Cuando queremos incluir un controlador de dominio con Windows 2003, actualizar un DC con 2000 a 2003 en un dominio de Windows 2000 o bien agregar un dominio de Windows 2003 a un forest de Windows 2000 debemos hacer uso de la herramienta adprep, esta herramienta la podemos encontrar en el directorio I386 del cd de instalación de Windows 2003.

En el caso de lo que queramos hacer actualizar un controlador de dominio a Windows 2003 o añadir un controlador de dominio con Windows 2003 en un dominio de un bosque de Windows 2000, lo que debemos hacer primero es con un usuario administrador ejecutar adprep /forestprep en el maestro de esquemas (schema master) y adprep /domainprep en el maestro de infraestructura (infrastructure master).

Para añadir un dominio Windows 2003 a un bosque de 2003 al igual que en el caso anterior habría que ejecutar adprep /forestprep en el maestro de esquemas (schema master). Pero debemos esperar hasta al menos a que se repliquen los cambios al controlador del que hace de "ayudante", es decir del que coge los datos del bosque nuestro nuevo controlador del nuevo dominio.

| Enlace  

En los últimos tiempos, especialmente después de que sasser y cia. se aprovecharan en gran medida del descuido de muchos administradores, se ha tomado mas conciencia de la necesidad de mantener al día de actualizaciones nuestros sistemas. Para ello contamos con diferentes herramientas que os detallo brevemente a continuación:

Microsoft Update, con la opción de actualizaciones automáticas por defecto descargara las nuevas versiones del site de Microsoft en internet. Su mayor inconveniente es el desperdicio de trafico que supone que cada equipo baje las mismas actualizaciones, además no podremos elegir que parches no deseamos instalar ni monitorizar de manera centralizada los cambios.

WSUS (Windows Server Update Services), el hermano mayor de SUS es mucho mas versátil que su antecesor ya que las actualizaciones que maneja no solo se limitan al sistema operativo sino que también incluye Office, SQL Server y Exchange. También Microsoft ha prometido añadir soporte para productos adicionales en el futuro sin que sea necesario actualizar WSUS.

SMS (Systems Management Server), la opción mas versátil, compleja y cara. Además de incluir todas las funcionalidades de WSUS, añade inventario tanto de hardware como de software, opciones de control remoto y probablemente la mejor funcionalidad de distribución de paquetes de software (.msi) existente en el mercado hoy día. También soporta sistemas anteriores a 2000, como w98 y NT, a diferencia de sus competidores que solo soportan sistemas desde 2000 en adelante.

MBSA (Microsoft Baseline Security Analyzer), sin duda la opción mas pobre de todas a la hora de distribuir actualizaciones, solo soporta la distribución de Service Packs y parches de seguridad. Eso si, como herramienta para comprobar si cumplimos premisas básicas de seguridad es bastante buena.

| Enlace  

Justo cuando la versión final de Firefox 1.5 esta a punto de ser lanzada ha aparecido una nueva versión de la extensión de del.icio.us que es realmente completa ya que incluye desde dos botones para postear e ir a a tu pagina que superan en mucho el antiguo sistema de bookmarks, también incluye un plugin de búsqueda y la opción de postear desde el menú contextual que aparece al hacer click con el botón derecho. Además de todo esto el menú para postear se abrirá en una nueva ventana sin cerrar en la que nos encontremos.

También ha salido una nueva versión de la extensión SearchKeys con soporte para 1.5 y algún bugfix. Esta extensión te permite ir a los resultados de varias engines soportadas simplemente pulsando el numero correspondiente al orden del resultado.

| Enlace  

El Rastreador de sucesos de apagado (Shutdown event tracker) es una nueva característica de Windows XP y 2003, por defecto en XP viene desactivado mientras que en 2003 esta activado. Su objetivo es hacer un seguimiento de las razones porque se ha apagado o reiniciado el sistema.



La información que introduzcamos la podemos ver en el log de sistema en eventos con el id 1074, esta funcionalidad puede ser realmente útil en algunos escenarios mientras que en otros se puede volver muy irritante. Para activarlo o desactivarlo lo que tenemos que abrir es la consola de la directiva de grupo (escribir gpedit.msc en el dialogo Ejecutar) e ir a Configuración de Equipo/Plantillas Administrativas/Sistema/ y ahí veremos la directiva correspondiente donde podremos habilitar o deshabilitar esta opción.

| Enlace  

Cuando se aplica una GPO (directiva de grupo) el comportamiento de como se procesa puede variar si se detecta un vinculo de baja velocidad (slow link) que por defecto se considera así si su velocidad es menor a 500kbps.

La formula que se usa para evaluar cual es la velocidad de la línea es la siguiente:

velocidad de la línea en kbps = 16000 / respuesta media en ms a un ping icmp

De esta manera si el ping es mayor a 32ms entonces la línea será considera lenta. Esto provocaría que por defectosolo se aplicasen las siguientes políticas:

• - Las políticas de seguridad y configuraciones del registro provenientes de Plantillas Administrativas (Administrative templates), la aplicación de estas políticas no puede ser deshabilitada.
  
  
• - Políticas de redes inalámbricas, seguridad IP y recuperación de EFS (Encrypted File System), que si pueden ser deshabilitadas.
  

Para modificar este comportamiento podemos ir en el editor de GPO's a Configuración de Equipo/Plantillas Administrativas/Sistema/Directiva de Grupo.



Allí encontraremos distintas políticas en las que podremos activar que se procesen aunque la enlace sea lento.



También podemos modificar la velocidad de línea por defecto (500kbps) para considerar que los enlaces son lentos por otra velocidad (en kbps siempre) en la política "Detección de vínculo de baja velocidad de la directiva de grupo", si fijamos la velocidad a 0 kbps esto equivaldrá a deshabilitar esta política.

| Enlace  

Las GPO’s se aplican al usuario y al equipo dependiendo de donde se encuentre en la estructura del Directorio Activo ambos objetos. A partir de Windows 2000 se viene ofreciendo una opción llamada Procesamiento de bucle invertido (Loopback Processing) que nos permite aplicar las GPO’s solamente de acuerdo con el equipo en el que el usuario se loguea. De esta manera las políticas de configuración del equipo toman preferencia sobre las del usuario.

Esta opción es especialmente útil para terminal servers, equipos de uso publico o bien en entornos donde queramos restringir los accesos como aulas de formación. Se puede aplicar esta opción de dos maneras distintas dependiendo si queremos que se aplique la configuración del usuario o no:

• Modo de combinación (merge mode): en este modo la configuración del usuario se aplica primero y después la del equipo, de modo que la configuración del equipo toma preferencia sobre el de usuarios.
  
  
• Modo de reemplazo (replace mode): solo se aplica la configuración del equipo.
  

| Enlace  

Para la gente con problemas para memoria para recordar algún que otro comando aquí tenéis una magnifica compilación de chuletas de un montón de temas.

| Enlace  

Desde Windows 2000 se almacenan encriptados con un hash las contraseñas de usuario mientras que anteriormente en NT se almacenaban sin encriptar, la clave usada para la encriptación se almacena en local. Con Syskey lo que hacemos es mover esa clave a un disquete o bien requerir una contraseña adicional para que el sistema puede acceder al SAM (Security Accounts Management Database) que es donde se almacenan las contraseñas.

Esto es especialmente útil si por alguna razón no podemos restringir el acceso físico a algún servidor, tambien Syskey nos servirá para encriptar el SAM si aun usamos Windows NT. Lo primero es lanzar el Syskey desde el dialogo de ejecutar.





Como os he comentado en 2000 tanto como en XP y 2003 la SAM se encuentra encriptada por defecto por lo que no será posible deshabilitar la encriptación y esta opción solo estará disponible desde NT. Elegimos Actualizar y nos encontraremos con el siguiente dialogo.



Aquí ya lo único que tenemos que haces es elegir la opción deseada, la opción por defecto es "Almacenar la clave de inicio localmente", si elegís la opción de arrancar desde el disquete ser especialmente cuidadosos con el e intentad hacer un backup ya que si se pierde será imposible arrancar el sistema.

| Enlace  

Si bien hay muchas características que describirían la estrategia de mercado de Microsoft, una de las que usualmente se pasa por alto es su tendencia a fijar precios mucho mas bajos que sus competidores cuando en un principio cuentan con un producto inferior.

De hecho esto parece una estrategia bastante lógica para así intentar hacerse un hueco en el mercado, esto viene ocurriendo desde los tiempos de los sistemas operativos para ordenadores IBM-PC cuando Microsoft fijo un precio diez veces inferior para su MS-DOS que el por entonces técnicamente superior CP/M-86 de Digital.

No hay duda que aunque se trata de una estrategia agresiva para con sus competidores, en cierta manera si que ha favorecido en un principio a hacer el mundo del software mas accesible económicamente para el consumidor pese a que se hayan establecido como monopolio de facto en ciertos productos posteriormente y haya incrementado sus precios ya en esta posición.

Sin duda también es triste que actualmente Microsoft apoyándose en los beneficios que dan otros de sus productos ya establecidos intente hundir a sus competidores fijando unos precios muy por debajo de lo que seria el precio real de mercado que debería tener el producto de acuerdo con los costes de desarrollo y volumen de potenciales consumidores.

De acuerdo a su filosofía las inminentes versiones de Virtual Server 2005 R2 Standard y Enterprise se situaran a 99 y 199 dólares respectivamente (en Europa como de costumbre algo mas caro), este producto técnicamente se encuentra todavía a gran distancia los productos de su competidor VMWare y esto es un ataque directo sobre todo a su producto GSX Server que precisa al igual que Virtual Server de un sistema operativo (windows o linux) por debajo.

A pesar de esto creo que ESX Server se mantendrá como la principal opción de virtualización/consolidación, ya que aunque su precio ronda los 3000usd no requiere un sistema operativo por debajo lo que supone un ahorro de los 2000usd que viene a costar un Windows Server 2003 Enterprise que es requerido para Visual Server Enterprise. Pese ser mas caro ESX Server se encuentra a años luz de las soluciones de Microsoft en este campo y ofrece compatibilidad prácticamente para cualquier sistema operativo x86 (y a partir de la versión 3.0 incluso soportara sistemas operativos x86-64) e incluye características únicas como VMotion (posibilidad de mover una maquina virtual en caliente desde un servidor a otro sin perdida de servicio siempre que estos compartan almacenamiento en una SAN).

Habrá que estar atento a los posibles movimientos que se produzcan en este incipiente mercado de la virtualización donde hasta ahora VMWare no había encontrado mucha competencia para su línea de productos.

| Enlace  

Por defecto Terminal Services (y el Escritorio Remoto por tanto también) vienen configurados por defecto para funcionar sobre el puerto 3389 y aparentemente no existe manera de cambiarlo. Cambiar este puerto puede ser realmente útil ya sea por motivos de seguridad o bien porque solo dispongamos de una ip externa y queramos hacer PAT desde ella para poder acceder a distintos Servidores.



Esto funciona para 2000, XP y 2003, además deberás de introducir el puerto con dos puntos tras la ip para conectarte, por ejemplo: 192.168.123.234:12345 si hubieras fijado el puerto a 12345.

| Enlace  

Aprovechando que Microsoft acaba de lanzar una nueva versión de este servicio hago esta reseña sobre este servicio que solucionara los problemas que sobre todo se producen sobre Terminal Services con aplicaciones que no trabajan con el registro correctamente y lo dejan abierto provocando que al cerrar la sesión se produzca una gran demora.

Los errores que evitamos son los errores userenv con código 1000 en Windows 2000 o 1500, 1517 y 1524 en Windows 2003 y XP. Lo podéis bajar y consultar el kb correspondiente.

| Enlace  

Accidentalmente podemos activar la version reducida del Administrador de Tareas (taskmgr) lo que nos puede llevar a pensar que se ha producido un error en el sistema operativo si no sabemos como desativarlo.



Lo podemos volver a su estado habitual de dos formas, por un lado hacer click en la parte superior de la ventana o bien ir a Inicio -> Ejecutar y escribir taskmgr y mantener pulsado ctrl+alt+shift a la vez que pulsamos enter.

Incluso existe un articulo kb referente a este problema.

| Enlace  

He tardado, pero tras varios meses ya he migrado a mi propio hosting, ya solo me queda solucionar de alguna manera el tema de las categorías a través de del.icio.us o alguna solución casera.

| Enlace