============================================================================
- Operaciones con Forefront Protection Server Script Kit (1 de 5)
- Operaciones con Forefront Protection Server Script Kit (2 de 5)
- Operaciones con Forefront Protection Server Script Kit (3 de 5)
- Operaciones con Forefront Protection Server Script Kit (4 de 5)
- Operaciones con Forefront Protection Server Script Kit (5 de 5)
============================================================================

En el post de ayer se definían los procedimientos y requisitos para instalar y ejecutar Forefront Protection Server Script Kit si se desea hacer uso de ella. Lógicamente, la herramienta debe ser primero descargada [Descargar Forefront Protection Server Script Kit] e instalada. Una vez hecho, se obtendrán una serie de scripts para el mantenimiento de los servidores Forefront Protection 2010. Los scripts definidos que acompañan la herramienta son un total de 5 y permiten las siguientes tareas que vamos a cubrir en esta serie:

- Descubrir servidores Forefront Protection 2010 for Exchange y for SharePoint en la organización.
- Importar una configuración en uno o varios servidores.
- Exportar la configuración de un servidor.
- Generar informes relativos a los servidores.
- Comparar las configuraciones de uno o varios servidores con respecto a una configuración dada.

A lo largo de esta serie se irán definiendo la sintaxis y procedimientos para la realización de diferentes acciones. Los scripts en Powershell que Microsoft ha preparado se muestran en la siguiente imagen:


Figura 1: Scripts de Forefront Protection Server Script Kit

La invocación de las acciones se realiza mediante el script FPSSK.ps1, siendo la sintaxis genérica para la ejecución de tareas desde PowerShell la siguiente:

FPSSK.ps1 [-action] [-option1] [-option2] … [-optionn]
Descubrimiento de Servidores

El primero de los procedimientos consistirá en descubrir e identificar los diferentes servidores de Microsoft Forefront Protection 2010 existentes en la organización. Esta operación se basa en la realización de una consulta en el Directorio Activo sobre los servidores de Microsoft Exchange Server y SharePoint Server que se encuentren ejecutando Forefront Protection 2010. La información puede presentarse por pantalla o bien enviarse a un fichero en formato csv. La sintaxis de ejecución para la operación de descubrimiento es la siguiente:

FPSSK.ps1 –Discover [-Domain] [-ExportCsv]
La siguiente imagen muestra el resultado de descubrir los servidores existentes en el dominio empresa.es.


Figura 2: Descubrimiento de servidores en el dominio empresa.es

Esta operación además de mostrar el resultado por pantalla, da como resultado un fichero con los diferentes servidores, que podrá ser utilizado posteriormente en las diferentes operaciones para la ejecución de acciones en todos los equipos detectados. El fichero podrá modificarse manualmente para ajustarse a las necesidades de administración.

============================================================================
- Operaciones con Forefront Protection Server Script Kit (1 de 5)
- Operaciones con Forefront Protection Server Script Kit (2 de 5)
- Operaciones con Forefront Protection Server Script Kit (3 de 5)
- Operaciones con Forefront Protection Server Script Kit (4 de 5)
- Operaciones con Forefront Protection Server Script Kit (5 de 5)
============================================================================

Garantizar la administración centralizada cuando existe un gran número de servidores, constituye una necesidad en medianas y grandes organizaciones. En este sentido, y en base al tamaño que pueden tener los escenarios de gestión de correo electrónico y de gestión documental, se hace necesaria la consolidación de los procesos de administración. En el caso de la línea de productos de Forefront Protection 2010 - para Exchange y para SharePoint -, Microsoft ha proporcionado un conjunto de scripts orientados a la gestión y configuración centralizada de múltiples servidores denominado Forefront Protection Server Script Kit.

El kit de scripts permite capturar el nombre de todos los servidores que se encuentran ejecutando Forefront Protection 2010 en un dominio y capturar la configuración para equipos especificados. Ésta puede desplegarse a otros o bien comparar la información recuperada. Permite también, para ayudar a comprender mejor el despliegue, generar informes del estado de los equipos.

El kit de scripts de Forefront Protection Server requiere los siguientes productos instalados en el equipo desde el que se vayan a ejecutar dichos scripts y en los servidores de administración remota:

- Windows Powershell 2.0.
- Windows Remote Management (WinRM) 2.0.

En el caso de Windows Server 2008 R2 y Windows 7, estos componentes se encuentran ya preinstalados por defecto. En versiones de sistemas operativo previos deberían ser instalados. Hay que tener en cuenta también que Windows Powershell 2.0 requiere Microsoft .NET Framework 2.0 SP1.

Para que la ejecución de los script de forma remota sobre los equipos sobre los que se ejecutarán sea factible deberán realizarse los siguientes procedimientos:

- Habilitar Windows PowerShell para administración remota: Esto se deberá realizar tanto en los equipos desde los que se hará la gestión como en los servidores a administrar. Para ello se ejecutará la siguiente sintaxis a través de PowerShell: Enable-PSRemoting

Figura 1: Habilitar administración remota

- Modificarse la política de ejecución de PowerShell en cada equipo del entorno a AllSigned: Para ello deberá ejecutarse el siguiente comando: Set-executionpolicy –Scope LocalMachine –ExecutionPolicy AllSigned


Figura 2: Cambio de la directiva de ejecución a AllSigned

Una vez realizado esto, los sistemas se encontrarán ya preparados para la ejecución de los scripts.

Uno de los servicios ampliamente utilizados para la conexión de clientes VPN es el de tipo L2TP/IPsec. Aunque a partir de Windows Server 2008 se admite el uso de la conectividad SSTP como mecanismo de conexión, éste sólo es factible a partir de clientes de Windows Vista con Service Pack 1. La conexión L2TP permite la conexión remota a través de un túnel de VPN al servicio de acceso remoto. El tipo de conexión que se establece es de tipo NAT-T característica compatible con clientes Windows 7 y Windows Vista. En el caso de clientes Windows 2000 y Windows XP deberían instalar la actualización 818043 para que fuera factible.

Se han detectado, no obstante, en determinadas circunstancias en un escenario de Windows Server 2008 R2 donde se intenta realizar más de una conexión de tipo L2TP, que a partir de la primera, ésta no se efectúa satisfactoriamente. Los clientes reciben los siguientes mensajes de error en el acceso remoto: 678 y 803.

Este error afecta además del servicio de enrutamiento y acceso remoto de Windows Server 2008 R2, a Microsoft Forefront Threat Management Gateway TMG 2010, cuando esté implementado sobre este sistema operativo. Este error no aparece en la solución implantada sobre Windows Server 2008. Los clientes son rechazados cuando inician la conexión de tipo L2TP. Sin embargo las conexiones de tipo PPTP y SSTP no se verán afectadas en ninguna manera, funcionando correctamente. Todo el detalle relativo a este problema esta documentado en el artículo de la KB 2028625.

Microsoft ha creado una revisión compatible diseñada para corregir este problema concreto. Debería aplicarse, no obstante, en sistemas que experimenten dicho problema. Por lo tanto, si no se ve afectado por este problema, se recomienda a que espere a la siguiente actualización de software que contenga este hotfix.

La actualización se aplica exclusivamente sobre Windows Server 2008 R2 y requiere reiniciar el equipo después de su aplicación. La descarga de la revisión no se realiza directamente sino que ofrece como solicitud a través de la siguiente URL:Fix316135


Página de solicitud del fix

La forma para acceder a la revisión será a través de un correo electrónico enviado a la dirección definida en la solicitud. Ésta se presenta en un fichero en formato .zip que, a través de la aplicación Microsoft HotFix Self-Extractor, permitirá su descompresión. Para ello se solicita la contraseña que se encontrará adjunta en el correo electrónico.

Extracción de los ficheros

Una vez que el proceso de extracción se ha completado, se puede proceder a la instalación del hotfix.

Instalación de la revisión

Una vez que se ha completado, se procederá al reinicio del sistema para que los cambios sean efectivos y no debería volver a producirse este problema con la conexión VPN con L2TP.