Uno de los blogs de Juansa

Control registrado y en tiempo real.

Las primeras herramientas de control en Windows Server 2003 son la consola de rendimiento y el administrador de tareas.

¿Qué es el control en tiempo real y el control registrado?

Como administradores podemos utilizar el control registrado para el control de servidores en una base continua. Al configurarlo establecemos una línea básica de registro y usar las pautas de análisis para la identificación de problemas en el servidor. Por ejemplo, si los usuarios se quejan de que una aplicación va haciéndose cada vez más lenta, entonces comprobamos los archivos de registro (logs) de ese servidor para investigar las posibles causas del problema.

También nos corresponde investigar los problemas causados por eventos específicos, aquí debemos habilitar el control en tiempo real. Por ejemplo, si se nos dice que las impresoras de un servidor de impresión imprimen intermitentemente, usando el monitor en tiempo real, como el administrador de tareas o el monitor de sistema ver la causa del problema.

Control en tiempo real

En tiempo real se muestran los datos referentes a los procesos y los datos actualizados de los contadores tan pronto como estos se producen. Con este control podemos establecer el estado actual de los subsistemas: memoria, procesador, disco y red.

Control registrado

El registro implica recoger y almacenar datos con el tiempo para analizarlos posteriormente. Aquí establecemos una línea básica de control, detectando cuellos de botella y dterminando si el sistema ha cambiado con el tiempo. Usaremos los logs de rendimiento y la herramienta de alertas para el control registrado.

Seguimos con Exchange 2007

Los roles de Exchange Server 2007.

La nueva arquitectura de Exchange server 2007 define roles de servidor especializados, para un diseño efectivo de la organización, a una instalación y gestión de componentes específicos de cada rol. Así se reduce la superfície de ataque y optimiza el uso de los servidores.

Los roles se escogen durante la instalación de Exchange 2007, aunque pueden agregarse/eliminarse a posteriori. Hay cinco roles, de éllos hay uno que no puede utilizarse conjuntamente con ningún otro, el llamado Servidor de transporte de borde (Edge transport role).

Los Roles:

• Servidor de buzones (Mailbox role): Alberga los grupos de almacenamiento y las bases de datos de buzones de usuarios y las carpetas públicas, algo así como el tradicional back-end. Se ha mejorado su integración con Directorio Activo y añadido algunas caractgerísticas como la gestión de calendarios, descargas de libretas de direcciones, y otras.
• Servidor de acceso de cliente (Client Access role): Servidor de capa intermedia que implementa los protocolos, pop3. https, RPC sobre https, autodescubrimiento. Equivalente a los tradicionales frontales, con los servicios como OWA o ActiveSync.
• Servidor de transporte de borde(Edge transport role): Su trabajo es enrutar el correo, normalmente desde el perímetro, hacia exchange y viceversa, algo así como el relay de siempre.La dependencia de Exchange de los DC y Global Catalogs obligaba a la apertura de puertos entre la red y la DMZ. Hasta este momento se configuraba mediante reglas de cortafuegos, ahora se ha intentado resolver la cuestión con este rol, con el que los servidores leerán la información estrictamente necesaria para el manejo del correo entrante/saliente, haciéndolo desde un repositorio LDAP local, ADAM (Active Directory Aplication Mode), con lo que no necesita ser miembro del Directorio Activo. Los datos se publicarán desde dentro hacia fuera con una conexión LDAP segura, reduciendo el riesgo. Además aquí se implementará la inspección de SPAM, malware u otros que se deseen eliminar. Este rol, como ya he mencionado, no puede ejecutarse junto a ningún otro.
• Servidor de transporte de concentrador (Hub Transport role): Servicio de enrutamiento de correo dentro de la organización. Junto a la información de AD hará que el correo se distribuya dentro de la organización exchange, utilizando reglas de transporte, de journaling y de archivado de correo. Entregará el correo a los servidores de buzones correspondientes y se comunicará con el servidor de transporte de borde para la entrega de correo externo y recibir el de entrada. Si no hay servidor de borde, este rol puede utilizarse para enviar y recibir el correo directamente de internet.
• Servidor de mensajería unificada (Unified Messaging role): Servidor de capa intermedia para interconectar con los sistemas de telefonía mediante las PBX o IP-PBX, y/o de Gateways de VoIP. Con ello los usuarios pueden almacenar faxes y mensajes de voz y accederlos desde los clientes tradicionales y con Outlook Voice Acces incluso desde cualquier teléfono tradicional.

Las novedades

Después de asistir al IT Forum creo que hay tres productos en los que se nota el esfuerzo de MS, Exchange 2007, Office 2007 y Windows Vista, a corto plazo, entre final de año y primer trimestre del próximo. Sin desmerecer el trabajo que están llevando a cabo en otros productos, me gustaría dar mi impresión sobre estos tres y comentar lo que nos han contado como nuevo y mejorado.

Microsoft Exchange Server 2007

Este es un producto veterano, si contamos que lleva 10 años o casi en el escenario; desde aquél Exchange 4.0 hasta el último aparecido Exchange 2003, ya qué, aunque hablo del 2007 éste aún está en fase beta.

Es de suponer que este producto ha ido experimentando los cambios que ha provocado el paso del tiempo en la importancia y volumen de la mensajería.

En fin, puedo decir que es uno de los primeros productos que me hizo pensar que al final MS va a tener un shell potente, como los Unix/LinuX y que va a mermar la presencia gráfica en sus productos de servidor, muchos de mis colegas y amigos son escépticos en esta idea, en fin supongo que el tiempo me dará/quitará la razón. ¿Por qué pienso así? Pues ver como Exchange 2007 se basa totalmente en powershell y que todo el entorno gráfico (desde el que no puedes realizar todas las acciones) al fin y al cabo son GUIS que por detrás están ejecutando los comandos y parámetros necesarios, encadenados también, de powershell. Así que ya veremos.

Microsoft suele decir que sus productos se orientan a las necesidades del mercado y a los estudios que se realizan sobre estadísticas, tendencias, sobre las sugerencias de sus clientes, etc...

Las claves del diseño de Exchange 2007:

- Alegrarle la vida a los administradores, : El tiempo es oro y los conocimientos necesarios superiores, hay que simplificarles la vida a los encargados de gestionar el sistema de correo.

- Hay que poder acceder desde cualquier lugar, : No sólo de correo vive el hombre, agenda, calendario, contactos, faxes, mensajes de voz, ¿me dejo algo?; parece que esto está valorado por encima de brillantes u oro. Los usuarios quieren disponer de todo en todo momento y desde cualquier lugar.

- Protección, : Spam a eliminar, virus, gusanos, spy-ware, mal-ware...; Backups y Restore; y por supuesto, cumplir el elenco de normativas existentes a nivel legal o incluso a nivel de empresa.

La intención parece buena, ¿no?

Bien, sino pasa nada, Exchange 2007 no tendrá versión de 32 bits para producción, lo que si que hay es una versión de evaluación de 32 bits para pruebas, si se quiere, antes de asumir el cambio. Aunque yo os pongo los requerimientos para ambas versiones que se nos ha facilitado, tened en cuenta aquéllo de requerimientos mínimos.

Controlar el rendimiento del servidor

El control del rendimiento es una parte importante de la administración y mantenimiento del sistema operativo. Controlar rutinariamente el rendimiento nos aporta tener al día la información del funcionamiento del equipo. También nos proporciona datos que podremos utilizar para predecir un futuro crecimiento y planificar los cambios necesarios en las configuraciones del sistema que puedan afectar a operaciones futuras.

¿Por qué controlar el rendimiento?

El control del rendimiento es una parte necesaria de un mantenimiento preventivo de un servidor.

Porque controlándolo obtenemos datos que podemos usar:

• para entender las cargas de trabajo y los correspondientes efectos en los recursos de nuestro sistema.
• para observar los cambios y tendencias en las cargas de trabajo y el uso de recursos y así planificar futuras actualizaciones.
• para comprobar los cambios u otros mediante el control de resultados.
• para diagnosticar problemas del sistema e identificar componentes o procesos para optimizar.

Porque analizándolo podemos descubrir cuellos de botella.

Un analisis de los datos de rendimiento pueden revelarnos problemas, como excesivas demandas de ciertos recursos que se convierten en cuellos de botella. Un cuello de botella existe cuando un recurso afecta negativamente al rendimiento total del sistema. Esa demanda sobre un único recurso puede llegar a ser lo bastante excesivo para crear ese cuello de botella en los cuatro subsistemas: memoria, procesador, disco y red.

Algunas de las razones de que ocurran los cuellos de botella son:

• Los subsistemas son insuficientes, por lo que hay que pensar en actualizar los componentes necesarios. Aumentar la memoria por ejemplo.
• Los subsistemas no comparten la carga de trabajo equitativamente y necesita ser balanceada. Por ejemplo una tarjeta de red defectuosa o anticuada.
• Uno de los subsistemas funciona incorrectamente y necesita ser reemplazado. Por ejemplo un disco duro que ha tenido varios problemas menores frecuentemente, es indicador de pronto fallo.
• Una aplicación está monopolizando un recurso en especial. Por ejemplo un programa mal desarrollado que no comparte correctamente la memoria. En estos casos hay que acudir al soporte de la aplicación y comprobar sus faq o incluso ponerse en contacto con sus desarrolladores si es una aplicación necesaria.
• Alguno de los subsistemas están mal configurados, debe cambiarse su configuración. Por ejemplo una tarjeta de red configurada a 10Mb/s cuando debería ser 100Mb/s.

Lecturas interesantes - el saber nunca ocupa lugar -

Decía Einstein que 'Todos somos ignorantes, aunque no todos ignoramos lo mismo'.

jejeje

Aquí mis amiguetes y colegas explican algo del RunAs, creo que es una buena lectura.

http://urpiano.wordpress.com/2006/02/25/15/

http://www.uyssoft.com/Articulo.aspx?sm=7&ID=11

Administrador de servicios de Terminal Server

Este snap-in que se encuentra en las herramientas administrativas nos muestra la información referente a las sesiones de escritorio remoto contra el servidor. Así pues, podemos utilizarla para monitorizar a los usuarios y sesiones en cada servidor y gestionar las sesiones desconectadas desde el servidor remoto.

Desde un lugar centralizado dispondremos de la posibilidad pues, de supervisar usuarios y sesiones remotas en el servidor, además de poder ver si hay sesiones desconectadas, ya que se nos mostrarán bajo las columnas de Sesión y Estado.

Recordad que una sesión desconectada debe efectuar cierre de sesión para terminarla correctamente. Y es importante cerrar aquéllas que no se continuarán usando, ya que las conexiones remotas suelen tener un límite y así utilizarlas más eficientemente.

El comando log off (cerrar sesión) nos habilita para cerrar la sesión de un usuario desde una sesión en el servidor. Hay que ser conscientes también que el cerrar una sesión de usuario puede causar pérdida de información en la propia sesión, es decir, por ejemplo archivos que se encuentran archivos y no guardados. Al cerrar la sesión todos los procesos finalizan y la sesión eliminada del servidor.

Herramienta interesante

Ya que estabamos viendo RDP y TS, me gustaría comentar algo respecto a una herramienta a la cual he tenido acceso y en principio (la estoy probando) me resulta muy interesante.

Se llama Ishadow desktop y está en http://www.ishadow.com/, nos sirve para conectar simultáneamente con servidores, ya sea por RDP, VNC o ICA.

Hay una versión para evaluar en la misma página web.

De vuelta en casa ;-)

Ya estoy de vuelta , vaya semanita en Barcelona, agradezco el ofrecimiento de Javi pero no paré ni un momento, de día de una sesión a otra y después... después, pues una cena con los MVP, otra con algunos amiguetes, otra con el Team de mi especialidad, etc...

Adelanto a Gura por si no lo ha visto que se ha publicado la release de powershell 1.0 y del loghorn puedo decirte que hasta la tercera parte del 2007 quizás no haya versión RTM. De la que si que hay es de Vista, aunque sólo para el canal interno, así que se comentaba que quizás has enero no esté a la venta.

 En fin, que no sé si estoy muy cansado o no, a pesar de las 5 horas de viaje y la semana entera, pero lo que voy a hacer ahora mismo es salir a dar una vuelta con mi esposa y cenar con unos amigos.

Ya os cuento algo la próxima semana!

Hasta luego Lucas!!

Lo que se avecina

Hoy he asistido a la presentación por parte de Bob Muglia a un repaso general de todo lo que se nos avecina, desde la practicamente salida 'ya!' del Windows Vista, pasando por el Office 2007 que también ha salido en RTM, el exchange server 2007 y el windows loghorn -la parte servidor de windows-.

No me voy a olvidar de una herramienta que creo interesante, aunque ya sé que muchos le van a encontrar enseguida parecido, se llama powershell, y la verdad es que desde la primera preview que me enseñaron hace casi tres años, y un par de cambios de nombre, veo que el scripting mejora en windows.

Seguro que me dejo algo en el tintero, pero tengo poco tiempo, voy a comer y luego tengo una interesante cita con Windows codename loghorn en modo 'core', también tiene parecido...

En fin, ya sigo en otro ratillo.

hasta luego Lucas

Ya se acerca el IT Forum...

Bueno, esta semana no he escrito nada, lo siento -si hay alguien que me siga y no crea que no sirve para nada-, y la que viene...la que viene va a ser que tampoco, en todo caso os contaré algo sobre el IT Forum en Barcelona que es para donde salgo el lunes de buena mañana.

Allí habrá conexión wireless, supongo, así que si tengo un ratillo ya os contaré lo que se avecina.

También espero disfrutar un poco de ... , ver a mis amigos de Barcelona y de fuera de España y, como no, tomarne unas cañitas con ell@s.

Le tengo reservada una sorpresa a una especial holligan del Liverpol, pero eso ya se verá

En definitiva, que paseis un buen fin de semana y regreso sobre el 20 de noviembre.

Cortafuegos y VPN

VPN

Los cortafuegos modernos incluyen pasarelas VPN integradas (como ISA Server). Estas VPN permiten a usuarios remotos conectar con el servidor VPN o con la red entera mediante el túnel vpn que se configura por el canal público de Internet, o de manera alternativa, permite que dos áreas locales de red en distintos lugares conectarse entre ellas de forma segura también utilizando el canal público de Internet. Aquí ya casi hemos definido dos tipos de VPN, la del cliente hacia un servidor y una sitio-a-sitio.

VPN cliente contra servidor

Esta vpn se utiliza cuando equipos remotos individuales (por ejemplo empleados que trabajan desde su domicilio entre otros.) conecten a la red de su empresa, primero estableciendo una conexión a internet y luego utilizando el software de cliente VPN, mediante los protocolos de túnel(como PPTP o L2TP) establecer la conexión con la empresa que a su vez está conectada a internet. Ya que los datos viajan a través de este túnel y lo hacen cifrados(sea por MPPE o IPSec) es también una conexión privada.

VPN sitio-a-sitio

Esta se usa para conectar redes enteras entre sí. Como en el caso anterior, ambos sitios deben estar conectados a Internet. Se usan los mismos protocolos de túnel y cifrado. La diferencia es que con una VPN sitio-a-sitio hay una puerta de enlace y ambos son final de conexión (en lugar de un equipo cliente individual que es un final). Algunos cortafuegos son compatibles únicamente con VPNs sitio-a-sitio.

Isa Server 2004 es compatible con los protocolos PPTP, L2TP/IPSec y Modo Túnel IPSec.

Los dos primeros se pueden utilizar en accesos remotos y en sitio-a-sitio, mientras que el último sólo en conexiones sitio-a-sitio.

El modo de túnel IPSec es un compatibilidad con servidores VPN de terceros y no debería usarse si la conexión sitio-a-sitio lo es entre ISA y otro producto VPN de Microsoft(Windows 2000/Windows Server 2003 RRAS o ISA Server 2000).

La característica VPN de Isa Server 2004 es compatible con ambos tipos de conexiones VPN: cliente con servidor(llamado también acceso remoto VPN) y sitio-a-sitio.

Así mediante el acceso remoto de VPN permite que equipos individuales y configurados como clientes VPN conecten con el cortafuegos ISA Server 2004 y accedan a los recursos de la red. Los clientes pueden usar PPTP o L2PT/IPSec. Mecanismos avanzados de autenticación como SecurID, RADIUS, certificados EAP/TLS, biometría y otros son compatibles también por la VPN Acceso remoto de ISA Server 2004.

Las VPN sitio-a-sitio permiten a ISA Server 2004 conectar con otras VPN y unirse a redes enteras mediante el uso de internet. Ello hace que pueda plantearse la eliminación de las costosas líneas dedicadas entre sedes.

Una de las ventajas de ISA Server 2004 es que las reglas de cortafuego se aplican a las VPN (de uno u otro tipo). En contraste con otros productos que ofrecen completo acceso las VPN de ISA Server 2004 están expuestas al control de las reglas de acceso, con lo que cuando un cliente establece una conexión mediante una VPN contra el ISA accederá sólo a los recursos que necesita para hacer su trabajo y no otros.

Todos los Windows incluyen cliente de VPN, por lo que no necesitan instalar software de terceros, no suelen existir problemas de compatibilidad, la configuración suele ser simple y son compatibles con IETF RFC Internet Standard IPSec NAT Traversal.

Como final diré que además ISA Server 2004 también incluye características de seguridad como la Cuarentena de VPN.

Administrando las conexiones de Escritorio Remoto

Como administradores puede que queramos monitorizar usuarios, sesiones y aplicaciones en servidores remotos y llevar a cabo tareas varias para gestionar la conexión del servidor. Ahora echaremos un vistazo a la importancia de la administración de la conexión de Escritorio Remoto y como cerrar las sesiones para que no lleven tiempo abiertas sin uso.

Configuración de finalización para conexiones de escritorio remoto

Cada sesión que se inicia tiene su propia sesión de escritorio, así como la sesión de consola del servidor. Podemos configurar la cantidad de tiempo que las sesiones de cliente pueden permanecer activas en el servidor mediante la configuración de Servicios de Terminal.

Debemos establecer el tiempo de espera de las sesiones para estas conexiones porque cuanto más tiempo permanezcan activas más consumo de recursos valiosos del servidor se producen. Si una sesión se desconecta sin efectuar cierre de sesión sigue utilizando una conexión de las disponibles del servidor.

Si se realiza el cierre de sesión desde la propia sesión esta finaliza su conexión con el servidor, liberando recursos, pero al mismo tiempo cerrando las aplicaciones que estuviera ejecutando y perdiendo los datos que no se hayan guardado.

Despúes de establecer una conexión contra un servidor remoto esta permanecerá abierta hasta realizar el cierre de sesión. Si la desconectamos, la sesión queda abierta en el servidor, y en cuanto volvemos a conectar recuperamos la sesión abierta. Así que permanecerá abierta hasta el cierre correcto de sesión o hasta que un administrador la cierre o que su configuración de tiempo de espera se haya alcanzado.

Hemos de utilizar la Configuración de servicios de Terminal para establecer tiempos de espera apropiados, de entre algunas opciones:

• Finalizar una sesión desconectada. Nos permite establecer el tiempo máximo de tiempo que una sesión desconectada permanece abierta en el servidor.
• Límite de sesión activa. Nos permite establecer el tiempo máximo que la sesión de usuario puede estar activa en el servidor.
• Límite de sesión sin utilizar. Nos permite establecer la cantidad de tiempo que una sesión puede permanecer sin utilizar (sin hacer nada) antes de cerrarla.

1. Pulsamos en Inicio
2. Menú Herramientas administrativas, Configuración de Servicios de Terminal
3. En el panel de detalles, clic derecho sobre RDP-Tcp y luego en propiedades.
4. En la pestaña de sesiones, seleccionamos la primera casilla Sustituir la configuración del usuario, y,
5. Ajustamos los valores que queremos.

Listar las impresoras a un archivo

'Filename: listprinters.vbs
'Revisión: v1.0
'Author: Juansa
'
'Fecha:  02/11/2006
'Revisado: 
'Sintaxis: listprinters.vbs pathtolist
'pathtolist = ruta y archivo donde irán los datos

On error Resume Next

Const ForAppending = 8

'***Comprobamos argumentos***
If WScript.Arguments.count > 0 Then
 ArchivoSalida = WScript.Arguments.item(0)
   Else
 ArchivoSalida = InputBox("Se necesita un nombre de archivo para la lista a generar", "Listado de impresoras")
End If

'***Crear el archivo***

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objTextFile = objFSO.OpenTextFile (ArchivoSalida, ForAppending, True)

'******

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colInstalledPrinters = objWMIService.ExecQuery _
("Select * from Win32_PrinterDriver")
For each objPrinter in colInstalledPrinters
objTextFile.WriteLine("Archivo de configuración: " & objPrinter.ConfigFile)
objTextFile.WriteLine("Fecha del archivo: " & objPrinter.DataFile)
objTextFile.WriteLine("Descripción: " & objPrinter.Description)
objTextFile.WriteLine("Ruta del controlador: " & objPrinter.DriverPath)
objTextFile.WriteLine("Ruta del archivo: " & objPrinter.FilePath)
objTextFile.WriteLine("ARchivo de ayuda: " & objPrinter.HelpFile)
objTextFile.WriteLine("Nombre INF: " & objPrinter.InfName)
objTextFile.WriteLine("Nombre del monitor: " & objPrinter.MonitorName)
objTextFile.WriteLine("Nombre: " & objPrinter.Name)
objTextFile.WriteLine("OEMUrl: " & objPrinter.OEMUrl)
objTextFile.WriteLine("Plataforma compatible: " & objPrinter.SupportedPlatform)
objTextFile.WriteLine("Versión: " & objPrinter.Version)
objTextFile.WriteLine("")
Next
objTextFile.Close
set ObjTextFile = Nothing
wscript.Echo "Hecho!!!"

Configurar Escritorio Remoto para administrar un servidor -II-

Conexión de escritorio remoto vs. Escritorios remotos

Windows Server 2003 viene con dos clientes que permiten a los administradores conectar con el Escritorio Remoto.

• Conexión de Escritorio Remoto
• Complemento de Escritorios Remotos

Usando el primero podemos conectar con un servidor, podemos ejecutar multiples copias para conectar a multiples servidores, pero debemos intercambiar entre las distintas sesiones para administrar cada servidor. Cada conexión además puede mostrarse a pantalla completa o en una ventana.

Cuando conectamos a un servidor usando conexión de escritorio remoto abriremos una sesión remota de forma predeterminada.

Podemos usar la segunda para conectar a multiples servidores simultáneamente. Cada conexión se muestra en una consola MMC. El árbol de consola muestra el nombre del servidor y el panel de detalles la sesión remota.

Cuando conectamos a un servidor mediante Escritorios remotos abriremos la sesión de consola de forma predeterminada.

Por supuesto también podemos conectar con la sesión de consola de un servidor remoto mediante la herramienta de línea de comandos mstsc.

Para conectarnos con un servidor mediante Conexión de escritorio remoto:

1. En el cliente, clic en el botón Inicio.
2. Todos los programas, Accesorios, Comunicaciones, pulsamos en Conexión de Escritorio Remoto.
3. En la caja de texto escribimos el nombre o la IP del equipo a conectar, y Aceptar.
4. Cuando finalizamos y desde dentro de la sesión remota, pulsamos en inicio y cerrar sesión.

Para conectar con la sesión de consola de un servidor remoto:

1. Inicio, Herramientas administrativas, Escritorios remotos. (Sólo desde Windows Server 2003)
2. En el árbol de consola, clic derecho sobre escritorios remotos y después en Añadir nueva conexión.
3. En el cuadro de diálogo, introducimos el nombre del servidor, un nombre de conexión, usuario y contraseña, y el nombre del dominio.
4. Asegurarse que la casilla de verificación Conectar a la consola está marcada.
5. Para múltiples servidores, repetiremos los pasos 2 y 3.
6. Cuando finalicemos la sesión, cerrarla desde la sesión remota.

Usando la herramienta de línea de comandos:

1. Inicio
2. Ejecutar
3. abrimos una cmd
4. en el prompt, escribimos el comando y sus parámetros, luego pulsaremos Enter:
• mstsc /v:servidor /console
5. Iniciar sesión en el servidor.

La sintaxis completa de mstsc con mstsc /?.