Blog de Walter J. Taborda

Agregar un grupo específico al grupo de administradores locales por GPO

2009-06-18T15:44:00.004-05:00

En alguna ocasión podremos necesitar que nuestro grupo de soporte técnico sea miembro del grupo de administradores locales de todos o algunos equipos en nuestro dominio.

Lo primero a tener en cuenta sería definir si la política alcanzará a todos los equipos o sólo a unos específicos, ya que si es a estos últimos, debemos crear una OU y agregar allí los objetos 'equipo' a los que queremos que afecte. Si es a todos, podemos vincular la GPO a nivel de dominio sin problema.

Antes de comenzar con el procedimiento creamos un grupo y en él agregamos a los usuarios de nuestro equipo de soporte técnico.

Ahora, el procedimiento es el siguiente y lo haremos para que afecte a todos los equipos en el dominio:
Administrador de políticas de grupo > Objetos de directiva de Grupo > nuevo > escribimos un nombre para la política
una vez creada, vamos a ella, clic derecho > editar
dentro de la GPO navegamos por: Configuración del equipo > Configuración de Windows > Configuración de Seguridad > Grupos Restringidos
allí:
Clic derecho > agregar grupo > clic en 'examinar'.
En 'ubicaciones' vamos ha ubicar el nombre del equipo local.
Le damos en buscar y seleccionamos el grupo 'administradores' que corresponde a los Built in.
Cerramos las ventanas con 'aceptar' en todas y vemos que nuestro grupo queda agregado en la lista de grupos restringidos.
Damos doble clic sobre él > y en la sección de 'Miembros de este grupo'hacemos clic en el boton 'agregar' y examinamos en nuestro directorio activo en la ubicación del dominio.
Buscamos el grupo que deseamos que sea miembro de los administradores locales, en nuestro caso el grupo de soporte técnico, lo seleccionamos y cerramos todas las ventanas con 'aceptar'.
De la misma forma podemos agregar al grupo admins. del dominio que desaparece cuando agregamos nuestro grupo, así tendremos ambos grupos como administradores locales en todos los equipos del dominio.

Nos vamos para una estación de trabajo que se encuentre unida al dominio y en una ventana de comandos ejecutamos:

gpupdate /force

luego ejecutamos:

net localgroup administradores

nos debe mostrar en la lista, los grupos de soporte técnico y admins del dominio (si lo agregamos)

Un Saludo,

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Envigado, Antioquia, Colombia
tel: 371 54 49 - 378 03 38
celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Orden de las reglas en ISA Server

2009-06-11T20:36:00.004-05:00

Para que las reglas apliquen correctamente deben tener un orden lógico y consecuente con el diseño que se quiera implementar.
Luego del análisis y de tener en el papel las restricciones, los usuarios, lo permitido, lo denegado, los diferentes protocolos y todo lo que se involucre en las políticas, debemos crear las reglas y ordenarlas de la siguiente forma:

1. relgas que permitan el tráfico entre la red local y el local host.
2. reglas de publicación de servidores
3. reglas para denegar (anónimos)
4. reglas para permitir (anónimos)
5. reglas para denegar (usuarios autenticados)
6. reglas para permitir (usuarios autenticados)
7. regla predeterminada de ISA Server

Existen dos formas de administrar la navegación:

a. permitir todo e ir denegando lo necesario
b. denegar todo e ir permitiendo lo necesario

Yo recomiendo la opcion 'b', pues es la más segura, aunque inicialmente la carga administrativa es mayor, pero luego de unos pocos días de afinamiento la carga disminuye y se torna color de rosa, pues los resultados son geniales.

La opción 'a', es de administrar todo el tiempo y más complicada pienso yo, pues es negar sitio por sitio que se va encontrando o denunciando y es un trabajo de nunca acabar, pues los usuarios siempre encontrarán sitios similares al que fue denegado anteriormente.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Envigado, Antioquia, Colombia
tel: 371 54 49 - 378 03 38
celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Como resolver el problema de navegacion cuando el dominio local y de internet son identicos

2009-05-08T19:14:00.000-05:00

A veces ocurre que, por inexperiencia o una mala asesoría, quede nuestro dominio interno con la misma denominacion que el dominio de internet, en el cual tenemos un hosting con nuestro sitio web corporativo.

Esto nos da un problema y es que cada vez que los usuarios quieren acceder a www.dominiointernet.com no nos abre, sale que no se puede mostrar la pagina web o algo similar. Esto ocurre porque en una correcta configuracion DNS en nuestra red, el servidor que resonde a esta consulta es nuestro servidor DNS y al hacer la solicitud nos devuelve la direccion ip del dominio interno y al no haber un registro www nos da error.

La solucion es muy simple, vamos a nuestro servidor DNS y creamos un registro tipo A con el nombre www apuntando a la direccion IP pública de nuestro sitio web en internet y listo.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Entendiendo el System State

2009-05-08T19:07:00.002-05:00

La copia de seguridad del estado del sistema (system state) son un conjunto de datos e informacion recolectada por el propio sistema operativo, ojo, no es un backup de TODO el sistema, ni de archivos de usuario.
En un servidor incluye:

* Bases de datos de Certificados
* Archivos protegidos del sistema
* Bases de datos de registro de clases COM+
* Registro de Windows
* Base de datos de Active Directory
* Directorio Sysvol
* Metadatos de IIS

No se debe realizar una copia de datos de Microsoft Exchange Server junto con la del System State, deben ser copias separadas.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Como evitar que los usuarios cambien la contraseña sin que el DC lo solicite

2009-05-05T21:06:00.003-05:00

Es posible que se necesite que los usuarios permanezcan con las contraseñas asignadas o que no puedan cambiarlas excepto si las politicas implementadas para el dominio lo soliciten.

para esto:
> abrimos usuarios y equipos de Active Directory
> haces clic derecho sobre la OU que contenga los usuarios a los que quieres que aplique la politica y hacemos clic en propiedades
> creamos una nueva politica, le damos un nombre y clic en editar
> expandimos configuracion de usuario, plantillas administrativas, sistema
> hacemos clic en las opciones de ctrl + alt + del
> doble clic en "remover o quitar cambiar contraseña"
> seleccionamos habilitar y cerramos con aceptar
> cerramos todas las ventanas

para forzar la aplicacion de la politica abrimos una ventana de comandos y tecleamos lo siguiente:

gpupdate /force
o
gpupdate /target:user /force

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Cómo crear una relación de confianza a nivel de bosque

2009-05-05T20:01:00.002-05:00

en ocasiones, una empresa se une con otra, por motivos de adquisicion y cuando ambas tienen un esquema de bosques implementado, es necesario crear relaciones de confianza para que los usuarios en estos bosques tengan acceso a los recursos del otro. el procedimiento es el siguiente:

> Abrimos Dominios y confianzas de Active Directory
> clic derecho en el dominio raiz del bosque
> y luego clic en propiedades
> en la pestaña confianzas o trusts clic en nueva
> en el nombre de la confianza escribes el nombre DNS o NETBIOS del otro bosque y hacemos clic en siguiente
> en el tipo de confianza hacemos clic en bosque o forest y clic en siguiente
> ahora nos pregunta por la dirección en la que se establecerá la confianza, aquí tendremos en cuenta lo siguiente:

* two-way o bidireccional: los usuarios de ambos bosques podrán utiliza los recursos de cada bosque.

* one-way, de entrada: los usuarios en el bosque descrito no tendrán acceso a los recursos en este bosque.

* one-way, de salida: los usuarios en este bosque no tendrán acceso a los recursos en el bosque descrito.

> en Sides of the trust podemos escoger:

* "This domain only"

* o "Both this domain and the specified domain"

> escribimos el nombre de usuario y contraseña del otro dominio con privilegios para crear una relacion de confianza y hacemos clic en siguiente.
> seleccionamos el nivel de autenticación de la confianza para el bosque local y clic en siguiente.
> seleccionamos el nivel de autenticación de la confianza para el otro bosque y clic en siguiente.
> revisamos y hacemos clic en siguiente.
> tambien podemos confirmar las confianzas tanto de entrada como de salida y hacmeos clic en siguiente.
> finalizar.

a este punto tenemos creada la relación de confianza.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Se desconectan las unidades de red

2008-10-21T22:30:00.002-05:00

Pasado un tiempo de inactividad puede ocurrir que se desconecten las unidades de red en nuestros equipos.
Esto ocurre cuando tenemos unidades de red mapeadas desde nuestras estaciones de trabajo apuntando a recursos compartidos en nuestro servidor.

Para evitar esto, vamos al servidor y abrimos una ventana de comandos, allí tecleamos el siguiente comando:

net config server /autodisconnect:-1

Tambien existe una política que hace lo mismo, la verdad aqui de memoria se me escapa la ubicación. Igual siempre he utilizado este comando.

ah, tengan en cuenta que se pierde cuando reiniciamos el servidor, entonces, tenemos 2 opciones:

1. creamos un .bat o .cmd y lo ponemos a ejecutar de alguna manera en el inicio del sistema.
2. buscamos la política que les comenté y la activamos. jeje. (en Windows Server 2003 SP1 vienen 1800 políticas mas o menos, ahi entenderan).

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Contraseñas a nivel de dominio

2008-10-21T21:39:00.004-05:00

Vamos a ver cuales son las caracteristicas de las contraseñas que se implementan por defecto, una vez montado nuestro Directorio Activo.

Antes que nada, las políticas de contraseña se establecen a nivel de dominio. Nunca a nivel de OU, Sitios ni DC's. Esto significa que la herramienta administrativa a editar para las contraseñas será siempre Default Domain Policy.

Cuando implementamos el Directorio Activo y establecemos una política de contraseñas para toda la organización, no podremos crear un grupo de excepción para contraseñas, no podremos meterlas a una OU ni nada por el estilo. Si queremos establecer una política de contraseñas distinta a la creada para el resto de la organización, será necesario crear otro servidor en otro dominio y unir este grupo de equipos al nuevo dominio.

Teniendo claro esto, miremos ahora las características predeterminadas para todos los usuarios en cuanto a contraseñas.
las contraseñas deben cumplir con los siguientes requerimientos:

1. Al menos 6 caracteres en tamaño
2. No incluir el nombre de usuario
3. Debe contener minimo 3 caracteres en combinación de los siguientes:

a. no alfanuméricos (!@#$%&)
b. minúsculas (a-z)
c. mayúsculas (A-Z)
d. números (0-9)

Ahora una recomendación.

Los sistemas anteriores como Windows NT nos permitían un máximo de 14 caracteres, y los sitemas posteriores a este, como Windows 2000 o XP nos permiten un máximo de 127 caracteres.
Esto nos permite 'jugar' con la planificacion de una contraseña segura para nuestra red.

Opción 1
Con la configuración predeterminada podremos establecer contraseñas por combinaciones de caracteres:

X1ab&125

Opción 2
Eliminando la configuración predeterminada ( Default domain policy > Security Settings > Account Policies > Password Policy > deshabilitamos todas las opciones y refrescamos las políticas en el servidor en una ventana de comandos con: gpupdate /force )
Podremos ahora utilizar frases en lugar de combinación de caracteres:

estapuedeserunaclavesinningunproblema

o mas segura aún:

Est@puedeser otraclaveaunconlos espac1os

Aqui le estamos complicando aún mas la existencia a los intrusos que intenten vulnerarnos con diccionarios de claves o programas similares.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Cambiar el puerto por defecto de Terminal Server

2008-10-20T21:47:00.003-05:00

En ocasiones y por cuestiones de seguridad, nos interesaría cambiar el puerto predeterminado para Terminal Server, el 3389, por otro cualquiera que este entre el 49152 y el 65535. Pues bien, el procedimiento es el siguiente:

Abrimos el registro en el servidor y vamos a la rama:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
aquí abrimos PortNumber y en decimal cambiamos el valor por uno a nuestro antojo, por ejemplo 51261. Reiniciamos el equipo.

Ahora para conectarnos con nuestro cliente RDP solo tendremos que añadir a nuestra dirección IP el puerto configurado. por ejemplo: 200.13.224.225:51261

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Obtener configuración IP desde un DHCP para el adaptador externo

2008-10-20T21:04:00.002-05:00

En algunos casos, segun la topología que tengamos, será necesario que nuestro ISA Server obtenga una dirección IP pública de un DHCP externo a nuestra red. Es probable que nuestro ISA rechace este procedimiento y no obtenga nunca una configuración IP.

Que hacer? sencillo...

Por diseño ISA Server 2004/2006 deniega la comunicación entre servidores DHCP externos y el adaptador externo. La solución es editar la system policy.

vamos al panel de tareas > mostrar políticas del sistema
aquí buscamos la política correspondiente que permita respuestas de servidores DHCP externos a ISA Server > damos editar > y aquí tenemos 2 opciones para analizar:
1. agregamos la dirección IP del servidor DHCP, si la conocemos.
2. agregamos la red 'externa'.

Con esto lo solucionamos. Espero que les sirva.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Herramientas de diagnóstico para Controladores de Dominio

2008-10-19T13:32:00.008-05:00

Estas herramientas las tenemos que instalar de las Support Tools del CD de Windows Server 2003.
Una vez instaladas las herramientas, utilizaremos las siguientes para diagnosticar el correcto estado y funcionamiento de nuestro servidor.

DCDIAG
La primera herramienta que utilizo es Dcdiag. Con esta veremos el estado del Controlador de Dominio en diferentes procesos, como registro de cuentas, netlogons, generacion de eventos, comunicacion Intersite, chequeo de los FSMO, etc.

aqui un ejemplo de un resultado de DCdiag en un DC correctamente configurado y funcional:

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Nombre-predeterminado-primer-sitio\VSSERVER
Starting test: Connectivity
......................... VSSERVER passed test Connectivity

Doing primary tests

Testing server: Nombre-predeterminado-primer-sitio\VSSERVER
Starting test: Replications
......................... VSSERVER passed test Replications
Starting test: NCSecDesc
......................... VSSERVER passed test NCSecDesc
Starting test: NetLogons
......................... VSSERVER passed test NetLogons
Starting test: Advertising
......................... VSSERVER passed test Advertising
Starting test: KnowsOfRoleHolders
......................... VSSERVER passed test KnowsOfRoleHolders
Starting test: RidManager
......................... VSSERVER passed test RidManager
Starting test: MachineAccount
......................... VSSERVER passed test MachineAccount
Starting test: Services
......................... VSSERVER passed test Services
Starting test: ObjectsReplicated
......................... VSSERVER passed test ObjectsReplicated
Starting test: frssysvol
......................... VSSERVER passed test frssysvol
Starting test: frsevent
......................... VSSERVER passed test frsevent
Starting test: kccevent
......................... VSSERVER passed test kccevent
Starting test: systemlog
......................... VSSERVER passed test systemlog
Starting test: VerifyReferences
......................... VSSERVER passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : visionsistemas
Starting test: CrossRefValidation
......................... visionsistemas passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... visionsistemas passed test CheckSDRefDom

Running enterprise tests on : visionsistemas.local
Starting test: Intersite
......................... visionsistemas.local passed test Intersite
Starting test: FsmoCheck
......................... visionsistemas.local passed test FsmoCheck

NETDIAG
Esta herramienta nos ayuda tambien a analizar como se encuentra nuestro DC con respecto a la red, por ejemplo, membresía, kerberos, descubrimiento de otros DC, configuración IP de cada adaptador, entre otrosl.
Un ejemplo de un reporte de NETDiag sería el siguiente:

....................................

Computer Name: VSSERVER
DNS Host Name: vsserver.visionsistemas.local
System info : Microsoft Windows Server 2003 R2 (Build 3790)
Processor : x86 Family 15 Model 44 Stepping 2, AuthenticAMD
List of installed hotfixes :
Q147222

Netcard queries test . . . . . . . : Passed
GetStats failed for 'Paralelo directo'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card 'Minipuerto WAN (PPTP)' may not be working because it has not received any packets.
[WARNING] The net card 'Minipuerto WAN (PPPOE)' may not be working because it has not received any packets.
[WARNING] The net card 'Minipuerto WAN (IP)' may not be working because it has not received any packets.
GetStats failed for 'Minipuerto WAN (L2TP)'. [ERROR_NOT_SUPPORTED]

Per interface results:

Adapter : externa

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : vsserver
IP Address . . . . . . . . : 192.168.1.10
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.1.254
NetBIOS over Tcpip . . . . : Disabled
Dns Servers. . . . . . . . : 192.168.100.253

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Skipped
NetBT is disabled on this interface. [Test skipped]

WINS service test. . . . . : Skipped
NetBT is disable on this interface. [Test skipped].

Adapter : LOCAL

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : vsserver
IP Address . . . . . . . . : 192.168.100.253
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . :
Dns Servers. . . . . . . . : 192.168.100.253

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Skipped
[WARNING] No gateways defined for this adapter.

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.

Global results:

Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{AC0EE159-0752-4D0B-A114-362C4FFE18DB}
1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Passed

NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.100.253'.

Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{AC0EE159-0752-4D0B-A114-362C4FFE18DB}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{AC0EE159-0752-4D0B-A114-362C4FFE18DB}
The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed

DC list test . . . . . . . . . . . : Passed

Trust relationship test. . . . . . : Skipped

Kerberos test. . . . . . . . . . . : Passed

LDAP test. . . . . . . . . . . . . : Passed

Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped
No active remote access connections.

Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information

The command completed successfully

REPLMON
Para mi, una herramienta muy util pues no solo sirve para verificar el estado de las replicaciones de las particiones de Active Directory con el resto de DC's, sino tambien, porque podemos chequear el estado actual de los roles FSMO de nuestro DC.

Un reporte basico de un restultado de Replmon seria mas o menos como el siguiente, aunque hay que tener en cuenta que para este ejemplo no conté sino con un solo DC, pero sirve para darnos una idea de lo que se arroja en los reportes:

Active Directory Replication Monitor
Printed on 19/10/2008 17:00:35
This report was generated on data from the server: VSSERVER

***************************************************************************
VSSERVER Data
***************************************************************************

This server currently has writable copies of the following directory partitions:
---------------------------------------------------------------------------
DC=visionsistemas,DC=local
CN=Configuration,DC=visionsistemas,DC=local
CN=Schema,CN=Configuration,DC=visionsistemas,DC=local
DC=DomainDnsZones,DC=visionsistemas,DC=local
DC=ForestDnsZones,DC=visionsistemas,DC=local

Because this server is a Global Catalog (GC) server, it also has copies
of the following directory partitions:
---------------------------------------------------------------------------

Current NTDS Connection Objects
-------------------------------

Current Direct Replication Partner Status
-----------------------------------------

Directory Partition: DC=visionsistemas,DC=local

Directory Partition: CN=Configuration,DC=visionsistemas,DC=local

Directory Partition: CN=Schema,CN=Configuration,DC=visionsistemas,DC=local

Directory Partition: DC=DomainDnsZones,DC=visionsistemas,DC=local

Directory Partition: DC=ForestDnsZones,DC=visionsistemas,DC=local

Current Transitive Replication Partner Status
---------------------------------------------

Directory Partition: DC=visionsistemas,DC=local

Partner Name: Nombre-predeterminado-primer-sitio\VSSERVER
Partner GUID: 94B57A62-7366-4575-8735-6826CFCB882A
USN: 111161

Directory Partition: CN=Configuration,DC=visionsistemas,DC=local

Partner Name: Nombre-predeterminado-primer-sitio\VSSERVER
Partner GUID: 94B57A62-7366-4575-8735-6826CFCB882A
USN: 111161

Directory Partition: CN=Schema,CN=Configuration,DC=visionsistemas,DC=local

Partner Name: Nombre-predeterminado-primer-sitio\VSSERVER
Partner GUID: 94B57A62-7366-4575-8735-6826CFCB882A
USN: 111161

Directory Partition: DC=DomainDnsZones,DC=visionsistemas,DC=local

Partner Name: Nombre-predeterminado-primer-sitio\VSSERVER
Partner GUID: 94B57A62-7366-4575-8735-6826CFCB882A
USN: 111161

Directory Partition: DC=ForestDnsZones,DC=visionsistemas,DC=local

Partner Name: Nombre-predeterminado-primer-sitio\VSSERVER
Partner GUID: 94B57A62-7366-4575-8735-6826CFCB882A
USN: 111161

Current Group Policy Object Status
----------------------------------
Default Domain Policy
Group Policy Object GUID: {31B2F340-016D-11D2-945F-00C04FB984F9}
Group Policy Object Version in the DS: 65551
Group Policy Object Version in SYSVOL: 65551

Default Domain Controllers Policy
Group Policy Object GUID: {6AC1786C-016F-11D2-945F-00C04fB984F9}
Group Policy Object Version in the DS: 13
Group Policy Object Version in SYSVOL: 13

Nuevo objeto directiva de grupo
Group Policy Object GUID: {FF0F3EC1-8602-4503-8405-60356A3EAC3A}
Group Policy Object Version in the DS: 0
Group Policy Object Version in SYSVOL: 0

The server VSSERVER knows about the following FSMO roles:
--------------------------------------------------------------------------
Schema FSMO: Nombre-predeterminado-primer-sitio\VSSERVER
Domain Naming FSMO: Nombre-predeterminado-primer-sitio\VSSERVER
Infrastructure FSMO: Nombre-predeterminado-primer-sitio\VSSERVER
Primary Domain Controller FSMO: Nombre-predeterminado-primer-sitio\VSSERVER
RID Pool FSMO: Nombre-predeterminado-primer-sitio\VSSERVER

Performance Statistics at Time of Report
----------------------------------------

Configuration (Registry)
NOTE: an empty value indicates that Windows 2000 will use the internal default
NOTE: all empty values may indicate insufficient permission to retrieve this information from the domain controller
------------------------

DSA
---

Days per Database Phantom Scan:
Initialize MAPI interface:
Enforce LIST_OBJECTS rights:
DSA Heuristics:
Max Threads (ExDS+NSP+DRA):
DSA Database file: C:\WINDOWS\NTDS\ntds.dit
DSA Working Directory: C:\WINDOWS\NTDS
Critical Object Installation:
DS Drive Mappings:
DSA Previous Restore Count:

REPLICATION
-----------

Replicator notify pause after modify (secs):
Replicator notify pause between DSAs (secs):
Replicator intra site packet size (objects):
Replicator intra site packet size (bytes):
Replicator inter site packet size (objects):
Replicator inter site packet size (bytes):
Replicator maximum concurrent read threads:
Replicator operation backlog limit:
Replicator thread op priority threshold:
Replicator intra site RPC handle lifetime (secs):
Replicator inter site RPC handle lifetime (secs):
Replicator RPC handle expiry check interval (secs):

LDAP
----

Max objects in LDAP Search (Admin Limit):
Max concurrent LDAP connections allowed:
Max time allowed for an LDAP Search:
Max concurrent LDAP searches allowed:
Max concurrent threads per LDAP connection allowed:
Minimum idle seconds before potential \ timeout of LDAP connection (non-authenticated client):
Minimum idle seconds before potential \ timeout of LDAP connection (authenticated client):

Database
--------

Database backup path: C:\WINDOWS\NTDS\dsadata.bak
Database backup interval (hours):
Database log files path: C:\WINDOWS\NTDS
Database logging/recovery: ON
Hierarchy Table Recalculation interval (minutes): 720
Database restored from backup:
Pending object ownership conversions:
EDB max buffers:
EDB max log buffers:
EDB log buffer flush threshold:
EDB buffer flush start:
EDB buffer flush stop:
EDB max ver pages (increment over the minimum:
Circular Logging:
Server Functionality:
TCP/IP Port:
Restore from disk backup:
Performance Counter Version: 17

KCC
---

Repl topology update delay (secs):
Repl topology update period (secs):
KCC site generator fail-over (minutes):
KCC site generator renewal interval (minutes):
KCC site generator renewal interval (minutes):
CriticalLinkFailuresAllowed:
MaxFailureTimeForCriticalLink (sec):
NonCriticalLinkFailuresAllowed:
MaxFailureTimeForNonCriticalLink (sec):
IntersiteFailuresAllowed:
MaxFailureTimeForIntersiteLink (sec):
KCC connection failures:
IntersiteFailuresAllowed:
IntersiteFailuresAllowed:

***************************************************************************
Enterprise Data
***************************************************************************

Globally Unique Identifiers (GUIDs) for each domain controller in the enterprise
NOTE: the absence of a GUID means that the server has been demoted.
--------------------------------------------------------------------------------

Site Name: Nombre-predeterminado-primer-sitio
---------------------------------------
Site Options :
Site Topology Generator: CN=NTDS Settings,CN=VSSERVER,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=visionsistemas,DC=local
Site Topology Renewal :
Site Topology Failover :

VSSERVER
Server GUID (used for DNS) : 94B57A62-7366-4575-8735-6826CFCB882A
Replication Database GUID (used to identify partner in replication): 94B57A62-7366-4575-8735-6826CFCB882A
DSA Options : NTDSDSA_OPT_IS_GC
DSA Computer Path : CN=VSSERVER,OU=Domain Controllers,DC=visionsistemas,DC=local
DSA Schema Location : CN=Schema,CN=Configuration,DC=visionsistemas,DC=local
DSA Mail Address : _IsmService@94b57a62-7366-4575-8735-6826cfcb882a._msdcs.visionsistemas.local
DSA DNS Host Name : vsserver.visionsistemas.local
DSA BridgeHead Transports :

Site Links and Site Link Bridges
-----------------------------------------------------

Site Links
----------

DEFAULTIPSITELINK
Link Type: : IP
Distinguished Name : CN=DEFAULTIPSITELINK,CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=visionsistemas,DC=local
Replication Interval : 180
Cost : 100
Options :
Site List :
Nombre-predeterminado-primer-sitio

Site Link Bridges
------------------

Active Directory Replication Monitor determined that no Site Link Bridges are present in the Directory.
Inter-Site Transports
---------------------

IP
Options :
DLL Name : ismip.dll
Address Type: dNSHostName

SMTP
Options : NTDSTRANSPORT_OPT_IGNORE_SCHEDULES
DLL Name : ismsmtp.dll
Address Type: mailAddress

Subnets
-------
Active Directory Replication Monitor determined that no Subnets are present in the Directory.
Active Directory Configuration Data
-----------------------------------
Stay of Execution for Servers: 0
SPN Mappings : host=alerter,appmgmt,cisvc,clipsrv,browser,dhcp,dnscache,replicator,eventlog,eventsystem,policyagent,oakley,dmserver,dns,mcsvc,fax,msiserver,ias,messenger,netlogon,netman,netdde,netddedsm,nmagent,plugplay,protectedstorage,rasman,rpclocator,rpc,rpcss,remoteaccess,rsvp,samss,scardsvr,scesrv,seclogon,scm,dcom,cifs,spooler,snmp,schedule,tapisrv,trksvr,trkwks,ups,time,wins,www,http,w3svc,iisadmin,msdtc

Existen mas utilidades pero con estas podremos analizar muy bien el estado en que se encuentren nuestros DC's y tomar decisiones oportunas, eso si, dependiendo de la periodicidad con la que se realicen estos analisis. Yo recomiendo una vez a la semana si se trata de uno o dos DC's.

MBSA
Esta es la que no puede faltar y nos ayudará mucho para asegurar nuestro Server. Microsoft Base Line Security Analizer, en su mas reciente versión. Esto con el fin de mantener los servidores segun las guias y recomendaciones de microsoft. Esta disponible en http://technet.microsoft.com/es-es/security/cc184923(en-us).aspx

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Resetear TCP/IP

2008-10-19T12:09:00.005-05:00

Hay ocasiones en que debido a algun problema con TCP/IP nos vemos en la obligación de reinstalar todo un sistema, ya sea formateandolo o realizando una reparación.
Pues bien, existe una forma de resetear TCP/IP y dejarlo como estaba en el momento de una instalación en limpio. Para ello, utilizamos la consola NETSH y nos podemos desplazar en cada uno de sus contextos.

abrimos una ventana de comandos y tecleamos:

netsh 'enter'
netsh> interface 'enter'
netsh interface> ip 'enter'
netsh interface ip> reset archivo_log.txt

o tambien podemos digitar todo el comando sin entrar en contextos, asi:

netsh interface ip reset archivo_log.txt

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
http://www.visionsistemas.com.co

Licenciamiento de Office en Terminal Server

2008-04-17T20:01:00.008-05:00

Aprovechando el procedimiento descrito en el siguiente enlace:

Cómo instalar Office 2003 u Office XP en un equipo que ejecuta Windows Terminal Server
http://support.microsoft.com/kb/828955/es

Hago la aclaración para quienes tienen la idea errónea de adquirir una licencia de Microsoft Office e instalarlo en un servidor de Terminal para múltiples usuarios.

Del documento anterior, cito:

"<< Sin embargo, en Office 2003, tanto la edición Retail como la edición Enterprise pueden instalarse en un servidor que tenga habilitado Servicios de Terminal Server si existe una licencia para cada usuario que vaya a ejecutar algún programa de Office 2003. Consulte el Contrato de licencia para el usuario final de Office para obtener más información al respecto. >>"

El punto es el siguiente:
Si se encuentra en un proceso de licenciamiento de Microsoft Office, debe tener en cuenta que si tiene 20 computadores con Office instalado cada uno, debe comprar 20 licencias equivalentes de la versión actual del producto instalado.

Si decide desinstalar el Office de estos 20 computadores para instalarlo sólo en uno, el servidor de terminal, para que lo accedan los 20 usuarios por conexión a escritorio remoto, deberá comprar 20 licencias equivalentes de la versión actual del producto instalado.

La licencia de Office en Servidores de Terminal cuenta por cada usuario que ejecute alguna aplicación de Office.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Visión Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
http://www.visionsistemas.com.co/

Como aplicar políticas en Windows Server 2003 para usuarios de Terminal Server

2008-04-13T13:26:00.006-05:00

En ocasiones queremos aplicar políticas de terminal server a usuarios y nos hacemos un lío ya que no sabemos bien donde y como aplicarlas correctamente.
Lo primero que debemos crear es una Unidad Organizacional que contenga nuestros usuarios de Terminal.

Hagamos un alto aquí y diferenciemos entre políticas que se aplican a nivel de equipo y políticas que se aplican a nivel de usuario.

Las de equipo afectan a todos los usuarios que inicien sesión en ese equipo en particular.

las de usuario afectan a los usuarios, independiente de en que equipo inicien sesión.

Si vamos a aplicar las políticas a nivel de equipo en una OU, debemos mover las cuentas de equipo a este contenedor, de lo contrario no aplican.
Si vamos a aplicar las políticas a nivel de usuario en una OU, debemos mover las cuentas de usuario a este contenedor, de lo contrario no aplican.

Aquí juega un papel importante algo tan simple como los nombres de equipo y nombres de usuario. Recomiendo que los nombres de equipos sean totalmente diferentes a los nombres de los usuarios. Por ejemplo:

Error:
nombre de equipo: CARLOS
nombre de usuario: Carlos

Correcto:
nombre de equipo: PCCONTABILIDAD
nombre de usuario: Contabilidad

Esto es para que cuando se tenga que aplicar políticas a nivel de equipo y a nivel de usuario dentro del mismo contenedor (OU), podamos mover ámbas cuentas sin problema.

Ahora, lo normal es que pensemos en crear una OU y movamos allí las cuentas de usuario a las que vamos a aplicar las políticas, para denegar cuando inicien sesión en el Terminal Server, pero, aquí hay un problema y es que estas políticas también aplicarán cuando inicie sesión en su propia estación dentro de la red.

La solución a esto es crear las políticas en el contenedor del Terminal Server ya que si se intenta hacer un link de GPO de la que aplica en el OU de usuario, esta tampoco se ejecutará, ya que el objeto usuario no existe en el contenedor de Terminal Server.
Al crear la GPO en el contenedor de Terminal Server debemos activarle el Loopback Processing Mode y configurarlo para hacer Replace.

Con esto realmente lo que estamos haciendo es que cualquier cambio que hagamos a nivel de usuario en la GPO, afectará a todos los usuarios que inicien sesión en este Terminal Server, aún cuando el objeto usuario no se encuentre en el contenedor. El Replace se configura para que apliquen las políticas configuradas a nivel de usuario creadas en este contenedor por encima de las que normalmente esten configuradas para este usuario.

El siguiente punto a seguir es filtrar la GPO para que no afecte a algunos usuarios o a administradores por ejemplo, que inicien sesión en el Terminal Server:

Yo crearía un grupo con cualquier nombre y a este agregaría al administrador y a los usuarios que quiero que no afecte la política. Vamos al GPO Manager > seleccionamos el Link del GPO en el contenedor de Terminal Server > Delegación > boton Avanzado > agregar > agregamos el grupo y hacemos clic en 'Denegar' para 'Aplicar política de grupo'.

Así resolvemos fácilmente el problema de cómo aplicar correctamente las políticas en los servidores de Terminal.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Visión Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co/

Tipos de Backup en Windows

2008-04-05T17:26:00.007-05:00

Teniendo claras las diferencias entre los tipos de backup que utilizamos, es posible crear una estrategia de backup mas eficiente a lo que se pueda tener actualmente.

Partiendo de la herramienta conocida en Windows, Copia de seguridad o NTBackup, vamos a mirar las diferencias entre los tipos de copia que se pueden realizar, sus ventajas y desventajas.

Existen en Windows los tipos de copia: Normal, Incremental, Diferencial y Copia.

Normal
Hace una copia total de todos los arhivos seleccionados.

Ventajas
Realiza la copia de todo sin excepción.
No es necesario combinarla con ningun otro tipo de copia.
Desventajas
Dependiendo de la cantidad de archivos y su tamaño, es la velocidad con la que se realiza la copia. Podría ser bastante lenta cada vez.

Incremental
Hace una copia sólo de los archivos que han cambiado desde la última copia normal o incremental realizada.
Para el proceso de restauración de un archivo es necesario tener la última copia normal y todas las copias incrementales.

Ventajas
La copia es más rápida que la normal.
Sólo archivos modificados.
Desventajas
La necesidad de tantas copias incrementales para restaurar un sólo archivo la hace muy tediosa.
Es necesario combinarla con una copia normal.
Hace copia de seguridad de archivos que cuya fecha de modificación ha sido alterada, aunque este no haya sido modificado en realidad, por ejemplo, abrir y cerrar un archivo.

Diferencial
Hace una copia de todos los archivos que han cambiado desde la última copia normal o incremental realizada.
Para el proceso de restauración de un archivo es necesaria la última copia normal y la última copia diferencial.

Ventajas
Sólo se requieren dos archivos de copia para la restauración de un archivo.
No copia archivos que realmente no hayan sido modificados.
Desventajas
Las copias son mas demoradas en comparación a la incremental.
Los archivos de copia ocupan mas espacio que la incremental.

Copia
Hace una copia total de todos los arhivos seleccionados pero no altera marcas. No interfiere en los procesos anteriores de copias incrementales o diferenciales, no nos sirve como punto de partida, como si lo hace la normal.

---

Walter J. Taborda

MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
http://www.visionsistemas.com.co/

Papel tapiz de escritorio igual para los usuarios mediante GPO

2008-04-05T13:02:00.003-05:00

Es una práctica recomendada y a veces necesaria en algunas compañías, donde el fondo de escritorio se convierte en un mostrario de bebes, bikinis o imagenes cambiantes. Muchas veces la compañía quiere implementar un fondo para todos en la red, algo como la política de calidad o el mismo logo de la empresa.

Sin lugar a duda, esto da mas sentido de pertenencia y es mayormente estético ante visitantes.

Para llegar a esto, debemos primero tener creado un fondo en particular, una imágen diseñada por alguien de área creativa y este archivo se debe guardar con formato/extensión .bmp.

Una vez con el diseño creado, se debe crear una carpeta en el servidor y compartirla, de modo que TODOS los usuarios a los que se les va a aplicar la política puedan tener acceso a ella mediante ruta UNC.

Hecho esto, vamos al directorio activo > clic derecho sobre la OU que contenga los usuarios que nos interesan > propiedades > directiva de grupo > creamos una nueva con nombre 'Fondo de Escritorio', por ejemplo. > clic en el boton 'Editar' > Configuración de Usuario > Plantillas Administrativas > Escritorio > Active Desktop > Papel Tapiz de Active Desktop.

Una vez alli, damos clic en Habilitar y escribimos la ruta donde se encuentra el fondo .bmp

algo asi: '\\servidor\carpeta_compartida\fondo.bmp'

Ahora, en los equipos clientes abrimos una ventana de comandos y tecleamos:

GPUPDATE /FORCE

luego:

NET STOP NETLOGON
NET START NETLOGON

o reiniciamos los equipos. En teoría, al editar solo la rama 'Configuración de Usuario' solo bastaría con cerrar sesión y volver a ingresar, pero esta política en especial podria no aplicar inmediatamente, para lo cual bastaría solo con reiniciar el equipo.

El caso en concreto es que al día siguiente, todos los usuarios dentro de la Unidad Organizacional a la que se aplicó la política deben tener el mismo fondo de escritorio.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
http://www.visionsistemas.com.co/

Bloquear correos de internet a usuarios o grupos especificos en Exchange 2003

2008-04-01T11:57:00.003-05:00

Hay escenarios en los que nos interesa restringir a un usuario o a grupos de usuarios, el recibir correos desde Internet.

Para esto existe un procedimiento bastante sencillo

Para un grupo:

Abrimos el directorio activo, hacemos clic derecho sobre el grupo que nos interesa > propiedades > Exchange General > marcamos la casilla 'From authenticated users only'.

Para un usuario:

Abrimos el directorio activo, hacemos clic derecho sobre el usuario que nos interesa > propiedades > Exchange General > Delivery Restrictions > marcamos la casilla 'From authenticated users only'.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co

Cambiar la clave del DSRM en Windows Server 2003 DC

2008-04-01T11:44:00.002-05:00

Para cambiar esta contraseña tan olvidada en la mayoría de los casos seguimos el siguiente procedimiento:

1. inicio > ejecutar > cmd [enter]
2. ntdsutil [enter]
3. set dsrm password
4. reset password on server null [or] reset password on server [enter]

en este punto, cuando nos pregunte, digitamos la nueva clave, esta no será visible mientras se escribe.

con 'q' salimos de cada nivel de la consola 'ntdsutil' y regresamos a la consola de comandos.

es de mucha utilidad y nos sacará de más de un lío.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co

Uso del comando AT para crear tareas por consola

2007-11-18T16:03:00.000-05:00

Para agregar tareas programadas remotamente se utiliza el comando AT con la siguiente sintaxis.
Como ejemplo desde un equipo cualquiera con windows 2000 o superior vamos a crear una tarea en el equipo equiposrv para que ejecute el programa prueba.exe, todos los dias a la 1 pm.

AT \\equiposrv 13:00 /every:l,m,mi,j,v c:\carpeta_programa\prueba.exe

En respuesta se asigna un numero de identificador para la tarea, comenzando en 1,2,3… n

Ahora, para eliminar el trabajo programado, utilizamos el numero de identificador de la tarea, asi:

AT \\equiposrv 1 /delete

Para eliminar el trabajo programado con identificador 1

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co

Descripción de los roles de Active Directory en Windows 2000/2003

2007-11-18T15:53:00.000-05:00

Active Directory en Windows 2000/2003 es una base de datos central, la cual almacena de manera lógica todos los objetos de una empresa y sus respectivos atributos. Es una base de datos jerárquica y de modelo Multi-Master, capaz de almacenar millones de objetos. Los cambios a la base de datos pueden ser realizados en cualquier controlador de dominio de la empresa a diferencia de Windows Server 2008 que traerá AD de solo lectura para branch office.

Ya que los roles de Active Directory no son obligados a un solo controlador de dominio, se les llama Flexible Single Master Operation (FSMO) y son 5: Schema Master, Domain Naming Master, RID Master, PDC Emulator e Infrastructure Master.

Rol de Schema Master
Este es el único controlador de dominio encargado de las actualizaciones del Esquema del Active Directory, esto significa, el contexto de nombres del Schema o LDAP://cn=schema,cn=configuration,dc=. Luego de que la actualización es completada, se replica al resto de controladores de dominio en el Active Directory. Sólo existe un Schema Master por bosque de directorios.

Rol de Domain Naming Master
Este es el controlador de dominio responsable de realizar los cambios al espacio de nombres del directorio de todo el bosque, esto es Partición\contexto de nombres de Configuration o LDAP://cn=Partitions,cn=Configuration,dc=. Este es el único controlador de dominio que puede agregar o quitar un dominio del directorio del bosque. También es el único controlador de dominio que puede agregar o quitar referencias cruzadas a dominios en directorios externos, otros bosques.

Rol de RID Master
Es el único responsable de procesar los requerimientos de identificadores relativos de todos los controladores de dominio dentro de un dominio dado. También es el responsable de quitar un objeto de su dominio y colocarlo en otro dominio durante la reubicación del objeto.
Cuando un controlador de dominio crea un objeto de seguridad principal, como un usuario o un grupo, este le adjunta un Identificador de Seguridad Único (SID) al objeto. Este SID consiste en un SID del dominio (el mismo para todos los SID’s creados en el mismo dominio) y un Identificador Relativo (RID) que es único para cada SID de seguridad principal creado en un dominio.
A cada controlador de dominio de un mismo dominio se le entrega un pool de RID’s, los cuales asigna a los SID de seguridad principal que él crea. Cuando la entrega del pool de RID’s falla, ese controlador de dominio lanza un requerimiento para obtener un pool de RID’s adicionales al RID Master del dominio. El controlador de dominio con el rol RID Master responde al requerimiento obteniendo RID’s del dominio que falló y se los asigna al pool del dominio que los requiere. Sólo hay un RID Master por bosque de directorios.

Rol de PDC Emulator
El PDC Emulator es necesario para actualizar la hora en la empresa. Windows 2000/XP/2003/Vista incluyen el servicio W32time que es requerido por el protocolo de autenticación Kerberos. Todos los sistemas basados en Windows 2000/XP/2003/Vista dentro de la empresa usan una hora común. El propósito del servicio W32time es el de asegurarse que el servicio de hora de Windows use una relación jerárquica que controle la autoridad y no permita lazos, con esto asegura un uso apropiado de la hora.
El PDC Emulator de un dominio es autoritativo para el dominio. El PDC Emulator en la raíz del bosque se convierte en autoritativo para toda la empresa y debe ser configurado para sincronizar la hora con una fuente de hora externa. Todos los controladores de dominio que sean PDC Emulator siguen la jerarquía de dominios en la selección de su compañero de sincronización de hora.

En Windows 2000/2003, las funciones del PDC Emulator son las siguientes:

Los cambios de contraseñas ejecutados por otros controladores de dominio son replicados primeramente al PDC Emulator.
Los fallos de autenticación que ocurren en un controlador de dominio, debido a contraseñas incorrectas, son reenviados al PDC Emulator antes de que un mensaje de error sea mostrado al usuario.
El bloqueo de cuentas es procesado por el PDC Emulator.

Rol de Infrastructure Master
Cuando un objeto en un dominio hace referencia a otro objeto en otro dominio, este lo hace mediante el GUID, el SID (para referenciar al identificador de seguridad principal) y el DN del objeto que esta siendo referenciado. El Infrastructure Master es el controlador de dominio responsable de actualizar el SID y el Distinguished Name de un objeto en una referencia de objeto entre dominios.

NOTA: El Infrastructure Master en Windows 2000 Server debe estar alojado en un controlador de dominio que no sea un Servidor de Catalogo Global. Si el Infrastructure Master corre sobre un servidor de Catalogo Global, este detendrá la actualización de la información de los objetos, ya que no contiene referencias a objetos que no están. Esto sucede porque un servidor de Catalogo Global mantiene una réplica parcial de cada objeto en el bosque. Como resultado, las referencias de objetos entre dominios en ese dominio no estarán actualizadas y una advertencia para ese efecto será registrada en el visor de sucesos de ese controlador de dominio.

Este artículo es una traducción e interpretación mía con ajustes para lo que consideré que necesitaba mayor claridad. El original en ingles puede ser localizado bajo el Q197132 en el sitio Web de Microsoft.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co

Configuración Automática de red

2007-11-18T13:54:00.000-05:00

Si tenemos las conexiones hechas entre equipos sin sistema operativo y luego de realizar la instalación de este con Windows 98/2000/XP e instalamos la tarjeta de red sin más, nuestros equipos ya están en red y se ven entre ellos.
Microsoft Windows luego de que le instales una tarjeta de red, automáticamente configura un protocolo por defecto TCP/IP, un cliente por defecto, Cliente para redes Microsoft. Luego realiza un broadcast a toda la red en busca de un servidor DHCP, ya que por defecto en las propiedades de TCP/IP se configura para obtener una IP por DHCP. Al no encontrar un servidor DHCP y al no tener una dirección IP manual establecida, se autoconfigura con una dirección IP de un rango de clase B:

Dirección IP: 169.254.x.y
Máscara de red: 255.255.0.0

Entonces si todos nuestros equipos permanecen sin configuración IP manual y sin recibir datos de un servidor DHCP, por consiguiente compartirán rangos de direcciones IP de clase B, máscara y grupo de trabajo, por lo cual, estarán en red y se verán entre ellos.A todo lo anterior se le conoce como Configuración Automática de Red.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co

Cómo renovar las licencias de los clientes de servicios de Terminal Server

2007-11-18T13:44:00.001-05:00

Este procedimiento debe realizarse en el equipo del cliente, NO en el servidor.

Eliminamos las siguientes claves del registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\MSLicensing\HardwareID]
[HKEY_LOCAL_MACHINE\Software\Microsoft\MSLicensing\Store]

Nota para mayor claridad: Las claves que se deben eliminar son HardwareID y Store, quedando MSLicensing sin subclaves.

Esto es un procedimiento para extender el periodo de prueba de 90 días en Windows 2000 Server o 120 días de Windows Server 2003.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Visión Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Cómo configurar un servicio DHCP en Windows 2000/2003

2007-11-18T13:32:00.001-05:00

Primero instalamos el servicio:

Inicio > configuración > panel de control > agregar o quitar programas > agregar o quitar componentes > servicios de red > Protocolo de configuración dinámica de host DHCP. [ACEPTAR] [SIGUIENTE]
Insertamos el de CD-Windows 2000/2003 [ACEPTAR]
[FINALIZAR]

Luego lo iniciamos para configurarlo:

inicio > programas > herramientas administrativas > DHCP
clic derecho sobre el nombre del servidor > nuevo ámbito
nombre del ámbito: Le damos un nombre y una descripción
rango de direcciones IP:
o dirección IP inicial: 192.168.0.10
o dirección IP final: 192.168.0.100
o máscara de subred: 255.255.0.0

agregar exclusiones: si se desea que el servidor DHCP no asigne determinadas direcciones se pueden agregar aquí.

renovación: lapso de tiempo que durará el servidor DHCP sin renovar las direcciones ya concebidas.

Configurar las opciones DHCP: si se desea configurar otras entregas adicionales como puertas de enlace, DNS, WINS, etc.

o enrutador (puerta de enlace)
o nombres de dominio y servidores DNS (siempre el DNS de nuestra red local)
o servidores WINS

activar ámbito: si se desea que entre de inmediato a funcionar el servicio DHCP, se debe responder afirmativo, de lo contrario habrá que ir manualmente a seleccionar el ámbito creado > menú acción > activar.

En caso de montar el servicio DHCP en una red basada en dominio debemos Autorizar el servidor DHCP.

Podríamos tener varios ámbitos configurados y todos aquellos valores que sean comunes entre todos los ámbitos se pueden configurar en ‘Opciones de Servidor’

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision SistemasItagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co

Configuración básica de Windows 2000/XP/Vista para una red basada en dominios Windows 2000/2003

2007-11-18T13:23:00.000-05:00

Esta configuración si la respetamos, será sencilla y obtendremos un máximo de rendimiento en nuestra red.
Así como para los clientes pre-Windows 2000 es imprescindible un servidor WINS, para los clientes Windows 2000/XP/Vista también lo es un servidor DNS.
DNS es el servicio de resolución de nombres por defecto para los sistemas operativos Windows 2000 y posteriores, así que se nos convierte en la columna vertebral de la red.
La configuración IP, ya sea obtenida por un servidor DHCP o configurada manualmente, debe contener obligatoriamente lo siguiente:

Dirección IP Privada
Mascara de red
Puerta de enlace
WINS
DNS (servidor interno)

Podemos probar nuestra configuración desde un cliente con el comando:
Nslookup dirección_ip_servidor
Luego
Nslookup nombre_servidor
Y si ambos nos resuelven el uno al otro, nuestra configuración esta bien.

Si necesitamos resolver direcciones externas a nuestra red, como direcciones de Internet (nombres de dominios), debemos ir a nuestro servidor DNS interno y configurar los ‘reenviadores’ y allí suministrarle las direcciones IP de los DNS del ISP.
Para abrir la consola del servicio DNS vamos a inicio > programas > herramientas administrativas > DNS
Allí seleccionamos el servidor, clic derecho > propiedades > ficha ‘Reenviadores’
Si los reenviadores no están habilitados (Windows 2000 Server) significa que estamos en un servidor DNS Root y para habilitarlos debemos eliminar la zona ‘.’ Que aparece en la consola al expandir ‘nombre del servidor’ para ver las zonas.
Una vez eliminada la zona ‘.’ Podremos entrar a configurar nuestros reenviadores.
En Windows Server 2003 no debe haber ningún inconveniente en con respecto a editar los reenviadores.

IMPORTANTE:
Recuerden que lo primero a configurar es nuestra red local y una vez esté funcionando a nuestro gusto entramos a configurar el acceso a las redes externas, incluyendo Internet.

Continuando con nuestra configuración lo que sigue es unir nuestras máquinas al dominio. Para ello, en cada equipo cliente, iniciamos sesión con una cuenta de administración local, hacemos clic derecho sobre Mi PC > propiedades > identificación de red > botón ‘cambiar’ > allí cambiamos de grupo de trabajo a Dominio y escribimos el nombre del dominio al que uniremos el equipo, nos pregunta nombre de usuario y contraseña, debemos proporcionarle los datos de una cuenta con permisos para unir equipos al dominio.
Una vez aprobadas las credenciales, nos muestra un mensaje de bienvenida al dominio y debemos reiniciar el equipo.

Para iniciar sesión en el dominio podemos hacerlo de dos formas:
usuario, contraseña, dominio
usuario@dominio
Esta cuenta debió ser creada con anterioridad en el Controlador de Dominio.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co