Gonsystem: 7/11/10

jueves, 11 de noviembre de 2010

DesInstalar un Programa

Hay ocasiones que no hay manera de desinstalar un software de manera ordenada, con el método que explicaré de momento no se me ha resistido ninguna aplicación y evito instalar programas de terceros.

Está claro que primero se deberían probar los métodos tradicionales, primero ir a "Agregar o quietar programas" o igual de válido ver si el fabricante tiene un programa de desinstalación. Si aún así fallase volvería a intentarlo entrando a modo "Prueba de fallos" (F8 cuando arranca Windows).

Si se resiste el programa deberíamos hacer lo siguiente, abrir un explorar de archivos y poner %systemroot%\installer

De momento ya hemos llegado a la carpeta donde Microsoft deja los programas instalados. Para que nos sea fácil identificar el software instalado debemos añadir alguna columna más descriptiva como "Asunto" y "título", a lo mejor la fecha también podría ayudarnos. Esto se hace dando boton derecho en la barra de títulos de columna como en la imagen siguiente

Solo nos queda localizar el software y darle botón derecho desinstalar

Si queremos desinstalar un parche usando las herramientas de Microsoft: wusa /uninstall /kb:Num_parche

Si añadimos "/quiet /norestart" lo hara en Background y sin reiniciar.

Hay un link muy interesante de como eliminar de forma segura y control remoto aplicaciones en http://www.bujarra.com/?p=6586#more-6586

Ref: http://support.microsoft.com/kb/927395/es

GoN. REv v2 Ene 2016

miércoles, 10 de noviembre de 2010

Auditar el AD

Este post nos permitirá sacar informes muy útiles a la hora de hacer una revisión bastante completa de nuestro AD, todas las pruebas realizadas se realizarán con herramientas de Microsoft en la que nos informa que ningún test alterará el estado de nuestra infraestructura.

Observareis que algunos test comparten información lo que no todos la detallan de igual manera.

De momento recomiendo estos 5+1 Test que seguro sorprenden sus resultados y la información mostrada

Test 1: Microsoft IT Environment Health Scanner

De todos los test propuestos este es el que menos datos del AD vamos a extraer, pero he considerado que la información extraida puede ser interesante.

La pantalla siguiente te da opción de parchear el pc, yo la desmarco para no modificar nada

Ref: http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=dd7a00df-1a5b-4fb6-a8a6-657a7968bd11

Test 2. Informe General AD y DNS

Para DNS los datos los extraeremos de nuestro AD con la herramienta DCDIAG y los siguientes parámetros:DCDIAG /test:DNS /DNSALL /e /v

Ref: http://gonsystem.blogspot.com/2010/11/check-dns-dcdiag.html

Para ver mas datos lo mejor es hacer:DCDIAG /e /v /c

Aunque estés logeado como administrador, para asegurarse que las pruebas anteriores se hacen correctamente abrir el cmd de la siguiente manera:

Test 3. Risk and Health Assessment Program for Active Directory

Informe de Riesgos y Salud: Risk and Health Assessment Program for Active Directory (ADRAP) – Scoping Tool v1.6

Empezamos con el Test:

Nos explica que hace cada test:

Nos permite añadir comentarios al informe de cada test específico

Nos descubríra los dominios de nuestro AD y los DC que tenemos

Arranca las pruebas

El "View Log" nos permite ver detalles más técnicos.

No da una primera pantalla general del resultado de las pruebas, en la que podemos seleccionar el servidor que queramos. En la pantalla inferior nos aconsejará de posibles resoluciones.

El "View Log" detallará la información anterior

Finalmente nos formateará un informe detallado de todos los resultados preparado para presentar:

También tiene un log de los datos del proceso.

Ref: http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=22205827-c164-4b62-9f8d-c3cd6077bd82#QuickDetails

Test 4: Sincronismo del AD

Para saber si tenemos bien sincronizados nuestros servidores nos puede ayudar mucho el comando W32tm /monitor

Aquí vemos el tiempo que tenemos de diferencia contra nuestro servidor principal (azul) y posibles anomalías (rojas), a parte de un listado de nuestros DC.

Test 5: Último Logon en nuestro AD

Verificar si hay usuarios que en meses o en años no se están autentificando y eliminarlos para evitar agujeros de seguridad. http://gonsystem.blogspot.com/2010/11/ultimo-logon-en-el-ad.html

Test 6: Topologia del AD - Mapa de nuestros DC's

Para complimentar el informe sería de gran ayuda un esquema en formato visio de como están nuestros DC

Ref: http://gonsystem.blogspot.com/2010/10/topologia-del-ad.html

Test 7: Replicación AD.

Una manera centrarnos en confirmar si se nos están sincronizando bien nuestros DC sería a través del "repadmin"

repadmin /showrepl -> estado de replicación
repadmin /replsummary -> no ayuda a ver rápidamente si hay errores.
repadmin /syncall -> Hace un test de replicación
repadmin /kcc -> Recalcula la topologia

repadmin /replicate -> fuerza la replicación contra un Servidor.

Test 8: Comparar ddbb de AD entre DC.

dsastat.: Compara la base de datos del AD entre diferentes servidores. Que siempre debería ser de igual tamaño.

Verificado en W2003.

GoN Rev v3 Feb. 2015

lunes, 8 de noviembre de 2010

Check AD - DCDIAG

Nos basaremos en la utilidad de Microsoft: DCDIAG

Superada ya la prueba de hacer un ping -a X.X.X.X y nos resuelva el nombre, investigaremos un poco más.

Este es un test muy básico, pero útil, en otros post profundizaré más en algunas otras pruebas con esta herramienta.

Nos da información importante referente al último sincronismo contra nuestro DC principal del AD, número de DC de nuestro dominio… . Para tener una mejor visibilidad de la infraestructura hay que hacer este test desde el servidor encargado de los roles del AC (http://gonsystem.blogspot.com/2010/10/topologia-del-ad.html) contra el que sincronicen nuestros controladores de dominio. Si lo hacemos desde una delegación solo veremos lo que está sincronizado contra ella.

Fragmentos si escribimos "dcdiag" sin parámetros:

Verifica servicios importantes del AD

Algunos comandos que nos pueden ser útiles

DNS

===

dcdiag /test:dns

Capetas compartidas

=================

net share

repadmin /viewlist *

repadmin /replsum

repadmin /failcache *

repadmin /showbackup

GON. Update. Dic2015

Check DNS - DCDIAG

Procedimiento para comprobar la salud de nuestro servicio DNS del AD.

Verificará todos los servers que son servidores DNS de nuestro dominio.

Un primer test lo podríamos hacer con el comando DCDIAC con el que tendríamos una primera visión previa y rápida, en el caso de tener problemas críticos los veríamos rápidamente, no es un test muy completo.

Una buena opción podría ser dcdiag /test:registerindns /dnsdomain:midominio.local /v

Para profundizar en la salud de nuestro AD y en este caso nuestros DNS deberíamos probar el siguiente comando:

DCDIAG /test:DNS /DNSALL /e /v

Con este test que nos salga bastante más información que con test anterior. Para poder centrarnos en los datos lo mejor es que la salida vaya a un txt y luego revisarlo “DCDIAG /test:DNS /DNSALL /e /v > resultadoTest”.

Entre otras cosas obtendremos la configuración TCP/IP de nuestros servidores, la MacAddress, que servicios críticos del AD que tiene arrancados, donde reenvían sus consultas DNS, contra quien sincronizan, etc …

Domain Controller Diagnosis

Performing initial setup:

* Verifying that the local machine DCSRV, is a DC.

* Connecting to directory service on server DCSRV.

* Collecting site info.

* Identifying all servers.

* Identifying all NC cross-refs.

* Found 16 DC(s). Testing 16 of them.

Done gathering initial info.

Ejemplo del resultado de la ejecución de este comando:

Cuando está OK:

Doing initial required tests

Testing server: OU\Servidor

Starting test: Connectivity

* Active Directory LDAP Services Check

* Active Directory RPC Services Check

......................... Servidor passed test Connectivity

Cuando NO está OK:

Testing server: OU\Servidor2

Starting test: Connectivity

* Active Directory LDAP Services Check

* Active Directory RPC Services Check

The clock difference between the home server ServidorPrincipal and target server

Servidor2 is greater than one minute. This may cause Kerberos

authentication failures. Please check that the time service is working

properly. You may need to resynchonize the time between these servers.

......................... Servidor2 passed test Connectivity

Continuamos con el Test….

Doing primary tests

Testing server: OU\Servidor1

Test omitted by user request: Replications

Test omitted by user request: Topology

Test omitted by user request: CutoffServers

Test omitted by user request: NCSecDesc

Test omitted by user request: NetLogons

Test omitted by user request: Advertising

Test omitted by user request: KnowsOfRoleHolders

Test omitted by user request: RidManager

Test omitted by user request: MachineAccount

Test omitted by user request: Services

Test omitted by user request: OutboundSecureChannels

Test omitted by user request: ObjectsReplicated

Test omitted by user request: frssysvol

Test omitted by user request: frsevent

Test omitted by user request: kccevent

Test omitted by user request: systemlog

Test omitted by user request: VerifyReplicas

Test omitted by user request: VerifyReferences

Test omitted by user request: VerifyEnterpriseRefere

Es normal que nos salga “Test omitted by user request”

Ahora viene cuando nos muestra la información más detallada:

DNS Tests are running and not hung. Please wait a few minutes...

Running partition tests on : ForestDnsZones

Test omitted by user request: CrossRefValidation