Cómo extender el esquema de Active Directory para el libreta de direcciones jerárquica (HAB) en un servidor de Exchange Server 2010

El HAB es un complemento para Exchange Server 2010 y para Microsoft Outlook 2010 beta. Para utilizar el HAB, debe extender el esquema de AD DS en el bosque de Active Directory en el que instaló Exchange Server 2010. Para extender el esquema de AD DS, debe pertenecer a los administradores de esquema grupo. Las clases de esquema y los atributos que se agregan en AD DS para la HAB son compatibles con todos los idiomas y versiones de servidor. El HAB extensiones de esquema para Exchange Server 2010 también será compatibles con versiones futuras de servidor de Exchange.
Para instalar el complemento HAB Active Directory, siga estos pasos:

  1. 1. La herramienta LDIFDE es necesario para implementar los cambios de esquema. La herramienta LDIFDE se instala cuando se instalan las herramientas de administración remota para servidor de Windows Server 2008. Para instalar las herramientas de administración remota, siga estos pasos en el servidor:
    1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar .
    2. Tipo ServerManagerCmd -i ADDS RSAT en el cuadro Abrir campo y, a continuación, haga clic en Aceptar .
  2. Copie el siguiente script cambio de esquema a un archivo de texto que se denomina “ schema_file.txt ” para su uso posterior. Asegúrese de que la primera línea del archivo está en blanco.


    dn: CN=ms-DS-Phonetic-Display-Name,DC=X changetype: ntdsSchemaAdd adminDescription: ms-DS-Phonetic-Display-Name adminDisplayName: ms-DS-Phonetic-Display-Name attributeID: 1.2.840.113556.1.4.1946 attributeSecurityGuid:: VAGN5Pi80RGHAgDAT7lgUA== attributeSyntax: 2.5.5.12 isSingleValued: TRUE lDAPDisplayName: msDS-PhoneticDisplayName mapiId: 35986 name: ms-DS-Phonetic-Display-Name oMSyntax: 64 objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema rangeLower: 0 rangeUpper: 256 schemaIdGuid:: 5JQa4mYt5UyzDQ74endv8A== searchFlags: 5 showInAdvancedViewOnly: TRUE systemFlags: 16 systemOnly: FALSE dn: CN=ms-DS-HAB-Seniority-Index,DC=X changetype: ntdsSchemaAdd adminDescription: Contains the seniority index as applied by the organization where the person works. adminDisplayName: ms-DS-HAB-Seniority-Index attributeID: 1.2.840.113556.1.4.1997 attributeSecurityGuid:: VAGN5Pi80RGHAgDAT7lgUA== attributeSyntax: 2.5.5.9 isMemberOfPartialAttributeSet: TRUE isSingleValued: TRUE lDAPDisplayName: msDS-HABSeniorityIndex mapiId: 36000 name: ms-DS-HAB-Seniority-Index oMSyntax: 2 objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema schemaIdGuid:: 8Un03jv9RUCYz9lljaeItQ== searchFlags: 1 showInAdvancedViewOnly: TRUE systemFlags: 16 systemOnly: FALSE dn: CN=ms-Exch-HAB-Root-Department-Link,DC=X changetype: ntdsSchemaAdd adminDescription: ms-Exch-HAB-Root-Department-Link adminDisplayName: ms-Exch-HAB-Root-Department-Link attributeID: 1.2.840.113556.1.4.7000.102.50824 attributeSyntax: 2.5.5.1 isMemberOfPartialAttributeSet: FALSE isSingleValued: TRUE lDAPDisplayName: msExchHABRootDepartmentLink mapiId: 35992 name: ms-Exch-HAB-Root-Department-Link oMSyntax: 127 oMObjectClass:: KwwCh3McAIVK objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema linkID: 1092 schemaIdGuid:: f/ewOgOh9UeAbUpAzOY4qg== searchFlags: 0 dn: CN=ms-Exch-HAB-Root-Department-BL,DC=X changetype: ntdsSchemaAdd adminDescription: ms-Exch-HAB-Root-Department-BL adminDisplayName: ms-Exch-HAB-Root-Department-BL attributeID: 1.2.840.113556.1.4.7000.102.50826 attributeSyntax: 2.5.5.1 isMemberOfPartialAttributeSet: FALSE isSingleValued: FALSE lDAPDisplayName: msExchHABRootDepartmentBL mapiId: 35995 name: ms-Exch-HAB-Root-Department-BL oMSyntax: 127 oMObjectClass:: KwwCh3McAIVK objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema linkID: 1093 schemaIdGuid:: jIKVD70qh0CwJo98xedSpA== searchFlags: 0 dn: CN=ms-Org-Group-Subtype-Name,DC=X changetype: ntdsSchemaAdd adminDescription: ms-Org-Group-Subtype-Name adminDisplayName: ms-Org-Group-Subtype-Name attributeID: 1.2.840.113556.1.6.47.2.3 attributeSyntax: 2.5.5.12 isMemberOfPartialAttributeSet: TRUE isSingleValued: TRUE lDAPDisplayName: msOrg-GroupSubtypeName mapiId: 36063 name: ms-Org-Group-Subtype-Name oMSyntax: 64 objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema rangeUpper: 128 schemaIdGuid:: RFjt7cOzw0Gp5omEtSt/mA== searchFlags: 17 dn: CN=ms-Org-Is-Organizational-Group,DC=X changetype: ntdsSchemaAdd adminDescription: ms-Org-Is-Organizational-Group adminDisplayName: ms-Org-Is-Organizational-Group attributeID: 1.2.840.113556.1.6.47.2.1 attributeSyntax: 2.5.5.8 isMemberOfPartialAttributeSet: TRUE isSingleValued: TRUE lDAPDisplayName: msOrg-IsOrganizational mapiId: 36061 name: ms-Org-Is-Organizational-Group oMSyntax: 1 objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema schemaIdGuid:: C1a3SQdHoEqifOF6Cco/lw== searchFlags: 16 dn: CN=ms-Org-Other-Display-Names,DC=X changetype: ntdsSchemaAdd adminDescription: ms-Org-Other-Display-Names adminDisplayName: ms-Org-Other-Display-Names attributeID: 1.2.840.113556.1.6.47.2.4 attributeSyntax: 2.5.5.12 isMemberOfPartialAttributeSet: TRUE isSingleValued: FALSE lDAPDisplayName: msOrg-OtherDisplayNames mapiId: 36064 name: ms-Org-Other-Display-Names oMSyntax: 64 objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema rangeUpper: 128 schemaIdGuid:: JF+QjxOkWkOO0TU4XsF59w== searchFlags: 17 dn: CN=ms-Org-Leaders,DC=X changetype: ntdsSchemaAdd adminDescription: ms-Org-Leaders adminDisplayName: ms-Org-Leaders attributeID: 1.2.840.113556.1.6.47.2.2 attributeSyntax: 2.5.5.1 isMemberOfPartialAttributeSet: TRUE isSingleValued: FALSE lDAPDisplayName: msOrg-Leaders mapiId: 36062 name: ms-Org-Leaders oMSyntax: 127 oMObjectClass:: KwwCh3McAIVK objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema linkID: 1208 schemaIdGuid:: kGdb7lgzqEGT8hNM4h84Ew== searchFlags: 16 dn: CN=ms-Org-Leaders-BL,DC=X changetype: ntdsSchemaAdd adminDescription: ms-Org-Leaders-BL adminDisplayName: ms-Org-Leaders-BL attributeID: 1.2.840.113556.1.6.47.2.5 attributeSyntax: 2.5.5.1 isMemberOfPartialAttributeSet: FALSE isSingleValued: FALSE lDAPDisplayName: msOrg-LeadersBL mapiId: 36060 name: ms-Org-Leaders-BL oMSyntax: 127 oMObjectClass:: KwwCh3McAIVK objectCategory: CN=Attribute-Schema,DC=X objectClass: attributeSchema linkID: 1209 schemaIdGuid:: 7Y6lr5imfkGfVvrVQlLF9A== searchFlags: 0 dn: changetype: ntdsSchemaModify replace: schemaUpdateNow schemaUpdateNow: 1 - dn: CN=Organizational-Person,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msDS-HABSeniorityIndex - dn: CN=Organizational-Person,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msDS-PhoneticDisplayName - dn: CN=ms-Exch-Organization-Container,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msExchHABRootDepartmentLink - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: location - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: thumbnailPhoto - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msDS-HABSeniorityIndex - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msDS-PhoneticDisplayName - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msOrg-GroupSubtypeName - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msOrg-IsOrganizational - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msOrg-Leaders - dn: CN=Group,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msOrg-OtherDisplayNames - dn: CN=Mail-Recipient,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msDS-HABSeniorityIndex - dn: CN=Mail-Recipient,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msDS-PhoneticDisplayName - dn: CN=Top,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msOrg-LeadersBL - dn: CN=Top,DC=X changetype: ntdsSchemaModify add: mayContain mayContain: msExchHABRootDepartmentBL - dn: changetype: ntdsSchemaModify replace: schemaUpdateNow schemaUpdateNow: 1 -

  3. Si el servidor de controlador de dominio se está ejecutando Windows Server 2008, vaya al paso 7. Para servidores de controlador de dominio que ejecutan versiones de Windows anteriores a Windows Server 2008, el comando LDIF requiere la entrada de RootDSE. En este caso, siga los pasos 4 a 6.
  4. Para escribir la entrada de RootDSE en un archivo, ejecutar el comando siguiente que especifica el nombre de servidor del controlador de dominio:
    LDIFDE -f [domain_data.txt] -s [server_name] -p BASE
  5. Abra el archivo domain_data.txt que creó en el paso 4 y busca la cadena que se llama "esquema". Copie el texto siguiente de esa sección, empezando desde "CN = schema," y guárdelo. Este texto contiene la entrada de RootDSE y se utiliza para importar la extensión del esquema HAB en el paso 6. Por ejemplo, el texto puede ser similar a la siguiente cadena en el que Contoso se utiliza como marcador de posición:
    CN=Schema,CN=Configuration,DC=Contoso-dom,DC=Contoso,DC=com
  6. Para dominio de servidores de controlador que ejecutan versiones Windows que son anteriores a Windows Server 2008, ejecute el comando siguiente en el servidor de controlador de dominio para importar la extensión del esquema HAB. Este comando especifica el archivo de RootDSE que guardó en el paso 5.
    LDIFDE -i -f schema_file.txt -c DC=X <RootDSE_entry>
  7. para Windows Server 2008 sólo, ejecute el comando siguiente en el servidor de controlador de dominio para importar la extensión de esquema HAB.
    LDIFDE -i -f schema_file.txt -c DC=X #SchemaNamingContext

Seguridad en la nube

Buena pregunta si señor. Creo que todos aquellos que plantean esta pregunta tienen un amplio vacio tecnológico en su cabeza (y la verdad es que da igual que sea CIO, CEO, Presidente, Vice-Presidente, Friki, Geek, o cualquiera de esos seres extraños que se han puesto un sobre nombre “rarito”) y creo que son los que deberían de volver a la universidad, a leer algún que otro libro, asistir algún cursito sobre seguridad y esas cositas que enriquecen nuestro conocimiento del medio en el cual estamos trabajando y dejar a un lado el golf, las cervezas y esas intervenciones corporativas que lo único que consiguen es disipar la duda. (Cita al final del texto)

Hagamos un resumen histórico de ciertos eventos tecnológicos (más que nada para ponerles al día) que han ocurrido en estos últimos años:

  • Aunque los antecedentes del correo electrónico hay que buscarlos unos pocos años antes, no es hasta 1971 cuando Ray Tomlinson, un ingeniero que trabajaba en la empresa de BBN, tuvo una idea que, sin ser él consciente, se acabaría revelando como una de las más influyentes de los últimos treinta años. Millones de usuarios lo demuestran cada día, una y otra vez. Estamos hablando del correo electrónico, el e-mail (contracción de ‘electronic mail’).
  • En 1983 nace Internet, con un gran número de usuarios y un crecimiento vertiginoso, El crecimiento de Internet ronda el 20 % mensual. En la red principal, la velocidad actual de transmisión de datos permite enviar la Enciclopedia Británica en unos segundos.
  • La Web fue creada alrededor de 1989 por el inglés Tim Berners-Lee y el belga Robert Cailliau mientras trabajaban en el CERN en Ginebra, Suiza, y publicado en 1992. Desde entonces, Berners-Lee ha jugado un papel activo guiando el desarrollo de estándares Web (como los lenguajes de marcado con los que se crean las páginas web), y en los últimos años ha abogado por su visión de una Web Semántica.
  • Larry Page y Sergey Brin se conocieron en 1995, cuando tenían 24 y 23 años respectivamente, en un acto organizado por la Universidad de Stanford. Ambos tenían un objetivo en común: conseguir información relevante a partir de una importante cantidad de datos. En enero de 1996 iniciaron su colaboración en un buscador llamado BackRub. Larry empezó a trabajar en la forma de conseguir un entorno para los servidores que funcionara con PCs de gama baja y que no necesitará de potentes máquinas para funcionar. Un año después, la tecnología utilizada por BackRub para analizar los links empezaba a ser conocida en todo el campus, obteniendo una gran reputación. Era la base sobre la que se construiría Google.. Google fue fundado en septiembre de 1998.
    El nombre proviene de un juego de palabras con el término "googol", acuñado por Milton Sirotta, sobrino del matemático norteamericano Edward Kasner, para referirse al número representado por un 1 seguido de 100 ceros. El uso del término refleja la misión de la compañía de organizar la inmensa cantidad de información disponible en la web y en el mundo. (Esta reseña la dejo para que no os hagáis pajas mentales con el significado de la palabra GOOGLE)
  • La banca telefónica apareció en España a mediados de 1995 de la mano del Banco Español de Crédito (Banesto) y del Banco Central Hispano (BCH). Aunque inicialmente solo servía como medio de consulta, en la actualidad incorpora prácticamente todos los servicios del sistema financiero . La literatura científica cita también 1995  como el momento de la irrupción de la banca online completamente desarrollada en EE.UU., de la mano del Security First National Bank.
  • En el año 1997 cuando se palpitaba el mundial de Francia 98 muy cerquita, apareció un servicio de correo electrónico del tipo web mail que se hizo muy popular en poco tiempo, uniendo rápidamente a más de treinta millones de usuarios en todo el mundo.
  • 1998 La rápida expansión de internet, hace que miles de personas a través de un aparato nuevo para muchos como una computadora hace que se conecten, charlen y hablen a través del correo electrónico, ya para esa fecha había más de 36 millones de usuarios conectados a Hotmail.
  • 1999 Año en el que nace uno de los programas más populares del mundo, el Messenger, una aplicación que hacia capaz la comunicación instantánea con solo vincular un correo de Hotmail, es decir el usuario le podía hablar mediante un simple mensaje de texto a una persona contando únicamente con un correo de Hotmail.
  • 2000 Comenzó un nuevo milenio, y parecía que el Y2K iba a hacer explotar el mundo, sin embargo el tan mentado fin del mundo no llegó.
  • 2001 ese fue el año del nacimiento de una enciclopedia libre llamada Wikipedia.
  • 2002 Nacen una gran cantidad de nuevas aplicaciones muchas de ellas capaces de funcionar directamente desde la web, la más resonante noticia fue la de un portal donde se subían y compartían fotos a un ritmo de cinco mil cada minuto y que hoy en día es el sitio de alojamiento de imágenes más popular del mundo, claro está hablamos de Flickr.
  • 2003 una red de negocios veía la luz y permitía que cientos de miles de ejecutivos de negocios, ceos y varios agentes de negocios se unieron, hablamos de Linkedin.
  • 2004 en ese año nace un nuevo servicio de correo electrónico gratuito a cargo de Google, llamado Google Mail o simplemente Gmail.

Y así un sinfín de novedades tecnológicas que han ido ocurriendo hasta la fecha. Hay que hacer referencia, que desde finales de 2008 ya existía por la red el movimiento “Cloud Computing”, que a mi parecer no es más que el mismo perro de 1971 (más grande y más madurito) pero con distinto collar.

Pues lo dicho, "¿Seguridad?”, llevamos de 1983 compartiendo nuestra información en una “imberbe” internet, que más que inseguro era inocente. Desde 1989 llevamos publicando nuestra información corporativa, nuestros planes de negocio, nuestros valores añadidos, etc …  podemos decir que desde esta fecha las empresas tienen presencia en internet y las aplicaciones están publicadas allí.  A partir de 1995 nos permitíamos el lujo de tramitar nuestro capital a través de la línea telefónica y en algunos países hasta desde internet. Echábamos en falta que nuestro correo electrónico estuviese siempre disponible y “coño”, aparece en  1997 nuestro inestimable amigo Hotmail (¿Quien no ha tenido una cuenta de correo en él?).  Si encima tenemos en cuenta que cualquier aplicación de banca electrónica nos permite conectar en “modo seguro” con certificados de 1024 (los mismo que cualquier servicio en internet, sea este aplicación, infraestructura o mensajería), creo que ya se cual ha sido el problema de la “seguridad en la nube”, fue le maravilloso efecto Y2K que a mas de uno le supuso un “reset” en la poca memoria que tenia y se olvido, que desde que la informática “vio la luz con internet”, todas las compañías y los servicios que estas prestan han estado “en las nubes”, pero ya lo dijo Mark Twain “es mejor tener la boca cerrada y parecer estúpido, que abrirla y disipar la duda”(Esto se lo dedico a los del nombre “rarito”).

 

¿Todavía hay alguien que quiera charlar de seguridad después de que ha refrescado la memoria? … Si ya estáis seguros, de lo que no estáis seguros es de no cometer el error que cita Mark Twain.

BBT2+

Una visión rápida de Service Manager 2010

Aquí os dejo los link de una serie de videos bastante ilustrativos sobre Service Manager y sus capacidades, espero que los disfrutéis tanto como yo.

System Center Service Manager 2010: Self Service Portal Feature:

BBT2+

Introducción a System Center Service Manager 2010

Clare Henry, Director, Technical Product Marketing, nos hace una breve introducción a Service Manager 2010. Es una pena que esta gente no sepa hablar otra cosa que no sea inglés, pero bueno que se la va a hacer. Podéis descargarlo desde aquí

BBT2+

Proceso para transferir y asumir la función Operación de maestro único flexible

Transferir la función Operación de maestro único flexible

La transferencia de una función FSMO es la forma recomendada de mover una función FSMO entre controladores de dominio y puede iniciarla el administrador o mediante la degradación de un controlador de dominio, pero no la inicia automáticamente el sistema operativo. Esto incluye un servidor en estado de cierre. Las funciones FSMO no se reubican automáticamente durante el proceso de apagado; debe tenerlo en cuenta al apagar un controlador de dominio que tiene una función FSMO para realizar tareas de mantenimiento por ejemplo.
En una transferencia correcta de una función FSMO entre dos controladores de dominio, antes de transferir la función se realiza una sincronización de los datos mantenidos por el propietario de la función FSMO en el servidor que recibe la función FSMO para asegurarse de que todos los cambios han quedado grabados antes del cambio de función.
Los atributos operacionales son atributos que se convierten en una acción en el servidor. Este tipo de atributo no se define en el esquema, sino que el servidor lo mantiene y lo intercepta cuando un cliente intenta leerlo o escribir en él. Cuando se lee el atributo, el resultado suele ser un resultado calculado del servidor. Cuando se escribe el atributo, se realiza una acción predefinida en el controlador de dominio.
Los siguientes atributos operacionales se utilizan para transferir funciones FSMO y se encuentran en la RootDSE (o Root DSA Specific Entry, la raíz del árbol de Active Directory para un controlador de dominio determinado donde se mantiene información específica del controlador de dominio). Al escribir en el atributo operacional apropiado en el controlador de dominio para recibir la función FSMO, se degrada el controlador de dominio anterior y se promueve automáticamente el controlador de dominio nuevo. No se requiere ninguna intervención manual. Los atributos operacionales que representan las funciones de FSMO son los siguientes:

becomeRidMaster
becomeSchemaMaster
becomeDomainMaster
becomePDC
becomeInfrastructureMaster

Si el administrador especifica el servidor que va a recibir la función FSMO mediante una herramienta como Ntdsutil, el intercambio de la función FSMO se define entre el propietario actual y el controlador de dominio especificado por el administrador.
Cuando se degrada un controlador de dominio se escribe el atributo operacional "GiveAwayAllFsmoRoles", lo que hace que el controlador de dominio busque otros controladores de dominio para descargar las funciones que posee actualmente. Windows 2000 determina qué funciones posee actualmente el controlador de dominio que se degrada y busca un controlador de dominio adecuado mediante estas reglas:

  1. Buscar un servidor en el mismo sitio.
  2. Buscar un servidor con el que haya conectividad RPC.
  3. Utilizar un servidor a través de un transporte asincrónico (como SMTP).

En todas las transferencias, si la función es específica del dominio, sólo se puede mover a otro controlador del mismo dominio. De lo contrario, cualquier controlador de dominio de la empresa es un candidato posible.

 

Asumir la función Operación de maestro único flexible

Los administradores deben tener mucho cuidado al asumir funciones FSMO. En la mayoría de los casos, esta operación sólo debe realizarse si el propietario de la función FSMO original no va a volver al entorno.
Cuando el administrador asume una función FSMO de un equipo existente, se modifica el atributo "fsmoRoleOwner" en el objeto que representa la raíz de los datos eludiendo directamente la sincronización de los datos y la transferencia de la función. El atributo "fsmoRoleOwner" de cada uno de los objetos siguientes se escribe con el Nombre completo (DN) del objeto Configuración de NTDS (los datos de Active Directory que definen un equipo como un controlador de dominio) del controlador de dominio que toma la propiedad de esa función. A medida que la replicación de este cambio empieza a extenderse, otros controladores de dominio conocen el cambio de la función FSMO.
FSMO de controlador principal de dominio (PDC):

LDAP://DC=MICROSOFT,DC=COM

FSMO de maestro RID:

LDAP://CN=Rid Manager$,CN=System,DC=MICROSOFT,DC=COM

FSMO de maestro de esquema:

LDAP://CN=Schema,CN=Configuration,DC=Microsoft,DC=Com

FSMO de maestro de infraestructura:

LDAP://CN=Infrastructure,DC=Microsoft,DC=Com

FSMO de maestro de nombres de dominio:

LDAP://CN=Partitions,CN=Configuration,DC=Microsoft,DC=Com

Por ejemplo, si el Servidor1 es el PDC del dominio Microsoft.com y se retira, y el administrador no puede degradar el equipo correctamente, es preciso asignar al Servidor2 la función FSMO del PDC. Una vez asumida la función, el valor

CN=NTDS Settings,CN=SERVIDOR2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com

está presente en el objeto siguiente:

LDAP://DC=MICROSOFT,DC=COM