Se desconectan las unidades de red

Pasado un tiempo de inactividad puede ocurrir que se desconecten las unidades de red en nuestros equipos.
Esto ocurre cuando tenemos unidades de red mapeadas desde nuestras estaciones de trabajo apuntando a recursos compartidos en nuestro servidor.

Para evitar esto, vamos al servidor y abrimos una ventana de comandos, allí tecleamos el siguiente comando:

net config server /autodisconnect:-1

Tambien existe una política que hace lo mismo, la verdad aqui de memoria se me escapa la ubicación. Igual siempre he utilizado este comando.

ah, tengan en cuenta que se pierde cuando reiniciamos el servidor, entonces, tenemos 2 opciones:

1. creamos un .bat o .cmd y lo ponemos a ejecutar de alguna manera en el inicio del sistema.
2. buscamos la política que les comenté y la activamos. jeje. (en Windows Server 2003 SP1 vienen 1800 políticas mas o menos, ahi entenderan).


---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Contraseñas a nivel de dominio

Vamos a ver cuales son las caracteristicas de las contraseñas que se implementan por defecto, una vez montado nuestro Directorio Activo.

Antes que nada, las políticas de contraseña se establecen a nivel de dominio. Nunca a nivel de OU, Sitios ni DC's. Esto significa que la herramienta administrativa a editar para las contraseñas será siempre Default Domain Policy.

Cuando implementamos el Directorio Activo y establecemos una política de contraseñas para toda la organización, no podremos crear un grupo de excepción para contraseñas, no podremos meterlas a una OU ni nada por el estilo. Si queremos establecer una política de contraseñas distinta a la creada para el resto de la organización, será necesario crear otro servidor en otro dominio y unir este grupo de equipos al nuevo dominio.

Teniendo claro esto, miremos ahora las características predeterminadas para todos los usuarios en cuanto a contraseñas.
las contraseñas deben cumplir con los siguientes requerimientos:

1. Al menos 6 caracteres en tamaño
2. No incluir el nombre de usuario
3. Debe contener minimo 3 caracteres en combinación de los siguientes:

a. no alfanuméricos (!@#$%&)
b. minúsculas (a-z)
c. mayúsculas (A-Z)
d. números (0-9)


Ahora una recomendación.

Los sistemas anteriores como Windows NT nos permitían un máximo de 14 caracteres, y los sitemas posteriores a este, como Windows 2000 o XP nos permiten un máximo de 127 caracteres.
Esto nos permite 'jugar' con la planificacion de una contraseña segura para nuestra red.

Opción 1
Con la configuración predeterminada podremos establecer contraseñas por combinaciones de caracteres:

X1ab&125

Opción 2
Eliminando la configuración predeterminada ( Default domain policy > Security Settings > Account Policies > Password Policy > deshabilitamos todas las opciones y refrescamos las políticas en el servidor en una ventana de comandos con: gpupdate /force )
Podremos ahora utilizar frases en lugar de combinación de caracteres:

estapuedeserunaclavesinningunproblema

o mas segura aún:

Est@puedeser otraclaveaunconlos espac1os

Aqui le estamos complicando aún mas la existencia a los intrusos que intenten vulnerarnos con diccionarios de claves o programas similares.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Cambiar el puerto por defecto de Terminal Server

En ocasiones y por cuestiones de seguridad, nos interesaría cambiar el puerto predeterminado para Terminal Server, el 3389, por otro cualquiera que este entre el 49152 y el 65535. Pues bien, el procedimiento es el siguiente:

Abrimos el registro en el servidor y vamos a la rama:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
aquí abrimos PortNumber y en decimal cambiamos el valor por uno a nuestro antojo, por ejemplo 51261. Reiniciamos el equipo.

Ahora para conectarnos con nuestro cliente RDP solo tendremos que añadir a nuestra dirección IP el puerto configurado. por ejemplo: 200.13.224.225:51261


---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Obtener configuración IP desde un DHCP para el adaptador externo

En algunos casos, segun la topología que tengamos, será necesario que nuestro ISA Server obtenga una dirección IP pública de un DHCP externo a nuestra red. Es probable que nuestro ISA rechace este procedimiento y no obtenga nunca una configuración IP.

Que hacer? sencillo...

Por diseño ISA Server 2004/2006 deniega la comunicación entre servidores DHCP externos y el adaptador externo. La solución es editar la system policy.

vamos al panel de tareas > mostrar políticas del sistema
aquí buscamos la política correspondiente que permita respuestas de servidores DHCP externos a ISA Server > damos editar > y aquí tenemos 2 opciones para analizar:
1. agregamos la dirección IP del servidor DHCP, si la conocemos.
2. agregamos la red 'externa'.

Con esto lo solucionamos. Espero que les sirva.


---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Herramientas de diagnóstico para Controladores de Dominio

Estas herramientas las tenemos que instalar de las Support Tools del CD de Windows Server 2003.
Una vez instaladas las herramientas, utilizaremos las siguientes para diagnosticar el correcto estado y funcionamiento de nuestro servidor.


DCDIAG
La primera herramienta que utilizo es Dcdiag. Con esta veremos el estado del Controlador de Dominio en diferentes procesos, como registro de cuentas, netlogons, generacion de eventos, comunicacion Intersite, chequeo de los FSMO, etc.

aqui un ejemplo de un resultado de DCdiag en un DC correctamente configurado y funcional:

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Nombre-predeterminado-primer-sitio\VSSERVER
Starting test: Connectivity
......................... VSSERVER passed test Connectivity

Doing primary tests

Testing server: Nombre-predeterminado-primer-sitio\VSSERVER
Starting test: Replications
......................... VSSERVER passed test Replications
Starting test: NCSecDesc
......................... VSSERVER passed test NCSecDesc
Starting test: NetLogons
......................... VSSERVER passed test NetLogons
Starting test: Advertising
......................... VSSERVER passed test Advertising
Starting test: KnowsOfRoleHolders
......................... VSSERVER passed test KnowsOfRoleHolders
Starting test: RidManager
......................... VSSERVER passed test RidManager
Starting test: MachineAccount
......................... VSSERVER passed test MachineAccount
Starting test: Services
......................... VSSERVER passed test Services
Starting test: ObjectsReplicated
......................... VSSERVER passed test ObjectsReplicated
Starting test: frssysvol
......................... VSSERVER passed test frssysvol
Starting test: frsevent
......................... VSSERVER passed test frsevent
Starting test: kccevent
......................... VSSERVER passed test kccevent
Starting test: systemlog
......................... VSSERVER passed test systemlog
Starting test: VerifyReferences
......................... VSSERVER passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : visionsistemas
Starting test: CrossRefValidation
......................... visionsistemas passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... visionsistemas passed test CheckSDRefDom

Running enterprise tests on : visionsistemas.local
Starting test: Intersite
......................... visionsistemas.local passed test Intersite
Starting test: FsmoCheck
......................... visionsistemas.local passed test FsmoCheck


NETDIAG
Esta herramienta nos ayuda tambien a analizar como se encuentra nuestro DC con respecto a la red, por ejemplo, membresía, kerberos, descubrimiento de otros DC, configuración IP de cada adaptador, entre otrosl.
Un ejemplo de un reporte de NETDiag sería el siguiente:


....................................

Computer Name: VSSERVER
DNS Host Name: vsserver.visionsistemas.local
System info : Microsoft Windows Server 2003 R2 (Build 3790)
Processor : x86 Family 15 Model 44 Stepping 2, AuthenticAMD
List of installed hotfixes :
Q147222


Netcard queries test . . . . . . . : Passed
GetStats failed for 'Paralelo directo'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card 'Minipuerto WAN (PPTP)' may not be working because it has not received any packets.
[WARNING] The net card 'Minipuerto WAN (PPPOE)' may not be working because it has not received any packets.
[WARNING] The net card 'Minipuerto WAN (IP)' may not be working because it has not received any packets.
GetStats failed for 'Minipuerto WAN (L2TP)'. [ERROR_NOT_SUPPORTED]



Per interface results:

Adapter : externa

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : vsserver
IP Address . . . . . . . . : 192.168.1.10
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.1.254
NetBIOS over Tcpip . . . . : Disabled
Dns Servers. . . . . . . . : 192.168.100.253


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Skipped
NetBT is disabled on this interface. [Test skipped]

WINS service test. . . . . : Skipped
NetBT is disable on this interface. [Test skipped].

Adapter : LOCAL

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : vsserver
IP Address . . . . . . . . : 192.168.100.253
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . :
Dns Servers. . . . . . . . : 192.168.100.253


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Skipped
[WARNING] No gateways defined for this adapter.

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{AC0EE159-0752-4D0B-A114-362C4FFE18DB}
1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.100.253'.


Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{AC0EE159-0752-4D0B-A114-362C4FFE18DB}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{AC0EE159-0752-4D0B-A114-362C4FFE18DB}
The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully

REPLMON
Para mi, una herramienta muy util pues no solo sirve para verificar el estado de las replicaciones de las particiones de Active Directory con el resto de DC's, sino tambien, porque podemos chequear el estado actual de los roles FSMO de nuestro DC.

Un reporte basico de un restultado de Replmon seria mas o menos como el siguiente, aunque hay que tener en cuenta que para este ejemplo no conté sino con un solo DC, pero sirve para darnos una idea de lo que se arroja en los reportes:

Active Directory Replication Monitor
Printed on 19/10/2008 17:00:35
This report was generated on data from the server: VSSERVER

***************************************************************************
VSSERVER Data
***************************************************************************

This server currently has writable copies of the following directory partitions:
---------------------------------------------------------------------------
DC=visionsistemas,DC=local
CN=Configuration,DC=visionsistemas,DC=local
CN=Schema,CN=Configuration,DC=visionsistemas,DC=local
DC=DomainDnsZones,DC=visionsistemas,DC=local
DC=ForestDnsZones,DC=visionsistemas,DC=local

Because this server is a Global Catalog (GC) server, it also has copies
of the following directory partitions:
---------------------------------------------------------------------------

Current NTDS Connection Objects
-------------------------------

Current Direct Replication Partner Status
-----------------------------------------

Directory Partition: DC=visionsistemas,DC=local

Directory Partition: CN=Configuration,DC=visionsistemas,DC=local

Directory Partition: CN=Schema,CN=Configuration,DC=visionsistemas,DC=local

Directory Partition: DC=DomainDnsZones,DC=visionsistemas,DC=local

Directory Partition: DC=ForestDnsZones,DC=visionsistemas,DC=local

Current Transitive Replication Partner Status
---------------------------------------------

Directory Partition: DC=visionsistemas,DC=local

Partner Name: Nombre-predeterminado-primer-sitio\VSSERVER
Partner GUID: 94B57A62-7366-4575-8735-6826CFCB882A
USN: 111161

Directory Partition: CN=Configuration,DC=visionsistemas,DC=local

Partner Name: Nombre-predeterminado-primer-sitio\VSSERVER
Partner GUID: 94B57A62-7366-4575-8735-6826CFCB882A
USN: 111161

Directory Partition: CN=Schema,CN=Configuration,DC=visionsistemas,DC=local

Partner Name: Nombre-predeterminado-primer-sitio\VSSERVER
Partner GUID: 94B57A62-7366-4575-8735-6826CFCB882A
USN: 111161

Directory Partition: DC=DomainDnsZones,DC=visionsistemas,DC=local

Partner Name: Nombre-predeterminado-primer-sitio\VSSERVER
Partner GUID: 94B57A62-7366-4575-8735-6826CFCB882A
USN: 111161

Directory Partition: DC=ForestDnsZones,DC=visionsistemas,DC=local

Partner Name: Nombre-predeterminado-primer-sitio\VSSERVER
Partner GUID: 94B57A62-7366-4575-8735-6826CFCB882A
USN: 111161

Current Group Policy Object Status
----------------------------------
Default Domain Policy
Group Policy Object GUID: {31B2F340-016D-11D2-945F-00C04FB984F9}
Group Policy Object Version in the DS: 65551
Group Policy Object Version in SYSVOL: 65551

Default Domain Controllers Policy
Group Policy Object GUID: {6AC1786C-016F-11D2-945F-00C04fB984F9}
Group Policy Object Version in the DS: 13
Group Policy Object Version in SYSVOL: 13

Nuevo objeto directiva de grupo
Group Policy Object GUID: {FF0F3EC1-8602-4503-8405-60356A3EAC3A}
Group Policy Object Version in the DS: 0
Group Policy Object Version in SYSVOL: 0


The server VSSERVER knows about the following FSMO roles:
--------------------------------------------------------------------------
Schema FSMO: Nombre-predeterminado-primer-sitio\VSSERVER
Domain Naming FSMO: Nombre-predeterminado-primer-sitio\VSSERVER
Infrastructure FSMO: Nombre-predeterminado-primer-sitio\VSSERVER
Primary Domain Controller FSMO: Nombre-predeterminado-primer-sitio\VSSERVER
RID Pool FSMO: Nombre-predeterminado-primer-sitio\VSSERVER

Performance Statistics at Time of Report
----------------------------------------

Configuration (Registry)
NOTE: an empty value indicates that Windows 2000 will use the internal default
NOTE: all empty values may indicate insufficient permission to retrieve this information from the domain controller
------------------------

DSA
---

Days per Database Phantom Scan:
Initialize MAPI interface:
Enforce LIST_OBJECTS rights:
DSA Heuristics:
Max Threads (ExDS+NSP+DRA):
DSA Database file: C:\WINDOWS\NTDS\ntds.dit
DSA Working Directory: C:\WINDOWS\NTDS
Critical Object Installation:
DS Drive Mappings:
DSA Previous Restore Count:

REPLICATION
-----------

Replicator notify pause after modify (secs):
Replicator notify pause between DSAs (secs):
Replicator intra site packet size (objects):
Replicator intra site packet size (bytes):
Replicator inter site packet size (objects):
Replicator inter site packet size (bytes):
Replicator maximum concurrent read threads:
Replicator operation backlog limit:
Replicator thread op priority threshold:
Replicator intra site RPC handle lifetime (secs):
Replicator inter site RPC handle lifetime (secs):
Replicator RPC handle expiry check interval (secs):

LDAP
----

Max objects in LDAP Search (Admin Limit):
Max concurrent LDAP connections allowed:
Max time allowed for an LDAP Search:
Max concurrent LDAP searches allowed:
Max concurrent threads per LDAP connection allowed:
Minimum idle seconds before potential \ timeout of LDAP connection (non-authenticated client):
Minimum idle seconds before potential \ timeout of LDAP connection (authenticated client):

Database
--------

Database backup path: C:\WINDOWS\NTDS\dsadata.bak
Database backup interval (hours):
Database log files path: C:\WINDOWS\NTDS
Database logging/recovery: ON
Hierarchy Table Recalculation interval (minutes): 720
Database restored from backup:
Pending object ownership conversions:
EDB max buffers:
EDB max log buffers:
EDB log buffer flush threshold:
EDB buffer flush start:
EDB buffer flush stop:
EDB max ver pages (increment over the minimum:
Circular Logging:
Server Functionality:
TCP/IP Port:
Restore from disk backup:
Performance Counter Version: 17

KCC
---

Repl topology update delay (secs):
Repl topology update period (secs):
KCC site generator fail-over (minutes):
KCC site generator renewal interval (minutes):
KCC site generator renewal interval (minutes):
CriticalLinkFailuresAllowed:
MaxFailureTimeForCriticalLink (sec):
NonCriticalLinkFailuresAllowed:
MaxFailureTimeForNonCriticalLink (sec):
IntersiteFailuresAllowed:
MaxFailureTimeForIntersiteLink (sec):
KCC connection failures:
IntersiteFailuresAllowed:
IntersiteFailuresAllowed:

***************************************************************************
Enterprise Data
***************************************************************************

Globally Unique Identifiers (GUIDs) for each domain controller in the enterprise
NOTE: the absence of a GUID means that the server has been demoted.
--------------------------------------------------------------------------------

Site Name: Nombre-predeterminado-primer-sitio
---------------------------------------
Site Options :
Site Topology Generator: CN=NTDS Settings,CN=VSSERVER,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=visionsistemas,DC=local
Site Topology Renewal :
Site Topology Failover :

VSSERVER
Server GUID (used for DNS) : 94B57A62-7366-4575-8735-6826CFCB882A
Replication Database GUID (used to identify partner in replication): 94B57A62-7366-4575-8735-6826CFCB882A
DSA Options : NTDSDSA_OPT_IS_GC
DSA Computer Path : CN=VSSERVER,OU=Domain Controllers,DC=visionsistemas,DC=local
DSA Schema Location : CN=Schema,CN=Configuration,DC=visionsistemas,DC=local
DSA Mail Address : _IsmService@94b57a62-7366-4575-8735-6826cfcb882a._msdcs.visionsistemas.local
DSA DNS Host Name : vsserver.visionsistemas.local
DSA BridgeHead Transports :



Site Links and Site Link Bridges
-----------------------------------------------------

Site Links
----------

DEFAULTIPSITELINK
Link Type: : IP
Distinguished Name : CN=DEFAULTIPSITELINK,CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=visionsistemas,DC=local
Replication Interval : 180
Cost : 100
Options :
Site List :
Nombre-predeterminado-primer-sitio

Site Link Bridges
------------------

Active Directory Replication Monitor determined that no Site Link Bridges are present in the Directory.
Inter-Site Transports
---------------------

IP
Options :
DLL Name : ismip.dll
Address Type: dNSHostName

SMTP
Options : NTDSTRANSPORT_OPT_IGNORE_SCHEDULES
DLL Name : ismsmtp.dll
Address Type: mailAddress

Subnets
-------
Active Directory Replication Monitor determined that no Subnets are present in the Directory.
Active Directory Configuration Data
-----------------------------------
Stay of Execution for Servers: 0
SPN Mappings : host=alerter,appmgmt,cisvc,clipsrv,browser,dhcp,dnscache,replicator,eventlog,eventsystem,policyagent,oakley,dmserver,dns,mcsvc,fax,msiserver,ias,messenger,netlogon,netman,netdde,netddedsm,nmagent,plugplay,protectedstorage,rasman,rpclocator,rpc,rpcss,remoteaccess,rsvp,samss,scardsvr,scesrv,seclogon,scm,dcom,cifs,spooler,snmp,schedule,tapisrv,trksvr,trkwks,ups,time,wins,www,http,w3svc,iisadmin,msdtc


Existen mas utilidades pero con estas podremos analizar muy bien el estado en que se encuentren nuestros DC's y tomar decisiones oportunas, eso si, dependiendo de la periodicidad con la que se realicen estos analisis. Yo recomiendo una vez a la semana si se trata de uno o dos DC's.


MBSA
Esta es la que no puede faltar y nos ayudará mucho para asegurar nuestro Server. Microsoft Base Line Security Analizer, en su mas reciente versión. Esto con el fin de mantener los servidores segun las guias y recomendaciones de microsoft. Esta disponible en http://technet.microsoft.com/es-es/security/cc184923(en-us).aspx


---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co

Resetear TCP/IP

Hay ocasiones en que debido a algun problema con TCP/IP nos vemos en la obligación de reinstalar todo un sistema, ya sea formateandolo o realizando una reparación.
Pues bien, existe una forma de resetear TCP/IP y dejarlo como estaba en el momento de una instalación en limpio. Para ello, utilizamos la consola NETSH y nos podemos desplazar en cada uno de sus contextos.

abrimos una ventana de comandos y tecleamos:

netsh 'enter'
netsh> interface 'enter'
netsh interface> ip 'enter'
netsh interface ip> reset archivo_log.txt

o tambien podemos digitar todo el comando sin entrar en contextos, asi:

netsh interface ip reset archivo_log.txt

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
http://www.visionsistemas.com.co

Licenciamiento de Office en Terminal Server

Aprovechando el procedimiento descrito en el siguiente enlace:

Cómo instalar Office 2003 u Office XP en un equipo que ejecuta Windows Terminal Server
http://support.microsoft.com/kb/828955/es

Hago la aclaración para quienes tienen la idea errónea de adquirir una licencia de Microsoft Office e instalarlo en un servidor de Terminal para múltiples usuarios.

Del documento anterior, cito:

"<< Sin embargo, en Office 2003, tanto la edición Retail como la edición Enterprise pueden instalarse en un servidor que tenga habilitado Servicios de Terminal Server si existe una licencia para cada usuario que vaya a ejecutar algún programa de Office 2003. Consulte el Contrato de licencia para el usuario final de Office para obtener más información al respecto. >>"

El punto es el siguiente:
Si se encuentra en un proceso de licenciamiento de Microsoft Office, debe tener en cuenta que si tiene 20 computadores con Office instalado cada uno, debe comprar 20 licencias equivalentes de la versión actual del producto instalado.

Si decide desinstalar el Office de estos 20 computadores para instalarlo sólo en uno, el servidor de terminal, para que lo accedan los 20 usuarios por conexión a escritorio remoto, deberá comprar 20 licencias equivalentes de la versión actual del producto instalado.

La licencia de Office en Servidores de Terminal cuenta por cada usuario que ejecute alguna aplicación de Office.


---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Visión Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
http://www.visionsistemas.com.co/

Como aplicar políticas en Windows Server 2003 para usuarios de Terminal Server

En ocasiones queremos aplicar políticas de terminal server a usuarios y nos hacemos un lío ya que no sabemos bien donde y como aplicarlas correctamente.
Lo primero que debemos crear es una Unidad Organizacional que contenga nuestros usuarios de Terminal.

Hagamos un alto aquí y diferenciemos entre políticas que se aplican a nivel de equipo y políticas que se aplican a nivel de usuario.

• Las de equipo afectan a todos los usuarios que inicien sesión en ese equipo en particular.


• las de usuario afectan a los usuarios, independiente de en que equipo inicien sesión.

Si vamos a aplicar las políticas a nivel de equipo en una OU, debemos mover las cuentas de equipo a este contenedor, de lo contrario no aplican.
Si vamos a aplicar las políticas a nivel de usuario en una OU, debemos mover las cuentas de usuario a este contenedor, de lo contrario no aplican.

Aquí juega un papel importante algo tan simple como los nombres de equipo y nombres de usuario. Recomiendo que los nombres de equipos sean totalmente diferentes a los nombres de los usuarios. Por ejemplo:

Error:
nombre de equipo: CARLOS
nombre de usuario: Carlos

Correcto:
nombre de equipo: PCCONTABILIDAD
nombre de usuario: Contabilidad

Esto es para que cuando se tenga que aplicar políticas a nivel de equipo y a nivel de usuario dentro del mismo contenedor (OU), podamos mover ámbas cuentas sin problema.

Ahora, lo normal es que pensemos en crear una OU y movamos allí las cuentas de usuario a las que vamos a aplicar las políticas, para denegar cuando inicien sesión en el Terminal Server, pero, aquí hay un problema y es que estas políticas también aplicarán cuando inicie sesión en su propia estación dentro de la red.

La solución a esto es crear las políticas en el contenedor del Terminal Server ya que si se intenta hacer un link de GPO de la que aplica en el OU de usuario, esta tampoco se ejecutará, ya que el objeto usuario no existe en el contenedor de Terminal Server.
Al crear la GPO en el contenedor de Terminal Server debemos activarle el Loopback Processing Mode y configurarlo para hacer Replace.

Con esto realmente lo que estamos haciendo es que cualquier cambio que hagamos a nivel de usuario en la GPO, afectará a todos los usuarios que inicien sesión en este Terminal Server, aún cuando el objeto usuario no se encuentre en el contenedor. El Replace se configura para que apliquen las políticas configuradas a nivel de usuario creadas en este contenedor por encima de las que normalmente esten configuradas para este usuario.

El siguiente punto a seguir es filtrar la GPO para que no afecte a algunos usuarios o a administradores por ejemplo, que inicien sesión en el Terminal Server:

Yo crearía un grupo con cualquier nombre y a este agregaría al administrador y a los usuarios que quiero que no afecte la política. Vamos al GPO Manager > seleccionamos el Link del GPO en el contenedor de Terminal Server > Delegación > boton Avanzado > agregar > agregamos el grupo y hacemos clic en 'Denegar' para 'Aplicar política de grupo'.

Así resolvemos fácilmente el problema de cómo aplicar correctamente las políticas en los servidores de Terminal.

---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Visión Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co/

Tipos de Backup en Windows

Teniendo claras las diferencias entre los tipos de backup que utilizamos, es posible crear una estrategia de backup mas eficiente a lo que se pueda tener actualmente.

Partiendo de la herramienta conocida en Windows, Copia de seguridad o NTBackup, vamos a mirar las diferencias entre los tipos de copia que se pueden realizar, sus ventajas y desventajas.

Existen en Windows los tipos de copia: Normal, Incremental, Diferencial y Copia.

Normal
Hace una copia total de todos los arhivos seleccionados.

Ventajas

• Realiza la copia de todo sin excepción.
• No es necesario combinarla con ningun otro tipo de copia.

Desventajas

• Dependiendo de la cantidad de archivos y su tamaño, es la velocidad con la que se realiza la copia. Podría ser bastante lenta cada vez.

Incremental
Hace una copia sólo de los archivos que han cambiado desde la última copia normal o incremental realizada.
Para el proceso de restauración de un archivo es necesario tener la última copia normal y todas las copias incrementales.

Ventajas

• La copia es más rápida que la normal.
• Sólo archivos modificados.

Desventajas

• La necesidad de tantas copias incrementales para restaurar un sólo archivo la hace muy tediosa.
• Es necesario combinarla con una copia normal.
• Hace copia de seguridad de archivos que cuya fecha de modificación ha sido alterada, aunque este no haya sido modificado en realidad, por ejemplo, abrir y cerrar un archivo.

Diferencial
Hace una copia de todos los archivos que han cambiado desde la última copia normal o incremental realizada.
Para el proceso de restauración de un archivo es necesaria la última copia normal y la última copia diferencial.

Ventajas

• Sólo se requieren dos archivos de copia para la restauración de un archivo.
• No copia archivos que realmente no hayan sido modificados.

Desventajas

• Las copias son mas demoradas en comparación a la incremental.

Los archivos de copia ocupan mas espacio que la incremental.

Copia
Hace una copia total de todos los arhivos seleccionados pero no altera marcas. No interfiere en los procesos anteriores de copias incrementales o diferenciales, no nos sirve como punto de partida, como si lo hace la normal.

---

Walter J. Taborda

MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
http://www.visionsistemas.com.co/

Papel tapiz de escritorio igual para los usuarios mediante GPO

Es una práctica recomendada y a veces necesaria en algunas compañías, donde el fondo de escritorio se convierte en un mostrario de bebes, bikinis o imagenes cambiantes. Muchas veces la compañía quiere implementar un fondo para todos en la red, algo como la política de calidad o el mismo logo de la empresa.

Sin lugar a duda, esto da mas sentido de pertenencia y es mayormente estético ante visitantes.

Para llegar a esto, debemos primero tener creado un fondo en particular, una imágen diseñada por alguien de área creativa y este archivo se debe guardar con formato/extensión .bmp.

Una vez con el diseño creado, se debe crear una carpeta en el servidor y compartirla, de modo que TODOS los usuarios a los que se les va a aplicar la política puedan tener acceso a ella mediante ruta UNC.

Hecho esto, vamos al directorio activo > clic derecho sobre la OU que contenga los usuarios que nos interesan > propiedades > directiva de grupo > creamos una nueva con nombre 'Fondo de Escritorio', por ejemplo. > clic en el boton 'Editar' > Configuración de Usuario > Plantillas Administrativas > Escritorio > Active Desktop > Papel Tapiz de Active Desktop.

Una vez alli, damos clic en Habilitar y escribimos la ruta donde se encuentra el fondo .bmp

algo asi: '\\servidor\carpeta_compartida\fondo.bmp'

Ahora, en los equipos clientes abrimos una ventana de comandos y tecleamos:

GPUPDATE /FORCE

luego:

NET STOP NETLOGON
NET START NETLOGON

o reiniciamos los equipos. En teoría, al editar solo la rama 'Configuración de Usuario' solo bastaría con cerrar sesión y volver a ingresar, pero esta política en especial podria no aplicar inmediatamente, para lo cual bastaría solo con reiniciar el equipo.

El caso en concreto es que al día siguiente, todos los usuarios dentro de la Unidad Organizacional a la que se aplicó la política deben tener el mismo fondo de escritorio.


---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
http://www.visionsistemas.com.co/

Bloquear correos de internet a usuarios o grupos especificos en Exchange 2003

Hay escenarios en los que nos interesa restringir a un usuario o a grupos de usuarios, el recibir correos desde Internet.

Para esto existe un procedimiento bastante sencillo

Para un grupo:

Abrimos el directorio activo, hacemos clic derecho sobre el grupo que nos interesa > propiedades > Exchange General > marcamos la casilla 'From authenticated users only'.

Para un usuario:

Abrimos el directorio activo, hacemos clic derecho sobre el usuario que nos interesa > propiedades > Exchange General > Delivery Restrictions > marcamos la casilla 'From authenticated users only'.


---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co

Cambiar la clave del DSRM en Windows Server 2003 DC

Para cambiar esta contraseña tan olvidada en la mayoría de los casos seguimos el siguiente procedimiento:

1. inicio > ejecutar > cmd [enter]
2. ntdsutil [enter]
3. set dsrm password
4. reset password on server null [or] reset password on server [enter]

en este punto, cuando nos pregunte, digitamos la nueva clave, esta no será visible mientras se escribe.

con 'q' salimos de cada nivel de la consola 'ntdsutil' y regresamos a la consola de comandos.

es de mucha utilidad y nos sacará de más de un lío.


---

Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co