El camino de un ITPro » Directorio Activo » Powershell

Category Archives: Directorio Activo

Directorio Activo Powershell

Migrar roles FSMO mediante Powershell.

Published by:

Buenos dias,

Hoy os dejo otra píldora formativa de PowerShell y Directorio Activo (AD). ¿Como migrar los roles Flexible Single Master Operations (FSMO) de AD a través de Powershell? En Castellano son los Controladores de Dominio (DC) Maestros de Operaciones.

Cmdlet

El cmdlet a utilizar es Move-ADDirectoryServerOperationMasterRole donde podremos especificar los siguients parámetros, entre otros:

  • Identity .- El DC destino/target.
  • Server.- Especificaremos la Instancia de AD a conectarnos y su puerto.
  • Force.- Si queremos forzar el traspaso de los Roles FSMO. Este lo utilizaremos normalmente cuando el DC origen está inaccesible, offline o desaparecido en combate.
  • Confirm.- Nos preguntará para confirmar la ejecución del cmdlet antes de su ejecución ($true | $false)
  • OperationMasterRole.- Aqui podemos especificar directamente el rol FSMO o su número. Os dejo la tabla de conversión:

FSMO_PS_000003

  • Whatif.- Que os puedo decir, que conviene utilizarlo antes, para asegurar.

Sencillo a la par que muy potente. No lo olvideis.

Ejemplos:

Queremos mover el rol PDC Emulator desde el DC A al DC B.

Para empezar comprobamos qué DC tienes los roles FSMO: un simple Netdom /query FSMO. Todos están en el A.

FSMO_PS_000001

Ejecutamos  nuestro cmdlet y comprobamos si se ha transferido el rol PDC Emulator. Como soy un valiente en la primera ejecución he utilizado el parámetro -WhatIf 😉

FSMO_PS_000004bis

Role transferido al B. Correcto.

Queremos mover todos los roles FSMO al DC B.- Mas de lo mismo, compruebo que todo está en el DC A, muevo los roles y compruebo que todo está en el DC B:

FSMO_PS_000005bis

No he comentado nada pero supogno que sabreis que antes de realizar cualquiera de estas operaciones hay que cargar el módulo de PS de Directorio Activo:

FSMO_PS_000002

Que tengais buena semana.

Administración Directorio Activo Seguridad Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Grupos de Seguridad en Directorio Activo – Recordatorio de su uso.

Published by:

Buenas tardes, último día de curro!! y os dejo con una perlita informativa.

Uno de los temas menos comprendido y que mas confusión genera en Directorio Activo (AD), es la utilización de los distintos grupos de seguridad y su ámbito o alcance. Ayer mismo me preguntaban por qué no se podía añadir un usuario de otro forest a un Grupo de Seguridad que tiene acceso a carpetas compartidas….. pregunté ¿Es un grupo de Dominio Local? …. es un grupo, yo que sé, fue la respueta. Voy a tratar de explicarlo y, sobre todo, dejarlo claro, eso espero.

Existen los siguientes tipos de grupo, según se define en la documentación de Microsoft Windows Server 2012:

  • Grupos Locales.- Son grupos de ámbito exclusivamente local que se crean en servidores independientes (fuera de dominio), o en servidores perteneciente a un dominio sin ser Controladores de Dominio (DC). Estos grupos solo afectan al servidor en el que existen. Como por ejemplo son los grupos que se crean para gestionar servicios tales como DHCP, WSUS, o los Administradores locales de un servidor. ¿Quien puede pertenecer a este tipo de grupos?
  • Cualquier entidad de seguridad (Security Principal) del dominio al que corresponda, o sea, usuarios, equipos, grupos globales o grupos de dominio local del dominio al que corresponda.
  • Usuarios, equipos y grupos globales de cualquier dominio del bosque y cualquier dominio en el que se confie (exista relación de confianza).
  • Grupos Universales definidos en cualquier dominio del Bosque.
  • Grupos de Dominio Local.- Su uso principal es para gestionar tanto el acceso a recursos como para asignar y gestionar permisos dentro del Dominio en el que está definido. ¿Quien puede acceder a este tipo de grupos?
  • Cualquier entidad de seguridad del dominio al que corresponda, o sea, usuarios, equipos, grupos globales o grupos de dominio local del dominio al que corresponda.
  • Usuarios, equipos y grupos globales de cualquier dominio del bosque y cualquier dominio en el que se confie (exista relación de confianza).
  • Grupos Universales definidos en cualquier dominio del Bosque.
  • Grupos Globales.- Su uso es para consolidar usuarios que tienen las mismas características, como pueden ser pertenecer al mismo departamento, tener la misma ubicación geográfica o necesidades similares de acceso a la red. Asignar permisos y habilidades en todo el Bosque en el que esté creado ¿Quien puede acceder a este tipo de grupo?
  • Usuarios, equipos y grupos globales del dominio en el que se haya creado.

  • Grupos Universales.- Combina las características de los grupos globales y de dominio local pudiendo asignar permisos y habilidades en cualquier dominio del bosque. Ideal para escenarios multidominio y para agrupar Grupos Globales de diferentes dominios.
  • Usuarios, equipos y grupos globales de cualquier dominio del bosque.
  • Grupos Universales definidos en cualquier dominio del Bosque.

Una de sus principales virtudes es la propagación de los grupos universales en todos los servidores con el rol de Catálogo Global (GC).

Aqui os dejo esta tabla que lo explica mejor que yo:

Espero que os haya sido util.

Me voy de vacaciones. Pasadlo bien y hasta Septiembre.

 

CA Directorio Activo IIS Powershell Servicios Windows Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Depromocionar un Controlador de Dominio que también es una Entidad Certificadora. Un poco mas dificil .. o no!

Published by:

Hoy es dejo esta perlita informativa sobre cómo quitar un controlador de dominio  que, además es la Entidad Certificadora, todo ello sin que haya pérdida del servicio, y vuelva a la normalidad, vamos, sin que pase nada, sobre un Windows Server 2003.

Los siguientes gráficos nos muestran cómo es la situación inicial y cómo queremos que sea la final, el camino ….. se hace al andar.

Antes

Antes

Despues

Despues

Nuestro objetivo es empezar a eliminar servicios publicados en Windows Server 2003 y elevar la funcionalidad de nuestro dominio DMZ.com a Windows Server 2008 R2 o superior.

Lo normal en estos casos es buscar un poco de información en Internet, como apoyo, ver HowTo, documentos, experiencias de otros Administradores. Si haces una búsqueda en Google sobre «Migrar entidad certificadora» aparecen los siguientes items:

Migrate00001

Es un honor para mi compartir links de resultados con dos gurus de la tecnologia, maese Josep Ros (@josepros),  y el Gran Bujarra 3.0, (Hector Herrero (@nheobug). Apuntaros sus twitters y sus blogs ya que son dos referentes del panorama IT en castellano.

Los pasos a seguir serán los siguientes:

  • Copia de seguridad de nuestra CA.
  • Eliminar el Rol de CA.
  • Realizar un DCPromo.
  • Volver a instalar el rol de CA.
  • Verificar el entramado

0 Realizar Copia de Seguridad de la Entidad Certificadora.

Este es el punto inicial para la gran mayoria de actuaciones, tener o realizar una copia de seguridad. Este punto ya lo hemos visto en un post del mes pasado «Migración de una Entidad Certificadora de Servidor. Parte I – Exportación«.

Migrate00007

Poco o nada puedo aportar. Hago un breve resumen:

  • Realizar Backup de la CA.
  • Exportar la configduración del registro de nuestra CA.

1 Eliminar Rol de Entidad Certificadora (CA).

Como es un Windows Server 2003 desde Panel de Control, agregar o quitar programas, procedemos a eliminar el rol de Certificate services:

DesinstallCAwithDCPromo00001

También se reconfigurarán los servicios de IIS

DesinstallCAwithDCPromo00002

Y finalizará exitosamente:

DesinstallCAwithDCPromo00003

Como veis, muy sencillo este paso.

2 Depromocionar el rol de Controlador de Dominio.

Lanzamos a nuestro gran amigo «DCPromo», ya desaparecido en Windows Server 2012 y 2012 R2, apareciéndonos el asistente de «depromoción» de Controlador de Dominio de Directorio Activo (AD):

DesinstallCAwithDCPromo00004

En nuestro caso no es el último controlador del Dominio, asi que dejaremos en blanco esta selección:

DesinstallCAwithDCPromo00006

Pondremos password a la cuenta de Administrador local del servidor, ahora que va a dejar de ser Controlador de Dominio:

DesinstallCAwithDCPromo00007

Un pequeño detalle, puede aparecer que este Controlador de Dominio tambén sea Catálogo Global (GC), por lo que tendremos que quitar éste rol antes de proceder a realizar el Depromocionado. Continuamos y, nos informa que va a proceder a eliminar el rol de Controlador de Dominio del dominio DMZ.com:

DesinstallCAwithDCPromo00008

Procederá a parar servicios como NETLOGON:

DesinstallCAwithDCPromo00009

El servicio RPCLOCATOR:

DesinstallCAwithDCPromo00012

Y eliminando LDAP así como RPC:

DesinstallCAwithDCPromo00013

Nos informará, nuevamente, de que ha sido eliminado el rol de DC:

DesinstallCAwithDCPromo00014

No hay que olvidarse que este proceso, obligatoriamente, requiere un reinicio:

DesinstallCAwithDCPromo00015

O sea, este servidor ya no es ni Controlador de Dominio del dominio DMZ.com, ni Entidad Certificadora de dicho dominio, ya no es nadie, jejejeje.

3 Instalación del Rol Entidad Certificadora.

Llegamos al ecuador de nuestro post del dia. Ahora llega lo mas dificil. Ya hemos visto como montar un Entidad Certificadora en un post del mes pasado «Migración de una Entidad Certificadora de Servidor. Parte II – Importación«, concretamente en el primer punto de post veiamos como montar una CA sobre Windows Server 2008 R2, pero, en este caso es una CA en Windows Server 2003. Es muy parecido, por no decir que igual.

Desde Panel de Control, Agregar o quitar programas:

DesinstallCAwithDCPromo00017

Seleccionaremos el rol de Certificate Services. Posteriormente nos aparecerá el tipo de Entidad Certificadora queremos instalar, en nuestro caso Enterprise root CA:

DesinstallCAwithDCPromo00019b

Continú la instalación y nos pregunta sobre la Clave Pública y la Clave Privada. Como hemos hecho una copia de seguridad en el paso Cero, lo podemos restaurar ahora, o cuando se termine de instalar el rol. Si restauraremos ahora la clave pública:

DesinstallCAwithDCPromo00020

Nos informa de si queremos sobreescribir, ya que los ficheros existen del paso 1:

DesinstallCAwithDCPromo00021

También podremos seleccionaremos nuestro CSP y el algoritmo Hash:

DesinstallCAwithDCPromo00022

Nos informará sobre la identificación de nuestra Entidad Certificadora, Common name, Distinguished name y la validez de la misma:

DesinstallCAwithDCPromo00023

Seleccionaremos las rutas de la base de datos y los logs. En la captura vienen las rutas por defecto:

DesinstallCAwithDCPromo00024

Nos avisará que los servicios de IIS se pararán durante la instalación…

DesinstallCAwithDCPromo00025

Reinstalación de los servicios de IIS:

DesinstallCAwithDCPromo00026

Y ya está instalado el rol.

Como he comentado antes, podíamos realizar una instalación con todos los parámetros por defecto y posteriormente restaurar el backup y la clave del registro con toda la configuración que funcionará perfectamente, esta opción también la hemos comentado el mes pasado en el siguiente post «Migración de una Entidad Certificadora de Servidor. Parte II – Importación«. Aunque … Lo dejo a vuestra elección.

4 Chequeo de funcionamiento.

Nos faltaría realizar las comprobaciones pertinentes, os dejo los chequeos principales, que ya hemos visto en el Chequeo de la Entidad Certificadora:

  • Podemos acceder al certificado de la CA y comprobar todas sus características.
  • Que todos los certificados emitidos por la CA siguen funcionando correctamente.
  • Que podemos emitir nuevos certificados que sirven a su función.
  • Que vemos todas las plantillas que se publican en Directorio Activo.
  • Podemos ver todos los certificados revocados,
  • Podemos visualizar los certificados emitidos por la anterior CA.
  • Podemos acceder a la lista de revocación de certificados (CRL).
  • Comprobar todas las Extensiones tanto del Punto de distribución de la CRL como del Acceso a la Información de la Autoridad (AIA), etc.,

 

Y también nos faltaría realizar las comprobaciones pertinentes en los Controladores de Dominio:

  • Verificar el estado lanzando la herramienta DCDIAG.
  • Echar un vistazo a los visores de eventos tratando de encontrar algún error.
  • Verificar la replicación entre los Controladores de Dominio existentes, por ejemplo con repadmin o con «AD Replication Status Tool«
  • etc.

Pues ya estaría.

Si quería dejaros un pequeño listado de errores que me han aparecido en este proceso:

  • El Controlador de Dominio Windows Server 2003 también es Catálogo Global.- Tenemos que quitar el rol de Catálogo Global antes de realizar el DCPromo.

DesinstallCAwithDCPromo00005

  • En el proceso de Depromocionar nuestro Controlador de Dominio nos ha dado un error de  «time out» a la hora de reiniciar el servicio NETLOGON.- Esto es algo, relativamente normal. Así que vuelves a lanzar el proceso de DCPromo y solucionado.

DesinstallCAwithDCPromo00010

  • Error a la hora de importar Backup de la Entidad Certificadora.- Suele pasar al tratar de restaurar un backup de la base de datos de la CA sobre un directorio que ya contiene datos. Tiene que estar en blanco.

DesinstallCAwithDCPromo00033

  • Error de Caché en el Pool de Aplicación que utiliza la Entidad Certificadora.- Esto pasa porque el usuario con el que se ejecuta el Pool de Aplicación no tiene permiso en una serie de directorios de C:. Se dan los permisos y funcionando.

DesinstallCAwithDCPromo00035

Todos ellos fáciles de solucionar. Para que luego digan que todo sale a la primera, o a la segunda. Normalmente hay que ir solucionando algún que otro error.

Espero que os haya gustado y, sobre todo, que os sea util. Buena semana a todos.

Referencias:

Blog de Josep Ros.

Blog del Bujarra 3.0.

Directorio Activo Powershell Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Elevar el nivel funcional de un dominio con PowerShell.

Published by:

Buenas tardes,RDFFL000004

¿Qué es el «Nivel funcional de un Bosque» o de un Dominio? El nivel funcional determina las capacidades y bondades que están disponibles de nuestro Bosque o Dominio de Directorio Activo (AD). Hay que tener en cuenta que este nivel funcional también determina que sistemas operativos Windows Server puedan ser Controladores de Dominio. Los sistemas operativos clientes quedan exentos.

Otro punto muy importante es que el Nivel funcional del Bosque determina el nivel funcional mínimo de todo dominio incluido en el mismo, o sea, que ningún dominio incluido en nuestro bosque puede tener un nivel funcional inferior al nivel funcional del bosque. Si pueden tener un nivel funcional superior. En resumen:

Nivel funcional del Bosque <= Nivel funcional del Dominio

En nuestro post trataremos de elevar el nivel funcional de un Bosque y Dominio Windows Server 2003 a Windows Server 2008 R2 utilizando Powershell. Empezamos.

Primero, como paso necesario, importamos el módulo de PowerShell para Directorio Activo:

Import-Module Active Directory

RDFFL000005

Para despues consultar la funcionalidad tanto del dominio como del bosque actual:

Get-ADForest

RDFFL000006Get-ADDomain

RDFFL000007

Una vez comprobado procedemos, primero con el Dominio y luego con el Bosque:

Dominio

Set-ADDomainMode -Identity «Dominio» -domainMode Windows2008R2Domain -confirm:$false

RDFFL000008

Comprobamos de una manerá gráfica que el dominio tiene una funcionalidad distinta del bosque:

RDFFL000009

Bosque

set-adforestmode –identity «netbiosname» windows2008R2Forest –confirm:$false

RDFFL000010

En este caso he ejecutado el cmdlet sin el parámetero -confirm, para que se vea claramente que nos pide confirmación. Al igual que en el caso anterior, comprobaremos gráficamente la situación final:

RDFFL000011

Lo habitual es que este proceso se realice a través de las consolas de gestión de Directorio Activo. Os dejo unos videos que nos muestra cómo hacerlo, hay muchos por internet. No tienen pérdida:

Este primero en ingles:

Este segundo en castellano:

Downgrade.

Ya para terminar, Una de las bondades incluidas a partir de Windows Server 2008 R2 es la siguiente. Si tenemos nivel funcional de Bosque o Dominio Windows Server 2008 R2 o superior si podemos realizar el paso inverso al que acabamos de hacer, en vez de elevar sería degradar. Obligatoriamente se tiene que realizar por PowerShell.

He visto que se pueden hacer las siguientes degradaciones: de Windows Server 2008 R2 a Windows Server 2008 y de Windows Server 2012 a Windows Server 2008 R2. El resto tendré que investigarlo.

Lecturas recomendadas:

Todo esto es extrapolable cuando queremos elevar el nivel funcional del Bosque o Dominio para Windows Server 2012 y Windows Server 2012 R2.

Buen fin de semana a todos.

Administración Directorio Activo Tools Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

¿Me ha caducado mi contraseña? Herramienta Netwrix Password Expiration Alerting.

Published by:

Buenos dias,

Hoy, para terminar la semana, os dejo otra herramienta gratuita que nos informará por correo electrónico de cuánto tiempo queda para que caduquen las contraseñas de nuestros usuarios de Directorio Activo (AD). Parece una tontería y, probablemente haya scripts en Powershell que solucionen esto pero acabo de actualizar un servidor con este producto y no me había dado cuenta lo util que es: Netwrix Password Expiration Alerting.

Requerimientos:

InstallNetwrix_Free00002

Pocos, casi lo podemos instalar en cualquier sitio:

  • .NET Framework 2.0 (incluido en el 3.5).
  • Windows Installer 3.1 o superior

Sistemas Operativos soportados, todos:

  • Windows XP o superior.
  • Windows 2003 o superior.

Instalación:

Desde el portal de Netwrix Auditor 5.0 Freeware Edition podemos lanzar las siguientes aplicaciones:

InstallNetwrix_Free00001

Elegimos Password Expiration Alerting.

InstallNetwrix_Free00005

Seleccionaremos la ruta por defecto de instalación del aplicativo:

InstallNetwrix_Free00006

Pulsamos siguiente y terminará la instalación:

InstallNetwrix_Free00007

Funcionamiento:InstallNetwrix_Free00008

Os dejo un ejemplo de configuración. Cuando lanzas por primera vez el programa nos aparece la siguiente ventana de configuración:

  • Nombre del Dominio.
  • A quién se le va a notificar, ya sean los administradores, grupo de seguridad, grupo de gestión de contraseñas expiradas o los propios usuarios.
  • Periodo de tiempo en dias para que avise a los usuarios cuando expire su cuenta.
  • Nofitificación por correo.
  • Primera, segunda y sucesivas notificaciones de expiración de cuenta.
  • Configuracón del Servidor de correo.
  • Nombre de la cuenta desde la que se envia el correo de expriación de contraseña de cuenta.
  • etc.

La verdad es que muy completa para ser una versión Freeware.

También nos generará una tarea programada que se ejecutará cuando lo estimemos necesario para que envie un informe a los administradores o al Centro de Atención al Usuario, por ejemplo, indicándo que usuarios han expirado sus cuenta y qué usuarios expirarán en un periodo determinado, 7, 15, 30 dias.

Este informe tiene la siguiente pinta (he omitido los usuarios y sus cuentas de correo ya que son información de mi empresa):

InstallNetwrix_Free00009b

Viene muy bien cuando llegas un lunes a primera hora y ver qué usuarios tienen sus contraseñas caducadas y a los cinco minutos te llaman diciendo ….. «no me funciona el ordenador» o … » no puede acceder a mi correo», … o «no puede acceder al servidor de ficheros» ….. o  … «se ha caido La Internet». Todos unos clásicos de la primera hora de los lunes. Espero que os sea muy util.

Buen fin de semana a todos.

Directorio Activo GPO Office

Borrar caché de Outlook a través de un Objeto de Política de Grupo (GPO) de Directorio Activo.

Published by:

Buenos dias,

Me ha surgido el problema en una migración/integración de Directorios Activos que cuando los usuarios quieren enviar un correo a un usuario que ya tienen cacheado en su cliente de correo, les aparece un error de que el usuario ya no existe, aunque, obviamente, exista.

Esto ocurre porque se está intentando enviar un mensaje a una dirección SMTP que antes de la migración era gestionado por un servicio de correo (Exchange 2003, Exchange 2007, Lotus Notes, etc.), y después de la migración es gestionado  por la nueva infraestructura (en mi caso Exchange 2010 SP3), entonces, el usuario utiliza la opción de autocompletar las direcciones de usuarios utilizando la caché del cliente de correo (Outlook en mi caso), y, obviamente, apunta al servidor antiguo de correo. Failed!!. Espero que la explicación haya sido convincente ….. es mas dificil explicarlo que entenderlo, … , o la reves.

He visto que hay varias formas de hacerlo, aunque, al parecer, lo primordial es borrar un fichero denominado Outlook.nk2 que es quién contiene dicha caché o borrar toda la caché de nuestro equipo. Ademas quiero plantearlo aprovechando una de tantas bondades que tiene Directorio Activo, el uso de Objetos de Política de Grupo (GPO).

También hay que tener en cuenta la ubicación del fichero Outlook.nk2 dependiendo de la versión del cliente Outlook que se esté ejecutando. En Windows XP la ruta es C:\Documents and Settings\USUARIO\Datos de programa\Microsoft\Outlook\Outlook.NK2, mientras que, a partir de Windows Vista es C:\Users\USUARIO\AppData\Roaming\Microsoft\Outlook\Outlook.NK2.

GPO de Preferencias.

Vamos a crear una GPO de preferencias para eliminar dicho fichero, por ejemplo creo una GPO denominada Borrar Cache por GPO. Selecciono como acción Borrar todo fichero con extensión .nk2 en la ruta donde tiene que ubicarse la caché:

Cache000005

Os muestro la ruta donde tiene que ubicarse la caché y el fichero en cuestión:

Cache000004

Una vez vinculada la GPO a la Unidad Organizativa donde tengo ubicado mi equipo de pruebas, fuerzo la aplicación de políticas y el resultado es ….:

Cache000007

Fichero Outlook.nk2 …. volatilizado!!!. Trabajo conseguido. Ahora a pasarlo a Producción.

Aprovechando la coyuntura y que me ha salido a la primera, voy a borrar todo el contenido de la carpeta Temporary Internet Files también a través de GPO, vamos, para asegurar, que he visto otros artículos que también hay que borrarla. Al tajo:

Borrarcachegpo0003

He visto otras formas de hacerlo, ya metiéndonos en el mundo de los scripts:

  • Fichero batch (cmd) que elimine el Outlook.nk2

@ECHO OFF
SET NK2LOCN=»%APPDATA%\Microsoft\Outlook»
IF EXIST %NK2LOCN%\NK2done.log GOTO :END
ECHO %DATE% %TIME% NK2 FILE CLEANUP STARTED > %NK2LOCN%\NK2done.log
RENAME %NK2LOCN%\*.NK2 *.NK2.BAK
ECHO %DATE% %TIME% NK2 FILE CLEANUP FINISHED >> %NK2LOCN%\NK2done.log
:END

  • Incluir en el script de Logon/Logoff el siguiente script:

Borrarcachegpo0001

Buen fin de semana a todos yo ….. me voy a la Fiesta de la Primavera en Aranda …. corderito, riberita, ……, muy duro.

Lecturas recomendadas:

Directorio Activo Tools Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Active Directory Replication Status Tool – Herramienta del Estatus de la Replicación de nuestro Directorio Activo.

Published by:

Buenos dias,

Hace un par de años publiqué un post sobre esta herramienta «Active Directory Replication Status«, pues ahora han sacado la versión 1.1 que podemos descargar desde este enlace.

Adreplstatus00003

¿Que nos aporta?

  • Nos muestra los errores de replicación de Directorio Activo (AD) ocurridos en nuestros dominios o bosques.
  • Prioriza los errores que tienen que ser resueltos con el fin de evitar la creación de objetos persistentes en dominios o bosques de AD.
  • Nos proporciona ayuda para resolver los problemas de replicación mediante vinculos a la base de datos de conocimiento de Microsoft Technet.
  • Permite que la información de replicación pueda ser exportada a otros administradores o profesionales para ser analizada offline.

Todo ello desde un entorno gráfico muy sencillo y muy ágil.

Requerimientos:

Sistemas operativos soportados donde poder instalar esta herramienta:

  • Windows 7,
  • Windows 8,
  • Windows Server 2003,
  • Windows Server 2008,
  • Windows Server 2008 R2,
  • Windows Server 2012,
  • Windows Vista,
  • Windows Server 2012 R2

Controladores de Dominio a monitorizar:

  • Windows Server 2003,
  • Windows Server 2008,
  • Windows Server 2008 R2,
  • Windows Server 2012,
  • Windows Server 2012 R2

Otros requerimientos:

  • .NET Framework 4.0 (es posible que nos pida .NET Framework 3.5 si se instala sobre Windows Server 2008).
  • Tener una cuenta de dominio con privilegios.

Instalación.

Muy sencilla. Hacemos doble click en el instalador y …. ya está:

Adreplstatus00002

Funcionamiento.

Hacemos un chequeo inicial como ejemplo. Lanzamos la herramienta y esta es su apariencia:

Adreplstatus00004

Procedemos a realizar un descubrimiento inicial, pudiendo ser tanto de nuestro Forest como de los dominios dependientes. Lanzamos dicha acción desde los botones superiores de la consola:

Adreplstatus00005

Y, en nuestro caso, no existen ningún problema de replicación entre mis Controladores de Dominios (DC). Si os fijais, he sustituido el nombre de cada DC por un color y la replicación entre ellos es muy diferente, no todos replican contra todos:

Adreplstatus00006

En la parte de abajo nos indica de que color nos apareceran los posibles eventos de error. Si entramos DC por DC, podemos ver la situación de la replicación partición por partición, como podeis ver en mi caso desde un DC de Madrid hacia un DC de Bilbao:

Adreplstatus000017

Así como podemos ver los diferentes test que realiza (nos pocos ¿verdad?). Podemos dejar de visualizar aquellos que no nos interesen o consideremos que no son necesarios:

Muy util esta herramienta.Y, para terminar, podemos exportar toda esta información en formato XPS, CSV o para echarle un vistazo «offline».

Adreplstatus00008

Espero que os guste.

Buen fin de semana y mejor puente para aquellos que lo van a disfrutar.

Directorio Activo Seguridad Servicios Windows Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2 Windows 7 Windows 8 Windows 8.1

Restringir el tráfico RPC de los Controladores de Dominio a un puerto o puertos determinados.

Published by:

Como sabreis, gran parte de la comunicación entre Controladores de Dominio (DC), se realiza a través de RPC (técnica para la comunicación entre procesos en una o más computadoras conectadas a una red). Este tráfico RPC puede ser motivado por distintos servicios que se ejecuten en nuestros DC, como pueden ser:

  • DHCP.
  • Replicación de Directorio Activo.
  • Replicación FRS.
  • WINS.
  • Promoción de un Controlador de Dominio,
  • etc.

¿Cómo funciona RPC?

Para empezar una comunicación RPC,  el cliente se conecta al puerto TCP 135 del servidor y solicita un puerto al End Point Mapper (EPM). El EPM del servidor reserva un puerto, denominado puerto dinámico, para este cliente y se lo envía. A partir de este punto, el cliente abre una nueva conexión TCP a dicho puerto del servidor y comienza la comunicación. Aqui os dejo un gráfico sobre un proceso Cliente/Servidor de RPC:

Estos puertos dinámicos RPC, también conocidos como puertos efímeros se distribuyen de la siguiente manera, dependiendo del sistema operativo:

  • Hasta Windows 2003/XP (del 1025 al 5000) = 3976 puertos en total.
  • Desde Windows 2008/Vista (del 49152 al 65535) = 16.384 puertos en total.

Hasta aqui todo correcto, pero ¿qué ocurre en zonas desmilitarizadas o DMZ dónde tenemos restringidos determinado tráfico y puertos?

Los puertos que generalmente utilizan los Controladores de Dominio en los servicios básicos son los siguientes:

Service Port/protocol
RPC endpoint mapper 135/tcp, 135/udp
Network basic input/output system (NetBIOS) name service 137/tcp, 137/udp
NetBIOS datagram service 138/udp
NetBIOS session service 139/tcp
RPC dynamic assignment Win 2k/2003:1024-65535/tcp
Win 2008+:49152-65535/tcp
Server message block (SMB) over IP (Microsoft-DS) 445/tcp, 445/udp
Lightweight Directory Access Protocol (LDAP) 389/tcp
LDAP ping 389/udp
LDAP over SSL 636/tcp
Global catalog LDAP 3268/tcp
Global catalog LDAP over SSL 3269/tcp
Kerberos 88/tcp, 88/udp
Domain Name Service (DNS) 53/tcp1, 53/udp

Asi que nuestros Firewalls tendrán que tener abierto estos puertos para la comunicación entre DCs y clientes pero ¿qué ocurre con el tráfico RPC si hemos dicho que es dinámico? El hecho de tener que abrir un rango tan grande de puertos en el Firewall implica aumentar el riesgo de ataque ya que son 16384 puertos los que se exponen. Posible solución: restringir dicho tráfico a un número fijo de puerto o puertos.

Nosotros, por ejemplo, lo que queremos es forzar el tráfico RPC entre los puertos 5000-5100. Recordar, que es necesario y como mínimo, dejar un rango de 100 puertos consecutivos para un mejor funcionamiento y evitar cuellos de botella.

RPCPORTS00001

Tenemos tres métodos de realizarlo, dependerá de los servicios que queramos restringir:

Método 1 – Entradas en el registro sobre la configuración de los servicios de replicación de Directorio Activo.

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters y añadimos la clave DWORD TCP/IP Port con el valor del puerto que queremos utilizar (incluyendo los espacios en blanco).
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters y añadimos la clave DWORD DCTcpipPort con el valor del puerto que queremos utilizar (incluyendo los espacios en blanco).

Método 2 – Para configurar en el Servicio Firewall de Windows el rango de puertos (para Windows 2008/Vista en adelante):

  • netsh int ipv4 set dynamicport tcp start=5000 num=1000
  • netsh int ipv4 set dynamicport udp start=5000 num=1000
  • netsh int ipv6 set dynamicport tcp start=5000 num=1000
  • netsh int ipv6 set dynamicport udp start=5000 num=1000

RPCPORTS00002

Y para verificar que está configurado:

  • netsh int ipv4 show dynamicport tcp
  • netsh int ipv4 show dynamicport udp
  • netsh int ipv6 show dynamicport tcp
  • netsh int ipv6 show dynamicport udp

RPCPORTS00003

Método 3 – Para los servicios de comunicaciones de Windows. También afecta a las comunicaciones de Directorio Activo. Volvemos a trabajar en el Registro:

 HKEY_LOCAL_MACHINESoftwareMicrosoftRpc

  1. REG_MULTI_SZ: 5000-5100
    PortsInternetAvailable: REG_SZ: Y
    UseInternetPorts: REG_SZ: Y

Espero que os sea util. En un próximo post utilizaremos la herramienta «PortQuery» para verificar el tráfico RPC entre controladores de dominio.

Bibliografia:

Directorio Activo Recursos Seguridad Tools

¿Tenemos el control de los permisos en nuestro Directorio Activo? – Herramienta AD ACL Scanner.

Published by:

El otro día me hacían una gran pregunta ¿Tenemos el control de los permisos en nuestro Directorio Activo? ¿Podemos revisar nuestra delegación de permisos en Directorio Activo?, es más ¿Podemos hacer tales cosas rápidamente.

Desde Suecia con amor nos llega una gran herramienta de consulta. Su Plataforma de PFE’s el pasado mayo editó un Post en su blog (ver aqui), donde hablaban de la herramienta AD ACL Scanner (la podemos descargar desde aqui).

¿Que hace AD ACL Scanner?

¿Quién tiene documentado todos los permisos y la delegación de los mismos en su Directorio Activo? …. Yo no. Mal ejemplo doy. Esto tenemos que cambiarlo.

Bien, esta herramienta genera informes sobre las listas de control de acceso a nuestro Directorio Activo. Ahora ya no tenemos escusa para no documentarlo.

Para ejecutar esta herramienta/script, necesitamos lo siguiente:

  • PowerShell 2.0 o superior.
  • Windows 7/Windows Server 2008 o superior.
  • Habilitar la ejecución de scripts no firmados => Set-ExecutionPolicy Unrestricted , de andar por casa, o si queremos ser mas selectivos, Set-ExecutionPolicy Unrestricted -Scope CurrentUser

adaclscan0001

¿Cómo creamos un informe de una OU?

Básicamente son tres sencillos pasos:

  1. Hacemos click en el botón de Connect la herramienta se conectará a nuestro Directorio Activo o a la partición que necesitemos, Configuración, Dominio, Esquema o Custom.
  2. Nos aparecerá el arbol del Directorio Activo con todas sus Unidades Organizativas donde podremos ir moviendonos y seleccionando.
  3. Cuando hayamos seleccionado una OU, ejecutaremos el escaneo pertinente, o sea, click en botón Run.

Este es un ejemplo de informe:

adaclscan0002

Opciones del Escaner:

  • Por defecto solo se nos mostrará la información sobre la OU en la que estamos. Si queremos también la de todas sus hijas, deschequearemos el botón One Level. No tenemos que preocuparnos si la herramienta tarda en hacer su trabajo, sobre todo en grandes estructuras con infinitas OUs.
  • Si queremos la fecha cuando los permisos fueron modificados tenemos que hacer un check en la opción Replication Medatada, añadiéndonos una columna a nuestro informe con dicho valor. Veamos otro ejemplo:

adaclscan0003

adaclscan0004

  • También podemos visualizar todos los bojetos, cambiado la selección de OU a All Objects.
  • Podemos seleccionar que el informe sea formato HTML o CSV o ambos formatos, fijando la ruta de destino del fichero en formato CSV así como podemos intercambiar el resultado entre ambos formatos.

Aunque donde esta herramienta demuestra todo su potencial es en los siguientes puntos:

Comparaciones.- Podemos comparar el resultado del estado actual con un resultado de un estado previo. Al poder guardar la salida del informe en formato CSV podemos comparar ficheros a lo largo del tiempo y poder descubrir quién tiene ahora permisos que antes no tenía y viceversa.

adaclscan0005

Filtrado.- Podemos realizar los siguientes filtros:

  • Filtro de permiso de Permitir o Denegar.
  • Filtro por tipo de objeto, como pueden ser Usuarios, contactos, grupos, equipos, etc.
  • Filtro «By Trustee», o sea por cualquier conjunto de letras que puedan corresponder a algo que se encuentre en nuestro Directorio Activo.

Con esta herramienta no se que escusa poner ahora.

Suerte.

Directorio Activo Exchange 2013

Borrar un buzón de usuario pero no el usuario en Exchange 2010..

Published by:

Hace nada y menos me hicieron una pregunta que creí saber la respuesta aunque nunca se me habia dado el caso.

¿Cómo puedo borrar el buzón de un usuario sin eliminar dicho usuario de Directorio Activo? Pues dije, eliminándolo desde la consola de gestión de Exchange 2010 ….. Failed!!!!

Efectivamente, lo que tenemos que hacer es deshabilitar dicho usuario en el entorno de correo. Dicho y hecho. Buscamos un usuario pardillo para probar

Seleccionamos Deshabilitar (no borrar):

 Nos aparecerá el siguiente mensaje característico:


 Comprobamos en la consola ADU&C que nuestro usuario ya no tiene buzón:

Otro cantar sería que queramos borrar el usuario completamente en nuestro Directorio Activo. En ese caso si podíamos haber hecho un «Remove».

Gracias Mr. Castillo por la pregunta,

Bibliografía
Whileuno.