Antes de comenzar el proceso de instalación debemos asegurarnos que cumplimos con todos los requisitos previos, ya que si no es así, el asistente no permitirá que continuemos con la actualización.

Requisitos de instalación:

• .Net framework 2.0 SP1
  • X86 - http://www.microsoft.com/downloads/details.aspx?familyid=79BC3B77-E02C-4AD3-AACF-A7633F706BA5&displaylang=en
  • X64 - http://www.microsoft.com/downloads/details.aspx?FamilyId=029196ED-04EB-471E-8A99-3C61D19A4C5A&displaylang=en
• KB 931836 - http://support.microsoft.com/kb/931836
• Windows Server 2003 SP2
  • X86 - http://www.microsoft.com/downloads/details.aspx?FamilyID=95ac1610-c232-4644-b828-c55eec605d55&DisplayLang=en
  • X64 - http://www.microsoft.com/downloads/details.aspx?FamilyId=08FEC2F5-6E3B-4E0D-9314-646414D0A421&displaylang=en
    
• El servicio coordinador de transacciones distribuidas debe estar iniciado cuando actualicemos los roles de Acceso de Cliente y Mensajería Unificada, ya que ambos roles dependen de este servicio para poderse actualizar a Service Pack 1

Además, el proceso de actualización a Service Pack 1 se debe realizar siguiendo un orden específico. En primer lugar debemos actualizar todos los servidores Edge Transport (transporte perimetral) de la organización y a continuación todos los servidores Hub transport (transporte interno) y CAS (acceso de cliente). Es necesario actualizar todos los servidores ya que no están soportados los escenarios en donde unos servidores ejecuten una versión y otros ejecuten otra versión de Exchange Server 2007. Por último ejecutaremos la actualización en los servidores Mailbox (buzones) y en los clúster de buzones CCR.

El proceso de actualización en los roles de transporte, CAS y UM se realiza desde el asistente gráfico de instalación, ejecutando setup.exe situado en la carpeta donde hemos extraído el Service Pack 1 y siguiendo los pasos del asistente de una forma muy cómoda y sencilla.

Sin embargo, otra historia es la actualización de un clúster CCR. Lo primero que debemos saber es que no se realiza mediante la interfaz gráfica y debemos de seguir el procedimiento de forma escrupulosa, ya que si no podríamos tener problemas durante la actualización.

El procedimiento ocasiona un breve período de inactividad durante el proceso de actualización. Utilizaremos básicamente la línea de comandos con setup.com aunque sólo se debe ejecutar Setup /m:upgrade en el nodo pasivo del clúster y Setup /UpgradeCms en el nodo activo. Ambos nodos deben actualizarse a Exchange 2007 SP1 para ser compatibles, pero se deben actualizar de uno en uno. Después de actualizar los nodos, se actualiza el servidor de buzones de correo en clúster y después se pone en conexión.

En el siguiente procedimiento, las designaciones del nodo activo y pasivo cambian. Por lo tanto, para facilitar la consulta, el nodo activo original es NodoA y el nodo pasivo original es NodoB.

Operaciones en el NodoB:

1. Para preparar NodoB para la actualización, movemos todos los grupos de recursos del clúster a NodoA.
2. Iniciamos el servicio Conexión compartida a Internet (ICS)/Firewall de Windows. Es necesario iniciar este servicio para permitir que el programa de instalación agregue excepciones del Firewall de Windows para los servicios de Exchange.
3. Detenemos los servicios con identificadores abiertos para los contadores de rendimiento. Algunos de los servicios conocidos que se deben detener son registros y alertas de rendimiento y cualquier agente Microsoft Operations Manager.
4. Detenemos y después reiniciamos el servicio Registro remoto.
5. En una consola de línea de comandos ejecutamos setup /m:upgrade
6. Reiniciamos el NodoB una vez completada la actualización.
7. Ahora debemos parar el servicio de clúster y mover los recursos de Exchange al NodoB, por lo tanto volemos a iniciar sesión en NodoB y ejecutamos:
   a. Stop-ClusteredMailboxServer <NOMBRE_CLUSTER> -StopReason "Actualización a  SP1"
   b. Move-ClusteredMailboxServer <NOMBRE_CLUSTER> -TargetMachine NodoB -MoveComment "Actualización a SP1"
8. Una vez actualizado el NodoB, ahora debemos actualizar el servidor virtual en clúster, que después del movimiento de recursos, el propietario es el NodoB (Nodo activo). Para ello ejecutamos en una línea de comandos:
   a. Setup /upgradeCMS
   

Operaciones en el NodoA:

1. Iniciamos el servicio Conexión compartida a Internet (ICS)/Firewall de Windows.
2. Detenemos los servicios con identificadores abiertos para los contadores de rendimiento.
3. Detenemos y después reiniciamos el servicio Registro remoto.
4. En una consola de línea de comandos ejecutamos setup /m:upgrade
5. Reiniciamos el NodoA una vez completada la actualización.

Ahora están ambos nodos actualizados, así como el servidor de buzones virtual en clúster CCR. Por último, opcionalmente podemos detener y deshabilitar el servicio Conexión compartida a Internet (ICS)/Firewall de Windows en ambos nodos, si es que originalmente lo teníamos deshabilitado.

Además, como el propietario de los recursos cambia durante la actualización, podemos mover los recursos al NodoA con el cmdlet Move-ClusteredMailboxServer <NOMBRE_CLUSTER> -TargetMachine NodoA -MoveComment "Actualización a SP1"

La primera y segunda parte de este artículo se puede encontrar en:

• http://www.saenzguijarro.com/post/2008/02/Windows-Vista-SP1-(I-de-III).aspx
• http://www.saenzguijarro.com/post/2008/03/Windows-Vista-SP1-(II-de-III).aspx

Mejoras de seguridad

Sin duda este es una de las áreas de mejora más destacable que incluye Windows Vista Service Pack 1. Aunque se incluyen todos los boletines de seguridad publicados previamente al lanzamiento del Service Pack 1, además, con la actualización del sistema obtendremos los siguientes beneficios.

• Los desarrolladores de aplicaciones tienen a su disposición un nuevo conjunto de APIs, totalmente soportadas, que permiten que las aplicaciones de seguridad y detección  de código maligno puedan trabajar junto con la protección del Kernel incluida en las versiones de 64 bits de Windows Vista. De esta forma, no es necesario desproteger el sistema o deshabilitar la protección ofrecida por Kernel Patch Protection.
• Se mejora la seguridad de ejecución de aplicaciones remotas (RemoteApp) publicadas en servidores de terminal (Terminal Server) basados en Windows Server 2008. Windows Vista SP1 diferencia las aplicaciones firmadas digitalmente y advierte al usuario en caso de no poder comprobar la identidad de la aplicación publicada o el servidor remoto.
• Ahora un nuevo conjunto nuevo de APIs permiten controlar el comportamiento de DEP (Data Execution Protection) mediante programación, lo cual mejora la capacidad de los desarrolladores para realizar pruebas de compatibilidad y garantizar el óptimo funcionamiento de sus aplicaciones en entornos con DEP habilitado.
• Se mejora la confianza en la información presentada por el Centro de Seguridad de Windows (Windows Security Center), garantizando que solo las aplicaciones autenticadas se pueden comunicar con WSC.
• Se mejora la seguridad de las redes cableadas, habilitando los procesos de inicio de sesión únicos en redes autenticadas.
• La generación de números criptográficos aleatorios se mejora, al poder utilizar más fuentes de semillas (seed), incluyendo plataformas TPM (Trusted Platform Module). Además se reemplaza el uso general que tenía PRNG (Pseudo-Random Number Generator ) con un nuevo modo específico AES-256 PRNG para las capas de usuario y kernel.
• Se incluye un nuevo soporte para tarjetas inteligentes (Smart Cards) que utilizan autenticación biométrica en vez de PIN.
• Se agrega un nuevo canal seguro de comunicación para leer el PIN de las tarjetas inteligentes.
• BitLocker Drive Encription permite ahora el cifrado de otros volúmenes que no sean el del sistema.
• Además Bitlocker Drive Encription ofrece un método de autenticación multi factor, que combina una clave protegida por TPM (Trusted Platform Module) con una clave de inicio almacenada en una llave USB y un número PIN generado por el usuario.
• Los usuarios no administradores ahora pueden invocar la aplicación de copia de seguridad completa del PC (CompletePC Backup).
• Se actualiza RDC (Remote Desktop Client) a la versión 6.1 para soportar las nuevas características de terminal Server de Windows Server 2008, incluyendo el control ActiveX para el acceso Web (TS Web Access).
• Todos los boletines de seguridad que han sido publicados antes del lanzamiento del Service Pack 1, también están incluidos en éste. Para mayor información, la lista completa de boletines de seguridad está disponible en:  http://technet2.microsoft.com/WindowsVista/en/library/20184cb6-7038-4e82-a32c-4bc10ffe56ab1033.mspx?mfr=true
  

Soporte de nuevas tecnologías

• Service Pack 1 añade soporte de nuevos algoritmos de cifrado para IPSec:o   SHA-256, AES-GCM y AES-GMAC para ESP y AHo   ECDSA, SHA-256 y SHA-384 para IKE y AuthIP
  Se agrega Criptografía de Curva Elíptica (ECC) NIST SP 800-90 a la lista de Generadores de Números Pseudo Aleatorios (PRNG).
• Se agrega soporte para SSTP (Secure Sockets Tunnel Protocol), lo cual reduce los problemas de establecimiento de túneles  VPN en escenarios con NAT transversal, Proxy Web y Firewalls. SSTP forma parte de las novedades de la plataforma RRAS (Routing and Remote Access Service) de Windows Server 2008.
• Se soporta completamente el estándar IEEE 802.11n de redes inalámbricas.
• Windows Smartcard Framework cumple con las Directivas de la Unión Europea relativas a las firmas digitales (EU Digital Signature Directive) y los sistemas de identificación digital (National ID / eID)
• Se Mejora el Firewall de Windows para que cumpla con todos los requisitos y algoritmos de cifrado que forman parte de la iniciativa Suite B de la NSA (National Security Agency) de Estados Unidos. Más información en: http://www.nsa.gov/ia/industry/crypto_suite_b.cfm
  

Administración y otras mejoras generales

• Ahora los usuarios pueden seleccionar los volúmenes lógicos que se quieren defragmentar.
• Los administradores pueden configurar los clientes NAP para que se reciban las actualizaciones desde Windows Update o Microsoft Update. Anteriormente sólo se permitía el uso de WSUS para este propósito.
• Se puede configurar el tiempo que un cliente NAP debe recibir y enviar un estado de salud (SoH), lo que permite que el cliente NAP responda a tiempo cuando una conexión tiene un requisito de tiempo máximo de conexión (timeout).
• Se pueden utilizar registros de DNS para localizar servidores con Autoridades de Registro (HRA), en el caso que no existan HRA configuradas mediante GPO.
• Se permite que equipos clientes con un estado de salud correcto, por ejemplo personal de soporte técnico, se conecten mediante IPSec a clientes con un estado de salud no válido. Esto mejora el soporte de NAP en escenarios en donde se necesitan  resolver problemas e incidencias de clientes con estados de salud no válidos.
• Los administradores pueden desplegar dispositivos de impresión a través de la web (Web Services for Devices) a equipos remotos basados en Windows Vista o Windows Server 2008 a través de la consola de administración de impresión.
• Se mejora la impresión en impresoras instaladas localmente desde una sesión de terminal.
• Se permite que los usuarios eliminen o renombren carpetas redirigidas mientras están trabajando en modo desconectado (offline). Aunque esta funcionalidad está deshabilitada por defecto, puede ser habilitada mediante la modificación de una entrada de registro. Es importante para aquellos usuarios que trabajan durante largos periodos en modo desconectado.
• Ahora un administrador puede configurar las propiedades de una red como el nombre y desplegarla mediante GPO.
• Se permite que el servicio KMS (Key Management Service) se ejecute en un equipo virtual.
• Se agrega soporte para hotpatching, lo cual reduce significativamente la necesidad de reiniciar el equipo después de aplicar una actualización. Permite que los componentes sigan en uso mientras se están actualizando. Para ello se requieren paquetes de actualización habilitados con tecnología Hotpatched y el proceso de instalación es el mismo que otros paquetes.
• Se permite la instalación y despliege de versiones de 64 bits de Windows Vista desde sistemas de 32 Bits, lo cual significa que los administradores pueden mantener una única imagen de WinPE (Windows Preinstallation Environment).
• Se mejora el proceso de despliegue de actualizaciones cuando falla la instalación. Hay situaciones en las que se requiere una actualización antes de instalar otra. En estos casos, el proceso fallido se reintenta una vez completados todos los requisitos previos.
• Se mejora la estabilidad durante los procesos de instalación de actualizaciones, haciendo el proceso más resistente a errores temporales como violaciones de acceso, interrupción de flujo eléctrico, etc.
• La instrumentación del sistema se ha actualizado para permitir el envío de datos adicionales a Microsoft mediante CEIP. Con estos datos se han podido identificar numerosas incidencias que ahora se han resuelto en el Service Pack 1.
• Se mejora el informe de memoria instalada, indicando la memoria física real y no la memoria disponible por el sistema, como ocurría anteriormente. Por lo tanto, aquellos equipos de 32 Bits con 4 GB de memoria RAM instalados, reflejarán los  4 GB físicos en las propiedades del sistema. En cualquier caso, este comportamiento depende de que el BIOS sea compatible, por lo tanto no todos los usuarios observarán este cambio.
• Se reduce el número de consultas de UAC (User Account Control) desde 4 a 1 cuando se crean o renombran carpetas en una ubicación protegida.
• Se eliminan dos exploits que afectan a la estabilidad y seguridad del sistema:
  • Exploit de BIOS OEM que modifica el sistema de archivos y el BIOS para simular la activación de producto realizado en copias de Windows preinstalados de fábrica.
  • Exploit que resetea el periodo de gracia que se otorga después finalizar la instalación, hasta que se solicita la activación del producto.

Artículo publicado originalmente en Blog Vista Técnica por Joshua Sáenz G.

El próximo martes 29 de abril de 2008 realizaré un Webcast dedicado a la implantación de Standby Continuous Replication en Exchange Server 2007 SP1.

Standby Continuous Replication extiende las capacidades de alta disponibilidad en Exchange Server 2007 SP1. Está diseñado para escenarios en donde se utilizan equipos de recuperación en espera. Se puede combinar con Clúster de Copia Continua (CCR), Clúster de Copia Única (SCC) o servidores individuales de buzones. En este webcast se analizarán los requisitos para habilitar SCR y de mostrarán los escenarios de recuperación en caso de fallo.

Os podeis registar en esta dirección de Microsoft events

El contenido de la sesión es el siguiente:

• Introducción a SCR
• Comparación de escenarios de alta disponibilidad
• Requisitos para habilitar SCR
• Orígenes y destinos de replicación
• Escenarios de implantación Recuperación de desastres

Desde el pasado 14 de febrero ya está disponible Windows vista SP1 para todos los suscriptores de MSDN y TechNet Plus, así como los clientes de licenciamiento por volumen.  Para aquellos que ya dispongáis del paquete de actualización, recordad que Microsoft recomienda revisar algunos requisitos antes de instalar Windows Vista SP1:

• A pesar de que la instalación crea automáticamente un punto de restauración, siempre se recomienda hacer una copia de seguridad de la información importante.
• Se debe desinstalar cualquier versión previa del SP1 (Beta1, Beta2, RC, etc…)
• Se debe revisar el espacio disponible que tenemos en el disco del sistema:

Para aquellos que instalen Windows Vista SP1 a través de Windows Update, tendrán que instalar algunas actualizaciones antes de proceder a la instalación del SP1:

•  KB935509 (Solo es necesario para equipos con Windows Vista Enterprise o Windows Vista Ultimate)
• KB938371
• KB937287

Estas actualizaciones garantizan que Windows vista siga funcionando correctamente después de la actualización. Una vez instaladas, se podrá seleccionar la actualización del Service Pack 1 (KB936330)

Microsoft ha publicado también una actualización que resuelve algunos problemas enviados por algunos clientes con respecto a la actualización KB937287. Para más información http://support.microsoft.com/kb/949358/en-us

Para aquellos administradores que requieran una instalación desatendida en los equipos de su organización, pueden utilizar los siguientes parámetros cuando desplieguen la actualización a sus equipos:

• windows6.0-kb936330-x86.exe [/quiet] [/nodialog] [/norestart]
• windows6.0-kb936330-x64.exe [/quiet] [/nodialog] [/norestart]

En esta segunda entrega de la serie dedicada a Service Pack 1, comentaré algunas de las principales características que muchos estábamos esperando. Comenzaré con el área de soporte de Hardware:

• Se añade soporte para firmware UEFI (Unified Extensible Firmware Interface) de sistemas de 64 Bits. Esto permite que Windows Vista se instale en discos con formato GPT y realizar las operaciones habituales de hibernación, restauración e inicio del sistema desde UEFI. Una de las principales ventajas de UEFI con respecto al antiguo BIOS es que no es específico de una arquitectura concreta, como sí ocurre con BIOS y x86 16 Bits. Por ello UEFI puede evolucionar a lo largo del tiempo adaptándose a nuevas arquitecturas de hardware.
• Se añade soporte para Direct3D 10.1 y se extiende el soporte de API para nuevo hardware y nuevas características gráficas.
• Se añade soporte para formato exFAT, que extiende la capacidad de los dispositivos de memoria Flash y almacenamiento extraíble, y también el tamaño de los archivos, por ejemplo imágenes de muy alta resolución.
• Se añade soporte para identificar con nuevos íconos los formatos de alta definición como HD DVD (ya muerto) y Blu-Ray
• Agrega al decoder de MPEG2 soporte de protección de contenido en equipos con hardware de sintonización digital de cable, además se mejora la aceleración por hardware cuando estamos reproduciendo un DVD en nuestro PC.
• Durante el desarrollo del Service Pack 1 se han agregado más de 70.000 nuevos controladores de dispositivos a Windows Update, lo que reduce significativamente los problemas de compatibilidad de hardware que tuvo la versión RTM en los meses posteriores al lanzamiento.

Estabilidad:

• Gracias a los cambios introducidos en el proceso de recolección de errores (Windows Error Reporting) y la colaboración de los usuarios, ahora el Service pack 1 resuelve importantes problemas de estabilidad.
• Previene la perdida de datos mientras se desconecta un dispositivo de almacenamiento extraíble formateado con NTFS
• Mejora las conexiones con IPSec e IPv6, al excluir de IPSec el tráfico de descubrimiento de red
• Mejora el tiempo de conexión entre redes inalámbricas ad-Hoc (de equipo a equipo)
• Mejora las comunicaciones P2P de Windows Meeting Space y Asistencia Remota cuando ambos equipos están detrás de un firewall simétrico
• Ahora la herramienta de copias de seguridad permite incluir carpetas y archivos cifrados con EFS

Rendimiento y consumo

• Mejora el rendimiento cuando examinamos la red local, consumiendo menos ancho de banda.
• Elimina el problema de video chipset (VSync interrupt) que evita que el sistema pueda entrar en un estado de ahorro de energía.
• Reduce el consumo de energía evitando que el disco duro se mantenga girando en situaciones en las que no era necesario.
• Mejora la velocidad de agregar y extraer archivos comprimidos desde carpetas zip
• Mejora la velocidad de navegación en carpetas con muchos archivos
• Mejora el rendimiento de copia de archivos utilizando BITS (Background Intelligent Transfer Service)
• Mejora el rendimiento cuando se copian archivos localmente en el mismo disco (25% más rápido), cuando se copian archivos desde un equipo remoto que no es Windws Vista a un equipo con Windows Vista SP1 (45% más rápido) y cuando se copian entre equipos con Windows Vista SP1 (50% más rápido)
• Ajusta la estimación de copia y la barra de progreso mientras se copiar archivos con Windows Explorer
• Mejora en 50% el tiempo necesario para leer imágenes grandes
• Resuelve un problema que provocaba que un equipo tardara hasta 5 minutos en iniciar cuando se hacía desde ciertos discos duros habilitados para ReadyDrive
• Mejora la efectividad de un dispositivo ReadyBoost, reduciendo el tiempo para restaurar desde un estado de hibernación y en espera.Incluye mejoras en SuperFetch que reducen los tiempos de espera

Una nota final para aquellos usuarios que administran entornos de Directorio Activo y específicamente GPOs. Cuando instalamos Windows Vista SP1, se desinstala del equipo la consola GPMC ya que ésta se sustituirá por una nueva versión que estará disponible junto con el lanzamiento de Windows Server 2008. Es importante tener esto en cuenta ya que en caso de que sea necesario administrar GPOs mediante GPMC en Windows Vista, es recomendable mantener un equipo con la versión RTM hasta que Microsoft publique la actualización más adelante en: http://go.microsoft.com/fwlink/?LinkId=108437.

Artículo publicado originalmente en Blog Vista Técnica por Joshua Sáenz G.