Under C.P.D.

Hola.

Tras impartir un par de formaciones sobre Wsus a administradores de sistemas, os enumero a continuación las preguntas y respuestas que han surgido en relación a las actualizaciones y que me parece interesante compartir.

¿Qué tipos de actualizaciones hay?.

Tipos:

Actualizaciones críticas: Resuelven errores críticos no relacionados con seguridad. También actualiza base de datos de suplantación de identidad (phising) o correo no deseado, así como aplica a sistema operativo y aplicaciones.

Controlador: Actualización de drivers.

Actualización de seguridad: Ofrece solución ante una vulnerabilidad específica de producto relacionada con la seguridad. Las vulnerabilidades se catalogan en función de su gravedad, critica, importante, moderada o baja. http://support.microsoft.com/kb/824689/es

Service Pack: Conjunto acumulativo y probado de todas las revisiones y actualizaciones de seguridad y actualizaciones criticas. Pueden contener también resolución  a problemas detectados internamente y cambios de diseño o características tanto para sistema operativo, complementos o programas.

Clasificaciones:

Importantes: significativas para la seguridad, privacidad e incorporación de características. Deben ser instaladas tan pronto como sea posible.

Recomendadas: No criticas, ayudan a obtener una mejor experiencia.

Opcionales: Puede incluir actualización de drivers, nuevo software y ayudan a mejorar experiencia de usuario.

¿Donde puedo consultar las actualizaciones que necesita mi equipo?

En un equipo de muestra del parque puedes ir a inicio, buscar y escribir Windows Update.

¿Cómo puedo hacer que en mis equipos se instalen actualizaciones de forma forzada?

Sin duda a través de gpos en computer configuration – plantillas administrativas – windows update.

En un entorno empresarial es imprescindible combinarlo con una buena infraestructura de WSUS.

¿Cada cuando he de revisar actualizaciones?.

Microsoft publica actualizaciones el segundo martes de cada mes, anteriormente a eso, se pueden recibir y consultar las actualizaciones que serán liberadas en el boletín de seguridad de MIcrosoft.

https://technet.microsoft.com/es-es/library/security/dn631938.aspx

¿Qué pasa si me olvido o no aplico una actualización?.

Tu equipo quedará expuesto en mayor o menor medida.

¿Puedo desinstalar actualizaciones?.

La mayor parte si, solo no se pueden desinstalar las que afectan a archivos críticos de sistema operativo. Estas pueden ser desinstaladas volviendo a un estado anterior, gracias al punto de restauración que su instalación crea o bien en inicio-panel de control-desinstalar programas-ver actualizaciones instaladas.

¿Por qué en equipos tengo problemas al instalar actualizaciones?.

No debería haber problemas generales, pero pueden ocurrir problemas específicos en ciertos equipos.

Se aconseja repasar los problemas y soluciones comunes: http://windows.microsoft.com/en-us/windows/troubleshoot-problems-installing-updates#1TC=windows-8 . Como principales motivos y cosas a tener en cuenta se encuentra revisar la hora de windows y asegurarse de que tanto Windows como Office tengan licencia y estén activados correctamente.

La web anteriormente enlazada también descarga el programa “Troubleshooting and help prevent computer problems (WindowsUpdateDiagnostic.diagcab. )

Hola.

Hoy se me ha planteado la necesidad de salvar y luego volver a importar la configuración de unas cuantas tarjetas de red y en vez de hacerlo a mano, he buscado el comando y aquí está. Como siempre, pararse a afilar el hacha es un tiempo bien dedicado.

El comando para exportar la configuración es:

netsh -c interface dump > archivo.txt

El comando para importar la configuración exportada es:

netsh -f archivo.txt

Saludos.

La descripción de funcionamiento de BranchCache en modo distribuido sería la siguiente.

Escenario:

1. Servidor Windows Server 2008 R2 con rol de servidor de ficheros, carpeta compartida y en esta última, tenemos marcada la opción de BranchCache o si se trata de http, debemos tener publicado la carpeta donde se almacena la web.

2. Equipo cliente A con Branchacache activado vía gpo o en gpedit local y reglas de firewall en modo permitido.

3. Equipo cliente A, tiene configurado mediante gpo o gpedit local, el tiempo de corte por el cual, si el servidor funciona más lento del tiempo establecido, el archivo se cacheará y será ofrecido a otros pcs de la Lan.

3. Equipo cliente B igual a equipo cliente A.

Funcionamiento:

1. El equipo cliente A, solicita a servidor los identificadores del archivo que necesita. Esta solicitud puede ser Http, bits o smb, mediante también https o ipsec.

2. El cliente A, busca en local y en su LAN mediante WS-Discovery, en este primer uso, el archivo nunca ha sido descargado.

3. El cliente A, descarga el archivo desde el servidor.

4. El cliente B, solicita a servidor los identificadores del archivo que necesita. Esta solicitud puede ser Http, bits o smb mediante también https o ipsec.

5. El cliente B, busca en local y en su LAN mediante WS-Discovery. En este segundo uso, el archivo previamente ha sido descargado por el Cliente A.

6. El cliente B, comprueba que la comunicación con el servidor es mayor y por tanto más lenta en milisegundos que lo establecido en la gpo o gpedit local.

6. El cliente A, ofrece a cliente B el archivo.

Hasta aquí, la descripción de como funciona el servicio.

Configuraciones

Servidor:

1. Instalar característica File server y  Branchcache.

2. Directiva de equipo local o gpo – Equipo – Plantillas administrativas – Red – Servidor lanman –Publicación de hash para BranchCache – Habilitado y elegir una de las opciones, yo prefiero – Permitir publicación de hash para shares con branchcache habilitado.

SMB

1. Activar rol de servidor de ficheros.

2.Compartir una carpeta

3. Propiedades – compartido – avanzado – cacheado – marcar “Enable BranchCache”.

SMB en clúster

Si vais a utilizar smb en clúster, tenéis que lanzar en todos los nodos el siguiente comando: netsh branchcache set key passphrase=“frase secreta”, debéis repetir la misma frase en todos los nodos.

HTTP

1. Lanzar CMD como adminsitrador

2. publish-bcwebcontent (ruta de la web: ej.c:\inetpub\wwwroot )

Equipos cliente:

1. La gpo o gpedit local en los equipos cliente deben tener configurado:

1. Ir a Computer\Plantillas administrativas\network\BranchCache
2. Activar BranchCache – Enable
3. Establecer el modo Caché distribuida de BranchCache – Enable
4. Configurar BranchCaché para archivos de red – 0ms. si queremos cachear siempre o más milisegundos si queremos un tiempo de corte.
5. Establecer el porcentaje de espacio en disco usado por la memoria caché del equipo cliente – Cifra en porcentaje

2. Configuración de Firewall:

1. Firewall de windows con seguridad avanzada
2. Reglas de entrada-botón derecho-nueva regla-predefinida- BranchCache: detección del mismo nivel (usa WSD) y BranchCache: recuperación de contenido (usa HTTP).

Si se trata de un pequeño número de equipos, también podéis lanzar el comando : netsh branchcache set service mode=Distributed, el cual os lo configurará todo, aunque siempre, la configuración llegada mediante gpo, tendrá prioridad.

Tras esta configuración, podemos lanzar en un cmd como administrador y consultar si todo está ok, gracias la comando netsh branchcache show status all, donde también podéis ver la cantidad de información cacheada en el equipo.

Probar Branchcache

Para probar la configuración y funcionamiento de BranchCache, solo tendrías que:

1. Instalar un emulador de linea, por ejemplo:

NetworkEmulatorToolkit_x32
NetworkEmulatorToolkit_x64

2. Instalar este emulador en el servidor , configurar y en los filtros configurar una latencia mayor que la configurada en la gpo de los equipos cliente (Equipos cliente punto 1.4).

3. Copiar a local en Equipo A o descargar de una web un archivo y observar el tiempo que tarda en finalizar el proceso.

4. Realizar el mismo proceso en Equipo B. El tiempo ha e ser considerablemente menor porque Equipo A ha de ser quien entrega los datos, contando con una latencia mínima en Lan.

Hola.

El siguiente paso a paso, configura Branchcaché en nuestra red, aprovechando incluso las nuevas funcionalidades de ws2012 y Windows 8, gracias las cuales, el equipo cliente utiliza el servidor hosted más próximo a él.

Entorno:

Servidor DC, web y smb

Server1, en dominio, será hosted server y cliente

Server2, en dominio, será, hosted server y cliente

Configuración:

1. Crear una gpo con nombre BranchCache clientes, por ejemplo.

• Ir a computer configuration\policies\administrative templates\network\branchcache
• Habilitar las siguientes opciones: “ turn on BranchCache”, “Set BranchCache Distributed Cache Mode” y “Enable Automatic Hosted Cache Discovery by Service Connection Point”.
• Ir a Computer Configuration\Policies\windows Settings\Security settings\windows Firewall with Advanced Security\windows firewall with advanced security\…inbound rules
• Nueva regla – Predefinida – Branchcache- content retrieval (uses http).

Filtrar la gpo para que solo se aplique a ordenadores cliente donde queremos que utilicen BranchCache

2.Instalar la caraterística de BranchCache en los servidores hosted, para ello:

• Comando powershell: get-windowsfeature BranchCache | install-WindowsFeature
• Si tenéis varios servidores podéis: invoke-command –computername server1,server2,dc –scriptblock{y el comando que he puesto antes}

3. Configurar por ejemplo la carpeta de web server para las primeras pruebas:

• publish-bcwebcontent c:\inetpub\wwwroot (o la ruta donde tengáis la web en cuestión).

4. Configurar el/los hosted cache server, en mi caso lo haré en server1 y server2:

• enable-bchostedserver –registerscp
• gpupdate /force
• get-service peerdistsvc | restart-service

A partir de este momento ya se puede realizar una prueba, por ejemplo, bajando un archivo de http://dc/archivo.iso (por ejemplo). Para que las pruebas confirmen el funcionamiento, lo mejor sería utilizar un limitador de ancho de banda en el dc y comprobar que la primera descarga desde server1 es muy lenta y luego, desde server2, la misma descarga se realizar prácticamente de inmediato.

Una vez configurado todo esto, si queréis que una carpeta se cachee, solo tenéis que marcar la opción al respecto en las propiedades de esta.

Hola.

Lo prometido es deuda y en esta entrada os voy a recopilar los pasos de la demo de Dynamic Access Control.

El propósito de la demo es permitir acceso solo a usuarios del grupo administradores a documentos que contengan una cadena de números que coincide con el formato de una tarjeta de crédito (Ejemplo: 0000-0000-0000-0000) almacenados en una carpeta compartida, aunque podríamos generalizarlo de forma fácil a todas las carpetas del dominio, por ejemplo.

Para que veáis la potencia de DAC, esta demo se podría extender a por ejemplo, permitir acceso a estos documentos, solo a usuarios los cuales, tengan en el campo departamento en el AD, el texto “Financieros”.

Vamos allá. La demo continua tras la creación de un Share:

http://blogs.itpro.es/mhernandez/2012/11/08/compartir-carpeta-avanzada-con-server-manager-demo-dynamic-access-control-1/

Como requisito previo necesitamos:

Activación File Server Resource manager

Comprobar que tenemos acceso a Active Directory Administrative Center

No es imprescindible para esta demo, pero si la política que vamos a crear queremos que se aplique a todas las share, solo tenemos que marcar que Dynamic Access control se aplique en esta share.

Entramos en materia. Para hacerlo fácil, he recopilado algún script de powershell por la red, que he modificado debidamente para adaptarlo a mis pretensiones. Estos comandos lanzarán la creación de políticas y configuración en general que iremos revisando desde las consolas gráficas.

#file server resource manager
Set-ADResourceProperty PII_MS -Enabled $true
New-FsrmClassificationRule -Name ‘Tarjeta_credito’ -Namespace ‘c:\share’ -ClassificationMechanism ‘Content Classifier’ -Property PII_MS -PropertyValue 5000 –ContentRegularExpression ‘\b(?:\d[ -]*?){13,20}\b’ -ReevaluateProperty Overwrite
$schedule = New-FsrmScheduledTask -Time ’00:00′ –Weekly @(‘Sunday’,’Monday’,’Tuesday’,’Wednesday’,’Thursday’,’Friday’,’Saturday’)
Set-FsrmClassification -Schedule $schedule –Continuous

A ver…. en el comando anterior, creo una política a aplicar en principio sobre la carpeta c:\share que da valor 5000 (luego veremos qué es esto) a cualquier documento que contenga un texto “ \b(?:\d[ -]*?){13,20}\b’ de entre 13 y 20 caracteres, separado por guiones y esto se ha de aplicar 24 horas por día, 7 días por semana.

El resulta es la creación de una clasificación 5000 = High.

“High” según lo que vemos en Classification Rules, serán documentos que tengan la cadena que hemos visto antes ‘\b(?:\d[ -]*?){13,20}\b’.

Según el siguiente comando crearemos una regla y una política (politíca no es más que la agrupación de una o más reglas) que veréis en AD Administravie Center.

#Active directory administrative center
$condition = ‘(@RESOURCE.PII_MS >= 3000)’
$acl = ‘O:SYG:SYD:(A;;FA;;;OW)(A;;FA;;;BA)(A;;FA;;;SY)’
New-ADCentralAccessRule -Name ‘Regla PII’ -ResourceCondition $condition -CurrentAcl $acl

New-ADCentralAccessPolicy -Name ‘Politica de acceso restringido a inf’
Add-ADCentralAccessPolicyMember -Identity ‘Politica de acceso restringido a inf‘ -Members ‘Regla PII’

El fundamento de esto en resumen es: Vamos a tener una capa sobre los permisos efectivos de siempre, o sea, los que configuramos en la pestaña de seguridad de cualquier carpeta. Esta capa, tendrá unos permisos que sustituirán a los anteriores si las condiciones se cumplen.

Y lo que hemos hecho y visto en estas tres capturas anteriores, es que documentos con calificación HIGH, en realidad, con calificación mayor de 3000, tienen unos permisos que solo ofrecen acceso de lectura al grupo Administradores y lo importante es que no ofrecen permisos de lectura al grupo Domain Users. (aquí es donde podéis llegar a ofrecer solo acceso a usuarios con el texto “Financieros” en el campo departamento del AD, por ejemplo.

Tras ello, debemos crear dos GPOS, una aplicada a Domain controllers y otra a todos los equipos y servidores del dominio. En estas políticas lo importante es esto: Kerberos client support for claims, compound authentication and Kerberos armoring – Enabled y también propagar las política de DAC que hemos llamado ‘Politica de acceso restringido a inf‘.

Cómo esto es una entrada que requiere un grado medio alto de conocimiento en administración de Windows Server, os cuelgo las pantallas y sé que sabéis llegar solitos a las rutas .

En mi caso, voy a provocar el forzado de políticas en el equipo que opero y a un equipo remoto que se llama nodo1 desde donde el usuario tratará de abrir el documento.

Gpupdate /force
invoke-command -computername nodo1 -scriptblock { Gpupdate /force }

Aplicamos la política de DAC a la carpeta c:\share

Ahora vemos como un documento almacenado en Share y con un texto cualquiera, obtiene calificación NONE (se podría dar calificación HIGH manualmente incluso y con esto, a este documento no podrían acceder los usuarios).

Ahora vemos que tras añadir un texto que cumple con la cadena que buscamos, el documento adquiere calificación HIGH y en consecuencia, valoración 5.000 que es mayor de 3.000 (ya sé que es una obviedad pero ya sabéis por qué lo digo ).

Al tiempo, comprobamos que un usuario administrador puede abrir perfectamente el documento.

Ahora iniciamos sesión en otro equipo con el usuario “usuario”.

Vemos que este usuario no tiene permitido la apertura del documento.

Esto es viejo, pero si explotamos la opción “Enable access-based enumeration”, el usuario que no tiene permiso, no ve el documento.

Veis, funciona. Curiosamente solo no me funcionó en el webcast, cosas del directo.

Hola.

Aunque este no es demasiado demandado, realmente es sorprendente una red wireless con validación de equipo o usuario dependiente de ciertos condicionantes establecidos en el servidor NPS de Windows Server.

Ya hace un tiempo, os mostré como montar la validación por usuario:

http://undercpd.blogspot.com.es/2012/02/integrar-wifi-con-directorio-activo.html

http://undercpd.blogspot.com.es/2012/02/integrar-wifi-con-directorio-activo_28.html

Hoy os enseño lo que tenéis que hacer para que la validación sea por equipo. Realmente son un par de cambios, pero es verdad que la red está llena de consultas de gente que no ha sabido establecer esa comprobación.

Los pasos serían:

Aseguraros que en la especificación de la red wifi en el equipo local o difundida por gpo, el modo de autentificación sea por equipo

En la parte del servidor, quitar la pertenencia a grupos de usuario y añadir como condicionante la pertenencia a un grupo del Directorio Activo.

Por supuesto, podemos añadir condicionantes como validación de salud, tener activdo el firewall, etc.

Saludos.

Hola.

Vale, aunque en esta entrada, ya utilizaremos nuevas opciones en la forma de publicar y control de carpetas compartidas, esta no es una entrada especialmente técnica ni compleja. Podríamos decir que esta es la entrada nº 1 de las demo sobre Dynamic Access Control que realicé en el webcast sobre almacenamiento.

Como dije, mi intención es ir publicando las diferentes demos.

Previo

El rol relacionado con estas funcionalidades es File And Storage Services.

Paso a paso

1. Iniciar el asistente de creación de share y elegir la modalidad SMB Share Advanced.

He aquí el kit de la cuestión, debéis marcar

Saludos.

Hola.

Aunque ahora ya sabéis que en Windows Server 2012, puedes añadir o quitar la GUI -Interface gráfica de windows, la web que os enlazo a continuación, recopila los scripts y ordenes powershell necesarias para configurar un servidor en modo core:

http://technet.microsoft.com/en-us/library/jj592692.aspx

Saludos.

Hola.

La verdad es que no tenemos tiempo ni de celebrar lo bueno que nos pasa .

El otro día saqué el examen 70-417 que me actualiza a MCSA en Windows Server 2012.

Hasta el día del examen estuve haciendo una guía de estudio con los links que iba utilizando, esta guía no está terminada pero creo que aun sí, si os planteáis prepararlo puede ser una buena ayuda.

He colgado el código HTML directo al documento, pero como no se si está funcionando bien, os dejo también el link de la carpeta de skydrive donde está alojado.

https://skydrive.live.com/redir?resid=D0190B360D3CB440!153

Saludos.

Necesitas instalar:

• .Net Framework 4
• Windows Management Framework 3.0

Y tras ello, correr en powershell de WS2008 R2:

• Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
• Configure-SMRemoting.ps1 -force –enable

Por cierto, pregunta de examen para la certificación MCSA ws2012.