Under C.P.D.

Hola.

Tras impartir un par de formaciones sobre Wsus a administradores de sistemas, os enumero a continuación las preguntas y respuestas que han surgido en relación a las actualizaciones y que me parece interesante compartir.

¿Qué tipos de actualizaciones hay?.

Tipos:

Actualizaciones críticas: Resuelven errores críticos no relacionados con seguridad. También actualiza base de datos de suplantación de identidad (phising) o correo no deseado, así como aplica a sistema operativo y aplicaciones.

Controlador: Actualización de drivers.

Actualización de seguridad: Ofrece solución ante una vulnerabilidad específica de producto relacionada con la seguridad. Las vulnerabilidades se catalogan en función de su gravedad, critica, importante, moderada o baja. http://support.microsoft.com/kb/824689/es

Service Pack: Conjunto acumulativo y probado de todas las revisiones y actualizaciones de seguridad y actualizaciones criticas. Pueden contener también resolución  a problemas detectados internamente y cambios de diseño o características tanto para sistema operativo, complementos o programas.

Clasificaciones:

Importantes: significativas para la seguridad, privacidad e incorporación de características. Deben ser instaladas tan pronto como sea posible.

Recomendadas: No criticas, ayudan a obtener una mejor experiencia.

Opcionales: Puede incluir actualización de drivers, nuevo software y ayudan a mejorar experiencia de usuario.

¿Donde puedo consultar las actualizaciones que necesita mi equipo?

En un equipo de muestra del parque puedes ir a inicio, buscar y escribir Windows Update.

¿Cómo puedo hacer que en mis equipos se instalen actualizaciones de forma forzada?

Sin duda a través de gpos en computer configuration – plantillas administrativas – windows update.

En un entorno empresarial es imprescindible combinarlo con una buena infraestructura de WSUS.

¿Cada cuando he de revisar actualizaciones?.

Microsoft publica actualizaciones el segundo martes de cada mes, anteriormente a eso, se pueden recibir y consultar las actualizaciones que serán liberadas en el boletín de seguridad de MIcrosoft.

https://technet.microsoft.com/es-es/library/security/dn631938.aspx

¿Qué pasa si me olvido o no aplico una actualización?.

Tu equipo quedará expuesto en mayor o menor medida.

¿Puedo desinstalar actualizaciones?.

La mayor parte si, solo no se pueden desinstalar las que afectan a archivos críticos de sistema operativo. Estas pueden ser desinstaladas volviendo a un estado anterior, gracias al punto de restauración que su instalación crea o bien en inicio-panel de control-desinstalar programas-ver actualizaciones instaladas.

¿Por qué en equipos tengo problemas al instalar actualizaciones?.

No debería haber problemas generales, pero pueden ocurrir problemas específicos en ciertos equipos.

Se aconseja repasar los problemas y soluciones comunes: http://windows.microsoft.com/en-us/windows/troubleshoot-problems-installing-updates#1TC=windows-8 . Como principales motivos y cosas a tener en cuenta se encuentra revisar la hora de windows y asegurarse de que tanto Windows como Office tengan licencia y estén activados correctamente.

La web anteriormente enlazada también descarga el programa “Troubleshooting and help prevent computer problems (WindowsUpdateDiagnostic.diagcab. )

I needed to get the domain of a computer offline from Winpe.

Our Script:

set target_root=%1
if not exist %target_root%\system32\config\system goto nohive

Reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters  /v Domain

:nohive
echo Target Root no contiene la ruta necesaria.
pause

I needed to get the domain of a computer offline from Winpe.

Our Script:

set target_root=%1
if not exist %target_root%\system32\config\system goto nohive

Reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters  /v Domain

:nohive
echo Target Root no contiene la ruta necesaria.
pause

Hola.

Ando liado con un proyecto de fabricación de maqueta corporativa con herramientas que ya conocéis, como son, MDT, USMT, WDS, etc.

La cuestión es que me ha costado pero finalmente he conseguido que el equipo tome la MAC de la tarjeta principal como nombre, ya que es un dato único cuando el equipo es XP y luego cuando pasa a ser W7 y gracias a eso, puedo dejar los datos del usuario en red con USMT en la ruta \\servidor\datos\%mac% y luego recuperarlos de forma automática en la task sequence.

La forma de tomar la mac como nombre automáticamente es incluir esta instrucción en el bootstrap.ini en nuestro MDT:

OSDComputerName=RS#Replace(oEnvironment.Item("MACAddress001"),":",")#

Aplicar esta regla para hacer un scanstate y luego un loadstate es:

DeploymentType=NEWCOMPUTER
SkipUserData=no
UserDataLocation=network
ScanStateArgs=/c /v:1 /localonly /o
LoadStateArgs=/v:1 /c
UDShare=\\172.27.212.151\captures$
UDDir=RS#Replace(oEnvironment.Item("MACAddress001"),":","")#

Saludos.

Hola.

Este es el primero de varios artículos donde pretendo hablar de BranchCaché en un claro ejemplo de uso, una migración de datos actualmente descentralizados a una cloud privada centralizada. Este primer artículo nos pondrá en situación y describirá las partes importantes ante la toma de decisiones en la fase de diseño.

BranchCaché en todo proyecto de centralización de datos en Cloud 1/3

Dos proyectos combinados en los que estoy metido, tienen como fin el diseño y ejecución de una migración de file servers localizados en más de mil “sites” a una cloud privada. Se pretende consolidar y explotar al máximo las ventajas propias de la centralización de datos. Esto conlleva la combinación de un proyecto de migración y otro en paralelo, donde diseñamos y creamos un clúster contando con las mejoras ofrecidas por los roles de File Server y Storage de WS2012. Además de otros que no vienen tan a cuento pero que también son imprescindibles, como la creación de una CA Corporate.

Pues bien, centrándonos en el primero de ellos y contrariamente a lo que se puede pensar, el éxito de ese proyecto, no se basa tanto en los extremadamente importantes procedimientos de migración o en el estudio y mejora de anchos de banda, sino que la parte imprescindible en este proyecto se llama aceleración y en nuestro caso, la encontraemos gracias a BranchCache. Podemos resumirlo en que cualquier ancho de banda posible actualmente, no sustituirá nunca al antiguo servidor situado en la lan y dado esto, se asume cierta lentitud en algunos momentos versus ahorro y seguridad de datos, pero, para minimizar, incluso evitar esta lentitud, pongamos un servidor que haga funciones de hosted ya que además, este puede caer, ser formateado o reemplazado rápidamente sin correr grandes riesgos.

Dicho esto, es importante conocer el rol (http://technet.microsoft.com/en-us/network/dd425028.aspx) y su encaje en el escenario.

Bases:

1. Podremos utilizar Windows Server 2008 r2 o Ws2012 en los servidores pero Windows 7 en equipos cliente.

2. Podríamos utilizar sites con Caché distribuida o Hosted Caché (recordamos que el fin del proyecto es consolidar y por tanto, apagar la mayor cantidad de servidores de site posibles).

3. Anchos de banda limitados y no mejorables en multitud de sites.

4. Diferentes subredes en ciertas redes (Branchcaché distributed, solo cachea información entre equipos en la misma subred).

5. Hosted Caché en Ws2008R2 ya nos permite pre cachear información en el servidor previo a su puesta en producción.

6. Windows 7, al contrario de Windows 8, no detecta automáticamente al servidor hosted de la sede, por lo que se prone ligar una gpo con el servidor por cada site.

7. Hosted Caché se basa en la seguridad ofrecida por certificados de servidor, por lo que tenemos que contar con una CA Corporate.

8. Los servidores hosted ws2012 y Ws2008R2 pueden ser detectados automáticamente por futuros w8, por lo que se podría habilitar esta opción aun no siendo explotada actualmente.

9. Ante oscilaciones en las velocidades de conexión, se pretende cachear la mayor cantidad de información, independientemente al retardo con el servidor central.

Tras conocer todo esto, iremos desgranando como funciona y la puesta en marcha de BranchCaché distribuido y sobre todo Hosted, que es el que nos costará un poco más de montar.

Saludos.

Hola.

El siguiente paso a paso, configura Branchcaché en nuestra red, aprovechando incluso las nuevas funcionalidades de ws2012 y Windows 8, gracias las cuales, el equipo cliente utiliza el servidor hosted más próximo a él.

Entorno:

Servidor DC, web y smb

Server1, en dominio, será hosted server y cliente

Server2, en dominio, será, hosted server y cliente

Configuración:

1. Crear una gpo con nombre BranchCache clientes, por ejemplo.

• Ir a computer configuration\policies\administrative templates\network\branchcache
• Habilitar las siguientes opciones: “ turn on BranchCache”, “Set BranchCache Distributed Cache Mode” y “Enable Automatic Hosted Cache Discovery by Service Connection Point”.
• Ir a Computer Configuration\Policies\windows Settings\Security settings\windows Firewall with Advanced Security\windows firewall with advanced security\…inbound rules
• Nueva regla – Predefinida – Branchcache- content retrieval (uses http).

Filtrar la gpo para que solo se aplique a ordenadores cliente donde queremos que utilicen BranchCache

2.Instalar la caraterística de BranchCache en los servidores hosted, para ello:

• Comando powershell: get-windowsfeature BranchCache | install-WindowsFeature
• Si tenéis varios servidores podéis: invoke-command –computername server1,server2,dc –scriptblock{y el comando que he puesto antes}

3. Configurar por ejemplo la carpeta de web server para las primeras pruebas:

• publish-bcwebcontent c:\inetpub\wwwroot (o la ruta donde tengáis la web en cuestión).

4. Configurar el/los hosted cache server, en mi caso lo haré en server1 y server2:

• enable-bchostedserver –registerscp
• gpupdate /force
• get-service peerdistsvc | restart-service

A partir de este momento ya se puede realizar una prueba, por ejemplo, bajando un archivo de http://dc/archivo.iso (por ejemplo). Para que las pruebas confirmen el funcionamiento, lo mejor sería utilizar un limitador de ancho de banda en el dc y comprobar que la primera descarga desde server1 es muy lenta y luego, desde server2, la misma descarga se realizar prácticamente de inmediato.

Una vez configurado todo esto, si queréis que una carpeta se cachee, solo tenéis que marcar la opción al respecto en las propiedades de esta.

Hola.

Dos rutas para muchos desconocidas y para otros ultra mega super utilizadas, existentes en sistemas operativos Microsoft, han sido creadas con la intención de albergar los archivos con el script a acometer durante el primer arranque tras despertar de un sysprep.

La primera de las dos, es la ruta %WINDIR%\Panther\unattend\ donde albergaríamos el archivo unattend.xml creado con la herramienta Windows System Image Manager, disponible gratuitamente y que forma parte de las herramientas WAIK ( http://www.microsoft.com/en-us/download/details.aspx?id=5753).

Al albergar en esta ruta el archivo nombrado, el equipo al despertar, irá contestando cada una de las típicas preguntas de inicio de Windows sin que el usuario tenga que interactuar y pudiendo así, asegurarnos que todo nuestro parque obtiene la misma configuración.

La segunda de las dos rutas es %WINDIR%\Setup\Scripts\ donde alojando un archivo con nombre setupcomplete.cmd, provocamos que el sistema, durante el primer inicio que realice, ejecutará cada una de las acciones allí almacenadas, como por ejemplo el test de Aero para tener una experiencia gráfica completa o la llamada a un script .vbs donde suele ser habitual cambiar el nombre dele quipo para que nuestro parque cuente con un patrón de nombres similar y típico también es, encontrar un  “joindomain” para introducir el equipo en dominio en el primer arranque.

Ejemplo:

Setupcomplete.cmd

cscript %windir%\system32\oobe\prestage\RenameAndJoinDomain.vbs

REM Aero test
winsat.exe formal

REM aquí podríamos forzar también bitlocker.

manage-bde -on c: -skiphardwaretest –recoverypassword

REM es importante borrar el unattend.xml porque puede contener información importante como nuestra clave de Windows

del /f /q %WINDIR%\Panther\unattend\unattend.xml

shutdown /r /f /t 5

Para que nuestro despertar sea correcto, previamente, al finalizar la instalación del equipo modelo y tras instalar todos los componentes que queremos en nuestra maqueta corporativa y  por ejemplo también, drivers que no incluya el sistema por defecto y que van a ser dispositivos que podría encontrar nuestro equipo al despertar, tenemos que “dormir” el sistema. Para ello, podemos crear un script como por ejemplo el siguiente:

Sysprep.cmd

copy /y .\unattend.xml %WINDIR%\Panther\unattend\unattend.xml
copy /y  .\setupcomplete.cmd %WINDIR%\Setup\Scripts\SetupComplete.cmd

%WINDIR%\system32\sysprep\sysprep.exe /oobe /generalize /shutdown 

Sysprep : http://technet.microsoft.com/es-es/library/cc721940(v=ws.10).aspx

Tras la realización de estos pasos, podéis clonar el disco tal y como muchos me habéis dicho que soléis hacer pero con la imagen sin sysprep, lo cual no es nada aconsejable por cierto y diría que totalmente inviable si hablamos de equipos en dominio.

En una posterior entrada, hablaré de como convertir esta imagen en un archivo .wim y como desplegar manipular ese archivo posteriormente hasta el punto del despliegue.

Saludos.

>

>Hola.

En su día ya os comenté los pasos a realizar para meter un Windows 7 en un Dominio SBS 2008, aunque lo chulo es hacerlo a mano así:

http://blogs.technet.com/sbs/archive/2009/02/06/using-windows-7-beta-with-sbs-2008.aspx

Microsoft tiene el feo vicio, de quitar emoción a las cosas y hacer un paquetito que realiza todos los pasos automáticamente:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;969121

>Hola.

El martes empieza la gira para Partners, donde hablaremos sobre servidores para pymes, virtualización etc.

Sé que me lo preguntaréis, de hecho será una de las demos, pero aun así, aquí va:

Como meter un Windows 7 en dominio SBS con el asistente http://connect/

Saludos.