lunes, 30 de enero de 2012

Reenvío y recopilación de eventos (y III)

Esta es la tercera y última parte de este artículo sobre cómo realizar el reenvío y recopilación de eventos de un equipo Windows, la primera parte se puede localizar en este enlace y la segunta en este otro enlace.

En las dos anteriores partes he indicado cómo configurar el equipo de origen para que acepten las peticiones de Administración remota de Windows (WinRM) y cómo configurar el equipo recopilador para añadirle una suscripción de evento del equipo de origen.

En esta tercera parte voy a comprobar que todo el conjunto funciona correctamente generando un evento manual y verificando que se muestra correctamente en la suscripción.

El primer paso es generar un evento de forma manual mediante el comando eventcreate desde la consola de simbolo de sistema. El comando completo que he usado para este artículo es eventcreate /ID 50 /L System /SO igalvit.es /T Error /D "Generando un error de prueba." tal y cómo se muestra en la siguiente figura.

Ilustración 1. Generación de un evento de forma manual
 El segundo paso es comprobar que en el equipo recopilador que se ha recibido el evento generado en el equipo de origen. Para comprobarlo simplemente es necesario abrir el visor de eventos de este segundo equipo para comprobar en la carpeta Eventos reenviados si aparece el registro del evento mencionado tal y cómo se muestra en las siguientes dos figuras.

Ilustración 2. Verificación del evento generado en el equipo recopilador
Ilustración 3. Detalles del evento generado manualmente
Por último y para dar por terminado este artículo os indico un par de enlaces que sirven para profundizar en los conceptos que he estado mostrando estos días.

 
 
 




domingo, 29 de enero de 2012

Reenvío y recopilación de eventos (II)

Continuo con la segunda parte de este artículo sobre cómo realizar el reenvío y la recopilación de los eventos de un equipo Windows, la primera parte se puede localizar en este enlace.

En la anterior parte mostré como configurar el equipo de origen para permitir las peticiones de Administración remota de Windows (WinRM) y en este segunda parte mostraré cómo configurar el equipo recopilador.
El primer paso es configurar la utilidad del colector de eventos de Windows (Wecutil) en el equipo recopilador para permitir su ejecución. En el caso de este tutorial utilizaré el modo de configuración rápida, pero al igual que siempre indico este no es el método más recomendado para un sistema en producción.

Para realizar este paso se debe ejecutar el comando wecutil qc desde una consola de simbolo de sistema con privilegios tal y como se muestra en la siguiente figura.

Ilustración 1. Ejecución del comando wecutil
El segundo paso es crear un suscripción a los eventos que se desea recibir del equipo origen, para ello se debe abrir la consola de visor de eventos y una vez se haya seleccionado la carpeta Suscripciones se deben hacer clic con el botón derecho del ratón y seleccionar la opción Crear suscripción tal y como se muestra en la siguiente figura.

Ilustración 2. Creación de una suscripción
Una vez se ha seleccionado la opción de Crear suscripción se abre una ventana de dialogo donde se pueden configurar todos los aspectos de la suscripción. Para este artículo se han configurado los aspectos que se muestras en la figura siguiente.

Ilustración 3.  Propiedades de una suscripción
Los campos de Nombre de suscripción y Descripción son lo suficientemente autodescriptivos para no necesitar mayor explicación.

Ilustración 4. Nombre y descripción de la suscripción
El despleglable de Registro de destino permite seleccionar en qué archivo de registro se van a almacenar los eventos recopilados, en el caso de este artículo se ha dejado el valor por defecto que es el registro de Eventos reenviados.

Ilustración 5. Selección del regisotr de destino
En la tercera sección denominada Tipo de suscripción y equipos de origen, he seleccionado la opción más sencilla de configurar que es que sea el equipo recopilador el que proporcione la suscripción. Para ello es necesario seleccionar el botón de radio con el título Iniciada por el recopilador y hacer click sobre el botón Seleccionar equipos.... Una vez esto aparecerá un cuadro de dialogo dónde se permite localizar la cuenta en Directorio Activo del equipo de origen haciendo clic en el botón Agregar equipos de dominio tal y cómo muestra la siguiente secuencia de figuras.

Ilustración 6. Adición de equipos de origen a la suscripción

Ilustración 7. Selección de equipo de origen
Ilustración 8. Ventana de equipos de origen añadidos
Una vez se ha añadido el equipo a la suscripción es deseable realizar una comprobación previa para asegurarse que el equipo de origen es accesible desde el equipo receptor. Para ello se debe hacer clic sobre el botón Probar.

Ilustración 9. Prueba de conexión con el equipo origen
Si las prueba es correcta se mostrará un mensaje como el de la siguiente figura.

Ilustración 10. Prueba de conexión con el equipo origen correcta
Lo siguiente que es necesario hacer es seleccionar los tipos de eventos que se desean recopilar, para lo que se debe hacer clic sobre el botón Seleccionar eventos... y generar el filtro tal y como se muestra en la siguiente figura.

Ilustración 11. Filtro de eventos de la suscripción
Lo último que queda pendiente por realizar para completar la suscripción es cambiar las credenciales que va a disponer de los permisos de lectura necesarios en los registros de eventos de origen, en el caso de este artículo se ha configurado la cuenta de Administrador del dominio, algo que logicamente no es nada recomendable en un entorno de producción.

Ilustración 12. Cambio de las credenciales de acceso a los registros de eventos
Y con esta última tarea se habrá completado la configuración de la suscripción en el equipo recopilador de evento.

Ilustración 13.  Visor de eventos con la suscripción generada.
En la última entrega de este artículo verificaré el correcto funcionamiento de la suscripción generando un evento manualmente en el equipo de origen y verificando que es reenviado al equipo recopilador.

sábado, 28 de enero de 2012

Reenvío y recopilación de eventos (I)

En este artículo voy a realizar una breve introducción al reenvío y recopilación de eventos de un equipo Windows hacía otro que actuará de almacen. Como viene siendo habitual en los últimos tiempos dividiré el artículo en varias entregas, en este caso serán tres.

Para este laboratorio he preparado un Windows 2008 R2 Server Core que actua como controlador de dominio y un equipo con Windows 2008 R2 Enterprise que será el equipo que reciba los eventos del primero según se puede ver en la siguiente figura.
Como ya sabeís Windows Server Core es un entorno muy espartano, tanto que no tiene ni tan siquiera la consola del visor de eventos.
Ilustración 1. Ausencia visor de eventos Windows Server Core
Si bien es cierto que se puede abrir la consola desde otro equipo y conectarse al primero esto es practico cuando tienes pocos equipos que revisar pero imaginate el trabajo cuando se trate de una cifra un poco alta. También es cierto que en el mercado existen productos de terceros que realizan estas funciones de forma transparente y totalmente automátizada pero, como casi todo lo bueno, tienen un coste economico importante.
Ilustración 2. Visor de eventos en remoto
El primer paso es configurar en el equipo de origen el Servicio de administración remota de Windows (WinRM) para que permita la admisión de solicitudes de otros equipos. Para ellos debemos abir una consola de simbolo de sistema con elevación de privilegios tal y como se muestra en la siguiente figura.
Ilustración 3. Elevación privilegios simbolo de sistema
El comando winrm quickconfig que se muestra en la siguiente figura permite configurar WinRM de la forma más simple y sencilla. Este método es aceptable para este tutorial pero desde luego no debería ser a forma en la que se configure un entorno de producción.
Ilustración 4. Configuración rápida de WinRM
Con este paso doy por finalizada esta primera entrega del artículo. En la siguiente explicaré como configurar el equipo recopilador.

martes, 17 de enero de 2012

Windows Server 2008 R2. Generando un bosque de Directorio Activo (y III)

En esta tercera parte del laboratorio vamos a depromocionar el segundo controlador de dominio llamado SRV2 mediante el método desatendido. Las anteriores partes de este tutorial se encuentran en los siguientes enlaces para la parte primera y la parte segunda.


Lo primero es generar el fichero de texto que va a permitir depromocionar el controlador de dominio. Para este laboratorio el contenido de ese fichero es el siguiente:

[DCINSTALL]
UserName=Administrador
UserDomain=OLIMPO
Password=Passw0rd
AdministratorPassword=Passw0rd
RemoveApplicationPartitions=yes
RebootOnCompletion=yes


Este fichero se debe copiar en la maquina que se va a depromocionar como controlador de dominio en el bosque que se ha creado. Como siempre mi elección personal es ubicarlo en la raíz de la unidad C con el nombre de fichero "desatendido.txt":

Ilustración 1. Fichero para la depromoción desatendida

La ejecución del comando es la misma que se ha usado hasta ahora para el proceso de promoción mediante el siguiente comando:

dcpromo /unattend:desatendido.txt


Ilustración 2. Comando para lanzar la instalación desatendida
Por último, una vez se haya completado el proceso,  se podrá ver desde la consola gráfica de administración que vuelve a existir tan solo un controlador de dominio.
Ilustración 3. Consola gráfica mostrando un solo controlador de dominio

Ya para terminar este tutorial os dejo un par de enlaces que tratan la instalación desatendida de un controlador de dominio sobre Windows 2008 Server Core.
http://technet.microsoft.com/en-us/library/cc758390(WS.10).aspx
http://www.windowsnetworking.com/kbase/WindowsTips/WindowsServer2008/AdminTips/ActiveDirectory/PromotingServerCoretoaDomainController.html

lunes, 16 de enero de 2012

Windows Server 2008 R2. Generando un bosque de Directorio Activo (II)

Continuamos con esta segunda parte del tutorial de este laboratorio. Puedes encontrar la primera parte en este enlace.
Ahora que ya hemos generado este primer controlador de dominio, vamos a preparar el fichero de instalación desatendida para la segunda maquina. En este caso es un nuevo controlador de dominio dentro del mismo dominio.


Para la realización de este tutorial, se ha utilizado un fichero con el siguiente contenido:

[DCINSTALL]
UserName=Administrador
UserDomain=OLIMPO
Password=
SiteName=Sitio-Olimpo
DatabasePath="%systemroot%ntds"
LogPath="%systemroot%ntds"
SYSVOLPath="%systemroot%sysvol"
InstallDNS=yes
SafeModeAdminPassword=
ConfirmGC=yes
RebootOnCompletion=yes
ReplicaOrNewDomain=Replica
ReplicaDomainDNSName=olimpo.local


Para este segundo controlador de dominio la secuencia de pasos a seguir después de la generación del fichero difiere ligeramente. Lo primero que vamos a hacer es cambiar la configuración DNS de esta segunda máquina para que su primer servidor DNS sea la IP del primer controlador de dominio que hemos creado anteriormente, de lo contrario no el sistema operativo no será capaz de encontrar el controlador de dominio SRV1.



A partir de aquí, los pasos son exactamente iguales que para el primer controlador de dominio. Una vez copiado el fichero de instalación desatendida que hemos generado para este segundo controlador de dominio lanzamos el comando siguiente:

dcpromo /unattend:desatendido.txt


Una vez se reinicie el controlador de dominio ya se habrá completado la instalación de este segundo controlador de dominio y podemos ver de forma visual la infraestructura que se ha desplegado desde las herramientas de administración que tengamos instaladas en una tercera maquina que tenga una instalación completa de Windows 7 o Windows 2008.

Con esto doy por terminada la segunda parte de este laboratorio y queda pendiente la tarcera parte donde depromocionaremos un controlador de dominio.


domingo, 15 de enero de 2012

Windows Server 2008 R2. Generando un bosque de Directorio Activo

Una de las posibilidades que más me gustan de Windows Server 2008 Core es su uso para controladores de dominio por dos motivos principalmente:
  • Mantenimiento reducido. Un sistema operativo más pequeño y que tiene menos funciones necesita menos mantenimiento de parches y actualizaciones y sobre todo es más seguro porque reduce su superficie de ataque precisamente al tener menos funcionalidades.
  • Sistema «anti-manazas». Es triste decir esto pero, sin animo de entrar en polemicas, en casi todas las organizaciones existen «especialistas» que por una razón u otra disponen de acceso privilegiado a la infraestructura sin tener claros los conceptos de administración y gestión de un Directorio Activo, lo que suele acabar en la ejecución de tareas de recuperación de desastres.
Pasando al asunto de este artículo, en este microtutorial voy a explicar la forma de crear un nuevo bosque de Directorio Activo en modo Windows 2008 R2 y posteriormente añadir un controlador de dominio adicional a este nuevo dominio usando dos maquinas virtuales sobre las que he desplegado Windows 2008 R2 Core.

Este tutorial presupone que el usuario ha instalado el sistema operativo en las máquinas y tiene configuradas las tarjetas de red de ambas maquinas y la máquina se encuentra actualizada al último nivel, es decir, las maquinas están preparadas para comenzar con las tareas de creación del bosque de Directorio Activo.

El esquema final esperado es el siguiente:

Ilustración 1. Esquema laboratorio bosque W2k8 R2 Core
Antes de comenzar quisiera comentar que el «Asistente para la instalación de Servicios de Directorio Activo» (dcpromo.exe) no admite un entorno gráfico de trabajo en los sistemas Windows 2008 Server Core por lo que se es necesario completar su ejecución en modo desatendido o añadiendo todos los parámetros junto con el comando, lo que me parece un autentico suplicio por lo que en este laboratorio vamos a ver la opción de instalación desatendida.
El primer paso es crear el fichero de instalación desatendida especifico, en este caso, para generar el nuevo bosque. En este tutorial el contenido del fichero es el siguiente:

[DCInstall] 

InstallDNS=yes
NewDomain=forest
NewDomainDNSName=olimpo.local
DomainNetBiosName=olimpo
SiteName=Sitio-Olimpo
ReplicaOrNewDomain=domain
ForestLevel=4
DomainLevel=4
DatabasePath="%systemroot%ntds"
LogPath="%systemroot%ntds"
RebootOnCompletion=yes
SYSVOLPath="%systemroot%sysvol"
SafeModeAdminPassword=*

Este fichero debemos copiar en la maquina que va a ser el primer controlador de dominio del nuevo bosque de Directorio Activo. Mi opción personal es colocarlo siempre en la raíz de C: con el nombre de fichero "desatendido.txt".

Ilustración 2. Fichero de instalación desatendida
Posteriormente, una vez iniciada la sesión en la mencionada máquina, desde la consola de terminal que se abre se debe teclear el siguiente comando:

dcpromo /unattend:desatendido.txt

Ilustración 3. Comando para lanzar la instalación desatendida
Ilustración 4. Proceso de instalación desatendida (I)
Ilustración 5. Proceso de instalación desatendida (II) 
Ilustración 6. Proceso de instalación desatendida (III)
Ilustración 7. Proceso de instalación desatendida (IV)
Ilustración 8. Proceso de instalación desatendida (V)
Una vez completado el proceso, la máquina se reiniciará de forma automática y ya dispondremos del primer controlador de dominio de nuestro bosque.

Y con esto termino esta primera parte del tutorial.