Web site

Un saludo, Paula y Yolanda

Hola a todos

Hoy queremos hablaros sobre un tema que esperemos no vuelva a producirse, pero que en su momento provocó muchas llamadas a soporte a finales del año pasado y a principios de este año

⦁    Normalmente, la revisión del paquete de actualización KB931125 que se publicó el 11 de Diciembre de 2012 sólo se dirigiría a sistemas operativos cliente, pero durante un corto periodo de tiempo también se ofreció para sistemas operativos servidor a través de Windows Update y WSUS.

⦁    Esta actualización agregó más de 330 certificados de Entidades Certificadoras (CAs) Raíz de terceros al correspondiente almacén de certificados de confianza en los servidores.
⦁    Como resultado, cualquier servidor Windows Server 2008, 200R2 (o 2012) que instaló la actualización y proporcionaba servicios que dependían de la comunicación por TLS/SSL empezó a experimentar problemas de autenticación y de comunicación a través de este protocolo

⦁    Algunos de los múltiples síntomas experimentados incluían:

⦁    Fallos en el acceso a redes inalámbricas  y/o redes conectadas por cable que utilizaban autenticación basada en certificados
⦁    Problemas de conectividad de clientes a servidores de Lync o de Office Communications Server
⦁    Fallos en el acceso a portales web por SSL
⦁    Fallos de autenticación en Outlook/OWA
⦁    Retardos en el arranque de equipos cliente y en el inicio de sesión por parte de los usuarios

⦁    Una de las pistas más claras para identificar el problema podría encontrarse en el visor de sucesos de los servidores donde se había instalado la actualización:

⦁    Al haber instalado tantos certificados raíz, se había superado el tamaño máximo de la lista de CAs de confianza que Schannel puede enviar durante la autenticación cliente/servidor (16kb)
⦁    Al superarse este límite, el servidor SSL envía una lista truncada de certificados raíz al cliente durante la conversación SSL/TLS, de la cual que el cliente no encuentra uno en el que confía para poder validar correctamente el certificado del servidor con quien mantiene la comunicación.

⦁    El siguiente artículo proporciona una manera automatizada de eliminar los certificados raíz en los servidores afectados que instalaron la actualización 931125.

2801679 SSL/TLS communication problems after you install KB 931125

⦁    A partir de eliminar estos certificados, cualquier servidor Windows Server 2008 (o cliente Windows Vista) en adelante con conectividad a Internet debería poder descargar e instalar los certificados raíz de terceros que necesite bajo demanda mediante el mecanismo Automatic Root Update presente en estos sistemas operativos.

Información Adicional

⦁    Podemos encontrar más información sobre el mecanismo de actualización automática de certificados raíz en los siguientes enlaces.

Windows root certificate program members (sección: How Windows Updates Root Certificates) 

Certificate Support and Resulting Internet Communication in Windows Vista  

Importante resaltar que para que funcione, es necesario que los equipos tengan conectividad con Internet y que no se haya deshabilitado el mecanismo mediante directiva de grupo

⦁    En su día, podríamos habernos encontrado con una problemática parecida en servidores TLS/SSL Windows Server 2003, con la diferencia de que el límite de Schannel en este caso eran 12kb, antes de instalarse la  siguiente actualización

933430  Clients cannot make connections if you require client certificates on a Web site or if you use IAS in Windows Server 2003  

⦁    Resaltar también que pueden existir “workarounds” alternativos para que los servicios SSL/TLS no se vean afectados por esta casuística, como por ejemplo evitar por completo que Schannel envíe una lista de certificados a los clientes.

⦁    Como os seguiremos contando a través de estas páginas, Windows Server 2012 trae muchas novedades, entre ellas, otra nueva manera de evitar que nos encontremos con este problema durante la autenticación SSL.

Así que, “Watch this space” para seguir informados! :)

Tolu Igbon

Aquí os dejo un truco para abrir un CMD y situarnos directamente  la carpeta donde el explorador de Windows estaba abierto.

Los pasos son rapidos y sencillos:

1.- Abrir el explorador de Windows y situarse en la carpeta deseada.

2.- Pinchar sobre un archivo   (Si pinchas sobre una carpeta te abrirá el CMD situándote dentro de esa carpeta.

3.- Ir al menú “File” –  “Open command prompt” y seleccionar la opción de apertura deseada

¿Fácil no?

Paloma García

Hola a todos,

En algunas ocasiones nos hacéis llegar dudas con respecto a las acciones que van a poder realizar los usuarios o grupos a los que se les han otorgado ciertos privilegios para que determinas aplicaciones o servicios funcionen correctamente según las instrucciones de configuración facilitadas por el fabricante. Las principales dudas vienen con respecto a la seguridad y si por el hecho de otorgar los privilegios a los usuarios o grupos van a poder realizar cierto tipos de acciones o modificaciones de configuración en los equipos donde han sido configurados.

Es importante que tengáis en cuenta que existe un grupo de privilegios a nivel de Sistema Operativo denominados “Súper Privilegios”. En este grupo se encuentran aquellos privilegios cuya obtención indebida podría suponer riesgo “elevado” de seguridad. Los usuarios a los que se le otorga este tipo de privilegios podrían permitirle realizar cualquier tipo de acción sobre la máquina. En este caso el usuario pasaría tener control total sobre el equipo llegando a ser lo que se conoce como “Súper Usuario”.  

 En la lista de los “Súper Privilegios” se encuentran los siguientes:

·         Debug Programs: Un usuario con dicho privilegio puede abrir cualquier proceso en el sistema sin tener en cuenta el Security Descriptor del proceso.  

·         Take Ownership: Este privilegio permite tomar posesión de cualquier objeto escribiendo su propio SID en el campo Propietario del Security Descriptor del objeto. 

·         Restore files and directories: Se permite reemplazar cualquier fichero del sistema en el sistema. 

·         Load and unload device drivers: Los drivers son considerados como “trusted parts” del Sistema Operativo que pueden ser ejecutados con las credenciales de System.

·         Create a token object: Puede ser utilizado para crear tokens de seguridad que representen cuentas de usuarios, su membresía de grupos y privilegios otorgados a dichos usuarios.

·         Act as part of operating system: La función LsaRegisterLogonProcess , a la que los procesos llaman para establecer una “trusted connection” con Lsass, comprueba dicho privilegio. Este privilegio permitiría a un proceso que ha establecido una conexión con Lsass ejecutar la función LsaLogonUser para crear una nueva “logon session”. Esta función requiere un nombre de usuario y contraseña valido y acepta una lista opcional de SIDs para añadir al token de la nueva sesión. Por esto, el usuario puede utilizar su propio nombre de usuario y contraseña para crear una sesión que incluya los SIDs de usuarios o grupos con más privilegios en el token resultante.  

En cualquier caso, es importante mencionar que el uso de elevación de privilegios se limita al propio equipo y en ningún caso a la interacción con otros equipos o acceso a los mismos a través de la red.

Otros privilegios pueden utilizarse como un ataque de “Denial of Service”. En este caso estaría, por ejemplo, Lock Pages In Physical Memory.      

Por ejemplo, el derecho de usuario  “Allow log on locally” determina cuando un usuario puede iniciar sesión interactiva en un equipo. Es importante tener en cuenta que los usuarios que no tienen dicho derecho son capaces de iniciar sesión remota de manera interactiva si tienen otorgado el derecho “Allow logon through Terminal Services” explícitamente a partir de Windows 2003.    

En el siguiente enlace podéis encontrar información adicional sobre la definición del derecho, la configuración por defecto en los diferentes equipos, posibles vulnerabilidades y resto de información que puede ser de interés desde el punto de vista de seguridad.      

Threats and Countermeasures Guide: Security Settings in Windows Server 2003 and Windows Vista      

http://technet.microsoft.com/en-us/library/cc749467(WS.10).aspx    

Para completar la información os recomendamos revisar el siguiente artículo. Este es la mejor referencia a nivel de KB para conocer las consecuencias, ventajas y desventajas de otorgar o quitar derechos de usuario:      

823659  Client, service, and program incompatibilities that may occur when you modify security settings and user rights assignments

http://support.microsoft.com/default.aspx?scid=kb;EN-US;823659

 Paula Tomás Galed y Yolanda Muñoz Muñoz

Debido al cambio de interfaz gráfico en Windows 8/Windows Server 2012 nos puede surgir la duda de como apagar/reiniciar el Sistema a continuación os vamos a mostrar las distintas opciones para hacerlo:

Una de las opciones es mostrando los Charms (Winkey+I o acercando el ratón a la esquina inferior derecha para mostrar los Charms) seleccionamos Configuración

Lo que nos mostraría la pantalla de la imagen con las opciones de Iniciar/apagar que nos permitirá suspender, reiniciar o apagar la maquina

Pero esta no es la única forma de apagar la maquina otras opciones son

Pulsando Alt- F4 en el escritorio nos muestra el antiguo desplegable de Cerrar Windows que nos permitirá las opciones de cambiar de usuario, cerrar sesión, suspender, apagar y reiniciar

Otra opción es utilizando la línea de comandos y ejecutando alguno de estos comandos:

Y por si no quieres escribir el comando cada vez que necesites apagar la maquina nos podemos crear un acceso directo en el escritorio indicándole el comando que quieres ejecutar y haciendo click en el acceso directo realizara la acción configurada para ello:

Creamos un nuevo acceso directo y en escribir la ubicación del elemento escribimos uno de los comandos anteriores , por ejemplo “shutdown /s /t 0”

Una vez creado el acceso directo podemos cambiar el icono con el botón derecho y mostrando las propiedades del acceso directo y también podemos anclarlo al inicio con el botón derecho, anclar a inicio

De esta forma basta con hacer click en apagar para que la maquina se apague.

Un saludo, Juan arlandis

“Window Scaling Heuristics” es una opción que permite a una maquina cliente detectar problemas de conectividad producidos por causa de dispositivos intermedios (generalmente dispositivos antiguos o que no se comporten correctamente en cuanto a escalado de ventana) y actuar en consecuencia.

Es un método que pretende evitar fallos en la comunicación de red provocados por un mal manejo del escalado.

Tenemos en este White Paper una buena explicación de este comportamiento:

http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/Perf-tun-srv.docx

La clave de registro que afecta a esta propiedad es la siguiente:

- EnableWsd 

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\(REG_DWORD)

The default is 1 for client SKUs. By default, Windows automatically disables TCP receive window autotuning when heuristics suspect a network switch component may not support the required TCP option (scaling). Setting this value to 0 disables this heuristic and allows autotuning to stay enabled. When no faulty networking devices are involved, applying the setting can enable more reliable high-throughput networking via TCP receive window autotuning.

Esto quiere decir que si se habilita “Window Scaling Heuristics”, es probable que ante fallos en el escalado de ventana (y debido como se explica más arriba a dispositivos intermedios que no soporten el escalado o no lo manejen bien), éste se deshabilite completamente. Esto puede causar un impacto directo en el rendimiento de red pero evitará fallos en la comunicación a la vez que es una buena indicación de que algo está pasando en la red para que el escalado se haya deshabilitado.

Hay que tener en cuenta que esta opción fue diseñada para clientes que acceden a Internet y no para servidores que actúan en la Intranet o Datacenter.

Si generamos y analizamos trazas de red en ambos extremos veríamos algo similar a lo siguiente:

Sin uso de escalado (Heuristics habilitado)

127                         11.0330416            System                   TCP          TCP:Flags=......S., SrcPort=60351, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=3665122992, Ack=0, Win=8192 (  ) = 8192  {TCP:14, IPv4:13}

128                         11.0936054            System                   TCP          TCP:Flags=...A..S., SrcPort=Microsoft-DS(445), DstPort=60351, PayloadLen=0, Seq=1231207440, Ack=3665122993, Win=8192 ( Scale factor not supported ) = 8192    {TCP:14, IPv4:13}

129                         11.0936319            System                   TCP          TCP:Flags=...A...., SrcPort=60351, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=3665122993, Ack=1231207441, Win=64240 (scale factor 0x0) = 64240    {TCP:14, IPv4:13}

 

Con uso de escalado (Heuristics deshabilitado)

201                         10.3617560            System                   TCP          TCP:Flags=......S., SrcPort=62325, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=1502484362, Ack=0, Win=8192 ( Negotiating scale factor 0x8 ) = 8192   {TCP:18, IPv4:17}

205                         10.4234921            System                   TCP          TCP:Flags=...A..S., SrcPort=Microsoft-DS(445), DstPort=62325, PayloadLen=0, Seq=2333543882, Ack=1502484363, Win=8192 ( Negotiated scale factor 0x8 ) = 2097152            {TCP:18, IPv4:17}

206                         10.4235320            System                   TCP          TCP:Flags=...A...., SrcPort=62325, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=1502484363, Ack=2333543883, Win=513 (scale factor 0x8) = 131328      {TCP:18, IPv4:17}

Para habilitar o deshabilitar esta opción se utilizan los siguientes comandos de Netsh:

Para mostrar la configuración:

netsh int tcp show heuristics

Para habilitarlo:

netsh interface tcp set heuristics wsh=enabled

Para deshabilitarlo:

netsh interface tcp set heuristics wsh=disabled

Para volver al valor por defecto del sistema:

netsh interface tcp set heuristics wsh=default

Un saludo, Karin Galli

Que nos aparezca el “Server Manager” cada vez que hacemos logon en el servidor no es algo que resulte practico a todo el mundo.

 En Windows 2012 la opción para desactivarlo continua existiendo, pero está un poco más escondida, os muestro donde se encuentra.

Espero os sea de utilidad

Paloma García

Comentaros que algunos clientes cuyos sistemas no están en Ingles, han tenido algunos problemas  tras instalar esta actualización.

Si os encontrais en esta situación saber que el jueves 24 de Enero se ha publicado una nueva versión de esta que los solventa.

Si no has tenido problemas con la actualización no es preciso instalar la nueva versión.

2785682    Description of Update Rollup 1 for System Center 2012 Service Pack 1
http://support.microsoft.com/kb/2785682/EN-US

V1-Original UR1 agent version:          4.1.3322.0
V2-Re-released UR1 agent version:    4.1.3333.0

Un saludo, Paloma García

Hoy queremos compartir con vosotros un caso que hemos tenido recientemente donde tras una migración  no se podía cambiar el puerto de algunas impresoras en un Clúster 2008 R2.

Los pasos a seguir para solventar esta situación son los siguientes

1.- Parar recurso del clúster

2.- Exportar la clave “HKLM\Cluster\Resources\18fb9584-0d00-4ff6-8911-ebb77121bee5\Parameters\Printers”   de TODOS nodos del clúster,  para tener un backup de la misma

(*) El identificador de recursos varía de un clúster a otro.

3.- Para cada una de las impresoras modificar el Valor del registro “Attributes” para que  su segunda posición empezando por la derecha sea un “0”  en lugar del “4” actual

Realizar el cambio para todas las impresoras afectadas en todos los nodos del clúster.

Ejemplo:

00000248  cambiar este valor a  00000208 

Información sobre este valor.

http://msdn.microsoft.com/en-us/library/windows/desktop/aa394363(v=vs.85).aspx

4.- Poner online el recurso del clúster.

Esperamos os sirva de ayuda, Paloma García

Ya está disponible el ultimo rollup para System Center 20012 sp1. Corrige bastantes problemas asi que animaros e instalarlo.

Description of Update Rollup 1 for System Center 2012 Service Pack 1
http://support.microsoft.com/kb/2785682

Un saludo, Paloma García

Seguro que algunos de vosotros estareis echando de menos la “Herramientas administrativas”, hoy os enseñaremos lo volver a tenerlas en vuestra pantalla de inicio.

Los pasos son sencillos:

1.- Desde la pantalla de inicio, desliza el dedo o mueve  el ratón a la esquina superior derecha para hacer aparecer los iconos de la derecha, si lo prefieres puedes pulsar la tecla del logotipo de Windows +C

2.- Pulsa sobre "Settings” (Configuración) – Tiles y activa la opción “Show administrative tools”

Espero que os sea de utilidad este pequeño truco.

Un saludo, Paloma García