Archivo

Archive for the ‘Windows Server’ Category

Rollback Forest/Domain functional level o como volver atrás el nivel funcional de tu Dominio o Foresta

Si elevaste el nivel funcional de tu dominio y tenias aplicaciones legacy que no son compatibles… bueno, no hay solución…

Sería un post muy corto, y triste, si eso aún fuese cierto.

Por suerte para nuestras aplicaciones legacy, con la introducción de Windows Server 2008 también se incluyó la capacidad de hacer rollback a nuestro nivel funcional ya sea tanto de nuestro dominio como de nuestra foresta.

Para poder realizar este cambio deberá realizar los siguientes pasos:

 

1. Si tienes alguna version inferior a Windows Powershell 3.0 deberás importar el módulo de AD (o abrir directamente el acceso directo de Active Directory Powershell):

Import-Module –Name ActiveDirectory

2a. Verificar el nivel actual del Forest

Get-ADForest | ft Name,ForestMode –Autosize

2b. Verificar el nivel actual del Dominio

Get-ADDomainMode | ft Name,DomainMode – Autosize

3a. Cambiar el nivel funcional del Forest

Set-ADForest –Identity “MiForesta.com” –ForestMode Windows2008Forest

 

3b. Cambiar el nivel funcional del Dominio

Set-ADDomain –Identity “MiDominio.com” –ForestMode Windows 2008Domain

 

4. Verificar el nivel actual del dominio o de la foresta utilizando el punto 2a o el 2b dependiendo del caso.

 

Importante: Aún el soporte oficial de Microsoft estipula que solo se puede elevar el nivel funcional de un dominio o foresta productiva, por lo que el procedimiento descrito solo debe ser usado en ambientes de laboratorio o bajo un caso de soporte de Microsoft en donde se haya evaluado el impacto de realizar este rollback.

Anuncios

Elevando el nivel funcional de tu dominio? lee esto antes de comenzar

Elevar el nivel funcional de un dominio es un proceso simple de realizar que no debiese requerir mayor planeamiento que evaluar el impacto de las aplicaciones legacy que pudiesen requerir un nivel funcional inferior.

Sin embargo a veces esto no es del todo cierto… Si vamos a elevar nuestro nivel funcional desde Windows Server 2003 a Windows server 2008/2008R2/2012/2012R2 debemos considerar que la contraseña del servicio KRBTGT (Key distribution service center account) será reseteado.

Si bien esto generalmente no tiene mayor impacto (incluso es parte de nuestro procedimiento de recuperación de desastres) sobre las aplicaciones, hay situaciones en las que las aplicaciones que consumen nuestro dominio de ActiveDirectory no pueden autenticar a los clientes conectados (Hello Exchange!!).

Debido a esto debemos tener la siguiente precaución al elevar el nivel funcional de nuestro dominio:

 

1. Luego de elevar el nivel funcional, debemos conectarnos a nuestro servidor de Active Directory de Windows Server 2003 en busca de los eventos EventID 14 KDCEVENT_NO_KEY_INTERSECTION_AS (Microsoft-Windows-Kerberos-Key-Distribution-Center) y EventID 10 KDCEVENT_KRBTGT_PASSWORD_CHANGE_FAILED (Microsoft-Windows-Kerberos-Key-Distribution-Center).

2. Si no vemos estos eventos logueados luego de unos minutos (asegurense que hay usuarios iniciando sesión o utilizando Exchange…), debemos realizar nuestras pruebas para asegurarnos de que esta todo bien.

 

3. Si vemos estos eventos… mala suerte en el trabajo, buena suerte en el amor (o algo así), debemos resolver nuestro problema de autenticación de usuarios simplemente reiniciando el servicio de KDC en todos nuestros controladores de dominio.

 

¿Como?

  • Opción 1: Debemos ir a la consola de servicios (Services.msc) y reiniciar el servicio Kerberos Key Distribution Service.
  • Opción 2: Utilizar una consola de comandos (CMD) con permisos administrativos y ejecutar la linea “SC \\ComputerName Stop kdc” (en donde ComputerName es nuestro controlador de dominio) y luego “SC \\ComputerName Start kdc”.
  • Opción 3: Utilizar Powershell “Get-Service KDC –ComputerName Computer | Restart-Service” (en donde Computer es nuestro controlador de dominio).
  • Opción 4: Utilizar Powershell y hacer el cambio masivo en todos los controladores. Personalmente no recomiendo esta opción ya que podría dejar usuario sin servicio durante el reinicio de los servicios (valga la redundancia). Siempre es mejor realizar el proceso de manera manual. Pero sin son Vikingos y no le temen a nada, esta sería la forma de hacerlo:
    • Abrir un Windows Powershell con permisos administrativos
    • $DC=Get-ADDomainController
    • Get-Service KDC –ComputerName $DC | Restart-Service

Happy updates!!

Problema emergente en el login de usuarios de Exchange al instalar KB3002657

El día de ayer nos informaron de un problema emergiendo en los usuarios de Exchange, luego de que se instale la actualizacion KB3002657 en controladores de dominio de Windows 2003.

Esta actualización incluye un parche para NETLOGON.dll que resuelve una vulnerabilidad en Windows que permite realizar spoofing desde un atacante que utilice un equipo que es parte del dominio de Windows.

Al instalar esta actualización en servidores de Windows Server 2003 (y se han reportado problemas tambien en algunos servidores 2008 y 2012) los requests de autenticación fallan con eventos logueados de tipo Event ID 4625 en la fuente Microsoft-Windows-Security-Auditing.

En el caso de los usuarios de Exchange, los que utilicen el servidor afectado para el inicio de sesión no podrán hacerlo, ya sea por OWA o a través de Outlook.

Al apuntar a otro servidor no afectado por el problema, los usuarios podrán iniciar sesión.

 

Si aún no lo han instalado, deberán esperar a que se libere una version 2 de la actualización.

Si ya lo instalaron y presentan problemas de autenticación, es necesario que se comuniquen con la atención de soporte de Microsoft para obtener un parche temporal que resuelve el problema generado. En el caso de los clientes con soporte premier (http://premier.microsoft.com) deberán escalar con su TAM para una resolución más rápida.

Por el momento no se recomienda la desinstalación de la actualización ya que podría generar problemas de seguridad debido al tipo de ataque que soluciona en una primera instancia. Si no cuenta con la posibilidad de crear casos de soporte y no ha actualizado todos sus servidores, es recomendado que aisle los servidores afectado en orden de asegurar el login de sus clientes hasta la salida de la actualización oficial que corrija este problema.

Cambio de Hora en Chile – Nueva zona horaria –03:00

En Chile acabamos de pasar de una zona horaria Santiago –04:00 a Santiago –03:00 en orden de eliminar los cambios generados por el horario de verano (que atrasaba o adelantaba en una hora para el ahorro energético).

Si bien hemos pasado por muchos periodos de reacondicionamiento de la fecha en la que realiza el cambio de hora, es la primera vez que nos cambiamos de huso horario, al parecer, de manera definitiva. La razon de esto es que el Gobierno de Chile a definido que el ahorro energético se ha vuelto marginal y por otro lado, los sistemas se han vuelto cada vez más complejos en cuanto a su requerimiento de “perfeccion horaria”, por lo que estos cambios, generan impacto negativo en muchos negocios.

 

El cambio de hora y zona horaria, si bien no debiese impactar mayormente las aplicaciones ya que estamos en la misma hora que la definida en el huso horario –03:00, si tiene factores estéticos y de funcionalidad entre sistemas que piensan que nuestro huso horario es –04:00 y otras que piensan que es –03:00.

Debido a esto, les resumo la situación de Exchange y Outlook:

 

________________________________________________________________

ACTUALIZACION

Ya fue liberado el Rollup Update nro 9 para Exchange 2010 con Service Pack 3 que incluye, entre otras cosas, la actualizacion para la zona horaria de Chile y Mexico.

Pueden descargar el RU9 desde el siguiente Link: https://support.microsoft.com/en-us/kb/3030085 

Importante 1: Si los servidores de Exchange tienen  Spanish Chile en sus Regional Settings (configuración regional) el RU9 no se instalará correctamente. Es necesario cambiarlo a English United States para que no tengan problemas.

Importante 2: Al instalar la actualización es posible que las agendas tengan problemas con la hora de la cita. Para esto deberán seguir el instructivo de corrección detallado en: https://support.microsoft.com/en-us/kb/3048372 

________________________________________________________________

 

 

Windows Server y Desktop: Información detallada en http://support2.microsoft.com/gp/cp_dst/es-cl. Lo único que deben hacer los usuarios es instalar el hotfix http://support.microsoft.com/en-us/kb/3039024/es-cl disponible para todas las plataformas actuales de Windows Server y Windows Desktop (Si, XP tambien está incluido 🙂 )

 

Microsoft Exchange Server 2010/2013: Se está liberando una nueva actualizacion acumulativa (la nro 8) para Exchange 2013 que ya incluye el cambio en la zona horaria de Santiago. Esperen una próxima actualización acerca del rollup update para Exchange 2010.

 

Clientes Outlook: Los clientes Outlook utilizan la llave de registro de Windows asociada al TimeZone para leer su información de zona horaria, por lo que en este caso si ya está instalado el update no deben realizar ningún paso posterior.

 

Clientes OWA: Los clientes de OWA verán aún en Exchange la información de zona horaria en –04:00 en vez de –03:00, sin embargo el servidor utiliza la informacion del registro para actualizar la informacion de la agenda, por lo que es posible que haya una disparidad entre dos usuarios con calendario compartido, pero si todos los servidores (incluyendo los extranjeros) están actualizados, se debiese ver la hora correctamente.

Adicionalmente al crear un nuevo usuario, la primera vez que ingrese a OWA y le sea preguntado su zona horaria, verán Santiago –04:00.

 

Clientes ActiveSync: El mismo síntoma que los usuarios de OWA, aunque menos notorio, ya que activesync no permite ver calendarios compartidos.

 

Clientes POP e IMAP: No se verán impactados por el problema.

 

En el caso de otras aplicaciones, no hay información aún al respecto, pero nos encantaría oír sus comentarios. Así que sientanse libres de comentar y trataré de responder lo antes posible.

 

Happy updates!!

Instalando System Center Operations Manager 2012 R2

febrero 25, 2014 1 comentario

 

En mi organización ficticia (unifica2.cl) estoy implementando una serie de plataformas para mis diferentes necesidades (correo electrónico, comunicacion unificada, bases de datos, etc) y como toda buena organización, mi dinero lo quiero bien resguardado en un servicio que se mantenga estable en todo momento. Para esto necesito, además de mi plan de mantención periódico, una aplicación que pueda notificarme en todo momento cuando mis servicios estén en problemas.

Para esto decidí aprovechar mi infraestructura de SQL e implementar System Center Operations Manager 2012 R2.

El proceso completo de instalación está descrito a continuación y en siguientes post incluiré los procedimientos para monitorear los diversos servicios en mi organización.

 

Referencia de implementación:

http://technet.microsoft.com/en-us/library/dn249696.aspx 

http://technet.microsoft.com/en-us/library/hh298611.aspx

 

Instalación de los prerrequisitos

 

1. Mapear el disco de SCOM 2012 R2 en la maquina virtual o colocar el DVD de instalación en el servidor físico.

2. Instalar AuthManager con el siguiente comando desde un command prompt o una ventana de Powershell inciada con permisos administrativos.

dism /online /enable-feature /featurename:AuthManager

image

3. Como instalaré los servicio web de SCOM necesito instalar los prerrequisitos de web server

Me aseguro te tener los servicios de activación de .NET 4.5

image

Y la compatibilidad con la administración de IIS6

image

Y termino la instalación de mi webserver

image

 

4. Instalamos Silverlight 5

image

 

5. Instalo Microsoft® System CLR Types for Microsoft® SQL Server® 2012 desde http://go.microsoft.com/fwlink/?LinkID=239644&clcid=0x409

Luego instalo Report Viewer Controls desde http://www.microsoft.com/en-us/download/confirmation.aspx?id=35747

image

 

6. En mi instalación de SQL busco cual es el puerto de conexión. Si es una instalación por defecto, el puerto será el 1433, si es una instancia nombrada, el puerto generalmente será uno dinámicamente asignado. Al abrir el Configuration Manager podemos conocer cual es nuestro puerto asignado. Para mi salud mental y debido a que iré creando diferentes instancias para otros servicios en este SQL, cambie la configuración de puerto por el estático y conocido 1433 (requiere reiniciar el servicio de SQL Server). Este último paso no es requerido!

image

 

image

7. Creamos las cuentas de servicio en el dominio, entregandoles permisos de administrador local del servidor de SCOM y/o Permisos de inicio de sesion en el servidor según corresponda (Estas cuentas NO deben ser administradores del dominio).

más información en: http://technet.microsoft.com/en-us/library/hh298609.aspx 

image

 

SCOM 2012 R2 Single Server Deployment

Elegí esta opción por los beneficios de la infraestructura, bajo costo de instalación y combinación de roles y funciones.

Si bien la recomendacion es implementar una solución con roles separados (single server se recomienda para ambientes de pre-production o testing), en una organización como la mía, puedo prescindir de las ventajas de una implementación mayor.

Más información en http://technet.microsoft.com/en-us/library/hh298612.aspx

 

image

 

1. Habilito ISAPI y CGI desde la consola de IIS

image

2. Ejecuto la instalación de SCOM desde el DVD y verifico si he cumplido con todos los prerrequisitos (BTW, odio los colores toscos de la ventana de instalación 🙂 ):

image

image

Nota: Mi base de datos esta en otro servidor por lo que los reportes los tendré que instalar luego, así que desmarco por ahora esta opción.

image

 

Todos los prerrequisitos cumplidos… Nice!

image

 

3. Elijo el nombre de mi Management Group sabiamente 🙂 (luego no se puede cambiar)

image

4. Always read the License Terms

image

 

5. Configuro entonces las propiedades de mi base de datos operacional (en mi servidor remoto).

image

 

6. Ahora toca configurar la información para el DataWarehouse (en mi caso en el mismo servidor remoto)

image

 

7. Especificamos nuestro sitio por defecto a menos que necesitemos utilizar otro sitio (es necesario crearlo antes o tendremos que cancelar la instalación y comenzar de nuevo).

image

 

8. En el proceso de autenticación elegiré la autenticación mixta utilizando formularios.

image 

 

9. Configuramos los usuarios creados anteriormente en ActiveDirectory y que le hemos dado los permisos necesarios en base a la documentación de más arriba.

 

image

 

10. Finalmente nos toca definir nuestro nivel de participación en el programa de mejora continua y las actualizaciones automáticas.

 

image

image

 

11. Revisamos el sumario de la instalacion a realizar y ya podemos partir con la instalacion!

image

 

12. Terminada la instalación podemos ver que la única advertencia es que debemos registrar nuestro producto.

 

image

 

 

 

Ya con mi servidor instalado, en un próximo post agregaré la configuración del rol de reporte en un Reporting Server remoto y la configuración de los agentes de SCOM en los servidores.

Categorías:System Center, Windows Server Etiquetas:

Virtualizacion en Windows 2008 RC0

 
Ya salio el tan esperado Windows 2008 RC0 (Release Candidate 0), ¿Por que tan esperado?, porque incluye el nuevo entorno de virtualizacion y administracion de servidores virtuales. La gracia de esto es que permite la virtualizacion a nivel de Hardware y la migracion de servidores virtuales en vivo.
 
Lo bueno:
 
Permite un total de 16 procesadores para los sistemas operativos de 32 Bits
Permite la virtualizacion de equipos 64 Bits
Permite la migración de equipos fisicos a Virtuales pertenecientes a un dominio
Permite el movimiento de servidores virtuales entre Hosts en vivo
 
Lo malo:
 
No permite la agregacion de hardware en caliente (mas ram, mas disco, mas tarjetas de red, sin apagar el equipo)
No permite el uso de mas de 16 procesadores
No permite la migracion de servidores virtuales que no pertenezcan a un dominio (Desaparecerá esta restriccion en la version final)
 
 
Según el team de virtualizacion, no es particularmente importante la agregacion de hardware en tiempo real, debido a que con la migracion en vivo de servidores, existe la posibilidad de hacer mantencion del equipo virtual, sin perder el servicio.
 
 
Virtualizacion en Chile, Blog de Gonzalo Balladares (Recomendado)
 
Virtualizacion para Todos, Blog de Christian Linacre
 
 
Videos y tutoriales
 
Examining Virtualization with Windows Server 2008 (Level 300)
 
Virtualization and Windows Server 2008 (Level 300)

 
Categorías:Windows Server

Virtualizacion en Windows 2008 RC0

 
Ya salio el tan esperado Windows 2008 RC0 (Release Candidate 0), ¿Por que tan esperado?, porque incluye el nuevo entorno de virtualizacion y administracion de servidores virtuales. La gracia de esto es que permite la virtualizacion a nivel de Hardware y la migracion de servidores virtuales en vivo.
 
Lo bueno:
 
Permite un total de 16 procesadores para los sistemas operativos de 32 Bits
Permite la virtualizacion de equipos 64 Bits
Permite la migración de equipos fisicos a Virtuales pertenecientes a un dominio
Permite el movimiento de servidores virtuales entre Hosts en vivo
 
Lo malo:
 
No permite la agregacion de hardware en caliente (mas ram, mas disco, mas tarjetas de red, sin apagar el equipo)
No permite el uso de mas de 16 procesadores
No permite la migracion de servidores virtuales que no pertenezcan a un dominio (Desaparecerá esta restriccion en la version final)
 
 
Según el team de virtualizacion, no es particularmente importante la agregacion de hardware en tiempo real, debido a que con la migracion en vivo de servidores, existe la posibilidad de hacer mantencion del equipo virtual, sin perder el servicio.
 
 
Virtualizacion en Chile, Blog de Gonzalo Balladares (Recomendado)
 
Virtualizacion para Todos, Blog de Christian Linacre
 
 
Videos y tutoriales
 
Examining Virtualization with Windows Server 2008 (Level 300)
 
Virtualization and Windows Server 2008 (Level 300)

 
Categorías:Windows Server