La pregunta del millón

Más de una vez alguien se preguntó: ¿ Están replicando los DC correctamente ?

Hay muchas formas de verificar la replicación, pero una muy simple es utilizar repadmin.exe. Antes de Windows Server 2008, esta herramienta estaba incluida en las support tools que debían instalarse por separado. A partir de Windows Server 2008, viene incluida con la instalación de AD DS o AD LDS, y también puede ser utilizada en un cliente de Windows 7 donde se instalaron las herramientas de administración RSAT. Para evitar problemas, hay que utilizar la versión correcta según el SO de nuestros DC.

Como ejemplo se pueden utilizar estos parámetros para verificar la replicación con los DC de nuestro dominio y ordenarlos por delta de replicación.

repadmin /replsummary /bysrc /bydest /sort:delta

Cada punto “.” representa un DC detectado, excepto los primeros tres, que son para indicar el inicio del proceso. En el gráfico puede verse 6 puntos, 3 del inicio y 3 más de cada DC.
Hay información sobre:

a-Las conexiones entrantes y saliente para cada DC.

b-El delta que indica la última vez que se replicó.

c-El total de réplica link y las fallas,

Existen muchos otros parámetros que se pueden utilizar para obtener información más detallada o específica; es una buena práctica familiarizarse con esta herramienta para evitar problemas de replicación.

Para los que utilizan Repmon.exe como herramienta de control, es necesario aclarar que Repmon.exe no está presente como herramienta para Windows Server 2008 o Windows Server 2008 R2.

Para aprender más…
Troubleshooting replication with repadmin

Evento en el MUG

En Julio de 2008 se termina el soporte extendido de Windows 2000 Server y el soporte estándar de Windows Server 2003.

Los días jueves 25 de marzo y martes 30 de marzo de 18:30 a 21:30, en el MUG (Microsoft User Group) de Argentina hay un evento gratuito donde voy a mostrar como migrar una plataforma de AD basada en Windows 2000/2003 a Windows 2008.

Los espero!

Click aquí para anotarse

Borrar Multiples Objetos Computer Deshabilitados

No siempre existe la posibilidad de instalar un AD desde cero y realizar su administración en forma exclusiva. Lo más común es administrar algún AD en forma compartida, donde varias personas realizan modificaciones. También es habitual formar parte de la administración de un AD que ya estaba funcionando hace algún tiempo, o Incluso tener que realizar la administración de varios entornos a la vez.

Es posible que muchas cuentas de PC sean deshabilitadas con el tiempo (Fig 1), pero es poco común el borrarlas, ya que hasta hace poco tiempo (con Windows 2008 R2 es muy diferente) cuando un objeto se borraba era muy difícil su recuperación.

Fig 1

Aunque la selección múltiple de objetos para borrarlos parece la forma más simple, se debería buscar por cada OU en donde hay objetos “Computer” deshabilitadas para borrar. En la figura 1 se observa que hay dos contenedores dentro de “Computes”: OldPC y StandardPC.

Para esto se puede acudir a las Queries que se pueden hacer desde ADUC.

En otro artículo explicamos cómo acceder y crear una Query.

Saved Queries--> New--> Query

Fig 2

También se observa en la figura 2 que la selección se realiza desde el contenedor “Objetos Labemd” para no buscar PC en otro lado.
En la figura 3 se ve el resultado: sólo se muestran los objetos “Computer” deshabilitados. Ahora podríamos seleccionarlos todos y borrarlos.

Fig 3

Preferentemente yo los movería a una OU que se llame “Computers a borrar DD/MM/AAAA”, donde DD/MM/AAAA seria una fecha dentro de 30 días para borrarlas una vez pasado ese tiempo.

Gracias a Alan que me hizo volver a escribir

Buscar equipos según el Service Pack

Recientemente pidieron que todos los equipos de la empresa que tengan Windows XP, tengan instalado SP3. Para poder buscarlos hay varias formas, pero la que a mí me pareció simple (y reutilizable) es utilizar “Active Directory Users and Computers” (ADUC).

En “Saved Queries” podemos crear una consulta (Fig 1) para buscar equipos por Sistema Operativo y Service Pack.

Fig 1

Antes de efectuar la consulta debemos ingresar algunos datos (Fig 2):

Fig 2

Name: Nombre de la consulta
Description: Descripción del detalle de la consulta
Query Root: Desde dónde queremos realizar la consulta: puede ser todo el dominio, una OU o un árbol de OU.
Define Query: Nos permite ingresar la consulta.

Seleccionaremos “Custom Search” y en la solapa de Advanced ingresamos la consulta Ldap (Fig 3)

Fig 3

(&(objectCategory=computer)(objectClass=computer)(operatingSystem=Windows\20XP*)(operatingSystemServicePack=Service Pack 3))

Fig 4

El resultado que nos da son los equipos con Windows XP y SP3 (Fig 4). Modificar ligeramente la query nos permite poder realizar otras consultas.

Para buscar un sistema operativo, debemos modificar la parte donde dice “operatingSystem”, para buscar Windows Vista debemos sustituir “XP” por “Vista”

Para buscar un Service Pack, cambiamos donde dice “operatingSystemServicePack”. Cambiando el “3” por otro número.

El * después de XP se refiere a buscar sin importar la edición del sistema. Si agregamos un ! antes del nombre del campo, se refiere a no buscar el valor especificado.

Ejemplos

Para buscar Windows Vista con SP1

(&(objectCategory=computer)(objectClass=computer)(operatingSystem=Windows\20Vista*)(operatingSystemServicePack=Service Pack 1))

Para buscar Windows XP con SP1 y SP2 (Es decir, que no tengan SP3)

(&(objectCategory=computer)(objectClass=computer)(operatingSystem=Windows\20XP*)(!operatingSystemServicePack=Service Pack 3))

Lo bueno de este tipo de consultas es que no son estáticas, el resultado se actualiza con sólo pulsar F5. Con el último ejemplo buscamos todos los equipos con Windows XP sin SP3, en cuanto se vayan actualizando los equipos, la lista se irá vaciando.

Para aprender más…
Saved Queries en Windows Server 2003 usando ADUC
Using saved queries en Technet

Sin miedo a los 64

Hace algunos años, la tecnología nuevamente se modernizó y llegaron los equipos de 64 Bits. También comenzó a llegar el software de 64 Bits. En conjunto, software y hardware traían ventajas y muchas dudas. Todos los cambios tienen su opositor. Múltiples excusas (o argumentos) se oían para no utilizar 64 Bits: “Ocupan más memoria”, “Funciona más lento”, “No hay drivers para 64 Bits”, “¿Por qué cambiar si con 32 Bits anda bien?”, etc.

La realidad es que el cambio a 64 Bits es inevitable, si bien equipos y software de 32 y 64 Bits conviven desde hace algunos años, Microsoft dio el puntapié inicial con Exchange 2007. Aunque existían versiones de 32 y de 64 Bits, la versión de Exchange 2007 de 32 Bits no estaba soportada para entornos de producción, solamente como testeo. En el año 2009 salió al mercado Windows Server 2008 R2, siendo el primer sistema operativo de Microsoft que solamente tiene versión de 64 Bits. A principios de noviembre Exchange 2010 fue lanzado al mercado, y no tendrá versiones de 32 Bits ni para realizar un laboratorio de test, solo 64 Bits.

Utilizar 64 Bits nos permite direccionar más memoria; al utilizar más memoria, podemos atender más consultas concurrentemente y de forma más rápida, ya que no hace falta bajar contenido de la memoria al disco rígido.

Hace años que los nuevos equipos que compramos soportan 64 Bits; el software de 32 Bits está desapareciendo. No hay que tirar hoy nuestro soft y hard de 32 Bits, pero sin duda ya tenemos que dejar de tenerle miedo a los 64 Bits.

Para aprender más…
Native x64 Software from Microsoft

Herramientas Administrativas en 7

Anteriormente habíamos explicado cómo ejecutar desde Windows Vista las herramientas administrativas para nuestro dominio que aún está en 2003. Con Windows 7 ya listo para usar ahora debemos realizar la instalación en el nuevo sistema operativo.
A diferencia de lo que sucede con Windows XP y Windows Vista, no utilizaremos el adminpak.msi que era distribuido con Windows Server 2003. Hay un update (958830) que nos instala las herramientas para administrar remotamente los servidores en Windows 7 (Remote Server Administration Tools for Windows 7 o RSAT).
Una vez instaladas, hay que activarlas. Para eso seleccionamos “Turn Windows Features on or off” (Fig 1)

Fig 1

Dentro de las características para activar ahora tenemos RSAT (Fig 2) en donde podemos seleccionar lo que deseamos activar.

Fig 2

Mucho más simple que en Windows Vista.

Controlando los Pendrives USB

Los Pendrives o discos USB son cada vez más utilizados. Su uso muchas veces es una necesidad, pero otras veces nos pueden traer problemas de seguridad, o estar en contra de las políticas de la empresa. Sin importar cuál sea el motivo, se vuelven un problema a la hora de realizar un efectivo control de los mismos, ya que deshabilitar los puertos USB no es la mejor solución. Algunas PC modernas no tienen puertos PS2 por lo que teclados y mouse también requieren puertos USB, al igual que impresoras, parlantes o escaners.

Para Windows XP SP2, Windows Vista y Windows 7 existen dos claves en el registro que pueden ayudarnos.

Para deshabilitar la escritura en Pendrive USB

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies

El DWORD "WriteProtect" debe estar en 1. Si lo ponemos en 0 lo volvemos a habilitar.

Para deshabilitar los Pendrive USB completamente

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR

El DWORD “Start” debe estar en 4. Con 3 lo volvemos a habilitar.

Como verán ambas keys se aplican sobre “Local Machine” lo que hace que sea un valor por equipo y no por usuarios. No debemos olvidarnos de este importante punto porque aunque seamos administradores del equipo no podremos utilizar los Pendrive USB si estamos en un equipo con estos valores modificados. De igual manera un usuario cualquiera podrá utilizar los Pendrive USB sin problema en un equipo que no tenga modificados estos valores.