REDUCIR LATENCIA DE CAMBIO DE PASSWORD A TRAVÉS DE OWA EN EXCHANGE 2007

Cuando un usuario cambia su password a través de OWA, se podría notar un período de 15 minutos donde el usuario podría seguir entrando a su correo con su antiguo password y actual por OWA. Sin embargo, los clientes que usen cliente MAPI de Outlook solo podrán accesar y autenticar con su nuevo password.

Esta situación de latencia existe por un tema de diseño por razones de rendimiento de IIS, y la cual es controlada por la siguiente clave de registro:

1. Editar y ejecutar el editor de registros Regedt32 en el servidor de IIS donde el usuario accede OWA.

2. Localizar la siguiente clave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\InetInfo\Parameters

3. En el menu editar, hacer click y agregar un nuevo valor y proceder a incluir el siguiente valor:

Value Name: UserTokenTTL (NOTE: This is case sensitive!)
Data Type: REG_DWORD
Value Range: 0 - 0x7FFFFFFF (NOTE: This unit is in seconds.)

4. Salir del editor de registro. Los cambios tomaran efecto sin reiniciar el computador o cualquier servicio. Sin embargo, recomiendo realizar el reinicio para garantizar el éxito del cambio.

Cuando el requerimiento es hecho al servidor usando autenticación básica, las credenciales de seguridad para el requerimiento son usadas para crear un token de usuario en el servidor. El servidor se hace pasar por este token de usuario cuando acceden los archivos u otros recursos de sistema. El token es almacenado de manera que el logon de Windows toma lugar solo la primera vez que el usuario accede el sistema o después que el token del usuario ha sido removido del cache. Los token de la autenticación de Windows integrada no son almacenados.

Por razones de rendimiento el valor por defecto de este setting es 15 minutos. Es importante asegurarse pesar cuidadosamente las implicaciones de seguridad versus las implicaciones de rendimiento.

HERRAMIENTA DE CAMBIO DE PASSWORD EN EXCHANGE 2007 CON SP3

En un artículo publicado anteriormente en el blog se mostraba como habilitar el cambio de password a través de OWA en Exchange 2007. Sin embargo, con la actualización de SP3 de Exchange 2007 en un servidor 2008 con IIS 7 se puede habilitar el cambio de password en caso de que la cuenta del usuario expire el password. Esta opción es de gran ayuda para personas que pasan por esta situación y no están conectados a la red de la organización y tampoco tienen su cliente Outlook configurado con Outlook anywhere.

El SP3 incorpora una nueva página web SSL para permitir que los usuarios cambien su password a través de OWA. La página le mostrara al usuario el siguiente mensaje “Your password has expired and you must change it prior to signing in to Microsoft Outlook Web Access.” Ver figura 1 y 2.





Esta opción no está habilitada por defecto en Exchange. Algunas organizaciones no permiten cambio de password fuera de la organización o red interna. Para habilitar el cambio de password se recomienda completar los siguientes pasos:

- Conectarse al servidor CAS (Client Access)
- Ejecutar el Regedit y navegar en la siguiente ruta HLKM\SYSTEM\CurrentControlSet\services\MSExchange OWA.
- Crear la siguiente clave DWORD (32-bit) Value called ChangeExpiredPasswordEnabled.
- Asignar el valor a la clave ChangeExpiredPasswordEnabled value: 1.
- Reiniciar el IIS con el siguiente comando IISRESET /NOFORCE.

En el caso de Microsoft Exchange 2010, esta opción viene disponible con el SP1.

Espero les sirva este artículo.

PREPARANDOSE PARA MIGRAR EL DOMINIO Y CONTROLADORES DE DOMINIO A WINDOWS 2008 o WINDOWS 2008R2

Para aquellas personas interesadas en tener una referencia para migrar su dominio o plataforma de controladores de dominio a Windows 2008, aquí les coloco una guía que puede ayudarlos. En primer lugar me gustaría mencionar algunos aspectos de mejoras a nivel de Windows 2008 para el servicio de Directorio Activo que pueden ser aprovechados luego de la migración:

- Soporte IPv6 para DNS
- Cofiguración de servidores RODC (Read Only Domain Controllers)
- Integración y configuración con Windows Server Core 2008
- Plantilla nueva de políticas que puede ser aprovechada con estaciones Windows 7
- Manejo de políticas graneadas de password
- Configuración de replicación DFS-R de SYSVOL
- Nuevas opciones de mantenimiento de la base de datos de directorio para respaldo y recuperación
- Nuevas opciones y características con el nivel funcional de dominio y bosque

En principio es necesario hacer un levantamiento de información de la plataforma de directorio activo de la empresa, para conocer situación actual (usuarios, grupos, equipos, aplicaciones, topología de sitios, redes, etc). Uno de los primeros requisitos es tener como mínimo el nivel funcional del dominio en Windows 2000 Nativo, lo cual significa que todos nuestros controladores de dominio tengan como sistema operativo Windows 2000 o superior con el nivel Service Pack adecuado (SP4 para Windows 2000 y SP2/SP3 para Windows 2003). Sin embargo, debo de mencionar que es recomendable chequear la salud del directorio activo con algunas herramientas, tales como: dcdiag, ultrasound, sonar,etc. Muchas de ellas disponibles en la página de Microsoft y otras en el Support Tools o Resource Kit. Les indico algunos link para que puedan apoyarse:

Microsoft IT Environment Health Scanner
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=DD7A00DF-1A5B-4FB6-A8A6-657A7968BD11&displayLang=en

Microsoft Active Directory Topology Diagrammer
http://www.microsoft.com/downloads/en/details.aspx?familyid=cb42fc06-50c7-47ed-a65c-862661742764&displaylang=en

Microsoft Ultrasound
http://www.microsoft.com/downloads/en/details.aspx?familyid=61acb9b9-c354-e4f98-a823-24cc0da73b50&displaylang=en

Se recomienda altamente instalar y configurar un ambiente laboratorio para realizar el proceso de migración y certificar el proceso. Por ello, utilizar alguna de las herramientas de virtualización e instalar el ambiente. Para el proceso de preparación del dominio y bosque se debe tener privilegios de Domain Admins, Enterprise Admins y Schema Admins. Del mismo modo, usar la media de Windows 2008 o Windows 2008 R2 (Standard, Enterprise, Core, etc.) . A continuación se anexa información de referencia (Versión actual, antes de instalar y comando):


Windows 2000
Windows 2003
•Windows server 2008 Domain Controllers
•Must be run before other adprep commands
Adprep /Forestprep


Windows 2000
•Windows server 2008 Domain Controllers
Adprep /domainprep /gprep

Windows 2003
•Windows server 2008 Domain Controllers
Adprep /domainprep

Windows 2003
•Windows server 2008 RODC
Adprep /rodcprep


Para preparar el bosque (forest), el comando adpred /forestprep se debe correr desde el controlador que posee el rol de Schema Master. Se deben poseer credenciales de Enterprise admins y Schema Admins. Para saber los roles, ejecutar el comando netdom query fsmo. Para preparar el dominio, el comando adprep /domainprep o adprep /domainprep /gppred desde el controlador con el rol de Infrastructure, este comando debe ejecutarse por cada dominio del bosque. Se deben poseer credenciales de Enterprise admins y domain admins. Finalmente para aquellos que quieran configurar e instalar un controlador de dominio RODC, se debe ejecutar el comando desde cualquier equipo o DC con credenciales de Enterprise Admins y Domain Admin adprep /rodcprep. Debe haberse ejecutado los comandos de preparación del bosque y dominio para poder correr el rodcprep. Así mismo, debe existir un controlador de dominio Windows 2008 de escritura. También es válido delegar la promoción de un RODC, haciendo un pre-stage de la cuenta.

Espero este pequeño artículo pueda ayudarlos.

HABILITAR CAMBIO DE PASSWORD EN OWA EXCHANGE 2007 / EXCHANGE 2010

Para aquellos que tienen su OWA publicado en internet para usuarios externos que no pueden venir a la empresa a realizar cambio de password, les indico algunos pasos de como podrían ofrecer una solución:

1. Verificar en la consola Microsoft Exchange en la configuración de servidor del client access la configuración de OWA, entras en la opciones de segmentación y validar si change password esta habilitado.




2. Verificar en el botón opciones de la interfaz de OWA si la opción de change password esta disponible.



3. Verificar si change password esta disponible y realizar pruebas de cambiar el password.

ALGUNAS HERRAMIENTAS UTILES DE SYSINTERNALS

Aprovechando algunas herramientas de mantenimiento y administración, les anexo información de interés sobre algunos comandos de sysinternals. (www.sysinternals.com) que les podrían ser útiles. Entre ellos podemos indicar:

#1 Contig

Existen un número de utilidades de defragmentación para manejar la mayoría de la fragmentación de archivos. Algunos archivos tienen problemas con aplicaciones que defragmentan el disco y por alguna razón u otra no pueden ser corregidos. Es aquí donde tú podrías usar Contig. Es una herramienta simple para defragmentar archivos la cual puede ser útil si tu usa un archivo frecuentemente y sospechas que podría sufrir de algunos problemas de rendimiento debido a la defragmentación.

Contig usa los siguientes argumentos:
• -v prints out information about the operations being performed
• -a analyzes the specified file and return fragmentation information
• -q runs contig in quiet mode; this switch overrides -v if the two are specified together. when quiet mode completes, a summary of the actions performed is displayed.
• -s runs contig with recursive processing of subdirectories to help accommodate wildcards.
• [filename] specifies the path to the file you wish to defragment.
the syntax for using contig to defragment a file on the desktop might look like this:
contig -v "c:\test.docx"
figure a shows the output of contig as run on test.docx.



Figure a

Contig executed on a test file
Contig puede también ser usado para crear un nuevo archivo contiguo especificando el argument –n y el argumento [file name length].

#2 disk2vhd

disk2vhd crea un archive de disco virtual desde un sistema físico para usar con Hyper-V o con Windows 7 o Server 2008 r2.

Los sistemas operativos soportados por disk2vhd son Windows xp sp2, Windows server 2003 sp1 y superior, incluyendo versiones de 64bits de esos sistemas.

Un gran uso de esta utilidad podría ser crear un snapshot de un disco entero para propósitos de respaldo. Hay también opciones que permiten que disk2vhd ser corrido en un línea de comando. Estas opciones pueden ser usadas para script de creación de vhd. Usando la utilidad en esta maner podría permitir usar el programador de tareas para crear un snapshot de un PC en intervalos programados sin la intervención de ningún usuario.

Advertencia: cuando se creen vhds, asegurarse de no anexarlos al mismo sistema desde donde tú los creaste si tu vas a iniciar desde un vhd. Nota: Windows 7 y Windows Server r2 soportan inicio desde un archivo vhd. Haciendo esto se puede causar colisiones de la firma del disco en la base de datos de configuración de inicio.

#3 movefile

Como todos conocemos hay veces cuando los archives necesitan ser movidos o borrados para ayudar a obtener limpieza del pc (malvare/bots/viruses). Algunas veces esto no puede ser hecho porque los archivos están en uso lo cual previene acciones en los archivos hasta que ellos son cerrados o el computador es reiniciado.

Lo que movefile hace proporcionar un api que marca los archivos para mover/renombrar/borrar en el próximo reinicio del sistema Windows. Haciendo esto permitiría que el archivo actué antes que es referenciado por el sistema.

Un ejemplo de borrar un archive en el próximo reinicio sería introducir la siguiente línea de comando:

c:\> movefile test.exe ""

El destino vació “” le dice a movefile borrar el archivo cuando el sistema reinicie. Aunque esto luce muy simple, podría ser una herramienta muy útil para ayudar en la remoción de spyware en el sistema marcando los archivos para borrado o moverlo a un directorio de cuarentena al reiniciar el sistema.

#4 psfile

El conjunto de herramientas de pstools son definitivamente populares y extremadamente útiles, pero una que recientemente he utilizado es psfile. Esta herramienta muestra los archives en un sistema que están abiertos por un sistema remoto por default, pero puede pasársele parámetros para retornar información acerca de sistemas remotos también. Para ver archivos abiertos en un sistema remoto, tipea el siguiente comando:

psfile \\computername -u username -p password [path]

Esta herramienta es una buena manera para chequear los archivos abiertos en los servidores de archivos cuando los usuarios reportan problemas de solo lectura o problemas con archivos abiertos.

# 5 sync

Esta herramienta fue creada para copiar una utilidad de unix que permite limpiar datos de sistemas almacenados en el disco. Haciendo esto se puede ayudar a prevenir problemas con pérdida de información de sistema en el evento de una falla de sistema, y ayuda asegurar la vida de la información de sistema escrita al disco. Esta herramienta puede ser útil dependiendo que tan estable se sienta el sistema. Si el equipo tiende a fallar más de lo que te parece (o si se están probando algunos escenarios), se podría crear una tarea programada para asegurar que la información del sistema es limpiada de regreso al disco una vez por hora o en algún tiempo predefinido.

Otra cosa útil de sync es que los disco ZIP, USB o dispositivos removibles pueden ser limpiados. Se necesitaría privilegios administrativos para hacerlo. Las opciones disponibles para el comando sync son listadas abajo:
• -r to flush removable drives
• -e to eject removable drive
• [drive letter list] to flush only the specified drives

RECOMENDACIONES PARA EL DISEÑO DE DIRECTORIO ACTIVO

Uno de los aspectos importantes cuando se configura o crea por primera vez el dominio de una empresa u organización es aplicar buenas prácticas al ambiente de directorio activo con el fin de garantizar un buen funcionamiento del mismo. No obstante, este artículo tiene la intención de que las recomendaciones indicadas también sean revisadas en ambientes de directorio activo ya existentes. A continuación se indica las recomendaciones:

1. Mantener la simplicidad: es importante mantener las cosas lo más sencillo posible y no buscar de crear complejidades dentro del directorio activo. Sabemos que el directorio activo ofrece muchas bondades y flexibilidades, pero eso no implica que estamos obligados a implementarlas todas. La simplicidad ayuda al mantenimiento del AD, así como la solución de problemas en caso de que aparezcan.

2. Utilizar una topología de sitios apropiado: La simplicidad en la configuración de los sitios de directorio activo también es algo deseable, sin embargo, dependiendo de la complejidad de la organización esto puede cambiar. En empresas pequeñas con una LAN altamente conectada, es posible mantener un solo sitio. No obstante, si la empresa se encuentra dispersa geográficamente con conexiones WAN, seguramente la topología de varios sitios será necesaria. La topología de sitios no representa el tamaño o topología de la red. Cada sitio representa una ubicación lógica de una localidad geográfica donde es necesario tener la presentación de algún o algunos controladores de dominio.

3. Usar controladores de dominio dedicados y al menos dos: no es saludable para un controlador de dominio tener instalado otros roles y servicios que no sean los de directorio activo, ya que puede afectar el rendimiento del equipo, reducir la seguridad y complicar el respaldo y recuperación del servidor. Hay empresas que instalan y configuran otros roles en un controlador de dominio, como lo puede ser: impresión, dhcp, correo, etc. Lo importante es que el controlador de dominio debe estar corriendo en un servidor físico o máquina virtual (es importante leer las consideraciones de instalar un DC en una máquina virtual, http://support.microsoft.com/?id=888794, http://www.microsoft.com/downloads/details.aspx?FamilyID=64db845d-f7a3-4209-8ed2-e261a117fc6b&displaylang=en). De igual manera se recomienda tener al menos dos controladores de dominio por redundancia y alta disponibilidad en caso de fallas.

4. Tener al menos dos DNS: La plataforma de directorio activo depende del servicio de resolución de nombres, el cual es importante, ya que controla la zona del dominio. Por ende, muchas empresas economizan configurando solo un servidor DNS, pero en caso de una falla, el servicio de directorio activo se vería altamente afectado, al igual que los usuarios y servidores. Es necesario, configurar más de un servidor de DNS. En la mayoría de los casos el servicio de directorio activo puede ser combinado con el rol de DNS, lo cual es totalmente válido y recomendado (especialmente si se integra la zona de DNS con el AD).

5. Evitar colocar todos los controladores de dominio en un ambiente virtualizado: la configuración de más de un controlador de dominio como esquema de redundancia y alta disponibilidad es importante y necesario, pero no se debe instalar todos los controladores de dominio en un ambiente virtualizado sobre el mismo servidor físico, ya que si el mismo falla, se verían afectado todas las maquinas virtuales. Es importante tomar en consideración lo mencionado en el punto número 3, así mismo, colocar al menos uno de los controladores de dominio en un servidor físico dedicado.

6. No olvidar y abandonar los roles FSMO: Los roles FSMO (Flexible Single Master Operation) que inicialmente son configurados y asignados al primer controlador de dominio son importantes para el funcionamiento del directorio activo y por ende deben ser consideración para respaldo y configuración. Cuando se poseen más de un controlador de dominio en un mismo sitio, el sitio principal debería alojar dichos roles de manera distribuida entre los controladores de dominio para evitar total afectación en caso de que se encuentre todos en un mismo controlador de dominio. Por ello, se recomienda distribuir los roles de bosque (naming and schema) en un DC y los roles de Dominio (PDC, Infrastructure and RID) en otro DC.

7. Planea tu estructura de dominio y apégate a ella: Cuando el directorio activo es instalado y configurado la estructura del directorio se inicia y manejada cuidadosamente. Sin embargo, con el transcurrir del tiempo, la estructura puede crecer. No sé puede predecir cuánto crecerá la estructura del directorio activo, pero es necesario planificar la misma para tener cierto control de cómo serán utilizada la estructura creada.

8. Definir un plan de administración en sitio antes de iniciar la configuración de los servidores: cuando se configuran los controladores de dominio es importante definir un buen plan de administración, comenzando por preguntarse ¿quién se encargara del directorio activo, personas, equipo u otros? Es necesario definir las responsabilidades y esquemas de delegación antes de completar la configuración de los servidores. Este punto llevara consigo la definición de las políticas de seguridad y los permisos de acuerdo a las responsabilidades definidas.

9. Evitar hacer mayores de cambios de logística: El directorio activo está diseñado para ser extremadamente flexible, permitiendo realizar grandes reestructuraciones sin interrupciones o pérdida de datos. Sin embargo, es recomendable evitar estos cambios mayores sino están justificados, ya que puede traer consecuencias mayores innecesarias. Es importante validar cualquier cambio mayor en un ambiente de laboratorio previamente.

10. Colocar al menos un catálogo global en cada sitio de la topología de directorio activo: Cuando se manejan múltiples sitios en la topología de AD, es recomendable asignar al menos un catálogo global por cada sitio. De esta manera se evita tráfico innecesario entre sitios remoto en búsqueda de información por parte de los clientes.

11. Pensar y diseñar un plan de desastre y recuperación de la plataforma de directorio activo: es importante tomar en consideración que cuando se configura por primera vez el directorio activo, se deben iniciar las primeras actividades para preparar un plan de desastre y recuperación de la plataforma para los distintos escenarios. De esta manera, se podrán realizar simulacros y pruebas para certificar los escenarios considerados.

12. Preparar un ambiente de desarrollo o laboratorio del Directorio Activo: cuando se configura por primera vez un directorio activo, es oportuno preparar un ambiente de laboratorio que sea un replica o casi igual al ambiente de producción, con el fin de probar y certificar cualquier tipo de cambio en la plataforma antes de realizarlo en producción. Este ambiente puede ser virtual.

13. Programar respaldos de la plataforma de Directorio Activo: no se puede pasar por alto realizar el respaldo de los controladores de dominio, una vez que el ambiente de directorio activo empiece a funcionar. Se deben programar los respaldos y certificar los mismos como política de garantía, así como control de calidad.

14. Iniciar las gestiones de monitoreo de la plataforma de directorio activo: para poder tener control de la plataforma y evitar interrupciones que puedan ser prevenidas es necesario utilizar algunas aplicaciones y herramientas para monitorear el funcionamiento del ambiente y evitar acciones reactivas de gran presión.

En esta oportunidad se mencionaron aspectos importantes y relevantes. En próximas entregas se complementara esta información.

Porque migrar a Exchange 2010

Hoy en día las pequeñas y grandes empresas que administran su propia plataforma de correo, tienen el dilema de migrar su actual ambiente de mensajería, independientemente si tienen una versión anterior de exchange (exchange 5.5, 2000 o 2003) o si tienen otro sistema de correo. Lo importante de este artículo es evaluar las ventajas tecnológicas y de costo que puede representar migrar su actual plataforma de mensajería. Para ello mencionaremos algunas de estas razones:

1. Replicación contínua, es una de las características relavante de exchange 2007 y 2010, ya que ofrece nuevos mecanismos de redundancia y alta disponibilidad de las bases de datos de correo, en caso de falla de discos o corrupción de la base de datos. Estos costos son reflejados en los respaldos y horas hombres que se gastan para recuperar una base de datos en caso de dañarse.

2. Virtualización, una de las ventajas y flexibilidad que ofrece el producto es poder virtualizar los servidores por razones de consolidación, reduciendo la necesidad de tener que comprar varios equipos físicos y sumando ventajas que ayudan al ahorro de energía y centro de datos virtualizados.

3. Ahorro de costos en almacenamiento. Una de las nuevas bondades de ahorro de I/O de disco es tener que usar menos redes de almacenamientos costosas como SAN y NAS y buscar más la utilización de arreglos de discos locales.

4. Buzones más grandes, la posibilidad de poder tener buzones más grandes gracias a la arquitectura de crecimiento de las bases de datos que permiten bases de datos de mayor tamaño.

5. Transcripción de correo de voz, la carecterística de integrar la mensajería al sistema de telefonía de voz sobre IP para usar el concepto de bandeja de entrada universal donde el correo de voz y correo normal este disponible desde cualquier lugar se introdujo con Exchange 2007, a traves del rol Unified Messaging. Ahora Exchange 2010 permite recibir mensajes previos de voz transcritos en texto para ahorrar tiempo en escuchar los mensajes. A esto se suma las ventajas de poder administrar el buzón de voz.

6. Reducción de costos en help desk, otra característica que ofrece Exchange 2010 es la posibilidad de que los usuarios puedan realizar gestiones o tareas que no requieran llamadas al help desk, permitiendo delegar algunas tareas a los usuarios y permitir autogestión de algunos requerimientos.

7. Alta disponibilidad, sumando a las características de redundancia a nivel de bases de datos, Exchange también ofrece la posibilidad de poder soportar Failover entre nodos con el rol de mailbox, así como NLB (Netwrok Load Balancing) para otros roles, permitiendo recuperación rápida de la plataforma en caso de falla.

8. Archivamiento Nativo, una de las carencias de las versiones anteriores de exchange es la posibilidad de una solución de administrar el archivamiento, generando complicaciones para la administración de los PST y que requieren de otras herramientas de terceros. Ahora con la llegada del SP1 de Exchange 2010 una solución de archivamiento básica estara disponible.

9. Corriendo en premisa o en la nube, Exchange 2010 ofrece a las organizaciones la opción de poder hospedar parte de los servicios de mensajería en la nube, lo cual puede traer ventajas de desastre y recuperación, así como mayores nivel de seguridad en la plataforma.

10. Facilidad para compartir el calendario, con el servicio de Federation de Exchange 2010, los usuarios podrán compartir sus calendarios y listas de distribución con usuarios externos, permitiendo programar reuniones con socios y clientes como si fueran de la organización.

Aquí tienen varias razones por la cuales pueden tomar la decisión de dar el salto.