RSAT y SP1

Si en un equipos que ejecuta Windows 7 actualizado con SP1, queremos instalar las herramientas administrativas remotas para servidores (RSAT), nos vamos a encontrar con un error.

Esto se debe a que RSAT hace una comprobación para verificar que no se pueda instalar en un sistema operativo más nuevo del para cual fue diseñado.

Por ahora, se deberá instalar primero RSAT y luego actualizar a SP1 (Que se publicara el 22 de Febrero de 2011 o el 16 de Febrero para quienes tengan suscripción con Microsoft).

Quienes no esten apurados por realizar la instalación, una versión de RSAT para Windows 7 SP1 va a estar disponible en Abril de 2011.

Para aprender más...

Descripción de RSAT

Windows 7/Windows Server 2008 SP1 y Bitlocker

El SP1 de Windows 7/Windows Server 2008 R2 se podrá descargar a partir del 22 de Febrero, por este motivo quiero comentar un caso reciente que le será útil a todos los que poseen un equipo con Bitlocker y tienen una instalación física en un HD y otra sobre un VHD.

Supongamos que en un equipo está instalado Windows 7 con Bitlocker y además hay una instalación sobre un VHD de otro sistema operativo (otro Windows 7 o un Windows Server 2008R2) que se utiliza para hacer pruebas. En este ambiente, se quiere probar SP1 sobre el sistema que está en el VHD. Después de instalado se reinicia el equipo y se ingresa sin problemas. Pero cuando intentemos iniciar el equipo desde la instalación de Windows 7 que está con Bitlocker, nos informará que el sistema no puede iniciar porque se modificó la información en la partición de inicio desde que Bitlocker fue habilitado (efectivamente, cuando instalamos SP1 en el otro sistema). Todos los sistemas operativos, sin importar si se ejecutan desde un HD físico o desde un archivo VHD, comparten información en una partición de 100Mb que utiliza Windows 7 o Windows Server 2008 R2 para iniciar.

Si tenemos un USB con la información de la key de Bitlocker, deberemos insertarlo para que nuestro HD pueda iniciar. También se puede escribir la clave manualmente. Una vez dentro del sistema operativo, debemos pausar y resumir Bitlocker para que valide la nueva información, o cada vez que inicie se deberá insertar la clave.

Otra opción (y la única si no tenemos el Key de Bitlocker) es:

-Pausar Bitlocker en nuestro HD
-Iniciar el sistema desde el VHD
-Instalar SP1
-Re-habilitar Bitlocker

Boot desde VHD

Windows 7 en sus ediciones Enterprise y Ultimate incluye la opción de poder iniciar el sistema desde una VHD. Windows Server 2008R2 también tiene esta característica.
Esto es interesante si necesitamos ejecutar un sistema operativo en nuestro equipo de manera diferente, especialmente si queremos utilizarlo para realizar pruebas, porque un VHD puede ser recuperado fácilmente.

Las mismas herramientas con las que se configuran los discos rígidos standard (Disk Management y Diskpart), se utilizan para trabajar con VHD. Podemos crear y conectar de unidad a un VHD desde Disk Mangement.

Desde Diskpart podemos crear la partición, formatearlo, asignar la letra de unidad y marcar la partición como activa.

Pueden usarse Disk Management o Diskpart; yo realicé algunas tareas con una herramienta y otras con la otra, para mostrar ambas en funcionamiento. No podemos instalar un sistema operativo en un VHD desde una unidad óptica o una imagen ISO, hay que hacerlo desde una imagen WIM, el nuevo formato de imágenes desde Windows Vista y Windows 2008. Por ese motivo la instalación debe realizarse utilizando imagex.exe, que es parte de MDT 2010 o desde un servidor WDS si lo tenemos instalado y configurado en nuestra red. En este caso utilizaremos imagex por ser la unica forma de hacerlo con solo un equipo.

Para realizar este test utilizamos un DVD de Windows Server 2008R2. La sintaxis de imagex es muy simple.

"/apply" indica que se aplicará una imagen a un HD o VHD

"z:\sources\install.wim" es la ubicación de la imagen de Windows 2008 R2 que está en el DVD

"1" indica que es la primera imagen dentro de todas las que están en el archivo wim, en nuestro caso Windows Server 2008 R2 Standard (Full Instalation).

"w:\" es la letra de unidad del VHD en donde instalamos el sistema operativo.

Después de instalar el sistema operativo, es necesario modificar el sector de inicio de Windows 7 para que pueda seleccionar entre cargar desde el HD o desde el VHD. La forma más simple es utilizar una herramienta gráfica y gratuita llamada EasyBCD 2.0.

Ventajas:
1. Utilizamos todos los recursos de hardware para el sistema de nuestro VHD.
2. Accedemos directamente a los dispositivos del hardware real, por lo que es una manera óptima de probar hardware en un sistema operativo diferente o nuevos drivers.
3. Cuando se copia el VHD, tenemos una copia completa de nuestro laboratorio.

Desventajas:
1. Si estamos probando otro sistema operativo diferente del de nuestro HD, debemos buscar los drivers.
2. Sólo podemos ejecutar un sistema operativo para que realice un boot desde un VHD a la vez, aunque podemos configurar varios VHD a la vez e iniciar alternadamente de uno u otro.
3. El VHD no es fácilmente portable a otro equipo, salvo que tenga el mismo hardware.
4. La instalación es un poco más compleja que si se utilizan equipos virtuales o físicos.

Como introducción éste es el punto de partida para poder armar un laboratorio en nuestro equipo sin modificar el Windows 7 que ya tenemos instalado.

Para aprender más…
http://www.microsoft.com/virtualization

Todos los equipos Windows tienen usuarios locales

Todos los equipos Windows tienen usuarios locales. Muchos administradores creen que los Domain Controllers (DC) no los tienen, pero la realidad es que eso es un error. Los DC tienen una base SAM para guardar el password del usuario Administrator. Cuando se instala un DC con DCpromo, durante el proceso de promoción se solicita el password de este usuario. Aunque es raro que sea utilizado, algunas veces necesitamos iniciar un DC con este usuario, por ejemplo cuando se va a realizar un defrag off line de la base de datos de AD. El principal inconveniente es que muchos olvidan la password de este usuario, la cual no puede ser reseteada como la password de los demás usuarios locales de los equipos que no son DC, y tampoco se puede usar ADUC porque no es un usuario del dominio.

La única forma de hacerlo es mediante una utilidad de línea de comando llamada “ntdsutil”. Los pasos a seguir son:

1-Abrir una consola CMD
2-Ejecutar “ntdsutil”
3-Ingresar “set DSRM password” para indicar que se desea cambiar el password de DSRM (Directory Service Restore Mode)
4-Indicar que estamos ejecutando el comando con “reset password on server null” en el usuario del server. Reemplazando “server null” con el nombre de otro DC, podemos resetear el password en un DC remoto.
5-Tipear la nueva password y su confirmación
6-Salir de la utilidad con “Quit”

El procedimiento es muy similar desde Windows 2000 hasta Windows 2008 R2

Hacer Backup es solo la mitad

Tener un backup es solamente la mitad de lo que se necesita para estar tranquilo de que nuestra información está respaldada. La otra mitad es poder hacer el restore.

Si tenemos un archivo de respaldo .BKF hecho con NTBackup en nuestro Windows Server 2003, Windows Server 2003 R2 o Windows XP, no vamos a poder hacer un restore en un sistema operativo más nuevo. A diferencia de los sistemas más viejos, Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 no tienen NTBackup incluido. Por lo cual nos podemos encontrar con un problema durante la migración a un sistema operativo más nuevo.

Para salvar este inconveniente existe NTBackup-Restore, un utilitario que debemos bajar desde la Web de Microsoft y tiene un look and feel muy similar al clásico NTBackup, pero sólo con opciones para realizar restore.

Para instalarlo, hace falta instalar (en Windows Server 2008) o activar (en Windows Vista) la característica “Removable Storage”. En Windows Server 2008 R2 y Windows 7 no existe la característica “Removable Storage”, por lo que la versión de NTBackup-Restore para 2008/Vista no funciona en 2008R2/7, pero de todos modos existe una versión diferente para estos sistemas.

Los links para poder descargar las distintas versiones son:

NTBackup-Restore para Windows 2008 y Windows Vista (x86 y x64)
NTBackup-Restore para Windows 7 (x86)
NTBackup-Restore para Windows 7 (x64)
NTBackup-Restore para Windows 2008 R2 (x64)

Usuarios inactivos

Constantemente entran nuevos usuarios en la organización, y otros son dados de baja. Si los procedimientos están bien realizados, quien maneja el Active Directory tiene acceso a esa información en tiempo y forma, lo que permite deshabilitar cuentas de usuarios que ya no se utilizan.
La realidad es que existen muchos casos en donde esto no sucede, y muchas cuentas de usuario están habilitadas aunque no se hayan estado utilizando durante algún tiempo. Las causas pueden ser las siguientes:

a) Recursos Humanos no avisa de las renuncias o despidos.
b) Los usuarios se ausentan por largos períodos (Licencias por vacaciones, accidentes de trabajo, maternidad).
c) Cuentas de servicio que no se utilizan más.

Hay una forma simple de ver qué cuentas no se han estado utilizando desde hace algún tiempo.

dsquery user -inactive 2 -limit 0

Ejecutando ese comando, podemos ver qué usuarios no han registrado actividad las últimas dos semanas, el limite indica la cantidad de resultados que queremos ver, donde cero significa "sin límite".
Podemos ejecutar este comando utilizando pipes para combinarlo con otros y realizar alguna acción. O enviarlo a un archivo de texto con >

Para pasar la información a un archivo de texto:
dsquery user -inactive 2 -limit 0 > c:\Users\edeleo\Desktop\Users.txt

Para mover los usuarios inactivos a otra OU:
dsquery user -inactive 2 -limit 0 dsmove -newparent "OU=Para borrar,DC=Labemd,DC= NET"

Para deshabilitar a los usuarios inactivos:
dsquery user -inactive 2 -limit 0 dsmod user -disabled yes

Para borrar usuarios de cierta OU:
dsquery user "OU=Para borrar,DC=Labemd,DC= NET" dsrm

Las combinaciones son muchas y no están limitadas a estos ejemplos. También es muy útil utilizar "dsquery computer" para buscar equipos inactivos que no cambiaron su password o que tienen cuentas deshabilitadas, como se muestra en el ejemplo:

dsquery computer -disabled

En otro artículo de este blog, se muestra cómo buscar PCs deshabilitadas, utilizando "Active Directory user and Computers". La ventaja de utilizar herramientas de línea de comando en lugar de interface gráfica es la posibilidad de automatizar la tarea. De esta manera podemos crear una tarea para todos los viernes a las 18:30 en donde se muevan equipos de OU, se deshabiliten usuarios o cualquier otra cosa que necesitemos.

Para aprender más...
Dsquery en Techenet

FSMO FAQ

En los últimos años me preguntaron en varias ocasiones sobres los roles FSMO. Aquí trato de hacer un listado de las preguntas que más se repitieron.

¿Qué son los FSMO?
Son roles especiales que cumple algún DC en el dominio o forest. Aunque el modelo de replicación de AD es multi-master y los cambios se pueden hacer en cualquier DC, algunos cambios específicos o controles no. El ejemplo más simple es que no puede haber dos DC con passwords diferentes de un mismo usuario, porque un atacante podría utilizar un password viejo para ganar acceso a un recurso.

¿Cuántos FSMO hay?
Son cinco roles diferentes. El Domain Master y el Schema Master son únicos en el Forest, por lo cual no importa cuántos dominios tenemos, siempre hay uno de cada uno. El PDC Emulator, Infrastructure Master y el RID son únicos en el dominio, por lo que si tenemos dos dominios tendremos dos de cada uno de estos tres.

¿Cuántos DC necesito para ejecutar estos roles?
Todos pueden convivir en el mismo DC, pero según el tamaño de la implementación de AD, podemos ponerlos en diferentes DC.

Ni sabía que existían, ¿cómo hago para instalarlos ahora que ya tengo mi AD en producción?
Cuando se instala el primer DC los 5 roles se instalan en forma automática en ese DC. De igual manera, cuando se instala el primer DC de un nuevo dominio, los 3 roles propios del dominio se instalan en ese DC.

¿Qué pasa si apagué mi primer DC, perdí los roles?
No necesariamente, si la decomisión del equipo se hizo en forma correcta, cuando se ejecuta DCpromo.exe para sacar la función de DC de un equipo, los roles son transferidos a otro DC que pueda ocupar ese rol.

¿Cómo puedo pasar el rol a otro equipo?
Los roles PDC Emulator, Infrastructure Master y RID, desde la herramienta "Active Directory User and Computers", el Domain Master desde "Active Directory Domain a Trusts" y el Schema Master desde "Active Directory Schema"

¿Dónde está el "Active Directory Schema"?
El Schema de AD es algo que normalmente no se debería modificar, por lo que antes de poder ver la herramienta "Active Direcroty Schema" se debe registrar una dll ejecutando desde un CMD:
"regsvr32 schmmgmt.dll"

Si apagué mal mi DC, se me rompió, me lo robaron... ¿Perdí los roles?
Si tu DC tenía algún rol, es probable que esa función no la esté cumpliendo ningún equipo. Puede pasar algún tiempo hasta que la falta de esa función afecte la operatoria de la empresa.

Si apagué mal mi DC, se me rompió, me lo robaron... ¿Cómo paso un rol a otro equipo?
En este caso hay que forzar el paso del rol utilizando la herramienta "ntdsutil", como lo indica el link:
http://technet.microsoft.com/en-us/library/cc757500(WS.10).aspx

¿Cualquier DC puede tener cualquier rol?
No, los RODC no pueden tener ninguno de estos roles. Tampoco se puede ejecutar el rol de Infrastructure Master en un DC que es Global Catalog, exceptuando que todos los DC sean Global Catalog.

¿Y si tengo un solo DC?, entonces mi DC es Global Catalog, ¿verdad?
Si, pero también entonces todos tus DC son Global Catalog.

¿Qué función cumple y qué pasa si no se ejecuta el rol del Domain Master?
El Domain Master guarda la información de dominios dentro del forest, si no se está ejecutando, no se puede agregar nuevos dominios al forest.

¿Qué función cumple y qué pasa si no se ejecuta el rol del Schema Master?
El Schema Master guarda la información del esquema de AD, si no se está ejecutando, no se puede modificar el esquema de AD.

¿Qué función cumple y qué pasa si no se ejecuta el rol del PDC Emulator?
El PDC Emulator sirve para que equipos con NT 4.0 (espero que nadie los siga usando) pueden autenticarse en la red como si fuese un PDC NT 4.0 y es el DC encargado de mantener actualizados los passwords de los usuarios y equipos en AD. Si no se está ejecutando, un equipo con NT 4.0 no va a poder autenticarse y los usuarios o equipos no van a poder cambiar su contraseña.

¿Qué función cumple y qué pasa si no se ejecuta el rol del RID?
El RID reparte los números de SID dentro del dominio. Si el RID no se está ejecutando y un DC quiere crear un objeto nuevo dentro de AD pero no tiene numero de SID para asignarle, no se podrá crear el objeto en ese DC. (Nota: el SID es el identificador de seguridad, un número único que tiene cada objeto de AD)

¿ Qué función cumple y qué pasa si no se ejecuta el rol del Insfrastructure Master ?
El Infrastructure Master se encarga de mantener las referencia de pertenencia de grupo de los usuarios en los diferentes dominios. Si el rol no está disponible, no se podrán mover usuarios entre diferentes dominios.

¿Cómo puedo ver dónde están ejecutándose los roles?
Utilizando las mismas herramientas gráficas que se utilizan para moverlos o ejecutando desde un CMD:
netdom query fsmo