El camino de un ITPro » RDS » Windows 2012 » Windows 2012 R2

Category Archives: Windows 2012 R2

RDS Windows 2012 Windows 2012 R2

Asociar tipos de ficheros en Windows Server 2012 Servicios de Escritorio Remoto (RDS).

Published by:

Buenos dias,

Ya vimos en un anterior Post «Publicar una aplicación remota a través de RDWeb de Windows Server 2012 R2 …» cómo publicar nuestras apps. Bien, pues comenté muy sutilmente la Asociación de tipo de fichero, como podeis ver:

FileExtensions00000

En principio, tal y como estaba diseñado el post, era para construir con RDWeb un entorno seguro de navegación, y no había que asociar ningún tipo de extensión o tipo de fichero a una aplicación (app).

Bien pues al publicar otras Apps a través de RDWeb si me ha ocurrido el hecho de que tenga que asociar dichas extensiones o tipos de ficheros a nuestra App y me he dado cuenta de que no quedó nada claro en el Post anterior, así que, os pongo unos simples ejemplos.

Desde la configuración de las RemoteApp que tenemos publicadas en nuestro servidor, editaremos las propiedades de aquellas Remote Apps que queramos asociar un tipo de fichero en concreto:

FileExtensions00010En este post vamos a ver tres ejemplos:

PDF converter: En el cual he asociado los siguientes tipos de archivos:

FileExtensions00002

Microsoft Word 2010: En este caso he asociado todos los tipos de archivo que me ofrece

FileExtensions00001

FTP Reflection: Solo seleccionamos estos tres tipos de archivo:

FileExtensions00003

También lo podemos realizar a traves de PowerShell.

Importamos el módulo para los Servicios de Escritorio Remoto, para despues con el cmdlet Get-RDFileTypeAssociation vemos los tipos de ficheros que tiene asociada una Remote App:

FileExtensions00011

Para cambiar o incluir nuevos tipos de ficheros utilizaremos Set-RDFileTypeAssociation.

Como podeis ver podemos seleccionar uno, varios o todos los tipos de ficheros que consideremos necesarios para abrir con nuestras Remote Apps. Luego, ya en el cliente cuando, por ejemplo, queremos abrir un fichero con extensión por todos conocida como .XLS nos aparecerán dos opciones interesantes, Elegir programa predetermiando o Abrir con, y

FileExtensions00007

En este otro ejemplo asociamos de manera local en un cliente Windows 8 que cuando seleccionemos un fichero con extensión .docx lo abra siempre con el mismo programa, apareciendonos tanto el cliente Word instalado localmente como el cliente Word ofrecido como Remote App:

FileExtensions00008

Todas estas pruebas las he realizado con clientes Windows 8 y Windows 8.1 y no ha habido ningún problema a la hora de distribuir todas las Remote Apps y asociar el tipo de ficheros. Sin embargo si os quiero comentar que con Clientes Windows 7 si estoy teniendo algún tipo de problemas que os contaré en un próximo post.

NOTA: Para terminar un último comentario, las asociaciones de tipo de ficheros solo funcionan a aquellos usuarios que estén conectados por «RemoteApp y Conexiones de Escritorio». Aquellos usuarios que lo hagan utilizando el portal RDWeb o ficheros RDP, no se aplicaran las asociaciones de ficheros establecidas.

Lecturas Recomendas

Technet.

MsFreaks.

Que tengais una muy buena semana, para algunos mas corta.

Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2 Windows 7

Cómo configurar dirección IP primaria en Windows Server 2012.

Published by:

Buenos dias,

Hace una semanas desde una empresa del Holding en el que trabajo, unos compañeros administradores me hacian una pregunta, en principio, algo extraña. «¿podemos configurar una dirección IP como primaria?» Pense que esto era una cuestión obvia, muy sencilla, pero según me iban explicando vi que las cosas habian cambiado.

Os pongo en antecedentes. Tenemos varios servidores que tienen múltiples direcciones IP, versión IPv4 por supuesto, en la misma tarjeta de red (NIC). Lo que pretendemos es garantizar que las comunicaciones salientes de dicho servidor se hagan a través de una dirección IP primaria o principal.

Esta situación ya ocurría en sistemas operativos como Windows 2000 y Windows Server 2003, bastaba con asegurarse de que la dirección IP que queriamos como primaria la asginásemos como la primera en la configuración de red del Panel de Control, como puede verse en el ejemplo, la dirección IP primaria será la 192.168.2.150.

Asi es como hé actuado yo sobre los nuevos sistemas operativos y veo que estaba equivocado.

El problema.

Todo cambió con la llegada de Windows server 2008 R2, el comportamiento a la hora de seleccionar la dirección IP está basado en las siguientes acciones:

  • Prefer same address.- Si la dirección IP de destino es la misma que una de las direcciones IP de origen, se utilizará esa misma dirección IP.
  • Prefer outgoing interface.- Se prefiere una dirección IP en la interfaz que envia el paquete.
  • Use longest matching prefix with the next hop IP address.- Se utlizará la dirección IP de origen conjuntamente al criterio de aquella dirección IP que tenga el bit de orden superior mas largo coincidente con la dirección IP de salto siguiente.
  • Use longest matching previx with the destination IP address.- Se utilizará la dirección IP de origen con el bit de orden superior mas largo a la dirección IP de destino.

En resumen, con este comportamiento Windows selecciona la dirección IP mas baja como dirección IP de origen. Podeis ver el KB969029 que lo explica. Me ha resultado complejo explicarlo.

La Solución.

Ya que no hay un checkbox junto a nuestras direcciones IP para indicar qué dirección IP es la primaria, o la origen, pues recurrimos a la shell.

Primero quitaremos todas las direcciones IP incluidas en nuestra pila IPv4 e iremos incluyendo de una en una a través del comando netsh especificando en aquellas que no queremos que contesten el parámetro skipassource=true

000700404

Os dejo un ejemplo:

netsh int ipv4 add address «DMZ» 10.10.10.10 255.255.255.0

netsh int ipv4 add address «DMZ» 10.10.10.20 255.255.255.0 skipassource=true

netsh int ipv4 add address «DMZ» 10.10.10.30 255.255.255.0 skipassource=true

netsh int ipv4 add address «DMZ» 10.10.10.40 255.255.255.0 skipassource=true

En este ejemplo, tenemos cuatro direcciones IPv4 en la misma tarjeta de red denominada DMZ y se utilizará como primaria siempre la dirección IP 10.10.10.10/24.

Este post se lo dedico a mis excompañeros de Infobolsa. Muy buena gente y muchos años trabajando con ellos.

Que tengais muy buen fin de semana.

Lecturas recomendadas:

Technet – Networking Blog.

KB969029

SecuraCloud.

CA Directorio Activo IIS Powershell Servicios Windows Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Depromocionar un Controlador de Dominio que también es una Entidad Certificadora. Un poco mas dificil .. o no!

Published by:

Hoy es dejo esta perlita informativa sobre cómo quitar un controlador de dominio  que, además es la Entidad Certificadora, todo ello sin que haya pérdida del servicio, y vuelva a la normalidad, vamos, sin que pase nada, sobre un Windows Server 2003.

Los siguientes gráficos nos muestran cómo es la situación inicial y cómo queremos que sea la final, el camino ….. se hace al andar.

Antes

Antes

Despues

Despues

Nuestro objetivo es empezar a eliminar servicios publicados en Windows Server 2003 y elevar la funcionalidad de nuestro dominio DMZ.com a Windows Server 2008 R2 o superior.

Lo normal en estos casos es buscar un poco de información en Internet, como apoyo, ver HowTo, documentos, experiencias de otros Administradores. Si haces una búsqueda en Google sobre «Migrar entidad certificadora» aparecen los siguientes items:

Migrate00001

Es un honor para mi compartir links de resultados con dos gurus de la tecnologia, maese Josep Ros (@josepros),  y el Gran Bujarra 3.0, (Hector Herrero (@nheobug). Apuntaros sus twitters y sus blogs ya que son dos referentes del panorama IT en castellano.

Los pasos a seguir serán los siguientes:

  • Copia de seguridad de nuestra CA.
  • Eliminar el Rol de CA.
  • Realizar un DCPromo.
  • Volver a instalar el rol de CA.
  • Verificar el entramado

0 Realizar Copia de Seguridad de la Entidad Certificadora.

Este es el punto inicial para la gran mayoria de actuaciones, tener o realizar una copia de seguridad. Este punto ya lo hemos visto en un post del mes pasado «Migración de una Entidad Certificadora de Servidor. Parte I – Exportación«.

Migrate00007

Poco o nada puedo aportar. Hago un breve resumen:

  • Realizar Backup de la CA.
  • Exportar la configduración del registro de nuestra CA.

1 Eliminar Rol de Entidad Certificadora (CA).

Como es un Windows Server 2003 desde Panel de Control, agregar o quitar programas, procedemos a eliminar el rol de Certificate services:

DesinstallCAwithDCPromo00001

También se reconfigurarán los servicios de IIS

DesinstallCAwithDCPromo00002

Y finalizará exitosamente:

DesinstallCAwithDCPromo00003

Como veis, muy sencillo este paso.

2 Depromocionar el rol de Controlador de Dominio.

Lanzamos a nuestro gran amigo «DCPromo», ya desaparecido en Windows Server 2012 y 2012 R2, apareciéndonos el asistente de «depromoción» de Controlador de Dominio de Directorio Activo (AD):

DesinstallCAwithDCPromo00004

En nuestro caso no es el último controlador del Dominio, asi que dejaremos en blanco esta selección:

DesinstallCAwithDCPromo00006

Pondremos password a la cuenta de Administrador local del servidor, ahora que va a dejar de ser Controlador de Dominio:

DesinstallCAwithDCPromo00007

Un pequeño detalle, puede aparecer que este Controlador de Dominio tambén sea Catálogo Global (GC), por lo que tendremos que quitar éste rol antes de proceder a realizar el Depromocionado. Continuamos y, nos informa que va a proceder a eliminar el rol de Controlador de Dominio del dominio DMZ.com:

DesinstallCAwithDCPromo00008

Procederá a parar servicios como NETLOGON:

DesinstallCAwithDCPromo00009

El servicio RPCLOCATOR:

DesinstallCAwithDCPromo00012

Y eliminando LDAP así como RPC:

DesinstallCAwithDCPromo00013

Nos informará, nuevamente, de que ha sido eliminado el rol de DC:

DesinstallCAwithDCPromo00014

No hay que olvidarse que este proceso, obligatoriamente, requiere un reinicio:

DesinstallCAwithDCPromo00015

O sea, este servidor ya no es ni Controlador de Dominio del dominio DMZ.com, ni Entidad Certificadora de dicho dominio, ya no es nadie, jejejeje.

3 Instalación del Rol Entidad Certificadora.

Llegamos al ecuador de nuestro post del dia. Ahora llega lo mas dificil. Ya hemos visto como montar un Entidad Certificadora en un post del mes pasado «Migración de una Entidad Certificadora de Servidor. Parte II – Importación«, concretamente en el primer punto de post veiamos como montar una CA sobre Windows Server 2008 R2, pero, en este caso es una CA en Windows Server 2003. Es muy parecido, por no decir que igual.

Desde Panel de Control, Agregar o quitar programas:

DesinstallCAwithDCPromo00017

Seleccionaremos el rol de Certificate Services. Posteriormente nos aparecerá el tipo de Entidad Certificadora queremos instalar, en nuestro caso Enterprise root CA:

DesinstallCAwithDCPromo00019b

Continú la instalación y nos pregunta sobre la Clave Pública y la Clave Privada. Como hemos hecho una copia de seguridad en el paso Cero, lo podemos restaurar ahora, o cuando se termine de instalar el rol. Si restauraremos ahora la clave pública:

DesinstallCAwithDCPromo00020

Nos informa de si queremos sobreescribir, ya que los ficheros existen del paso 1:

DesinstallCAwithDCPromo00021

También podremos seleccionaremos nuestro CSP y el algoritmo Hash:

DesinstallCAwithDCPromo00022

Nos informará sobre la identificación de nuestra Entidad Certificadora, Common name, Distinguished name y la validez de la misma:

DesinstallCAwithDCPromo00023

Seleccionaremos las rutas de la base de datos y los logs. En la captura vienen las rutas por defecto:

DesinstallCAwithDCPromo00024

Nos avisará que los servicios de IIS se pararán durante la instalación…

DesinstallCAwithDCPromo00025

Reinstalación de los servicios de IIS:

DesinstallCAwithDCPromo00026

Y ya está instalado el rol.

Como he comentado antes, podíamos realizar una instalación con todos los parámetros por defecto y posteriormente restaurar el backup y la clave del registro con toda la configuración que funcionará perfectamente, esta opción también la hemos comentado el mes pasado en el siguiente post «Migración de una Entidad Certificadora de Servidor. Parte II – Importación«. Aunque … Lo dejo a vuestra elección.

4 Chequeo de funcionamiento.

Nos faltaría realizar las comprobaciones pertinentes, os dejo los chequeos principales, que ya hemos visto en el Chequeo de la Entidad Certificadora:

  • Podemos acceder al certificado de la CA y comprobar todas sus características.
  • Que todos los certificados emitidos por la CA siguen funcionando correctamente.
  • Que podemos emitir nuevos certificados que sirven a su función.
  • Que vemos todas las plantillas que se publican en Directorio Activo.
  • Podemos ver todos los certificados revocados,
  • Podemos visualizar los certificados emitidos por la anterior CA.
  • Podemos acceder a la lista de revocación de certificados (CRL).
  • Comprobar todas las Extensiones tanto del Punto de distribución de la CRL como del Acceso a la Información de la Autoridad (AIA), etc.,

 

Y también nos faltaría realizar las comprobaciones pertinentes en los Controladores de Dominio:

  • Verificar el estado lanzando la herramienta DCDIAG.
  • Echar un vistazo a los visores de eventos tratando de encontrar algún error.
  • Verificar la replicación entre los Controladores de Dominio existentes, por ejemplo con repadmin o con «AD Replication Status Tool«
  • etc.

Pues ya estaría.

Si quería dejaros un pequeño listado de errores que me han aparecido en este proceso:

  • El Controlador de Dominio Windows Server 2003 también es Catálogo Global.- Tenemos que quitar el rol de Catálogo Global antes de realizar el DCPromo.

DesinstallCAwithDCPromo00005

  • En el proceso de Depromocionar nuestro Controlador de Dominio nos ha dado un error de  «time out» a la hora de reiniciar el servicio NETLOGON.- Esto es algo, relativamente normal. Así que vuelves a lanzar el proceso de DCPromo y solucionado.

DesinstallCAwithDCPromo00010

  • Error a la hora de importar Backup de la Entidad Certificadora.- Suele pasar al tratar de restaurar un backup de la base de datos de la CA sobre un directorio que ya contiene datos. Tiene que estar en blanco.

DesinstallCAwithDCPromo00033

  • Error de Caché en el Pool de Aplicación que utiliza la Entidad Certificadora.- Esto pasa porque el usuario con el que se ejecuta el Pool de Aplicación no tiene permiso en una serie de directorios de C:. Se dan los permisos y funcionando.

DesinstallCAwithDCPromo00035

Todos ellos fáciles de solucionar. Para que luego digan que todo sale a la primera, o a la segunda. Normalmente hay que ir solucionando algún que otro error.

Espero que os haya gustado y, sobre todo, que os sea util. Buena semana a todos.

Referencias:

Blog de Josep Ros.

Blog del Bujarra 3.0.

Directorio Activo Powershell Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Elevar el nivel funcional de un dominio con PowerShell.

Published by:

Buenas tardes,RDFFL000004

¿Qué es el «Nivel funcional de un Bosque» o de un Dominio? El nivel funcional determina las capacidades y bondades que están disponibles de nuestro Bosque o Dominio de Directorio Activo (AD). Hay que tener en cuenta que este nivel funcional también determina que sistemas operativos Windows Server puedan ser Controladores de Dominio. Los sistemas operativos clientes quedan exentos.

Otro punto muy importante es que el Nivel funcional del Bosque determina el nivel funcional mínimo de todo dominio incluido en el mismo, o sea, que ningún dominio incluido en nuestro bosque puede tener un nivel funcional inferior al nivel funcional del bosque. Si pueden tener un nivel funcional superior. En resumen:

Nivel funcional del Bosque <= Nivel funcional del Dominio

En nuestro post trataremos de elevar el nivel funcional de un Bosque y Dominio Windows Server 2003 a Windows Server 2008 R2 utilizando Powershell. Empezamos.

Primero, como paso necesario, importamos el módulo de PowerShell para Directorio Activo:

Import-Module Active Directory

RDFFL000005

Para despues consultar la funcionalidad tanto del dominio como del bosque actual:

Get-ADForest

RDFFL000006Get-ADDomain

RDFFL000007

Una vez comprobado procedemos, primero con el Dominio y luego con el Bosque:

Dominio

Set-ADDomainMode -Identity «Dominio» -domainMode Windows2008R2Domain -confirm:$false

RDFFL000008

Comprobamos de una manerá gráfica que el dominio tiene una funcionalidad distinta del bosque:

RDFFL000009

Bosque

set-adforestmode –identity «netbiosname» windows2008R2Forest –confirm:$false

RDFFL000010

En este caso he ejecutado el cmdlet sin el parámetero -confirm, para que se vea claramente que nos pide confirmación. Al igual que en el caso anterior, comprobaremos gráficamente la situación final:

RDFFL000011

Lo habitual es que este proceso se realice a través de las consolas de gestión de Directorio Activo. Os dejo unos videos que nos muestra cómo hacerlo, hay muchos por internet. No tienen pérdida:

Este primero en ingles:

Este segundo en castellano:

Downgrade.

Ya para terminar, Una de las bondades incluidas a partir de Windows Server 2008 R2 es la siguiente. Si tenemos nivel funcional de Bosque o Dominio Windows Server 2008 R2 o superior si podemos realizar el paso inverso al que acabamos de hacer, en vez de elevar sería degradar. Obligatoriamente se tiene que realizar por PowerShell.

He visto que se pueden hacer las siguientes degradaciones: de Windows Server 2008 R2 a Windows Server 2008 y de Windows Server 2012 a Windows Server 2008 R2. El resto tendré que investigarlo.

Lecturas recomendadas:

Todo esto es extrapolable cuando queremos elevar el nivel funcional del Bosque o Dominio para Windows Server 2012 y Windows Server 2012 R2.

Buen fin de semana a todos.

Backup CA Windows 2008 R2 Windows 2012 Windows 2012 R2

Restauración de una Entidad Certificadora desde un Backup con CertUtil.

Published by:

Buenos dias,

Despues de unas mini-vacaciones en Calp, siguiendo la recomendación de mi compañero Jota, una semana con los peques se hace corta y muy dura, jejeje, pero sirve para desconectar. Volvemos a la carga con fuerzas renovadas y muchas ganas de seguir compartiendo las incidencias diarias.

Durante este periodo de tiempo nos ocurrió una incidencia con una Entidad Certificadora (CA). Teníamos que volver a un estado anterior de la misma y de esta manera recuperar mas de 50 certificados revocados por error. No se si sabreis que cuando revocas certificados en una CA, puedes especificar un motivo y una fecha. Tienes las siguientes opciones:

RestoreCA00000

La única opción que te permite una marcha a trás de una revocación de certificado es «Certificate Hold»:

RestoreCA00000c

Y el proceso de recuperación de un certificado revocado por error, a través de la consola es el siguiente, nos vamos a la carpeta de Certificados Revocados, encontramos aquel certificado que por error revocamos, botón derecho del ratón, todas las tareas y la última opción es la nuestra:

RestoreCA00000b

Cada día me queda mas claro que tener un plan de contingencia y recuperación frente a fallos de todos y cada uno de los servicios que tenemos es esencial y primordial. Por tal motivo os dejo este post.

Copia de Seguridad de la CA.

Para empezar os recuerdo que tenemos que tener definido una backup de la CA para poder hacer una restauración, ya sea ejecutando un Script de PowerShell, batch o desde la Consola de administración. En mi caso tengo definido el siguiente backup el cual ya hablamos en un post de hace tiempo (Script para realizar Backup de una CA):

Echo Backup Certification Authority, Certificates, Templates and CSP
CD/
cd Backup
Echo Y| del C:\Backup\BackupCA\DataBase
Echo Y| rd /S C:\Backup\BackupCA\DataBase\DataBase
Echo Y| del C:\Backup\BackupCA

Echo Backing up the Certification Authority and Certificates
certutil -backup -p C:\Backup\BaciupCA\DataBase

Echo Backing up the registry keys
reg export HKLM\System\CurrentControlSet\Services\CertSvc\Configuration C:\Backup\BACKUPCA\regkey.reg
Certutil –getreg CA\CSP > C:\Backup\BackupCA\CSP.txt

Echo Documenting all certificate templates published at the CA
Certutil –catemplates > C:\Backup\BackupCA\CATemplates.txt

move \\\backup\BackupCA \\<Servidor>\backup\»\%date:/=_%»
xcopy C:\Backup\BackupCA\*.* \\<Servidor>\backup\BackupCA\ /S /y

Este script realiza una copia de seguridad de toda la CA, de los Certificados, de la configuración de la misma, de las plantillas, de los Provedor de Servicio de Cifrado (CSP), etc. En las dos últimas lineas lo que hacemos es copiarnos dicho backup en una carpeta que tenga por nombre la fecha del día en que se ejecuta este script y se mueva a una ubicación externa diariamente el último backup.

Os dejo un par de capturas, la primera con el contenido de dicho Backup:

RestoreCA00002

Y la segunda con la ubicación en red con todos los backups de todos los dias por si tenemos que realizar una restauración selectiva:

RestoreCA00001

Restauración de la CA.

La restauración también podemos hacerla desde la Consola de Administración, como vimos en un Post anterior sobre la importación de una CA (aqui),  o con la herramienta CertUtil.exe, que es nuestro caso.

No se si sabreis pero con CertUtil podemos hacer backup/restore de los siguientes partes de nuestra CA, de toda la CA, de la base de datos, de la Clave Privada:

RestoreCA00010

Pues nada, nos ponemos al tajo. Ejecutamos el siguiente comando:

CertUtil.exe -restore -f -p Backup>

Si os fijais, en la primera ejecución del comando me da un error de que no puede restaurar el backup porque otro proceso está siendo utilizado por otro proceso, vamos que tengo que para la Entidad Certificadora para realizar una restauración, obviamente.

En la segunda ejecución aparece el error de que el directorio no está vacio!!!. O sea, que tenemos que poner el parámetro -f para que sobreescriba los ficheros actuales. Y, por fin, a la tercera da la vencida:

RestoreCA00011

Pues ya tendríamos restaurada nuestra Entidad Certificadora. Sencillo, ¿verdad? Pues aun nos queda un pequeño detalle.

CRL’s y Deltas.

Como sabreis cuando configuramos una CA, definimos uno o varios métodos de publicación de los certificados que han sido revocados (CRLs, OCSP, etc). Lo habitual es utilizar las bondades que nos ofrece nuestra CA por defecto y utilizar la publicación de una «Lista de Revocación de Certificados» o CRL.

RestoreCA00015

Nuevamente, por defecto viene configurada con la publicación de una CRL cada semana y de las Delta CRL cada día. La CRL contiene todos los certificados revocados y los Delta CRL solo aquellos certificados revocados desde la última creación de la CRL completa, vamos para solucionar el problema del excesivo tamaño del fichero CRL y el ancho de banda necesario para su descarga.

RestoreCA00016

En el proceso de chequeo del estatus de revocación de un certificado, el sistema tratará de recuperar la CRL y la Delta CRL de cada ruta definida en los Puntos de Distribución de la CRL (CDP). Normalmente definiremos, al menos, una ruta LDAP y otra HTTP, por lo tanto tratará de recuperar la CRL y Delta CRL de ambas rutas y, en nuestro caso, despues de una restauración, éstas son distintas, con el consiguiente error de «Certificado Revocado»

Como podeis ver en la captura de la configuración de mis puntos de distribución de la CRL tengo cinco distintos puntos para que se pueda acceder, al menos, a uno de ellos.

¿Solución? Pues tenemos dos opciones:

  1. Copiamos manualmente desde una ubicación a la otra la CRL.
  2. Creamos un archivo por lotes para copiar automáticamente la CRL

Xcopy c:\windows\system32\certsrv\CertEnroll\*.crl  c:\Inetpub\…

Espero que os sea muy util.

Buena semana a todos.

Administración Directorio Activo Tools Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

¿Me ha caducado mi contraseña? Herramienta Netwrix Password Expiration Alerting.

Published by:

Buenos dias,

Hoy, para terminar la semana, os dejo otra herramienta gratuita que nos informará por correo electrónico de cuánto tiempo queda para que caduquen las contraseñas de nuestros usuarios de Directorio Activo (AD). Parece una tontería y, probablemente haya scripts en Powershell que solucionen esto pero acabo de actualizar un servidor con este producto y no me había dado cuenta lo util que es: Netwrix Password Expiration Alerting.

Requerimientos:

InstallNetwrix_Free00002

Pocos, casi lo podemos instalar en cualquier sitio:

  • .NET Framework 2.0 (incluido en el 3.5).
  • Windows Installer 3.1 o superior

Sistemas Operativos soportados, todos:

  • Windows XP o superior.
  • Windows 2003 o superior.

Instalación:

Desde el portal de Netwrix Auditor 5.0 Freeware Edition podemos lanzar las siguientes aplicaciones:

InstallNetwrix_Free00001

Elegimos Password Expiration Alerting.

InstallNetwrix_Free00005

Seleccionaremos la ruta por defecto de instalación del aplicativo:

InstallNetwrix_Free00006

Pulsamos siguiente y terminará la instalación:

InstallNetwrix_Free00007

Funcionamiento:InstallNetwrix_Free00008

Os dejo un ejemplo de configuración. Cuando lanzas por primera vez el programa nos aparece la siguiente ventana de configuración:

  • Nombre del Dominio.
  • A quién se le va a notificar, ya sean los administradores, grupo de seguridad, grupo de gestión de contraseñas expiradas o los propios usuarios.
  • Periodo de tiempo en dias para que avise a los usuarios cuando expire su cuenta.
  • Nofitificación por correo.
  • Primera, segunda y sucesivas notificaciones de expiración de cuenta.
  • Configuracón del Servidor de correo.
  • Nombre de la cuenta desde la que se envia el correo de expriación de contraseña de cuenta.
  • etc.

La verdad es que muy completa para ser una versión Freeware.

También nos generará una tarea programada que se ejecutará cuando lo estimemos necesario para que envie un informe a los administradores o al Centro de Atención al Usuario, por ejemplo, indicándo que usuarios han expirado sus cuenta y qué usuarios expirarán en un periodo determinado, 7, 15, 30 dias.

Este informe tiene la siguiente pinta (he omitido los usuarios y sus cuentas de correo ya que son información de mi empresa):

InstallNetwrix_Free00009b

Viene muy bien cuando llegas un lunes a primera hora y ver qué usuarios tienen sus contraseñas caducadas y a los cinco minutos te llaman diciendo ….. «no me funciona el ordenador» o … » no puede acceder a mi correo», … o «no puede acceder al servidor de ficheros» ….. o  … «se ha caido La Internet». Todos unos clásicos de la primera hora de los lunes. Espero que os sea muy util.

Buen fin de semana a todos.

Planificacion Seguridad Servicios Windows Windows 2012 Windows 2012 R2

Migrar servicio WSUS desde Windows Server 2003 a Windows Server 2012 R2. Fase 2: Ejecución.

Published by:

Buenos dias, por fin es viernes.

Hoy vamos a ver el paso a paso y el resultado de la migración de nuestro servicio WSUS.

Ya vimos en el post anterior denominado «Planificación» tanto los prerequisitos necesarios como los pasos que vamos a seguir, asi que  …….  Rock & Roll.

1 Usuarios y Grupos Locales.

Recordamos que el servicio WSUS trabaja con usuarios/grupos locales así que tendremos que tenerlos en cuenta en la migración.

En nuestro caso todo lo gestiona un grupo de seguridad del Grupo de Atención al Usuario, tanto los Administradores como los Iformes. (tomamos nota).

Upgradewsus000003

2 Backup de la base de datos de WSUS. 

Desde nuestro Microsoft SQL Server Management Studio Express del servidor origen, realizaremos la copia de seguridad. Seguiremos los siguientes pasos:

  1. Nos conectamos a la instancia del servidor en el Explorador de Objetos de nuestra consola.
  2. Expandimos la bases de datos (DDBB) y seleccionamos la DDBB denominada SUSDB (como puede verse en la captura).
  3. Botón derecho, seleccionaremos Tareas (Tasks) y despues Back UP, donde tendremos que seleccionar los siguientes parámetros para nuestro backup: Base de Datos, tipo, que será Completo y ruta donde almacenar nuestra copia de seguridad.
  4. Pulsaremos OK y ya tendremos nuestra copia de seguridad.

Upgradewsus000008

3 Instalación Microsoft SQL Express & Management Studio en el servidor destino. 

Como ya hemos comentado, lo primero es tener instalado Microsoft SQL Express & Management Studio, asi que me pongo manos a la obra. Ya os facilité los diferentes links de descarrgas de las versiones así que os dejo un par de capturas de la instalación, el Wizard:

Upgradewsus000006

Y seleccionaremos las herramientas de gestión:

Upgradewsus000007

Os dejo abajo un link mucho mas exhaustivo y detallado de cómo instalar SQL Express Management Studio en las lecturas recomendadas.

Por cierto, al realizar la instalación de la versión 2012, probablemente os aparezca el siguiente error si no teneis instalado el .Net Framework 3.5

Upgradewsus00000

Lo solucionaremos como vimos hace poco en este post «No puedo instalar .Net Framework 3.5 en Windows Server 2012 y Windows Server 2012 R2. Una solución quiero!»

 

Upgradewsus000011B

4 Restauración de la base de datos de WSUS en el servidor destino. 

Pasos a seguir:

  1. Abrimos Microsoft SQL Management Studio y lo conectamos a la instancia local instalada en el punto anterior.
  2. Expandimos las bases de datos.
  3. Botón derecho sobre bases de datos y seleccionamos «Restaurar base de datos».
  4. Seleccioanremos l
  5. Se realiza la restauración.
  6. Chin pun, finiquito.

Upgradewsus000012

Insisito, fácil

Upgradewsus000014

5 Instalación del Rol WSUS en el servidor destino.

Necesitaremos las siguientes características para la instalación del rol:

  • .NET Framework. (ya la hemos instalado en puntos anteriores).Upgradewsus000015
  • Background Intelligent Transfer Service (BITS) 2.0.
  • Microsoft Internet Information Services (IIS).

Podemos instalarlas via PowerShell (PS) con el siguiente cmdlet:

Import-Module ServerManager

Add-WindowsFeature Bitstransfer IISUpgradewsus000017

O desde el Server Manager, al libre albedrío.

Despues, continuaríamos con los siguientes pasos:

  1. ServerManager.
  2. Añadir Roles y Características, donde seleccionamos WSUS.
  3. Automáticamente nos aparecen los Roles y las Características necesarias para la instalación de WSUS, que os resumo

Upgradewsus000018bUpgradewsus000020b

4. Configuración inicial para la instalación del servicio WSUS.

5. Seleccionaremos, en nuestro caso, los siguientes roles:

6. Seleccionaremos la ruta donde se almacenarán las actualizaciones:

Upgradewsus000021

7. Apuntamos la conexión a la base de datos que acabamos de restaurar:

Upgradewsus00002

Se lanza la instalación de todos estos roles y características. Si os fijais, ya nos indica que existen unas tareas que tendremos que configurar una vez se haya terminado dicha instalación:

Upgradewsus000022

Una vez terminada la instalación, con o sin reinicio, realizamos las tareas post-despliegue:

Upgradewsus000023

8. Conectaremos la base de datos y el almacenamiento para las descargas del servicio WSUS:

Upgradewsus000026

Comprobaremos que todo ha sido correcto:

Upgradewsus000027

9. Se lanza el asistente de configuración del servicio WSUS (como si fuese la primera vez pero no lo es)

Upgradewsus000028

Siguiente:

Upgradewsus000029

10. Elegiremos de dónde nos vamos a descargar los parches (al igual que el Servidor origen).

Upgradewsus000030

11. Comprobaremos credenciales, si son necesarias, para el acceso a internet:

Upgradewsus000031

Y ya estaría instalado el servicio

7 Cambio de WSUS server Identity

Como ya comentamos, nuestra intención es que los usuarios finales, ya sean servidores o clientes, no se vean afectados por este cambio. Ya sabemos que el servicio WSUS le asigna a cada servidor un GUID distinto al de AD y trabaja con él, lo que tenemos que hacer es que al cambiar de servidor y base de datos, el cliente final no se vea afectado perdiendo la conexión con el servicio WSUS.

1. En el nuevo servidor abriremos consola de PowerShell con privilegios de administrador.

2. Importaremos el módulo de WSUS.

2. Ejecutaremos el siguiente script:

$updateServer = get-wsusserver

$config = $updateServer.GetConfiguration()

$config.ServerId = [System.Guid]::NewGuid()

$config.Save()

Todo de una vez, para verlo mas claro:

Upgradewsus000032

4. Tan pronto la identidad haya cambiado, ejecutaremos el siguiente comando para generar una nueva clave de encriptación: WSUSUTIL.exe Postinstall

 

8 Usuarios y Grupos Locales.

Recordamos los usuarios que pertenecían a los gurpos de gestión del servicio WSUS y los introducimos desde el Server Manager:

Upgradewsus000061

9 Apuntar a todos los clientes a la nueva dirección del servidor WSUS.

Desde la consola gpmc.msc de gestión de Políticas de Grupo de Directorio Activo actualizaremos el Servidor que realiza las tareas de WSUS (Specify intranet Microsoft update service policy) en cada una de las GPOs de actualización de parches que existan:

Upgradewsus000034

Luego, para forzar a los clientes a detectar el nuevo servidor destino, desde una consola podemos ejecutar los siguientes comandos:

  • wuauclt.exe /resetauthorization /detectnow
  • GPUpdate /Force.

 

10 Verificar la configuración del servidor destino.

Comprobarermos el correcto funcionamiento de nuestro nuevo servidor. ¿cómo? realizando las siguientes comprobaciones desde la consola de gestión del servicio WSUS:

  • Expandiremos Equipos y verificaremos las últimas conexiones o reportes de cada equipo, si empiezan a actualizarse es que todo está correcto.

Upgradewsus000062

  • Realizaremos una sincronización con Microsoft Windows Update y verificaremos si es correcta.

Upgradewsus0000101

  • Verificar si existen servidores réplica a los que nuestro nuevo servidor distribuye parches ya actualizaciones de seguridad:

Upgradewsus000063

11 Verificación de la funcionalidad del servicio WSUS en los clientes.

Podremos comprobar el funcionamiento correcto del servicio en el log que deja WSUS en cada cliente en la ruta%WinDir%\WindowsUpdate.log

 

Lecturas recomendadas:

Lo se, vaya ladrillo, pero ya sabeis que la realidad supera la ficción y la planificación.

Buen fin de semana.

Planificacion Seguridad Servicios Windows Windows 2012 Windows 2012 R2

Migrar servicio WSUS desde Windows Server 2003 a Windows Server 2012 R2. Fase 1: Planificación.

Published by:

Otro de los muchos proyectos en los que estoy involucrado es la migración de todos los servicios que tengo instalados sobre Windows 2003 Server a Windows Server 2012 o Windows Server 2012 R2. En este caso voy a comentar los pasos a realizar para migrar el servicio Windows Server Update Services (WSUS). En este primero post vamos a planificar (ese gran desconocido) la migración, ya en un segundo post lo veremos mas a fondo, paso a paso,  y, sobre todo, veremos el resultado.

Upgradewsus000002

Necesidades

Crear un nuevo servidor virtual con la siguiente configuración de Hardware:

  • SO: Windows Server 2012 o Windows Server 212 R2 Standard Edition
  • Memoria RAM: 2 GB (minimo).
  • vCPUs: 4
  • Discos: 2 discos, uno para el sistema operativo y otro para el servicio WSUS que suele crecer bastante si  no lo gestionamos bien.

Preprequisitos

  • Recolectar información sobre los servidores involucrados, dirección IP, nombre e instancia de la base de datos WSUS, servicios y usuarios involucrados, etc.
  • Descargar e instalar Microsoft SQL Server Management Studio en los servidores Origen (Servidor A) y destino (Servidor B).
  • No lanzar la instalación inicial del rol WSUS sobre el servidor destino.
  • Verificar que no vamos a instalar el servicio sobre un Controlador de Dominio,
  • Que el servidor destino esté en dominio y sincronizado en hora con el PDC.
  • Tener los permisos necesarios tanto en origen como en destino para realizar todas estas tareas.

Los pasos planificados a seguir son los siguientes:

1 Usuarios y Grupos Locales.Upgradewsus000003

El servicio WSUS trabaja con usuarios/grupos locales así que tendremos que tenerlos en cuanta en la migración.

2 Backup de la base de datos de WSUS.

Desde nuestro Microsoft SQL Server Management Studio Express, podremos realizar la copia de seguridad de la base de datos de WSUS (Links de descargar version 2005, 2008 y 2012).

3 Restauración de la base de datos de WSUS en el servidor destino. 

Es el paso inverso al anterior. En principio no tiene porque darnos ningún problema.

4 Instalación del Rol WSUS en el servidor destino.

Ya en el servidor destino con Windows Server 2012 o Windows Server 2012 R2, necesitaremos las siguientes características para la instalación del rol:

  • .NET Framework. (ya la hemos instalado en puntos anteriores).
  • Background Intelligent Transfer Service (BITS) 2.0.
  • Microsoft Internet Information Services (IIS).

5 Cambio de WSUS server Identity

La intención es que los usuarios finales, ya sean servidores o equipos clientes, no se vean afectados por este cambio. Ya sabemos que el servicio WSUS le asigna a cada servidor un GUID distinto al de AD y trabaja con él, lo que tenemos que hacer, a través de un script de Powershell, cambiar la identidad del servidor WSUS y generar una nueva clave de cifrado.

6 Apuntar a todos los clientes a la nueva dirección del servidor WSUS.

Se trataría de cambiar la URL en las distintas GPOs que tengamos configuradas en nuestros dominios. Muy sencillo.

7 Verificar la configuración del servidor destino.

Comprobar el correcto funcionamiento de nuestro nuevo servidor.

8 Verificación de la funcionalidad del servicio WSUS en los clientes.

Podremos comprobar el funcionamiento correcto del servicio en el log que deja WSUS en cada cliente en la ruta%WinDir%\WindowsUpdate.log

 

Y poco mas. Como veis son 8 pasos bastante sencillos. Me gustaría tener el segundo post para finales de esta semana, ya se verá.

Lecturas recomendadas:

Y también os dejo este video, espero que os sea util:

Administración Powershell Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Crear una Tarea programada con PowerShell. Backup de GPOs de AD.

Published by:

Hola,

Hablábamos hace muy poco sobre cómo realizar un backup de GPOs de Directorio Activo en caliente y dejamos pendiente el hacerlo mediante una tarea programada, por PowerShell (PS), por supuesto. Pues nada, al tajo.

Para empezar cargaremos, si no lo tenemos cargado por defecto, el módulo de Tareas Programadas y el de Group Policy:

Import-Module ScheduledTasks, GroupPolicy

Aqui teneis un listado de todos los cmdlets contenidos en el módulo:

SchedulledTaskPS0000001

Un pequeño detalles es que este módulo esta accesible para importarlo desde PS 3.0, así que si teneis una versión inferior os recomiendo o actualizarla o descargar los módulos desde Codeplex (Aqui).

Podríamos crear la tarea programada con el cmdlet New-ScheduledTask directamente, pero para una mayor claridad y que se pueda entender para los profanos la vamos a dividir en variables:

Vamos a definir las siguientes variables que están incluidas en cualquier tarea programada:

  • $A => Acción/es a realizar.- En nuestro caso es la ejecución de otro cmdlet de PS: «Backup-GPO -ALL -Path I:\GPOS_AD». Tiene la peculiaridad de que ejecutamos un cmdlet dentro de otro cmdlet, asi que hacemos referencia a la ejecución %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe. También podemos ejecutar un script de powershell con múltiples acciones.
  •  $T => Trigger o desencadenante.- En nuestro caso será la fecha de ejecución, diariamente, semanalmente, dias de la semana, a la hora que consideremos oportuna, una sola vez, etc. Tenemos un sinfin de opciones:

SchedulledTaskPS000000111

  • $U => Credenciales de ejecución.- Podemos asingar unas credenciales determinadas para la ejecución de la tarea.
  • $S => Configuración adicional.- En esta variable se guardan los parámetros de configuración de la tarea programada. Por defecto son los siguientes y, como todo, se pueden cambiar:

SchedulledTaskPS0000003

  • D$ => Nueva Tarea. Metemos todos estos datos en una tarea nueva.
  • Registro.- Hay que registrar la tarea con un nombre obligatoriamente.

Este es el script:

$A=New-ScheduledTaskAction -Execute ‘%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe’ -Argument ‘Backup-GPO -All -Path Z:\GPOS_AD’
$T=New-ScheduledTaskTrigger -Daily -At 2:45pm
$U=New-ScheduledTaskPrincipal -UserId «$($env:USERDOMAIN)\$($env:USERNAME)» -LogonType ServiceAccount
$S=New-Scheduledtasksettingsset
$D=New-ScheduledTask -Action $A -Principal $U -Trigger $T -Settings $S
Register-ScheduledTask TasK007 -InputObject $D

Y el resultado:

Desde el Task Scheduller podemos ver la nueva tarea:

SchedulledTaskPS000000

El resultado de dicha tarea es el backup de nuestras GPO’s:

SchedulledTaskPS0000004

Todo un éxito. Probad a sustituir el cmdlet por un script de Powershell. Que tengais una buena semana.

Lecturas recomendadas:

Technet.

Hey Scripting Guy.

Codeplex – PowerShell.

MCPMagazine.

Petri.co.il.

Buen fin de semana.

Directorio Activo Tools Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Active Directory Replication Status Tool – Herramienta del Estatus de la Replicación de nuestro Directorio Activo.

Published by:

Buenos dias,

Hace un par de años publiqué un post sobre esta herramienta «Active Directory Replication Status«, pues ahora han sacado la versión 1.1 que podemos descargar desde este enlace.

Adreplstatus00003

¿Que nos aporta?

  • Nos muestra los errores de replicación de Directorio Activo (AD) ocurridos en nuestros dominios o bosques.
  • Prioriza los errores que tienen que ser resueltos con el fin de evitar la creación de objetos persistentes en dominios o bosques de AD.
  • Nos proporciona ayuda para resolver los problemas de replicación mediante vinculos a la base de datos de conocimiento de Microsoft Technet.
  • Permite que la información de replicación pueda ser exportada a otros administradores o profesionales para ser analizada offline.

Todo ello desde un entorno gráfico muy sencillo y muy ágil.

Requerimientos:

Sistemas operativos soportados donde poder instalar esta herramienta:

  • Windows 7,
  • Windows 8,
  • Windows Server 2003,
  • Windows Server 2008,
  • Windows Server 2008 R2,
  • Windows Server 2012,
  • Windows Vista,
  • Windows Server 2012 R2

Controladores de Dominio a monitorizar:

  • Windows Server 2003,
  • Windows Server 2008,
  • Windows Server 2008 R2,
  • Windows Server 2012,
  • Windows Server 2012 R2

Otros requerimientos:

  • .NET Framework 4.0 (es posible que nos pida .NET Framework 3.5 si se instala sobre Windows Server 2008).
  • Tener una cuenta de dominio con privilegios.

Instalación.

Muy sencilla. Hacemos doble click en el instalador y …. ya está:

Adreplstatus00002

Funcionamiento.

Hacemos un chequeo inicial como ejemplo. Lanzamos la herramienta y esta es su apariencia:

Adreplstatus00004

Procedemos a realizar un descubrimiento inicial, pudiendo ser tanto de nuestro Forest como de los dominios dependientes. Lanzamos dicha acción desde los botones superiores de la consola:

Adreplstatus00005

Y, en nuestro caso, no existen ningún problema de replicación entre mis Controladores de Dominios (DC). Si os fijais, he sustituido el nombre de cada DC por un color y la replicación entre ellos es muy diferente, no todos replican contra todos:

Adreplstatus00006

En la parte de abajo nos indica de que color nos apareceran los posibles eventos de error. Si entramos DC por DC, podemos ver la situación de la replicación partición por partición, como podeis ver en mi caso desde un DC de Madrid hacia un DC de Bilbao:

Adreplstatus000017

Así como podemos ver los diferentes test que realiza (nos pocos ¿verdad?). Podemos dejar de visualizar aquellos que no nos interesen o consideremos que no son necesarios:

Muy util esta herramienta.Y, para terminar, podemos exportar toda esta información en formato XPS, CSV o para echarle un vistazo «offline».

Adreplstatus00008

Espero que os guste.

Buen fin de semana y mejor puente para aquellos que lo van a disfrutar.