Mes: marzo 2008

El Directorio Activo tiene una importancia tremenda en la implantación de bitlocker en las empresas.

El AD nos permite asegurarnos de que todas las claves de recuperación de las maquinas que tienen bitlocker activado han sido guardadas y que podremos acceder a ellas de forma rápida y segura.

Modificando las GPO conseguiremos que durante el proceso de activación de bitlocker la clave de recuperación sea guardada dentro del objeto de la maquina en el AD.

Para poder guardar esta información debemos extender el esquema del AD (Windows 2003) para ello usaremos un script LDIF que podemos encontrar al igual que todos los recursos que veremos en este articulo en este enlace .

En la siguiente imagen podéis ver la extensión del esquema a través de LDIFDE.

Después de esto, podremos usar el adsiedit o el editor de esquema para ver como se han incluido nuevos atributos.

Para que los usuarios puedan escribir en ese atributo hay que modificar los permisos del AD, esto lo haremos con otro script que también viene incluido en el enlace que os he comentado antes y que podéis ver en la siguiente imagen.

Ahora tendremos que configurar varias GPO.

(Open Computer Configuration, open Administrative Templates, open Windows Components, and then open BitLocker Drive Encryption)

(Open Computer Configuration, open Administrative Templates, open System, and then open Trusted Platform Module Services)

Ahora cada vez que activemos bitlocker en una maquina tendremos su clave de recuperación guardada en el AD.

En caso de que un equipo no pueda arrancar por alguna de las siguientes razones:

-Al usuario se le ha olvidado el PIN (si se ha escogido esa configuración).

-Se ha cambiado de placa madre o se ha cambiado el disco duro de ordenador.

-Al usuario se le ha olvidado o ha perdido el pen drive (si se ha escogido esa configuración)

Entonces el usuario vera una pantalla como la siguiente:

Entonces llamara a soporte y quien le atienda si tiene los permisos adecuados podría mirar la clave de recuperación en el AD y decírsela al usuario para que pueda entrar en su máquina.

Si estamos hablando de una empresa con contrato premier, entonces se podrá instalar la herramienta Bitlocker Recovery Password Viewer, que permite buscar en el AD las claves de recuperación de una forma rápida a través de la consola de usuarios y computadoras del Directorio Activo.

Tenéis mas información sobre esta herramienta en:

http://support.microsoft.com/?kbid=928202

 

Crossposting from blogs.technet.com/dmatey

En este articulo vamos a ver cómo podemos probar Bitlocker en una maquina virtual.

Desgraciadamente aun no existe una emulación del chip TPM por lo que tendremos que usar otro método para guardar la clave.

Para que el método que usemos sea válido para los tres productos de virtualización de maquinas de Microsoft nosotros nos vamos a basar en un disquete virtual para guardar la clave.

Es muy importante que configuréis la bios de la maquina virtual de forma que no arranque desde disquete.

Crear el disquete virtual es muy sencillo, asi que no lo explicare.

El paso más importante es el de preparar bien los discos para poder instalar bitlocker después.

Como sabéis bitlocker requiere dos particiones una para el sistema y otra para el “arranque”, es importante que instaléis Windows en la de sistema pero que la activa sea la de “arranque”.

Para hacerlo lo mejor es pulsar mayúsculas + F10 cuando Vista o Windows Server 2008 nos pidan que indiquemos el disco duro en el que queremos instalar el sistema operativo.

Cuando pulsemos esa combinación de teclas, nos aparecerá una ventana de MS-DOS en la que tendremos que poner exactamente los comandos que veis en las capturas de pantalla.

Después de esto instalamos el sistema operativo normalmente.

Antes de activar bitlocker tendremos que modificar las GPO para permitir al equipo usar bitlocker sin chip TPM.

Y listo, ya podréis activar bitlocker en vuestra maquina virtual usando el siguiente comando:

cscript c:WindowsSystem32manage-bde.wsf -on C: -rp -sk A:

 

Crossposting from blogs.technet.com/dmatey

Cuando nos referimos al interfaz de usuario de powershell podemos estar hablando de dos cosas bien diferentes e igual de interesantes.

Por un lado nos podemos referir a la posibilidad de editar o usar nuestros scripts desde un interfaz grafico diferente al notepad 😉

Para este objetivo Microsoft ha añadido un editor de powershell en la versión beta de PowerShell 2.0.

Pero en Internet podremos encontrar algunas herramientas que no solo nos permitirán editar scripts si no acceder a su información de salida de una forma grafica, interaccionar con los resultados invocando a otros scripts, sacar informes o llamar a otras acciones, en este campo existe una herramienta gratuita denominada PowerGUI  de Quest realmente interesante.

Podéis ver una screencast sobre este producto en el siguiente enlace:

http://www.powergui.org/shares/powergui/sbin/docs/PowerGUI_Introduction/PowerGUI_Introduction.html

Por otra parte si estuviéramos interesados en proveer a nuestros scripts PowerShell de una interfaz grafica para nuestros usuarios tendremos otras alternativas.

En la beta de PowerShell v2 nos encontramos con la funcionalidad de mostrar los resultados en un grid a través del nuevo cmdlet out-gridview.

Así por ejemplo el comando:

Get-Service | Out-Gridview

Nos mostrara un grid con toda la información permitiendo filtrar y ordenar los resultados.

Si queremos permitir que los usuarios introduzcan o interactúen con el script a través de un interfaz grafico, lo podemos hacer invocando a los objetos contenidos en el namespace System.Windows.Forms.

El problema es que no es que sea muy fácil ni intuitivo y requerira de un tiempo para adaptarse.

Al final tendríamos código como el que podeis ver en este articulo:  http://www.microsoft.com/technet/scriptcenter/resources/pstips/default.mspx

De esta forma le podemos pedir al usuario información, mostrar cajas de texto, botones y cualquier control windows para .Net.

 Otra opción es usar una herramienta denominada AdminScriptEditor que no es gratis L pero que tiene demo J (http://www.adminscripteditor.com/editor/download.asp )

Podéis ver una screencast muy interesante del producto en el siguiente enlace:

http://www.adminscripteditor.com/editor/sfd/quick1/ASE31_Posh_SFD_Quick1.html

Crossposting from blogs.technet.com/dmatey

Despues del rotundo exito de Softgrid con mas de 4.5 millones de licencias vendidas, Microsoft ha decidido aumentar su oferta de productos relacionados con la virtualización adquiriendo Kidaro.

No hace mucho Microsoft adquirio tambien la empresa Calista Technologies lo que permitira a Microsoft avanzar en el campo de los escritorios virtualizados pero con pleno soporte a 3D, Vista Aero WPF,  Multimedia, etc  todo ello sobre RDP y con un rendimiento asombroso semejante al que experimenta el usuario cuando esta en su propio PC.

Con respecto a Kidaro solo puedo decir que el producto es extenso y asombroso, muchas de sus features estan orientadas a hacer transparente al usuario el uso de maquinas virtuales.

De esta forma los usuarios ven las aplicaciones que corren en maquinas virtuales completamente integradas en su escritorio no siendo conscientes de que estan realmente corriendo en una maquina virtual en su puesto.

En la siguiente imagen podeis ver como las aplicaciones que corren en la maquina virtual (señaladas con un marco verde) corren sobre la misma sesión del usuario de forma transparente para el:

Kidaro tambien permite que los usuarios trabajen de forma transparente sobre una maquina virtual, que en caso de que queramos eliminara todos los cambios no relativos a las aplicaciones que haya realizado el usuario entre sesión y sesión garantizandonos asi la salud del equipo y el cumplimiento de las politicas corporativas.

Con Kidaro tambien podemos distribuir las maquinas virtuales a los puestos de los usuarios reduciendo el tiempo necesario para la descarga hasta en un 90% segun los datos de la web.

Evidentemente el producto esta integrado con el Active Directory y todos los permisos se realizan a traves de grupos del AD.

Kidaro tambien gestiona las librerias de maquinas virtuales de los escritorios y tiene funcionalidades que nos permiten incorporar todas estas tecnologias a nuestro plan de recuperación de desastres.

Es posible mandar las imagenes a traves de Web, DVD o incluso USB permitiendo usar las aplicaciones desde el USB y estando la maquina virtual encriptada.

Aun no esta claro ni el cuando ni el como, pero si parece que este producto se integrara en el MDOP.

El producto se apoya obviamente en Virtual PC y sera una gran herramienta para proyectosde vista en los que la compatibilidad de aplicaciones suponga un problema.

Crossposting from blogs.technet.com/dmatey

Hoy repasando algunos blogs que hace tiempo que no he podido ver, me he encontrado con un post sobre pruebas de rendimiento TPC de SQL Server 2008.

No solo es más rápido que 2005 si no que vuelve a quedar en el primer lugar en varios TPCs y entre los primeros en el resto.

Además las pruebas se han hecho sobre Windows 2003 o sea que cuando se hagan sobre 2008 serán aun mejores.

Podéis ver más información aquí. (Impresionante la máquina de NEC o la prueba sobre base de datos de 10Tb)

Que puedo decir, más barato, mas rápido, más seguro, deja de mirar bolas de cristal 😉 , !!El futuro esta aqui!!

Nota: Los TPC son pruebas independientes no vinculadas con Microsoft.

Crossposting from blogs.technet.com/dmatey

Aquellos que usamos nuestro portátil para hacer demos, no podemos resistirnos a la tentación de tener Windows Server 2008 x64 instalado en el portátil y así poder usar Hyper-V.

El precio a pagar a parte del de tener algunos problemas relacionados con Hyper-V y conceptos como la hibernación es que logicamente el interfaz es el de Windows Server 2008 y no el de Vista.

A mí me encanta el interface de 2008 pero para los servidores, para trabajar prefiero la sidebar y otros funciones y aspecto visual de vista.

En el siguiente enlace encontrareis una guía sobre como transformar el interface de 2008 en el de Vista. http://www.pronetworks.org/forum/about101245.html

Crossposting from blogs.technet.com/dmatey

Por desgracia de momento no ;-), pero mientras que no tengamos una solución nativa no debemos dejar que la necesidad de USBs o Serials bloqueen nuestros proyectos de virtualización.

Existen en el mercado varias soluciones que permiten acceder a través de red a los dispositivos USB conectados a otra máquina.

Estas soluciones tienen una parte servidora que se instala en la maquina que cuenta con el dispositivo USB conectado y otra parte cliente que instalaremos en nuestra maquina virtual.

Imagen 1, Funcionamiento del producto  USB to Ethernet Connector de  Eltima Network:

He estado realizando algunas pruebas y se de algún compañero que lo ha usado incluso con lectores de smartcards.

Imagen 2, Captura de pantalla de USB over Network de Fabulatech.

En unos fabricantes falta soporte para 64Bits y en otros para Vista y los precios varían de unos a otros.

Os dejo algunas alternativas, de las que mejor me han funcionado, aunque por supuesto tendréis que probarlas en vuestro entorno y ver si os funcionan adecuadamente:

http://www.fabulatech.com/usb-over-network-devices.html

http://www.virtualserialport.com/products/usb-over-network/

http://www.intellidriver.com/products_1.16.html

Crossposting from blogs.technet.com/dmatey