Archivos Mensuales: enero 2012

Setup Failed to Install ADAM.\r\n (0x80074e46)

Untitled - Copy

A continuación veremos un poco de Troubleshooting para solucionar el mensaje de error: Setup Failed to Install ADAM.\r\n (0x80074e46) que se puede producir durante la instalación de Forefront TMG. 

Como ven el mensaje de error es poco intuitivo y además no nos dice por donde deberíamos de empezar a buscar o que información debemos buscar para obtener mas información, así que les comentaré los pasos que seguí para resolver el problema.

Ambiente:

Acá estamos instalando sobre un HP ML150 G6, con Windows Server 2008 R2 Estándar y Forefront TMG 2010 también estándar.

Recopilando Información:

Bueno como ya dije antes, el mensaje no es muy intuitivo lo único que podemos reconocer en el error es la palabra ADAM lo cual sabemos que en Windows Server 2008 cambio a AD LDS el cual es un rol indispensable para TMG ya que sobre el montaremos el Storage con la configuración de nuestro ambiente, por lo que buscaremos en esta ruta %windir%\debug el registro de eventos de instalación para obtener mas información.

Analizando la Información:

Con el log en mano, veamos que dice:

Untitled2

Como verán hay un par de eventos que se repiten constantemente: The trust relationship between this workstation and the primary domain failed y The wizard could not access the registry.

Troubleshooting:

Bueno para el primer mensaje (The trust relationship between this workstation and the primary domain failed) hay un comando que podemos usar para verificar la relación de confianza entre el equipo y su dominio, seria algo así: nltest /sc_verify:midominio.com veamos la salida de este comando:

Untitled3

Como ven en la salida de nltest la relación de confianza esta bien establecida, así que en este punto podríamos descartar esa opción.

Acá solo nos queda analizar que aplicaciones o configuraciones de nuestro sistema operativo nos podrían estar denegando el acceso al registro, por lo que apuntamos a dos posibles opciones, anti-virus (si existiera) y el AUC.

Solución:

Al menos en mi caso deshabilitando el anti-virus y el AUC me dejo instalar sin problemas, luego buscando información para documentar este post encontré una entrada del equipo de ISA Server / TMG donde explican algunos otros escenarios donde se podría producir este error, el link sería este:

http://blogs.technet.com/b/isablog/archive/2010/07/07/troubleshooting-error-setup-failed-to-install-adam-r-n-0x80074e46-and-0x80070643-while-trying-to-install-tmg-2010.aspx

Información Adicional:

https://jimcesse.wordpress.com/2011/11/16/como-hacer-troubleshooting/

 

Hasta la próxima !!!

Etiquetado , ,

Server Name: UnKnown

Esta semana para mi ha sido muy peculiar ya que estoy en Nicaragua ayudando en el proceso de implementación de una infraestructura, entre las cuales tenemos AD DS, TS, TMG VPN entre otras cosas…

Me gustaría compartir un Tip rápido acerca de un inconveniente que tuvimos en días atrás… Al hacer NSLOOKUP recibimos “Server Name: UnKnown” como respuesta del DNS Server lo que solucionamos creando en la zona reversa, la sub red en la que estamos trabajando y luego corrimos un IPCONFIG /REGISTERDNS en el servidor para que se volvieran a crear los registro.

 

Hasta la próxima !!!

Etiquetado , ,

Privilegios de Usuario En Active Directory

Group-icon

Cuando hacemos la promoción de un nuevo dominio hay muchas cosas que debemos tomar en cuenta una vez que dcpromo haya finalizado…

Una de las cosas mas frecuentes que en mi experiencia se pasan por alto es la verificación de los privilegios que tienen los usuarios autenticados por ejemplo, el privilegio necesario para agregar equipos al dominio en mi opinión esta tarea debe quedarse en manos del equipo de soporte técnico en su defecto en el administrador de dominio, pero nunca en manos del usuario final, ya que al no tener conocimiento de lo que están haciendo podrían hacer algo inesperado.

En mi humilde opinión, deberíamos de delegar esta función al equipo de soporte técnico por lo que en este post veremos como hacer los cambios necesarios.

Nota: para llevar acabo esta tarea usaremos Group Policy Management y Adsiedit ambas son herramientas poderosas y también se deben manejar mucho cuidado un cambio no deseado con estas herramientas y podemos afectar todo el funcionamiento de nuestra organización AD DS, es recomendado tener un respaldo de las políticas y de nuestro ambiente antes de hacer cualquier cambio sugerido en este tutorial.

1. Editando el Default Domain Policy:

Ingresa al Group Policy Management escribiendo gpmc.msc desde la opción ejecutar, navegaremos por las opciones Forest > Domains acá seleccionamos el dominio con el que queremos trabajar y lo expandimos hasta encontrar la opción que dice Default Domain Policy luego hacemos clic derecho y seleccionamos la opción Edit.

En la nueva ventana llamada Group Policy Management Editor navegamos por las opciones Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment acá hacemos clic derecho > propiedades sobre Add Workstation to domain (a la derecha de la pantalla).

 

User Rights

En la nueva ventana llamada Add Workstation to domain Properties marcamos un check la opción Define these policy settings lo que nos habilitará la opción de agregar o remover usuarios y grupos de esta caracteristica, haciendo clic sobre Add User or Group nos desplegara la ventana clásica de búsqueda de AD DS para seleccionar el usuario o grupo de usuarios a los que les vamos a asignar este privilegio.

 

User Rights2

Bueno hasta acá le asignamos los privilegios a un usuario o grupo predeterminado para agregar maquinas al dominio, obviamente esto no excluye a los domain admin que ya por default cuentan con este privilegio.

 

2. Editando el número máximo de equipos:

En nuestro esquema existe una atributo llamado ms-DS-MachineAccountQuota con el cual controlamos el numero máximo de equipos que el usuario o grupo de usuarios al que le dimos privilegios anteriormente pueden unir a nuestro dominio.

Para editar este atributo desde el menú ejecutar digitamos adsiedit.msc y nos conectamos al default naming context y hacemos clic derecho sobre nuestro nombre de dominio seleccionando la opción de propiedades, en el tab Attribute Editor buscamos la opción que les mencione anteriormente (ms-DS-MachineAccountQuota) luego hacemos clic sobre el botón edit y ponemos el valor que deseamos permitir, por defecto es 10.

 

User Rights3

 

Con estos pasos podemos “personalizar” un poco nuestro directorio activo y así evitarnos algunos dolores de cabeza Sonrisa.

A continuación pueden encontrar mas información:

http://support.microsoft.com/kb/243327/en-us

http://technet.microsoft.com/en-us/library/dd349804(WS.10).aspx

 

Hasta la próxima !!!

Etiquetado , ,

Update 1 Para Forefront TMG 2010 Service Pack 2

El pasado 11 de enero, Microsoft publico el Rollup 1 para TMG Service Pack 2 el cual resuelve unos 12 problemas entre ellos:

 

RU1_TMGSP2

Para obtener mayor información: http://support.microsoft.com/kb/2649961/en-us

 

Hasta la próxima !!!

Etiquetado , ,

WSUS en Ambientes No Active Directory

enable-server-icon

En algunas ocasiones será muy común encontrar ambientes “Mixtos” donde algunas PC’s forman parte de un dominio en AD DS y algunas otras a un grupo de trabajo.

Lo mas importante es que todas las PC’s que estén bajo nuestra red o sub redes se mantengan actualizadas según la políticas que tengamos que aplicar para ese ambiente determinado.

Hoy quisiera compartir una nota rápida acerca de las opciones que tenemos para que nuestros clientes se reporten contra el servidor WSUS:

1. Mediante Política de Grupo (AD DS)

2. Mediante Política de Grupo (Local)

3. Mediante el Registro de Windows

Para este post específico quisiera compartir información general y mas adelante voy a preparar un paso a paso con las opciones mencionadas.

http://technet.microsoft.com/en-us/library/cc720539(WS.10).aspx

http://technet.microsoft.com/en-us/library/cc708449(WS.10).aspx

Me gusta mucho la idea de que para los equipos que no sean miembros del dominio podríamos hacer un Script en VB y aplicarlo de forma masiva con Psexec Sonrisa pero bueno eso será en otra ocasión.

Hasta la próxima !!!

Etiquetado , ,

Vulnerabilidad ASP.Net

File-Types-asp-icon

Desde el paso 29 de diciembre se publico el boletín MS11-100 por parte de Microsoft el cual contiene información sobre varias vulnerabilidades que afectan todas las versiones de .Net Framework, una de ellas permite la ejecución de código, así como la denegación de servicio por medio de peticiones HTTP.

La buena noticia es que si tenemos nuestro servicio de ASP.Net publicado a través de Forefront TMG 2010 y tenemos NIS activado hay una firma que detecta este ataque y lo detiene, tal como se muestra en el siguiente pantallazo:

CVE-2011-3414 1

 

CVE-2011-3414 2

Sin embargo, por defecto la política viene deshabilitada, cosa que se puede corregir haciendo clic derecho sobre la política Configure Signature Properties > General > Override > Enable > Response: Block

Con estos simples pasos ya estaríamos protegiendo todos los servicios que estén detrás de TMG y corran sobre ASP.Net.

Información Adicional:

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3414

http://technet.microsoft.com/en-us/security/bulletin/ms11-100

http://technet.microsoft.com/en-us/security/advisory/2659883

 

Hasta la próxima !!!

Etiquetado , ,