Category Archives: Directorio Activo

Administración Azure Backup Cloud Computing Directorio Activo OMS System Center

Introduccion a Microsoft Operations Management Suite (OMS) – Monitorización en la nube.

Published by:

Buenos dias,

Último dia laboral del año. Entonces pensé, voy a empezar una serie de posts dedicados a OMS y último post del año, primero de esta serie, que mejor dia que “Hoy” 😉

Hace mucho tiempo, en una galaxia muy lejana, os hablé en este post sobre “System Center Advisor, monitorización en la nube“, un producto gratuito de Microsoft para la monitorización, era el embrión de lo que hoy os voy a contar. Poco tiempo después, vi que tenía un nuevo nombre, “Azure Operational Insights“, la vida da mil vueltas y un cambio de nombre y mejoras incluidas, seguía creciendo el producto.

Hoy voy a hablar de mi libro, jejejeje, de Microsoft Operations Management Suite, Producto ya maduro e indispensable en la monitorización global. Os explico de una manera rápida y sencilla la situación actual:

Con nuestras infraestructuras en entornos físicos, virtuales, hibridos, en la nube, con equipos de desarrollo situados en cualquier lugar, con tanta movilidad de dispositivos, etc., los departamentos de IT tienen que hacer frente a la monitorización de todas estas infraestructuras, todas estas tecnologias, ubicadas en cualquier lugar conocido del planeta, cada una de su padre y de su madre claro está, pero distintas. ¿cómo podemos de ser mas proactivos y menos reactivos? ¿mas productivos y menos bomberos? Pues desplegando OMS.

Vale de acuedo, podeis decirme, vaya, otra herramienta de monitorización como una de tantas que ya tengo desplegadas, o una Prueba de Concepto (PoC) en la empresa y que al final no ha quedado en nada!!!. Dejadme un momento que os cuente algo mas.

¿Que nos proporciona OMS que no tengamos ya? OMS ayuda a simplificar la gestión de nuestros activos del centro de datos donde quiera que estén. Es totalmente agnóstico a nuestro proveedor de servicio en la nube. Esto significa que cualquier instancia de cualquier nube, incluyendo nuestro centro de datos On-Premise, Azure, AWS, Windows Server, Linux, Google, VMware, OpenStack, etc. puede ser monitorizado, controlado, gestionado, auditado, securizado, etc., a un costo menor que la mayoría de las soluciones de la competencia.

Echadle un vistazo a este video ….

Y, además, es una solución Software as a Service, vamos que no tengo que preocuparme por las actualizaciones del producto, para mi son totalmente transparentes. Os puedo asegurar que son constantes.

Según comenta el equipo de desarrollo de OMS, lo han rediseñado siguiendo los consejos, necesidades y sugerencias de los clientes. Que sea fácil de manejar, para empezar, que sea fácil de utilizar, que me ayude a administrar a con un moderno conjunto de soluciones que pueda decidir si las aplico o no, si las necesito o no. Es posible tenerlo instalado y funcionando en cuestión de minutos, no largos y tediosos dias.

OMS está construido sobre una plataforma analítica que permite ofrecer una visión global a través de un tablero o panel de instrumentos, como podeis observar:

Los principales escenarios, o como se denominan en OMS, servicios a monitorizar son los siguientes:

  • Log Analytics:Inteligencia operacional en tiempo real. Recopilar, almacenar y analizar los datos de cualquier registro de logging, de cualquier fuente.
  • Automation: Simplificar la gestión de nuestra nube o enterno Hibrido a traves de la automatización de procesos. Lo que todos queremos, crear, monitorizar, administrar y desplegar recursos en nuestros entornos mientras reducimos errores y aumentamos la eficiencia, sin olvidarnos de la reducción de costes operativos.
  • Availability: Solución de alta disponibilidad totalmente integrada incluyendo recuperación de desastres. Posibilidad de habilitar la copia de seguridad y la recuperación integrada para todos nuestros servicios y aplicaciones críticas.
  • Security: Control de seguridad centralizado. Identificar actulizaciones de los sistemas gestionados, estado del malware, recopilación de eventos relacionados con la seguridad y realización de análisis forenses.

Y he hablado de los cuatro pilares básicos de OMS pero no se vayan, aún hay mas!!!. Si, dentro de las soluciones disponemos, de diversos paquetes preparados y listos para desplegar, unos están en producción y otros en preview. Para monitorizar nuestras suscripciones de Office 365, assesment de SQL, Backup, Containers, AD Assesment, etc., etc.,

Vamos, pedazo de Suite tiene Microsoft. Bien pues empezaremos con algo como:

  1. Introducción.
  2. Creación de WorkSpace.
  3. Configuración inicial de OMS.
  4. Despliegue de agentes.
  5. Despliegue de Soluciones: Insight & Analytics.
  6. Despliegue de soluciones: Security & Compliance.-
  7. Despliegue de soluciones: Automation & Control.
  8. Webcast OMS tu consejero en la nube.
  9. Despliegue de otras soluciones.
  10. Creación de queries personalizadas.
  11. Creación de alertas.
  12. ….

Se admiten sugerencias.

Para terminar, queria desearos Feliz año 2017 a todos los que me leeis, me seguis y apreciais el trabajo que conlleva tener un blog de este tipo, continuar con el empleo cotidiano y tratar de sacar el máximo tiempo para estar con la familia, que por cierto, en estos momentos estamos haciendonos la ecografia de las 20 semanas!!!! Que viene otro peque, y serán Tres!!! Estamos locos o que? Espero que venga con un pan debajo del brazo.

Besos y abrazos.

Azure Directorio Activo

Implicaciones de Azure en Directorio Activo. Mejorando la seguridad al conectar suscripciones de Azure AD.

Published by:

Buenos dias,

Hace poco vimos “Cómo conectar Directorios Activos de nuestras suscripciones de Azure y de Office 365” en el siguiente post:

Conectar Directorios Activos de nuestras suscripciones de Azure y Office 365.

Una de las dudas, a nivel de Seguridad, que me generaba era que cuando conectábamos AAD1 (suscripción de Azure) y AAD2 (suscripción de Office 365), nos aparecía este mensaje: … se convertirá en “Global Admin” del directorio “Trasto”:

Connect_00010

O sea, que con el usuario Administrador de AAD1 tengo acceso “Full control” sobre la suscripción de Office 365!!!!! Y puedo borrar cualquier usuario del AAD2!!!!. ¿Pero esto no es lo que yo quería? ¿Que ha pasado?. Esta era la situación:

Connect_00013

Todo controlado. Está claro, como hemos visto y nos ha informado Azure AD perfectamente, que al conectar ambos dominios se necesitan credenciales de Global Admin en Origen y en Destino, como si de dos Directorios Activos On-premises se tratase. Veamos desde este prisma y lo entenderemos mejor. Y al usuario de AAD1 se le proporcionan estos privilegios en AAD2. Aqui está el Quiz de la cuestión.

Ahora bien, si queremos restringir estos permisos, que es que si, obviamente, tenemos que cambiarlos, quitar los superpoders de Global Admin del usuario de AAD1 en AAD2, y tenemos las siguientes opciones de roles que podemos asignar:

Connect_00020

Lo que buscamos es que desde AAD1 tengamos acceso a seleccionar usuarios de AAD2 para poder darles privilegios sobre los diversos Resource Groups de nuestra suscripción de Azure, por lo tanto, y como dice el Gran Cervigon un “usuario pelao”nos vale, pues seleccionamos User:

Connect_00021

Ahora el usuario Global Administrator de AAD1 es un “usuario pelao” de AAD2. Comprobemos, por un lado, que no vemos nada de AAD2:

Connect_00022

Correcto. Y, por otro lado, que podemos asignar privilegios a los usuarios de AAD2 …

Connect_00023También correcto. Esto es todo lo que queríamos desde el principio.

Un abrazo y buena semana,

Roberto

Azure Directorio Activo Office Seguridad

Conectar Directorios Activos de nuestras suscripciones de Azure y Office 365.

Published by:

Buenos dias, empezamos la semana hablando de las bondades de Azure Directorio Activo (AAD).

Hoy queria mostraros cómo conectar los Directorios Activos asociados a nuestras suscripciones de Azure y de Office 365. ¿Para qué? Imaginaros que tenemos replicado nuestro Directorio Activo On-Premises con Office 365, algo habitual, y lo que necesitamos es asignar determinados privilegios sobre servicios que están en Azure a usuarios de nuestro Directorio Activo On-Premises. Vamos, lo mas normal.

Os expongo ambos entornos para que quede todo claro:

1 Azure. Esta es nuestra suscripción de Azure donde tenemos nuestro Azure Active Directory (AAD1)

Connect_00001

Nuestro AAD se denomina Roberto Azure AD y solo tenemos un usuario, que, obviamente tiene el rol de Global Administrator (GA).

Connect_00002

2 Office 365. Esta es nuestra suscripción de Office 365 donde también tenemos nuestro Azure Active Directory (AAD2). Como bien sabeis cada suscripción de O365 tiene asociado su AAD. En este caso tenemos sincronizado nuestro Directorio Activo On-Premises con la suscripción de O365 con AAD Connect, una situación cada día mas habitual.

Connect_00003

El nombre de Nuestro Azure AD de la suscripción de Office 365 cuyo nombre es “Trasto”, con las siguientes cuentas, que, como ya he comentado, vienen sincronizadas del Directorio Activo On-Premises:Connect_00004b

El objetivo es conectar ambos Directorios Activos para poder asignar permisos sobre los servicios de Microsoft Azure a los usuarios de Directorio Activo On-Premises.

Step by Step

1 Añadir nuevo Directorio Activo.- Dentro de la suscripción de AAD1 seleccionamos añadir Directorio. Pulsaremos en el botón de Connect_00004c

Nos vamos moviendo sobre Active Directory, Directory, Custom Create …

Connect_00005

En añadir directorio, seleccionaremos “Usar Directorio existente”. Tenemos que tener preparadas las credenciales de Global Administrator (GA)  de la suscripción de O365 y seguir las instrucciones.

Connect_00006

2 Introducimos credenciales.- En cuanto aceptamos nos informará de que es muy buena idea el cerrar todos los browsers que tengamos abiertos:

Connect_00007

Introducimos credenciales de GA de AAD2 en AAD1 para conectar ambos Directorios Activos.

Connect_00009

Y, atención, somos informados de lo que vamos a realizar, introduciremos la cuenta GA de la suscripción de Azure (AAD1) como  Administrador Global del Directorio Activo asociado a la suscripción de O365 (AAD2).

Connect_00010

O sea, que somos los “Masters” de la suscripción de O365!!!!! con nuestra cuenta de Azure.

Connect_00011

 

3 Comprobación de acceso.- Como podemos observar desde nuestro AAD1, hemos conectado AAD2 y vemos todos sus usuarios, grupos, etc.,

Connect_00013

Asimismo, vemos que la cuenta GA de AAD1 está como Global Administrator de AAD2.

Connect_00015

4 Añadir nuevo usuario.- En este punto añadiremos un usaurio de AAD2 a AAD1. Desde AAD1, añadimos usuario. De las cuatro opciones que tenemos seleccionamos “Usuario en otro Directorio de Microsoft Azure AD.

Connect_00017

 

Escribimos el usuario y esperamos el visto bueno de Azure AD. Le asignaremos el rol de “Usuario”, simple, sin mas pretensiones.

Connect_00018

Verificamos que ya aparece el usuario en AAD1

Connect_00019

5 Asignamos recursos.- Para terminar y alcanzar nuestro objetivo, asignaremos permisos de “Contribuidor” al usuario de AAD2, por ejemplo, sobre un Resource Group de Azure. Accedemos a nuestro Resource Group, en mi ejemplo es RG_WebAppTest, Usuarios, añadir acceso, hemos seleccionado “Contributor” y como usuarios …… Tachán!!!! aparece nuestro usuario de AAD2:

Connect_00023

Prueba superada.

Aqui os dejo un video que lo explica muy bien:

Que tengais un gran semana,

Roberto

Azure Azure Stack Cloud Computing Directorio Activo Gurus Microsoft

Global Azure BootCamp 2016. Mis impresiones.

Published by:

Buenos días,

El pasado sábado 16.04.16 se celebró en la central de Microsoft de Madrid el Global Azure BootCamp 2016, un “campamento” con diversas ponencias y exposiciones con las últimas novedades de Azure.AzureBootCamp20160001

1 Aprovisionamiento y configuración de VMs con Resource Manager de Ibon Landa.- Muy buena exposición de cómo desplegar VMs con Resource Manager de Azure.

Aupa Athletic!!!!.

2 Introducción a Azure Container Service de Javier Moreno.- Buena exposición del nuevo servicio de Contenedores de Azure.

3 Interactive Analytics with Application Insights de Dan Hadari.- Buena exposición sobre esta herramienta.

4 Bajando la nube a tus servidores de Diego Martinez y Yalda Pourian.– Exposición del producto Azure Stack. Considero que Azure Stack es uno de los productos estrella de Microsoft para el próximo año, tener en tu datacenter Azure me parece una pasada, de momento es un producto único y sin competencia, el hermano mayor de Windows Azure Pack. Muy recomendable hacer un seguimiento de este producto o montar un piloto/PoC.

A mi, personalmente, me gusta mas la mia del anterior post, jajajajajaja, sin desmerecer para nada el gran trabajo de Diego y Yalda.

5 Azure DevOps y Powershell Desired State Configuration (DSC) de Fabian Calvo.- Muy Buena exposición sobre todo lo que nos puede aportar DSC para automatizar despliegues.

6 Identity Management en el Cloud de Alberto Diaz. Muy buena exposición, sencilla y práctica sobre cómo ver diferentes implementaciones de Azure Active Directory.

7 The Lord of the Keys. Azure Key Vault de Jose Angel Fernandez e Iria Quiroga.- Presentación del nuevo producto de Azure para proteger claves llamado Azure Key Vault.

8 Moviendo cargas de trabajo basadas en Linux a Azure de Javier Martinez. Ponencia de cómo desplegar SUSE Linux en azure. Recordar Microsoft Love Linux, 😉

9 Integración continua en Azure, auto-despliegue de Dockers con Jenkins de Javier Domingo. Muy buena ponencia de cómo gestionar despliegues de Docker Containers con Jenkins y GitHub lo mas automatizado posible. A mi, personalmente, me encantó el poder de la Orquestación!!!!

10 construyendo una VPN Point-to-Site con autenticación RADIUS y AD en Azure de Carlos Milán y Alberto Marcos.- Espectacular presentación. Os la recomiendo, que os puedo decir de estos dos “Showmen”. Muy interesante SoftEther VPN.

AzureBootCamp20160002

11 El plan de contingencia de Barcenas: Azure Backup de Paulo Dias.- Otra de las mejoras presentaciones del dia de mi amigo Paulo Dias sobre Azure Backup y Mr. Barcenas.

AzureBootCamp20160003

Había mas presentaciones, todas ellas buenas o muy buenas, pero todavía no puedo desdoblarme. Podeis verlas en este enlace: Global Azure BootCamp 2016.

Hasta la próxima.

Directorio Activo Powershell

Powershell – Modificar atributos de un objeto de directorio activo. Ruta de acceso al perfil de usuario..

Published by:

Buenos días,.

Hoy nos toca píldora de Powershell y Directorio Activo (AD). Hace tiempo me solicitaron modificar la ruta de acceso al perfil de usuarios, concretamente dejar este atributo vacio para todo los usuarios ya que se iba a dejar de utilizar perfiles móviles.

Podemos consultar el valor de este campo si editamos cualquier usuario de AD desde la consola de Usuarios y Equipos, por ejemplo, en la pestaña de “Perfil” o “Profile”

Lo vamos a enfocar en dos partes, la primera encontrar todos los usuarios que tengan  el campo “Profilepath” con contenido. Y el segundo borrar el contenido de dicho campo, todo ello en un mismo cmdlet entubado …..

  • Parte 1: Nos lista todos aquellos usuarios en los cuales tenemos establecidos valores en el campo perfil.
    • get-aduser -filter “profilepath -like ‘*'” -Properties profilepath | ft name,profilepath

En este caso, podeis ver tanto el nombre de usuario como la carpeta compartida donde se encuentra ubicado su perfil (he obviado la información que no nos interesa ;-))

PSAD000006

Otro ejemplo, si a mi cuenta de AD le pongo que la ruta del perfil sea “aaaaaa”, o “bbbbbb”, y lo consulto con el cmdlet:

PSAD000002 PSAD000001

  • Parte 2: Nos establece el campo perfil (profilepath) como nulo:
    • Set-Aduser Filtro de usuario –profilepath $null

 Nos quedaría de la siguiente manera:

  • get-aduser -filter “profilepath -like ‘*'” -Properties profilepath | Set-Aduser  –profilepath $null

PSAD000003

Nada de nada, correcto. Hemos dejado en blanco todas las rutas de perfiles de usuarios.

Espero que os sea útil y os animeis a utilizar Powershell, ese amigo desconocido.

Besos y abrazos,

Directorio Activo Formacion Libros Windows 2012 Windows 2012 R2

Lecturas recomendadas: “WS2012 LABS” de Xavier Genestos.

Published by:

Muy buenos días.

Tal y como decíamos ayer, hoy nos toca la lectura recomendada para este mes que acaba de comenzar, octubre, WS2012 LABS de Xavier Genestós.

A través de su metodología habitual, nos formará mediante claros y concisos laboratorios sobre las bondades de Windows Server 2012.

Xavier nos permite poder crear un laboratorio con muy pocas máquinas virtuales e ir comprobando uno a uno todos los ejemplos, sin necesidad de disponer de un Hardware excesivo.

Yo destacaría los siguientes talleres:

  • Fine-Grained Password.- implementar una política de contraseñas distinta a usuarios.

  • Trabajos de mantenimiento sobre la base de datos de AD.- Lo normal, defragmentaciones ofline, checksums, verificaciones y análisis de integridad.
  • Configuración del servicio de hora W32Time. Muy útil para determinados entornos.
  • Deduplicación en particiones.- Cómo ahorrar espacio.
  • Administración de SMB a través de PowerShell.-
  • Configuración de DHCP Failover.- Alta disponibilidad de este servicio.

  • Dynamic IP Restrictions.- Configurar restricciones dinámicas para evitar ataques de fuerza bruta en un IIS.

 

Sin olvidarnos de trucos, comandos, herramientas de terceros y scripts que nos ayudarán en nuestras labores de administración, sin rehuir de ese gran desconocido “PowerShell”.

En los curso que he impartido el año pasado ha sido uno de mis manuales de referencia. Lo podeis comprar aqui.

A destacar:

  • Práctico, claro y conciso.- Insisto es ideal
  • Formato del libro.- Me gusta tamaño DIN A4. Mis ojos sufren menos 😉

Contras:

  • Certificación.- No es un manual específico para certificarse en Windows Server 2012, aunque todo lo que enseña es aplicable.

Y ¿Quién es Xavier Genestós? Ademas de un fuera de serie como profesional y como persona pues es … administrador de sistemas de entornos Microsoft, GNU/Linux, Vmware, escritor, formador, etc. Aqui teneis su blog y su Twitter (@sysadmit), por si quereis seguirle.

Feliz octubre …..

Administración Backup Directorio Activo Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2 WSB

Restauración de objetos de Directorio Activo. Restaurar una OU y su contenido.

Published by:

Long time no see!!! vamos que, qué ha pasado que llevo casi cinco meses sin poner un post en el blog? Mucho trabajo, pocas horas de sueño reparador y sobre todo, cansancio acumulado de los últimos años. Pero me estreno en este 2015 por la puerta grande, con una restauración autoritativa de Directorio Activo.

Esta incidencia me ocurrió en un cliente hace tiempo y quería compartirla con vosotros. Por motivos todavía sin esclarecer, algo oscuros y tenebrosos, alguien borró una Unidad Organizativa (OU) de Directorio Activo. Que casualidad la mia que era la OU donde estaban todos los usuarios VIP!!!!! Pues nada, manos a la obra …. a restaurar se ha dicho

Por suerte teníamos una copia de seguridad de AD, en nuestro caso realizado con Data Protection Manager (DPM). Procedimos, a restaurar dicha copia de seguridad a una unidad de red, la llamaremos, \\srvdpm\DPM_Recovered.

Ahora llega lo bonito. vamos a restaurar un backup de SystemState sobre un Controlador de Dominio con la finalidad de recuperar esa OU de una manera autoritativa para que, posteriormente, replique al resto de DCs estos elementos restaurados. Ejecutaremos el siguiente comando:

wbadmin start systemstaterecovery -version:12/02/2014-20:30 -backupTarget:\\srvdpm\DPM_recovered

KK001

oh!!! no puedo hacerlo en caliente. Directamente sobre el Controlador de Dominio ???? Error. Regla número 1, para hacer una restauración autoritativa tenemos que arrancar el servidor en modo Directory Services Recovery Mode (DSRM). Bien, reiniciamos el DC, pulsamos F8 y entramos en modo DSRM. Procedemos a la ejecución de la restauración de nuestro backup de AD:

wbadmin start systemstaterecovery -version:12/02/2014-20:30 -backupTarget:\\srvdpm\DPM_recovered

KK002

Ah!!!! ahora si que inicia la restauración ….. 6362 ficheros procesados y subiendo ….

KK004

Recuperando ficheros reportados por “NTDS” … vamos bien …

KK005

La recuperación ha concluido. Anda, también me aparece un mensaje de que tengo que reiniciar el equipo para que sea completa. Pues venga, voy a reinciar… Error. Regla número 2. Lee atentamente los mensajes pero sobre todo lee los pasos que tienes que realizar con antelación.

Vuelta a empezar, otra vez a restaurar…… en este caso me lo salto porque si no el post se volvería eterno, un bucle.

…………

Una vez restaurado el backup, y antes de reiniciar, lo que tenemos que hacer es marcar la OU que queremos restaurar de una manera autoritativa para que luego replique a los otros DCs. Iniciamos la herramienta ntdsutil, esa gran amiga, y ejecutaremos las siguientes opciones:

ntdsutil

  • Activate instance ntds
  • Authoritative restore
  • Restore subtree ‘ou=UsuariosVIP,DC=Lanzarote,DC=local”

KK006

(En el caso de querer restaurar un objeto de AD el comando sería: Restore ‘cn=DirectorGeneral,ou=UsuariosVIP,DC=Lanzarote,DC=local” por ejemplo)

Siiiiiii. Ya estoy viendo la luz ….

KK009

Y ya está!!!! “Authoritative restore completed successfully” Ahhhhh! me estoy convirtiendo en Superguerrero!! Se han recuperado 849 registros ….. Ahora si reiniciarmos el Controlador de dominio y una vez esté funcionando replicará estos elementos restaurados contra el resto de Controladores de Dominio.

He tratado este post de una manera algo grotesca y desenfadada pero la verdad es que me llevó todo un dia resolver esta incidencia que ahora vemos que es muy sencillo, sobre todo si tienes práctica.

Hay mucha documentación en internet relacionada con las copias de seguridad y la restauración de Directorio Activo pero lo que si sufrí fue la cantidad de posts y documentación errónea, obsoleta y que me despistaba mas que ayuda. Al final recurrí a mi amigo Xavier Genestos (@sysadmit) que en su libro ADIT para Sysadmins lo explica de una manera breve, clara y concisa. Gracias Xavier.

 

Dedico este post a mi compañero Fran que me echó un cable en esta metedura de pata y a mis alumnos del Curso que estoy impartiendo de Windows 2012 R2 Active Directory y DNS en profundidad de Alicante. Este post me sirve como práctica.

Administración Directorio Activo Powershell

Algunos cmdlets interesantes de Directorio Activo … gracias a un “Rap as a Service”.

Published by:

Hace muy poco nos hicieron un “Rap”, o lo que antes conocíamos como un ADRAP (Risk And Helath Assessment Program for Active Directory), o sea un análisis de un Directorio Activo por parte de Microsoft para ver su situación en cuanto a Salud, riesgos, etc., Ahora se realiza desde la nube y se denomina “RAP as a Service for Active Directory”

RAPasAservices00002

Bueno no me enrollo mas. Recibida la visita del Ingeniero de AD y PKI de Microsoft nos dejó estas perlias para nuestro y vuestro conocimiento:

Equipos del dominio que no han cambiado su password en los últimos 30 días:

$d = [DateTime]::Today.AddDays(-30)
Get-ADComputer -Filter ‘PasswordLastSet -lt $d’ -Properties PasswordLastSet | FT Name,PasswordLastSet

Name                                                        PasswordLastSet
—-                                                        —————
SORM04                                                    24/01/2011 16:50:05
BGTZA                                                     05/03/2011 9:57:30
ADRAPZ                                                   07/07/2008 19:25:03
EAVZA                                                     08/10/2012 9:55:36
EMDZA                                                     01/11/2012 1:20:41
EPCPA                                                     29/03/2007 16:28:29
EPCPB                                                     10/04/2007 12:06:24
ECODA                                                     02/05/2010 15:16:29
PASIFAE-1                                                   26/04/2006 9:57:50
PASIFAE-2                                                   24/04/2006 11:02:48
RPEDA                                                     09/03/2013 22:06:11
RBEFA                                                     16/10/2013 3:33:03
RBEDA                                                     13/11/2013 0:37:29
RBEPA                                                     17/11/2013 10:58:14
ECRDB                                                     20/11/2013 18:55:23
ECRFA                                                     16/12/2013 20:10:19
EWEZB                                                     06/03/2014 21:22:39
EWEZA                                                     12/04/2014 23:01:42
EFTZZ                                                     27/05/2014 7:15:22
ERGFA                                                     30/03/2014 6:14:31

Demasiados sin reportar ….

Usuarios del dominio que no han cambiado su password en los últimos 180 días:

$d = [DateTime]::Today.AddDays(-180)
Get-ADUser -Filter ‘PasswordLastSet -lt $d’ -Properties PasswordLastSet | FT Name,PasswordLastSet

El resultado lo he volcado a un fichero LastPassword.xls del cual no os puedo extraer información. Sorry. Pero podeis ver una mala práctica y ejemplo del administrador….

RAPasAservices00004

Usuarios con Password no requerida:

Get-ADUser -Filter ‘useraccountcontrol -band 32’ -Properties useraccountcontrol | FT Name

Name
——————–
Administrador
IUSR_CAZA
IUSR_CAZAM
IWAM_CAZA
IWAM_CAZAM

En este caso solo nos sale cuentas de servidores antiguas y una de “Administrador”, jejejejeje.

Usuarios que tienen configurado que su Password nunca expira:

Get-ADUser -Filter ‘useraccountcontrol -band 65536’ -Properties useraccountcontrol | FT Name |  Out-File c:\useraccountcontrol.txt

Os podeis imagar el número de usuarios que me salian… he preferido dejaros solo el cmdlet.

Y este es el resultado final. No está mal para ser una DMZ:

RAPasAservices00001

 

 

Siento no estar últimamente “on fire” pero …. se aproximan grandes cambios en mi vida, sobre todo laboralmente hablando y …. apenas me queda tiempo para compartir con todos vosotros.

Que tengais una muy buena semana.

Directorio Activo Powershell

Errores de NETLOGON “NO_CLIENT_SITE” Parsear con Powershell.

Published by:

Buenos dias,

Os dejo con otra píldora formativa de Directorio Activo (AD9. Es relativamente habitual encontrar en nuestros controladores de dominio el siguiente evento de error tipo:

Log Name:      System
Source:        NETLOGON
Date:          04/09/2014 12:50:53
Event ID:      5807
Task Category: None
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      ROBDCA.zalo.com
Description:
During the past 4.25 hours there have been 517 connections to this Domain Controller from client machines whose IP addresses don’t map to any of the existing sites in the enterprise. Those clients, therefore, have undefined sites and may connect to any Domain Controller including those that are in far distant locations from the clients. A client’s site is determined by the mapping of its subnet to one of the existing sites. To move the above clients to one of the sites, please consider creating subnet object(s) covering the above IP addresses with mapping to one of the existing sites.  The names and IP addresses of the clients in question have been logged on this computer in the following log file ‘%SystemRoot%\debug\netlogon.log’ and, potentially, in the log file ‘%SystemRoot%\debug\netlogon.bak’ created if the former log becomes full. The log(s) may contain additional unrelated debugging information. To filter out the needed information, please search for lines which contain text ‘NO_CLIENT_SITE:’. The first word after this string is the client name and the second word is the client IP address. The maximum size of the log(s) is controlled by the following registry DWORD value ‘HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\LogFileMaxSize’; the default is 20000000 bytes.  The current maximum size is 20000000 bytes.  To set a different maximum size, create the above registry value and set the desired maximum size in bytes.

Básicamente, esto quiere decir que hay equipos que tienen asignada una subred que no está dada de alta en Directorio Activo, concretamente en Active Directory Sites and Services (ADS&S). Esto puede dar lugar a problemas a la hora de hacer Logon o conectarse al dominio por parte de dichos equipos. Y ¿cómo lo solucionamoes? pues revisándonos el fichero NETLOGON.log de cada Controlador de Dominio y buscando aquellos errores de NO_CLIENT_SITE, o clientes sin Site definido.

Pues como ha caido en mis manos un post del Blog de Simon Wahlin de cómo utilizar PowerShell (PS) para analizar el fichero NETLOGON.log pues vamos al lio utilizando el siguiente script Get-MissingSubnets.ps1 que lo podemos descargar desde aqui.

SINTAXIS

La sintaxis de Get-MissingSubnets.ps1 es la siguiente:

.\Get-MissingSubnets.ps1 [[-NumLines] <Int32>] [[-DomainControllers] <String[]>] [-IncludeTimestamp] [<CommonParameters>]

Donde podemos seleccionar los siguentes parámetros:

  • Get-MissingSubnets.ps1  sin ningún parámetro, nos mostrará el parseo de todas las subredes de todos los Controladores de Dominio.
  • Get-MissingSubnets.ps1 -NumLines <int32> donde analizará las últimas líneas que le hayamos especificado. Por defecto son las 100 últimas.
  • Get-MissingSubnets.ps1 -DomainControllers <String> donde analizará únicamente el Controlador de Dominio que le indiquemos.
  • Get-MissingSubnets.ps1 -IncludeTimestamp <CommonParameters> podemos especificar si el timestamp puede ser leido o o no del fichero netlogon. Si el timestamp está deshabilitado en cada Controlador de Dominio seleccionaremos la opción $false.

EJEMPLO

Os dejo un ejemplo sencillo como real.

Ejecuto el script sin parámetro alguno, asi que va a consultar las 100 últimas líneas del fichero NETLOGON.log en cada Controlador de Dominio (DC), con el siguiente resultado:

NetlogonParsePS000005

Por lo tanto tenemos equipos que acceden desde una subred 10.13.120.0/24 o una subred 10.13.32.0/24 a nuestros DCs y no está definida dicha Subnet, como podemos comprobar:

NetlogonParsePS000003

Añadimos dicha subred a AD Sites & Services y solucionado.

Recordar que para ejecutar este script …. tenemos que tener una Política de Ejecución de Scripts adecuada, como para este ejemplo:

NetlogonParsePS000004

Que tengais una buena semana.

Lecturas recomendadas:

Blog de Simon Wahlin.

Blog de Jorge’s Quest For Knowledge!

Directorio Activo Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Réplica de SYSVOL con DFS-R o con FRS. ¿Cuál tengo yo activada?

Published by:

Preparando un post sobre el libro “Group Policy Objects para administradores de IT” (GPOIT)de Xavier Genestós (@sysadmit) que me compré hace tiempo he encontrado esta perlita informativa que comparto con vosotros.

El saber qué tipo de replilcación de SYSVOL es mejor y mas óptima creo que lo tenemos todos claro, la replicación DFS-R es una replicación por bloque no por fichero por lo que es más rápida y consume menos ancho de banda, sobre todo en dominios conectados a través de WAN.

Pero la cuestión es ¿Que tipo de replicación tengo yo activada por defecto en mi Directorio Activo (AD)? os dejo este cuadro explicativo que relaciona el Sistema operativo de los Controladores de Dominio (DC), la funcionalidad del dominio y el tipo de replicación de SYSVOL que es está realizando por defecto:

sysvol000001

Aunque DFS-R fué introducido en Windows Server 2003 R2, sin embargo la replicación de SYSVOL a través de DFS-R empezó a funcionar en Windows Server 2008, solo si el nivel funcional del dominio es Windows Server 2008 o superior.

¿Cómo verifico que mi replicaciónes está siendo por FRS?

Metodo 1.- Ejecutamos dfsrmig /getglobalstate y si no hemos realizado la migración nos aparecerá el siguiente mensaje:

Metodo 2.- Si verificamos la existencia en c:\Windows de  la carpeta SYSVOL_DFSR. Si existe estamos replicando por DFS-R, en caso contrario, o sea, solo existe SYSVOL, lo estamos haciendo por FRS

FRStoDFS-R_00005

Método 3.- Verificar que el servicio “File Replicacion Service” está en ejecución y no deshabilitado. Si está funcionando … claro indicativo de que la replicación está siendo por FRS.

FRStoDFS-R_00006

Metodo 4.- Podríamos incluir también la posibilidad de que a la hora de realizar un DCDIAG /e /c nos aparezcan eventos de este tipo, indicativos de que algo no está funcionando correctamente en el servicio DFS-R:

FRStoDFS-R_00002

¿Y que hago yo si tengo DCs con Windows Server 2008 R2 o con Windows Server 2012 o con Windows Server 2012 R2 y la funcionalidad de mi dominio cuando lo instalé era Windows Server 2000 o Windows Server 2003?

Pues está claro que lo ideal es migrar la replicación de SYSVOL de FRS a DFS-R …. en el proximo post

Que tengais muy buena semana.