Hola a todos,

2015-03-16_18-56-35

Creo que esta entrada de hoy en el Blog se debe más que nada a petición popular, ya que much@os de vosotr@s me preguntáis como diantres se puede hacer un USB con auto arranque donde se encuentren los binarios de instalación de nuestros Sistemas operativos, y poder así prescindir de nuestros queridos CD/DVD de instalación, y es que la velocidad entre unos y otros no tiene comparación. Eso si … nuestro equipo deberá poder arrancar desde USB dicha configuración se puede verificar en la BIOS de nuestro sistema.

Creo que este procedimiento se ha cubierto en numerosas publicaciones, pero no está de más volver a realizarlo, y publicarlo.

 

Vamos allá!!

Lo más importante … necesitamos una memoria usb de unos 8GB con eso bastará, ya sabéis que hay cientos de modelos, y las velocidades varían mucho, por lo que hay que estar al tanto de lo que compra 🙂

Una vez tengamos el USB seguiremos los siguientes pasos desde nuestro sistema operativo:

  1. Ejecutamos DISKPART con privilegios de administrador
  2. Tecleamos LIST DISK para obtener el listado, debesmo identificar el número que tiene nuestro USB en mi caso el Disco 3
  3. Tecleamos SELECT DISK # donde # respresenta el número de nuestro disco (que hemos identificado arriba)
  4. Tecleamos CLEAN para borrar todo el contenido del disco que hemos seleccionado (atentos)
  5. Tecleamos CREATE PARTITION PRIMARY
  6. Tecleamos ACTIVE para marcar la nueva partición como activa
  7. Tecleamos FORMAT FS=NTFS QUICK para darle formato rápido NTFS
  8. Tecleamos EXIT para salir de diskpart

El siguiente paso es tener identificada la ISO de nuestro Sistema operativo …en mi caso es la preview de Windows 10, y entonces extraeremos los ficheros de la ISO a la raíz de la memoria USB que acabamos de formatear, para ello se puede usar la utilidad que queramos, desde herramientas como winRar, PowerISO, o podemos montar la ISO en el propio sistema operativo con Windows 7 … y enviar el contenido a nuestra memoria USB copiándolo.

Y una vez realizada la copia, ya tenemos nuestra memoria USB con nuestra Preview de Windows 10 auto arrancable, que sin duda es algo más acorde a los tiempos que vivimos que un DVD.

 

Aquí os dejo un video tutorial

 

Un saludo

Daniel Graciá

Hi everybody,

2015-03-10_12-09-16

Today I would to share with you this free ebook, Microsoft Azure Automation, as you know, I’m very focused on the Azure Certifications, and this ebook is very interesting to obtain more knowledge in how Azure it works.

Microsoft Press has just released a new, free eBook offering, titled: Microsoft Azure Essentials: Azure Automation. The 113 page book gives you a starting point to understand how automation fits in the Cloud world. Here’s what it covers:

  • Introduction to Azure Automation
  • Runbook management
  • Assets
  • Runbook Deployment
  • Azure Script Center, library, and community
  • Best practices
  • Scenarios

Microsoft Azure Automation

I’ll see you later!

Daniel Graciá

http://windowsitpro.com/azure/free-ebook-azure-automation-available-download

Hola a todos,

2015-03-09_13-24-22

Hoy quería compartir con vosotros un eBook gratuito sobre la gestión de Actualizaciones de software a través de System Center Configuration Manager 2012 SCCM 2012.

Como todos sabemos la gestión de actualizaciones de Software no es una tarea sencilla, o por lo menos hacerlo de una manera centralizada, y segura tanto para entorno empresarial, como para los propios administradores de sistemas, no es la primera vez que por falta de un sistema de despliegue de este tipo, se opta por permitir a las aplicaciones actualizarse directamente sobre internet, con el consecuente riesgo que ello provoca.

 

Este libro gratuito se centra en la gestión o el proceso de vida de un proyecto de parcheado, Testing, Deployment, and Troubleshooting.

Cuenta con 160 páginas escritas por Permier Field Engineers de Microsoft, y consultores que han trabajado en multitud de entornos con SCCM 2012.

Se compone de 5 capítulos:

  • Architecture
  • Client
  • Management
  • Monitoring
  • Automation

Aquí tenéis los enlaces:

PDF

EPUB

 

Para más info podéis visitar la Web de referencia http://windowsitpro.com/configuration-manager/free-ebook-using-configmgr-2012-r2-manage-software-updates

 

Un saludo,

Daniel Graciá

Hola a todos,

Me ha parecido interesante la siguiente tabla que he encontrado acerca de los SLAs, y su traducción en días, y horas de caída de servicio. Ya que en la mayoría de ocasiones cuando leemos la letra pequeña sobre la disponibilidad del servicio, no somos conscientes de cual es la traducción en horas de caída del servicio.

SLA

Los principales proveedores Cloud nos ofrecen unos SLAs que a simple vista parecen bueno, pero obviamente no es lo mismo un 99.5 con un tiempo de caída máximo a la semana de 50 minutos, que un SLA de 99.9 con 10 minutos de caída a la semana, y es que la calidad de servicio se paga, es en ese punto cuando debemos evaluar que tipo de servicio vendemos, si es crítico,  a que nivel, para dotarle del máximo SLA o no, ya que a mayor SLA más se encarece (a menudo) el servicio.

Por ejemplo Azure tiene unos SLAs en sus servicios similares a estos, hay que tener en cuenta que los datos, y la información de disponibilidad va cambiando por los proveedores, con lo que este cuadro podría estar desactualizado hoy mismo si hubiera modifcaciones.

AzureSLA1png

Un saludo

Daniel Graciá

Hola a todos,

En la entrada de hoy no es que vaya a reinventar la rueda ni mucho menos, pero desde hace años veo cierta confusión a la hora de identificar los distintos grupos de AD, sus funcionalidades, y su alcance.

image

 

Existen muchas referencias en la Web, y en el sitio de Microsoft, sobre los grupos, pero casi nunca queda muy claro, además hay que leer bastante para tener perfectamente clara la manera de trabajar con los grupos de seguridad, las buenas prácticas a la hora de anidarlos, y sobre todo como utilizarlos en entornos de múltiples dominios, y o con relaciones de confianza.

Hoy me quiero centrar sobre todo en la parte relativa a los entornos con relación de confianza, en distintos dominios o Forests.

Casi todas las semanas recibo alguna consulta ya sea a través del Blog, Twitter, o de algún compañero o amigo, relacionada con que tipo de grupos usar para dar acceso a Dominio A en Dominio B, o en periodos de Coexistencia en migraciones de usuarios complejas, donde queremos que un usuario acceda a los recursos de un dominio distinto.

La información que podemos encontrar por la web se resume en este cuadro:

 Groups

Lo más importante es entender la funcionalidad de los grupos, en la tabla de arriba que la he sacado de Microsoft, y es la típica tabla donde nos explican que es, que hace, y los posibles miembros de cada grupo, no queda muy claro en muchas ocasiones si un grupo admite miembros de otro Forest, o solo de otros usuarios de Dominios distintos al suyo, pero dentro de su mismo Forest. A parte de los nombres que con el nombre de los grupos casi nadie sabe su finalidad.

Domain Local: La finalidad de este grupo es acceder a recursos de su propio Dominio, por eso es Dominio Local. Por lo tanto ya tenemos claro que un grupo de dominio local solo puede dar acceso a objetos de su propio dominio.

Global Group: Por el contrario los grupos de dominio Global se conciben para dar acceso a recursos dentro de cualquier dominio de su Forest, o incluso en dominios o forest con relación de confianza.

Universal Groups: Para dar acceso a cualquier recurso dentro del mismo Forest, o Forest de confianza.

Una vez aclarada la finalidad, ahora hay que entender cuales son los posibles miembros … porque claro, ojala todo fuera tan sencillo como entender la finalidad de cada grupo, además debemos conocer que usuarios, y grupos admite cada uno de ellos.

Entornos de Coexistencia, relaciones de confianza, y acceso entre forests, y Bosques de recursos.

Centrándome ya en el origen de esta entrada, me gustaría analizar detalladamente las situaciones que vivimos, y las necesidades que se nos presentan en entornos con relación de confianza, periodos de Coexistencia mientras vivimos una migración de AD entre entornos, o simplemente cuando instalamos un Forest de recursos, y debemos implementar un modelo de delegación, o de acceso a los recursos.

Voy a dar por hecho que ya hemos llegado a esta situación, que ya hemos establecido conectividad entre los distintos Dominios, relación de confianza, etc., y que por necesidades del proyecto, del servicio, o porque se ha definido así en la arquitectura o diseño del entorno, debemos dar acceso a recursos de nuestro dominio, a identidades (usuarios) de dominios externos.

Pongamos que tenemos como dominio destino donde residen los recursos a acceder contoso.com, y como dominios de origen bank.com y datum.es. Desde los dominios origen nos solicitan tener acceso a una granja de servidores llamada SW1.

Este tipo de situaciones se suelen solventar de dos posibles vías, la primera a mi modo de entender no es correcta, y la segunda si:

  • Dando acceso directamente en el recurso de contoso.com a usuario origen, Grupo Universal, o Grupo Global origen. Desgraciadamente en muchas ocasiones, y motivado por las prisas se da acceso directamente a los objetos de origen en SW1, sin crear en contoso ningún tipo de grupo que controle esta delegación de permisos. Esto a la larga es un gran error, ya que no controlamos quien tiene acceso, y con el tiempo se olvida que alguien dio acceso de manera local a SW1.

grupodn

  • Creando en contoso.com un grupo Domain Local, con los permisos necesarios sobre la granja SW1 (la forma de dar los permisos, o accesos es indiferente), el grupo podría llamarse DL_SW1_DATUM. Ahora faltaría hacer miembros de ese grupo domain local a los usuarios o grupos de datum. En teoría habrá cierta comunicación entre datum y contoso, y se habrá definido que se genere un grupo nuevo en Datum con los usuarios que deben tener acceso a SW1, ese grupo puede ser Global o Universal. Este es el método correcto ya que nosotros controlamos a través de grupos de seguridad los accesos a nuestra granja SW1, además la nomenclatura lo deja claro haciendo mención al dominio de origen, luego se podría incluir en la nomenclatura alguna mención al tipo de acceso, pero eso ya entra en la forma de trabajar, y en los modelos de administración de cada organización, a mi me gusta crear grupos en base a roles, y tipos de permisos.

GroupsD

Resumiendo un poco, los únicos grupos que admiten miembros de otros Forests (bosques) son los Domain Local Groups. En esta imagen he intentado resumir que el único grupo que admite miembros de otros bosques es Domain local, y los que se pueden usar para anidar en Domain Local de otros forests son Universales y Globales.

Groups_Mem

Un saludo

Daniel Graciá

Hola a todos,

Recientemente he recibido varias consultas relacionadas con un problema a la hora de configurar un fondo de escritorio mediante GPO a máquinas Windows 8, y Windows 8.1.

En los foros de Microsoft TechNet también he contestado últimamente a consultas relacionadas con este problema.

https://social.technet.microsoft.com/Forums/es-ES/8ef62cfb-2922-42f0-a5de-4e38db72daa4/gpo-wallpaper-windows-8-y-81?forum=wsgpes

 

PROBLEMA:

Cuando desplegamos por medio de GPO un fondo de escritorio para equipos Windows 8, y WIndows 8.1, los equipos cliente procesan dicha GPO, pero aparece un fondo de pantalla negro, que no es el que hemos definido en la configuración de la GPO. Es muy frustrante pues es un comportamiento totalmente anómalo, los pasos siempre son los mismos, revisión de la GPO, que se aplique sobre la OU que debe, que el fondo de pantalla, en su ruta de red esté accesible para los usuarios que deben tenerlo, que se procese la GPO, en resumen se de administradores que han intentado durante días encontrar el fallo… Pero … ¿está el fallo en la GPO?

 

 

CAUSA:

Bien, en este punto no está muy clara la causa, pero sí que se sabe que hay un tipo de problema con sistemas Windows 7, 8, y 8.1 con esta configuración por GPO, no es algo que suceda en el 100% de los casos, pero en organizaciones con cientos de equipos basados en estos sistemas operativos es frustrante ver como no somos capaces de configurar algo tan básico, y sencillo como un fondo de escritorio corporativo.

Buscando información por la Technet, y otras fuentes, hay un sin fin de entradas relacionadas con este problema, y podemos encontrar muchas soluciones, demasiadas.

El problema está relacionado con una entrada del registry en los equipos cliente, dicha entrada es la siguiente HKEY_CURRENT_USER\Control Panel\Desktop\ Debe existir un registro del tipo REG_SZ llamado WallPaper que apunta a la ruta del wallpaper.

En los equipos afectados por el problema del fondo de pantalla en negro pueden suceder varias cosas:

  • No existe dicha entrada.
  • Existe pero hace mención a un fichero de fondo de pantalla que no es el que hemos definido, y la GPO no puede actualizar dicha información.

 

 

SOLUCION:

La solución que he encontrado, y ha funcionado en todos los casos es la siguiente:

1. Creamos la GPO que aplica el Wallpaper que deseamos sea el fondo de pantalla de los equipos. La configuración de la GPO en mi caso es básica solo quiero que una imagen que tengo en una unidad de red accesible en modo lectura por los usuarios que deben tener acceso, se configure como fondo de pantalla, para ello llamamos a la GPO Wallpaper_Corporativo, la editamos y vamos hasta la ruta donde se encuentra la configuración del Wallpaper, la ruta es la siguiente User Configuration > Policies > Administrative Templates > Desktop > Desktop

2015-02-18_10-15-30

Antes de aplicar la GPO sobre el usuario en cuestión vemos que fondo de escritorio tiene su PC sin la GPO.

2015-02-18_10-10-56

2. Una vez creada la GPO, la vinculamos a la OU donde se encuentra el usuario sobre el que queremos que se aplique. En mi caso utilizo una OU donde se encuentra el usuario sobre el que quiero se aplique el fondo de pantalla.

2015-02-18_10-49-15

3. Ahora accedemos a un PC con dicho usuario que es TEST1, si el fondo de pantalla aparece negro hay que seguir estos pasos:

  1. Crear una GPO para crear una clave de registry, a la que daremos la ruta del fondo de pantalla.

2015-02-18_10-59-19

  1. Vincularla también sobre la OU donde se encuentran los usuarios que queremos tengan ese fondo.
  2. Reiniciamos el PC, y en el siguiente reinicio aparecerá el fondo que hemos definido.

2015-02-18_11-01-51

En ocasiones tampoco funciona creando la clave del registry, por lo que primero debemos definir que se elimine la clave del registry que hace mención al Wallpaper, y luego crearla de nuevo con la GPO.

Como he dicho no sucede en todos los equipos, pero cuando ocurre genera muchos problemas.

Salu2!

Daniel Graciá

Hi everybody,

 

Today I would to share with you this free ebook, Microsoft Azure Essentials Fundamentals, as you know, I’m very focused on the Azure Certifications, and this ebook is very interesting to obtain more knowledge in how Azure it works.

Microsoft Azure Essentials Fundamentals of Azure

The “Microsoft Azure Essentials” series helps you advance your technical skills with Microsoft Azure. “Microsoft Azure Essentials: Fundamentals of Azure” introduces developers and IT professionals to the wide range of capabilities in Azure. The authors—both Microsoft MVPs in Azure—present conceptual and how-to content for seven key areas and describe management tools and business cases.

 

Microsoft Azure Essentials: Fundamentals of Azure

 

The purpose of this book is to help you understand the fundamentals of Microsoft Azure so you can hit the ground running when you start using it. If you don’t have an Azure account, you should consider signing up for a free trial at azure.microsoft.com. If you have an MSDN subscription, you should activate the included Azure benefits and use the associated monthly credit. With an Azure account, you can work through the demos in this book and use them as hands-on labs.

 

I’ll see you later!

 

Daniel Graciá

Hi everybody,

Following with the Azure IaaS sessions, today I would like to share with you the third session. This session is related with Linux, Docker, and Puppet between others.

Is very interesting because we can see the power of these tools, and how Azure is able to work with them.

 

image

 

The content of the Day 3 is the following:

 

image

If you are a SysAdmin who already supports solutions on the Linux platform at scale, you are probably familiar with Chef and Puppet. Did you know they are also available in Azure for both Linux and Windows Machines? You can take your existing instructions and configurations and configure agents on your IaaS instances to point to your servers for deployment. Learn how to implement these amazing technologies for your Linux and Windows Azure hosted solutions.

 

References:

The guide to deploy Puppet Enterprise in Windows Azure https://puppetlabs.com/thank-you-gsg-pe-azure 

Azure IaaS for IT Pros  Day 1

Azure IaaS for IT Pros  Day 2

 

Good luck for those who are preparing the  Microsoft Azure Specialist Exam 70-533 https://www.microsoft.com/learning/en-us/exam-70-533.aspx

 

I’ll see you later!

Daniel Graciá

MCSSE

Hola a todos,

Os traigo algo de información para aquellos que estéis preparando, o pensando en preparar la certificación MCSE Desktop Infrastructure, y es que Microsoft siguiendo con su serie de Webcasts relacionados con certificaciones ha elaborado este Webcast, en el que tratan por completo esta certificación.

Es aproximadamente de una hora de duración, y se cubre toda la certificación, desde una visión global, la preparación del examen, objetivos, trucos para el examen, etc.

2015-02-02_20-47-45

 

Os lo recomiendo 100%, además ahora está de promoción el Second Shot para los exámenes antes del 31 de Mayo. http://www.campusmvp.es/microsoft-second-shot.htm

 

Aquí tenéis el link Exam Prep: 70-415 and 70-416 – MCSE: Desktop Infrastructure

 

Saludos,

DGM

Hola a todos,

Hace ya un mes publiqué una entrada con el Day 1 de esta serie de videos http://blogs.itpro.es/danielgracia/2014/12/05/azure-iaas-for-it-pros-mark-russinovich-day-1-exam-70-533/, hoy seguimos con la segunda entrega.

image

Está de más decir, que es material muy interesante para aquellos que nos preparamos la certificación 70-533 Microsoft Azure Specialist, y también para el resto pues nos aporta material muy interesante.

El contenido de esta segunda sesión es el siguiente:

 

Microsoft Azure Specialist Exam 70-533 https://www.microsoft.com/learning/en-us/exam-70-533.aspx

Un saludo,

DGM

Hola a todos,

En la entrada de hoy en el Blog vamos a hablar de como desfragmentar (compactar) nuestra base de datos de AD DS de manera offline, sin necesidad de reiniciar el Controlador de dominio, aunque yo diría que más que centrarnos en como hacer la defragmentation, vamos a incidir más en algo que que está muy poco documentado, y es en CUANDO hacerlo, lo interesante sería tener constancia previa de cuanto espacio ganaríamos compactando nuestra base de datos, ¿verdad?, pues hay un procedimiento para que el sistema nos informe de cuanto ocupa nuestra base de datos de AD, y cuanto espacio está libre en realidad de todo lo ocupado, que sería la parte que se liberaría.

Esta tarea entraría en las denominadas “Tareas de mantenimiento de nuestro Directorio Activo” aunque sinceramente hay entornos en los cuales no es necesario llevarlo a cabo, y otros en los que si.

Un poco de historia respecto a la base de datos NTDS.DIT

Dentro del funcionamiento normal de la propia base de datos, se ejecuta de forma automática, y transparente para el usuario una desfragmentación cada 12 horas, la cual denominamos Online defragmentation y se lleva a cabo un par de veces al día. Pero claro la online defragmentation no es tan “potente” por así decirlo que la offline, en la Online se libera el espacio de los objetos eliminados de manera rápida, para ser reutilizados por nuevos objetos de AD DS, y en la medida de lo posible que no crezca la propia base de datos, pero no sirve para cuando se eliminan gran cantidad de objetos, en esos casos digamos que la desfragmentación Online no es tan efectiva.

image

image

¿Que hacemos al llevar a cabo la Defragmentation?

Con la denominada desfragmentación de la base de datos de AD DS, lo que hacemos es compactar de nuevo la base de datos, liberar espacio que se ha ido ocupando de más, y chequear la integridad de la base de datos.

Como he dicho al principio de la entrada, en la mayor parte de los escenarios no es necesario llevar a cabo está acción, pero hay otros entornos por ejemplo los que vienen de hacer un upgrade de los Controladores de dominio a una versión reciente de Windows Server, entornos muy grandes que han sufrido grandes variaciones donde si puede ser interesante desfragmentar la base de datos, también un tamaño desproporcionado del fichero ntds.dit es síntoma inequívoco de que hace falta compactar, aunque deberemos tener en cuenta que los Controladores de dominio que son además Catálogo Global tienen mayor tamaño de base de datos que el resto de DCs que no lo son, por lo que en ese caso la diferencia de tamaño de unos DCs respecto a otros está justificada.

¿Cuando debo realizar este procedimiento?

Como ya he comentado al comienzo de la entrada, la defragmentation online se lleva a cabo cada 12 horas, pero no cubre una acción en profundidad, es algo muy superficial, no siempre libera espacio. Durante los años de trabajo en un entorno con Directorio Activo la base de datos ntds.dit va aumentando de tamaño, cualquier objeto suma, aunque luego se eliminen van generando o consumiendo espacio, que la base de datos no es capaz de liberar por si sola en numerosas ocasiones, como en el borrado de objetos pasado el tombstone lifetime (tiempo en el que realmente se eliminan los objetos y ya no pueden ser recuperados.

Windows Server 2000 – 60 days
Windows Server 2003 – 60 days
Windows Server 2003 SP1 – 180 days
Windows Server 2003 R2 – 60 days
Windows Server 2003 R2 SP2 – 180 days
Windows Server 2008 – 180 days
Windows Server 2008 R2 – 180 days
Windows Server 2012 – 180 days
Windows Server 2012 R2 – 180 days

Para saber realmente cuando, o mejor dicho que espacio puedo liberar del fichero ntds.dit llevando a cabo la defragmentation hemos de modificar una clave del registry que nos mostrará de manera anticipada que ganancia obtenemos, y si realmente nos merece la pena hacer las defragmentation.

Para ello nos conectamos al DC sobre el que queremos ver el espacio a liberar, y modificamos la siguiente entrada del registro:

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ NTDS \ Diagnostics

Como siempre ejecutamos regedit, y navegamos hasta la ruta

2015-01-27_11-56-14

Como podemos observar, el valor por defecto de la entrada 6 Garbage Collection es 0, nosotros debemos modificarlo a 1. Con esta simple acción incrementaremos el Logging del proceso Garbage Collection el cual se ejecuta junto con la defragmentation online. Ahora deberíamos esperar a que la proxima defragmetation online se lleve a cabo (ya hemos comentado que sucede un par de veces al día cada 12 horas), y entonces podremos estudiar el log Active Directory Domain Services.

Dentro del log buscaremos el event id 1646, por normal general aparece junto a los event ids 700 and 701.

SNAGHTML129584ae

Como se puede ver en el log en mi ejemplo (es un dominio recién instalado para pruebas) de los 18MB que ocupa la base de datos, si la compactásemos ahora mismo ganaríamos o liberaríamos 4MB, con lo que se quedaría en 14MB.

En entornos reales de producción, podréis observar como se puede ahorrar bastante espacio en la BBDD, y además mejorar el rendimiento de una manera muy leve.

El procedimiento como tal para hacer la compactación es sencillo, y se puede seguir en el siguiente enlace de Microsoft: https://technet.microsoft.com/en-us/library/cc794920%28v=ws.10%29.aspx

Saludos

DGM