Category Archives: Windows 2008 R2

Libros RDS Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2 Windows 2016

Lectura recomendada Remote Desktop Services para administradores de IT (RDSIT) de Xavier Genestós.

Published by:

Buenos dias a todos.

Aprovechando estas fechas, suelo darle salida a aquellas lecturas que durante el año he ido acumulando, tanto de tecnología como lúdicas. En este caso os voy a comentar el siguiente libro Remote Desktop Services para adinistradores de IT (RDSIT).

¿Que son los Remote Desktop Services de Windows Server, antigüamente conocidos como «Terminal Server»? Son los servicios de Infraestructura de Escritorios y aplicaciones remotas donde pones a disposición de los usuarios tanto escritorios como aplicaciones para que accedan ya sea desde dentro como desde fuera de la Infraestructura empresarial. Aqui os dejo el link oficial: RDS.

Me vais a decir que tengo predilección por este autor, y tengo que confirmaros que …… es cierto. Tengo una gran debilidad por Xavier ya que creo que es uno de los grandes «formadores» de la Tecnologia que tenemos por estas tierras. Es capaz de mantener un gran Blog (sysadmit.com), por no decir que espectacular, y tocar múltiples tecnologias de infraestructura como pueden ser Windows Server, Linux, VMWare, Veeam, Nakivo, Altaro, PRTG, sin olvidar que le da tiempo a escribir libros, algunos de ellos he comentado ya en el Blog:

Documentación, blogs y artículos, hoy en dia hay muchos y algunos muy buenos, pero en castellano y con esta calidad, sinceramente Xavier me tiene ganado.

No hay que olvidar que, desde que tengo referencias suyas se ha dedicado a la enseñanza de las Tecnologias, y sé que últimamente también se dedica a dar Sesiones de formación por su tierra, Barcelona, de manera altruista.

Sinceramente, envidia, envidia cochina. Yo, probablemente con tanto tiempo dormiria, jajajaja 😉

Mi opinión

La filosofia de este libro es la de explicar todas las funcionalidades, protocolos, arquitecturas posibles, etc., de los Servicios de Escritorio Remoto (Remote Desktop Services – RDS) de Microsoft Windows a traves de múltiples ejemplos y, sobre todo, laboratorios claros y concisos, dejando muy claro todos los principales conceptos que debemos tener.

Sin olvidarse ningún parámetro de configuración, mejora, puesta en producción etc. Vamos que siguiendo cualquiera de los escenarios que nos muestra y la aplicación de la mayoria de las GPOs que pone a nuestra disposición, seremos capaces de poner en Producción un servicio de RDS en un tiempo record!!! Cuidando puntos tan candentes como el rendimiento, la administración y, como no, la seguridad.

A Destacar

Yo destacaría los siguientes bloques o niveles:

Introducción.

Me gustaría destacar la introducción donde empieza explicando el historial de versiones de RDP (Remote Desktop Protocol), concepto y recomendaciones del uso de NLA (Network Level Authentication), Puertos que vamos a necesitar tener abiertos en cada uno de los Roles de los Servidores implicados, compresión y cifrado RDP, etc. muy importantes para tener claro los siguientes puntos.

Arquitectura

Nos expone uno a uno todos los roles de servidores involucrados, con un gran diagrama conceptual:

 

 

Ademas, de tener unas Preguntas Frecuentes (FAQ) que nos van a ir guiando sobre qué arquitectura montar y en qué casos, trata temas como:

  • ¿Cómo dimensiono mi granja de RDS?
  • Tunning y recomendaciones para mejorar el rendimiento de nuestra granja de RDS.
  • Si desplegamos nuestra granja dentro de un dominio de Active Directory o si lo hacemos en Workgroup

Ya sea via entorno gráfico (GUI), por línea de comando (cmd), Powershell y/o herramientas adicionales.

Apps y Configuración adicional

En este tercer apartado, trata sobre parámetros de configuración adicional que tenemos que tener en cuenta:

  • las Colecciones, cómo crearlas y gestionarlas, creación y distribución de RemoteApps,
  • Certificados SSL necesarios de cada uno de los Roles de nuestra granja.
  • Asi como un punto decisivo, el Licenciamiento, con unas cuestiones generales y las CALs por Usuario vs CALs por máquina.
  • Otro gran detalle, imprescindible para la administración en servicios via Directorio Activo, es la gran cantidad de GPOs que nos explica el auto para la configuración, tunning, etc., por no decir que nos lo da todo hecho.

Casos Prácticos: Escenarios de ejemplo.

En este caso plantea dos escenarios de despliegue «completo» de la solución:

  • RDS con Broker y dos Host de sesión sin balanceo.
  • RDS con uso de Remote Desktop Gateway

Detalles de configuración adicionales.

En este apartado se tratan temas de configuración adicional como son:

  • Portapapeles.- Resolución de problemas, redirección, etc.
  • Impresoras.- ¿Quien no ha tenido problemas alguna vez con la redirección de las impresoras?.
  • Shadow.- Funcionalidad que permite al administrador tomar el control de una sesión RDP. Muy interesante para la resolución de incidencias.
  • Drain Mode.- La configuración de manera temporal que no se produzcan nuevas conexiones a nuestros Hosts RDSH.
  • Instalación de Apps.-Procedimiento «correcto» de la instalación de nuevas aplicaciones ya sea via GUI o línea de comando.

Seguridad y Gestión.

Este es uno de los puntos que mas me suele gustar, por la experiencia y el día a día de los administradores de IT, me suelo sentir muy identificado con las situaciones que Xavier expone:

  • Herramientas administrativas.- El autor nos muestra múltiples herramientas via línea de comando (cmd), Powershell u opciones mstsc, que nos ayudaran en la gestión diaria de este servicio.
  • Seguridad.-
    • ¿Quién puede conectarse via RDP?.
    • Cómo verificar los derechos del usuario.
    • Aplicación de GPOs específicas.
    • Establecimiento de límites de tiempo den la sesiones RDP.
    • GPO Loopback.- Aqui le doy un voto de confianza adicional a Xavier ya que es de los pocos autores que trata los GPOs de Loopback, para entorno donde necesitamos que los usuarios dispongan de Directivas de grupo distintas al acceder a un RDSH o a su equipo local.
  • Resolución de problemas.- Ya sea via Eventviewer o utilizando otras herramientas como Process Explorer o Process Monitor.

Un detallazo que tiene Xavier con nosotros es el de proporcionarnos un Checklist de resolución de problemas ya sea en el lado Cliente como en el lado Servidor. 😉

Alta disponibilidad

Para terminar, y no es poco lo que hemos visto, encontramos el despliegue de todos los roles en Alta Disponibilidad (HA), como colofón.

De momento no hagais caso de todo lo concerniente a Azure, lo veremos mas adelante 😉

¿Donde comprarlo?

En la Editorial LULU: http://www.lulu.com/shop/search.ep?contributorId=1107000

Si tenéis dudas sobre su compra, podéis repasar el FAQ: http://www.sysadmit.com/p/faq-libros.html asi como los reviews de otros bloggers, aquí: https://www.sysadmit.com/p/vista-previa.html

Y os aconsejo antes de comprarlo, echar un vistazo a los códigos de descuento de la editorial: https://www.lulu.com/home

Un abrazo y hasta Septiembre …. o no

Administración Powershell Windows 10 Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2 Windows 2016 Windows 7 Windows 8 Windows 8 Server Windows 8.1

Listar cuentas de servicio en nuestros servidores con Powershell.

Published by:

Hola a todos,

Me he encontrado este post que tenía guardado desde hace …. un año o_O  . Otra píldora sobre Powershell, ese gran y desconocido amigo que nos hace las tareas administrativas mucho más fáciles.

«Hace poco (ahora hace un año!!!), me pidieron chequear con qué usuario se estaban ejecutando cada servicio en todos los servidores y me dije, esto con Powershell seguro que lo hacemos sin ningún problema»

Estube buscando como enfocarlo y pensé que si tenía la lista de todos los servidores podía volcarla  a un fichero de texto y, despues, chequear y obtener las cuentas que ejecutan los servicios. Eso es!!! 😀

Primero necesitamos un fichero txt con un listado de los servidores, en este caso no eran mas de 10 y lo denominaremos «Server_list.txt«, super ocurrentes los nombre que pongo 😉

Y también, había visto cómo obtener los servicios de un servidor, utilizando Get-WmiObject Win32_service para recuperar la información sobre un objeto de un servicio.

Hice un par de pruebas y me quedé con este script:

El resultado es un listado del número de servicios que cada usuario ejecuta en cada servidor. Et voilá!!!

De esta primera prueba se pueden hacer variaciones con permutaciones y obtener fantásticos resultados, detalle que os recomiendo encarecidamente y me los hagais llegar.

Que tengais muy buena semana….

Administración Backup Directorio Activo Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2 WSB

Restauración de objetos de Directorio Activo. Restaurar una OU y su contenido.

Published by:

Long time no see!!! vamos que, qué ha pasado que llevo casi cinco meses sin poner un post en el blog? Mucho trabajo, pocas horas de sueño reparador y sobre todo, cansancio acumulado de los últimos años. Pero me estreno en este 2015 por la puerta grande, con una restauración autoritativa de Directorio Activo.

Esta incidencia me ocurrió en un cliente hace tiempo y quería compartirla con vosotros. Por motivos todavía sin esclarecer, algo oscuros y tenebrosos, alguien borró una Unidad Organizativa (OU) de Directorio Activo. Que casualidad la mia que era la OU donde estaban todos los usuarios VIP!!!!! Pues nada, manos a la obra …. a restaurar se ha dicho

Por suerte teníamos una copia de seguridad de AD, en nuestro caso realizado con Data Protection Manager (DPM). Procedimos, a restaurar dicha copia de seguridad a una unidad de red, la llamaremos, \\srvdpm\DPM_Recovered.

Ahora llega lo bonito. vamos a restaurar un backup de SystemState sobre un Controlador de Dominio con la finalidad de recuperar esa OU de una manera autoritativa para que, posteriormente, replique al resto de DCs estos elementos restaurados. Ejecutaremos el siguiente comando:

wbadmin start systemstaterecovery -version:12/02/2014-20:30 -backupTarget:\\srvdpm\DPM_recovered

KK001

oh!!! no puedo hacerlo en caliente. Directamente sobre el Controlador de Dominio ???? Error. Regla número 1, para hacer una restauración autoritativa tenemos que arrancar el servidor en modo Directory Services Recovery Mode (DSRM). Bien, reiniciamos el DC, pulsamos F8 y entramos en modo DSRM. Procedemos a la ejecución de la restauración de nuestro backup de AD:

wbadmin start systemstaterecovery -version:12/02/2014-20:30 -backupTarget:\\srvdpm\DPM_recovered

KK002

Ah!!!! ahora si que inicia la restauración ….. 6362 ficheros procesados y subiendo ….

KK004

Recuperando ficheros reportados por «NTDS» … vamos bien …

KK005

La recuperación ha concluido. Anda, también me aparece un mensaje de que tengo que reiniciar el equipo para que sea completa. Pues venga, voy a reinciar… Error. Regla número 2. Lee atentamente los mensajes pero sobre todo lee los pasos que tienes que realizar con antelación.

Vuelta a empezar, otra vez a restaurar…… en este caso me lo salto porque si no el post se volvería eterno, un bucle.

…………

Una vez restaurado el backup, y antes de reiniciar, lo que tenemos que hacer es marcar la OU que queremos restaurar de una manera autoritativa para que luego replique a los otros DCs. Iniciamos la herramienta ntdsutil, esa gran amiga, y ejecutaremos las siguientes opciones:

ntdsutil

  • Activate instance ntds
  • Authoritative restore
  • Restore subtree ‘ou=UsuariosVIP,DC=Lanzarote,DC=local»

KK006

(En el caso de querer restaurar un objeto de AD el comando sería: Restore ‘cn=DirectorGeneral,ou=UsuariosVIP,DC=Lanzarote,DC=local» por ejemplo)

Siiiiiii. Ya estoy viendo la luz ….

KK009

Y ya está!!!! «Authoritative restore completed successfully» Ahhhhh! me estoy convirtiendo en Superguerrero!! Se han recuperado 849 registros ….. Ahora si reiniciarmos el Controlador de dominio y una vez esté funcionando replicará estos elementos restaurados contra el resto de Controladores de Dominio.

He tratado este post de una manera algo grotesca y desenfadada pero la verdad es que me llevó todo un dia resolver esta incidencia que ahora vemos que es muy sencillo, sobre todo si tienes práctica.

Hay mucha documentación en internet relacionada con las copias de seguridad y la restauración de Directorio Activo pero lo que si sufrí fue la cantidad de posts y documentación errónea, obsoleta y que me despistaba mas que ayuda. Al final recurrí a mi amigo Xavier Genestos (@sysadmit) que en su libro ADIT para Sysadmins lo explica de una manera breve, clara y concisa. Gracias Xavier.

 

Dedico este post a mi compañero Fran que me echó un cable en esta metedura de pata y a mis alumnos del Curso que estoy impartiendo de Windows 2012 R2 Active Directory y DNS en profundidad de Alicante. Este post me sirve como práctica.

Directorio Activo Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Réplica de SYSVOL con DFS-R o con FRS. ¿Cuál tengo yo activada?

Published by:

Preparando un post sobre el libro «Group Policy Objects para administradores de IT» (GPOIT)de Xavier Genestós (@sysadmit) que me compré hace tiempo he encontrado esta perlita informativa que comparto con vosotros.

El saber qué tipo de replilcación de SYSVOL es mejor y mas óptima creo que lo tenemos todos claro, la replicación DFS-R es una replicación por bloque no por fichero por lo que es más rápida y consume menos ancho de banda, sobre todo en dominios conectados a través de WAN.

Pero la cuestión es ¿Que tipo de replicación tengo yo activada por defecto en mi Directorio Activo (AD)? os dejo este cuadro explicativo que relaciona el Sistema operativo de los Controladores de Dominio (DC), la funcionalidad del dominio y el tipo de replicación de SYSVOL que es está realizando por defecto:

sysvol000001

Aunque DFS-R fué introducido en Windows Server 2003 R2, sin embargo la replicación de SYSVOL a través de DFS-R empezó a funcionar en Windows Server 2008, solo si el nivel funcional del dominio es Windows Server 2008 o superior.

¿Cómo verifico que mi replicaciónes está siendo por FRS?

Metodo 1.- Ejecutamos dfsrmig /getglobalstate y si no hemos realizado la migración nos aparecerá el siguiente mensaje:

Metodo 2.- Si verificamos la existencia en c:\Windows de  la carpeta SYSVOL_DFSR. Si existe estamos replicando por DFS-R, en caso contrario, o sea, solo existe SYSVOL, lo estamos haciendo por FRS

FRStoDFS-R_00005

Método 3.- Verificar que el servicio «File Replicacion Service» está en ejecución y no deshabilitado. Si está funcionando … claro indicativo de que la replicación está siendo por FRS.

FRStoDFS-R_00006

Metodo 4.- Podríamos incluir también la posibilidad de que a la hora de realizar un DCDIAG /e /c nos aparezcan eventos de este tipo, indicativos de que algo no está funcionando correctamente en el servicio DFS-R:

FRStoDFS-R_00002

¿Y que hago yo si tengo DCs con Windows Server 2008 R2 o con Windows Server 2012 o con Windows Server 2012 R2 y la funcionalidad de mi dominio cuando lo instalé era Windows Server 2000 o Windows Server 2003?

Pues está claro que lo ideal es migrar la replicación de SYSVOL de FRS a DFS-R …. en el proximo post

Que tengais muy buena semana.

Administración Directorio Activo Seguridad Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Grupos de Seguridad en Directorio Activo – Recordatorio de su uso.

Published by:

Buenas tardes, último día de curro!! y os dejo con una perlita informativa.

Uno de los temas menos comprendido y que mas confusión genera en Directorio Activo (AD), es la utilización de los distintos grupos de seguridad y su ámbito o alcance. Ayer mismo me preguntaban por qué no se podía añadir un usuario de otro forest a un Grupo de Seguridad que tiene acceso a carpetas compartidas….. pregunté ¿Es un grupo de Dominio Local? …. es un grupo, yo que sé, fue la respueta. Voy a tratar de explicarlo y, sobre todo, dejarlo claro, eso espero.

Existen los siguientes tipos de grupo, según se define en la documentación de Microsoft Windows Server 2012:

  • Grupos Locales.- Son grupos de ámbito exclusivamente local que se crean en servidores independientes (fuera de dominio), o en servidores perteneciente a un dominio sin ser Controladores de Dominio (DC). Estos grupos solo afectan al servidor en el que existen. Como por ejemplo son los grupos que se crean para gestionar servicios tales como DHCP, WSUS, o los Administradores locales de un servidor. ¿Quien puede pertenecer a este tipo de grupos?
  • Cualquier entidad de seguridad (Security Principal) del dominio al que corresponda, o sea, usuarios, equipos, grupos globales o grupos de dominio local del dominio al que corresponda.
  • Usuarios, equipos y grupos globales de cualquier dominio del bosque y cualquier dominio en el que se confie (exista relación de confianza).
  • Grupos Universales definidos en cualquier dominio del Bosque.
  • Grupos de Dominio Local.- Su uso principal es para gestionar tanto el acceso a recursos como para asignar y gestionar permisos dentro del Dominio en el que está definido. ¿Quien puede acceder a este tipo de grupos?
  • Cualquier entidad de seguridad del dominio al que corresponda, o sea, usuarios, equipos, grupos globales o grupos de dominio local del dominio al que corresponda.
  • Usuarios, equipos y grupos globales de cualquier dominio del bosque y cualquier dominio en el que se confie (exista relación de confianza).
  • Grupos Universales definidos en cualquier dominio del Bosque.
  • Grupos Globales.- Su uso es para consolidar usuarios que tienen las mismas características, como pueden ser pertenecer al mismo departamento, tener la misma ubicación geográfica o necesidades similares de acceso a la red. Asignar permisos y habilidades en todo el Bosque en el que esté creado ¿Quien puede acceder a este tipo de grupo?
  • Usuarios, equipos y grupos globales del dominio en el que se haya creado.

  • Grupos Universales.- Combina las características de los grupos globales y de dominio local pudiendo asignar permisos y habilidades en cualquier dominio del bosque. Ideal para escenarios multidominio y para agrupar Grupos Globales de diferentes dominios.
  • Usuarios, equipos y grupos globales de cualquier dominio del bosque.
  • Grupos Universales definidos en cualquier dominio del Bosque.

Una de sus principales virtudes es la propagación de los grupos universales en todos los servidores con el rol de Catálogo Global (GC).

Aqui os dejo esta tabla que lo explica mejor que yo:

Espero que os haya sido util.

Me voy de vacaciones. Pasadlo bien y hasta Septiembre.

 

Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2 Windows 7

Cómo configurar dirección IP primaria en Windows Server 2012.

Published by:

Buenos dias,

Hace una semanas desde una empresa del Holding en el que trabajo, unos compañeros administradores me hacian una pregunta, en principio, algo extraña. «¿podemos configurar una dirección IP como primaria?» Pense que esto era una cuestión obvia, muy sencilla, pero según me iban explicando vi que las cosas habian cambiado.

Os pongo en antecedentes. Tenemos varios servidores que tienen múltiples direcciones IP, versión IPv4 por supuesto, en la misma tarjeta de red (NIC). Lo que pretendemos es garantizar que las comunicaciones salientes de dicho servidor se hagan a través de una dirección IP primaria o principal.

Esta situación ya ocurría en sistemas operativos como Windows 2000 y Windows Server 2003, bastaba con asegurarse de que la dirección IP que queriamos como primaria la asginásemos como la primera en la configuración de red del Panel de Control, como puede verse en el ejemplo, la dirección IP primaria será la 192.168.2.150.

Asi es como hé actuado yo sobre los nuevos sistemas operativos y veo que estaba equivocado.

El problema.

Todo cambió con la llegada de Windows server 2008 R2, el comportamiento a la hora de seleccionar la dirección IP está basado en las siguientes acciones:

  • Prefer same address.- Si la dirección IP de destino es la misma que una de las direcciones IP de origen, se utilizará esa misma dirección IP.
  • Prefer outgoing interface.- Se prefiere una dirección IP en la interfaz que envia el paquete.
  • Use longest matching prefix with the next hop IP address.- Se utlizará la dirección IP de origen conjuntamente al criterio de aquella dirección IP que tenga el bit de orden superior mas largo coincidente con la dirección IP de salto siguiente.
  • Use longest matching previx with the destination IP address.- Se utilizará la dirección IP de origen con el bit de orden superior mas largo a la dirección IP de destino.

En resumen, con este comportamiento Windows selecciona la dirección IP mas baja como dirección IP de origen. Podeis ver el KB969029 que lo explica. Me ha resultado complejo explicarlo.

La Solución.

Ya que no hay un checkbox junto a nuestras direcciones IP para indicar qué dirección IP es la primaria, o la origen, pues recurrimos a la shell.

Primero quitaremos todas las direcciones IP incluidas en nuestra pila IPv4 e iremos incluyendo de una en una a través del comando netsh especificando en aquellas que no queremos que contesten el parámetro skipassource=true

000700404

Os dejo un ejemplo:

netsh int ipv4 add address «DMZ» 10.10.10.10 255.255.255.0

netsh int ipv4 add address «DMZ» 10.10.10.20 255.255.255.0 skipassource=true

netsh int ipv4 add address «DMZ» 10.10.10.30 255.255.255.0 skipassource=true

netsh int ipv4 add address «DMZ» 10.10.10.40 255.255.255.0 skipassource=true

En este ejemplo, tenemos cuatro direcciones IPv4 en la misma tarjeta de red denominada DMZ y se utilizará como primaria siempre la dirección IP 10.10.10.10/24.

Este post se lo dedico a mis excompañeros de Infobolsa. Muy buena gente y muchos años trabajando con ellos.

Que tengais muy buen fin de semana.

Lecturas recomendadas:

Technet – Networking Blog.

KB969029

SecuraCloud.

CA Directorio Activo IIS Powershell Servicios Windows Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Depromocionar un Controlador de Dominio que también es una Entidad Certificadora. Un poco mas dificil .. o no!

Published by:

Hoy es dejo esta perlita informativa sobre cómo quitar un controlador de dominio  que, además es la Entidad Certificadora, todo ello sin que haya pérdida del servicio, y vuelva a la normalidad, vamos, sin que pase nada, sobre un Windows Server 2003.

Los siguientes gráficos nos muestran cómo es la situación inicial y cómo queremos que sea la final, el camino ….. se hace al andar.

Antes

Antes

Despues

Despues

Nuestro objetivo es empezar a eliminar servicios publicados en Windows Server 2003 y elevar la funcionalidad de nuestro dominio DMZ.com a Windows Server 2008 R2 o superior.

Lo normal en estos casos es buscar un poco de información en Internet, como apoyo, ver HowTo, documentos, experiencias de otros Administradores. Si haces una búsqueda en Google sobre «Migrar entidad certificadora» aparecen los siguientes items:

Migrate00001

Es un honor para mi compartir links de resultados con dos gurus de la tecnologia, maese Josep Ros (@josepros),  y el Gran Bujarra 3.0, (Hector Herrero (@nheobug). Apuntaros sus twitters y sus blogs ya que son dos referentes del panorama IT en castellano.

Los pasos a seguir serán los siguientes:

  • Copia de seguridad de nuestra CA.
  • Eliminar el Rol de CA.
  • Realizar un DCPromo.
  • Volver a instalar el rol de CA.
  • Verificar el entramado

0 Realizar Copia de Seguridad de la Entidad Certificadora.

Este es el punto inicial para la gran mayoria de actuaciones, tener o realizar una copia de seguridad. Este punto ya lo hemos visto en un post del mes pasado «Migración de una Entidad Certificadora de Servidor. Parte I – Exportación«.

Migrate00007

Poco o nada puedo aportar. Hago un breve resumen:

  • Realizar Backup de la CA.
  • Exportar la configduración del registro de nuestra CA.

1 Eliminar Rol de Entidad Certificadora (CA).

Como es un Windows Server 2003 desde Panel de Control, agregar o quitar programas, procedemos a eliminar el rol de Certificate services:

DesinstallCAwithDCPromo00001

También se reconfigurarán los servicios de IIS

DesinstallCAwithDCPromo00002

Y finalizará exitosamente:

DesinstallCAwithDCPromo00003

Como veis, muy sencillo este paso.

2 Depromocionar el rol de Controlador de Dominio.

Lanzamos a nuestro gran amigo «DCPromo», ya desaparecido en Windows Server 2012 y 2012 R2, apareciéndonos el asistente de «depromoción» de Controlador de Dominio de Directorio Activo (AD):

DesinstallCAwithDCPromo00004

En nuestro caso no es el último controlador del Dominio, asi que dejaremos en blanco esta selección:

DesinstallCAwithDCPromo00006

Pondremos password a la cuenta de Administrador local del servidor, ahora que va a dejar de ser Controlador de Dominio:

DesinstallCAwithDCPromo00007

Un pequeño detalle, puede aparecer que este Controlador de Dominio tambén sea Catálogo Global (GC), por lo que tendremos que quitar éste rol antes de proceder a realizar el Depromocionado. Continuamos y, nos informa que va a proceder a eliminar el rol de Controlador de Dominio del dominio DMZ.com:

DesinstallCAwithDCPromo00008

Procederá a parar servicios como NETLOGON:

DesinstallCAwithDCPromo00009

El servicio RPCLOCATOR:

DesinstallCAwithDCPromo00012

Y eliminando LDAP así como RPC:

DesinstallCAwithDCPromo00013

Nos informará, nuevamente, de que ha sido eliminado el rol de DC:

DesinstallCAwithDCPromo00014

No hay que olvidarse que este proceso, obligatoriamente, requiere un reinicio:

DesinstallCAwithDCPromo00015

O sea, este servidor ya no es ni Controlador de Dominio del dominio DMZ.com, ni Entidad Certificadora de dicho dominio, ya no es nadie, jejejeje.

3 Instalación del Rol Entidad Certificadora.

Llegamos al ecuador de nuestro post del dia. Ahora llega lo mas dificil. Ya hemos visto como montar un Entidad Certificadora en un post del mes pasado «Migración de una Entidad Certificadora de Servidor. Parte II – Importación«, concretamente en el primer punto de post veiamos como montar una CA sobre Windows Server 2008 R2, pero, en este caso es una CA en Windows Server 2003. Es muy parecido, por no decir que igual.

Desde Panel de Control, Agregar o quitar programas:

DesinstallCAwithDCPromo00017

Seleccionaremos el rol de Certificate Services. Posteriormente nos aparecerá el tipo de Entidad Certificadora queremos instalar, en nuestro caso Enterprise root CA:

DesinstallCAwithDCPromo00019b

Continú la instalación y nos pregunta sobre la Clave Pública y la Clave Privada. Como hemos hecho una copia de seguridad en el paso Cero, lo podemos restaurar ahora, o cuando se termine de instalar el rol. Si restauraremos ahora la clave pública:

DesinstallCAwithDCPromo00020

Nos informa de si queremos sobreescribir, ya que los ficheros existen del paso 1:

DesinstallCAwithDCPromo00021

También podremos seleccionaremos nuestro CSP y el algoritmo Hash:

DesinstallCAwithDCPromo00022

Nos informará sobre la identificación de nuestra Entidad Certificadora, Common name, Distinguished name y la validez de la misma:

DesinstallCAwithDCPromo00023

Seleccionaremos las rutas de la base de datos y los logs. En la captura vienen las rutas por defecto:

DesinstallCAwithDCPromo00024

Nos avisará que los servicios de IIS se pararán durante la instalación…

DesinstallCAwithDCPromo00025

Reinstalación de los servicios de IIS:

DesinstallCAwithDCPromo00026

Y ya está instalado el rol.

Como he comentado antes, podíamos realizar una instalación con todos los parámetros por defecto y posteriormente restaurar el backup y la clave del registro con toda la configuración que funcionará perfectamente, esta opción también la hemos comentado el mes pasado en el siguiente post «Migración de una Entidad Certificadora de Servidor. Parte II – Importación«. Aunque … Lo dejo a vuestra elección.

4 Chequeo de funcionamiento.

Nos faltaría realizar las comprobaciones pertinentes, os dejo los chequeos principales, que ya hemos visto en el Chequeo de la Entidad Certificadora:

  • Podemos acceder al certificado de la CA y comprobar todas sus características.
  • Que todos los certificados emitidos por la CA siguen funcionando correctamente.
  • Que podemos emitir nuevos certificados que sirven a su función.
  • Que vemos todas las plantillas que se publican en Directorio Activo.
  • Podemos ver todos los certificados revocados,
  • Podemos visualizar los certificados emitidos por la anterior CA.
  • Podemos acceder a la lista de revocación de certificados (CRL).
  • Comprobar todas las Extensiones tanto del Punto de distribución de la CRL como del Acceso a la Información de la Autoridad (AIA), etc.,

 

Y también nos faltaría realizar las comprobaciones pertinentes en los Controladores de Dominio:

  • Verificar el estado lanzando la herramienta DCDIAG.
  • Echar un vistazo a los visores de eventos tratando de encontrar algún error.
  • Verificar la replicación entre los Controladores de Dominio existentes, por ejemplo con repadmin o con «AD Replication Status Tool«
  • etc.

Pues ya estaría.

Si quería dejaros un pequeño listado de errores que me han aparecido en este proceso:

  • El Controlador de Dominio Windows Server 2003 también es Catálogo Global.- Tenemos que quitar el rol de Catálogo Global antes de realizar el DCPromo.

DesinstallCAwithDCPromo00005

  • En el proceso de Depromocionar nuestro Controlador de Dominio nos ha dado un error de  «time out» a la hora de reiniciar el servicio NETLOGON.- Esto es algo, relativamente normal. Así que vuelves a lanzar el proceso de DCPromo y solucionado.

DesinstallCAwithDCPromo00010

  • Error a la hora de importar Backup de la Entidad Certificadora.- Suele pasar al tratar de restaurar un backup de la base de datos de la CA sobre un directorio que ya contiene datos. Tiene que estar en blanco.

DesinstallCAwithDCPromo00033

  • Error de Caché en el Pool de Aplicación que utiliza la Entidad Certificadora.- Esto pasa porque el usuario con el que se ejecuta el Pool de Aplicación no tiene permiso en una serie de directorios de C:. Se dan los permisos y funcionando.

DesinstallCAwithDCPromo00035

Todos ellos fáciles de solucionar. Para que luego digan que todo sale a la primera, o a la segunda. Normalmente hay que ir solucionando algún que otro error.

Espero que os haya gustado y, sobre todo, que os sea util. Buena semana a todos.

Referencias:

Blog de Josep Ros.

Blog del Bujarra 3.0.

Directorio Activo Powershell Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Elevar el nivel funcional de un dominio con PowerShell.

Published by:

Buenas tardes,RDFFL000004

¿Qué es el «Nivel funcional de un Bosque» o de un Dominio? El nivel funcional determina las capacidades y bondades que están disponibles de nuestro Bosque o Dominio de Directorio Activo (AD). Hay que tener en cuenta que este nivel funcional también determina que sistemas operativos Windows Server puedan ser Controladores de Dominio. Los sistemas operativos clientes quedan exentos.

Otro punto muy importante es que el Nivel funcional del Bosque determina el nivel funcional mínimo de todo dominio incluido en el mismo, o sea, que ningún dominio incluido en nuestro bosque puede tener un nivel funcional inferior al nivel funcional del bosque. Si pueden tener un nivel funcional superior. En resumen:

Nivel funcional del Bosque <= Nivel funcional del Dominio

En nuestro post trataremos de elevar el nivel funcional de un Bosque y Dominio Windows Server 2003 a Windows Server 2008 R2 utilizando Powershell. Empezamos.

Primero, como paso necesario, importamos el módulo de PowerShell para Directorio Activo:

Import-Module Active Directory

RDFFL000005

Para despues consultar la funcionalidad tanto del dominio como del bosque actual:

Get-ADForest

RDFFL000006Get-ADDomain

RDFFL000007

Una vez comprobado procedemos, primero con el Dominio y luego con el Bosque:

Dominio

Set-ADDomainMode -Identity «Dominio» -domainMode Windows2008R2Domain -confirm:$false

RDFFL000008

Comprobamos de una manerá gráfica que el dominio tiene una funcionalidad distinta del bosque:

RDFFL000009

Bosque

set-adforestmode –identity «netbiosname» windows2008R2Forest –confirm:$false

RDFFL000010

En este caso he ejecutado el cmdlet sin el parámetero -confirm, para que se vea claramente que nos pide confirmación. Al igual que en el caso anterior, comprobaremos gráficamente la situación final:

RDFFL000011

Lo habitual es que este proceso se realice a través de las consolas de gestión de Directorio Activo. Os dejo unos videos que nos muestra cómo hacerlo, hay muchos por internet. No tienen pérdida:

Este primero en ingles:

Este segundo en castellano:

Downgrade.

Ya para terminar, Una de las bondades incluidas a partir de Windows Server 2008 R2 es la siguiente. Si tenemos nivel funcional de Bosque o Dominio Windows Server 2008 R2 o superior si podemos realizar el paso inverso al que acabamos de hacer, en vez de elevar sería degradar. Obligatoriamente se tiene que realizar por PowerShell.

He visto que se pueden hacer las siguientes degradaciones: de Windows Server 2008 R2 a Windows Server 2008 y de Windows Server 2012 a Windows Server 2008 R2. El resto tendré que investigarlo.

Lecturas recomendadas:

Todo esto es extrapolable cuando queremos elevar el nivel funcional del Bosque o Dominio para Windows Server 2012 y Windows Server 2012 R2.

Buen fin de semana a todos.

Backup CA Windows 2008 R2 Windows 2012 Windows 2012 R2

Restauración de una Entidad Certificadora desde un Backup con CertUtil.

Published by:

Buenos dias,

Despues de unas mini-vacaciones en Calp, siguiendo la recomendación de mi compañero Jota, una semana con los peques se hace corta y muy dura, jejeje, pero sirve para desconectar. Volvemos a la carga con fuerzas renovadas y muchas ganas de seguir compartiendo las incidencias diarias.

Durante este periodo de tiempo nos ocurrió una incidencia con una Entidad Certificadora (CA). Teníamos que volver a un estado anterior de la misma y de esta manera recuperar mas de 50 certificados revocados por error. No se si sabreis que cuando revocas certificados en una CA, puedes especificar un motivo y una fecha. Tienes las siguientes opciones:

RestoreCA00000

La única opción que te permite una marcha a trás de una revocación de certificado es «Certificate Hold»:

RestoreCA00000c

Y el proceso de recuperación de un certificado revocado por error, a través de la consola es el siguiente, nos vamos a la carpeta de Certificados Revocados, encontramos aquel certificado que por error revocamos, botón derecho del ratón, todas las tareas y la última opción es la nuestra:

RestoreCA00000b

Cada día me queda mas claro que tener un plan de contingencia y recuperación frente a fallos de todos y cada uno de los servicios que tenemos es esencial y primordial. Por tal motivo os dejo este post.

Copia de Seguridad de la CA.

Para empezar os recuerdo que tenemos que tener definido una backup de la CA para poder hacer una restauración, ya sea ejecutando un Script de PowerShell, batch o desde la Consola de administración. En mi caso tengo definido el siguiente backup el cual ya hablamos en un post de hace tiempo (Script para realizar Backup de una CA):

Echo Backup Certification Authority, Certificates, Templates and CSP
CD/
cd Backup
Echo Y| del C:\Backup\BackupCA\DataBase
Echo Y| rd /S C:\Backup\BackupCA\DataBase\DataBase
Echo Y| del C:\Backup\BackupCA

Echo Backing up the Certification Authority and Certificates
certutil -backup -p C:\Backup\BaciupCA\DataBase

Echo Backing up the registry keys
reg export HKLM\System\CurrentControlSet\Services\CertSvc\Configuration C:\Backup\BACKUPCA\regkey.reg
Certutil –getreg CA\CSP > C:\Backup\BackupCA\CSP.txt

Echo Documenting all certificate templates published at the CA
Certutil –catemplates > C:\Backup\BackupCA\CATemplates.txt

move \\\backup\BackupCA \\<Servidor>\backup\»\%date:/=_%»
xcopy C:\Backup\BackupCA\*.* \\<Servidor>\backup\BackupCA\ /S /y

Este script realiza una copia de seguridad de toda la CA, de los Certificados, de la configuración de la misma, de las plantillas, de los Provedor de Servicio de Cifrado (CSP), etc. En las dos últimas lineas lo que hacemos es copiarnos dicho backup en una carpeta que tenga por nombre la fecha del día en que se ejecuta este script y se mueva a una ubicación externa diariamente el último backup.

Os dejo un par de capturas, la primera con el contenido de dicho Backup:

RestoreCA00002

Y la segunda con la ubicación en red con todos los backups de todos los dias por si tenemos que realizar una restauración selectiva:

RestoreCA00001

Restauración de la CA.

La restauración también podemos hacerla desde la Consola de Administración, como vimos en un Post anterior sobre la importación de una CA (aqui),  o con la herramienta CertUtil.exe, que es nuestro caso.

No se si sabreis pero con CertUtil podemos hacer backup/restore de los siguientes partes de nuestra CA, de toda la CA, de la base de datos, de la Clave Privada:

RestoreCA00010

Pues nada, nos ponemos al tajo. Ejecutamos el siguiente comando:

CertUtil.exe -restore -f -p Backup>

Si os fijais, en la primera ejecución del comando me da un error de que no puede restaurar el backup porque otro proceso está siendo utilizado por otro proceso, vamos que tengo que para la Entidad Certificadora para realizar una restauración, obviamente.

En la segunda ejecución aparece el error de que el directorio no está vacio!!!. O sea, que tenemos que poner el parámetro -f para que sobreescriba los ficheros actuales. Y, por fin, a la tercera da la vencida:

RestoreCA00011

Pues ya tendríamos restaurada nuestra Entidad Certificadora. Sencillo, ¿verdad? Pues aun nos queda un pequeño detalle.

CRL’s y Deltas.

Como sabreis cuando configuramos una CA, definimos uno o varios métodos de publicación de los certificados que han sido revocados (CRLs, OCSP, etc). Lo habitual es utilizar las bondades que nos ofrece nuestra CA por defecto y utilizar la publicación de una «Lista de Revocación de Certificados» o CRL.

RestoreCA00015

Nuevamente, por defecto viene configurada con la publicación de una CRL cada semana y de las Delta CRL cada día. La CRL contiene todos los certificados revocados y los Delta CRL solo aquellos certificados revocados desde la última creación de la CRL completa, vamos para solucionar el problema del excesivo tamaño del fichero CRL y el ancho de banda necesario para su descarga.

RestoreCA00016

En el proceso de chequeo del estatus de revocación de un certificado, el sistema tratará de recuperar la CRL y la Delta CRL de cada ruta definida en los Puntos de Distribución de la CRL (CDP). Normalmente definiremos, al menos, una ruta LDAP y otra HTTP, por lo tanto tratará de recuperar la CRL y Delta CRL de ambas rutas y, en nuestro caso, despues de una restauración, éstas son distintas, con el consiguiente error de «Certificado Revocado»

Como podeis ver en la captura de la configuración de mis puntos de distribución de la CRL tengo cinco distintos puntos para que se pueda acceder, al menos, a uno de ellos.

¿Solución? Pues tenemos dos opciones:

  1. Copiamos manualmente desde una ubicación a la otra la CRL.
  2. Creamos un archivo por lotes para copiar automáticamente la CRL

Xcopy c:\windows\system32\certsrv\CertEnroll\*.crl  c:\Inetpub\…

Espero que os sea muy util.

Buena semana a todos.

Administración Directorio Activo Tools Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

¿Me ha caducado mi contraseña? Herramienta Netwrix Password Expiration Alerting.

Published by:

Buenos dias,

Hoy, para terminar la semana, os dejo otra herramienta gratuita que nos informará por correo electrónico de cuánto tiempo queda para que caduquen las contraseñas de nuestros usuarios de Directorio Activo (AD). Parece una tontería y, probablemente haya scripts en Powershell que solucionen esto pero acabo de actualizar un servidor con este producto y no me había dado cuenta lo util que es: Netwrix Password Expiration Alerting.

Requerimientos:

InstallNetwrix_Free00002

Pocos, casi lo podemos instalar en cualquier sitio:

  • .NET Framework 2.0 (incluido en el 3.5).
  • Windows Installer 3.1 o superior

Sistemas Operativos soportados, todos:

  • Windows XP o superior.
  • Windows 2003 o superior.

Instalación:

Desde el portal de Netwrix Auditor 5.0 Freeware Edition podemos lanzar las siguientes aplicaciones:

InstallNetwrix_Free00001

Elegimos Password Expiration Alerting.

InstallNetwrix_Free00005

Seleccionaremos la ruta por defecto de instalación del aplicativo:

InstallNetwrix_Free00006

Pulsamos siguiente y terminará la instalación:

InstallNetwrix_Free00007

Funcionamiento:InstallNetwrix_Free00008

Os dejo un ejemplo de configuración. Cuando lanzas por primera vez el programa nos aparece la siguiente ventana de configuración:

  • Nombre del Dominio.
  • A quién se le va a notificar, ya sean los administradores, grupo de seguridad, grupo de gestión de contraseñas expiradas o los propios usuarios.
  • Periodo de tiempo en dias para que avise a los usuarios cuando expire su cuenta.
  • Nofitificación por correo.
  • Primera, segunda y sucesivas notificaciones de expiración de cuenta.
  • Configuracón del Servidor de correo.
  • Nombre de la cuenta desde la que se envia el correo de expriación de contraseña de cuenta.
  • etc.

La verdad es que muy completa para ser una versión Freeware.

También nos generará una tarea programada que se ejecutará cuando lo estimemos necesario para que envie un informe a los administradores o al Centro de Atención al Usuario, por ejemplo, indicándo que usuarios han expirado sus cuenta y qué usuarios expirarán en un periodo determinado, 7, 15, 30 dias.

Este informe tiene la siguiente pinta (he omitido los usuarios y sus cuentas de correo ya que son información de mi empresa):

InstallNetwrix_Free00009b

Viene muy bien cuando llegas un lunes a primera hora y ver qué usuarios tienen sus contraseñas caducadas y a los cinco minutos te llaman diciendo ….. «no me funciona el ordenador» o … » no puede acceder a mi correo», … o «no puede acceder al servidor de ficheros» ….. o  … «se ha caido La Internet». Todos unos clásicos de la primera hora de los lunes. Espero que os sea muy util.

Buen fin de semana a todos.