martes, 20 de diciembre de 2011

Casos no soportados de DFS

Existen dos casos de uso frecuente con DFS (Distributed File System), aunque ninguno de ellos está soportado.
Con DFS-R (Replication) es habitual querer configurar una de las dos réplicas como de solo lectura, pero esa práctica no está soportada en Windows Server 2008 o versiones anteriores. Realizar este tipo de configuraciones puede llevar a problemas de verificación de topología, stagging o problemas en la base de datos de la replicación.
En caso de que se necesite soporte por problemas de replicación, es frecuente que uno de los primeros pasos a realizar sea habilitar la replicación en ambos sentidos, una de las prácticas más acostumbradas cuando se quiere dejar una réplica de lectura solamente.
Con Windows Server 2008R2 se permite crear una réplica DFS-R ReadOnly, por lo que esta práctica queda soportada a partir de esta versión.
En el caso de un Windows Server 2008 RODC, en el que la carpeta SYSVOL está replicada por DFS-R en lugar de FRS, los cambios se permiten en la carpeta SYSVOL pero son sobrescritos cuando un DC replica dicha carpeta. En un Windows Server 2008R2 RODC, la carpeta SYSVOL es de solo lectura, de modo que no pueden realizase cambios.
Con DFS-N (Namespaces) es usual utilizar un mismo nombre para la ubicación en la red en la cual se guardan los perfiles de usuarios, lo que posibilita que si un usuario cambia de ubicación geográfica puede ir a buscar su perfil de red al servidor que tenga la copia más cercana.  Esta práctica no está soportada, ya que si se permite al sistema operativo que localice el perfil en dos ubicaciones diferentes (que probablemente no estén del todo sincronizadas por problemas de replicación o por la propia demora configurada en DFS-N), puede corromperse el perfil del usuario. 
Para aprender más…
DFS-R en Technet

miércoles, 5 de octubre de 2011

Codecamp 2011

Se viente Codecamp 2011!

Muchas sesiones con temáticas diferentes.

Les dejo el banner para anotarse!!!


Registro a CodeCamp 2011

  

martes, 20 de septiembre de 2011

Impedir ejecución de programas con AppLocker

AppLocker es una de las nuevas características de Windows 7 Enterprise (y también presente en Ultimate). Applocker permite bloquear la ejecución de aplicaciones si no están previamente autorizadas dentro del entorno organizacional.
Cuando queremos ejecutar por primera vez AppLocker, el asistente nos ofrece la creación de 3 reglas predeterminadas:
1-Un administrador del equipo puede ejecutar cualquier archivo
2-Cualquiera puede ejecutar todo lo que se encuentre en la carpeta %Windir%
3-Cualquiera puede ejecutar todo lo que se encuentre en la carpeta %ProgramFiles%
Con estas tres simples reglas, ya podemos evitar la ejecución de portables, programas que se encuentren en ubicaciones remotas o fuera de los directorios predeterminados de instalación.
Es importante aclarar que todo lo que no esté autorizado por AppLocker, esta negado de forma predeterminada. Además de tener el permiso de AppLocker, el usuario necesita los permisos de NTFS o autorización propia de la aplicación para ejecutarse.
Para mostrarlo en funcionamiento, vamos a explicar un caso que sucede en muchas organizaciones: Con la finalidad de evitar el crecimiento de bases de datos que no estén normalizadas, estas deben correr en los servidores SQL Server. La bases de datos en motores que se ejecutan en equipos cliente no debían utilizarse salvo en los casos excepcionales, por lo que se busca evitar la utilización de MS Access. También es necesario que la imagen corporativa utilizada para instalar los equipos incluya MS Access en todos los equipos, ya que un usuario debería poder cambiar de equipo y continuar utilizando los programas que necesita. Como último requerimiento, el mantenimiento de quien utiliza o no MS Access debe ser simple, por lo que una membresía de un grupo de seguridad debe poder controlarlo.
El procedimiento que seguimos es el siguiente:
-Creación de un grupo de seguridad de Windows llamado “Access Users” desde la consola de ADUC (Active Directory Users & Computers), PowerShell o cualquier otro método de preferencia.
-En la consola de “Manage Group Policies”, creamos un nuevo objeto al que llamamos AppLocker (Fig 1) y lo editamos (Fig 2), seleccionando: Computer Configuration, Policies, Windows Settings, Security Settings, Application Control Policies, AppLocker, Excutable Rules y finalmente Create New Rule.
Fig 1
Fig 2

-Las reglas pueden basarse en una ubicación específica, el hash de un archivo o un certificado digital. Para nuestro caso, utilizamos la opción de certificado digital al ser un archivo firmado digitalmente.
-En las opciones de Permissions, seleccionamos "Allow" y el grupo de seguridad que creamos previamente. En Conditions, seleccionamos "Publisher", "Next", "Browse..." y seleccionamos el archivo al que queremos aplicar la regla (este local o en un equipo remoto). Adicionalmente seleccionamos "Use Custom Values" para que no se pueda utilizar ninguna version menor a 16 (Office 2010 es la versión 14, por lo que la 16 aún ni existe!) (Fig 3)
Fig 3
-Ante la creación de una nueva regla, el asistente nos consulta sobre la creación de las reglas predeterminadas (Fig 4), a lo que respondemos que sí (las reglas explicadas al inicio de este artículo).
Fig 4
-Ahora debemos quitar MS Access de la regla por default que permite que todos ejecuten cualquier programa instalado en %programfiles%. Para lograrlo, seleccionamos la regla a modificar, pulsamos el botón secundario y seleccionamos "Properties" y el en tab de "Exceptions" (Fig 5), seleccionamos MS Access de forma similar a como hicimos cuando creamos la regla en el paso anterior.
Fig 5
-Por último, para que AppLocker funcione e impida la ejecución de los programas, el servicio "Application Identity" debe estar en ejecución. En nuestro ejemplo, lo activamos en el mismo GPO (Fig 6).
Fig 6
Solo nos resta ir a un equipo con MS Access y probar que pasa cuando un usuario intenta ejecutarlo (Fig 7).
Fig 7
 Si el usuario tiene permisos de ejecución (En nuestro ejemplo, que sea miembro del grupo de seguridad "Access Users"), podra utilizar MS Access de forma transparente.
De esta forma, no importa en cual equipo este autenticado el usuario, solo podrá utilizar MS Access si pertenece al grupo de seguridad correspondiente.
AppLocker puede funcionar también en modo auditoría por lo que solamente crea un evento en el log del sistema. Finalmente AppLocker puede impedir la ejecución de instaladores y scripts.
Para aprender más…
AppLocker en Technet

viernes, 16 de septiembre de 2011

Primeras imagenes de Windows 8

Les dejo unas primeras imagenes de Windows 8 corriendo en mi equipo.


Imagen del escritorio de Windows 8 e IE10 (Metro Style) con el perfile de Juanjo en Facebook



Escritorio e IE 10 (tradicional) con un video de Queen en Youtube y la aplicación Weather mostrando el estado del tiempo en vivo

Nuevo menu de inicio

Escritorio tradicional de Windows con el nuevo Task Manager

Para probarlo ya mismo esta este link de donde se lo pueden bajar. Recuerden que es una preview que aún no está ni en estado de Beta.

martes, 13 de septiembre de 2011

Windows 8 se asoma

Hoy 13 de Septiembre en el evento Build, Microsoft mostró por primera vez en forma pública Windows 8 corriendo en vivo.

La promesa era ejecutar los mismos binarios en cualquier dispositivo, por lo que se mostró Windows 8 corriendo en netbooks de hace tres años, portátiles,teléfonos ,desktops, equipos con tres placas de video corriendo en paralelo y notebooks que aún no salieron al mercado, pero que son más delgadas que un conector RJ45. Adicionalmente, se espera que cualquier equipo que hoy ejecute Windows 7 se pueda utilzar para ejecutar Windows 8, por loque esta nueva versión sóloocupa 300 megas en un equipo con una instalación limpia y 1 GB de memoria (un 25% menos que Windows 7 Sp1).

Todo el código que seejecuta en Windows 7 se podrá utilizar en Windows 8. En las demos se mostró cómo modificar las aplicaciones actuales parapoder utilizar los sensores del hardware y el nuevo look & feel: MetroApps. Con Metro Apps, las aplicaciones podrán ser aplicaciones Web oaplicaciones ricas, lo cual resulta indiferentepara la experiencia del usuario.

Además de Windows 8 se mostraron versiones de Visual Studio, Expression Blend eInternet Explorer 10, este último vendrá incluido en el sistema operativo.

Con respecto a las cararterísticas del nuevo Windows, se mostró la nueva interface de copia de archivos (ya anticipada en el blog oficial de Windows 8), el mejorado ahorro de energía, la posibilidad de compartir archivos entre diferentes equipos para accederlos conprotocolos firewall-friendly, la selección multi-touch y picture-password, lo que nos permite ingresar un password basado en una fotografía y pulsar en puntos específicos para poder indentificarnos.

Aunque el movimiento de las pantallas ya es muy veloz y fluido cuando se maneja con el touch-screen, hay que recordar que no se trata de la versión final: aún es una Developer Preview, luego vendrá una versión Beta, otra RC (ReleaseCandidate) y una RTM (Ready to Manufacture), antes de la GA (General Availability), que pondrá a Windows 8 a disposición de todos.

lunes, 25 de julio de 2011

Dos eventos en el MUG

El día Miércoles 27 de Julio de 18:30 a 21:30, en el MUG (Microsoft User Group) de Argentina hay un evento gratuito donde voy a presentar una introducción del tema de Virtualizacion.

Entre otras cosas vamos a ver:
-¿Qué es Virtualizar?
-Oferta de Virtualización
-Virtualización de SO, Aplicaciones y Estado del usuario
-Herramientas de Virtualización.

En día 1 de Agosto de 18:30 a 21:30, también en el MUG (Microsoft User Group) de Argentina hay un evento de IPV6 que estará presentando Rodrigo De Los Santos.

Les dejo los dos links para que se anoten!
Introducción a la Virtualización
Descubriendo IP V6

lunes, 30 de mayo de 2011

Windows ThinPC

Desde hace pocos días está disponible la RC (Release Candidate) de Windows ThinPC (WinTPC), una versión minimizada de Windows 7 que permite utilizar equipos viejos como Thin Client en nuestra red. Lo he probado en un equipo con 512 MB, procesador de 1Gb con un HD de 10 GB (se instala en 3Gb) con buenos resultados. Hay que tener en cuenta que el sistema operativo no tiene prestaciones como “Search” o la interface “Aero”, y se espera que en la versión final no soporte la instalación de aplicaciones. La finalidad principal es acceder a otros equipos mediante Remote Desktop Connection o a aplicaciones Web mediante Internet Explorer.

Escenarios posibles de uso:

-Ideal para reutilizar PC viejos como Thin Clients.
-En las terminales de una infraestructura VDI.
-En equipos de Kiosko.

Algunas características:

-Entorno administrable por GPO.
-Sistema Operativo y navegador actualizable.
-“Write filters” que impiden la modificación de archivos en el equipo.
-Incluido como un beneficio de Software Assurance.
-Se activa con la infraestructura de KMS existente.
-Soporte para RemoteFX.

Si bien la versión final se espera para mediados de 2011, ya se lo puede ir probando.

Windows ThinPC en Microsoft Connect

lunes, 11 de abril de 2011

RSAT para Windows 7 SP1

En una entrada anterior, se explicó que RSAT no solo debía instalarse en la versión de Windows correcta, sino que además había que tener en cuenta el service pack (SP) del SO.


La versión para Windows 7 SP1 ya está disponible.



miércoles, 30 de marzo de 2011

Windows 7 para IT Pros

El sistema operativo del desktop es cada vez más completo. Windows 7 tiene muchas características para usuarios finales pero también otros para los IT Pro.

El 6 de Abril en el MUG vamos a estar viendo caracteristicas de Windows que todos los IT Pro tienen que conocer.

Para anotarse... Click aquí

jueves, 17 de febrero de 2011

RSAT y SP1

Si en un equipos que ejecuta Windows 7 actualizado con SP1, queremos instalar las herramientas administrativas remotas para servidores (RSAT), nos vamos a encontrar con un error.


Esto se debe a que RSAT hace una comprobación para verificar que no se pueda instalar en un sistema operativo más nuevo del para cual fue diseñado.

Por ahora, se deberá instalar primero RSAT y luego actualizar a SP1 (Que se publicara el 22 de Febrero de 2011 o el 16 de Febrero para quienes tengan suscripción con Microsoft).
Quienes no esten apurados por realizar la instalación, una versión de RSAT para Windows 7 SP1 va a estar disponible en Abril de 2011.

Para aprender más...

jueves, 10 de febrero de 2011

Windows 7/Windows Server 2008 SP1 y Bitlocker

El SP1 de Windows 7/Windows Server 2008 R2 se podrá descargar a partir del 22 de Febrero, por este motivo quiero comentar un caso reciente que le será útil a todos los que poseen un equipo con Bitlocker y tienen una instalación física en un HD y otra sobre un VHD.

Supongamos que en un equipo está instalado Windows 7 con Bitlocker y además hay una instalación sobre un VHD de otro sistema operativo (otro Windows 7 o un Windows Server 2008R2) que se utiliza para hacer pruebas. En este ambiente, se quiere probar SP1 sobre el sistema que está en el VHD. Después de instalado se reinicia el equipo y se ingresa sin problemas. Pero cuando intentemos iniciar el equipo desde la instalación de Windows 7 que está con Bitlocker, nos informará que el sistema no puede iniciar porque se modificó la información en la partición de inicio desde que Bitlocker fue habilitado (efectivamente, cuando instalamos SP1 en el otro sistema). Todos los sistemas operativos, sin importar si se ejecutan desde un HD físico o desde un archivo VHD, comparten información en una partición de 100Mb que utiliza Windows 7 o Windows Server 2008 R2 para iniciar.

Si tenemos un USB con la información de la key de Bitlocker, deberemos insertarlo para que nuestro HD pueda iniciar. También se puede escribir la clave manualmente. Una vez dentro del sistema operativo, debemos pausar y resumir Bitlocker para que valide la nueva información, o cada vez que inicie se deberá insertar la clave.

Otra opción (y la única si no tenemos el Key de Bitlocker) es:

-Pausar Bitlocker en nuestro HD
-Iniciar el sistema desde el VHD
-Instalar SP1
-Re-habilitar Bitlocker