jueves, 11 de noviembre de 2010

DesInstalar un Programa

Hay ocasiones que no hay manera de desinstalar un software de manera ordenada, con el método que explicaré de momento no se me ha resistido ninguna aplicación y evito instalar programas de terceros.

Está claro que primero se deberían probar los métodos tradicionales, primero ir a "Agregar o quietar programas" o igual de válido ver si el fabricante tiene un programa de desinstalación. Si aún así fallase volvería a intentarlo entrando a modo "Prueba de fallos" (F8 cuando arranca Windows).

Si se resiste el programa deberíamos hacer lo siguiente, abrir un explorar de archivos y poner %systemroot%\installer


De momento ya hemos llegado a la carpeta donde Microsoft deja los programas instalados. Para que nos sea fácil identificar el software instalado debemos añadir alguna columna más descriptiva como "Asunto" y "título", a lo mejor la fecha también podría ayudarnos. Esto se hace dando boton derecho en la barra de títulos de columna como en la imagen siguiente 


Solo nos queda localizar el software y darle botón derecho desinstalar


Si queremos desinstalar un parche usando las herramientas de Microsoft: wusa /uninstall /kb:Num_parche


Si añadimos "/quiet /norestart" lo hara en Background y sin reiniciar.

Hay un link muy interesante de como eliminar de forma segura y control remoto aplicaciones en http://www.bujarra.com/?p=6586#more-6586


GoN. REv v2 Ene 2016

miércoles, 10 de noviembre de 2010

Auditar el AD

Este post nos permitirá sacar informes muy útiles a la hora de hacer una revisión bastante completa de nuestro AD, todas las pruebas realizadas se realizarán con herramientas de Microsoft en la que nos informa que ningún test alterará el estado de nuestra infraestructura.

Observareis que algunos test comparten información lo que no todos la detallan de igual manera.

De momento recomiendo estos 5+1 Test que seguro sorprenden sus resultados y la información mostrada

Test 1: Microsoft IT Environment Health Scanner

De todos los test propuestos este es el que menos datos del AD vamos a extraer, pero he considerado que la información extraida puede ser interesante.





La pantalla siguiente te da opción de parchear el pc, yo la desmarco para no modificar nada






Test 2. Informe General AD y DNS 

Para DNS los datos los extraeremos de nuestro AD con la herramienta DCDIAG y los siguientes parámetros:DCDIAG /test:DNS /DNSALL /e /v 


Para ver mas datos lo mejor es hacer:DCDIAG /e /v /c

Aunque estés logeado como administrador, para asegurarse que las pruebas anteriores se hacen correctamente abrir el cmd de la siguiente manera:



Test 3. Risk and Health Assessment Program for Active Directory
 
Informe de Riesgos y Salud: Risk and Health Assessment Program for Active Directory (ADRAP) – Scoping Tool v1.6




 Empezamos con el Test:


Nos explica que hace cada test:


Nos permite añadir comentarios al informe de cada test específico


Nos descubríra los dominios de nuestro AD y los DC que tenemos


Arranca las pruebas


El "View Log" nos permite ver detalles más técnicos.

No da una primera pantalla general del resultado de las pruebas, en la que podemos seleccionar el servidor que queramos. En la pantalla inferior nos aconsejará de posibles resoluciones.


El "View Log" detallará la información anterior

Finalmente nos formateará un informe detallado de todos los resultados preparado para presentar:

 

También tiene un log de los datos del proceso.





Test 4: Sincronismo del AD 

Para saber si tenemos bien sincronizados nuestros servidores nos puede ayudar mucho el comando W32tm /monitor


Aquí vemos el tiempo que tenemos de diferencia contra nuestro servidor principal (azul) y posibles anomalías (rojas), a parte de un listado de nuestros DC.

Test 5: Último Logon en nuestro AD

Verificar si hay usuarios que en meses o en años no se están autentificando y eliminarlos para evitar agujeros de seguridad. http://gonsystem.blogspot.com/2010/11/ultimo-logon-en-el-ad.html


Test 6: Topologia del AD - Mapa de nuestros DC's

Para complimentar el informe sería de gran ayuda un esquema en formato visio de como están nuestros DC

Test 7: Replicación AD.

Una manera centrarnos en confirmar si se nos están sincronizando bien nuestros DC sería a través del "repadmin"

repadmin /showrepl  -> estado de replicación
repadmin /replsummary -> no ayuda a ver rápidamente si hay errores.
repadmin /syncall  -> Hace un test de replicación
repadmin /kcc  -> Recalcula la topologia

repadmin /replicate -> fuerza la replicación contra un Servidor.

Test 8: Comparar ddbb de AD entre DC.

dsastat.: Compara la base de datos del AD entre diferentes servidores. Que siempre debería ser de igual tamaño.


Verificado en W2003.

GoN Rev v3 Feb. 2015

lunes, 8 de noviembre de 2010

Check AD - DCDIAG

Nos basaremos en la utilidad de Microsoft: DCDIAG

Superada ya la prueba de hacer un ping -a X.X.X.X y nos resuelva el nombre, investigaremos un poco más.

Este es un test muy básico, pero útil, en otros post profundizaré más en algunas otras pruebas con esta herramienta.

Nos da información importante referente al último sincronismo contra nuestro DC principal del AD, número de DC de nuestro dominio… . Para tener una mejor visibilidad de la infraestructura hay que hacer este test desde el servidor encargado de los roles del AC (http://gonsystem.blogspot.com/2010/10/topologia-del-ad.html) contra el que sincronicen nuestros controladores de dominio. Si lo hacemos desde una delegación solo veremos lo que está sincronizado contra ella.

Fragmentos si escribimos "dcdiag" sin parámetros:


Verifica servicios importantes del AD



Algunos comandos que nos pueden ser útiles


DNS
===

dcdiag /test:dns


Capetas compartidas
=================

net share

AD
==

repadmin /viewlist *
repadmin /replsum
repadmin /failcache *
repadmin /showbackup


GON. Update. Dic2015

Check DNS - DCDIAG


Procedimiento para comprobar la salud de nuestro servicio DNS del AD.
Verificará todos los servers que son servidores DNS de nuestro dominio.

Un primer test lo podríamos hacer con el comando DCDIAC con el que tendríamos una primera visión previa y rápida,  en el caso de tener problemas críticos los veríamos rápidamente, no es un test muy completo.

Una buena opción podría ser dcdiag /test:registerindns /dnsdomain:midominio.local /v



Para profundizar en la salud de nuestro AD y en este caso nuestros DNS deberíamos probar el siguiente comando:

DCDIAG /test:DNS /DNSALL /e /v

Con este test que nos salga bastante más información que con test anterior. Para poder centrarnos en los datos lo mejor es que la salida vaya a un txt y luego revisarlo DCDIAG /test:DNS /DNSALL /e /v > resultadoTest”.

Entre otras cosas obtendremos la configuración TCP/IP de nuestros servidores, la MacAddress, que servicios críticos del AD que tiene arrancados, donde reenvían sus consultas DNS, contra quien sincronizan, etc …

Domain Controller Diagnosis

Performing initial setup:
   * Verifying that the local machine DCSRV, is a DC.
   * Connecting to directory service on server DCSRV.
   * Collecting site info.
   * Identifying all servers.
   * Identifying all NC cross-refs.
   * Found 16 DC(s). Testing 16 of them.
   Done gathering initial info.

Ejemplo del resultado de la ejecución de este comando:
Cuando está OK:

Doing initial required tests
  Testing server: OU\Servidor
      Starting test: Connectivity
         * Active Directory LDAP Services Check
         * Active Directory RPC Services Check
         ......................... Servidor passed test Connectivity

Cuando NO está OK:

Testing server: OU\Servidor2
      Starting test: Connectivity
         * Active Directory LDAP Services Check
         * Active Directory RPC Services Check
         The clock difference between the home server ServidorPrincipal and target server
        Servidor2 is greater than one minute. This may cause Kerberos
         authentication failures. Please check that the time service is working
         properly. You may need to resynchonize the time between these servers.
         ......................... Servidor2 passed test Connectivity

Continuamos con el Test….

Doing primary tests
  
   Testing server: OU\Servidor1
      Test omitted by user request: Replications
      Test omitted by user request: Topology
      Test omitted by user request: CutoffServers
      Test omitted by user request: NCSecDesc
      Test omitted by user request: NetLogons
      Test omitted by user request: Advertising
      Test omitted by user request: KnowsOfRoleHolders
      Test omitted by user request: RidManager
      Test omitted by user request: MachineAccount
      Test omitted by user request: Services
      Test omitted by user request: OutboundSecureChannels
      Test omitted by user request: ObjectsReplicated
      Test omitted by user request: frssysvol
      Test omitted by user request: frsevent
      Test omitted by user request: kccevent
      Test omitted by user request: systemlog
      Test omitted by user request: VerifyReplicas
      Test omitted by user request: VerifyReferences
      Test omitted by user request: VerifyEnterpriseRefere

Es normal que nos salga “Test omitted by user request”
Ahora viene cuando nos muestra la información más detallada:

DNS Tests are running and not hung. Please wait a few minutes...
  
   Running partition tests on : ForestDnsZones
      Test omitted by user request: CrossRefValidation
      Test omitted by user request: CheckSDRefDom
  
   Running partition tests on : DomainDnsZones
      Test omitted by user request: CrossRefValidation
      Test omitted by user request: CheckSDRefDom
  
   Running partition tests on : Schema
      Test omitted by user request: CrossRefValidation
      Test omitted by user request: CheckSDRefDom
  
   Running partition tests on : Configuration
      Test omitted by user request: CrossRefValidation
      Test omitted by user request: CheckSDRefDom
  
   Running partition tests on : DOMINIO
      Test omitted by user request: CrossRefValidation
      Test omitted by user request: CheckSDRefDom
  
   Running enterprise tests on : DOMINIO.local
      Test omitted by user request: Intersite
      Test omitted by user request: FsmoCheck
      Starting test: DNS
         Test results for domain controllers:
           
            DC: SERVIDOR1.DOMINIO.local
            Domain: DOMINIO.local
                 
               TEST: Authentication (Auth)
                  Authentication test: Successfully completed
                 
               TEST: Basic (Basc)
                   Microsoft(R) Windows(R) Server 2003, Standard Edition (Service Pack level: 2.0) is supported
                  NETLOGON service is running
                  kdc service is running
                  DNSCACHE service is running
                  DNS service is running
                  DC is a DNS server
                  Network adapters information:
                  Adapter [00000007] HP Network Teaming Virtual Miniport Driver:
                     MAC address is 00:08:02:xx:xx:xx
                     IP address is static
                     IP address: 172.X.X.X
                     DNS servers:
                        172.X.X.X (<name unavailable>) [Valid]
                        172.X.X.X (<name unavailable>) [Valid]
                  The A record for this DC was found
                  The SOA record for the Active Directory zone was found
                  The Active Directory zone on this DC/DNS server was found (primary)
                  Root zone on this DC/DNS server was not found
                 
               TEST: Forwarders/Root hints (Forw)
                  Recursion is enabled
                  Forwarders Information:
                     172.X.X.X (<name unavailable>) [Valid]
                     212.36.X.X (<name unavailable>) [Valid]
                     80.58.X.X (<name unavailable>) [Valid]
                 
               TEST: Delegations (Del)
                  No delegations were found in this zone on this DNS server
                  
               TEST: Dynamic update (Dyn)
                  Dynamic update is enabled on the zone dominio.local.
                  Test record _dcdiag_test_record added successfully in zone DOMINIO.local.
                  Test record _dcdiag_test_record deleted successfully in zone DOMINIIO.local.
                 
               TEST: Records registration (RReg)
                  Network Adapter [00000007] HP Network Teaming Virtual Miniport Driver:
                     Matching A record found at DNS server 172.X.X.X:
                     SERVIDOR.DOMINIO.local

                     Matching CNAME record found at DNS server 172.x.x.x:
                     42aba921-dc7f-421d-97e9-942e1b91b2b1._msdcs.DOMINIO.local

                     Matching DC SRV record found at DNS server 172.x.x.x:
                     _ldap._tcp.dc._msdcs.DOMINIO.local

                 
               TEST: External name resolution (Ext)
                  Internet name www.microsoft.com was resolved successfully

Al final nos hace un cuadro de todos los test pasados y su resultado.
              
         Summary of DNS test results:
        
                                                 Auth Basc Forw Del  Dyn  RReg Ext    ________________________________________________________________
            Domain: Dominio.local
               Server1                    PASS PASS PASS PASS PASS PASS PASS
               Server2                   PASS PASS PASS PASS PASS PASS PASS
              Server3                   PASS WARN PASS PASS PASS PASS FAIL
               Server4                   PASS PASS PASS PASS PASS PASS PASS
               Server5                     PASS PASS PASS PASS PASS PASS PASS
               Server6                    PASS PASS PASS PASS PASS PASS PASS
               Server7                        PASS PASS PASS PASS PASS PASS PASS
               Server8                     PASS PASS PASS PASS PASS PASS PASS
               Server9                     PASS PASS PASS PASS PASS PASS PASS
               Server10                    PASS PASS PASS PASS PASS PASS PASS
               Server11                    PASS WARN PASS PASS PASS PASS PASS
               Server12                    PASS PASS PASS PASS PASS PASS PASS
               Server13                  PASS PASS PASS PASS PASS PASS PASS
               Server14                     PASS PASS PASS PASS PASS PASS PASS
               Server15                     PASS PASS PASS PASS PASS PASS PASS
               Server16                     PASS PASS PASS PASS PASS PASS PASS

Ref Microsoft: http://technet.microsoft.com/en-us/library/cc776854%28WS.10%29.aspx

Otros comandos útilies:

repadmin /viewlist *   -> Sabremos todos los DC que participan en la sincronización-.
repadmin /replsum      -> Sabremos si hay errores de remplicación entre DC
repadmin /failcache *  -> Nos ayuda a ver errores de replicación entre DC
repadmin /showbackup   -> Vemos si están igual de actualizada la DDBB de los DC

Para verificar que todo esté correcto:
https://technet.microsoft.com/en-us/library/cc770432.aspx

Gon Rev v3. Dic2015