Página principal Sobre mi Premios recibidos Links de Interés Contacto Blogs de referencia

Translate

lunes, 28 de septiembre de 2015

Textual description of firstImageUrl

Review Libro ADIT - Active Directory para administradores de IT

En este nuevo review me congratula empezar una serie de revisiones en varias entregas, sobre tres de los siete fabulosos libros de Xavier Genestós.

Todos ellos los podemos encontrar en la editorial Lulu a un precio muy razonable, en castellano y en formato DIN-A4.

Los títulos de las publicaciones que revisaremos son:

He seleccionado estos tres títulos, porque tratan de tres temas que a mi entender, me parecen esenciales y que todo administrador de sistemas debe conocer. Son productos ampliamente extendidos en todo el mundo y a pesar de haber evolucionado a  lo largo de su recorrido, la idea original sigue siendo la misma que en su inicio. Es de vital importancia que tengamos un conocimiento profundo de todos de ellos, tanto si tenemos instalado en nuestra infraestructura Windows Server 2000 como Windows Server 2012 R2.

Podemos revisar el índice de todas las publicaciones de Xavier en su blog: Índice y referencias libros

Empezaremos revisando el tema que es la base de todo, Active Directory, y este queda recogido en el libro, ADIT - Active Directory para administradores de IT.


ADIT - Active Directory para administradores de IT Front ADIT - Active Directory para administradores de IT Rear

viernes, 25 de septiembre de 2015

Textual description of firstImageUrl

Active Directory: Transferir funciones FSMO mediante línea de comandos.

En el laboratorio de hoy, vamos a transferir las funciones Flexible Single Master Operation o FSMO de un controlador de dominio de Active Directory a otro mediante línea de comandos. Para nuestro ejemplo, usaremos un servidor Windows Server 2003 como origen y un servidor Windows Server 2012 R2 como destino de la operación.

En primer lugar agregaremos el nuevo servidor Windows Server 2012 R2 al dominio existente y también verificaremos el nivel funcional de nuestro dominio de Active Directory y nuestro bosque, solo si es necesario lo elevaremos para poder promocionar nuestro nuevo servidor.

Si tenemos controladores de dominio en los que se ejecute una versión anterior de Windows a la del controlador de dominio que ostenta los roles, no debemos elevar el nivel funcional del dominio hasta verificar en la tabla que tenemos a continuación, en ella se buscaremos el nivel funcional que necesitamos que tenga nuestro dominio y cuales son los sistemas operativos compatibles, de tener un controlador de dominio en uso que no sea compatible con el nivel funcional que necesitamos, en primer lugar deberemos retirarlo, cambiando todos los servicios que tenga a otro servidor mas moderno y después desproporcionando el servidor .

Cuando elevamos el nivel funcional del dominio a un nivel superior, ya no es posible dar vuelta atrás, así pues para evitar desastres nos debemos tomar muy en serio la tabla que tenemos a continuación.

Niveles funcionales del Dominio.

Para un nivel funcional del dominio Windows 2000 mixto los sistemas operativos de controlador de dominio admitidos serán.

Windows NT 4.0
Windows 2000
Familia Windows Server 2003

Para un nivel funcional del dominio Windows 2000 nativo los sistemas operativos de controlador de dominio admitidos serán.

Windows 2000 Server
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2

Para un nivel funcional del dominio Windows Server 2003 los sistemas operativos de controlador de dominio admitidos serán.

Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012

Para un nivel funcional del dominio Windows Server 2008 los sistemas operativos de controlador de dominio admitidos serán.

Windows Server 2008
Windows Server 2008 R2
Windows Server 2012

Para un nivel funcional del dominio Windows Server 2008 R2 los sistemas operativos de controlador de dominio admitidos serán.

Windows Server 2008 R2
Windows Server 2012 

Para un nivel funcional del dominio Windows Server 2012 los sistemas operativos de controlador de dominio admitidos serán.

Windows Server 2012 

Niveles funcionales del bosque.

Para un nivel funcional del bosque Windows 2000 nativo los sistemas operativos de controlador de dominio admitidos serán.

Windows Server 2012
Windows Server 2008
Windows Server 2003
Windows 2000

Para un nivel funcional del bosque Windows Server 2003 los sistemas operativos de controlador de dominio admitidos serán.

Windows Server 2003
Windows Server 2008
Windows Server 2012

Para un nivel funcional del bosque Windows Server 2008 los sistemas operativos de controlador de dominio admitidos serán.

Windows Server 2008
Windows Server 2012

Para llevar a cabo este procedimiento, deberemos ser miembros del grupo Admins. del dominio en el dominio cuya funcionalidad deseamos elevar o del grupo Administradores de organización en Active Directory, o bien deberemos tener delegada la autoridad correspondiente. 

Para nuestro ejemplo, el nivel funcional debería ser  Windows Server 2003.

Después de aumentar el  nivel funcional, promocionaremos el nuevo servidor Windows Server 2012 R2 a controlador de dominio. Seguidamente, abriremos una ventana de  línea de comandos, y usaremos para verificar que controlador de dominio tiene en la actualidad las cinco funciones Flexible Single Master Operation el comando

netdom query fsmo

En nuestro ejemplo es un servidor llamado SRVDC, nuestro  Windows Server 2003. El nuevo servidor Windows Server 2012 R2 lo llamaremos SRVDC01.

netdom query fsmo

viernes, 18 de septiembre de 2015

Textual description of firstImageUrl

Cómo desplegar una máquina virtual desde una template VMWare

En nuestro anterior post VMWare - Crear una Template, pudimos ver como podemos crear una plantilla o template desde la que podíamos desplegar otras muchas máquinas virtuales que tendrán las mismas características iniciales.

martes, 15 de septiembre de 2015

Textual description of firstImageUrl

Review Libro VBESXi - Veeam Backup sobre ESXi

Los programas de copia de seguridad tradicionales, aún los más sencillos, siempre me han parecido complicados y poco intuitivos en el manejo de los trabajos de copia y la configuración de los mismos en general.

Cuando aparecieron las tecnologías de visualización, todos los programas clásicos de copia de seguridad del mundo físico, intentaron reciclarse de forma parcial  para poder realizar copias de maquinas virtuales a la vez que continuar dando servicio de copias de seguridad en el mundo físico, incrementando, a mi modo de ver, su complexidad y falta de facilidad de uso, pero esto cambió con la aparición de Veeam Backup & Replication

Veeam Backup & Replication, es un producto de sencillo manejo y muy intuitivo, con fantásticos asistentes de configuración, sin hablar de su efectividad en la recuperación rápida de maquinas virtuales. Cubre todas las necesidades de copia y la replicación de las infraestructuras de red virtualizadas, es un gran producto, que ha revolucionado los sistemas de copia de seguridad en el mundo virtual.

Hace unos días recibí un libro, que me hace mucha ilusión recomendar, se trata del nuevo libro de mi buen amigo Xavier Genestós. Para Xavier, parece que el tiempo sea interminable ya que le sobra tiempo para todo, es administrador de sistemas, formador y escritor de libros sobre administración de sistemas informáticos, además de ser un grandisimo profesional del sector, mejor persona y un buen amigo.

Review Libro VBESXi - Veeam Backup sobre ESXi front  Review Libro VBESXi - Veeam Backup sobre ESXi rear

viernes, 11 de septiembre de 2015

Textual description of firstImageUrl

Perfiles Móviles: Pruebas finales.

Hemos dividido este laboratorio en catorce artículos separados por temáticas, a los que podéis acceder directamente usando el incide de contenidos que mostramos a continuación:
Para probar la configuración que hemos llevado a cabo en este larguísimo articulo, en primer lugar, accederemos desde una estación de trabajo de pruebas y validaremos con uno de los usuarios del grupo que deben usar perfiles móviles.

Validaremos con uno de los usuarios del grupo que deben usar perfiles móviles.

Esperaremos a que inicie y cargue por primera vez el perfil de usuario.


Una vez veamos el escritorio de windows en nuestro equipo, si nos desplazamos a la ruta de red donde tendrían que crearse los perfiles de usuario móvil, descubriremos que efectivamente ya no tendremos una carpeta vacía, habrán aparecido las carpetas de todos los perfiles de usuario que han validado en los equipos por primera vez.

Textual description of firstImageUrl

Perfiles Móviles: GPO para Configurar Profile Path - Parte 5.

Hemos dividido este laboratorio en catorce artículos separados por temáticas, a los que podéis acceder directamente usando el incide de contenidos que mostramos a continuación:
Recordemos que, antes de empezar toda la configuración de las GPO, hemos deshabilitado el vinculo para que estas no se propagaran hasta no tener todo configurado. En este momento, solo nos faltará Habilitar el Vinculo nuevamente.

Seleccionaremos nuestra GPO llamada Perfiles Móviles y con el botón derecho del nuestro ratón, desplegaremos el menú  y seleccionaremos la opción, Vinculo habilitado.

Seleccionaremos la opción, Vinculo habilitado.

Textual description of firstImageUrl

Perfiles Móviles: GPO para Configurar Profile Path - Parte 4.

Hemos dividido este laboratorio en catorce artículos separados por temáticas, a los que podéis acceder directamente usando el incide de contenidos que mostramos a continuación:
Seguidamente, desplegaremos el árbol de la ventana del Editor de administración de directivas de grupo en la rama que mostramos a continuación.

Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Directivas locales \ Asignación de derechos de usuario

Buscaremos y editaremos la directiva Permitir el Inicio de sesión local.


Textual description of firstImageUrl

Perfiles Móviles: GPO para Configurar Profile Path - Parte 3.

Hemos dividido este laboratorio en catorce artículos separados por temáticas, a los que podéis acceder directamente usando el incide de contenidos que mostramos a continuación:
Desplegaremos el árbol.

Computer Configuration \ Policies \Administrative Templates:... \ System \ User Profiles

Escogeremos la plantilla llamada, Set roaming profile path for all users logging onto this computer.


Cómo en los casos anteriores, cambiaremos el botón selector de Not Configured a Enabled.

En la sección Opciones, debemos rellenar con la ruta donde se encuentra nuestra carpeta de perfiles de usuario móviles.

Usaremos también la variable de entorno  %username%

\\Nombre_servidor\Recurso_compartido\%username%

En nuestro ejemplo será:

\\win2008-dc\Perfiles_moviles\%username%

Aplicaremos todos los cambios pulsando el botón Apply y presionaremos el botón OK para finalizar.

\win2008-dc\Perfiles_moviles\%username%

Nuestra directiva quedará habilitada y configurada.

Textual description of firstImageUrl

Perfiles Móviles: GPO para Configurar Profile Path - Parte 2.

Textual description of firstImageUrl

Perfiles Móviles: GPO para Configurar Profile Path - Parte 1.

Hemos dividido este laboratorio en catorce artículos separados por temáticas, a los que podéis acceder directamente usando el incide de contenidos que mostramos a continuación:
Con los servidores que tienen instalado un sistema operativo Windows Server 2008 o superior disponemos de una directiva de grupo con la que podremos establecer la ruta de acceso de los perfiles móviles para todos los usuarios que queramos de una forma automatizada.

Se trata de una directiva de equipos, que nos permite especificar el camino a de los perfiles móviles a todos los usuarios que se validen en un equipo de nuestra red.

En primer lugar, crearemos un nuevo grupo de seguridad para los equipos que utilizarán los usuarios a los que asignaremos los perfiles de móviles.

Abriremos Usuarios y Equipos de Active Directory y seleccionaremos la OU que hemos creado en los pasos anteriores de este artículo y que hemos llamado Perfiles Móviles, presionaremos el botón derecho del ratón seleccionando en el menú desplegable la opción Nuevo y seguidamente Grupo.

Usuarios y Equipos de Active Directory

Daremos un nombre descriptivo a nuestro nuevo grupo de seguridad, en nuestro ejemplo lo llamaremos Ordenadores con Perfiles, continuaremos seleccionando ámbito Global y como tipo debemos elegir  Seguridad, realizadas todas la selecciones presionaremos el botón Aceptar.

Ventana Nuevo objeto Grupo.

Cómo ya hemos echo en los pasos anteriores, accederemos a las propiedades del nuevo grupo y nos dirigiremos a la sección Miembros. Usaremos el botón Agregar para añadir todos los ordenadores que serán miembros del grupo, o dicho de otro modo todos los equipos que usaran los usuarios con perfiles móviles.

Propiedades del Grupo.

En nuestro ejemplo, tendremos un solo equipo, terminada la selección presionaremos el botón Aceptar para cerrar la ventana.

Equipos del dominio que usaran los usuarios con perfiles móviles.

Una vez creado nuestro grupo de Equipos en los cuales se permitirá el uso de Perfiles de usuario móviles, agregaremos este a la sección Filtrado de Seguridad de nuestra GPO llamada Perfiles Móviles.

Agregaremos este a la sección Filtrado de Seguridad de nuestra GPO llamada Perfiles Móviles.
Textual description of firstImageUrl

Perfiles Móviles: Configurar Profile Path.

Hemos dividido este laboratorio en catorce artículos separados por temáticas, a los que podéis acceder directamente usando el incide de contenidos que mostramos a continuación:
Para finalizar nuestra configuración, deberemos indicar a los usuarios que usaran los perfiles móviles, la ruta donde localizar las carpetas de dichos perfiles.

Si tenemos pocos usuarios, podemos abrir Usuarios y Equipos de Active Directory seleccionaremos los usuarios a los que queramos asignar a un perfil de usuario móvil y usaremos el botón secundario del ratón, para desplegar el menú y seleccionaremos la opción Propiedades del usuario.

En la sección Perfil o Profile de la ventana de propiedades del usuario, rellenaremos el cuadro de texto Profile Path con la ruta de la ubicación de las carpetas perfiles, escribiremos también, a continuación de la ruta de los perfiles, la variable de entorno  %username%, para indicar el nombre se usuario.

Durante el primer inicio de sesión de forma automática, se creará una nueva carpeta etiquetada con el nombre del usuario donde se ubicaran las carpetas del perfil de usuario.

\\Nombre_servidor\Carpeta_Perfiles\%username%

En nuestro ejemplo será

\\win2008-dc\Perfiles_moviles\%username%

Aplicaremos los cambios haciendo uso del botón Apply y presionaremos el botón OK para cerrar la ventana.
Configurar Profile Path.

Con un servidor Windows Server 2003, esta era la única forma posible de realizar esta tarea, y especificar la ruta de los perfiles de usuario móviles podía convertirse en una tarea muy tediosa, dependiendo del volumen de usuarios con perfil móvil, que tuviéramos en nuestra red.

A partir de Windows Server 2008 esto ha cambiado, disponemos de una directiva de grupo con la que podemos establecer la ruta de los perfiles móviles para todos los usuarios que queramos de una forma sencilla y rápida.
Textual description of firstImageUrl

Perfiles Móviles: Limitar el tamaño del perfil de usuario.

Hemos dividido este laboratorio en catorce artículos separados por temáticas, a los que podéis acceder directamente usando el incide de contenidos que mostramos a continuación:
Cuando trabajamos con perfiles móviles, hemos de tener en cuenta que el perfil de nuestros usuarios viajará por nuestra red, por ese motivo es una muy buena idea, limitar el tamaño del perfil de usuario móvil.

En este caso, abriremos la Group policy Management Editor y habilitaremos la directiva llamada Limit profile size.

Encontraremos Limit profile size en la rama del árbol lateral izquierdo de la consola, que mostramos a continuación:

User Configuration \ Policies \ Administrative Templates:... \ System \ User Profiles.


User Configuration \ Policies \ Administrative Templates:... \ System \ User Profiles.

Textual description of firstImageUrl

Perfiles Móviles: Redirigir las carpetas de datos de los perfiles de usuario.

Textual description of firstImageUrl

Perfiles Móviles: Excluir directorios de los perfiles.

Hemos dividido este laboratorio en catorce artículos separados por temáticas, a los que podéis acceder directamente usando el incide de contenidos que mostramos a continuación:
Cómo segunda medida de seguridad,  excluiremos todas esas carpetas que no queramos que sean movidas por nuestra la red, AppData, temp, etc...

En la ventana de Goup Policy Management Editor, desplegaremos el árbol situado en la parte izquierda de la ventana.

User Configuration \ Policies \ Administrative Templates:... \ System \ User Profiles

Habilitaremos la directiva llamada Exclude directories in roaming profile.

Exclude directories in roaming profile.

Textual description of firstImageUrl

Perfiles Móviles: Filtrado de Seguridad.

Hemos dividido este laboratorio en catorce artículos separados por temáticas, a los que podéis acceder directamente usando el incide de contenidos que mostramos a continuación:
Abriremos la ventana de Administración de directivas de grupo y seleccionaremos la directiva de grupo que hemos creado en el paso anterior.

En la sección Filtrado de seguridad de la sección Ámbito, seleccionaremos el grupo de usuarios que viene agregado por defecto, llamado Usuarios autenticados, y pulsaremos el botón en Quitar.

Eliminar Usuarios autenticados.

Textual description of firstImageUrl

Perfiles Móviles: Crear un recurso compartido para los perfiles de usuario.

Hemos dividido este laboratorio en catorce artículos separados por temáticas, a los que podéis acceder directamente usando el incide de contenidos que mostramos a continuación:
Cuando tengamos nuestro grupo de usuarios creado, deberemos crear un nuevo recurso compartido para contener los archivos de los perfiles de usuario móviles.

Una ves creada la carpeta procederemos a compartir, la seleccionaremos y haciendo uso del botón derecho del ratón y presionaremos en el menú desplegable, la opción Propiedades.


Textual description of firstImageUrl

Perfiles Móviles: Crear GPO para los perfiles de usuario.

Hemos dividido este laboratorio en catorce artículos separados por temáticas, a los que podéis acceder directamente usando el incide de contenidos que mostramos a continuación:
Cuando configuramos perfiles móviles en nuestro entorno, de manera opcional, podemos crear un sistema de GPO's que nos ayuden a mejorar el uso de los perfiles de usuario móviles. Estas directivas, nos permitirán configurar distintas opciones en los perfiles de usuario móviles, que nos facilitaran la gestión y también nos permitirán mantener a raya el tamaño de nuestros perfiles de usuario.

Para crear una nueva GPO, nos dirigiremos al menú inicio de windows, situado en la parte inferior izquierda de nuestra pantalla, y en el cuadro de texto llamado Ejecutar, escribiremos gpmc.msc y seguidamente presionaremos el botón Aceptar, abriendo así la ventana de Group Policy Management Console.

Seleccionaremos, con el botón secundario del ratón,  la OU que hemos creado en los pasos anteriores de este artículo, después, seleccionaremos la opción del menú desplegable Crear un GPO en este dominio y vincularlo aquí.

Deberemos asignar un nombre para la nueva directiva de grupo, por ejemplo, Perfiles móviles. Haremos uso del botón OK para guardar los cambios y terminar el asistente.

Crear un GPO en este dominio y vincularlo aquí.

Textual description of firstImageUrl

Perfiles móviles: Configurar.

En el laboratorio de hoy implementaremos todo un clásico, los perfiles de usuario móviles. Los perfiles móviles en ocasiones muy puntuales pueden ser de gran utilidad.

Todos sabemos que el uso de los perfiles móviles, sobre todo si no se configuran bien, puede congestionar la red, hundir cabinas de disco, etc... , pero si los usamos de forma localizada, en unos pocos equipos de nuestra red y correctamente configurados, pueden facilitarnos la vida.

En ocasiones tenemos equipos en nuestra red, que por razones varias los deben usar varios usuarios en distintos momentos del día, son equipos, que no son de nadie en especial o los usuarios trabajan por turnos en ellos y en estos casos tener un perfil móvil puede ser de gran utilidad.

Antes de nada, debemos recordar que no debemos usar perfiles de móviles en equipos que ejecuten las siguientes combinaciones, Windows Vista - Windows Server 2008 y Windows 7 - Windows Server 2008 R2. No está permitida la movilidad entre estas versiones del sistema operativo, las versiones de los perfiles de usuario no son compatibles.

Para la configuración completa de nuestros perfiles de usuario móviles seguiremos los pasos siguientes.

Hemos dividido este laboratorio en catorce artículos separados por temáticas, a los que podéis acceder directamente usando el incide de contenidos que mostramos a continuación:
En el primer paso de nuestra configuración, crearemos un grupo de seguridad en nuestro Active Directory que contendrá todos los usuarios o equipos donde queremos aplicar la configuración de directivas de perfiles de usuario móviles.

Accederemos a la ventana de  Usuarios y equipos de Active DirectorySeleccionaremos, en la parte superior del árbol situado en la parte izquierda de la ventana, el nombre de nuestro dominio, con el botón derecho del ratón desplegaremos el menú y seleccionaremos la opción Nuevo seguidamente, buscaremos el objeto, OU o Organizational Unit.

Si no habéis creado nunca una Unidad Organizativa, podéis consultar el siguiente enlace para más información.

Cómo crear una nueva Unidad Organizativa en Active Directory.

Asignaremos un nombre descriptivo a la nueva Organizational Unit y presionaremos el botón OK para finalizar.

Organizational Unit.

miércoles, 2 de septiembre de 2015

Textual description of firstImageUrl

Active Directory: Limpiar un DC irrecuperable.

En el laboratorio de hoy seguiremos paso a paso, el muy temido  por muchos, procedimiento de asumir las funciones Flexible Single Master Operation o FSMO de un controlador de dominio de Active Directory que se encuentra en fallo y que es irrecuperable, para posteriormente poder limpiar el Directorio Activo.

Cuando queremos deshacernos de un controlador de dominio, lo mejor es despromocionar el servidor para después poder eliminarlo del dominio y así finalizar apagando dicho servidor, pero la realidad es, que en ocasiones esto no es tan fácil, ya que el servidor puede haber fallado y no es posible una reparación del mismo o simplemente alguna persona, con falta de conocimientos, ha apagado el servidor sin realizar el procedimiento de despromoción y lo ha tirado a la basura.

En nuestro dominio de ejemplo, tendremos dos controladores de dominio, uno con Windows 2008 y otro con Windows 2012. El controlador que tiene instalado Windows 2012 tiene todas las funciones Flexible Single Master Operation y es el servidor que hemos apagado, para simular que ha desaparecido o fallado.

Usuarios y equipos de Active Directory.