viernes, 10 de enero de 2020

Solventar problemas de conexion a Drac5

Una magnífica herramienta de soporte de los servidores Dell es la iDrac, Drac en versiones antiguas. Perfecta para acceder a los servidores, incluso apagados, permitiendo hasta la conexión de medios virtuales y la reinstalación en remoto.

La ejecución de la consola virtual se puede lanzar de dos formas, a través de java o con el plugin nativo. La ejecución java suele traer consigo problemas de versiones, y si tienes que conectar a múltiples servidores es fácil que acabes con una variedad de versiones java instaladas simultáneamente. Nada recomendable. Es por ello que la mejor opción es la ejecución del plugin nativo de la iDrac.


Conectamos a la consola de la Drac, en este caso. Como se ve, ha evolucionado bastante en sus últimas versiones. En la pestaña de consola, al conectar al servidor, si no hemos pasado anteriormente por una Drac i iDrac, puede salirte el siguiente mensaje:


Es el plugin que instala en el navegador para ejecutar la aplicación de forma nativa, en vez de con Java. Hay que aceptar siempre su instalación. Esto abrirá una nueva ventana del navegador (permitir para este sitio los pop-ups).


Y aquí es cuando vemos un problema con la ejecución de la consola. Por descartar problemas y tratándose de Drac antiguas, probar la conexión con Internet Explorer. Si el problema persiste y tenemos el complemento anterior instalado, significa entonces que no está funcionando adecuadamente. En este caso, iremos a la administracion de complementos del navegador, preferiblemente IE, como dije antes:


Veremos que en las herramientas y extensiones tenemos 2 complementos instalados, ambos habilitados, y de distintas versiones. Chequeamos las versiones instaladas, y deshabilitamos el complemento más antiguo.


Hecho esto, no necesitamos ni reiniciar el navegador. Intentamos de nuevo la conexión, y debería funcionar sin problemas.

jueves, 9 de enero de 2020

Solventar limite de conexion de usuarios a 64 equipos

Es común encontrarse en la situación de tener que generar cuentas de usuario que deben tener restringido el acceso a unos equipos concretos, al margen de sus permisos. Ya sabes, para limitar los equipos sobre los que un usuario puede iniciar sesión, en su objeto de AD vamos a la pestaña Cuenta, y en "iniciar sesión en" se indica los equipos sobre los que puede iniciar la sesión el usuario.

Puede suceder que el usuario requiera iniciar sesión en más de 64 equipos. Y es aquí cuando aparece el problema, al intentar agregar una máquina mas, superando ese límite, que aparece el siguiente mensaje:


Esto es una limitación de esquema de Directorio Activo, que puede ser modificada con el ADSI Edit o Powershell, siempre que seas admin de esquema. Por ejemplo, así:
$Attr = [ADSI]"LDAP://cn=User-Workstations,cn=Schema,cn=Configuration,dc=MyDomain,dc=com"
$Attr.rangeUpper = 2048
$Attr.SetInfo()
Tienes más Info AQUI. y AQUI.

La GUI de ADUC asume 16 caracteres por nombre de NetBIOS, independientemente de los que tenga en realidad los nombres de equipos. Pero esto no se aplica si actualizas el atributo en el código. Aún así, incluso con 16 caracteres por nombre, según los technets de Microsoft, no debe superar los 8192.

Una vez realizado este cambio, se pueden agregar más máquinas vía comando powershell a la cuenta de usuario, sobrepasando ese límite de 64 equipos (la interfaz gráfica seguirá marcando la limitación).

El comando powershell a utilizar para agregar más equipos es el siguiente:
$variable = (Get-ADUser -Identity USER -Properties *).userWorkstations
$newvariaBLE ="EQUIPONUEVO,$VARIABLE"
Set-ADUser -Identity USER -LogonWorkstations $newvariaBLE 
Reemplazar "USER" por el nombre de usuario, y "EQUIPONUEVO" por el nombre del equipo a agregar.

También es conveniente utilizar el siguiente comando,

$variable = (Get-ADUser -Identity user -Properties *).userWorkstations
seguidamente de:

  write-host $variable     
Esto te mostrará los equipos a los que el usuario que has metido en la variable tiene acceso. Es muy conveniente para comprobar que el comando ha funcionado correctamente.

miércoles, 8 de enero de 2020

Modificar el tipo de mailbox en Exchange

A lo largo de los años y en diferentes empresas vengo observando que normalmente los usuarios utilizan algún tipo de cuenta genérica a la que acceden uno o varios miembros del mismo departamento. Normalmente es una cuenta de usuario, con su password, y es compartida por las personas que quieren acceder a la misma. La otra opción es un grupo de distribución que distribuye, valga la redundancia, los mails, a los miembros del grupo.


Lo que no he visto habitualmente es un mailbox compartido, o shared mailbox.
Un shared mailbox tiene varias características interesantes frente a las anteriores opciones:

  1. El usuario asociado a la cuenta se deshabilita automáticamente. No se accede con el user/pass del usuario de cuenta a la cuenta de correo.
  2. Los permisos a esta cuenta pueden ser de acceso y/o envío, de manera que el usuario no tiene que recordar más passwords. Simplemente puede agregar esa cuenta de correo compartida a su mailbox en Outlook.
  3. No hay límite de usuarios accediendo a una cuenta compartida, mientras que en una cuenta común en la que se comparte el user/pass, hay un límite que viene definido no por el número de personas conectadas, sino por el numero de operaciones que se realizan sobre la cuenta. Es decir, pueden conectarse 20 personas, por ejemplo sin tocar nada, pero uno o dos moviéndose por carpetas y enviando mails, o 5 personas trabajando sobre la cuenta simultáneamente. Esto no es un problema en un shared mailbox.

Vamos a tomar como ejemplo, una cuenta llamada "correoprueba", el dominio es lo de menos  ;)

Si hacemos una busqueda en exchange, aparece como "user mailbox"


A continuación, ejecutamos el comando que nos permite cambiar el buzon de usuario a cuenta compartida, shared mailbox: Set-Mailbox correoprueba -Type shared
Lo lanzamos desde la consola de comandos de Exchange.


Tras esto, veremos que Exchange detecta la cuenta de otra manera:


Bien, ahora toca dar accesos a este buzón. Para ello, en la misma búsqueda de la cuenta en Exchange, pulsamos botón derecho, y veremos las siguientes opciones:


Para dar permisos de envío deberemos hacer click sobre "Manage Send As Permission" y agregar a los usuarios aquí. Por el contrario, si solo queremos que puedan acceder a la cuenta pero no enviar, deberemos dar "Full Access Permission"

Una vez asignados los permisos, agregar la cuenta al usuario para que pueda trabajar con ella en su Outlook es muy fácil. En Outlook vamos a Archivo-> Configuración de la cuenta, y ahí, en la primera pestaña, en correo electrónico, agregamos la cuenta pulsando en "nuevo.


Aparecerá el nuevo buzón debajo de vuestro Inbox habitual.
Despues de agregar el shared mailbox, hay que tener cuidado con el campo "de", ya que si tienes permisos de "send as", puedes enviar desde tu cuenta habitual, y desde la cuenta compartida.

A modo de "bonus", no sólo puedes cambiar de cuenta "regular" de usuario a "shared", sino que dispones de estos tipos de mailbox: Regular, Room, Equipment, y Shared, que es la que hemos visto. de manera que revertir el cambio seria tan fácil como hacer "Set-Mailbox -Identity "usuario" -Type Regular.

Y otro truco mas: esto tambien aplica en o365. Seria, por ejemplo, Set-Mailbox -Identity mailbox@contoso.onmicrosoft.com -Type Shared