Hola!

Soy Gastón Gardonio y les dejo un video detallando la instalación de System Center Configuration Manager 2007.

Aquí podrán ver los requerimientos del SCCM 2007, aspectos de la migración de SMS 2003 a SCCM 2007 y características de la nueva versión.

También se comenta en detalle que modificaciones se hacen en el Active Directory y como realizarlas.

Y por ultimo un paso a paso detallado y explicado de cómo realizar la instalación.

Creo que vale la pena para aquellos que desean migrar de SMS 2003 y para aquellos que ya poseen SCCM 2007 pero desean saber que se realiza durante la instalación.

El video esta disponible en:

http://content4.catalog.video.msn.com/e2/ds/alt-es-es/ALTESES_TECHNET/ALTESES_TECHNET_PG/9631270b-bbc8-4480-9ab9-ca6cde64811f.wmv

Pronto volveré con mas presentaciones.

Saludos

Gastón Federico Gardonio

Técnico de Soporte Microsoft Premier España

Format: wmv
Duration: 20:33

Hola a todos,

Wireless Hosted Network es una de las múltiples novedades que han sido incluidas en la parte de Networking en Windows 7/Windows Server 2008 R2.

Esta funcionalidad nos permite, en un equipo con una única tarjeta de red inalámbrica,  actuar como un Punto de Acceso Wireless (SoftAP) y simultáneamente como cliente de otra red Wireless diferente.

Como veremos, el sistema operativo genera un adaptador de red inalámbrico virtual  (denominado Virtual WiFi) a partir de nuestra tarjeta física.

Este dispositivo será el utilizado para hospedar la nueva red Wireless que vamos a crear.

Para poder disponer de esta tecnología, es necesario que la tarjeta de red que vamos a utilizar soporte la funcionalidad Wireless Hosted Network.

(Nótese que uno de los requisitos en los drivers para obtener el logo de Windows 7 es precisamente el soporte de esta funcionalidad. Más información aquí)

• Configuración de SoftAP

Una vez actualizados los drivers de nuestra tarjeta a su última versión disponible, observamos la existencia de un segundo dispositivo de red inalámbrico que se ha creado de manera automática:

Ahora, desde una ventana de cmd.exe, y a través de la herramienta netsh  ejecutamos lo siguiente:

C:\>netsh wlan set hostednetwork mode=allow ssid=prueba_wifi key=<key> keyUsage=temporary           

The hosted network mode has been set to allow.

The SSID of the hosted network has been successfully changed.

The user key passphrase of the hosted network has been successfully changed.

Podemos también verificar los parámetros de seguridad establecidos tras crear la red a través del siguiente comando:

C:\>netsh wlan show hostednetwork security

Hosted network security settings

--------------------------------

    Authentication         : WPA2-Personal

    Cipher                 : CCMP

    System security key    : dW.PH@PKAIw0huYo+Xk~oS1!8Xw+T~aoK!iZUS#3BoNLtel!wEG+W.gqOq4I.AB

    User security key      : <key>

    User security key usage: Temporary

La referencia completa de todos los comandos disponibles en el contexto wlan de la herramienta netsh está disponible aquí.

• Habilitando SoftAP

Una vez configurado, solo nos queda habilitarlo ejecutando:

C:\>netsh wlan start hostednetwork

The hosted network started.

Tras unos segundos, comprobaremos que hemos configurado el equipo para hospedar la red con el SSID prueba_wifi .

NOTA:  En caso de desearlo, podríamos haber configurado previamente el servicio ICS (Internet Connection Sharing ) en el dispositivo físico para proporcionar acceso a Internet a los clientes de nuestra red.

Esperamos que esta información os haya sido útil.

Un saludo,

- Javier Rama del Castillo

Hola de nuevo. Soy Paula del equipo de Directorio Activo.

Hoy hablaremos sobre el funcionamiento básico de RPC que afecta a diferentes operaciones de Directorio Activo. Como seguramente la mayor parte de vosotros ya sabe, la comunicación utilizada para múltiples operaciones en Directorio Activo es RPC. Estas operaciones incluyen, por ejemplo, la replicación de DA, la replicación FRS, la promoción de un nuevo Controlador de Dominio, etc. También realizan conexiones RPC a los DCs la ejecución del comando dcdiag /v o incluso consultar qué DCs son los maestros de operaciones (mediante el comando netdom query fsmo). También es muy común que tratemos casos con problemas de conectividad RPC en que la replicación de DA y/o FRS no se lleva a cabo de manera satisfactoria o incluso que la replicación de DA funcione perfectamente pero los Controladores de Domino no puedan replicar SysVol por FRS.

En una comunicación RPC, el cliente se conecta al puerto TCP 135 del servidor y solicita un puerto al End Point Mapper (EPM) para comenzar la conversación RPC. El EPM del servidor reserva un puerto (llamado puerto dinámico) para este cliente y se lo envía. A partir de este punto, el cliente abre una nueva conexión TCP a dicho puerto del servidor y comienza la comunicación.

Los puertos dinámicos RPC (o puertos efímeros) que puede utilizar el EPM  de RPC (o RPCSS) van del 1025 hasta el 65535, aunque Windows 2000/XP/2003 por defecto utilizan puertos que están comprendidos en el rango 1025-5000 (en total 3976 puertos). En Windows Vista y Windows Server 2008, el rango de puertos por defecto es 49152-65535 (un total de 16384 puertos).

Puede encontrarse más información en el siguiente artículo (muy recomendable para identificar y entender los pasos a seguir cuando nos encontramos ante un problema con el RPC Endpoint Mapper):

839880  Troubleshooting RPC Endpoint Mapper errors using the Windows Server 2003 Support Tools from the product CD

Cuando no se puede establecer la conexión por estos puertos efímeros, al realizar las operaciones que hemos comentado anteriormente podemos recibir errores como el siguiente:

There are no more endpoints available from the endpoint mapper.

Vamos a ver unas trazas de red de ejemplo de un establecimiento de una comunicación RPC fallida debido a que el cliente no puede establecer la sesión al puerto dinámico que le indica el EPM del servidor.

Las trazas de red las podéis capturar con cualquier sniffer, por ejemplo en este caso nosotros hemos utilizado Microsoft Network Monitor 3.2.

Esta es la conversación inicial RPC entre un DC y una máquina desde la que se ejecuta la operación netdom query fsmo:

En la respuesta del End Point Mapper (EPM) del DC ante la solicitud de conexión del cliente (trazas en rojo), el DC indica que van a continuar hablando por el puerto TCP 1025. Si filtramos el tráfico generado en el cliente con destino el DC y puerto 1025, vemos los siguientes intentos de conexión al mismo:

Como podemos ver claramente en las trazas de red, el cliente trata de conectarse varias veces a dicho puerto en el DC y no recibe respuesta (ver retransmisiones). Si observamos unas trazas de red simultáneas a las anteriores pero obtenidas en el DC (capturar el tráfico en ambos extremos es muy recomendable en este tipo de situaciones), únicamente se observa la conversación inicialmente descrita en la primera tabla. Es decir, el DC no llega a recibir los paquetes que el cliente le envía por el puerto 1025.

Lo más probable en este caso es que haya un firewall que esté bloqueando las comunicaciones. Puede ser un firewall hardware/software, el firewall integrado de Windows o incluso un antivirus con funcionalidad de firewall. (Tened también en cuenta que no todos los problemas relacionados con conectividad RPC se deben a la configuración de los firewalls!!!)

Ante esta situación tenemos dos opciones para evitar el bloqueo:

1. Abrir los puertos comprendidos entre el 1025 y el 5000 en el firewall para permitir la negociación/tráfico RPC entre las máquinas implicadas
2. Configurar RPC en el DC para utilizar un rango de puertos específicos y abrir dichos puertos en el firewall para permitir la negociación/tráfico RPC entre dichas máquinas
• La desventaja que hay que tener en cuenta es la posibilidad de que en determinados momentos no haya puertos disponibles al estar todos en uso, por lo que habrá que realizar pruebas y verificar cuál es el número de puertos adecuado para el entorno. Hay que tener en cuenta que los DCs utilizan RPC para multitud de funcionalidades, como puede ser la replicación de DA o FRS.
• El mecanismo para Windows 2000/XP/2003 se define en el siguiente artículo: 154596  How to configure RPC dynamic port allocation to work with firewalls
• El artículo anterior también apunta a mecanismos para configurar si se prefiere, por ejemplo, un único puerto concreto para la replicación FRS en lugar de un rango de puertos.
• El mecanismo para Windows Vista/2008 se define en el siguiente artículo: 929851    The default dynamic port range for TCP/IP has changed in Windows Vista and in Windows Server 2008
  

Si queréis obtener una lista completa de los puertos necesarios para el correcto funcionamiento de un entorno de Directorio Activo, echadle un vistazo a los siguientes artículos:

• 179442  How to configure a firewall for domains and trusts
• 832017 Service overview and network port requirements for the Windows Server system

Espero que esta información os sirva de utilidad, ya que es uno de los problemas que tratamos más frecuentemente y su detección es relativamente sencilla a partir de unas trazas de red.

- Paula Tomás Galed

Hola, soy Francisco, del equipo de soporte a Sistema Operativo. Hoy vamos a ver cómo poder ejecutar scripts no firmados en PowerShell.

En alguna ocasión crearemos algún script en Powershell y a la hora de ejecutar nos puede salir un mensaje como este:

     PS C:\Windows\system32> C:\TOOLS\SPLITTEXT.PS1

     No se puede cargar el archivo C:\TOOLS\SPLITTEXT.PS1. El archivo C:\TOOLS\SPLITTEXT.PS1 no está firmado digitalmente.

El sistema operativo para protegernos de la ejecución de código malicioso impedirá en primera instancia la ejecución de cualquier script.

Para verificar como está configurado el sistema operativo en lo que se refiere a la directiva de ejecución de script, escribir este comando:

     Get-ExecutionPolicy

Pero si realmente necesitamos ejecutar el script  porque nosotros somos los creadores, podemos permitir  temporalmente permitir la ejecución  con el comando (habiendo iniciado powershell como administrador)

     Set-ExecutionPolicy  RemoteSigned

     [S] Sí  [N] No  [U] Suspender  [?] Ayuda (el valor predeterminado es "S"): s

     (Este comando permitirá los script en la maquina local)

Si queremos permitir la ejecución de todos aunque no estén en local:

     Set-ExecutionPolicy  Unrestricted

     [S] Sí  [N] No  [U] Suspender  [?] Ayuda (el valor predeterminado es "S"): s

Y si finalmente queremos dejar como estaba en un principio (o para no permitir la ejecución de nada que este firmado)

     Set-ExecutionPolicy  AllSigned

     [S] Sí  [N] No  [U] Suspender  [?] Ayuda (el valor predeterminado es "S"): s

Si estamos interesados en conocer como firmar nuestros scripts consultar:

     Get-Help About_Signing

Un saludo,

- Francisco Fraile Cortijo

Hola, soy Javier Rama, del equipo de Directorio Activo / Networking. En algunas ocasiones hemos tenido casos en los que el cliente necesita configurar el Firewall de Windows a través de GPO en su dominio.

Como sabemos, tenemos multitud de settings para configurarlo desde la consola de edición de Políticas de Grupo en:  

Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall

Sin embargo, puede haber ocasiones en que necesitemos deshabilitar todas las reglas y excepciones que aplicamos en el Firewall para un interfaz de red concreto del equipo.

Esto no podemos conseguirlo directamente con el conjunto de parámetros que podemos configurar a través de GPO.

Para conseguirlo, debemos realizar los siguientes pasos:

1. Deshabilitar la siguiente política en el perfil de Dominio,  Windows Firewall: Protect all network connections

Gracias a este setting , habilitamos o deshabilitamos el Firewall de Windows.

El inconveniente que nos encontramos estableciéndolo es que, además de habilitar el Firewall, también lo configuramos para que aplique todas las reglas en todos los interfaces de red disponibles en la máquina destino.

Por tanto, lo deshabilitaremos estableciéndolo a Disabled y ,como veremos a continuación, activaremos el Firewall gracias a la herramienta netsh.

2. A continuación, crearemos un script de inicio para el equipo con el siguiente contenido:

netsh firewall set opmode mode=enable profile=domain (Habilitar el Firewall de Windows para el perfil de dominio)

netsh firewall set opmode mode=enable interface=”Red” (Proteger este interfaz de red con el Firewall de Windows)

netsh firewall set opmode mode=disable interface=”Red Externa” (No aplicar las reglas del Firewall para este intefaz)

               …

               (Continuar con todos los dispositivos poniéndolos a enable o disable según nos interese)

Como vemos, es necesario especificarle el nombre completo de cada interfaz de red.

Tras la aplicación de este script, conseguiremos el siguiente efecto:

3. El resto de parámetros que queramos configurar, tales como reglas específicas o excepciones, podemos hacerlo normalmente a través de GPO.

 

- Javier Rama del Castillo

Hola a todos,

Una de las nuevas tecnologías que tenemos con Windows Server 2008 es la de virtualización mediante Hyper-V.

Pero esto nos plantea una cuestión muy importante en los entornos de alta disponibilidad o que resulten claves en la producción, ¿como hago BackUp de las máquinas virtuales que tengo afectando lo menos posible a mis usuarios?

Para esto tenemos nuestro software de BackUp DPM 2007 (Data Protection Manager) o herramientas desarrolladas por terceros que están pensadas específicamente para este entorno.

Pero investigando un poco me encontré con un post de mi compañero Rob Hefner que os traduzco esperando que os resulte de utilidad.

Para habilitar el BackUp basado en VSS de Hyper-V en la utilidad Windows Server BackUp se deben añadir las siguientes claves al registro de Hyper-V VSS. La clave WindowsServerBackUp no es generada cuando se instala la utilidad Windows Server BackUp en la máquina. Se debe crear esta clave manualmente:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT
\CurrentVersion\WindowsServerBackup\Application Support\{66841CD4-6DED-4F4B-8F17-FD23F8DDC3DE}

Una vez creada la clave se necesitaran incluir un String Value con los campos:

Name: Application Identifier
Type: REG_SZ
Value: Hyper-V

Cuando este completado, deberán verse como esto:

La utilidad Windows Server Backup solo soporta el BackUp de volúmenes, por esto cuando se realicen los BackUps de las máquinas virtuales se deben seleccionar todos los volúmenes donde los datos de las MV estén guardados.

Por ejemplo, si se esta empleando la ubicación por defecto de los ficheros de configuración (C:\ProgramData\Microsoft\Windows\Hyper-V\Virtual Machines) y el disco VHD esta en otro volumen  se deberán seleccionar los dos volúmenes en el BackUp.

Cuando se inicie la restauración del BackUp seleccionar en “Application Restore” la opción de Hyper-V, si no se selecciona este método no se podrá restaurar ficheros de las MV en funcionamiento. Como parte del proceso de restauración las MV actuales serán paradas y borradas, siendo sustituidas y registradas por las del BackUp en Hyper-V.

Hay algunas limitaciones y comportamientos que se deben conocer antes de decidirse por este método:

1. Si la máquina virtual contiene discos dinámicos no puede ser salvada mediante VSS,  solo se soportara el BackUp con la máquina parada (Offline BackUp). Otra opción seria realizar el BackUp mediante un software de BackUp local en la máquina como cualquier máquina física.

2. En el caso de máquinas virtuales que no soporten VSS, como son W2000, Windows XP o máquinas sin Integration Services instalados, entraran en estado "salvada" (saved state) mientras se hace el Snapshot y se restauraran tras terminar la operación, por lo que el proceso supone una parada en la máquina (cosa que normalmente evita VSS).

Se experimentará este mismo comportamiento si se deshabilitar Integration Services en la máquina como se muestra a continuación:

3. Cuando se realiza la restauración desde el BackUp se debe restaurar todo el volumen, la restauración de máquinas virtuales independientes no esta soportada con Windows Server BackUp.

4. Si la máquina virtual tiene 2 o más Snapshots la restauración fallará. Para poder solucionarlo:

1. Si la máquina virtual esta corriendo habrá que pararla y eliminarla del servidor.
2. Seleccionar la opción "Files and Folders" en las opciones de recuperación del BackUp, para recuperar, la carpeta con los Snapshots, por defecto es C:\ProgramData\Microsoft\Windows\Hyper-V\Snapshots, pero es configurable en cada máquina virtual.
3. Seleccionar la carpeta individual con el Snapshot a restaurar.
4. Una vez que esta operación esta completada lanzar la la opción "Aplication Recovery" para restaurar el volumen.

El post completo, en Ingles, lo podéis localizar en

Espero que os resulte de utilidad.

Raúl del Moral Guirado

Técnico de Soporte Microsoft Premier 

L a tarea de mapear una impresora mediante el interface gráfico es algo que cualquier usuario puede realizar con facilidad, el problema se presenta eres el administrador de la plataforma, son las 8 de la tarde y mañana las 8 todos los usuarios deben tener mapeadas esa impresoras tan chulas que han crecido por los pasillos.

Para agilizar esta tarea podemos crear scripts y utilizar una librería que aunque lleva bastante tiempo entre nosotros tal vez no es lo suficientemente conocida, para los que la conozcáis se llama PrintUI.dll.

A lo largo de estas líneas intentaré mostrar las funciones más comunes.

1.- Añadir una impresora nueva

El objetivo es instalar una impresora de red en un equipo cliente. La impresora ser visible solo para el usuario que ejecuta el comando.

rundll32 printui.dll,PrintUIEntry /in /n\\servidorimpresion\nombre_impresora

Para que la impresora esté disponible para todos los usuarios del equipo, un administrador local de la misma deberá ejecutar lo siguiente:

rundll32 printui.dll PrintUIEntry /ga /n\\ servidorimpression\nombre_impresora

2.- Eliminar una impresora existente

Como en el caso anterior esto solo afecta a la impresora del usuario que ejecuta el comando

rundll32 printui.dll,PrintUIEntry /dn /n\\ servidorimpresion\nombre_impresora

Para eliminar la impresora para todos los usuarios del equipo la sintaxis es la siguiente.

rundll32 printui.dll PrintUIEntry /gd /n\\ servidorimpresion\nombre_impresora

3.- Establecer una impresora por defecto

rundll32 printui.dll,PrintUIEntry /y /n\\ servidorimpresion\nombre_impresora

Aquí os he mostrado las funciones más comunes pero si consultáis la ayuda encontraréis el resto de opciones disponibles ya que seguro os serán también de utilidad.

rundll32 printui.dll PrintUIEntry /?

Un saludo, Paloma García

Técnico de Soporte Microsoft Premier

Hola a todos.

Recientemente se nos planteó un caso de este tipo en soporte. En este caso era debido a que los DCs Windows Server 2003 se estaban “comportando” como Windows NT. Aquí tenéis toda la histora:

Entorno:

• Dominio con 3 DCs Windows Server 2003 (SP2) y múltiples BDCs Windows NT4.0
• Modo functional Windows 2003 Interim
• How to raise domain and forest functional levels in Windows Server 2003
• Functional Levels Background Information
• Servidores miembro Windows Server 2003

Problema:

• No se podía unir equipos Windows Server 2008R2 al dominio como servidores miembro
• Al intentar unirse especificando el nombre FQDN del dominio se recibía el error:

An Active Directory Domain Controller (AD DC) for the domain DOMINIO.COM could not be contacted. Ensure that the domain name is typed correctly

• Al intentar unirse especificando el nombre NETBIOS del dominio se recibía el error:

The following error occurred attempting to join the domain DOMINIO: The specified domain either does not exist or could not be contacted

• El problema se repetía al intentar unir equipos Windows Server 2003 al mismo dominio mediante el nombre FQDN, pero NO ASÍ por mediante el nombre NETBIOS donde SÍ lograban unirse correctamente al mismo dominio.

A su vez, determinamos que los mismos servidores Win2008R2 SÍ podían unirse correctamente utilizando el nombre FQDN a otros dominios del mismo entorno

• Durante nuestra investigación obtuvimos y analizamos trazas de red del tráfico entro los equipos Win2008R2 y los DCs

Observamos que, en principio, los DCs respondían “correctamente” a las peticiones de los clientes (no había cortes de tráfico ni errores en las comunicaciones entre los prospectivos servidores miembros 2008R2 y los DCs). A pesar de ver que recibían “respuestas” por parte de los DCs, los equipos Win2008R2 persistían en repetir las mismas peticiones para localizar información del dominio al que se querían unir, hasta finalmente fallar con los errores ya citados

Investigación

El problema finalmente tenía 2 matices:

1)

• A pesar de ser Win2003, los 3 DCs del dominio, a ojos de los clientes “actuaban” como servidores Windows NT4.
• Tenían configurados una clave de registro NT4Emulator,  que existe (como medida temporal) para evitar que se sobrecarguen los nuevos DCs de tipo directorio activo durante la migración de un dominio de tipo Windows NT4 a directorio activo
• La descripción y la funcionalidad de la clave de registro se encuentran en el siguiente artículo:

298713 How to prevent overloading on the first domain controller during domain upgrade

The NT4Emulator parameter specifies whether this domain controller will emulate the behavior of an Windows NT 4.0-based domain controller. By default, the domain controller does not emulate this behavior. Emulation of the Windows NT 4.0 behavior is desirable when the first domain controller that is running Windows 2000 or a later version of Windows is promoted to a primary domain controller in a Windows NT 4.0 domain that has many Windows 2000-based clients. Unless you emulate the Windows NT 4.0 behavior, all the Windows 2000-based clients will target the Windows-based domain controller and potentially overload it. This parameter is ignored on computers that are not domain controllers.

• Respecto a este caso concreto, observamos los comportamientos descritos en rojo

If this parameter is set to TRUE, the following scenario occurs on a domain controller:

• Incoming LDAP locator pings are ignored unless the ping comes from an admin computer. (See the "Neutralizing Windows NT 4.0 Emulation for Some Computers" section.)
• The flags that are negotiated during the incoming security channel setup will be set to what an Windows NT 4.0-based domain controller can support unless the channel setup comes from an admin computer.

• Ambos puntos explicaban por qué los clientes Win2008R2 repetían sus peticiones a pesar de recibir “respuesta”, tanto en los intentos de unirse al dominio mediante nombre FQDN como mediante nombre Netbios

2)

• A su vez el hecho de que los servidores Win2008R2 no se unieran al dominio pero los equipos Win2003 sí  (a través de NETBIOS )se explica en el siguiente artículo:

940268  Error message when you try to join a Windows Vista, Windows Server 2008, Windows 7, or Windows Server 2008 R2-based computer to a Windows NT 4.0 domain: "Logon failure: unknown user name or bad password"

• En resumen, los DCs se comportaban como máquinas NT4, y Win7/Win2008R2 no pueden unirse a un dominio de tipo NT4.

Resolución

• Pudimos unir los equipos Windows Server 2008R2 correctamente al dominio tras crear el valor de registro NeutralizeNT4Emulator que les permitía contactar con los DCs Windows Server 2003 y que éstos les respondiesen “correctamente”

Tolu Igbon

Nota: Debemos asegurarnos de tener el script .vbs en la ruta indicada en la máquina desde la que utilizaremos la consola Active Directory Users and Computers.

4.  Al abrir la consola Active Directory Users and Computers y al pulsar botón derecho sobre las propiedades de una cuenta de usuario, tendremos disponibles una nueva opción (“Employee ID…”) en el menú contextual desde donde podremos consultar/editar el atributo:

5.    Dado que inicialmente no podemos agregar estos dos atributos desde el menú Ver-> Añadir/Eliminar Columnas, para poder realizar listados de las cuentas por EmployeeID, es necesario realizar lo siguiente:

·         Abrir consola ADSI Edit

·         Localizar y doble clic en organizationalUnit-Display bajo CN=C0A, CN=DisplaySpecifiers,CN=Configuration,DC=midominio,DC=local.

·         Modificar el atributo extraColumns y agregar lo siguiente
   employeeid,Employee ID,1,100,0

Nota: Nótese que lo estamos haciendo a nivel de Unidad Organizativa. Si deseamos disponer de listados a nivel de Contenedor (como por ejemplo Users o Computers), será necesario realizar los mismos pasos para el atributo container-Display.

Una vez realizados estos pasos, ya estará disponible el atributo employeeID en el menú Ver-> Añadir/Eliminar Columnas para poder obtener un listado como este: 

- Javier Rama del Castillo

Este post es pensado para tener una idea rápida que ediciones están disponibles y a grandes rasgos que las diferencia.

Antes de empezar a enumerarlas qué significa la letra en alguna de ellas:

N – Edición ajustada a las normas de la Union Europea (Sin IE8 y sin Windows Media Player)

K – Edición en Coreano

KN – Edición ajustada a las normas del gobierno Coreano

Las siguientes ediciones de Windows 7 disponibles:

Windows 7 Starter

· Disponible a nivel mundial pero solo a través de los fabricantes(OEM) para los nuevos ordenadores (PCs)

· También disponible las ediciones N, K y KN

· Tema Windows AERO no disponible

· Limitada a soportar solo 2GB de memoria física

Windows 7 Home Basic

· Solo disponible en el mercado vía fabricantes

· También disponible las ediciones N, K y KN

· Tema Windows AERO no disponible

Windows 7 Home Premium

· Disponible a nivel mundial a través de los fabricantes y en el comercio minorista

· También disponible las ediciones K y KN

· Capacidad para operar con dispositivos táctiles

· Capacidad para operar con dispositivos multimedia (Media Center, reproducción de contenido en DVD , creación de DVD, etc.)

· Es posible crear grupos de red

Windows 7 Professional

· Disponible a nivel mundial a través de los fabricantes y en el comercio minorista

· También disponible las ediciones N y K

· Incluye todo funcionalidades de la edición Home Premium

· Añade capacidades de red extendidas (poderse conectar por Escritorio Remoto, soporta estar en un dominio, sincronización con carpetas compartidas en un servidor para trabajar sin conexión , etc.)

· Añade centro de movilidad
Nota: centro de movilidad: En portátiles un localización única para configurar los dispositivos más usados, por ej. Volumen altavoces, estado de la conexión de red, brillo de pantalla)

· Añade modo presentación
Nota: Es encontrado en el centro de movilidad (Tecla de Windows + X) y permite configurar el comportamiento de la maquina mientras das una presentación. Es posible ajustar el protector de pantallas no sea mostrado, el volumen de los altavoces y el fondo de pantalla durante la presentación.

Windows 7 Enterprise

· Disponible solo por licencias de volumen

· Incluye todo funcionalidades de la edición Professional

· Añade BranchCache
Nota:BranchCache: Ayuda a reducir el tiempo que los usuarios en oficinas remotas gastan descargándose archivos de la red

· Añade DirectAccess
Nota: DirectAccess: Da a los usuarios moviles un acceso transparente a las redes corporativas sin necesidad de usar VPN.

· Añade Bitlocker (and Bitlocker-To-Go)

Nota: Bitlocker: funcionalidad para cifrar el contenido de un disco duro

Windows 7 Ultimate

· Disponible través de los fabricantes y en el comercio minorista

· Disponible en ediciones K y KN

· Incluye todo funcionalidades de la edición Enterprise

Un saludo.

Francisco Fraile

Técnico de Soporte Premier

Nativo de VHD en Windows 7

Este blog es una traducción del post de Mike Kolitz Native support to VHD in W7, en el que se describe la entrada en Windows 7 y Windows Server 2008 R2 de opciones para la creación y la gestión de disco duro virtual (VHD) , además de permitir arrancar una máquina física a partir de un archivo VHD. Esto ayudara a nuestros clientes empresariales y la comunidad de desarrolladores a utilizar un formato de imagen y herramientas comunes para la gestión y despliegue de imágenes de Windows que se ejecutan tanto en Hyper-V con máquinas virtuales como en máquinas físicas.

El disco duro virtual de Microsoft de (VHD) es una especificación de formato de archivo a disposición del público el que se define un disco duro virtual encapsulado en un archivo único, capaz de acoger los sistemas de archivos nativos y apoyo a las operaciones de disco estándar. Los VHD se pueden emplear en Microsoft Windows Server 2008 Hyper-V, Microsoft Virtual Server y Microsoft Virtual PC para los discos virtuales conectados a una máquina virtual. Los VHDs son útiles como contenedores, además el formato de archivo VHD también es utilizado por Microsoft Data Protection Manager, Windows Server Backup así como muchos otros productos y soluciones de Microsoft. Para crear un VHD en Windows Server 2008, anteriormente se tenia que instalar el servidor Hyper-V y usar las APIs de función Hyper-V Manager para crear un archivo VHD para, a continuación, instalar una versión de Windows en una partición en el VHD.

En muchos de nuestros clientes el centro de datos esta en transición a máquinas virtuales  Hyper-V para la consolidación de servidores y tener costes energéticos más bajos. También se produce el desplazamiento de un número cada vez mayor de aplicaciones a las máquinas virtuales, que seguirán funcionando en una parte significativa del centro de datos sobre máquinas físicas. La gestión de la integridad de las imágenes que se despliegan a las máquinas físicas y las máquinas virtuales pueden ser un reto. Los administradores de TI tienen que mantener dos conjuntos de imágenes: un conjunto basado en el formato WIM física para máquinas, otro juego basado en el formato VHD de máquinas virtuales. Lo que los administradores necesitan es un formato común y un conjunto de herramientas para hacer más sencilla la administración de imágenes, y reducir así el número de imágenes que se necesita catalogar y mantener.

Desarrolladores y probadores están utilizando máquinas virtuales para probar nuevos sistemas y software de aplicación. Las máquinas virtuales proporcionan una conveniente, y aislada del medio ambiente, forma de reducir la necesidad de prueba en hardware dedicado. Pero a veces es necesario ejecutar las pruebas sobre una máquina física para probar la respuesta al acceder a un dispositivo de hardware , como la tarjeta gráfica, o para obtener perfiles precisos de rendimiento. Un formato de imagen común que se ejecuta tanto en máquinas virtuales como físicas también beneficia a los desarrolladores y probadores.

En esta entrada del blog que vamos a examinar los objetivos del soporte a VHDs como formato nativo en el sistema, el núcleo del sistema operativo compatible con VHDs, y los principales escenarios objeto de despliegue de discos VHD.

Objetivos de soporte nativo para VHDs en Windows Server 2008 R2 y Windows 7

1. Simplificar la experiencia de la creación, gestión y despliegue de imágenes de Windows a través tanto de máquinas físicas como máquinas virtuales utilizando un único formato de imagen y herramientas comunes.
2. Permitir a los sistemas tener varias instancias de Windows instaladas sin usar particiones separadas de disco para una mayor flexibilidad, según sea necesario.
3. Permitir el desarrollo eficiente de software y las pruebas que requiere un entorno de prueba aislado utilizando una imagen común, ya sea esta ejecutada en una máquina virtual o física.

Creación y gestión de VHDs

Windows 7 simplifica la gestión de las imágenes mediante la adición de soporte para discos virtuales en las herramientas de gestión de disco. Ya no es necesario instalar el servidor Hyper-V y el uso de la función Hyper-V Manager para crear VHDs desde la consola. La consola de Administración de Discos puede crear un nuevo archivo VHD, ya sea de tamaño fijo o expandible dinámicamente. Después de crear el archivo VHD, la acción VHD add hace que el disco virtual quede disponible en el sistema como si estuviera enchufado en una unidad de disco duro físico.

Figura 1. Creación de un VHD utilizando la consola Administración de discos

Después de añadir un nuevo disco virtual, se crea una partición y formatea un volumen NTFS en el VHD como si fuera un disco físico. El VHD está listo para que una imagen de Windows se aplique  al volumen y se inicialice para arrancar.

Los administradores con frecuencia prefieren herramientas de línea de comandos, y puede hacerse lo mismo desde el cmd, utilizando en diskpart el comando vdisk. Diskpart también acepta una secuencia de comandos para automatizar los pasos para crear y dar formato a un VHD.  Cuando un VHD contiene un volumen del sistema de archivos adjunto, Windows reconoce automáticamente el volumen y proporciona una opción para explorar el contenido.

Figura 2. Uso de Diskpart para crear un VHD

Núcleo de Apoyo al Sistema de Almacenamiento
El acceso a los contenidos del VHD es proporcionado por un nuevo mini-port driver en la pila de almacenamiento para archivos VHD. El driver es lo que permite las peticiones de E / S de archivos en el VHD ser enviados al sistema de archivos NTFS en la partición donde se encuentra el archivo VHD. Las operaciones también se puede realizar en un recurso VHD compartido en un sistema remoto.

Con Windows Server 2008 R2, Hyper-V ahora utiliza el nuevo soporte nativo para VHDs en el core del sistema operativo. Se han realizado extensas pruebas en una amplia gama de E / S y las pruebaa en escenario con soporte nativa a VHD es increíblemente eficaz. El rendimiento de lectura y escritura, de E / S en diferentes tamaños de bloque, tanto aleatoria como secuencial de E / S, es comparable con el rendimiento del disco físico. Los gráficos siguientes muestran algunos de los resultados preliminares de pruebas de rendimiento en comparación de rendimiento fijo y dinámico sobre archivos VHD entre Windows Server 2008 R2 beta y Windows Server 2008 con Hyper-V. El valor "Bare Metal"  muestra el máximo rendimiento de E / S de disco físico al dispositivo sin utilizar un archivo VHD. Baja el rendimiento al  escribir sobre un volumen dinámico VHDs debiendose a los múltiples E / S necesarios para ampliar el archivo según nuevos bloques se escriben en el disco virtual.

El soporte desde el Sistema operativo de forma nativa sobre VHD ofrece oportunidades para la gestión de los ISVs al aportar un valor añadido a sus clientes sin la complejidad de la introducción de nuevos formatos de imagen. Hay nuevas API de Win32 para operaciones de la imagen sobre VHD que permiten a las herramientas de gestión apoyar el formato VHD como marco de gestión.

Soporte nativo de arranque VHD
El arranque nativo desde VHD permite la transición sin tropiezos a la virtualización mediante un único formato de imagen que arranca tanto en máquinas físicas como máquinas virtuales. El arranque nativo de VHD desde Windows significa que la imagen en un archivo VHD puede arrancar en una máquina física sin iniciar una máquina Hyper-V virtual. Los archivos de imagen VHD hacen que sea fácil que una única máquina física que tenga varias instancias del sistema operativo las tenga disponibles para arrancar en cualquier momento. El soporte al arranque múltiple ha estado disponible en Windows para muchas versiones, pero requería una partición de disco para cada sistema operativo instalado. Ahora soporta de forma nativa el arranque desde VHD de los tres tipos de archivos VHD: fija, dinámica, y diferenciado los discos.

Desarrolladores y probadores pueden utilizar el arranque nativo desde VHD para ejecutar versiones de prueba de nuevos los controladores de dispositivo u otro software para Windows, con pleno acceso a los dispositivos de hardware conectado al sistema. El disco diferencial VHD proporciona una manera conveniente de inicializar un entorno de prueba, la realización de pruebas y la vuelta a un estado limpio o línea de base después de que la prueba se ha completado. La ejecución de pruebas dará lugar a cambios que se realizan sólo en el disco diferencial. Una vez que la prueba está completa, puede volver a limpiar el estado de la matriz del VHD simplemente eliminando el archivo diferencial y mediante la creación de uno nuevo.

El arranque nativo VHD permite a los administradores de TI rápidamente readaptar una máquina para diferentes funciones. Los servidores pueden tener varias aplicaciones de trabajo entre los distintos archivos VHD y cambiar el volumen de trabajo para adaptarse a la demanda. La flexibilidad de múltiples archivos de arranque utilizando VHD también hace que sea fácil de mantener un imagen anterior de Windows disponible para su uso como fall-back en caso de un problema con una nueva imagen.

El arranque nativo desde VHD depende de las mejoras en los datos de configuración de arranque (BCD) para representar el archivo VHD como dispositivo de arranque en lugar de una partición de disco físico. La siguiente imagen muestra un ejemplo de una configuración de arranque múltiple con una entrada de inicio VHD.

Figura 3. Configuración de arranque múltiple con VHD como inicio

El gestor de arranque de Windows 7 y su cargador puede ahora leer los archivos necesarios para iniciar el sistema operativo Windows de la imagen dentro de un archivo VHD. Cuando Windows se inicia desde un archivo VHD, todos los "E / S de disco" para cargar el kernel de los controladores de dispositivo, Sistema de arranque de los servicios, y ejecución de aplicaciones se traduce a I / O para el archivo VHD , y luego de E / S al volumen NTFS y el disco físico. En el apagado, se gestionan todas las operaciones de escritura al mismo nivel que el archivo VHD y partición física subyacente en el orden correcto de la pila de almacenamiento antes de apagar el dispositivo de disco. Debido a estas mejoras de las partes fundamentales del sistema, el arranque nativo desde VHD sólo funciona para VHDs contienen Windows 7 o Windows Server 2008 R2, y no las versiones anteriores de Windows. Esta versión no es compatible con BitLocker, o la hibernación (que incluye la reanudación de la hibernación).

El despliegue de imágenes

Para poner en un equipo con Windows 7 o Windows Server 2008 R2 la imagen del sistema operativo en el archivo VHD, se tiene que aplicar una imagen a la partición en el archivo VHD. Ejecutar el programa de instalación desde el DVD de instalación y la selección de una partición en un archivo VHD para la instalación no es compatible. Aquí hay dos formas de aplicar una imagen WIM VHD:

1. Usar la Install-WindowsImage secuencia de comandos Powershell desde el Código de MSDN.
2. O utilizar la herramienta de despliegue Imagex del kit de instalación automatizada de Windows (WAIK).

El script de Powershell-WindowsImage utiliza el wimgapi.dll en Windows 7 al aplicar una WIM a un VHD. Utilice la secuencia de comandos si no está familiarizado con la WAIK y la herramienta Imagex.exe , o no tiene WAIK disponible.

Ver el documento Instalación de Uso-WindowsImage, para las instrucciones paso a paso sobre cómo crear un VHD WIM y aplicar una imagen de arranque a un VHD.

Los profesionales de TI se interesan en el uso de las herramientas de implementación de WAIK para personalizar y captar una imagen de referencia de Windows y desplegar la imagen en formato VHD ya sea a maquinas físicas o máquinas virtuales. El despliegue de medidas básicas para preparar una imagen personalizada de Windows incluye el texto siguiente:

• Instalar Windows en una partición en un máquina física en primer lugar como máquina de referencia.
• Personalizar la imagen de referencia y la configuración de la instalación de las aplicaciones que desee.
• Ejecute el comando sysprep en el sistema de referencia para generalizar la imagen, se restablece el estado del sistema y la configuración de dispositivos específicos de Windows en la máquina  a su primera instalación y se apaga.
• Captura en la imagen de referencia física de la partición de Windows en un archivo de imagen que se copia a un servidor compartido (WIM).
• Aplicar la imagen de Windows a un archivo VHD e inicializar el entorno de arranque desde el VHD.

El VHD generalizado con un archivo de imagen puede ser copiado y utilizado en múltiples máquinas virtuales o físicas. Una imagen generalizada es necesaria para evitar errores en el inicio del sistema, porque el hardware del nuevo sistema es diferente, y para evitar tener múltiples copias de Windows de la misma máquina con el mismo SID (nombre y la identidad de seguridad), en la red. Durante el primer arranque de Windows del fichero VHD en otra máquina virtual o física, Windows especializará la imagen para la nueva máquina, configurando dispositivos, y preparándola  para la primera utilización. Copiar el archivo de referencia VHD es una manera rápida de obtener un nuevo Windows 7 o Windows Server 2008 R2 para el desarrollo, ensayo, o puesta en producción para los servidores.

Si usted quiere implementar imágenes Windows a varias máquinas, puede aprovechar el servicio de implementación de Windows (WDS) de Windows Server 2008 R2. WDS se refuerza con la posibilidad de añadir archivos de imagen VHD a la imagen del catálogo WDS. El administrador crea grupos de imágenes VHD en WDS para los archivos que están dispuestos a desplegar a las máquinas permitiendo utilizar el arranque desde red, o "arranque PXE". WDS cuando despliega una imagen VHD, el cliente del agente copia el archivo VHD en local y configura el entorno de arranque para arrancar desde este VHD. Todas las aplicaciones y la configuración del sistema se realizan desde el patrón de referencia de la imagen de archivo VHD. Cuando Windows se inicia desde el archivo VHD por primera vez, el sistema se ha especializado como se mencionó anteriormente, para los dispositivos físicos en la máquina objetivo estando ya listo para usar. Eso es muy cómodo y simplifica el despliegue rápido.

Aunque el apoyo al formato nativo VHD  y, concretamente, el arranque, abre un montón de escenarios, nuestros objetivos con esta tecnología son bastante específicos: simplificar la gestión de imágenes para los clientes empresariales ayudando a migrar los servidores a  máquinas virtuales, y permitir el desarrollo eficiente y las pruebas de software en entorno aislado del medio, ya sea para máquinas físicas o máquinas virtuales.  El apoyo a la VHD como formato nativo es uno de los objetivos clave en los escenarios en la empresa, donde el personal de TI está bien versado con diferentes tecnologías de creación de imágenes y herramientas para la gestión de sus clientes y servidores. Un entorno empresarial gestionado también emplea tecnologías como la redirección de carpetas y los perfiles móviles para la gestión de la información del usuario fuera de las imágenes desplegadas VHD. Los desarrolladores apreciarán rápidamente la capacidad de actualizar o sustituir una imagen VHD durante el desarrollo. Los entornos de prueba pueden usar múltiples imágenes VHD y discos diferenciales para un uso más eficiente de las máquinas de pruebas.

Esperemos que este blog de una idea de cómo Windows 7 y Windows Server 2008 R2 soporta VHD como archivos de formato y por qué el formato de imagen común para la física y las máquinas virtuales será interesante para muchos de los entornos del usuario.

Actualización: algunas personas me han preguntado si esta información se aplica a Microsoft Hyper-V Server 2008 R2 también. La respuesta es sí.

Si alguna vez te pasa, no es magia, no es un virus, es solo que el sistema que es muy organizado y te los ha borrado.

Ahora en serio, este post trata de accesos directos se nos han estropeado, por ejemplo porque el destino ya no existe. Este tipo de accesos directos son detectados por el “Solucionador de problemas” que si cuando lanza sus labores semanales de mantenimiento encuentra que hay más de cuatro, los borra.

Se trata de una funcionalidad a priori muy útil, pero si ni te gusta siempre puedes deshabilitarla cambiando la configuración del Solucionador de Problemas y marcando la opción “Desactivado”.

Nuestra recomendación, dejarlo activado pero estar atentos de no tener más de cuatro accesos directos rotos.

Panel de Control – Solución de Problemas – Cambiar la configuración.

Hasta la próxima.

Paloma Garcia

Soporte Premier

En un porcentaje elevado de los casos de soporte es necesaria la obtención, o el análisis, de un volcado de memoria de la máquina para llegar a conocer quien o quienes pueden ser los responsables de una caída inesperada de la máquina, un bloqueo o una degradación en su rendimiento.

Lo mas conveniente es tener el servidor configurado de forma que, en caso de caída inesperada, se genere un volcado automático y este pueda ser analizado con posterioridad.

Para configurar la máquina habremos de seguir los siguientes pasos:

Cómo seleccionar opciones de volcado de memoria

Se pueden generar tres tipos de archivos de volcado de memoria. Seleccione uno antes de desencadenar el archivo de volcado manualmente. Para ello, siga estos pasos:

1. Haga clic con el botón secundario del ratón en Mi PC y, a continuación, haga clic en Propiedades.

2. En la ficha Opciones avanzadas, haga clic en el botón Configuración de Inicio y recuperación.

3. Haga clic en Escribir información de depuración y, a continuación, seleccione Volcado de memoria completa o la opción que deseemos configurar.

También podemos configurar aquí donde quedará guardado el fichero definitivo.

Hemos de tener en cuenta que se generará un fichero temporal en la unidad de sistema, y durante el inicio de la máquina, tras el volcado, este fichero pasará a la ubicación indicada en esta opción, por lo que deberemos de tenerlo en cuenta a la hora de administrar el espacio en disco.

Por esto es muy importante tener al menos un archivo de paginación con el tamaño de la memoria física en la unidad de sistema, si se encuentra en otra unidad no podrá generar el temporal no obteniendo el volcado.

Estas mismas opciones están en el registro, en la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

Con los valores:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CrashControl
CrashDumpEnabled REG_DWORD 0x0 = None
CrashDumpEnabled REG_DWORD 0x1 = Complete memory dump
CrashDumpEnabled REG_DWORD 0x2 = Kernel memory dump
CrashDumpEnabled REG_DWORD 0x3 = Small memory dump (64KB)

Algunos valores adicionales CrashControl:

0x0 = Disabled
0x1 = Enabled
AutoReboot REG_DWORD 0x1
DumpFile REG_EXPAND_SZ %SystemRoot%\Memory.dmp
LogEvent REG_DWORD 0x1
MinidumpDir REG_EXPAND_SZ %SystemRoot%\Minidump
Overwrite REG_DWORD 0x1
SendAlert REG_DWORD 0x1

Se necesita un reinicio para habilitar las opciones configuradas con antelación.

Obtenido de:

307973 How to configure system failure and recovery options in Windows

http://support.microsoft.com/default.aspx?scid=kb;EN-US;307973

254649 Overview of memory dump file options for Windows Server 2003, Windows XP, and Windows 2000

http://support.microsoft.com/default.aspx?scid=kb;EN-US;254649

274598 Complete memory dumps are not available on computers that have 2 or more gigabytes of RAM

http://support.microsoft.com/default.aspx?scid=kb;EN-US;274598

En los casos en que se queda la máquina bloqueada se puede generar un volcado mediante el teclado que nos permita analizar que estaba haciendo en el momento de cuelgue y cuál puede ser el causante.

También se puede emplear para comprobar si el volcado se realiza correctamente en caso de no estar seguros que este correctamente configurado, la forma de configurarlo está reflejado en el artículo siguiente.

Habilitar el Scroll Lock dump –

Para lanzar el volcado de memoria se deberá pulsar la siguiente combinación de teclas:

CTRL+SCROLL LOCK+SCROLL LOCK

Esta opción se habilita en un equipo que utiliza un teclado PS/2, siguiendo estos pasos:

1.Inicie el Editor del Registro.

2.Busque la siguiente sub clave del Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters

3.En el menú Edición, haga clic en Agregar valor y agregue la entrada siguiente del Registro:

Nombre: CrashOnCtrlScroll
Tipo de datos: REG_DWORD
Valor: 1

4.Cierre el Editor del Registro y reinicie el equipo

Para el caso de teclado USB se precisa una versión especial del driver Kbdhid.sys, el cual solo está desarrollado para sistemas servidor y disponible como hotfix.

En el momento que se pulse la combinación aparecerá nuestra querida pantalla azul con el siguiente mensaje:

*** STOP: 0x000000E2 (0x00000000,0x00000000,0x00000000,0x00000000)
The end-user manually generated the crashdump.

Habrá que esperar a que el contador llegue a cien y se reinicie la maquina (en caso de estar seleccionado el reinicio en las opciones del volcado) para que se genere el volcado complete de memoria al disco.

244139 Windows feature lets you generate a memory dump file by using the keyboard

http://support.microsoft.com/default.aspx?scid=kb;EN-US;244139

Cuando no se genera el volcado a pesar de estar la máquina correctamente configurada es muy importante revisar que no tenga configurado o habilitado opciones como Automatic System Restart (ASR) de Compact o elementos similares de otros proveedores, estos se suelen administrar desde las opciones de la BIOS de la máquina.

También se tiene que cumplir la siguiente condición en cuanto a la configuración del disco y el archivo de paginación:

Si se selecciona la opción volcado de memoria completa, se debe tener en el volumen de arranque del sistema un archivo de paginación que sea suficiente para contener toda la memoria física RAM mas 1MB (megabyte). Por defecto el volcado de memoria completa se escribe en el fichero %SystemRoot%\Memory.dmp.

Esto es debido a que en la partición del sistema se aloja el fichero temporal donde se vuelca la memoria hasta el inicio de la máquina y copiado a la unidad seleccionada en las propiedades de la máquina.

Se pueden realizar las mismas opciones para las máquinas virtuales, en este articulo se especifica cómo hacerlo para Virtual Server 2005.

928839 How to use the keyboard to generate a memory dump file on a Virtual Server 2005 guest computer

http://support.microsoft.com/default.aspx?scid=kb;EN-US;928839

Toda esta información aplica a las versiones de W2000, Windows 2003 y Windows 2008 Server.

Espero que esta información facilite la obtención de datos para poder solucionar situaciones que, en algunos casos, resultan críticas para una empresa.

Raúl del Moral Guirado

Técnico de Soporte Premier

Una de las preguntas más frecuentes que nos encontramos los ingenieros de soporte a Directorio Activo en nuestro día a día, ¿Cómo puedo saber si el Directorio Activo está replicando correctamente? ¿Cuándo fue la última vez que replicaron los DCs?. En entornos donde el número de DCs es muy elevado, el hecho de verificar el estado de la replicación se puede convertir en una tediosa tarea que debería realizarse diariamente. Para ayudarnos, utilizaremos la herramienta repadmin disponible en las Support Tools de Windows 2003.

El comando a ejecutar para determinar el estado de la replicación de AD es:

repadmin /replsummary /bysrc /bydest /sort:delta

La salida queda dividida en dos tablas:

• Cada DC cuando es origen de replicación – tabla Source
• Cada DC cuando es destino de replicación – tabla Destination

También podremos encontrar los DCs que no pudieron ser contactados en la parte final.

La columna Largest Delta muestra el máximo tiempo sin replicar satisfactoriamente alguna partición (naming context) entre todos los partners de replicación de un controlador de dominio particular. Las tablas se encuentran ordenadas por esta columna de mayor a menor. La columna Total muestra el número de enlaces de replicación (1 por DC por naming context) y la columna Fails (fallos) muestra el número de enlaces que han reportado error y el tipo del mismo.

Un ejemplo de la salida mencionada se encuentra en la siguiente tabla:

La salida de repdmin /showrepl nos muestra que el equipo HALEDC02 está replicando correctamente las particiones indicadas con su partner de replicación, HALEDC01 y no así con GUPTADC01.

La ultima replicación correcta para HALEDC01, tuvo lugar a las 8:56:57 del día 1 de Diciembre de 2009 para la partición de Schema y a las 9:43.21 del mismo día para la partición del dominio haledomain.com.

Entendemos que este resultado es lógico para el resto de particiones ya que al encontrarse todos los DCs en el mismo Site donde la replicación de AD funciona mediante notificaciones cuando se realiza un cambio para que la sincronización sea prácticamente inmediata. En caso de no existir ningún cambio en la partición la replicación respetará el intervalo configurado en el Site para la misma, por defecto una hora.

Sin embargo, la replicación con el partner GPTADC01 no está funcionando adecuadamente. En la salida se observa que la última replicación satisfactoria tuvo lugar el día 30 de Noviembre de 2009 a las 11:06:32 Posteriormente todos los intentos de replicación (574 intentos) han fallado con el error 1722 (RPC Unavailable).

El ejemplo de la salida mencionada se encuentra en la siguiente tabla:

Espero que esta información os sirva para monitorizar regularmente la replicación de vuestros DCs y para detectar problemas existentes antes de que sea tarde.

Yolanda Muñoz Muñoz

Hola nuevamente.

Dado la muy repercusión que tuvo el video anterior que realizamos decidimos continuar con este formato cuando sea posible.

Esta vez la presentación está dedicada a la instalación del cliente de SCCM.

Esperamos sus comentarios y si surgen dudas, estamos aquí para responderlas.

El video esta publicado en:

Saludos

Gastón Gardonio

Hola de nuevo,

Otra de las novedades que se han introducido en la parte de Networking en Windows Server 2008 R2 es la posibilidad de establecer filtros a nivel de dirección física MAC.

Estos filtros se configuran siempre, y en todo caso, a nivel de servidor (y nunca a nivel de Scope). Entre otras maneras de establecerlos, principalmente resaltar las dos siguientes:

1. A través de la consola mmc de administración del servicio DHCP

2. A través de la herramienta netsh

Ejemplo:   netsh dhcp server v4 add filter allow 00-11-22-33-44-55 "descripcion"

Por último comentar que la definición de un filtro soporta que le especifiquemos direcciones MAC que contengan wildcards. Por tanto, tenemos la posibilidad de definir un filtro válido para las direcciones 11-22-33-*  o 112233*   por ejemplo.

Podéis encontrar más información sobre el tema, así como información sobre el resto de mejoras para el servicio DHCP en Windows Server 2008 R2, en los siguientes enlaces:

• New features in DHCP for Windows Server 2008 R2 / Windows 7
• Distribute DHCP Leases based on MAC Address

Un saludo,

- Javier Rama

Hola a todos. Soy Paula, del equipo de Directorio Activo. Hoy trataremos sobre cómo configurar una relación de confianza de tal manera que podamos restringir qué usuarios acceden a qué recursos.

La manera de restringir el acceso a recursos de un dominio a determinados usuarios de otro dominio con el que se tiene una relación de confianza externa (external trust) o de bosque (forest trust) es configurando dicha relación de confianza para que realice una Autenticación Selectiva. La siguiente imagen procedente de aqui muestra gráficamente la diferencia en el acceso a los recursos dependiendo del tipo de autenticación que se configure (en todo el dominio/bosque o selectiva):

Autenticación en todo el dominio/bosque:

Autenticación selectiva:

Sólo puede habilitarse este tipo de autenticación en relaciones de confianza de bosque o externas. En el caso de una relación de confianza de bosque, el bosque donde residen los recursos (trusting forest) debe tener el nivel funcional del bosque establecido a Windows Server 2003. Si la relación es externa, el dominio donde residen los recursos (trusting domain) debe tener el nivel funcional del dominio establecido a Windows Server 2000 nativo.

Para habilitar la Autenticación Selectiva pueden seguirse estos pasos con un usuario que sea miembro del grupo Domain Admins del dominio (del dominio root si es una relación de confianza de bosque) o Enterprise Admins:

1. Abrir la consola Dominios y Relaciones de confianza de Directorio Activo
2. Hacer click derecho sobre el nodo del dominio que tiene la relación de confianza (si es un forest trust, el nodo será el dominio raíz del bosque) y seleccionar Propiedades
3. En la pestaña Confía, seleccionar la relación de confianza que queramos configurar y hacer click sobre el botón Propiedades
4. En la pestaña Autenticación, seleccionar Autenticación Selectiva

Para que un usuario de un dominio en el que se confía (trusted) pueda acceder a los recursos del dominio que “confía” (trusting) con este tipo de autenticación es necesario dar permisos explícitos a los usuarios del dominio trusted en los recursos determinados del dominio trusting a los que se quiera dar acceso. Este permiso se configura en Directorio Activo en las propiedades del objeto Computer del servidor de recursos concreto y se denomina Allowed to Authenticate (Permitido Autenticarse).

1. Abrir la consola Usuarios y Equipos de Directorio Activo del dominio donde se encuentra la máquina con el recurso al que los usuarios del otro dominio deben acceder
2. Hacer click derecho sobre la cuenta de máquina y seleccionar Propiedades
3. En la pestaña Seguridad, otorgar el permiso de Permitido Autenticarse

Si la relación de confianza que se establece entre dos dominios es unidireccional, para poder agregar a los usuarios del dominio trusted a la seguridad de la cuenta de máquina del servidor a través de la consola de Usuarios y Equipos de Active Directory, se solicita un usuario con permisos para realizar consultas en el dominio trusted. El artículo KB 263956 (You cannot browse users in a trusted domain) describe este escenario y especifica que se necesita un usuario del otro dominio para poder realizar las búsquedas en el dominio trusted  desde el dominio trusting cuando existe una relación de confianza de un solo sentido. Para esta operación es suficiente con un Domain User.

Los artículos que recopilan la información sobre Selective Authentication y el permiso Allowed to Authenticate que hay que darle a los usuarios del dominio en el que se confía son los siguientes:

Enable selective authentication over an external trust

Grant the Allowed to Authenticate permission on computers in the trusting domain or forest

Información interesante sobre consideraciones de seguridad a tener en cuenta a la hora de establecer una relación de confianza y sobre cómo funciona, cómo afecta a los DCs y qué ventajas presenta en cuanto a seguridad una Relación de Confianza con Autenticación Selectiva:

Más información sobre Relaciones de Confianza:

How Domain and Forest Trusts Work

Tener acceso a los recursos entre bosques

- Paula Tomás Galed

Últimamente en nuestro equipo de soporte hemos estado recibiendo muchas consultas y problemas relacionados con WMI. Dado que este componente está siendo utilizado últimamente por varias aplicaciones y cada vez lo será más, creo que va a ser de mucha utilidad para todos la siguiente serie de posts que les presento.

Estarán divididos dado que es mucho material para un solo post.

Cubriremos:

Arquitectura Básica de WMI

Accediendo al repositorio WMI

Pasos Básicos de Troubleshoot de WMI

Troubleshoot de Problemas de Performance de WMI

Hoy comenzaremos con los aspectos básicos de la arquitectura de WMI

Que es el WMI? WMI es un sistema basado en el standard Web-based Enterprise Management (WBEM). Con el podemos acceder a gran cantidad de información almacenada en nuestro sistema operativo Windows. Este acceso a esta información puede ser realizado mediante scripts, .Net (clase system.management) o por líneas de comando.

Podemos dividir la arquitectura de WMI de la siguiente forma:

Como vemos en el punto 2, la estructura de WMI está dividida en 2, el servicio de WMI (winmgmt) y el Repositorio.

El repositorio usa namespace que contienen a su vez sub-namespaces y estos están ordenados en una jerarquía de objetos. Las aplicaciones se conectan primero a un namespace y luego a través de ese namespace puede acceder a los objetos.

El comienzo de estos namespace esta dado desde ROOT/ Luego al iniciar el servicio de WMI se crean namespaces como ROOT/DEFAULT ROOT/CIMV2 . Como vemos en el grafico, el servicio de WMI es el intermediario entre los Providers, las aplicaciones y el repositorio.

Este repositorio aloja información estática de objetos como las clases definidas por los objetos y toda esta información obtenida de los providers cuando el cliente lo requiere.

Un Provider es un objeto COM que controla los objetos de WMI. Este objeto es un componente que puede ser un disco rigido, una tarjeta de red o un servicio. El Provider entrega al WMI la información sobre el objeto y controla los mensajes de los mismos.

Los Providers son una DLL y un fichero Managed Object Format (MOF) que define las clases para el Provider. Los Providers son clasificados por el WMI de acuerdo a lo que realiza el provider.

Por último, debemos hablar de Common Information Model (CIM) y de los ficheros Managed Object Format (MOF).

CIM es un modelo para lenguajes orientados a objetos como C++ y Java. Los desarrolladores de WMI escriben sus clases en lenguaje MOF, una vez que estas clases están estructuradas en MOF, los desarrolladores pueden dar definiciones a las clases.

Esto se hace compilando un fichero MOF en un binario (BMF) e introduciéndola dentro del Windows Driver Model (WDM).

Los Providers se pueden compilar también en MOF y utilizar las APIs de WMI COM para crear la estructura de WMI con sus definiciones.

Finalmente, los Providers pueden usar un compilador MOF (mofcomp.exe) para agregar las clases al repositorio WMI.

Nos vemos en el próximo post

Saludos

Gastón Gardonio

TAGs: WMI arquitectura, basico, providers

El sistema operativo nos ofrece una serie de scripts que nos pueden ser de gran utilidad para la administración de impresoras.

Situados bajo la ruta “%systemroot%\System32\Printing_Admin_Scripts\”  dentro de una carpeta local específica de cada idioma encontraremos lo siguientes scripts.

Si es la primera vez que trabajáis con scripts desde line a de comando, lo primero será configurar Wscript para para que cscript sea el entorno de ejecución por defecto. Par ello basta con ejecutar “cscript //h:cscript //s” si no estamos seguros de si el entorno donde lo vamos a ejecutar está ya configurado de este modo, también podemos incluir esta línea dentro de nuestro script.

Volviendo a los scripts de hoy, estos ofrecen la posibilidad de que les especifiquemos un equipo remoto  contra el que vamos a realizar las tareas, utilizando el parámetro  -S y especificando las credenciales mediante los modificadores  –U y –W . Utiliza –U para especificar la cuenta de usuario (Dominio\usuario) y –W para su contraseña.

Ejemplo:  -S nombreservidor de impresión –u miusuario –w micontraseña

Otra herramienta muy útil es Printbrm.exe , la encontrareis en la ruta “%SystemRoot%\System32\Spool\Tools” una vez instaléis las “Print Services tools” para administración remota o el rol de “Servidor de Impresión”.

• Listar información sobre configuración de impresoras

• Backup y restore de la configuración del servidor de impresión

• Convertir puertos LPR a puertos TCP/IP en el proceso de restauración

• Migrar impresoras y colas de impresión de un servidor a otro

• Publicar impresoras en directorio activo

Veamos un ejemplo para verificar las impresoras y drivers de un servidor

 prndrvr.vbs –l

Otro modo de verlo ejecutando “PrintBrm.exe –Q”

 Un saludo, Paloma García

Técnico de Soporte Microsoft Premier

Hola a todos,

Soy Paula, del equipo de Directorio Activo. Recientemente tuvimos un caso en el que un usuario deshabilitado podía realizar una conexión a LDP y no recibía ningún error (aunque posteriormente no podía navegar por el árbol de la partición del dominio).

A la hora de realizar el BIND mediante la herramienta LDP.EXE, el mensaje recibido era el siguiente (indicando aparentemente que se había realizado la autenticación con las credenciales del usuario deshabilitado user1):

Si obtenemos unas trazas de red de dicha conexión, se muestra un BIND exitoso:

En condiciones normales, un usuario deshabilitado no puede realizar una conexión LDAP a Directorio Activo ya que se deniega su acceso indicando que sus credenciales son inválidas:

Este mensaje de red se puede observar también en la respuesta obtenida del DC (servidor LDAP) en las trazas de red:

Revisando el visor de sucesos de Seguridad del DC de nuestro entorno de pruebas tras realizar el intento de conexión con el usuario deshabilitado user1, observamos la siguiente secuencia de eventos:

En cambio, en el visor de sucesos del DC del entorno que aparentemente autenticaba al usuario deshabilitado se podían ver los siguientes eventos:

Los tres primeros eventos son iguales en ambos casos:

·         El evento 672 indica que se ha intentado realizar una autenticación por KERBEROS con el usuario user1 y se ha devuelto el error 0x12. Este código de error se traduce al siguiente mensaje que indica que el usuario ha sido “revocado”:

 KDC_ERR_CLIENT_REVOKED à Clients credentials have been revoked

·         El evento 552 indica que se está intentado realizar una conexión al DC utilizando el usuario user1.

·         A continuación se muestra el evento 680 indicando que el intento de autenticación del usuario user1 ha resultado fallido y proporciona el código de error 0xC0000072 correspondiente al siguiente mensaje (cuenta de usuario deshabilitada):

STATUS_ACCOUNT_DISABLED à The referenced account is currently disabled and may not be logged on to.

El evento que aparece a continuación de los anteriores es distinto en ambas situaciones:

·         En el primer caso (el usuario no puede realizar la conexión LDAP – comportamiento esperado), se recibe el evento 531 indicando que la cuenta de usuario está actualmente deshabilitada: Account currently disabled

·         En el entorno que aparentemente permite la conexión del usuario aparece el mismo intento fallido de autenticación pero se observa que, inmediatamente después, existe un intento exitoso de autenticación del usuario Invitado o Guest (evento 680).

Por lo tanto, en realidad no es el usuario user1 el que se está autenticando en el BIND de la conexión LDAP (aunque sea esa la percepción desde el cliente LDAP), sino que su autenticación es denegada y automáticamente se realiza otra autenticación con el usuario Invitado porque dicho usuario se encontraba HABILITADO en el entorno.

La razón de que el usuario posteriormente no pudiera acceder a los datos de la partición del dominio era precisamente por haber realizado la autenticación con la cuenta Invitado, ya que por defecto esta cuenta no tiene permisos de lectura sobre AD.

Es importante resaltar que la recomendación es que la cuenta Invitado permanezca deshabilitada por motivos de seguridad.

Más información sobre la cuenta Invitado (Guest):

User and computer accounts

Threats and Countermeasures. Chapter 5: Security Options

Microsoft Security: Windows 2000 Server Baseline Security Checklist

-      Paula Tomás Galed

Replicación de drivers de impresora en un clúster Windows 2003

En Windows Server 2003, los drivers de impresora en un servidor de impresión en clúster son almacenados en un disco compartido y replicados a todos los nodos del clúster. Los drivers son guardados en un directorio bajo el raíz del disco compartido del cual el servicio spooler o cola de impresión depende, llamado PrinterDrivers

Nota Este nombre de carpeta no podrá ser cambiado aunque haya una propiedad privada de recurso que de pie a ello.

Cuando un driver de impresora es actualizado, es establecido el valor TimeStamp en el registro al sello de fecha y hora incluidas en el driver. Cuando el recurso spooler o cola de impresión su estado pasa a Online, él comprueba este valor bajo la siguiente rama del registro:

HKLM\Cluster\Resources\%GUID%\Parameters\Environments\Windows NT x86\Drivers\Version-3\%DriverName%\TimeStamp

Y lo compara con el valor:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Print\Cluster\%GUID%\Windows NT x86\Version-3\%DriverName%\TimeStamp

Nota %GUID% corresponde al identificador en el registro del recurso spooler o cola de impresión

Si él encuentra que la versión bajo la primera rama es mas nuevo que el de la segunda, el driver actualizado es descargado desde el disco compartido al disco del sistema operativo del nodo.

Se comprueba driver por driver, y si hay alguna diferencia de versión, son descargados desde la carpeta o directorio \PrinterDrivers del disco compartido a la siguiente ruta local del nodo %SystemRoot%\System32\Spool\ResourceGUID\Drivers, donde ResourceGUID es el identificador único global (GUID) que representa al recurso spooler o cola de impresión. Estos drivers son mantenidos aparte de cualquier driver instalado en el nodo o de otro recurso spooler en configuraciones activo/activo.

Imagen 1: Directorio con el GUID del recurso spooler

En un servidor de impresión no en clúster, los drivers para cada sistema operativo son almacenados en directorios diferentes. Una simple impresora puede tener diferentes drivers cargados y cada uno de estos está almacenado en una carpeta diferente bajo Drivers. El Cluster mantiene las mismas convenciones en la separación de drivers bajo cada carpeta GUID de cada recurso de spooler o cola de impresión.

La replicación de todos los drivers puede incrementar el tiempo que a un recurso spooler o cola de impresión pasar su estado a online, porque cuando un driver es actualizado, el spooler debe comprobar la lista de todas las impresoras pare ver cuáles son las impresoras afectadas (y ver si usa algún archivo actualizado) y si así fuera, decir a la impresora que actualice su información de driver. No se pasara el estado del recurso spooler o cola de impresión a Online hasta que esta comprobación y actualización este completa. Este retraso no afectara a otros nodos hasta que el recurso spooler se ponga online por primera vez en ellos. Cuando tu agregas un gran número de colas de impresión y drivers de una vez, es altamente recomendado que después de haberlas añadido, muevas el recurso spooler o cola de impresión a cada uno de los nodos en el clúster. Esto necesita ser hecho solo una vez, y cuando el recurso es puesto online ocurrirá la replicación de los driver. Esto asegura que todos los nodos tienen los drivers más actuales. El tiempo de failover será menor después que la que mayoría de los drivers estén replicados para las siguientes impresoras que añadas.

El spooler y otras aplicaciones no deberían copiar drivers de impresora directamente al disco compartido, porque si se produjese un failover el proceso de carga de drivers obtendría un error de E/S. Esto es el por qué los drivers son descargados y mantenidos en cada uno de los nodos localmente. Cuando se accede a un driver, se usa rutas UNC (\\%VirtualServer%\print$\%GUID%) en vez de la ruta local al driver (%SystemRoot%\System32\spool\Driver).

El sitio de Windows Update es seguro usarlo en los clúster. Si es usado el actualizara los drivers en el nodo local y también en los servidores virtuales, pero para poder hacerlo el recurso spooler debe estar online en el nodo donde se está usando Windows Update.

A la hora de borrar un recurso cuando un nodo está offline, la próxima vez que el nodo este online borrara la carpeta GUID del nodo local.

Cuando borras un recurso spooler, ocurren dos cosas:

1. La carpeta GUID es borrada del nodo local (o marcada para borrar en el reinicio si los archivos de un driver están en uso).
2. La carpeta PrinterDrivers es borrada del disco compartido.

El resto de los nodos (sin hacer caso si están online u offline) llevaran a cabo una limpieza cuando el Servicio de clúster inicie (ya que había una marca para borrado porque los archivos del driver estaban en uso). Esto es debido a cuando un recurso es borrado el servicio de clúster solo notifica a la DLL de recursos en el nodo donde el recurso está siendo borrado.

Una cosa a tener en cuenta a la par de la replicación de los drivers entre los discos compartidos y los nodos es la información que se pasan los nodos a través de la rama CLUSTER del registro. A veces debemos ser cuidadosos a la hora de agregar muchas impresoras y tenemos configurado un reseteo del log de quórum cada pocos KB. En un movimiento o failover puede perderse información relacionada con colas de impresión si es muy bajo el valor.

Para incrementarlo sigue estos pasos:

1. Abrir la consola de administración de clúster (CluAdmin.exe).
2. Clic con el botón derecho sobre el nombre de clúster en la parte superior izquierda, y luego Propiedades.
3. Clic en el tabulador de Quorum.
4. En la caja Reset quorum log at, teclear un valor mayor que el tamaño del archive CLUSDB en el carpeta \windows\cluster.

Nota Introducir un valor múltiplo de 64. Por ejemplo, 5120 o 8192.

Nota Este valor es global y solo necesita cambiarse en un nodo. El servicio de clúster llevara este cambio al resto de nodos y el cambio es dinámico no es necesario reiniciar el servicio de clúster.

Troubleshooting (solucionando problemas)

Directorio o carpeta del driver corrupta

Cuando una carpeta de un driver esta corrupta, cualquier impresora cuyo driver este corrupto no imprimirá. Puedes encontrar en alguna situación que una impresora en un nodo puede imprimir correctamente, pero desde otro nodo por la misma impresora no es posible. Esto puede ser debido a un driver corrupto o faltan archivos del driver en el nodo. Para corregir esto tú puedes manualmente forzar el borrado de todos los drivers del nodo y luego llevar a cabo una replicación completa desde el nodo que no tiene problemas.

Ya que el Servicio de clúster comprueba si las versiones coinciden en el failover, sería raro que en un failover el recurso spooler no propagara los drivers correctos al otro nodo..

Si la carpeta GUID en uno de los nodos esta corrupta puedes hacer una de estas cosas:

• Restaurarla de un backup
• Quitar y volver añadir el nodo problemático de la lista de la caja Possible Owners para recrear los drivers.

Con esta última opción el servicio de clúster copiara los drivers del disco compartido al disco local del nodo:

1. Abrir el administrador de cluster, y mover el grupo que contiene el spooler al nodo que sospechamos que no tiene los drivers corruptos.
2. Clic con el botón derecho en el recurso del spooler o cola de impression y luego Take Offline.
3. Doble clic en el recurso Spooler, y luego clic en Modify bajo Possible Owners.
4. Mover el nodo que sospechas que tiene el problema a la lista Available Nodes, y luego clic en OK.
5. Clic en Apply.
6. Clic en Modify bajo Possible Owners, y luego mueve de vuelta el nodo problemático a la lista Possible Owners.
7. Clic en OK, y luego clic en OK.
8. Mover el grupo que contine el recurso spooler al nodo problematico.
9. Clic con el derecho sobre el recurso Spooler, y luego en Bring Online.

Esto causara que el recurso Spooler recree los drivers en el nodo local. Los driver viejos pueden ser movidos dentro de una carpeta llamada old dependiendo si pueden ser borrados o no. Si los driver en el nodo problemático todavía parecen estar corruptos, reinicia el nodo después de que lo hayas quitado de Possible Owners. Cuando tú hagas esto, cualquier driver que tuvieran handles abiertos serán cerrados. Normalmente este paso no es necesario.

Nosotros recomendamos que uses drivers de nivel 3 en pro de la estabilidad del clúster. Evita los de nivel 2 o de modo núcleo. Ellos pueden causar un stop e inestabilidad en el sistema.

Carpeta PrinterDrivers esta corrupta o le faltan archivos

Si por cualquier razón, la carpeta \PrinterDrivers en el disco compartido se pierde o la información que contiene se daña o se borra, tu puedes usar uno de los siguientes métodos para recuperarla:

· Restaurar de un backup.

· Copiar desde la carpeta %SystemRoot%\System32\Spool\SpoolerResource GUID a %SharedSpoolerDisk% y renombrar SpoolerResource GUID a PrinterDrivers.

· Reinstalar las impresoras (la carpeta PrinterDrivers es recreada cuando un driver es instalado).

Hola a todos. Soy Paula, del equipo de Directorio Activo. Hoy vamos a tratar un tema por el que nos preguntan en Soporte.

A veces, cuando se realizan consultas LDAP a Directorio Activo (utilizando alguna herramienta o programa a medida), no se devuelven todos los resultados que esperamos. Podemos, por ejemplo, solicitar todos los usuarios de una determinada Unidad Organizativa en la que sabemos que hay 3000 usuarios para luego realizar algunas modificaciones sobre ellos. Sin embargo, al ejecutar la consulta LDAP, AD sólo nos devuelve 1000 usuarios, con lo cual la búsqueda no nos sirve...

Este comportamiento se debe a que Directorio Activo devuelve por defecto un máximo número de objetos (1000) en una única búsqueda, aunque los objetos que cumplan los parámetros de búsqueda sean más de ese número por defecto. Este límite viene dado por el valor MaxPageSize de la política LDAP en Directorio Activo.

El valor puede ser modificado y adaptado a las necesidades concretas que tengamos. Para modificar dicho valor es necesario realizar la operación con un usuario con credenciales de Enterprise Admin.

No se recomienda cambiar su valor para recibir un mayor número de objetos en una única consulta LDAP, sino realizar búsquedas paginadas en el Directorio Activo. De esta manera se dividirá la búsqueda en varias búsquedas “más pequeñas” que cumplirán con el límite máximo establecido para cada una de ellas.

¿Por qué no se recomienda cambiar el valor de MaxPageSize?

Porque su modificación puede producir efectos negativos sobre el rendimiento de los DCs y el tráfico generado en la red.

Se puede encontrar más información sobre el valor MaxPageSize y cómo consultarlo y/o modificarlo con ntdsutil.exe en el siguiente enlace:

315071  How to view and set LDAP policy in Active Directory by using Ntdsutil.exe

“MaxPageSize - This value controls the maximum number of objects that are returned in a single search result, independent of how large each returned object is. To perform a search where the result might exceed this number of objects, the client must specify the paged search control. This is to group the returned results in groups that are no larger than the MaxPageSize value. To summarize, MaxPageSize controls the number of objects that are returned in a single search result.
Default value: 1,000”

Si se modifican los límites establecidos por defecto existe un problema potencial de rendimiento. Estos límites han sido probados y se seleccionaron por considerarse óptimos o recomendables. Para entornos específicos pueden ser modificados pero siempre teniendo en cuenta que pueden suponer un problema de rendimiento en el futuro. También hay que recordar que el valor se cambia a nivel general en la política LDAP de AD, por lo que afectará a todos los DCs.

¿Cómo resolver la situación sin modificar el valor de MaxPageSize?

La recomendación para realizar consultas LDAP es realizar dichas consultas de manera paginada (los diferentes lenguajes de programación a través de APIs para LDAP ofrecen mecanismos para llevar este tipo de búsquedas a cabo), con lo que se recibirían los datos de 1000 en 1000 (registros), en lugar de modificar el tamaño de la página que nos devuelve Directorio Activo. De hecho, aunque aumentemos el tamaño del valor MaxPageSize, es posible que tampoco sea suficiente y la búsqueda no devuelva todos los resultados esperados (el número de objetos puede crecer en el tiempo y superar el nuevo límite de MaxPageSize).

Se puede encontrar más información sobre las diferentes políticas LDAP, incluyendo MaxPageSize en el siguiente enlace:

3.1.1.3.4.6 LDAP Policies

Como ya se ha comentado, las políticas LDAP proporcionan límites operacionales para consultas/operaciones LDAP y deben ser configuradas de tal manera que garanticen un nivel de servicio aceptable sin impactar al rendimiento de los DCs y evitando así también ataques de denegación de servicio.

Información específica sobre las políticas LDAP en Windows Server 2008:

LDAP policies

“To ensure that domain controllers can support service level guarantees, you can specify operational limits for a number of Lightweight Directory Access Protocol (LDAP) operations. These limits prevent specific operations from adversely impacting the performance of the server and also make the server resilient to denial of service attacks.”

Más información sobre los límites administrativos de LDAP para AD en la información sobre la herramienta Microsoft Exchange Server Analyzer Tool que analiza configuraciones erróneas entre otros:

Microsoft Exchange Server Analyzer Tool – Active Directory settings
MaxPageSize is set too high

“The Microsoft® Exchange Server Analyzer Tool queries the Active Directory® directory service to determine the setting for the MaxPageSize value for the LDAPAdminLimits attribute of the Default Query Policy object in the Query-Policies container. If the Exchange Server Analyzer determines that the value for MaxPageSize is greater than 2,500, an error is displayed.

The Lightweight Directory Access Protocol (LDAP) administrative limits balance Active Directory operational capabilities and performance. These limits prevent specific operations from adversely affecting the performance of the server. The limits also make the server resilient to denial of service attacks. Increasing this setting beyond its default value could have an adverse impact on your Active Directory infrastructure.“

Información adicional sobre las búsquedas paginadas:

• Retrieving Large Results Sets
• Paging Search Results
• ldap_search_ext
• LDAP_PAGED_RESULT_OID_STRING

Espero que la información os resulte útil a la hora de realizar consultas LDAP en vuestro directorio.

Paula Tomás Galed

Hola, soy Javier Rama, del equipo de Directorio Activo / Networking.

Hace algunos días, un cliente nos preguntaba cómo ocultar las carpetas y ficheros de un share a los usuarios que no tienen permisos para acceder a ellos.

Para acometer dicha tarea, tenemos disponible la tecnología ABE (Access Based Enumeration) gracias a la cual, el servidor de ficheros ocultará las carpetas y ficheros en función de los permisos del usuario que accede a dicho recurso.

ABE es una funcionalidad que está incluida en Windows Vista y en Windows Server 2008, pero además está disponible como descarga para Windows Server 2003 en el siguiente enlace:

Microsoft Download Center:  Windows Server 2003 Access-based Enumeration

http://www.microsoft.com/downloads/details.aspx?FamilyId=04A563D9-78D9-4342-A485-B030AC442084&displaylang=en

Antes de habilitar ABE sobre cualquier recurso compartido, debemos tener en cuenta las siguientes consideraciones:

· ABE está pensada únicamente para shares de red, por ejemplo \\servidor\carpeta. Sin embargo, si accedemos a través del explorador (ruta C:\carpeta por ejemplo) esta tecnología no nos servirá.

· Además, también es oportuno apuntar que, habilitar ABE sobre una carpeta compartida añade una carga extra de CPU al servidor (el cual comprobará los permisos del usuario que intenta acceder con el contenido de la carpeta, y determinar así qué elementos mostrar).  En escenarios en los que se produzcan muchos accesos a los recursos, será necesario tener en cuenta este punto.

CONFIGURANDO ABE

1- Una vez instalado ABE, será necesario habilitarlo en cada uno de los shares que deseemos. Para ello podemos proceder de dos maneras:

a) A través de la interfaz gráfica de usuario (Clic derecho sobre el share -> Propiedades -> Pestaña Access Based Enumeration -> Marcar checkbox Enable Access-based Enumeration in this shared folder ).

b) Desde línea de comando a través de la herramienta  abecmd

Se puede encontrar información detallada sobre este comando en en siguiente enlace:

Windows Server 2003 Access-based Enumeration

http://www.microsoft.com/windowsserver2003/techinfo/overview/abe.mspx

2- Una vez habilitado ABE sobre un share y, habiendo configurado los permisos oportunos para los distintos usuarios, conseguiremos el efecto que aparece en las siguientes capturas (los ejemplos que aparecen a continuación corresponden al enlace anterior):

Figura 1 - Recurso compartido “Customer Accounts” con ABE deshabilitado.

Como vemos en la Figura 1, el usuario puede ver todo el contenido del share independientemente de tener permisos de acceso para cada elemento o no.

Con el checkbox Enable access-based enumeration on this folder habilitado desde las propiedades de la carpeta “Customer Accounts” , el usuario únicamente ve las carpetas a las cuales puede acceder (Figura 2).

Figura 2 - Recurso compartido “Customer Accounts” con ABE habilitado.

Cuando necesitamos analizar una captura de performance monitor, hay algunos cambios en la visualización que nos ayudarán en el análisis de los mismos:

• Eliminar líneas verticales que impiden ver el gráfico
• Mostrar separadores de coma
• Mostrar los identificadores de proceso
• Mostrar la línea del proceso marcado en otro color

Eliminar líneas verticales que impiden ver el gráfico

Para habilitar o deshabilitar este comportamiento:

1. Inicie Regedit.exe.
2. Busque la clave siguiente: HKEY_CURRENT_USER\Software\Microsoft\SystemMonitor
3. En el menú Edición, haga clic en Nuevo y, a continuación, en Valor DWord.
4. Escriba el valor siguiente en el cuadro Nombre: DisplaySingleLogSampleValue
5. Configure el valor como 1 si no desea ver los indicadores de línea vertical o como 0, que es la opción predeterminada, para mostrarlos.

En la herramienta Sysmon aparecen líneas verticales que impiden ver el gráfico

Antes

Después

Mostrar separadores de coma

1. Inicie el Editor del Registro (Regedit.exe).
2. Busque y haga clic en la siguiente clave del Registro:
3. HKEY_CURRENT_USER\Software\Microsoft\SystemMonitor\
4. En el menú Edición, haga clic en Nuevo y agregue el siguiente valor del Registro:
Nombre de valor: DisplayThousandsSeparator
Tipo de datos: DWORD
Datos de valor: 1
5. Salga del Editor del Registro.

Cómo mostrar separadores de coma en Monitor de sistema

Mostrar identificadores de proceso

1. Para habilitar o deshabilitar PID en nombres de los procesos, siga estos pasos:
2. Haga clic en Inicio , haga clic en Ejecutar , escriba regedit y, a continuación, haga clic en Aceptar .
3. Busque y haga clic en la siguiente subclave del Registro:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PerfProc\Performance
4. En el menú Edición , haga clic en Nuevo y, a continuación, haga clic en Valor DWORD .
5. Haga clic con el botón secundario del mouse (ratón) en Nuevo valor # 1 , haga clic en Cambiar nombre y, a continuación, escriba ProcessNameFormat para nombrar el nuevo valor.
6. Haga clic con el botón secundario del mouse (ratón) en ProcessNameFormat y, a continuación, haga clic en Modificar .
7. En el cuadro Valor de datos , escriba uno de los siguientes valores y, a continuación, haga clic en Aceptar :
• 1 : deshabilita datos PID. Este valor es el valor predeterminado.
• 2 : permite datos PID.
8. Editor del Registro de salida.

Importante Si habilita esta característica, puede no se puede supervisar información específicos de procesos mediante utilidades de terceros o programas personalizados.

El objeto Proceso en el Monitor de rendimiento puede mostrar los identificadores del proceso (PID)

Mostrar la línea de proceso en otro color

Dos opciones pulsar botón con forma de bombilla o la combinación de teclas Ctrl+Y

- Paloma García Martín