Hola.
Cómo hoy no se qué pasa pero no me deja publicar una entrada en este blog, vía writer. Os indico que como siempre, la he publicado también en mi blog de ITPRO.ES.
La URL es esta: http://blogs.itpro.es/mhernandez/2012/11/15/demo-de-dynamic-access-control-2-de-2/
Saludos.
jueves, 15 de noviembre de 2012
miércoles, 14 de noviembre de 2012
Network policy server, 802.1x, y validación según certificado emitido de equipo o usuario.
Hola.
Basándonos en la configuración de NPS creada en las entradas enumeradas a continuación, vamos a realizar los cambios oportunos para validar desde un servidor NPS con certificado de servidor, equipos o usuarios que dispongan de un certificado emitido por una CA de confianza.
http://undercpd.blogspot.com.es/2012/02/integrar-wifi-con-directorio-activo.html
http://undercpd.blogspot.com.es/2012/02/integrar-wifi-con-directorio-activo_28.html
No hace falta decir que a este entrada, le complementa como requisito previo, perfectamente la existencia de una CA corporativo y Autoenrollmen de equipo o usuario.
http://technet.microsoft.com/en-us/library/cc730811.aspx
Los cambios que conseguirán esta clase de validación son:
Configurar la parte servidor para que la conectividad sea EAP (PEAP) y “por debajo” Smart card or other certificate (así le llama Microsoft), lo que realmente estamos provocando es tráfico TLS bajo EAP.
Para llegar a esa configuración solo tenéis que seguir los pasos que subrayo en la captura:
Indiferentemente a esto, también podéis añadir en la condiciones la pertenencia de este equipo o usuario a un grupo concreto del AD.
Parte cliente:
Pues lo mismo, pero en la configuración de la red inalámbrica.
Aquí veis como tenemos doble factor, por un lado debemos marcar cual es la CA que asegura el certificado de la comunicación EAP y luego, la CA que asegura el certificado individual del equipo o usuario.
Previamente a esto, en el equipo debemos contar con un certificado explícito del equipo o usuario, emitido por la CA. El certificado de usuario puede estar albergado en una Smart Card.
Además de esto, en la configuración de la red inalámbrica, es donde distingues si quieres enviar el certificado de equipo o usuario.
![image_thumb6[1]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhf4-2w7VosKBdSr70F0mgbzOtUGJ1LRMVKwB1eFAFrexEfLatltoEh9hyRsdAVe27asjJOd3LLaMgm-v2uoVcg2mrn3UdUOsTNjhScKwkrntA3OJCxoXLqr9m7Vn8z-1nNGwwfhU_UfNE/s1600-h/image_thumb6%25255B1%25255D%25255B2%25255D.png "image_thumb6[1]")
Network Policy Server, Wireless, 802.1x y validación de cuentas de equipo.
Hola.
Aunque este no es demasiado demandado, realmente es sorprendente una red wireless con validación de equipo o usuario dependiente de ciertos condicionantes establecidos en el servidor NPS de Windows Server.
Ya hace un tiempo, os mostré como montar la validación por usuario:
http://undercpd.blogspot.com.es/2012/02/integrar-wifi-con-directorio-activo.html
http://undercpd.blogspot.com.es/2012/02/integrar-wifi-con-directorio-activo_28.html
Hoy os enseño lo que tenéis que hacer para que la validación sea por equipo. Realmente son un par de cambios, pero es verdad que la red está llena de consultas de gente que no ha sabido establecer esa comprobación.
Los pasos serían:
Aseguraros que en la especificación de la red wifi en el equipo local o difundida por gpo, el modo de autentificación sea por equipo
En la parte del servidor, quitar la pertenencia a grupos de usuario y añadir como condicionante la pertenencia a un grupo del Directorio Activo.
Por supuesto, podemos añadir condicionantes como validación de salud, tener activdo el firewall, etc.
Saludos.
jueves, 8 de noviembre de 2012
Compartir carpeta avanzada con Server Manager (Demo Dynamic Access Control #1)
Hola.
Vale, aunque en esta entrada, ya utilizaremos nuevas opciones en la forma de publicar y control de carpetas compartidas, esta no es una entrada especialmente técnica ni compleja. Podríamos decir que esta es la entrada nº 1 de las demo sobre Dynamic Access Control que realicé en el webcast sobre almacenamiento.
Como dije, mi intención es ir publicando las diferentes demos.
Previo
El rol relacionado con estas funcionalidades es File And Storage Services.
Paso a paso
1. Iniciar el asistente de creación de share y elegir la modalidad SMB Share Advanced.
He aquí el kit de la cuestión, debéis marcar
Saludos.
jueves, 25 de octubre de 2012
Descarga de Webcast ws2012 storage
Hola.
Veo que ya está disponible la descarga del webcast que hice el otro día y que trató sobre almacenamiento en Windows Server 2012.
https://msevents.microsoft.com/CUI/EventDetail.aspx?culture=es-ES&EventID=1032528220&CountryCode=ES
Siento que al final me saliese un webcast nivel 300 o incluso más, ya que pienso que me pasé un poco montando un clúster prácticamente en el minuto 5 
Os invito a ver cada demo varias veces ya que a mi me pasó lo mismo en su día. La verdad es que vas aprendiendo fácilmente la nueva ubicación de las cosas y sobre todo agradeces la potencia que da el poder administrar todo desde un solo servidor.
Un saludo.
Configurar server core
Hola.
Aunque ahora ya sabéis que en Windows Server 2012, puedes añadir o quitar la GUI -Interface gráfica de windows, la web que os enlazo a continuación, recopila los scripts y ordenes powershell necesarias para configurar un servidor en modo core:
http://technet.microsoft.com/en-us/library/jj592692.aspx
Saludos.
jueves, 18 de octubre de 2012
Webcast Windows Server 2012 / Webcast Storage
Hola.
Supongo que os habréis enterado por una de las mil fuentes que lo han publicado, que la comunidad ITPRO.es está realizando una serie de Webcast referidos a Windows Server 2012.
Por mi parte, el próximo martes en mi webcast, trataré el tema de Storage, donde veremos gran parte de las novedades que trae Windows Server 2012.
Digo gran parte porque quiero prescindir de slides y solo las demos que tengo montadas ya pasan de largo de la hora que había prevista y aunque lo haremos igualmente, quedan cosas fuera que iré subiendo al blog.
Os dejo el link de registro y descarga de la serie de webcast:
http://technet.microsoft.com/es-es/windowsserver/dd557553
Saludos.
MCSA Windows Server 2012
Hola.
La verdad es que no tenemos tiempo ni de celebrar lo bueno que nos pasa 
El otro día saqué el examen 70-417 que me actualiza a MCSA en Windows Server 2012.
Hasta el día del examen estuve haciendo una guía de estudio con los links que iba utilizando, esta guía no está terminada pero creo que aun sí, si os planteáis prepararlo puede ser una buena ayuda.
He colgado el código HTML directo al documento, pero como no se si está funcionando bien, os dejo también el link de la carpeta de skydrive donde está alojado.
https://skydrive.live.com/redir?resid=D0190B360D3CB440!153
Saludos.
martes, 9 de octubre de 2012
Administrar un Windows server 2008 R2 desde Server Manager WS2012
Necesitas instalar:
- .Net Framework 4
- Windows Management Framework 3.0
Y tras ello, correr en powershell de WS2008 R2:
- Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
- Configure-SMRemoting.ps1 -force –enable
Por cierto, pregunta de examen para la certificación MCSA ws2012.
Administrar un Windows server 2008 R2 desde Server Manager WS2012
Necesitas instalar:
- .Net Framework 4
- Windows Management Framework 3.0Y tras ello, correr en powershell de WS2008 R2:
- Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
- Configure-SMRemoting.ps1 -force –enable
- Por cierto, pregunta de examen para la certificación MCSA ws2012.
Convertir servidor WS2012 core a servidor con entorno gráfico
Hola.
Windows Server 2012, permite desinstalar o instalar la GUI o entorno gráfico en cualquier momento, por lo que tras realizar la configuración del mismo, podemos aumentar su seguridad desinstalando esta característica.
Los comandos serían:
Instalar GUI indicando la ruta de wim almacenada: Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell –Restart –Source c:\windows\winsxs
Instalar GUI indicando que se descargue los binarios de WIndows Update: Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell –Restart
Desinstalar GUI: Uninstall-WindowsFeature Server-Gui-Mgmt-Infra –Restart
Atentos los fuentes almacenados en local del dvd serán borrados, por lo que luego podrás volver a instalar la GUI pero estos fuentes no estarán en local.
Antes de lanzar Uninstall, puedes añadir la variable –Whatif para ver qué componentes ser verán afectados.
http://technet.microsoft.com/en-us/library/hh831786.aspx
Saludos.
viernes, 5 de octubre de 2012
Lync 2010: Publicar fotografía externa a pesar de contar con validación de proxy
Hola.
Me he estado encontrado un problema para el que por fin, tengo solución.
Descripción:
El problema surge cuando los usuarios que navegan detrás de un proxy con validación, quieren asociar una foto suya, publicada en un link externo (foto de Linkedin es una buena solución) o cuando un lync cliente requiere acceso externo para ver la foto que un contacto ha publicado también de un link externo.
Solución:
El user agent de lync es: Placeware RPC 1.0
Una vez desvelada esta información, solo tenemos que crear una política CPL o a través de vuestra herramienta gráfica en el proxy, la cual permita la navegación de ese “user agent” sin validación con destino “Any”.
miércoles, 3 de octubre de 2012
Comprobación de certificados ssl
Hola.
Seguro que siempre os habéis preguntado sobre qué información hace falta y qué requisitos todo lo que rodea a un certificado ssl para que este se vea como certificado válido.
How Certificate Revocation Wor: http://technet.microsoft.com/en-us/library/ee619754(WS.10).aspx
Components Used for Certificate Status Checking: http://social.technet.microsoft.com/wiki/contents/articles/4954.windows-xp-certificate-status-and-revocation-checking.aspx
jueves, 27 de septiembre de 2012
Scale Out para Hyper-V
Hola.
En esta entrada, vamos a crear un Scale Out específico para Hyper-V
1.Crear un Nuevo Rol de File Server
2. Elegir Scale-Out File Server for Application data
3. Dar nombre al Rol
4. Crear un File Share
5. Elecir el perfile SMB Share – Applications
6.Crear la ruta del File Share, la cual apunta a nuestro CSV
7. Dar nombre al Share, creando a su vez las subcarpetas en el CSV
8. Elegir las opciones posibles, alta disponibilidad por supuesto, como opcional podéis cifrar la información.
9. En los permisos, hay que añadir los host de hyper-V y los usuarios que van crear las máquinas como control total en el share.
Ahora solo quedaría crear la máquina. Es fácil, como podéis deducir, solo tenéis que crear tanto la máquina, como los discos, en la ruta del share que acabáis de crear, en mi caso \\scaleout\hypervms
Y la comprobación de funcionamiento es esta. Ante la caída de un nodo o el cambio de propiedad del csv, la máquina sigue levantada.
Consideración:
Tal y como he dicho en anteriores entradas, ahora, con ws2012, el clúster se levanta a pesar de no tener controlador de dominio de referencia. Digo esto porque es muy probable que como también podéis hacer ya, al estar soportado, es posible que el DC sea una de las máquinas virtuales alojadas.
Si cae el clúster, aunque este se levante para poder acceder a las carpetas el sistema debe validar que el usuario o máquina tiene permiso a la carpeta y como no tenéis DC, pues… problema. Aconsejo crear un usuario local en los nodos del clúster y ante la caída del DC, podréis entrar a los recursos compartidos, validandoos por smb desde los hyper-v host con el usuario local, con lo que los hosts ya podrían ver y por tanto levantar las máquinas virtuales.
Saludos.
Scale Out para Hyper-V
Hola.
En esta entrada, vamos a crear un Scale Out específico para Hyper-V
1.Crear un Nuevo Rol de File Server
2. Elegir Scale-Out File Server for Application data
3. Dar nombre al Rol
4. Crear un File Share
5. Elecir el perfile SMB Share – Applications
6.Crear la ruta del File Share, la cual apunta a nuestro CSV
7. Dar nombre al Share, creando a su vez las subcarpetas en el CSV
8. Elegir las opciones posibles, alta disponibilidad por supuesto, como opcional podéis cifrar la información.
9. En los permisos, hay que añadir los host de hyper-V y los usuarios que van crear las máquinas como control total en el share.
Ahora solo quedaría crear la máquina. Es fácil, como podéis deducir, solo tenéis que crear tanto la máquina, como los discos, en la ruta del share que acabáis de crear, en mi caso \\scaleout\hypervms
Y la comprobación de funcionamiento es esta. Ante la caída de un nodo o el cambio de propiedad del csv, la máquina sigue levantada.
Consideración:
Tal y como he dicho en anteriores entradas, ahora, con ws2012, el clúster se levanta a pesar de no tener controlador de dominio de referencia. Digo esto porque es muy probable que como también podéis hacer ya, al estar soportado, es posible que el DC sea una de las máquinas virtuales alojadas.
Si cae el clúster, aunque este se levante para poder acceder a las carpetas el sistema debe validar que el usuario o máquina tiene permiso a la carpeta y como no tenéis DC, pues… problema. Aconsejo crear un usuario local en los nodos del clúster y ante la caída del DC, podréis entrar a los recursos compartidos, validandoos por smb desde los hyper-v host con el usuario local, con lo que los hosts ya podrían ver y por tanto levantar las máquinas virtuales.
Saludos.
Suscribirse a:
Entradas (Atom)
