Migrar el perfil de usuarios (cuentas de dominio o perfiles locales)

Las empresas que no poseen Active Directory y desean implementarlo, es común que presenten el problema para la migración de sus perfiles. Esto puede verse como un problema menor, pero en realidad significa un gran cambio para el usuario, ya que no solo tendrá una nueva cuenta, sino que además todas sus configuraciones se pierden y debe copiar los archivos a nuevo perfil.

En este artículo explicaremos cómo hacer la migración de perfiles en menos de 15 minutos, igualando todas las configuraciones y archivos del usuario.

Para el proceso de migración de perfiles se utilizará la herramienta User Profile Wizard 3.9, esta herramienta es gratuita y permite migrar un perfil local al nuevo perfil creado con las cuentas de dominio.

Antes de hacer la migración se debe subir el equipo al dominio e ingresar con el perfil del usuario para crear la carpeta del perfil, luego se debe cerrar la sesión del dominio e ingresar la cuenta local del usuario para realizar el proceso de migración.

Descarga y uso User Profile Wizard 3.9

Para descargar la herramienta de migración desde la página del fabricante debe acceder al siguiente enlace https://www.forensit.com/downloads.html.

Esto descargará un archivo .Zip el cual debe ser extraído para acceder al contenido. Luego de extraer, se identifica el instalador de la herramienta, además de un archivo .txt que informa sobre la licencia legal del software.

1

Esta herramienta no requiere instalación, por lo que para usarla solo debe hacer doble clic en el archivo Profwiz.exe y se abrirá el asistente de migración.

  1. Siguiente

2

2. Se debe seleccionar la cuenta a migrar

3

3. Seleccionar el dominio y especificar la cuenta

4

4. Se inicia el proceso de migración y se espera que finalice

5

Luego se debe cerrar sesión y se ingresa con la cuenta de dominio, donde ésta estará configurada igual que la antigua cuenta local del usuario.

El proceso de migración puede demorar dependiendo de la cantidad de información que se deba migrar, a pesar de esto, los procesos de migración son muy ágiles y no deben tomar más de 10 a 15 minutos. Si el tiempo de migración supera los estándares indicados anteriormente se recomienda revisa los archivos de log del proceso.

Nunca debe detener el proceso de migración, esto puede dañar los archivos o corromper el perfil que está siendo migrado. Si la aplicación tiene un cierre brusco e inesperado se debe verificar el acceso al perfil y revisar los documentos y archivos contenidos.

Es recomendable, como medida de seguridad, hacer un respaldo de los archivos para los usuarios VIP (Gerencias, jefatura, área de contabilidad, entre otros…) o todos aquellos que manejen información delicada esto con el objetivo de prevenir una pérdida de información en el caso de que la migración se vea interrumpida.

 

Nicolás Herrera, Consultor Infraestructura, Blue Solutions.

 

Advertisements

¿Cómo introducir licencias en SCCM 2012 R2?

El post de hoy trata de qué pasos se deben seguir para introducir licencias de SCCM 2012 a SCCM 2012 R2. Afortunadamente, en SCCM podemos introducir  licencias cuando el producto ya está instalado. Esto no es posible con otros productos de System Center.

Paso 1: Abrir programas y características.

  • No se debe desinstalar, solo realizaremos cambios en él.

sccm key 01

Mostrará una advertencia de que están conectados otros usuarios en la aplicación. Debemos presionar Continuar.

sccm key 02

Paso 2: Iniciar asistente y presionar siguiente.

sccm key 03

Paso 3: Seleccionar la opción de  realizar mantenimiento en el sitio.

sccm key 04

Paso 4: Seleccionar la opción de actualizar edición de evaluación.

sccm key 05


Paso 5:
 Aceptar términos y condiciones.

sccm key 06

Paso 6: Ejecución y OK!

sccm key 07

El proceso completo no debiera tomar más de 10 minutos. Recuerden que tienen 180 días para introducir la/s licencia/s.

Maximiliano Marín, Consultor de Infraestructura, Blue Solutions.

Síganos en LinkedIn Blue Solutions Chile.

 

 

¿Cómo se debe configurar el SPN para la migración de File Server?

No hay migración de servicios que no esté acompañada de dolores de cabeza. Especialmente si son servicios críticos para las organizaciones, como es el caso de los servidores de archivos.

Nunca hay que creer cuando comentan que la migración de un File Server es solo mover los archivos de un lugar a otro usando Robocopy y luego hacer el cambio en el servidor DNS para que siga conservando el mismo nombre que el servidor de origen y el cambio sea transparente a los usuarios.

Antes de explicar el cambio de SPN, me gustaría que se entendiera el concepto de SPN en su definición más fundamental.
SPN viene de la sigla de Service Principal Name.
Éstos deben estar asociados a un objeto de Active Directory (cuenta de usuario, grupo o computador) en el cual el servicio se ejecuta. Su función principal es soportar la autenticación mutua entre un cliente y un servicio.

Entonces, la configuración de un SPN consiste en la asociación de un servicio a un objeto de AD. Un objeto de AD puede tener varios SPN asociados, pero un SPN solo puede estar asociado a un objeto de AD. En el caso de que se duplique un SPN, vendrán los problemas.

Cuando se realiza una migración de File Server y posteriormente se hace el cambio en el DNS para que el antiguo servidor apunte al nuevo y se intenta acceder a la ruta, el visor de eventos mostrará un error así:

The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server SRV-NUEVO$. The target name used was cifs/SRV-VIEJO. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (DOMINIO.CL) is different from the client domain (DOMINIO.CL), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server. 

Como el SPN no estaba configurado de forma correcta, no es posible hacer ni mantener la autenticación, por lo tanto, da error.

Para configurar el SPN, se debe hacer con una cuenta con privilegios sobre el dominio.

Eliminando un SPN
Antes de asignar un SPN a un objeto, hay que eliminarlo  del objeto al cual estaba asignado. Se debe seguir la sintaxis:
setspn -D servicio/host ObjetoAD Por ejemplo:

setspn -D host/srv-viejo.midominio.cl srv-viejo

setspn -D host/srv-viejo srv-viejo
setspn -D cifs/srv-viejo.midominio.cl srv-viejo
setspn -D cifs/srv-viejo srv-viejo

De esta forma se elimina los SPN asociados al file server del objeto srv-viejo.

Asociar un SPN
Una vez desasociados los SPN al antiguo objeto, se debe asociar al nuevo objeto. La sintaxis es:
setspn -S servicio/host ObjetoAD Por ejemplo:

setspn -S host/srv-viejo.midominio.cl srv-nuevo
setspn -S host/srv-viejo srv-nuevo
setspn -S cifs/srv-viejo.midominio.cl srv-nuevo
setspn -S cifs/srv-viejo srv-nuevo

De esta forma, el servicio podrá autenticar y mantener la autenticación. El recurso compartido es accesible desde los clientes. Hay que tener un especial cuidado con los clientes con Windows XP. Por que aparte de configurar los SPN correspondientes, también hay que hacer un cambio en el editor del registro de Windows. Seguir la documentación de este link: https://support.microsoft.com/en-us/kb/281308

Más información sobre la herramienta setspn se puede encontrar en: https://technet.microsoft.com/en-us/library/cc961723.aspx

Podemos concluir que las migraciones de File Server, no son tan sencilla ni con pocos pasos como afirman algunos, hay que realizarlas de manera cuidadosa para no incurrir en errores.

Maximiliano Marín, Consultor de Infraestructura, Blue Solutions.