El Baúl Del ITPRO

Buenas noches,

Como todos sabeis Microsoft libero hacer algunos días la developer preview de windows server 8 y parece ser que en esta ocasión estamos de enhorabuena a la hora de virtualizar controladores de dominio puesto que en este sistema operativo de servidor nos permitira hacer snapshots a nuestros dcs virtuales y restaurarlas de manera inteligente protegiendo al resto de dcs de nuestra infraestructura y no causando extragos en la replicación.

Microsoft tambien ha anunciado otra mejora denominada AD Domanin controller cloning de la que os hablare otro día.

Un saludo

Buenos días,

Como lo prometido es deuda y en el webcast prometi publicar una entrada sobre RODCS (Controladores de dominio de solo lectura) aqui la teneis:
Para intentar que el árticulo quede lo más claro posible, lo voy hacer en formato pregunta/respuesta respondiendo a las dudas más frecuentes que se plantean cuando desplegamos rodcs.

1 – ¿Donde puedo/debo desplegar un RODC?
Desde mi punto de vista, todas la delegaciones (brach offices) que no tienen personal IT propio y que el servidor no se encuntra en una ubicación completamente segura frente a robos son firmes candidatas al despliegue de rodcs, también serán firmes candidatas las delegaciones que tengan personal de IT propio al que queramos delegar permisos sobre el servidor de la delegación pero no sobre Active Directory puesto que los rodcs permiten tener administradores locales sin necesidad de ser administradores del dominio.

2 – ¿Que requisitos previos son necesarios para desplegar RODCS?
Los prerequisitos para desplegar RODCS son básicamente 3:
– Tener nuestro bosque con un nivel funcional 2003 server o superior
– Tener nuestro bosque y nuestro dominio preparado la inclusión de RODC para ello cuando realizamos la preparación del bosque y del dominio con adprep /forestprep y adprep /domainprep debemos tambien introducir el comando adprep /rodcprep para extender nuestro esquema con los atributos necesarios para usar controladores de dominio de solo lectura.
– Tener al menos un controlador de dominio de escritura (writable domain controller) corriendo en windows server 2008 o windows server 2008 R2 desde el que replicarán los RODCS.

3 – ¿Como configuro mi servidor como RODC?
Una vez que nos aseguramos que nuestra infraestructura cumple todos los requisitos, ejecutamos el comando dcpromo para añadir un controlador de dominio al dominio existente y en el wizard indicamos que el controlador de dominio será de solo lectura (ver pantallazo ánexo)

4 – ¿Como administro el controlador de dominio de solo lectura?
Es importante mencionar que los controladores de solo lectura requieren muchas menos administración que los controladores de dominio completos, puesto que la replicación solo se realiza en un sentido. Teniendo en cuenta esta consideración podemos decir que la administración de objetos de nuestro directorio activo la seguiremos haciendo de la misma manera con la consola de usuario y equipos de active directory conectando a un controlador de dominio de escritura.

5 – ¿Como funciona la replicación de contraseñas en los RODCS?
Cuando añadimos un controlador de dominio de solo lectura a nuestra red se nos crea un objeto de equipo en active directory asociado al mismo, dicho objeto pose una pestaña más que el resto de equipo en la red que se llama password replication policy que nos permitirá determinar que contraseñas se almacenaran en nuestra rodc y cuales no, tambien nos permitira hacer un precacheo de password en el rodc antes de que los usuarios logen por primera vez. (ver pantallazo ánexo)

6 – ¿Que operaciones no podre realizar si solo tengo conectividad con el rodc (fallo de la wan con el controlador de dominio de escritura)?
– cambios de contraseña
– añadir equipos al dominio
– cambios de nombres de equipos
– iniciar sesión en aquellas cuentas que no tenga la password cacheada

Espero que este árticulo sea de utilidad y resuelva vuestras dudas sobre el deployment de rodcs. Si necesitais cualquier información adicional ya sabeís como contactar conmigo.

Un saludo

Buenos días
Una de las preguntas más habituales cuando estamos trabajando en un proyecto de consolidación y virtualización de servidores es la de si es conveniente o no virtualizar nuestros controladores de dominio?
La respuesta en este caso al igual que en muchos otros sería depende de lo que quieras hacer y de los riesgos que quieras asumir.
Sin embargo una buena práctica y mi recomendación sería la siguiente:
– El controlador de dominio principal que aloja los roles de los maestros de operaciones debe ser instalado en una máquina física fuera del entorno de virtualización, puesto que tanto hyper-v con el virtual center necesitan del apoyo de un controlador de dominio y sería un gran problema el no disponer de conectividad con el mismo si tenemos toda nuestra infraestructura de virtualización offline
– Los controladores de dominio adicionales si deben ser virutalizados, creo que no es necesario invertir en un nuevo hardware para instalar controladores de dominio adicionales.
– Nunca debemos usar snapshots en controladores de dominio virtualizados puesto que puede ser muy peligroso jugar con la línea del tiempo en nuestro active directory.
– Emplearemos técnicas de backup y restore únicamente sobre el role de active directory usando las herramientas que el mismo nos ofrece, en ningún momento realizaremos backups y restores de la vm al completo.
Un saludo

Buenos días,

No dejeis de leer este árticulo publicado por IDG.

http://www.idg.es/computerworld/La-virtualizacion-de-servidores,-principal-inversi/seccion-servidores/articulo-204005

Buen fin de semana

Buenas,

Si os encontrais ante la necesidad de desplegar certificados en dispositivos iphone/ipad desde una entidad certificadora de windows server no debeís de dejar de leer el siguiente articulo.

http://blogs.technet.com/b/askds/archive/2010/11/22/ipad-iphone-certificate-issuance.aspx

Un saludo

Hola,

Es muy común que queramos impedir que los usuarios que se se conecten a servidores que desmpeñan el role de Remote Desktop session host (antiguo terminal service) guarden ficheros en dicho servidores. Para impedir este compartamiento debemos aplicar las siguientes configuraciones:

1 – Eliminar los favoritos de las ubicaciones disponibles para guardar información, para ello debemos definir el valor a9400100 en la siguiente clave de registro HKEY_CLASSES_ROOT\CLSID\{323CA680-C24D-4099-B94D-446DD2D7249E}\ShellFolder
2 – Eliminar las librerias de las ubicaciones disponibles para guardar información, para ello debemos definir el valor b090010d en la siguiente clave de registro HKEY_CLASSES_ROOT\CLSID\{031E4825-7B94-4dc3-B131-E946B44C8DD5}\ShellFolder
3 – Ocultar e impedir que se grabe información en la unidades locales RDSH, para ellos habilitaremos las directivas:
User Configuration\Policies\Administrative Templates\Windows Components\Windows Explorer\Hide these specified drives in My computer
User Configuration\Policies\Administrative Templates\Windows Components\Windows Explorer\Prevent access to drives from My Computer

Un saludo

Buenas,

Ya esta disponible para descarga la versión beta de Microsoft Assessment and Planing Toolkit V. 6.0. Entre su novedades destacan el análisis de cargas de trabajo teniendo como objetivo la migración a hyper-v o windows Azure, el análisis para migrar a office 365 , evalución de migración de esquemas entre oracle y sql y análisis de migración a internet explorer 9.

Podeís descargarlo y encontrar más información sobre MAP 6.0 en el siguiente link:

http://technet.microsoft.com/en-us/library/bb977556.aspx

Salu2

Hola,

Microsoft ha publicado el hotfix detallado en el enlace ánexo para acelerar el tiempo de inicio de sesión el cual se ve afectado trás aplicar las preferencias de la directiva de grupo para el equipo. Dicho tiempo de inicio de sesión aumento debido la necesidad de chequear de manera recursiva la membresia de grupos del equipo y  se hace más notable cuando nos logamos frente a un DC que se encuentra en distinto site.

Sin más dilaciones adjunto el link al hotfix.

http://support.microsoft.com/kb/2561285

Un saludo