El camino de un ITPro » Directorio Activo » Powershell

Category Archives: Directorio Activo

Directorio Activo Powershell

Top 10 en tareas de Directorio Activo solucionadas con Powershell. Tarea I. Restablecer password.

Published by:

Como os iba diciendo, Powershell lleva con nosotros un tiempo y no nos hemos metido a fondo con él. Comenzamos con esta serie de diez Post con un clásico en la administración cotidiana de Directorio Activo, reestablecer la pasword de un usuario.

La manera mas sencilla de realizar esta tarea es con el cmdlet Set-ADAccountPassword como puede verse en la imagen:

Y ya tendríamos la contraseña cambiada. Sencillo ¿verdad?

Pero vamos a complicarnos un poquito guardando la password como una cadena sergura, de manera que se almacene encriptada en memoria durante toda nuestra sesión, permitiéndonos, por ejemplo, utilizarla para reinicializar password de múltiples usuarios.

Para empezar creamos una variable, denominado new en nuestro caso, que contenga la Password:
 

para luego, asignarla a una cuenta de directorio activo, por ejemplo al usuario ‘ronin’, como ejemplo:
Una buena práctica es fijar que el usuario cambie la password que le hemos asignado en el pirmero Logon:
Comprobamos que sea así,
Facil y seguro.
Nos vemos,

Directorio Activo Powershell

Top 10 en tareas de Directorio Activo solucionadas con Powershell. Introduccion.

Published by:

Todos los dias escuchamos que Powershell es impresionante, util e indispensable, que es el futuro para realizar tareas simples y complejas, etc. Bueno, pues pongámos remedio. En esta serie de Post voy a contaros 10 tareas habituales de un administrador de sistemas solucionadas utilizando Powershell.

Requerimientos:

Tener instalado Powershell y ejecutar los cmdlets desde Windows 7 o superior, o desde un Controlador de Dominio Windows Server 2008 R2 o superior.

Tener instaladas las Remote Server Administation Tools (RSAT).

Cargar el modulo de powershell para Directorio Activo ¿cómo?


Podemos listar todos los cmdlets que componen este módulo:

Como veis, unos cuantos.
Hasta el próximo Post.

Bibliografía:
Windows ITPro.

Directorio Activo Exchange 2010 Powershell

RBAC Manager R2 – Para ver nuestra configuración RBAC.

Published by:

La semana pasada varios compañeros estuvieron en un Workshop de Exchange 2010 Troubleshooting en Microsoft. De ahí me han traido esta relíquia, desconocida por mi, un gestor de roles de Exchange 2010, o sea, RBAC Manager R2.

En principio solo nos hace falta conexión mediante http al servidor. Si ejecutamos la herramienta, nos da la opción de conectarnos a nuestra versión On-Premises u Office 365:

Una vez introducidas nuestras credenciales, realizamos la conexión y …. tachán:

Este es un ejemplo sobre los permisos en los grupos que se generan en Directorio Activo cuando instalamos Exchange 2010.

Os dejo el link de Codeplex para descargaros esta herramienta: Aqui.

Como añadido, encontré esta semana un script de Powershell, ya en 3.0, que genera un reporte en formato HTML sobre las entradas existentes en la configuración de RBAC.

Lo podeis descargar desde Aqui.
Gracias Jopuma por la info.
Nos vemos.

Directorio Activo Windows 2008

GPO de Preferencias de Directorio Activo de Windows Server 2008 R2.

Published by:

Aprovechando que estoy con ello, vamos a darle un repasito a las Preferencias de Directorio Activo.

¿Que son las preferencias? son un conjunto de configuraciones iniciales que necesita un usuario para su trabajo cotidiano, como pueden ser carpetas de usuario, entradas de registro, accesos directos, configuraciones de energia, ubicaciones de red, impresoras, etc. Se trata de ofrecer un método simple y amigable para las configuraciones que tradicionalmente se realizaban mediante un logon script.

A diferencia de la configuración de directiva de grupo, las preferencias no se exigen. Los usuarios pueden cambiar las preferencias después de su implementación inicial.

En principio pensaba que solo era posible utilizarlas si tenias Windows 7 como cliente y Windows Server 2008 como Controladores de Dominio. Error, si no tenemos Windows 7 como cliente, antes que un equipo pueda recibir las configuraciones de preferencias tenemos que descargarnos e instalar Group Policy Preference Client Side Extension (GPPCSE) para Windows XP SP2 o Windows Vista. Esto viene detallado en este KB943729.

 
Buen fin de semana.
Directorio Activo Windows 2008

Inter-Site Change Notifications» en los servicios de Active Directory.

Published by:

Os cuento cómo provocar la replicación de los cambios en Directorio Activo cada cinco segundos entre Sites distintos. 

Situación inicial: Bosque y dominio único con tres Sites distintos, Madrid, Santander y Torrevieja. Por defecto la configuración de Directorio Activo Site & Services es la siguiente:



Hay que añadir que por desconocimiento habiamos configurado la topologia de AD en anillo y no era realmente asi, tenía que ser centralizada.

La replicación de cambios en Directorio Activo está configurada de la siguiente manera:

  • Intra-Site.- Dentro de cada Site, cada cambio se replica al resto de Controladores de dominio del mismo Site utilizando una replicación denominada ‘Normal’, que es 5 segundos después de realizar dicho cambio. 

 

  • Inter-Site.- Entre cada Site, cada cambio se replica al resto de Controladores de dominio de otros Sites conforme a lo definido en el Site-Link creado. En nuestro caso es cada 180 minutos.
 
Question: Ya que las comunicaciones entre los diferentes Sites es buena, la finalidad es provocar que tengan la misma latencia las replicaciones Intra-Site y las Inter-Site, o sea, 5 segundos después de haberse realizado un cambio. ¿Os parece viable?

En nuestro caso, además habíamos definido en Directorio Activo que tanto la línea de comunicación entre Madrid y Torrevieja como la línea entre Madrid y Santander fuese la misma (el site link definido), teniendo el mismo peso, y realmente no era así, cada línea de comunicaciones era muy diferente de la otra. Había que definir dos tipos de Site-Links distintos con una ponderación relacionada directamente proporcional a dicho ancho de banda.

Primero.- Reflejar la topología de red tal y como queriamos. Teníamos configurada la opción de IP Site Link en el protocolo IP, o sea, teníamos definido «enlazar todos los vinculos a sitios». Desmarcando dicha opción solucionamos este punto
 



Segundo.- Provocar dicha replicación Intra-Site = Inter-Site = 5 segundos. Abrimos la consola Adsi Edit, editamos el contexto de nomencaltura «configuración«, bajamos hasta Sites, Inter-Site Transports, IP y en el atributo Optiones ponemos el valor «1«:


Prueba superada.

Bibliografía
MSDN
Technet
Social Technet.

Directorio Activo Tools

Herramienta Active Directory Replication Status…

Published by:

La semana pasada me enteré de la aparición de una nueva herramienta «Active Directory Replication Status» que nos permite, desde una consola gráfica (GUI), verificar y resolver los problemas de replicación entre Controladores de Dominio que tengamos tanto a nivel de Dominio como de Bosque.

La podemos descargar desde este Link: Aqui. Y tiene la siguiente pinta:

¿Que nos aporta?

  • Nos da una visión rápida y sencilla de la situación actual de replicación de Directorio Activo, de todas sus particiones, agrupando por Contrlador de Dominio.
  • Prioriza errores que nos aparezcan dependiendo de su necesidad de ser corregidos.
  • Permite la exportación de la información para su posterior análisis.

Aqui teneis un artículo completísimo sobre esta herramienta desde WindowsITPro, Calentito.
Nos vemos.

Directorio Activo Exchange 2010

Actualizar las listas de distribución despues de una migración de Exchange 2003 a 2010.

Published by:

Mientras estás en un periodo de migración de una infraestructura Exchange 2003 a una Exchange 2010, determinadas funcionalidades, en este caso de las listas de distribución, no funcionan correctamente. Como se puede ver, aparece todo en gris, sin poder realizar ninguna selección:

En el caso de realizar algún cambio dónde si nos deje realizar, modificando el alias, editando el nombre, etc., nos aparecerá un mensaje instándonos a realizar una actualización de versión


¿Qué ocurre si realizo tal actualización? que ya no podremos gestionar dicha lista de distribución desde nuestras antigua herramientas. Nada mas.

¿Cómo lo solucionamos?

Set-DistributionGroup -identity ‘Baloncesto’ -ForceUpgrade

En el caso de que queramos ser mas eficientes y buesquemos realizar una actualización masiva de las listas de distribución…. cmdlet al canto:

Get-DistributionGroup -resultsize unlimited | Set-DistributionGroup -ForceUpgrade

Y este es el resultado:

Bibliografia.
HowExchangeWorks.

Directorio Activo Exchange 2010

Solucionando problemas con los Alias en una migración a Exchange Server 2010

Published by:

Sabiamos que Exchange 2010 trata algunos atributos de una forma diferente que Exchange 2003. Estas semanas pasadas descubrí una de las particularidades mas comunes y es el cambio en el formato del alias de un buzón, contacto o grupo.

Formato válido de los alias para Exchange 2010:

Mientras que para Exchange 2003 podías introducir espacios en blanco, puntos, etc., etc, como se puede ver:

Inicialmente podemos ver qué buzones tienen un alias inválido ejecutando el cmdlet siguiente:

Get-Mailbox -resultsize unlimited | findstr «Warning»

Si aparecen pocos elementos problemáticos pues los corregimos directamente, a mano, pero y ¿si aparecen infinidad de ellos? No os preocupeis, existe un script, que puedes descargar desde aqui, que se llama Fix-alias.ps1 que nos ayudará en esta ardua tarea.

Esta es la ayuda con ejemplo incluido:

La verdad es que solucione este problema en mi migración, como se dice vulgarmente, a cañonazos, con otro script, CheckInvalidRecipients.ps1, ubicado en C:Program FilesMicrosoftExchange ServerV14Scripts ya que intentaba verificar si todos los recipientes de mi organización eran correctos. Si llego a saber esto….

Bibliografia:
Exchangeserverpro

Directorio Activo Windows 8 Server

Windows 8 Server – Instalacion de Roles – Controlador de Dominio Parte II.

Published by:

Nos quedamos en el post anterior en este punto: en el Server Manager nos aparece que necesita configuración post-despliegue:

Una vez reiniciado nos aparece el mensaje de que tenemos que promover este servidor a Controlador de Dominio:

Nos aparece el siguiente menú de opciones donde eleigeremos si añadir nuestro Controlador de Dominio a un dominio existente:

añadir un nuevo dominio a un forest existente,

o, añadir un nuevo forest:

Seleccionamos nuevo forest y ponemos el nombre robezno.com:

Nos solicita el nivel de funcionalidad de dicho forest y si tenemos que añadir algún servicio mas (siempre DNS). Ponemos la Password para el modo de Restauración de Servicios de Directorio

Aparece, en mi caso, un error en la configuración de DNS pero continuamos (probablemente haya sido que  no he instalado y configurado antes el servicio DNS). Verifica el nombre NetBIOS asignado al nuevo Forest/Domain:

 Las rutas, por defecto, dónde ubicará la base de datos de Directorio Activo, los logs y SYSVOL:

Nos muestra un resumen de todas las opciones seleccionadas y la posibilidad de crear un Script de Powershell con todo lo que hemos configurado:

 
Este es el script de nuestra selección:

Y nos pasa un test de requisitos:

Pulsamos instalar. Se reiniciará automáticamente y nos mostrará, nuevamente, el Server Manager que nos informará de los nuevos servicios instalados:

Pues nada, este es nuestro primer Controlador de Dominio de Windows Server 8.

Me he encontrado con el siguiente Post en el Blog de ITPro de Marc, que se me ha adelantado en montar el DC. Muy recomendable el artículo como su Blog.

Suerte y buen fin de semana.

Directorio Activo Windows 8 Server

Windows 8 Server – Instalacion de Roles – Controlador de Dominio Parte I..

Published by:

Y para empezar …. vamos a instalar un Controlador del dominio robezno.com, en dos partes.

Partimos desde el Server Manager. Seleccionaremos «Añadir rol o característica»

Seleccionamos, en nuestro caso, «Instalación de Role o Característica»

Toda esta parte es nueva, ya que podemos seleccionar un Servidor de nuestro pool o seleccionar un Disco duro virtual (Virtual Hard Disk -VHD):

 Seleccionaremos uno o varios roles, en nuestro caso el de «Active Directory Domain Services»:

Y, automáticamente, nos informa que incluye en la instalación las herramientas de gestión de Directorio Activo:

En el siguiente paso nos aparecen las Características (Features). Algunas de ellas no los conozco, todavía:

Como dato adicional, aparece ya instalado Windows Powershell v3.0:

Nos aparece la información sobre la instalación del Rol AD DS, que, como es normal, incluirá el rol del servicio DNS y, ademas, incluye el servicio DFS, dividido en Namespaces, Replication y FRS, requeridos por Directorio Activo:

Confirmamos la instalación.

Si nos fijamos, podemos seleccionar que se reinicie el serividor si es requerido, así como si queremos exportar la configuración a un fichero:

 Progreso de instalación:

 Y, tachan! en mi caso hay un error con una de las características:

Aprovechamos la coyuntura para mostrar como informa de ello Server Manager:

Una vez solucionado este error (en segundo plano estaba trantado de actualizar tres parches…..),

En Server Manager nos aparece que necesita configuración post-despliegue:

Pero esto, lo dejamos para el próximo dia.
Chao Robeznos.