Durante la semana del 13 al 17 de octubre, estaremos impartiendo los siguientes Hands On Lab de Microsoft Exchange Server 2007 en las instalaciones de Microsoft Iberica en La Finca de Pozuelo de Alarcón, Madrid.

• HOL-EXC21 Microsoft Exchange Server 2007. Implantación y Configuración   -    13 Octubre 08:30-14:30 [registro@informatica64.com  -  Tel: 91 6659998]
   
  Conocer las mejoras y nuevas características que ofrece Microsoft Exchange Server 2007. Aprender a instalar y configurar un Servidor Exchange, conocer la nueva arquitectura, identificar los diferentes roles de servidor que se pueden implantar y aprender a realizar las principales tareas administrativas con la nueva consola de Exchange Server 2007.

• HOL-EXC22 Microsoft Exchange Server 2007. Servicios de Movilidad y mensajería unificada    -   14 Octubre 08:30-14:30 [registro@informatica64.com  -  Tel: 91 6659998]
   
  Conocer las mejoras y nuevas características que ofrece Microsoft Exchange Server 2007 en materia de movilidad. Aprender a instalar y configurar dichos servicios. Conocer el concepto de Anywhere Access y la mensajería unificada, incluyendo el nuevo acceso por voz (Outlook Voice Access).  

• HOL-EXC24 Microsoft Exchange Server 2007. Recuperación frente a desastres   -   15 Octubre 08:30-14:30  [registro@informatica64.com  -  Tel: 91 6659998]  
   
  En este seminario se conocerán las nuevas funcionalidades y operaciones que permiten recuperar un servidor Exchange 2007 ante un desastre crítico. Al igual que en las versiones anteriores, se deberá tener en cuenta otros servicios que, por su intrínseca relación con Exchange, es necesario incluir en el plan de recuperación. Exchange Server 2007 ahora ofrece una entorno mucho más estable, fiable y sencillo de recuperar que en versiones anteriores, además incluye nuevas funcionalidades como LCR (Local Continuous Replication) y CCR (Cluster Continuous Replication). 

• HOL-EXC25 Microsoft Exchange Server 2007. Migración desde Microsoft Exchange Server 2000 y 2003   -   16 Octubre 08:30-14:30 [registro@informatica64.com  -  Tel: 91 6659998]
   
  En este seminario se identificarán las tareas necesarias para realizar el proceso de migración de una organización Exchange 2000 o 2003 hacia Exchange Server 2007. Para escenarios de migración pausados, también es posible hacer coexistir ambos entornos en la misma organización. Exchange Server 2007 aporta una gran cantidad de novedades y mejoras para administradores y usuarios, entre las que se incluyen el fortalecimiento de la seguridad, nuevos procesos de recuperación de bases de datos ante desastres con LCR y CCR, Mensajería unificada, nuevo acceso por voz (OVA), Control de transporte e higiene de mensajes, mejoras en OWA, etc. 

• HOL-EXC26 Microsoft Exchange Server 2007. Service Pack 1   -   17 Octubre 08:30-14:30 [registro@informatica64.com  -  Tel: 91 6659998]

Después de una larga espera, finalmente ha llegado el correo en donde me anuncian la renovación del MVP para el periodo 2009. Una vez mas, Microsoft reconoce la labor de muchos profesionales en el mundo que disfrutan extendiendo el conocimiento de la tecnología a través de publicaciones, blogs, artículos, eventos, webcasts, etc.

Gracias a todos por este nombramiento. Seguiremos trabajando para que el conocimiento sea accesible para cualquiera.

Atentamente.

Joshua Sáenz G.
MVP Windows Server System - Exchange Server

El próximo día miércoles 10 de septiembre estaremos realizando este Webcast en Microsoft TechNet en donde comentaré el procedimiento de actualización de un cluster de buzones de Exchange Serverf 2007 en modo CCR a Service Pack 1.

Como seguramente hayais comprobado, el procedimiento no se realiza desde el asistente de instalación, sino desde la consola de comandos, por lo tanto requiere que comprobemos ciertos componentes y configuraciones antes de iniciar las tareas. Todos los detalles los indicaré durante el Webcast, pero si quereis ir avanzando, podeis ir al artículo que escribí hace unas fechas, en el cual está basado este Webcast.

También haré la demo de la actualización, para que aquellos que todavia no habeis actualizado, lo veáis y sepáis como hacerlo sin problemas.

La URL del registro para el evento es: http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032383534&EventCategory=4&culture=es-ES&CountryCode=ES

Saludos a todos y os espero.

Continuando con la configuración de preferencias, ahora os quiero hablar de algunas opciones avanzadas que podemos configurar.

Comienzo con la lista de variables de sistema que podemos presentar en pantalla y utilizar en aquellas preferencias que requieran de configuraciones vinculadas a la carpeta del sistema, el escritorio del usuario actual, etc. Todos sabemos que la variable %WindowsDir% corresponde a la carpeta de instalación de Windows, mientras que %SystemDir% corresponde a la carpeta System32 o que %DesktopDir% es la carpeta de escritorio del usuario actual, sin embargo, es probable que no conozcamos todas las variables de sistema disponibles.

Por ejemplo, si estamos creando una preferencia para agregar una carpeta personal en el escritorio de cada usuario, pero no conocemos la variable que debemos utilizar, entonces en las propiedades generales, seleccionamos el campo de ruta (path) y pulsamos la tecla F3 para mostrar la lista de variables disponibles.

En este caso seleccionamos DesktopDir y la variable se inserta en la ruta de la carpeta que queremos crear. Ahora solo nos falta poner el nombre a la carpeta como tal.

Otras características avanzadas interesantes son las llamadas opciones comunes. Todas las opciones de preferencias, tanto aquellas de configuración de Windows como las relacionadas con el Panel de Control, tienen una etiqueta denominada Common cuando abrimos las propiedades. Con las opciones comunes podemos controlar el procesamiento de la preferencia, así como establecer filtros basados en características del equipo o pertenencia a grupos.

Las primeras opciones que vemos son:

• Parar el procesamiento si ocurre un error: Por defecto, si ocurre un error durante el procesamiento de un elemento, se siguen procesando los siguientes elementos configurados en la misma extensión. Si queremos que esto no ocurra y que se interrumpa el procesamiento, entonces debemos habilitar esta opción. Otras GPOs no se ven afectadas, por lo tanto continuarán su procesamiento normal.
• Ejecutar en el contexto de seguridad del usuario que haya iniciado sesión (Opción para políticas de usuario): Las preferencias se ejecutan por defecto bajo Local System, por lo tanto si queremos que se pueda acceder a los recursos del usuario, como impresoras, discos de red, etc. es necesario habilitar esta opción.
• Eliminar el elemento cuando no se aplique mas: Al contrario que sucede con las directivas de seguridad, el procesamiento de las preferencias no elimina la configuración cuando se elimina la GPO asociada. Esta opción cambia este comportamiento y permite que se eliminen las configuraciones de preferencias cuando se elimina la GPO.
• Aplicar una sola vez y no volver a aplicar: Las Preferencias se procesan junto con el procesamiento de las GPOs en intervalos regulares, por lo tanto, si un usuario ha cambiado una configuración, durante el siguiente procesamiento, ésta configuración volverá al estado que se indique en la preferencia en la GPO. Si queremos que la configuración solo se aplique una vez y que los usuarios puedan a partir de ahí cambiar dicha configuración, entonces habilitaremos esta opción.
• Filtrado a nivel de elemento: El filtrado determina a que usuarios y equipos se les va a aplicar las preferencias configuradas.

Con el botón Targeting, configuraremos los filtros de aplicación. Lo primero que observamos cuando accedemos es una pantalla que nos va a permitir editar los filtros. Se pueden aplicar más de un filtro a cada elemento de configuración y se pueden seleccionar operaciones lógicas para aplicar al filtro.

Podemos configurar un conjunto de preferencias pero solo aplicarlas a un subconjunto de equipos o usuarios de nuestra organización, por ejemplo, equipos portátiles, equipos con una versión de sistema operativo determinada, o equipos que cumplan con una serie de requisitos de software instalado antes de aplicar la preferencia. La lista de elementos configurables es muy amplia y nos aporta muchísima flexibilidad para prácticamente cualquier entorno o escenario corporativo.

Por ejemplo, si quisiéramos que una configuración de preferencia, solo se aplique a aquellos equipos con Windows Vista instalado y con al menos 2 GB de RAM y 5 GB de espacio en el disco del sistema, lo haríamos de la siguiente forma:

• Seleccionamos New Item > Operating System con las opciones de edición predeterminadas.
• Seleccionamos New Item > RAM y escribimos 2048 en el campo de texto
• Seleccionamos New Item > Disk Space y escribimos 5 en el espacio libre y seleccionamos System en la letra de la unidad.

Con el botón Item Options, podemos cambiar un AND por un OR o un IS por un ISNOT, alterando así las condiciones de aplicación. En nuestro caso, lo dejamos con las opciones AND e IS en los tres elementos y obtenemos un resultado como el siguiente:

Una vez finalizada la configuración, pulsamos en OK para cerrar la pantalla de edición.

Como podéis observar, la configuración de las preferencias es extremadamente sencilla, pero muy potente y flexible. En definitiva, disponemos de una nueva herramienta centralizada para configurar los sistemas de forma rápida y sencilla, con la lógica y los filtros necesarios para establecer configuraciones granulares en entornos corporativos.

Mi compi Chema Alonso me envió por correo la noticia del proyecto Mojave, en donde se pone a prueba a un conjunto de personas el desconocimiento de Windows Vista y en donde nos damos cuenta de cómo el ser humano se deja llevar por las apariencias y comentarios que escucha, en vez de averiguar las cosas por uno mismo. En el proyecto se pregunta a los participantes si les gusta Windows Vista y porqué. Todos indican aspectos negativos del Sistema operativo y hasta le dan calificaciones de 0. Posteriormente se les muestra la supuesta nueva versión de Windows, llamada "Mojave" y se les enseña las novedades como busqueda indexada, control parental, Media Center, etc. y se les vuelve a preguntar si les ha gustado. Al darse cuenta que en realidad en un Windows Vista, algunos no saben donde meterse.

Os lo recomiento:

http://mojaveexperiment.com

Ahora yo me pregunto. Si esto sucede con Windows Vista, que sucedería si hacemos lo mismo con política, religión, ética, etc. Los seres humanos nos dejamos llevar por los rumores y las apariencias y muy pocos ponen empeño en investigar si lo que se dice es cierto o no.

Antes de comenzar la parte más práctica de este artículo, me gustaría explicar que se entiende por preferencia y las diferencias que existen con respecto a las directivas de seguridad.
Normalmente, las empresas y organizaciones requieren la aplicación de dos tipos de configuraciones, configuraciones administradas y configuraciones no administradas. Las configuraciones administradas son aquellas que se fuerzan en su aplicación y no se permite su modificación por parte de los usuarios, por ejemplo, bloquear el acceso al panel de control. Las configuraciones no administradas son preferencias que se configuran para mejorar la experiencia del usuario y que el sistema se ajuste mejor a su perfil, pero se permite que el usuario modifique la preferencia en cualquier momento. Por lo tanto no tienen un carácter de seguridad, sino de personalización del entorno.

Normalmente, esta personalización del entorno se ha venido realizando hasta ahora mediante la ejecución de scripts durante el inicio o cierre de sesión, o generando imágenes de sistema operativo con las preferencias ya preconfiguradas.

Cuando hablo de preferencias, me refiero por ejemplo a la creación de una carpeta de usuario, creación de entradas de registro específicas, accesos directos en el escritorio u otras ubicaciones, configuración de la impresora predeterminada, etc.

Pues bien, ahora Microsoft y Windows Server 2008 nos ponen las cosas un poco más sencillas a los profesionales de TI, gracias al nuevo conjunto de elementos configurables en las GPOs, llamado preferencias del sistema.

Antes de poder configurar nada vamos a necesitar varios  componentes:

• Un controlador de dominio basado en Windows Server 2008
• Consola de administración de políticas de grupo para Windows Server 2008 o Windows Vista SP1 (en este caso hay que descargarse RSAT)
• Group Policy Preference Client Side Extension (descargable desde aquí)

Solo se pueden administrar las preferencias desde la consola de administración de políticas de grupo que incluye Windows Server 2008 o el conjunto de herramientas de administración para Windows Vista SP1 (RSAT). Sin embargo, vamos a poder aplicar la configuración de preferencias a equipos con Windows XP SP2, Windows Vista, Windows Vista SP1 y Windows Server 2008.
Una de las ventajas que aporta la configuración de preferencias es que no es necesario disponer de aplicaciones que hayan sido diseñadas para “entender” las políticas de grupo, independientemente si  agregamos una entrada de registro o configuramos un archivo .ini.

Antes de que un equipo pueda recibir las configuraciones de preferencias debemos descargar e instalar Group Policy Preference Client Side Extension 

• GPPCSE para Windows XP SP2 - http://www.microsoft.com/downloads/details.aspx?FamilyId=E60B5C8F-D7DC-4B27-A261-247CE3F6C4F8&displaylang=en
• GPPCSE para Windows Vista - http://www.microsoft.com/DOWNLOADS/details.aspx?familyid=AB60DC87-884C-46D5-82CD-F3C299DAC7CC&displaylang=es

Las configuraciones de preferencias se crean de forma muy similar a cualquier otra GPO. Desde la consola de administración de políticas de grupo creamos y vinculamos una nueva GPO en la OU en la que estén los equipos o usuarios que queramos configurar, por ejemplo, vamos a crear una GPO para configurar un acceso directo a una carpeta compartida.

En la consola de edición de la GPO que acabamos de crear, podemos observar que existe una carpeta llamada Preferencias, tanto a nivel de usuario como a nivel de equipo. Dentro de esta carpeta están todos los elementos configurables, agrupados en Configuración de Windows y Configuración del panel de control.

Este tipo de configuración nos va a permitir desde crear, modificar o eliminar carpetas, archivos .ini, o entradas de registro, hasta configurar los perfiles de energía, impresoras u opciones regionales.

Por fin tenemos un entorno totalmente configurable desde el Directorio Activo, sin necesidad de crear complicados scripts de inicio de sesión.
En este ejemplo, vamos a crear un acceso directo a nivel de usuario por lo tanto seleccionamos Shortcuts con el botón derecho y hacemos clic en New > Shortcut.
Se abre la siguiente pantalla, en donde configuraremos las opciones del acceso directo.

• Action: Create
• Name: Carpeta compartida (o cualquier otro nombre)
• Target type: File System Object
• Location: Desktop
• Target Path: \\nombre_servidor\NOMBRE_CARPETA

El parámetro Location es dónde queremos que aparezca el acceso directo, mientras que el Target Path es la ruta hacia la carpeta compartida. También podemos crear accesos a aplicaciones, por ejemplo, la calculadora. En ese caso podríamos lo siguiente:

• Action: Create
• Name: Calculadora
• Target type: File System Object
• Location: Desktop
• Target Path: C:\Windows\System32\calc.exe

Si le queremos pasar argumentos a la aplicación, los escribimos en el campo Arguments de la pantalla.

Una vez creada la configuración de preferencia, cerramos la pantalla de edición de la GPO y esperamos unos minutos a que el Controlador de Dominio se sincronice y a continuación ejecutamos gpupdate /force en el cliente Windows Vista para forzar la descarga de la nueva directiva. Observaremos que en el escritorio aparece el acceso directo que acabos de crear. Si no aparece automáticamente podemos presionar F5 para actualizar el escritorio y cerrar y volver a iniciar la sesión.

En el próximo post hablaré de las opciones de configuración avanzada que nos permiten las directivas de preferencias.

En muchas ocasiones nos encontramos con esta situación: Un usuario limitado que necesita ejecutar una aplicación en su equipo con privilegios administrativos, pero no queremos que conozca las credenciales de otro usuario administrador.

En Windows Vista, con UAC habilitado podemos hacer que por defecto el sistema ejecute una aplicación como administrador (Propiedades del acceso directo > Avanzado > Ejecutar como administrador), o si no, simplemente con el botón derecho seleccionamos el menu Ejecutar como Administrador...

En ambos casos, el sistema solicitará la contraseña del administrador. Pero si no queremos indicarle al usuario cuales son estas credenciales, entonces que opciones tenemos.

La primera opción es otorgarle permisos administrativos directamente al usuario, sin embargo ésto no es recomendable ya que estaríamos dándole más privilegios de los que realmente necesita y podíra ejecutar acciones que no queremos, por ejemplo, instalar programas o modificar la configuración del equipo. Otra opción es modificar manualmente los permisos necesarios tanto a nivel de archivos como de registro para que la aplicación se pueda ejecutar correctamente. Esto puede ser viable siempre y cuando el producto se mantenga mas o menos estable, es decir, que con una actualización no se altere la estructura de permisos necesarios. Además tendríamos que averiguar qué carpetas, archivos y claves de registro requiere acceso la aplicación, por lo tanto el trabajo necesario puede llegar a ser bastante laborioso. Las herramientas Filemon, Regmon y ProcessExplorer de Microsoft Sysinternals, nos pueden ayudar en estas tareas.

Pero nos queda una última opción gracias a la combinación del programa runas.exe y el uso de accesos directos.

Por ejemplo, si queremos hacer que un usuario limitado ejecute Internet Explorer como un administrador, pero sin tener que introducir las credenciales cada vez que inicia el programa, haríamos lo siguiente:

1. Crear un nuevo acceso directo a Internet Explorer en el escritorio (u otra ubicación)
2. En la linea de ejecución del asistente escribimos: runas.exe /user:Administrator /savecred "C:\Program Files\Internet Explorer\iexplore.exe"
3. Escribimos el nombre del acceso directo, por ejemplo "Internet Explorer Admin" y lo guardamos.

Cuando ejecutemos el acceso directo por primera vez, el sistema nos solicitará las credenciales del usuario Administrador, pero gracias al parámetro /savecred, la contraseña se almacena localmente y no se volverá a solicitar, permitiendo así que un usuario limitado ejecute una aplicación como un administrador, sin tener que conocer previamente las credenciales administrativas.

Si, vamos un poco más alla, podemos hacer que un usuario limitado pueda cambiar las propiedades del Firewall de Windows Vista, o abrir una consola administrativa. El procedimiento es similar al anterior y la única diferencia es la línea de ejecución que tendrá el acceso directo:

• runas.exe /user:Administrator /savecred "mmc.exe C:\AdminCon.msc" (Si la consola administrativa AdminCon.msc está ubicada en el disco C:)
• runas.exe /user:Administrator /savecred "control.exe /name Microsoft.WindowsFirewall"

Si el usuario administrativo no es local, sino un usuario de dominio, entonces cambiamos /user:Administrator por /user:DOMINIO\USUARIO_ADMINISTRADOR

A continuación os dejo la lista de subelementos del panel de control que podemos ejecutar directamente desde la línea de comandos o desde un acceso directo:

A pesar de esto, hay que tener en cuenta que este procedimiento no impide que un usuario limitado modifique el acceso directo y ejecute otros componentes o aplicaciones que no queremos que ejecute, por lo tanto, es recomendable utilizar esta alternativa sólo si se puede garantizar que el usuario no tenga acceso a otros componentes o a ejecutar otras aplicaciones, por ejemplo, limitando su acceso mediante políticas de grupo o modificando las ACE en el acceso directo.

No se si alguien habrá tenido que eliminar algún buzón desconectado en Exchange Server 2007, pero desde la consola gráfica ya no es posible ejecutar esta acción. Lo que en Exchange Server 2003 se resolvía con un simple clic en purgar con el botón derecho en el buzón desconectado que queriamos eliminar, lo cierto es que con Exchange 2007 la cosa se ha complicado un poquito.

Para empezar tenemos que averiguar el GUID del buzón, para ello ejecutamos lo siguiente:

• Get-MailboxStatistics | where-object { $_.DisconnectDate -ne $null } | Select DisplayName,MailboxGuid

Ahora borramos el buzón haciendo referencia al GUID

• Remove-Mailbox -Database <Database-Name> -StoreMailboxIdentity <MailboxGuid> -confirm:$false

Tambien podemos seleccionar un grupo de buzones, guardar el resultado en una variable y eliminarlos todos en un solo paso

• $buzones = Get-MailboxStatistics | where-object { $_.DisconnectDate -ne $null } | Select DisplayName,MailboxGuid
• $buzones | ForEach { Remove-Mailbox -Database "Mailbox Database" -StoreMailboxIdentity $_.MailboxGuid -confirm:$false }

Otra de las tareas que no se exponen en la consola gráfica es la actualización de la lista de buzones desconectados (lo que conocíamos como agente de limpieza en Exchange Server 2003). Para ello debemos ejecutar el cmdlet clean-mailboxdatabase <Nombre_de_base_de_Datos>.

Gracias a Anderson Patricio por la información. Saludos y hasta el próximo post.

Recientemente, me preguntaron como podríamos crear nuestros propios scripts de powerShell firmados digitalmente, por ejemplo para uso en organizaciones Exchange Server 2007.

Pues bien, la firma digital se aplica de forma muy sencilla. Lo primero que necesitaremos es un certificado emitido con el propósito de firma de código. El certificado puede ser autofirmado o emitido por una Entidad Certificadora de confianza. (Si es para uso interno de la organización, una Entidad Certificadora de empresa es igualmente válida).

Además debemos instalar el certificado con el que vamos a firmar en el perfil del usuario que realiza la firma. Podemos comprobar los certificados existentes e imnportar nuevos certificados desde la consola MMC de certificados.

Si queremos generar un certificado autofirmado podemos hacerlo con la herramienta makecert, disponible en el SDK de .Net Framework 2.0. Los siguientes ejemplos muestran como se puede crear una entidad certificadora de ámbito local y a continuación un certificado firmado por dicha entidad.

• makecert -n "CN=Entidad Certificadora local para PowerShell" -a sha1 -eku 1.3.6.1.5.5.7.3.3 -r -sv root.pvk root.cer -ss Root -sr localMachine

• makecert -pe -n "CN=Usuario de PowerShell" -ss MY -a sha1 -eku 1.3.6.1.5.5.7.3.3 -iv root.pvk -ic root.cer

Una vez que tenemos el certificado instalado correctamente, ejecutaremos el siguiente cmdlet para firmar los scripts de PowerShell

• $cert = Get-ChildItem -path cert:\CurrentUser\my -CodeSigningCert
• Set-AuthenticodeSignature MiPrimerScript.ps1 -cert $cert

Más información en:

• http://technet.microsoft.com/en-us/library/bb978642(TechNet.10).aspx
• http://msdn.microsoft.com/es-es/library/bfsktky3(VS.80).aspx

Durante los días 11 y 12 de junio de este año 2008 estuvimos apoyando a Microsoft en la feria de seguridad Infosecurity, celebrada en el Palacio de Congresos de Madrid. A mi me tocó perparar algunas charlas y demostraciones de Exchange Server 2007 y Forefront Server Security, siempre desde el enfoque de la seguridad.

También estuvieron por alli mis compañeros Chema Alonso y Pedro Laguna, con una charla desarrollada en el lejano país de Pitufolandia (con disfraz y todo). Yo como no tenía disfraz, me puse la camiseta de Technet y a dar mis charlas. Para aquellos que os interese el tema, aqui os dejo las presentaciones que utilicé durante las dos jornadas y algunas fotos del evento.

• Conferencia Forefront Server Security
• Conferencia Exchange Server 2007 SP1