jueves, 15 de noviembre de 2012

Demo de Dynamic Access Control 2 de 2

Hola.

Cómo hoy no se qué pasa pero no me deja publicar una entrada en este blog, vía writer. Os indico que  como siempre, la he publicado también en mi blog de ITPRO.ES.

La URL es esta: http://blogs.itpro.es/mhernandez/2012/11/15/demo-de-dynamic-access-control-2-de-2/

Saludos.

miércoles, 14 de noviembre de 2012

Network policy server, 802.1x, y validación según certificado emitido de equipo o usuario.

 

Hola.

Basándonos en la configuración de NPS creada en las entradas enumeradas a continuación, vamos a realizar los cambios oportunos para validar desde un servidor NPS con certificado de servidor, equipos o usuarios que dispongan de un certificado emitido por una CA de confianza.

http://undercpd.blogspot.com.es/2012/02/integrar-wifi-con-directorio-activo.html

http://undercpd.blogspot.com.es/2012/02/integrar-wifi-con-directorio-activo_28.html

No hace falta decir que a este entrada, le complementa como requisito previo, perfectamente la existencia de una CA corporativo y Autoenrollmen de equipo o usuario.

http://technet.microsoft.com/en-us/library/cc730811.aspx

Los cambios que conseguirán esta clase de validación son:

Configurar la parte servidor para que la conectividad sea EAP (PEAP) y “por debajo” Smart card or other certificate (así le llama Microsoft), lo que realmente estamos provocando es tráfico TLS bajo EAP.

Para llegar a esa configuración solo tenéis que seguir los pasos que subrayo en la captura:

image

Indiferentemente a esto, también podéis añadir en la condiciones la pertenencia de este equipo o usuario a un grupo concreto del AD.

 

Parte cliente:

Pues lo mismo, pero en la configuración de la red inalámbrica.

Aquí veis como tenemos doble factor, por un lado debemos marcar cual es la CA que asegura el certificado de la comunicación EAP y luego, la CA que asegura el certificado individual del equipo o usuario.

image

Previamente a esto, en el equipo debemos contar con un certificado explícito del equipo o usuario, emitido por la CA. El certificado de usuario puede estar albergado en una Smart Card.

Además de esto, en la configuración de la red inalámbrica, es donde distingues si quieres enviar el certificado de equipo o usuario.

image_thumb6[1]

Network Policy Server, Wireless, 802.1x y validación de cuentas de equipo.

 

Hola.

Aunque este no es demasiado demandado, realmente es sorprendente una red wireless con validación de equipo o usuario dependiente de ciertos condicionantes establecidos en el servidor NPS de Windows Server.

Ya hace un tiempo, os mostré como montar la validación por usuario:

http://undercpd.blogspot.com.es/2012/02/integrar-wifi-con-directorio-activo.html

http://undercpd.blogspot.com.es/2012/02/integrar-wifi-con-directorio-activo_28.html

Hoy os enseño lo que tenéis que hacer para que la validación sea por equipo. Realmente son un par de cambios, pero es verdad que la red está llena de consultas de gente que no ha sabido establecer esa comprobación.

Los pasos serían:

Aseguraros que en la especificación de la red wifi en el equipo local o difundida por gpo, el modo de autentificación sea por equipo

image

 

En la parte del servidor, quitar la pertenencia a grupos de usuario y añadir como condicionante la pertenencia a un grupo del Directorio Activo.

image

Por supuesto, podemos añadir condicionantes como validación de salud, tener activdo el firewall, etc.

Saludos.

jueves, 8 de noviembre de 2012

Compartir carpeta avanzada con Server Manager (Demo Dynamic Access Control #1)

 

Hola.

Vale, aunque en esta entrada, ya utilizaremos nuevas opciones en la forma de publicar y control de carpetas compartidas, esta no es una entrada especialmente técnica ni compleja. Podríamos decir que esta es la entrada nº 1 de las demo sobre Dynamic Access Control que realicé en el webcast sobre almacenamiento.

Como dije, mi intención es ir publicando las diferentes demos.

 

Previo

El rol relacionado con estas funcionalidades es File And Storage Services.

 

Paso a paso

1. Iniciar el asistente de creación de share y elegir la modalidad SMB Share Advanced.

 

image

 

image

 

image

 

image

 

image

He aquí el kit de la cuestión, debéis marcar

image

 

image

 

image

 

Saludos.

jueves, 25 de octubre de 2012

Descarga de Webcast ws2012 storage

 

Hola.

Veo que ya está disponible la descarga del webcast que hice el otro día y que trató sobre almacenamiento en Windows Server 2012.

https://msevents.microsoft.com/CUI/EventDetail.aspx?culture=es-ES&EventID=1032528220&CountryCode=ES

Siento que al final me saliese un webcast nivel 300 o incluso más, ya que pienso que me pasé un poco montando un clúster prácticamente en el minuto 5 Guiño.  Realmente el problema viene porque hay temas que cambian tanto como el cambio de administrar los discos desde server manager y no desde la consola de administración del servidor, cosa que en unos meses catalogaremos como nivel 100/200 pero que a día de hoy no tenemos aprendida y hace que uno pierda el hilo de lo que está viendo.

Os invito a ver cada demo varias veces ya que a mi me pasó lo mismo en su día. La verdad es que vas aprendiendo fácilmente la nueva ubicación de las cosas y sobre todo agradeces la potencia que da el poder administrar todo desde un solo servidor.

Un saludo.

Configurar server core

 

Hola.

Aunque ahora ya sabéis que en Windows Server 2012, puedes añadir o quitar la GUI -Interface gráfica de windows, la web que os enlazo a continuación, recopila los scripts y ordenes powershell necesarias para configurar un servidor en modo core:

http://technet.microsoft.com/en-us/library/jj592692.aspx

Saludos.

jueves, 18 de octubre de 2012

Webcast Windows Server 2012 / Webcast Storage

 

Hola.

Supongo que os habréis enterado por una de las mil fuentes que lo han publicado, que la comunidad ITPRO.es está realizando una serie de Webcast referidos a Windows Server 2012.

Por mi parte, el próximo martes en mi webcast, trataré el tema de Storage, donde veremos gran parte de las novedades que trae Windows Server 2012.

Digo gran parte porque quiero prescindir de slides y solo las demos que tengo montadas ya pasan de largo de la hora que había prevista y aunque lo haremos igualmente, quedan cosas fuera que iré subiendo al blog.

Os dejo el link de registro y descarga de la serie de webcast:

http://technet.microsoft.com/es-es/windowsserver/dd557553

Saludos.

MCSA Windows Server 2012

 

Hola.

La verdad es que no tenemos tiempo ni de celebrar lo bueno que nos pasa Sonrisa.

El otro día saqué el examen 70-417 que me actualiza a MCSA en Windows Server 2012.

Hasta el día del examen estuve haciendo una guía de estudio con los links que iba utilizando, esta guía no está terminada pero creo que aun sí, si os planteáis prepararlo puede ser una buena ayuda.

 

He colgado el código HTML directo al documento, pero como no se si está funcionando bien, os dejo también el link de la carpeta de skydrive donde está alojado.

https://skydrive.live.com/redir?resid=D0190B360D3CB440!153

 

Saludos.

martes, 9 de octubre de 2012

Administrar un Windows server 2008 R2 desde Server Manager WS2012

 

Necesitas instalar:

  • .Net Framework 4
  • Windows Management Framework 3.0

Y tras ello, correr en powershell de WS2008 R2:

  • Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
  • Configure-SMRemoting.ps1 -force –enable

Por cierto, pregunta de examen para la certificación MCSA ws2012.

Administrar un Windows server 2008 R2 desde Server Manager WS2012

 

Necesitas instalar:

  • .Net Framework 4
  • Windows Management Framework 3.0Y tras ello, correr en powershell de WS2008 R2:
  • Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
  • Configure-SMRemoting.ps1 -force –enable
    Por cierto, pregunta de examen para la certificación MCSA ws2012.

Convertir servidor WS2012 core a servidor con entorno gráfico

 

Hola.

Windows Server 2012, permite desinstalar o instalar la GUI o entorno gráfico en cualquier momento, por lo que tras realizar la configuración del mismo, podemos aumentar su seguridad desinstalando esta característica.

Los comandos serían:

Instalar GUI indicando la ruta de wim almacenada: Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell –Restart –Source c:\windows\winsxs

Instalar GUI indicando que se descargue los binarios de WIndows Update: Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell –Restart

Desinstalar GUI: Uninstall-WindowsFeature Server-Gui-Mgmt-Infra –Restart

Atentos los fuentes almacenados en local del dvd serán borrados, por lo que luego podrás volver a instalar la GUI pero estos fuentes no estarán en local.

Antes de lanzar Uninstall, puedes añadir la variable –Whatif para ver qué componentes ser verán afectados.

http://technet.microsoft.com/en-us/library/hh831786.aspx

Saludos.

viernes, 5 de octubre de 2012

Lync 2010: Publicar fotografía externa a pesar de contar con validación de proxy

 

Hola.

Me he estado encontrado un problema para el que por fin, tengo solución.

image

Descripción:

El problema surge cuando los usuarios que navegan detrás de un proxy con validación, quieren asociar una foto suya, publicada en un link externo (foto de Linkedin es una buena solución) o cuando un lync cliente requiere acceso externo para ver la foto que un contacto ha publicado también de un link externo.

Solución:

El user agent de lync es:  Placeware RPC 1.0

Una vez desvelada esta información, solo tenemos que crear una política CPL o a través de vuestra herramienta gráfica en el proxy, la cual permita la navegación de ese “user agent” sin validación con destino “Any”.

image

miércoles, 3 de octubre de 2012

Comprobación de certificados ssl

 

Hola.

Seguro que siempre os habéis preguntado sobre qué información hace falta y qué requisitos todo lo que rodea a un certificado ssl para que este se vea como certificado válido.

How Certificate Revocation Wor:  http://technet.microsoft.com/en-us/library/ee619754(WS.10).aspx

Components Used for Certificate Status Checking: http://social.technet.microsoft.com/wiki/contents/articles/4954.windows-xp-certificate-status-and-revocation-checking.aspx

jueves, 27 de septiembre de 2012

Scale Out para Hyper-V

 

Hola.

En esta entrada, vamos a crear un Scale Out específico para Hyper-V

1.Crear un Nuevo Rol de File Server

scaleout1

scaleout2

2. Elegir Scale-Out File Server for Application data

scaleout3

3. Dar nombre al Rol

scaleout4

scaleout5

4. Crear un File Share

scaleout6

 

5. Elecir el perfile SMB Share – Applications

scaleout7

 

6.Crear la ruta del File Share, la cual apunta a nuestro CSV

scaleout9

 

7. Dar nombre al Share, creando a su vez las subcarpetas en el CSV

scaleout10

 

8. Elegir las opciones posibles, alta disponibilidad por supuesto, como opcional podéis cifrar la información.

scaleout11

 

9. En los permisos, hay que añadir los host de hyper-V y los usuarios que van crear las máquinas como control total en el share.

scaleout12

scaleout13

scaleout14

 

Ahora solo quedaría crear la máquina. Es fácil, como podéis deducir, solo tenéis que crear tanto la máquina, como los discos, en la ruta del share que acabáis de crear, en mi caso \\scaleout\hypervms

scaleouthv2scaleouthv3scaleouthv1

 

Y la comprobación de funcionamiento es esta. Ante la caída de un nodo o el cambio de propiedad del csv, la máquina sigue levantada.

resultado2resultado1

 

Consideración:

Tal y como he dicho en anteriores entradas, ahora, con ws2012, el clúster se levanta a pesar de no tener controlador de dominio de referencia. Digo esto porque es muy probable que como también podéis hacer ya, al estar soportado, es posible que el DC sea una de las máquinas virtuales alojadas.

Si cae el clúster, aunque este se levante para poder acceder a las carpetas el sistema debe validar que el usuario o máquina tiene permiso a la carpeta y como no tenéis DC, pues… problema. Aconsejo crear un usuario local en los nodos del clúster y ante la caída del DC, podréis entrar a los recursos compartidos, validandoos por smb desde los hyper-v host con el usuario local, con lo que los hosts ya podrían ver y por tanto levantar las máquinas virtuales.

Saludos.

Scale Out para Hyper-V

 

Hola.

En esta entrada, vamos a crear un Scale Out específico para Hyper-V

1.Crear un Nuevo Rol de File Server

scaleout1

scaleout2

2. Elegir Scale-Out File Server for Application data

scaleout3

3. Dar nombre al Rol

scaleout4

scaleout5

4. Crear un File Share

scaleout6

 

5. Elecir el perfile SMB Share – Applications

scaleout7

 

6.Crear la ruta del File Share, la cual apunta a nuestro CSV

scaleout9

 

7. Dar nombre al Share, creando a su vez las subcarpetas en el CSV

scaleout10

 

8. Elegir las opciones posibles, alta disponibilidad por supuesto, como opcional podéis cifrar la información.

scaleout11

 

9. En los permisos, hay que añadir los host de hyper-V y los usuarios que van crear las máquinas como control total en el share.

scaleout12

scaleout13

scaleout14

 

Ahora solo quedaría crear la máquina. Es fácil, como podéis deducir, solo tenéis que crear tanto la máquina, como los discos, en la ruta del share que acabáis de crear, en mi caso \\scaleout\hypervms

scaleouthv2scaleouthv3scaleouthv1

 

Y la comprobación de funcionamiento es esta. Ante la caída de un nodo o el cambio de propiedad del csv, la máquina sigue levantada.

resultado2resultado1

 

Consideración:

Tal y como he dicho en anteriores entradas, ahora, con ws2012, el clúster se levanta a pesar de no tener controlador de dominio de referencia. Digo esto porque es muy probable que como también podéis hacer ya, al estar soportado, es posible que el DC sea una de las máquinas virtuales alojadas.

Si cae el clúster, aunque este se levante para poder acceder a las carpetas el sistema debe validar que el usuario o máquina tiene permiso a la carpeta y como no tenéis DC, pues… problema. Aconsejo crear un usuario local en los nodos del clúster y ante la caída del DC, podréis entrar a los recursos compartidos, validandoos por smb desde los hyper-v host con el usuario local, con lo que los hosts ya podrían ver y por tanto levantar las máquinas virtuales.

Saludos.