Category Archives: SBS

Microsoft Security Bulletin MS08-067 – Critical

Por Daniel Seveso (de http://blogs.technet.com/latam)

En Octubre del 2008, Microsoft liberó un update que soluciona una vulnerabilidad en el servicio de Server.

Esta semana hemos recibido varios llamados por nuevos virus (malware) de importante impacto, que explotan esta vulnerabilidad. Al momento de su detección, estos nuevos virus no estaban incluídos en las últimas firmas de antivirus comerciales.

Por lo tando querímos simplemente reforzar el mensaje que, si aún no lo has hecho, es muy importante instalar este hotfix de seguridad en todas las plataformas afectadas.

Para saber si tienes el update instalado, consultas en el panel de control "Add or Remove Programs". Por ejemplo en Windows 2003, luego de marcar la opción "Show updates" verás "Security Update for Windows Server 2003 (KB958644)"

 

 

Pueden revisar el siguiente artículo por información detallada y descarga del hotfix. Encontrarán información para profesionales de tecnología como para usuarios hogareños.

Guia de Migración de SBS 2003 a SBS 2008

Microsoft publicó recientemente la guia de migración de SBS 2003 a SBS 2008. Por lo que pude leer entrelíneas, es una guía paso a paso muy completa.

Pueden encontrar la descarga en:

Migrating to Windows Small Business Server 2008 from Windows Small Business Server 2003

Otros links recomendados:

 

Saludos,
Pablo D. Vernocchi
Microsoft Exchange MVP
MCSE + M / MCSE + Sec
https://mvp.support.microsoft.com/profile/Pablo

Best Practices Analyzer para SBS

Hola a todos, les dejo algunos vínculos de interes del reciente lanzamiento de la herramienta de mejores prácticas para SBS:

http://blogs.technet.com/sbs/archive/2007/10/16/sbs-now-has-a-best-practices-analyzer.aspx

http://www.microsoft.com/downloads/details.aspx?FamilyId=3874527A-DE19-49BB-800F-352F3B6F2922&displaylang=en

http://support.microsoft.com/kb/940439

Pablo Vernocchi
Microsoft Exchange MVP
MCSE + M / MCSE + Sec
https://mvp.support.microsoft.com/profile/Pablo

Reinicio lento en servidores Exchange 2000/2003 instalado en Domain Controllers

Una falla muy conocida en Exchange 2003, instalado en Domain Controllers, es su lento apagado. Resulta que el problema es causado porque los servicios de Active Directory se detienen antes que los de Exchange. Como todos ya sabemos, Exchange se apoya fuertemente en nuestra estructura de AD, y avisa a AD cuando se va a detener. En ese momento, Exchange no puede contactarse con AD y es por eso que demora bastante en apagarse, ya que se detienen por TimeOut.

Existen varios procedimientos para solucionarlo que van desde modificar la registry hasta correr scripts antes del apagado, aunque la verdadera solución y recomendación es no instalar Exchange en Domain Controllers.

Vamos a ver todas las alternativas.

1) Cambios en la registry:

Existe una clave en la registry ubicada en: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control llamada WaitToKillServiceTimeout. Este parámetro indica el tiempo en milisegundos que el sistema operativo esperará que un servicio se dentenga antes de “matarlo”.

Lo recomendado es configurar ese valor en 120000. Esta solución no es la más recomendable ya que detiene abruptamente los servicios y puede causar corrupción en las bases de datos.

USUARIOS DE SBS2003: esta clave ya viene configurada por defecto, y a veces su valor es demasiado bajo, lo que puede causar que las bases de Exchange se corrompan. Microsoft lanzó un Workaround.

Services may stop abruptly when you shut down or restart a Windows Small Business Server 2003-based computer
http://support.microsoft.com/default.aspx?scid=kb;en-us;839262

—————————————————–

2) Scripts al shutdown:

La mejor manera de atacar este problema es deteniendo los servicios de Exchange antes del proceso de shutdown del servidor. Acá tenemos tres opciones:

————————–

 2.1) Lee Derbyshire escribió un archivo .bat que muestra un menú antes de apagar. Es un proceso manual antes de apagar el servidor, y su contenido es:

@ECHO OFF
ECHO.
ECHO Please select…
ECHO.
ECHO R – Reboot
ECHO S – Shut Down
ECHO A – Abort Shutdown
ECHO Q – Quit
ECHO.

CHOICE /C RSAQ

IF ERRORLEVEL 4 GOTO END
IF ERRORLEVEL 3 GOTO ABORT
IF ERRORLEVEL 2 GOTO SHUTDOWN
IF ERRORLEVEL 1 GOTO REBOOT
IF ERRORLEVEL 0 GOTO END
GOTO END

:ABORT
shutdown /a
GOTO END

:REBOOT
SET PARAM=/r
GOTO STOPSERVICES

:SHUTDOWN
SET PARAM=/s
GOTO STOPSERVICES

:STOPSERVICES
ECHO ON
net stop MSExchangeES /y
net stop MSExchangeIS /y
net stop MSExchangeMTA /y
net stop MSExchangeSA /y
net stop WinHttpAutoProxySvc /y
shutdown %PARAM% /t 10 /c “TO ABORT, RE-RUN BATCH FILE AND PRESS A”

:END

Lo que muestra una ventana así:

————————–

 2.2) La siguiente opción que tenemos es adjuntar un .bat a una policy de shutdown del servidor. Esta opción es más compleja, pero mucho más segura.

Como primer paso debemos escribir un archivo de texto con el siguiente contenido:

net stop MSExchangeES /y
net stop MSExchangeIS /y
net stop MSExchangeMTA /y
net stop MSExchangeSA /y
net stop WinHttpAutoProxySvc /y

Luego lo renombramos con extensión .bat y armamos la policy.

 Para ello vamos a incio –> ejecutar –> gpedit.msc y luego presionamos aceptar.
 Expandimos Computer Configuration –> Windows Settings –> Scripts (Startup/Shutdown) y hacemos doble clic en Shutdown:

 Hacemos clic en el botón add:

 Escribimos la ruta en donde guardamos el archivo bat:

 Y quedará así:

 

Aceptamos la ventana y ya quedará configurada. 

————————–

 2.3) La última opción es adjuntando un VBScript a una policy de shutdown del servidor. El efecto y resultado es el mismo que en la anterior opción:

Como primer paso debemos escribir un archivo de texto con el siguiente contenido:

servername = “localhost”
 set wmi = getobject(“winmgmts://” & servername)
 StopService (“Microsoft Exchange System Attendant”)
 StopService (“IIS Admin Service”)
 StopService (“Netlogon”)

Sub StopService (ServiceName)
         wql = “select state from win32_service ” _
               & “where displayname='”& ServiceName & “‘”
         set results = wmi.execquery(wql)
         for each service in results
            if service.state = “Running” then
             service.stopService
            end if
          next
End Sub

Luego lo renombramos con extensión .vbs y armamos la policy de la misma manera que la anterior, pero cambiando el nombre del archivo por el vbs que creamos recientemente.

 

Saludos,
Vernocchi Pablo

Directivas de Destinatarios

En esta oportunidad cubriremos aspectos básicos sobre las “Directivas de Destinantarios”.

A través de las directivas podremos configurar globalmente los dominios de Internet que nuestro servidor Exchange aceptará. Además podremos definir la estructura que van a tener las direcciones de correo electrónico al momento de su creación.

Por default, la dirección de correo se forma con el nombre que tiene el buzón (que es el mismo que el nombre de usuario). Pero… ¿qué pasa si mis usuarios inician sesión con un nombre y quiero que sus direcciones de correo sean distintas? Por ejemplo, si mi nombre de usuaro es pvernocchi, y quiero que mi dirección de correo sea pablo.vernocchi@dominio. ¿Tengo que hacerlo uno por uno? La solución la encontrarán en esta nota.

Para empezar, abriremos la consola de Administración de Sistema. Expandiremos destinatarios –> Directivas de destinatario. Ahí encontraremos una ventana parecida a la siguiente:

Si abrimos la directiva por defecto, encontraremos todo lo que expliqué más arriba, y en la solapa dominios, los declarados por los asistentes que hayamos ejecutado anteriormente (Asistente de conexión).

Si entramos a las propiedades de la directiva predeterimanda encontraremos tres solapas.

 

La tercera es para notas administrativas. Entonces, entramos a la segunda solapa, y ahí podremos definir las direcciones de correo. Para eso, haremos doble clic en el dominio predeterminado y, antes de la arroba escribiremos:

%s        La dirección de correo tendrá solo el apellido     vernocchi@vernocchi.com.ar
%g        La dirección de correo tendrá sólo el nombre     pablo@vernocchi.com.ar
%i         La dirección de correo tendrá sólo la inicial del 2do nombre     d@vernocchi.com.ar

Estas son algunas de las opciones que podremos elegir. Por supuesto se pueden combinar y poner %g.%s@vernocchi.com.ar y mi dirección de correo sería pablo.vernocchi@…

Bien, con eso ya tenemos resuelto la primer parte de nuestro desafío. Pero… ¿qué pasa si nuestra compañía tiene 3 sucursales con distinto nombre de dominio?
Supongamos el siguiente escenario:
Argentina: dominio @empresa.com.ar
España: dominio @empresa.com.es
Mexico: dominio @empresa.com.mx

Cada país cuenta con un servidor de Exchange. Para eso, tendremos que hacer uso de múltiples directivas y, a través de LDAP, decirle: si tu buzón está en España, tu cuenta de correo debe ser %g.%s@dominio.com.es . Parece medio críptico, pero en realidad nos llevará un par de clics.

Por cuestiones de esta demo, haremos sólo una:

Hacemos clic con el botón secundario –> nuevo –> Directiva de destinatario

Seleccionamos que sea de “Direcciones de correo electrónico”

Le damos un nombre descriptivo y hacemos clic en Modificar:

Se abrirá una ventana de búsqueda, donde podremos definir en qué servidor están alojados los buzones

Luego de aceptar ese cuadro de diálogo, saldrá la siguiente advertencia:

 

 

Y el filtro LDAP ya está creado automáticamente. Lo único que queda es definir los dominios y la estructura de la dirección de la cuenta, para ello abriremos la política creada recientemente:
 

Vamos a nueva y seleccionamos dirección SMTP:

Seleccionamos el formato que queremos:

Ahora tendremos que activarla y configurarla como predeterminada:

Al aceptar la ventana, nos preguntará si queremos aplicar esta nueva regla al filtro que configuramos previamente:

Y con eso termina este breve repaso de Directivas de Destinatarios.

Saludos,
Vernocchi, Pablo

Cómo determinar la cantidad de Cals instaladas en un SBS 2000?

Parece una simpleza, pero no mucha gente sabe dónde se le ocurrió a MS poner la cantidad de Cals instaladas en un sistema con SBS 2000!!!

Basta con abrir la consola del administrador, a la derecha aparece un link que dice “Acerca de…” ahi aparecen las licencias.

Porqué no lo pusieron en el Panel de Control?

Saludos,
Vernocchi, Pablo

Como hacer backup de nuestro servidor

Como primer nota en este blog decidimos dedicarla a un tema muy crítico (que ha costado puestos de IT), como el backup.

Generalmente, TODOS los administradores dicen tener un backup pero, ¿anda? Es más que importante hacer pruebas de restauración.

Aquí explicaremos brevemente como hacer un backup bien desatendido. Para aquellos esenarios donde no hay personal de IT en las PyMES, y el cambio de cintas está a cargo de la secretaria.

Para empezar, iniciaremos la herramienta de copia de seguridad incluída con Windows (ntbackup).
Como segundo paso, haremos la selección de archivos y carpetas que queremos hacerle copia. En fundamental seleccionar el System State (o Estado de Sistema), para hacer un backup del Active Directory (si es DC), registry, dlls, etc.

Ese set de configuraciones, lo guardaremos en un directorio llamado C:\Backup, bajo el nombre que uds. prefieran.

Luego iniciaremos un Bloc de Notas y copiaremos el siguiente texto:

for /f “Tokens=1 Delims=/ ” %%i in (‘date /t’) do set daytag=%%i
for /f “Tokens=2-4 Delims=/ ” %%i in (‘date /t’) do set datetag=%%i/%%j/%%k
for /f “Tokens=1″ %%i in (‘time /t’) do set timetag=%%i
set dtt=%timetag% on %daytag% %datetag%

C:\WINNT\system32\rsm.exe refresh /LF”SEAGATE DAT 9SP40-000 SCSI Sequential Device

C:\Backup\sleep 30

C:\WINNT\system32\ntbackup.exe backup “@C:\backup\Backup.bks” /n “%computername% %dtt%” /d “%computername% %dtt%” /r:no /rs:no /hc:on /m normal /j “%computername% %dtt%” /l:s /v:yes /p “4 mm DDS” /um

C:\WINNT\system32\rsm.exe eject /PF”%computername% %dtt% – 1″ /astart

——————

Lo que está en negrita tiene que ser modificado con los datos que obtendrán de su sitema:

Para Windows 2000:
Hacer clic con el botón secundario del Mouse sobre “Mi PC”, seleccionar “Administrar”.
Expandir “Medios de almacenamiento extraíbles”,
Expandir “Ubicaciones físicas”
Hacer clic con el botón secundario del Mouse sobre la unidad de Backup,
Copiar el contenido del campo “Nombre” y pegarlo luego del: C:\WINNT\system32\rsm.exe refresh /LF (el nombre de la unidad va entre comillas “ “),
Hacer clic en la solapa “Medios”

Para Windows 2003:
Modificar todas las entradas que digan “C:\Winnt” por “C:\Windows”
Hacer clic con el botón secundario del Mouse sobre “Mi PC”, seleccionar “Administrar”.
Expandir “Almacenamiento de almacenamiento extraíbles”,
Expandir “Bibliotecas”
Hacer clic con el botón secundario del Mouse sobre la unidad de Backup,
Copiar el contenido del campo “Nombre” y pegarlo luego del: C:\WINNT\system32\rsm.exe refresh /LF (el nombre de la unidad va entre comillas “ “),
Expandir “Grupos de medios”
Expandir “Backup”
Modificar el valor en %dtt%” /l:s /v:yes /p “4 mm DDS” /um, por el que informe la pantalla

(respetar espacios entre los caracteres!!).

———-

Una vez completado esto, pues lo único que hacemos es guardar los cambios y renombrar el archivo como .bat.

Luego, hacemos una tarea programada desde el Panel de Control y listo!! Nuestro backup quedaría funcionando (si no le pifiamos a nada!!).

Saludos, y espero que les haya servido.
Vernocchi, Pablo