Skip Ribbon Commands
Skip to main content

Marcel Palou

:

Home
Blog de Macerl Palou
April 27
Puntos de distribución en server y en shares
by  Marcel Palou AgostinhoNo presence information  on 4/27/2009 5:51 PM

Esta semana pasada estuve dando un curso coaching a un cierto número de administradores de un entorno. Todos ellos eran muy majos y creamos un ambiente agradable donde desgarramos un poco SCCM y vimos sus posibilidades.

Y como siempre se aprende… he aprendido una cosa nueva, interesante y que quería compartir con vosotros.

Resulta que andábamos con la duda de cómo configurar la ruta donde se almacenan internamente los paquetes en los puntos de distribución (DP). Como ya sabéis éstos se almacenan en unos shares ocultos que siguen esta nomenclatura \\SERVER\SMSPKGx$ donde ‘x’ resulta ser la letra de la unidad de disco donde está este share. Por lo tanto, la información está en estos repositorios para irse replicando por toda la estructura.

Ahora bien… ¿cómo controlo yo como administrador dónde quiero crear este recurso compartido?... Parece completamente aleatorio.

Entendamos pues el concepto: “SCCM almacena los paquetes de los puntos de distribución en el recurso compartido ‘SMSPKGx$’, y este se aloja en la unidad NTFS con mayor espacio disponible. De no existir este recurso compartido, SCCM lo crearía”.

Con lo que observamos que efectivamente es aleatoria la unidad de disco donde se almacenarían los paquetes, puesto que a cada generación del paquete éste escogería la unidad con mayor espacio libre.

Entendiendo el DP en server share: El rol de DP puede alojarse en un servidor físico compartiendo, si fuera el caso, máquina con otros roles de SCCM. Alternativamente puede instalarse en un servidor compartido, donde simplemente se disponga de espacio de disco y acceso SMB (server share). En este caso, el share debe estar creado, y los servidores de la jerarquía de SCCM deben tener acceso a los mismos. Los paquetes se ubican bajo este share.

 

Con lo que concluimos que para asegurar que los paquetes residan en una unidad de disco específica del servidor que aloja el rol de DP, tenemos 2 posibilidades:

1.       Crear un DP en el servidor y asegurar que la unidad que queremos sea la de repositorio de los paquetes sea la de mayor tamaño libre del servidor.

2.       Crear un share en la unidad de disco que queramos alojar los paquetes, y generar un DP dentro del ‘server share’.

 

Os paso un par de links de gran utilidad para lo que os he comentado

 

http://technet.microsoft.com/en-us/library/bb680614.aspx

http://technet.microsoft.com/en-us/library/bb892801.aspx

Permanent Link to Post | Email Post Link | Number of Comments 0 Comment(s)
April 15
Visión de SCCM en la organización
by  Marcel Palou AgostinhoNo presence information  on 4/15/2009 3:10 PM

Tradicionalmente las herramientas de soporte a la gestión de la plataforma se han asociado más con el personal de administración de la red. En este post quiero desmitificar esto contando como los distintos estratos por un lado de usuarios y por otro lado del departamento de IT pueden beneficiarse de System Center Configuration Manager 2007  SP1 o superior.

 

Identificando los estratos

Podemos diferenciar 2 grandes bloques de personas. Por un lado los usuarios y por otro el departamento de IT. Dentro de los mismos podemos separar por:

·         Usuarios

o   Usuario estándar

o   Usuario avanzado / particular

o   Usuario VIP

·         Departamento de IT

o   Montadores de máquinas y técnicos

o   Soporte al usuario

o   Administración y gestión de red – Sistemas Microsoft

o   Administración y gestión de red – Sistemas no Microsoft

o   Gerencia IT

 

Identificando las ventajas

En la imagen que sigue podemos ver las interrelaciones que tienen las funcionalidades más destacadas de SCCM 2007 sp1 ó superior con los distintos estratos (usuarios y departamento IT) que hemos identificando anteriormente.

relaciones SCCM con organización

 

En el equipo de administración

Podemos ver por ejemplo como SCCM puede ayudar a los técnicos a realizar sus tareas de manera más efectiva y rápida, como sería el desplegar una imagen o maqueta a un equipo nuevo. Dicha instalación puede hacerse a través de la interfaz PXE, escogiendo por ejemplo la imagen a desplegar de entre una lista de imágenes ofertadas por SCCM. Con esto se puede evitar posibles errores del técnico, distribuir DVD’s de instalación con claves de producto por todos lados, CD’s de drivers, y un largo etcétera. Las imágenes ofertadas están ya plenamente configuradas y testeadas para el hardware y el entorno.

A nivel del equipo de soporte al usuario, SCCM ayuda ofertando toda una serie de herramientas de soporte remoto. Ya sea terminal server, asistencia remota, o control remoto (post gestión remota), ofreciendo soporte a sedes remotas, evitando desplazamientos en la misma sede. Por otro lado, la funcionalidad de distribución de software también se puede usar en la medida de dejar software corporativo preparado para el uso de ciertos grupos de usuarios y/o máquinas en la red. Luego, si un usuario desea instalar el software no incluido en la imagen, el equipo de soporte al usuario puede instruirle a descargarlo e instalarlo desde ‘añadir o quitar programas’ o desde el propio agente de Configuration Manager. Esto ofrece tanto al equipo de atención al usuario, como al usuario a una instalación testeada, rápida, transparente y preconfigurada para el entorno de la empresa.

Los beneficios que SCCM aporta al Administrador de sistemas Windows son ya conocidos y claros. Tales como inventario hardware y software de la plataforma para saber qué y quién tiene las cosas, gestión de actualizaciones para asegurar que la plataforma es fuerte antes las vulnerabilidades, distribución de software para asegurar las herramientas a los usuarios, así como disponer de las últimas versiones, gestión del parque móvil para unificar configuraciones del creciente número de dispositivos inalámbricos (PDA’s, smartphones, …), control del uso de software para estimar las horas de uso del software o volumen de uso en la plataforma, así como el uso de licencias.

No son tan claras las ventajas que aporta SCCM a los administradores de plataformas Unix/Linux/comunicaciones. Tal vez directamente no aporten un valor al trabajo diario de los mismos, aunque puede tener usos de segundo grado, tales como actualizaciones de software cliente para conexión a estos sistemas (SAP client, …), entre otros.

El uso de funcionalidades un tanto encubierta pero más interesante aparece en la capa de gerencia de IT, dónde pueden aprovecharse de funcionalidades de SCCM para tener una visión de la plataforma, así como soporte de ayuda a la toma de decisiones. El uso que puede hacer gerencia, es básicamente a través de la web de reporting, escalando datos hacia sistemas de reporting services si se dispusieran. Pueden disponer de una visión a alto nivel del estado de la plataforma, tanto a nivel de conformidad con patrones de referencia, actualizaciones, uso de software o uso de licencias. Especialmente este último integrándose con ‘Asset intelligence’, permite conocer exactamente el uso de los productos en la plataforma, así como ahorrar notablemente a la hora de renovar los acuerdos de licenciamiento con distintos fabricantes ajustando los mismos a los usos reales de los productos. Así mismo ‘Asset Intelligence’ ofrece un seguido de informes enriquecidos y destinados a este estrato; adicionalmente los informes se pueden personalizar, o crear nuevos mediante la SDK o directamente mediante la extracción de datos de la Base de Datos Microsoft SQL Server.

En general esto permite ahorrar tiempo y costes, e incrementar la productividad, la eficiencia, la proactividad y la visión sobre el estado general de la plataforma.

 

En los usuarios

Las ventajas en los usuarios son también notables. El usuario estándar disfrutará de un soporte completo por parte de su departamento de IT, ya sea por ejemplo mediante soporte remoto (con asistencia remota puede compartirse el escritorio, realizar chat, coger el control, …). Por otro lado el usuario se olvida de mantener su sistema actualizado, puesto que es automático, así como de disponer el software de uso estándar.

Un usuario avanzado puede beneficiarse de la gestión de equipos a través de internet, dotando de movilidad a su puesto de trabajo, ya sea en la oficina, en casa mediante vpn, o en cualquier ubicación a través de internet, manteniendo gran parte de las funcionalidades que aporta SCCM. Además dispone de protección de su terminal móvil tipo PDA/Smartphone, y se olvida de las configuraciones del mismo, así como de descargarse programas. Ya para finalizar, este perfil de usuario, puede requerir uso de software específico, que él mismo y de manera simple puede descargarse e instalarse mediante el software publicado por SCCM.

El usuario VIP, aparte de sumar todos los beneficios anteriores, puede usar SCCM para navegar por su sistema de informes y extraer información clave.

También se puede ofrecer a los usuarios la actualización del equipo (sobremesa o portátil) por uno nuevo sin preocupación ninguna. Una vez el usuario cierra sesión, se guarda el estado de la máquina, se cambia el hardware, se instala el nuevo sistema operativo y se vuelca de nuevo el estado para disponer del mismo entorno que se tenía anteriormente, pero con hardware y sistema operativo nuevo.

En general todo esto aporta funcionalidad y facilidad de uso al cliente, así como incremento de la productividad y una alta sensación de confort sobre los sistemas corporativos.

Permanent Link to Post | Email Post Link | Number of Comments 0 Comment(s)
March 25
Me llaman el desaparecido
by  Marcel Palou AgostinhoNo presence information  on 3/25/2009 5:38 PM
Category: mio
Buenasssss,
 
pues otra vez estoy aquí dando guerra! Y es que sí, me llaman el desaparecido cuando llega ya se ha ido... Y es lo que tiene quitarse un hombro de lado, y meterse en una pequeña baja. Pues simplemente esto... vuelvo a estar a la carga, pensando ya en que publicar este viernes
 
disfrutad
Permanent Link to Post | Email Post Link | Number of Comments 0 Comment(s)
February 13
Virtual Teams y Servidores DHCP en Windows Server 2008
by  Marcel Palou AgostinhoNo presence information  on 2/13/2009 10:00 AM

El otro día me encontré con un pequeño problema a la hora de montar un servidor DHCP sobre un Windows 2008 con tarjetas de red en Team.

Tradicionalmente lo que pasaba con otras plataformas (Windows Server 2003) es que montabas un Team, el cual dispone de una IP virtual. Esta IP ya podía recoger peticiones DHCP Reques’ y procesarlas para asignar las direcciones IP a las máquinas.

Con Windows Server 2008 esto ha cambiado levemente (y hasta que lo encontré pasé un mal rato delante del cliente). Mi sorpresa fue que a la hora de configurar la IP de escucha para el servidor DHCP, no tenía ninguna disponible. En efecto, tal como indica el soporte del producto

“DHCP servers running Windows Server 2008 never bind to any of the NDISWAN or DHCP-enabled interfaces used on the server. These interfaces are not displayed in the DHCP console under the current server bindings list because they are never used for DHCP service. Only additional network connections that have a primary static IP address configured can appear in the server bindings list (or be selectively enabled or disabled there).”

Lo que se traduce que la IP por defecto del Team no va a poder usarse para escuchar peticiones DHCP Request. Debemos por lo tanto asignar otra IP al Team, y con ella sí que podremos ponerla como IP de escucha.

Permanent Link to Post | Email Post Link | Number of Comments 0 Comment(s)
February 06
Soporte al usuario con SCCM - Gestión remota
by  Marcel Palou AgostinhoNo presence information  on 2/6/2009 1:12 PM

Con el primer viernes ... llega el primer post ;)

Hoy me gustaría contar un poco lo que iría siendo la gestión remota con SCCM 2007. Ese oculto elemento de gran valor para los departamentos de soporte al usuario… y que si uno tiene pagado el SCCM evita tener de piratilla otros softwares del tipo dameware / vnc, que entre otras cosas se consideran en muchos casos backdoors o troyanitos… es decir una pequeña amenaza para la seguridad.

Y daré también un pequeño truco / microsofada (así iréis entendiendo el título de este blog) para el control remoto de maquinas en grupos de trabajo.

Empecemos pues…

SCCM 2007 ofrece 3 tipos de control remoto / soporte al usuario:

·         Asistencia remota

·         Control remoto de SCCM

·         Remote Desktop (Terminal Services)

No hace falta que explique mucho el Remote Desktop puesto que es conocido que quita la sesión del usuario, es decir… le aparece la pantalla de logon pero no ve lo que haces! Obviamente es una mala solución para un soporte a un usuario, pensad que los usuarios son siempre unos grandes desconfiados! Y pensaran que les estáis remeneando la máquina. Pero en cambio es bueno para conectarse a un server.

Ahora nos quedan las otras 2. Se rumorea que a Microsoft no le gusta mucho lo del control remoto (de hecho le han quitado funcionalidades desde la versión que llevaba el SMS 2003 a la de SCCM) … y que les apetecerá descatalogarlo algún día… ya digo, sólo rumores!

Entonces… en qué se parecen y en qué se diferencian? Miremos el cuadro siguiente:

Tecnología

S.O. mínimo

Pide permisos al usuario?

Sesión

Interacción con el usuario

Control remoto

W2k o +

Según config

Activa

Sesión compartida (ver, o ver y actuar)

Asistencia remota

WXP o +

SI

Activa

Sesión compartida (ver, o ver y actuar), chat con usuario

 

Vemos que los 2 requieren que el usuario tenga una sesión activa, y que básicamente la diferencia está en el entorno de soporte por parte del administrador, en el sistema operativo del cliente y en el permitir chat con el usuario. También es remarcable observar la solicitud al usuario para que acepte la conexión remota. Obviamente aumenta la seguridad, pero por otro lado impide gestión de máquinas sin el usuario delante (aunque en este caso puede usarse Remote Desktop).

Pues ya resumiendo, y como recomendaciones personales, usaría los métodos como os muestro:

 

 

Flowchart para escojer metodo control remoto

Ahora viene la Microsofada…

¿Qué pasa cuando queréis dar soporte a un usuario en una máquina en un grupo de trabajo (fuera del dominio) con el agente SCCM instalado?

Imaginaros el supuesto caso que puse en la pregunta… Sabemos que en la configuración del control remoto, hay una opción donde se especifican los ‘permitted viewers’. Aquí ponemos los usuarios que tienen permiso para ejecutar control remoto en las máquinas. Ésta lista de usuarios mediante las políticas del agente SCCM se pasa al grupo local de cada máquina cliente llamado “ConfigMgr Remote Control Users”, donde finalmente se evalúan los permisos o no del usuario que quiere hacer control remoto. En este grupo se añaden únicamente usuarios válidos y reconocidos por la máquina. Es decir, que cualquier usuario de dominio listado en el ‘permitted viewers’, no será reconocido en una máquina en un grupo de trabajo, por lo tanto no se añadirá en el grupo ‘ConfigMgr Remote Control Users’. Lo lógico pues (funcionamiento por diseño del producto), es que cuando queramos hacer control remoto, este nos pida que nos validemos (como vendría siendo productos estilo dameware / vnc)

 

En principio, y ya os digo que es por diseño, parece una solución adecuada… peeeeeero implica bajo mi punto de vista un riesgo a la seguridad, puesto que implica que el personal de soporte disponga de los passwords de usuarios administradores locales de las máquinas. Por lo que nosotros en un principio hemos diseñados una plataforma segura, para que el soporte se pueda realizar mediante la consola de SCCM, pidiendo validación al usuario… y resulta que el personal de soporte dispone de los passwords locales de las máquinas.

Existe una solución (microsofada) o workaround para solventar el problema de que te pida credenciales, y consiste en la validación indirecta.

1.       A nivel de maqueta, o mediante scripts, asegurarse que todas las máquinas tienen creado un usuario local llamado de la misma manera (p. ej. ‘CRuser’)

2.       A nivel de dominio (donde esté instalado el SCCM) definir el usuario ‘midominio\CRuser’. Atención que el usuario debe llamarse IGUAL, y debe tener el MISMO password que los usuarios de los equipos.

3.       Poner en el ‘permitted viewers’ un usuario estándar para control remoto ‘CRuser’ sin dominio ni nada.

Y listos, con esto ya no os va pedir validación.

Permanent Link to Post | Email Post Link | Number of Comments 0 Comment(s)
February 04
Bienvenidos
by  Marcel Palou AgostinhoNo presence information  on 2/4/2009 7:13 PM
Por fin me lanzo al maravilloso mundo del blog, y unas de las cosas que tenía ganas ya de hace tiempo es poseer uno. Este será técnico muy posiblemente aunque nunca sabemos por donde irán las cosas.
Lo más complicado es pero el mantenerlo :) mi intención es abrirlo por lo menos una vez a la semana, y ya veré si escribo post o no.
Habrá microsofadas varias... Cosas curiosas, how to, experiencias, soluciones,... siempre intentando estar en lo último en tecnología (microsoft en principio claro) y más bien enfocado para las soluciones de infraestructura
 
Pasen, vean... disfruten
Permanent Link to Post | Email Post Link | Number of Comments 1 Comment(s)
 

 About this blog

 
About this blog
Welcome to SharePoint Blogs. Use this space to provide a brief message about this blog or blog authors. To edit this content, select "Edit Page" from the "Site Actions" menu.