Consulta un "IT Pro"

La semana pasada escribí un artículo titulado “Todo lo que necesitas saber antes de comprar Windows 7”, en donde daba una descripción general de todos los aspectos de Windows 7. Luego de publicado recibí por e-mail algunas críticas sobre el artículo, mencionando que lo escrito en éste era demasiado básico. Aunque no me molestan las criticas (al contrario, eso me ayuda a mejorar el contenido presentado en la página), creo que debo aclarar unos puntos sobre esto. Debo admitir que ese artículo lo escribí no necesariamente pensando en una audiencia de “IT Pros”, mas bien para el público en general (para personas no necesariamente relacionadas al campo de la informática, que tienen dudas sobre si deben ó no deben comprar Windows 7 así como cual versión del sistema operativo deben comprar). Sé que esta pagina está enfocada a una audiencia de profesionales de IT y entiendo que algunos de ustedes pensaran así, y me disculpo por la confusión. Pero es que esa es la forma en que me gusta escribir, comenzando desde cero como si la audiencia no supiera nada sobre el tema y manteniendo las cosas de una forma básica y sencilla de manera que todos puedan seguir mi idea. Así que quiero clarificar que no es mi intención que al leer mis artículos te sientas ofendido y pienses “este tipo piensa que yo soy un tonto”, todo lo contrario, me siento honrado y agradecido de que los lean, y pienso que manteniendo las cosas básicas puedo “llegarle” a un grupo más grande de personas.

Pero de igual modo estas críticas me hacen ver que hay una audiencia allá afuera con conocimientos más avanzados y que requieren algo un poco más “técnico”. Es por esto que me he dado a la tarea de escribir este segundo artículo sobre las nuevas características de Windows 7, y lo he combinado con la nueva versión de sistema operativo de servidores que va en conjunto con Windows 7: Microsoft Windows Server 2008 R2 y qué cosas nuevas nos traería a nuestras redes empresariales esa combinación. A continuación las mas importantes nuevas (ó mejoradas) características de estos nuevos sistemas operativos:

Mejoras estéticas y de utilización

Windows 7 cuenta con muchos cambios tanto visuales como de facilidad de utilización. Algunos de estos se implementaron en Windows Vista, pero han sido mejorados y/o perfeccionados en Windows 7. Estos incluyen: El nuevo “Taskbar” mas ancho y renovado el cual agrupa las ventanas abiertas según el tipo de ventana, el “Action Center” que te avisa sobre los posibles problemas en tu sistema y como solucionarlos, el botón de “Aero Peek” y “Show Desktop” con el que puedes momentáneamente ver el desktop mientras haces Aero al poner el mouse sobre el botón ó puedes esconder todas las ventanas al hacerle click a el mismo (el botón está localizado a la extrema derecha del “taskbar”, justo después de la hora y la fecha). También el “Gadget Sidebar” de Windows Vista ha sido eliminado, y ahora puedes colocar los “Gadgets” en cualquier lugar de la pantalla (similar a los “Widgets” de Mac). A esto le sumas su extensa librería de “drivers” y el ser mas liviano y rápido que Windows Vista, entre muchas otras mejoras. En adición, el UAC (“User Access Control”) ha sido modificado para hacerlo mas versátil: ya no solo tienes las opciones de “encendido” y “apagado” como en Windows Vista, sino que ahora tienes 4 opciones ó niveles de seguridad para escoger. Otra nueva adición son las librerías, en donde podrás encontrar música, videos, fotos, y documentos sin importar en que carpeta los hayas guardado. Y para finalizar tenemos el “scripting language” Powershell, que aunque no necesariamente es nuevo, es la primera vez que viene incluido como parte del sistema operativo. Quizás ninguno de estos son cambios “revolucionarios”, pero definitivamente son “evolucionarios” y ayudan a que tengamos una mejor “experiencia de uso” con el sistema operativo.

Hyper-V

La plataforma de virtualización “Hyper-V” fue introducida con el sistema operativo Windows Server 2008 R1 (Release 1), y fue un gran avance en cuanto a tecnologías de virtualización para Microsoft (comparado a las plataformas anteriores: “Virtual PC 2007 SP1” y “Virtual Server 2005 R2”). Sin embargo, aun no contaba con muchas de las funcionalidades de otras soluciones de virtualización en el mercado. Pero con la llegada del “Release 2” de Windows Server 2008 todo esto cambió, ya que Hyper-V ha sido mejorado a gran escala al punto que cuenta con prácticamente las mismas opciones y capacidades que otras plataformas de virtualización tales como VMWARE ó Xen, y a un costo de implementación mucho menor (recientemente hicimos un estudio para una implementación de virtualización, y la misma implementación tenía un costo cuatro veces mayor con VMWARE que con Hyper-V… esta es una diferencia realmente substancial).

DirectAccess

DirectAccess es un nuevo método de conexión remota introducido con Windows 7 y Windows 2008 Server R2. Este le permite a clientes con ediciones del sistema operativo Windows 7 Enterprise y Ultimate que estén ingresados en tu dominio una conexión directa e inmediata a los recursos disponibles en tu red desde cualquier lugar con conexión de Internet, como si este cliente estuviese conectado directamente a tu red corporativa (la rapidez de acceso a los recursos dependerá de la rapidez de tu conexión de Internet, claro está). Además, con el uso de DirectAccess tus clientes móviles permanecerán bajo las reglas y políticas de tu dominio y en comunicación con otros recursos de seguridad de la red tales como servidores de actualización de Windows y consolas de antivirus, como si estuvieran conectados justo desde su escritorio en la empresa. Es como “VPN en esteroides”.

Noten que esta tecnología requiere el uso de servidores Windows Server 2008 R2, así como clientes Windows 7 Enterprise y/o Ultimate para su funcionamiento. También esta tecnología depende grandemente de Ipv6, así que si no te has empapado bien en este tema y planeas utilizar DirectAccess, este es el momento de hacerlo.

VPN Reconnect

Aun cuando Microsoft ha reinventado la conexión remota con el nuevo DirectAccess, no ha dejado de implementar y mejorar otros tipos de conexión remota tradicionales. Un ejemplo de esto lo es “VPN Reconnect”, una mejora a la tradicional Red Privada Virtual (“Virtual Private Network”, ó VPN) en el componente de “Routing and Remote Access Services” (RRAS) de Windows Server 2008 R2.

Esta mejora básicamente consiste en que tu cliente de VPN automáticamente se reconectará en caso de desconectarse temporalmente del Internet. El propósito de esta nueva capacidad es ayudar a los usuarios móviles a mantener la productividad por medio de una “re-conexión transparente” al servicio de VPN. La gente de Microsoft ha desarrollado un documento con instrucciones detalladas sobre como configurar el VPN Reconnect, lo puedes acceder aquí: VPN Reconnect.

Windows Firewall with Advanced Security

El Windows Firewall no es nada nuevo, está disponible desde Windows XP. Lo que sí son nuevas son las muchas mejoras que se le han hecho para Windows 7. El “Windows Firewall with Advanced Security” es un producto mucho mas complejo y maduro que versiones anteriores del Windows Firewall, con una extensa lista de reglas y pólizas de seguridad (tanto de entrada como de salida) que pueden ser modificadas y/o actualizadas en detalle, o puedes añadir tus propias reglas. Es prácticamente como si hubieran metido un “ISA Server” dentro de Windows 7.

BranchCache

Esta es otra nueva adición de Windows 7 y Windows Server 2008 R2. El BranchCache simplemente lo que hace es almacenar un “cache” de contenido de un servidor web lejano en una maquina local, el cual luego es accesado localmente por otras PCs reduciendo así el intercambio de datos a través del WAN. Esto reduce costos de ancho de banda y mejora la funcionalidad de la comunicación en la red, haciendo que funcione mas eficazmente.

Existen dos modos en los que BranchCache puede operar: “distributed cache” y “hosted cache”. El “hosted cache” hace el “cache” de contenido de un servidor web 2008 R2 lejano en un servidor 2008 R2 local, el cual es accedido por otros clientes Windows 7 locales. El “distributed cache” funciona mejor para localidades donde no hay un servidor 2008 R2 disponible, y se hace el “cache de contenido del servidor 2008 R2 lejano en una forma “peer-to-peer”en los clientes Windows 7 locales y es compartido y accedido por estos mismos clientes Windows 7.

Para más información sobre BranchCache pueden visitar la siguiente pagina web: BranchCache

BitLocker

Bitlocker esta disponible desde Windows Vista, pero una vez más ha sido mejorado para Windows 7. Bitlocker es un método de cifrar discos duros y particiones con el fin de proteger tu información personal. La idea es que si alguna persona tuviera acceso a tu PC e intentara acceder tu información (ya fuera entrando al sistema con otro usuario, desde otro sistema operativo con un “live cd” o “live usb”, instalando el disco duro en otra PC como disco esclavo, etc.), esta persona no podrá acceder tus datos sin tu contraseña y/o llave que fue creada al configurar BitLocker. La versión de BitLocker de Windows 7 incluye además “BitLocker to go”, que es lo mismo que la versión original pero para utilizarse con discos duros externos y “usb drives”. Esta función es excelente para quienes trabajan con información sensitiva, y aun más si la llevan consigo en laptops y discos externos. Oficinas gubernamentales, y entidades como universidades y hospitales (que son regidas por leyes federales de protección de información personal) podrían sacarle mucho provecho a esta función del sistema operativo.

AppLocker

Esta es otra nueva función del sistema operativo Windows, la cual le permite a los administradores restringir la instalación y ejecución de programas por medio de políticas de grupo. Si haz utilizado en versiones anteriores de Windows el SRP (“Software Restriction Policies”), sabrás que SRP trabaja con la política de exclusión creando “hash files” que le indican cuales programas restringir. Aunque SRP aun existe en las nuevas versiones del sistema operativo, AppLocker ofrece un ambiente con mayor control y facilidad de manejo para los administradores, ya que trabaja de una manera diferente: este bloquea el acceso a las aplicaciones, con excepción de las aplicaciones que son específicamente permitidas por las Políticas de Grupo de AppLocker. Estas políticas de grupo se pueden basar en diversos factores, haciendo más sencilla la utilización de la función y a su vez manteniendo intacta la seguridad de la red. En adición a esto, los controles de acceso a aplicaciones creados con AppLocker no dejan de funcionar al actualizar la aplicación bloqueada, así que el trabajo “día a día” de AppLocker es mucho mas sencillo que el de SRP. Vale la pena darle prioridad de implementación a esta nueva función del sistema operativo.

Windows XP Mode

Uno de los problemas mas grandes que tuvo Windows Vista y que impidió que muchas empresas actualizaran sus PCs Windows XP fue la incompatibilidad de Windows Vista con aplicaciones de Windows XP. En respuesta a esto, la gente de Microsoft añadió a Windows 7 la función de “Windows XP Mode”. Este es un tipo de modo de compatibilidad que te permite correr en una PC Windows 7 una aplicación de Windows XP (en el caso de que no corra de manera nativa en Windows 7, claro). Esta es una muy buena adición al sistema operativo, especialmente para quienes sufren dicho problema de compatibilidad. Noten sin embargo que este método no es infalible. “Detrás de las cortinas”, al utilizar este “XP Mode” lo que hace el sistema operativo es utilizar tecnologías de virtualización de Microsoft para subir una maquina virtual con Windows XP y correr la aplicación en esa maquina virtual. Es por esto que la PC en que se corra el “XP Mode” no puede ser muy anticuada, ya que debe tener los suficientes recursos para correr la maquina virtual y el hardware debe ser capaz de soportar virtualización. Tomen en cuenta además que esta “instancia” virtual de Windows XP debe ser mantenida como cualquier otra instalación de Windows XP, así que los interminables parchos y actualizaciones de seguridad seguirán siendo necesarias si implementas la utilización de “Windows XP Mode”.

Offline Domain Join

Esta es otra nueva función de Windows 7 y Windows Server 2008 R2 a la cual le sacarán provecho de manera casi exclusiva los Profesionales de IT, especialmente aquellos departamentos de IT en que el ingreso de una PC ó servidor al dominio es responsabilidad de una persona en especifico (como el administrador de la red). El propósito del “Offline Domain Join” es poder ingresar al dominio una PC con Windows 7 ó un servidor con Windows Server 2008 R2 sin la necesidad de conectividad con un “Domain Controller”, a decir verdad, sin la necesidad de estar conectado a la red. Esta función reemplaza la forma habitual de ingreso al dominio (la cual trabajaba estrictamente por medio de una conexión con el ADDS (“Active Directory Domain Services”) y ahora utiliza la creación de un archivo de texto para la máquina a ser ingresada al dominio. Por medio de este archivo de texto la máquina es ingresada al dominio, sin la necesidad de intercambio de comunicación a través de la red con el “Domain Controller”.

Esta nueva función no será de gran utilidad para el usuario común, ó los profesionales de IT que trabajen mayormente con pequeñas redes ó conexiones “Peer-to-Peer”. Pero para los que trabajen día a día con redes de mayor envergadura, estoy seguro que le encontrarán sus usos. Puedes ver mas información sobre “Offline Domain Join” aquí: Offline Domain Join

Y estas son algunas de las mas importantes nuevas (o mejoradas) funciones de Windows 7 y Windows Server 2008 R2. Si hay alguna otra que crees debio ser anadida en esta lista, no dudes en escribirla en los comentarios.

Popularity: 10% [?]

Es bastante común en las redes empresariales el tener que cambiar la configuración TCP/IP de una computadora o servidor, ya sea de IP estático (en la que la dirección de IP de la máquina es siempre la misma) a DHCP (en la que la dirección de IP es variable, asignada por un servidor DHCP al encender la máquina), o todo lo contrario. Normalmente para hacer esto tiene que ir un técnico hasta el área donde se encuentre la PC y hacer el cambio manualmente (buscando las conexiones de red, entrando a sus propiedades, entrando a las propiedades de TCP/IP, haciendo todos los cambios necesarios, aceptando los cambios, y cerrando todas las ventanas que abriste). También se puede conectar remotamente utilizando RDP, VNC, DWMRC, o cualquier otro método de conexión remota, pero además de ser un método algo tedioso, durante el proceso necesitas renovar la comunicación IP y perderás conexión temporeramente (lo cual puede ser un contratiempo incomodo).

Es entonces cuando llegan a nuestra ayuda unos de los mejores amigos de todo administrador de redes: el “scripting” y la línea de comando (o comandos de consola de texto). Estos son tus verdaderos amigos, siempre los echamos a un lado para estar con nuestros nuevos amigos “GUI” y “Conexión Remota”, sin embargo cuando los necesitamos siempre están ahí para ayudarnos… deberíamos darle un poco mas de cariño a estos viejos amigos.

Bueno, volviendo al tema, esta modificación se puede hacer fácilmente escribiendo el siguiente comando netsh en el “Command Prompt”:

netsh interface ip set address “Local Area Connection” dhcp

Este comando cambiara la configuración TCP/IP de dirección IP estática a dirección asignada por DHCP. Esto es asumiendo que tu conexión de red tiene como nombre “Local Area Connection” (que es el que se utiliza por “default”), si el nombre es otro debes modificar el comando según sea necesario. Si no sabes el nombre, lo puedes averiguar con el siguiente comando:

netsh interface ip show config

Si fuera todo lo contrario (o sea, que hay que cambiar la configuración TCP/IP de DHCP a estática), el comando sería el siguiente:

netsh interface ip set address  ”Local Area Connection” static {ip} {subnet}{gateway} {metric}

Por ejemplo, si quieres cambiar la configuración TCP/IP de DHCP a una dirección IP estática utilizando la dirección de IP 192.168.0.10 con subnet 255.255.255.0 y “gateway” 192.168.0.1 con métrica 1, el comando sería:

netsh interface ip set address  ”Local Area Connection” static 192.168.0.10 255.255.255.0 192.168.0.1 1

De esta forma estarás haciendo con un solo comando lo mismo que te hubiera tomado abrir múltiples ventanas y escribir varias configuraciones. Y podemos ir mas allá, podemos escribir el siguiente “batch file” en el notepad:

netsh interface ip set dns “Local Area Connection” dhcp
netsh interface ip set wins “Local Area Connection” dhcp
netsh interface ip set address “Local Area Connection” dhcp
ipconfig /renew

Con este “bachito” podrías reconfigurar las opciones de DNS, WINS, y la dirección de IP de TCP/IP; cambiando las direcciones estáticas por las asignadas por el servidor DHCP.

Y podemos ir aun mas allá. Utilizando la aplicación PSEXEC (parte del conjunto de aplicaciones de administración PSTOOLS de systernals, mas info aquí:  http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx) podemos correr nuestro “bachito” desde la comodidad de nuestro escritorio y desde la consola de comandos de tu PC, sin tan siquiera tener que conectarnos remoto a la maquina. Asumiendo que guardaste el “batch file” en el directorio “system32″ de tu PC bajo el nombre “IPtoDHCP.bat”, solamente  escribirías el siguiente comando:

psexec \\{computadora} -d -c IPtoDHCP.bat

Donde {computadora} es el nombre ó dirección IP de la PC. Nota que el comando “ipconfig /renew” desconectara la PC temporeramente de la red, por lo que te debes de asegurar de que el usuario no esté haciendo nada que requiera una conexión continua a la red.

Y tan tan, con un solo comando en tu computadora cambiaste toda la configuración de TCP/IP de una PC. Este es un ejemplo de las muchas cosas que se pueden hacer por medio de comandos, “batch files” y “scripts”. Muchos piensan que son algo anticuados y que no tienen muchos usos, pero en realidad es una herramienta de trabajo muy potente que facilita muchas de las tareas administrativas diarias de una red. Y esto es aun mas cierto con la llegada de “PowerShell”, pero este ya es otro tema… ;o)

Popularity: 98% [?]

Para los “IT Pros” que, al igual que yo, trabajan en ambientes que son casi puramente basados en Windows, deben saber que el ingreso a tu red de otros sistemas fuera de la “sombrilla microsoft” usualmente se traducen en uno que otro dolor de cabeza para el departamento de IT (por falta de interoperabilidad entre sistemas, poco “expertise” en otros sistemas operativos, etc.). Uno de los ejemplos más usuales de esto en las empresas son los departamentos tales como el de mercadeo,  publicidad, y artes graficas que te dicen “nuestras computadoras tienen que ser Mac, y necesitamos poder accesar los servidores, conectarnos al Internet, acceso a nuestros emails, instalarles MS Office, y conectarme por VPN desde mi casa… y claro, todo eso lo necesito para ayer en la mañana”. Si este es tu caso, una de las situaciones que podrías tener es que no puedas conectarte a un “shared folder” o carpeta compartida de un servidor Windows 2003 desde una computadora Mac.

La razón: Windows 2003 Server tiene una póliza de seguridad que por defecto viene habilitada (”enabled”), la cual hace que todas las conexiones de la red al servidor sean cifradas (”encrypted”). Mac OS no trabaja con conexiones de red cifradas o “encrypted connections” (supuestamente esto fue solucionado en la versión 3 de Samba, pero no en la versión que utiliza OS X), y es muy probable que por esto no te puedas conectar al servidor.

La solución: Tienes que modificar las pólizas de seguridad del servidor para que las conexiones sean cifradas solo si el cliente lo permite.  De este modo el servidor cifrara las conexiones de otras PCs Windows, pero no las de MACs (manteniendo un mejor nivel de seguridad que simplemente apagando la póliza para todos). Haz lo siguiente:

1. En el servidor W2K3, abre la ventana de “Local Security Settings” (Start -> Administrative Tools -> Local Security Policy).

2. En la ventana de “Local Security Settings”, navega en el panel de la izquierda hasta “Local Policies” -> “Security Options”. Una vez ahí busca las siguientes pólizas y modifica su “Security Setting:

• Microsoft network server: Digitally sign communications (always): Disabled
• Microsoft network server: Digitally sign communications (if client agrees): Enable

3. Abre una ventana de “Command Prompt”, escribe el comando gpupdate para actualizar las pólizas de grupo y presiona Enter.

Y listo. Ya debes poder conectar tus MACs a las carpetas compartidas o “shared folders” del servidor. Déjanos saber en los comentarios si este artículo te ha ayudado.

Popularity: 34% [?]

Es probable que ya hayan notado que cuando una PC no puede encontrar su dominio (ya sea porque se desconecto de la red, se apago el “Domain Controller”, etc.), las cuentas de dominio que habian hecho “logon” anteriormente en esa PC aun pueden hacerlo. Sin embargo, aquellas cuentas de domininio que nunca habian hecho “logon” anteriormente en esta PC no podran hacerlo mientras este desconectada del dominio.

Esto se debe a algo conocido como “cached logons”, que es lo siguiente: Cuando un usuario del dominio hace “logon” en una PC y esta cuenta es autenticada por el “Domain Controller”, la misma es almacenada localmente en la PC. De este modo cuando el dominio no esta disponible, los usuarios que ya habian utilizado la PC aun pueden accesar su cuenta (al menos localmente). Por “default” del sistema operativo, se almacenan hasta las ultimas 10 cuentas de usuario de dominio que hayan utilizado la PC.

Para la mayoria de las personas esta cantidad les trabaja muy bien. Pero algunas otras desearian que sus usuarios siempre se autenticaran por medio del dominio (0 “Cached Logons”) mientras otras desearian que muchas mas credenciales de dominio fueran almacenadas localmente (50 “Cached Logons”, por ejemplo). Si uno se estos es tu caso, esto es lo que debes hacer:

1. Abre el “Windows Registry Editor” mediante el comando regedit escrito en la linea de comando “Command Prompt” o en la ventana de “Run…” (Windows XP, Windows Vista, o Windows 7). Tambien lo puedes escribir en el campo de “Start Search” al abrir el “Start Menu” (Windows Vista o Windows 7).

2. Una vez abra el “Windows Registry Editor”, navega por el panel de la izquierda hasta encontrar el siguiente contenedor: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\winlogon y alli encontraras (lo veras en el listado del panel de la derecha) una entrada de registro tipo REG_SZ de nombre cachedlogonscount. Como ya habia mencionado, podras notar que por “default” dice 10 en la Data del mismo.

CachedLogonsCount

3. Una vez hayas encontrado esta entrada de registro, lo unico que tienes que hacer es modificarla segun tu necesidad (ya sea cambiarla a 0 si no quieres que se hagan “Cached Logons” o a 99 si quieres que todas las cuentas de usuarios de dominio que se utilicen en esta PC sean almacenadas localmente.

Recuerda que este cambio de registro se debe hacer en cada PC, por lo que si administras una red bastante grande es recomendable que utilices un “GPO” en tu “Active Directory” o algun otro metodo de automatizacion para trabajar todas las PCs de tu red.

Popularity: 42% [?]

Debido a cambios de seguridad hechos por Microsoft a partir de Windows Vista, la cuenta de Administrador local (Administrator) esta inhabilitada (disable) al instalar el sistema operativo (o sea que existe, pero no puede usarse). Para muchos esto es un problema, por mas de una razon. Si eres una de estas personas, lo unico que tienes que hacer es habilitarla. El proceso es muy sencillo:

1. Abre una ventana de linea de comando o “Command Prompt” con privilegios de Administrador (le das click al boton de la derecha sobre el icono del “Command Prompt” y escoges “Run as Administrator” en el “drop down menu”).

2. Si aparece un mensaje de nuestro querido amigo UAC (User Access Control), haces click en el boton de “Continue”.

3. En el “Command Prompt” escribe el comando net user administrator /active:yes y presiona “Enter”.

Y listo, la cuenta “Administrator” ya esta debidamente habilitada para ser utilizada de la manera que necesites. Recuerda ir al area de configuracion de usuarios para asignarle un “password” y cualquier otra cosa que necesites modificarle.

Popularity: 33% [?]