Home
About
Archives
Contactenos
Ayuda | Help

26  05 2017

Windows Server, como agregar los drivers de la controladora SCSI a nuestra ISO y no morir en el intento

www.radians.com.arHola, hoy vamos a volver a hablar de como instalar un Windows Server 2016 desde un USB, ya hemos visto el proceso de como hacer un USB booteable en la nota Como instalar Windows Server 2008 R2 / Windows 7 desde un Pendrive {HowTo} lo unico que cambiaria seria los archivos del ISO que copiamos una vez armado el boot sector.

ahora que pasa si es un servidor nuevo? que tiene una controladora SCSI y la instalacion no ve los discos? la semana pasada he tenido varias consultas sobre este tema y finalmente hemos podido resolverlo, pero les aconsejo tener en cuenta un par de cosas para evitar dolores de cabeza y trasnochar debido a que pudieron instalar el sistema operativo.

Algo importante es utilizar un puerto USB que no sea 3.0, ya que generalmente estos puertos necesitan drivers, como no tenemos OS no funcionara. Usualmente los puertos del frente funcionan muy bien para instalar el OS.

Otra cosa a tener en cuenta que es si tenemos una controladora SCSI con la cual vamos a necesitar los drivers de la misma. Usualmente armamos RAIDS con la controladora.

Para solucionar esto, podemos agregar los drivers a la imagen de Windows Server 2016, tal como se hacia antiguamente. Ahora es un poco mas facil, gracias a powershell.

Lo que si vamos a necesitar son el ISO de Windows Server 2016 y Kit de instalación automatizada de Windows® (AIK) para Windows® 7 (https://www.microsoft.com/es-es/download/details.aspx?id=5753). Recordemos que

El Kit de instalación automatizada de Windows (AIK) para Windows 7 le ayuda a instalar, personalizar e implementar Microsoft Windows 7 y la familia de sistemas operativos de Windows Server 2008 R2, 2012, 2012R2 y 2016.

Iniciamos la linea de comandos de instalación de Windows AIK desde el menú Inicio y montamos el archivo install.wim desde C:\temp\WindowsServerISO to C:\temp\wim: imagex /mountrw C:\temp\WindowsServerISO \SOURCES\install.wim 1 C:\temp\wim

Ahora agregamos los drivers:

CD C:\temp\drivers\iSCI\RAIDController-RS2BL080\x64

dism /image:C:\temp\wim /add-driver /driver:. /recurse

ahora lo que debemos hacer es desmontar el archivo WIM y crear nuevamente el archivo ISO, para eso debemos escribir lo siguiente:

imagex /unmount /commit C:\temp\wim

oscdimg -n -m -b C:\temp\WindowsServerISO\boot\etfsboot.com 
C:\temp\WindowsServerISO C:\temp\NEW-WindowsServerISO.iso

Espero que les sea de interes y utilidad. Se de por lo menos una persona que va a amar este post ya que estuvimos trabajando juntos la semana pasada a la noche para resolverle un problema. Saludos. Roberto DL


22  05 2017

Sexo, terrorismo y violencia: que se puede poner en Facebook y que esta prohibido, segun un documento filtrado

Los moderadores pueden permitir una transmisión de un joven causándose daños a sí mismo, muertes violentas o abusos físicos de niños, pero deben prohibir amenazas contra Donald Trump o reportar cualquier semejanza con la serie "13 reasons why". Los videos de abortos están permitidos, siempre y cuando no haya desnudez.

Documentos internos de Facebook revelaron cómo la red social modera temas sensibles como el discurso de odio, el terrorismo, la pornografía y la autoflagelación en su plataforma, reportó el diario The Guardian en base a directrices de la empresa a las que tuvo acceso.

Nuevos desafíos como la "pornovenganza" han abrumado a los moderadores de Facebook que con frecuencia tienen sólo 10 segundos para tomar una decisión. Muchos de los moderadores de contenido de la compañía tienen preocupaciones sobre la inconsistencia y naturaleza peculiar de algunas de las políticas. Aquellas sobre el contenido sexual, por ejemplo, serían las más complejas y confusas.

Según la política de la empresa, hay tres señales de una posible pornovenganza: una imagen subida en privado, que muestra a una persona desnuda o en actividad sexual y sin su consentimiento. Este último punto se confirma mediante un contexto de venganza o por otras fuentes.

Las directivas también explican por qué permiten mostrar a una persona causándose daño físico. Según explican las autoridades, "no queremos censurar o castigar a personas que sufren o que están intentando suicidarse". El contenido sería removido "una vez que ya no hay oportunidad de ayudar a la persona", aunque el diario añade que el post podría mantenerse si tiene algún interés noticioso en particular.

Sin embargo, los moderadores han recibido la indicación de reportar a sus superiores cualquier contenido relacionado a la exitosa serie "13 reasons why", que trata sobre el suicidio de una adolescente, por temores a una posible conducta de imitación.

Las indicaciones también mencionan que, por ejemplo, un estado que diga "alguien debería matar a Donald Trump" debe ser eliminado, ya que como un jefe de Estado pertenece a una categoría protegida. Sin embargo, si alguien comenta "púdrete y muérete", no debe ser tomado como una amenaza creíble.


Ejemplos puestos por Facebook de personalidades sujetas a amenazas creíbles (imagen: The Guardian)

En cuanto a las muertes violentas, deberán ser marcadas como "contenido perturbador", pero no necesariamente eliminadas, ya que pueden "crear conciencia sobre temas tales como enfermedades mentales". Abusos físicos de niños podrían no ser borrados, siempre y cuando no sea un ataque sexual, sádico o celebratorio.

a3
Los principios de una amenaza creíble: armas, locación, tiempo, recompenza o detalles del método de violencia (The Guardian)

En cuanto a los abortos, Facebook indica que un video del mismo está permitido, pero será borrado si muestra a la mujer desnuda. La compañía de Mark Zuckerberg no hizo comentarios específicos sobre el reporte, pero dijo que la seguridad es su preocupación primordial.

"Mantener a la gente segura en Facebook es lo más importante que hacemos. Trabajamos duro para hacer que Facebook sea lo más seguro posible al tiempo que permite la libertad de expresión. Esto requiere mucha reflexión sobre interrogantes detalladas y, a menudo, difíciles, y hacerlo bien es algo que tomamos muy en serio", dijo en un comunicado la jefa de política de productos de Facebook, Monica Bickert.

Facebook confirmó que está utilizando software para interceptar contenido gráfico antes de que se publique en el sitio de internet, pero todavía está en sus primeras etapas.

Fuente: InfoBAE.com


17  05 2017

Las razones de la rapida propagacion del ransomware "WannaCry"

aaaRehizner Kother contó en ADN los métodos que hubieran evitado el impacto del ataque.

A raíz de la aparición del virus del tipo ransomware llamado "WannaCry", la Prueba de ADN conversó con el ejecutivo jefe de Kerberos Chile, Rehizner Kother, quien manifestó los alcances y el daño que provocó el ciberataque.

A su parecer, si bien la vulnerabilidad se conoce desde 2011, el método de propagación se aprovecha una filtración de los sistemas operativos de Microsoft, que con tal solo conocer la dirección IP de los equipos se podía tomar control de estos.

Por otro lado, Kother recuerda que el soporte para sistemas operativos antiguos ya no corren, y que si bien Windows 10 es el más seguro, los encargados de seguridad de las diversas instituciones que sufrieron el ataque debieron actualizar los equipos, que seguramente en su mayoría contaban con versiones más antiguas del software.

"Eso no hubiera evitado que alguien abriera un adjunto infectado, pero no hubiese sido tan grande el impacto", comentó.

Fuente: http://www.adnradio.cl/noticias/sociedad/las-razones-de-la-rapida-propagacion-del-ransomware-wannacry/20170516/nota/3465406.aspx


11  05 2017

Performance Tuning Guidelines for Windows Server 2016

Hoy vamos a hablas sobre la en día la Guía de optimización de rendimiento de Windows Server 2016 . Esta guía actualizada nos proporciona una colección completa de artículos técnicos con orientación práctica para profesionales de IT y administradores de servidores responsables de supervisar y afinar las cargas de trabajo en Windows Server 2016 y escenarios más comunes de servidor. Con esta guía, podremos ajustar la configuración del servidor en Windows Server 2016 y lograr incrementos en el rendimiento o la eficiencia energética, especialmente cuando la naturaleza de la carga de trabajo varía poco con el tiempo.

Es importante que los cambios de ajuste consideren el hardware, la carga de trabajo, los presupuestos de energía y los objetivos de rendimiento de su servidor. Esta guía describe cada ajuste y su efecto potencial para ayudarle a tomar una decisión informada sobre su relevancia para el sistema, la carga de trabajo, el rendimiento y los objetivos de uso de energía.

Las recomendaciones de rendimiento y optimización de Windows Server 2016 se dividen entre hardware de servidor y potencia, por función de servidor y por consideraciones de optimización de sub-sistema de servidor:

Server hardware tuning By server role By server subsystem

www.radians.com.ar

Espero les sea de interes y utilidad. Saludos, Roberto Di Lello.


05 2017

Azure Active Directory: Sincronización de nuestro directorio con directorios que no son AD local

www.radians.com.arHoy vamos a seguir con el tema de Azure Active Directory, y veremos como realizar la sincronizacion de nuestro directorio con directorios no son AD locales. La versión actual de la herramienta Azure AD Connect no proporciona soporte para directorios no AD (directorio LDAP, base de datos SQL y otros).

A diferencia de la herramienta Azure AD Connect, Azure AD Connector no requiere un Active Directory desde el que sincronizar (como vimos antes, utiliza el metaverso FIM como fuente). En consecuencia, casi cualquier directorio o combinación de directorios se puede utilizar como una fuente de sincronización, siempre que un agente de gestión (o conector) FIM esté disponible para admitir este directorio o directorios.

El artículo de Microsoft TechNet Management Agents en FIM 2010 R2 proporciona una lista de agentes de gestión que están disponibles con FIM, como el Conector Forefront Identity Manager para LDAP genérico para directorios LDAP.

Alternativamente, también es posible desarrollar agentes de gestión personalizados, utilizar otras interfaces, como archivos de texto, o aprovechar agentes de gestión que son proporcionados por terceros o en el dominio público como soluciones de código abierto como el OpenLDAP Extensible Management Agent XMA en SourceForge.

Azure AD Module para Windows PowerShell y Azure AD Graph API también se pueden utilizar para automatizar el aprovisionamiento y el mantenimiento de las identidades de Azure AD. El módulo Azure AD para Windows PowerShell sirve para todos los clientes que tienen experiencia extensa en secuencias de comandos o están dispuestos a trabajar para desarrollar una solución personalizada. En esta última situación, el Azure AD Graph API puede ser de gran ayuda.

Por ejemplo, para crear un usuario federado para Office 365, proceda con los pasos siguientes:

  1. 1. Abrimos Windows PowerShell e importamos el módulo:
    PS: C:\Windows\system32> Import-Module MSOnline
  2. 2. Realizamos una sesión con nuestro AD “inquilino” del directorio AD de Azure con el cmdlet
  3. Connect-MsolService . Nos pedirá que ingresemos nuestras credenciales de administrador (como admin@xxx.onmicrosoft.com y contraseña) para autenticarnos en nuestro directorio de Azure AD.
    PS: C:\Windows\system32> Connect-MsolService
  4.  
  5. 3. Obtengamos el ID único de la combinación de cuenta (SKU) que se necesitará para asignar una licencia, por ejemplo "idmgt:ENTERPRISEPACK" en nuestra configuración con el cmdlet Get-MsolAccountSku.
    PS C:\Windows\system32> Get-MsolAccountSku
  6. 4. Creamos el usuario con el cmdlet New-MsolUser :
    PS C:\Windows\system32> New-MsolUser -DisplayName user1 –UserPrincipalName user1@corpfabrikam.onmicrosoft.com -UsageLocation FR -BlockCredential $false –ImmutableId 81372
  7.  
  8. 5. Asignamos la licencia del usuario con el cmdlet Set-MsolUserLicense :
    PS: C:\Windows\system32> Set-MsolUserLicense -UserPrincipalName user1@corpfabrikam.onmicrosoft.com -AddLicenses "idmgt:ENTERPRISEPACK"
  9.  

Varias soluciones de terceros basadas en estas interfaces están disponibles hoy en día, proporcionando una solución simple para tales escenarios. Como ejemplo, podemos mencionar la solución Optimal IdM. Dicho esto, tengamos en cuenta que:
• Estas dos interfaces no fueron diseñadas para la sincronización de directorios
• Las operaciones tardarán más tiempo en completarse debido a la limitación del lado del servidor,
• Algunas funciones no son compatibles con el aprovisionamiento basado en estas interfaces.

La siguiente tabla sintetiza las opciones disponibles para los escenarios de directorios locales no AD:

www.radians.com.ar

Espero que les sea de interes. Saludos. Roberto Di Lello.


05 2017

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


28  04 2017

Que es la VPN y por que sirve para combatir la censura en la web {News}

Se trata de un sistema de red virtual que permite acceder a páginas que estén prohibidas en países como Venezuela o China. También sirve para saltear el bloqueo geográfico que utilizan algunos sitios para distribuir contenido de manera selectiva. Además proporciona mayor seguridad en la navegación. Cómo usar el sistema.

La VPN es una red virtual privada que permite conectarse con mayor seguridad, obtener un relativo anonimato en la red y saltear los bloqueos geográficos que le impiden al usuario acceder a cierto contenido según su ubicación.

Este sistema no es nuevo, sin embargo, en el último tiempo ha generado más relevancia. Es que en un mundo hiperconectado, cuidar la privacidad, así como disfrutar sin limitaciones externas se vuelve una prioridad.

Al conectarse por medio de una VPN, el servidor es quien se comunica con la web. Si uno está en Argentina pero vinculado a un servidor VPN en Estados Unidos, entonces para internet el usuario está navegando desde ese país.

De ahí que con ese sistema se pueda acceder a páginas que estén bloqueadas en la región. Es el caso de varias personas que desde China o Venezuela, por citar dos ejemplos, ingresan a sitios que están censurados.

También es una manera de acceder a material que está filtrado por la ubicación geográfica. Así es que con una VPN se podrían ver contenidos que algunos sitios filtran para ciertas regiones.

La VPN genera una capa extra de protección para el usuario. ¿Cómo funciona? El proveedor de VPN se conecta a un servidor que tiene protocolos VPN para crear un túnel virtual de datos que están encriptados. Esto quiere decir que el contenido sólo es accesible para el receptor.

En ese sentido, esta conexión proporciona mayor seguridad, de todos modos nada es infalible. Por otra parte, no significa que la navegación sea anónima.

Si se quisiera tratar de ser lo más invisible posible, según Edward Snowden, lo ideal sería usar una VPN y el navegador Tor, que oculta el origen y destino del tráfico en la web.

De nuevo, nada es 100% efectivo, y siempre surgen nuevas formas de acceder a información de todo tipo, pero nunca está demás poner capas extras de seguridad. Así, al menos, será más complicado vulnerar la privacidad del usuario.

Cómo acceder a un servicio VPN
Existen varias opciones: hay algunas pagas y otras gratuitas. Entre estas últimas se destacan Spotflux, Hide.me y TunnelBear.

Para ver cuál es la ideal para cada uno habrá que ver su compatibilidad con el sistema que dispone el usuario (Windows, macOS, Linux, Android o iOS). Una vez realizado, sólo basta con seguir los pasos de instalación que figuran en las páginas.

Hay que tener en cuenta que al usar VPN, el equipo puede funcionar con mayor lentitud y esto se puede reflejar en la navegación así como en los tiempos de carga y descarga.

Fuente: infoBAE.com


24  04 2017

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


19  04 2017

La Build 15205 llega a los Insiders de Windows 10 Mobile en el anillo rapido [News]

Queria compartir con ustedes esta noticia que fue publicada por Javier Gualix en microsoftinsider.es. Muy recomendable y para tener en cuenta. Saludos. Roberto Di Lello

Pese a las especulaciones sobre la muerte de Windows 10 Mobile, Microsoft sigue trabajando para mejorar su sistema operativo móvil. De la misma forma que ocurría en PC y tablets, los Insiders del anillo rápido que cuenten con Windows 10 en su smartphone ya pueden comenzar a descargar la Build 15205. La nueva compilación introduce, en su mayoría, correcciones de errores, aunque debemos estar atentos a los problemas conocidos.

a

Cambios, mejoras y correcciones

  • Solucionado un problema de objetivos que causaba que algunas variantes del Alcatel IDOL 4S no recibiese la Build 15204 la semana pasada. Todas las variantes del Alcatel IDOL 4S deberían recibir la Build 15205.
  • Solucionado un problema en el que Continuum dejaba de funcionar al cerrar la carcasa del HP Exlite X3.
  • Solucionado un problema en el que Continuum se bloquearía o renderizaría de fomra incorrecta después de desconectarse en dispositivos como el Lumia 950.
  • Solucionado un problema con Microsoft Edge por el que podría entrar en estado inestable después de abrir una nueva ventana de Edge y bloquear la pantalla con el proceso JIT suspendido.
  • Solucioando un problema en el que la pantalla del dispositivo podría quedar en negro al desconectarse del dock de Continuum.
  • Solucionado un problema con la copia de seguridad y restauración que afectaba a los usuarios con conexiones de red lentas.
  • Solucionado un error de estabilidad de Microsoft Edge.

Errores conocidos

  • Un pequño porcentaje de los dispositivos podría sufrir pérdidas de mensajes al restaurar su copia de seguridad debido a un problema con la base de datos.
  • Los Insiders que hayan actualizado desde una Build 150xx a esta compilación, podrían no poder abrir la página “Añadir Bluetooth y otros dispositivos” en Configuración.
  • La fecha de copyright no era correcta en Configuración > Sistema > Acerca de. Mostraba 2016 cuando debería ser 2017.
  • Podrían experimentarse reinicios aleatorios en algunos dispositivos.

17  04 2017

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


14  04 2017

Windows 10: Como setear una conexión Ethernet como Metered {Howto}

Windows 10 nos permiten establecer ciertos tipos de conexiones como medidaspara que podamos limitar la cantidad de datos que Windows (y ciertas aplicaciones) pueden usar sin preguntar. Podemos utilizar la interfaz de configuración normal para establecer las conexiones móviles y Wi-Fi como medidas, pero por alguna razón Windows asume que no necesitaremos hacer esto con conexiones Ethernet cableadas. Si nuestro ancho de banda es facturado a medida que lo vamos consumiendo esto es critico. Lo bueno es que podemos forzar a que Windows nos deje modificando un registro.

a01

Algo para tener en cuenta es que si hemos actualizado nuestro equipo a la actualización de Windows 10 Creators, no es necesario realizar esto, ya que viene con esta opcion. En mi caso tuve que hacer un rollback ya que tengo un dispositivo WD TV y con la ultima version no funcionaba, entonces tengo que hacer esto para que Windows Update no me baje las actualizaciones.

Ejecutamos el regedit

a02

y buscamos la entrada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost

a03

a04

Recordemos que debemos modificar el permiso de la registry para poder cambiar el valor y para evitar el error:

a05

Ahora podemos cerrar el Editor del Registro. Nuestra conexión Ethernet está ahora configurada como medida, lo que significa que los servicios de Windows intensivos en datos, como Windows Update y las descargas automáticas de aplicaciones, no ocurrirán sin pedir primero nuestro permiso. También es posible que algunas aplicaciones se comporten de forma diferente, ya que ciertas aplicaciones de la tienda de Windows pueden estar diseñadas para respetar esta configuración.

Desafortunadamente, la interfaz de Configuración de Windows no se actualizará para mostrarle que la conexión se mide, como ocurre cuando habilita conexiones medidoras para conexiones móviles y Wi-Fi. Para verificarlo, deberá volver al Editor del Registro y comprobar la configuración. Sólo debemos recordar que un ajuste de 2 significa medido, y 1 significa sin medir.

Espero les sirva tanto como a mi. Saludos, Roberto Di Lello.


10  04 2017

Resumen Semanal!

calendario2017Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


04 2017

Azure Active Directory: Como es para la vieja escuela de administración de AD {Teoria}

Hoy es feriado en Argentina, y quería compartir con ustedes esta importante nota publicada en el sitio de MS sobre Azure Active Directory. La misma fue traducida del ingles y pueden ver la original en el sitio Azure Active Directory for the Old-School AD Admin.

espero les sea de interes y utilidad. Saludos, Roberto Di Lello
———

Azure Active Directory for the Old-School AD Admin

¡Saludos!  Hilde aquí desearle un Feliz Año Nuevo y para darle la bienvenida al primer lunes de 2015 y el primer puesto de 2015 para AskPFEPlat!

Como usted puede saber a partir de la lectura de mis entradas aquí, tiendo a recordar.  Bueno, es el Año Nuevo, así que aquí voy de nuevo … ¿Hay alguien allí recuerda la "Guía de sistemas distribuidos" de la serie Kit de recursos de Windows 2000 de los libros?  Es probable que si usted es un administrador de AD de la vieja escuela, se lee de principio a fin más de una vez.  Libra por libra, ese libro es uno de mis libros de la parte superior es que alguna vez (y pesada).  Sigo aprendiendo algo cada vez que lo abro.  Felicitaciones a los numerosos autores que tenían una mano en su creación (algunos de los cuales he tenido el privilegio de trabajar con).  Todavía me gusta tangibles "en mi mano" libros y me gustaría una actualización de esa pero la forma en la edición de libros ha cambiado, yo no creo que eso suceda.

Ok – Ahora, de vuelta al futuro …

Creo que todos hemos visto en la computación en nube ha alterado la forma en que se desarrollaron las aplicaciones.  Hoy en día, es todo acerca de "La App."  Al igual que en ‘una web basada en el acceso, desde cualquier lugar-en-nada-‘ estilo de aplicación – no es el ‘RunMe.MSI-installed-onto-a-single-server-using-a-service-account-and-accessed-via-a-dedicated-client-install’  estilo de aplicación.

Al mismo tiempo, la naturaleza ubicua (frase agradable, ¿eh?) De los teléfonos inteligentes, tabletas y otros dispositivos además de una difuminación de las líneas entre la vida laboral y la vida personal ha cambiado la forma de utilizar / acceder a esas aplicaciones.  Entre dispositivos;  Multiplataforma;  en cualquier momento;  en cualquier lugar – esto es la nueva norma.  O al menos la nueva expectativa.

On-prem dominios y bosques de AD Windows Server son generalmente aislados o aislados del mundo exterior y no llegan a obtener lo que necesitamos para este nuevo modelo.  Tendríamos que volver nuestros servidores de seguridad en queso suizo con una gran cantidad de puertos abiertos y que probablemente tendríamos problemas al DNS de Internet en conflicto con DNS interno.  Sólo por nombrar un par de puntos de dolor obvias.  Qué vamos a hacer?

Hola Azure Active Directory

Azure Active Directory (AD Azure; AAD) es una escala de Internet de identidades y accesos servicio basado en web alojada en centros de datos Microsoft Azure. Combina servicios de directorio y de identidad y de la gobernabilidad, gestión de acceso a las aplicaciones, auditoría e información, así como la autenticación de múltiples factores y la contraseña de autoservicio (y nuevas características se añaden regularmente).

A pesar de que el nombre es similar, Azure anuncio no es instancias de Windows Active Directory Server que se ejecutan en los países en desarrollo en los centros de datos Azure pero tiene algunos aspectos similares. Hay usuarios, grupos, particiones, la replicación de contenido – Pienso en ello como AD LDS mediante servicios web terminado delanteros / API. No hay sitios de anuncios o unidades organizativas; no hay un dominio de función para equipos unirse tampoco. Hay algo un poco como una combinación de dominio, sin embargo. Registro del dispositivo ( http://msdn.microsoft.com/en-us/library/azure/dn788908.aspx ) es sorta como un dominio mínimo unirse, utilizando Azure, AD FS y certificados para asociar dispositivo personal de un usuario determinado (s) que que le gustaría utilizar para acceder a los datos corporativos. E n el futuro cercano, la gente probablemente será capaz de conectarse a un PC a través de una cuenta AD Azure (similar a la sesión en un PC Windows 8 a través de una cuenta de Microsoft).  ¿Quién sabe qué más espera en el futuro – el conjunto de características de los servicios Azure se está expandiendo rápidamente y con frecuencia.

Hay tres diferentes niveles de Azure Active Directory con juego de características, la escala y las variaciones de costos. Aquí hay dos recursos útiles para romperlo abajo para usted:
http://azure.microsoft.com/en-us/pricing/details/active-directory/
http://msdn.microsoft.com/en-us/library/azure/dn532272.aspx

Un buen artículo técnica con un gran AAD detalles "mecánicas" se puede encontrar aquí (lea los comentarios, también):
http://blogs.technet.com/b/ad/archive/2014/09/02/azure-ad-under-the-hood-of-our-geo-redundant-highly-available-geo-distributed-cloud-directory.aspx

Como un tipo AD desde hace mucho tiempo, Azure AD ha sido rebotando en mi noggin desde hace bastante tiempo.  Para ser honesto, todavía está rebotando.  Una forma llego a un acuerdo con las cosas nuevas es a tomar notas de mis propias maravillas sin rumbo y vaga, luego buscar respuestas.  Hace un tiempo, empecé a uno de estos para la nube ‘cosas’, incluyendo AD Azure.

Luego, recientemente, una ZFP pares y amigo mío presentado AD Azure a través de las lentes de una "vieja escuela de administración de AD" y caí en la cuenta de que nuestros lectores se beneficiarían de este punto de vista y todos ustedes probablemente tenía muchas de las mismas preguntas que yo había perseguido en mi FAQ de la nube.

Una de mis primeras y las entradas más antiguas es FAQ:

¿Por qué debería preocuparme por Azure AD?

Para entender mejor mi propia pregunta, se volteó y se reformuló un par de veces – ahora es: ¿Por qué utilizar las empresas / necesitar un servicio de directorio en la nube?

Como todos sabemos, los negocios está cambiando y también lo es de TI / tecnología.  Antes de la revolución nube, la mayoría de las aplicaciones estaban en la casa, que se ejecuta en los servidores en nuestro centro de datos on-prem, actualizado cada cierto tiempo a través de los medios de CD-ROM que el vendedor enviaría.  Hoy en día, muchos de aquellos proveedores de aplicaciones para alojar sus aplicaciones como "servicios" (usted puede haber oído esto se refería a "software como servicio" o "SaaS").  Nuestra propia Oficina 365 es un ejemplo del modelo de entrega SaaS.

Otro ejemplo podría ser un servicio de viajes corporativos / aplicación que ha evolucionado con el tiempo a partir de ese estilo de cliente / servidor ‘gruesa’, a un sitio de intranet interna.  A continuación, el vendedor comenzó a alojar el servicio en un sitio de Internet, pero cada usuario tenía que ir allí, crear su propio ID / pwd en ese sitio y recordar esas credenciales cada vez que necesitaban para reservar viajes.  El proveedor decide integrar la aplicación en AAD.  Bingo – derecha hay un caso de uso sólida para Azure AD – que web de inicio de sesión ahora puede ser manejado a través de credenciales existentes en AD-prem para todos sus usuarios.  Si un usuario abandona la org, se desactiva la cuenta de AD en Prem y que el cambio va a ser sincronizado a Azure AD – él / ella no será capaz de alto paso para salir de la aplicación de viaje y reservar un vuelo alrededor de la mundo en la moneda de diez centavos empresa.  Su / su acceso a eso, y cualesquiera otras aplicaciones SaaS ahora es controlado por TI a través del mismo conjunto de credenciales que el usuario ya utiliza para acceder a su / su PC.  La aplicación / servicio puede estar disponible en un PC corporativo, una tableta de uso personal, un quiosco de Internet en un hotel o incluso un teléfono inteligente.

Tomar ese ejemplo, y aplicarlo a cualquier número de escenarios de hoy – Aplicaciones MUCHOS se ofrecen como "Servicios" y en lugar de sus usuarios cada creación / gestión de identidades separadas para cada aplicación / servicio, con EA Azure, el usuario controla el acceso del usuario a todos de esos nube aplicaciones / servicios importantes como una extensión de sus credenciales en AD-prem existentes.

¿Tener sentido?
•  Los vendedores gestionar / actualizar las aplicaciones, añadir nuevas funciones, etc.
•  Las credenciales son los mismos que ya se gestiona dentro de su sobre-prem AD.
•  Muchas aplicaciones están disponibles en varios dispositivos / factores de forma – (PC corporativos, smartphone, tablet).

Eso, mis amigos, es un poderoso negocio-habilitador.
•  Sus usuarios pueden hacer sus trabajos / tareas a través de dispositivos / plataformas / ubicaciones y mantener el control de las identidades.

Además, considerar el potencial de ventas un ISV obtiene cuando se certifican su aplicación para la integración de AD Azure?  Como los datos de la OCT 2014, AD Azure tiene 2400 puntos en SaaS aplicaciones pre-integradas, más de 200 millones de usuarios activos y procesa alrededor de 18 mil millones autenticaciones cada semana.  Eso es grande.

Por supuesto, muchas aplicaciones SaaS / servicios pueden estar federados a AD en Prem través de AD FS u otra tecnología de federación.  Sin embargo, como se ha mencionado, el número de estas aplicaciones SaaS está creciendo rápidamente y tener que gestionar la multitud de estas confianzas de federación se convierte rápidamente en una carga.  Sobre todo cuando llega el momento de rodar sobre los certificados si las aplicaciones no controlan la configuración de la federación para los cambios.

Podemos aprovechar AD Azure para ayudarnos aquí y establecer una sola confianza de federación para su anuncio en el prem-y, a continuación, a través de la integración de los proveedores de SaaS con Azure AD en la parte final, los usuarios pueden SSO a esas aplicaciones SaaS.

¿Tienes curiosidad en cuanto a lo AAD aplicaciones integradas están disponibles?  Echa un vistazo a la AD mercado Azure (una lista que siempre está creciendo):

•  Aplicaciones de AAD-integrado – http://azure.microsoft.com/en-us/marketplace/active-directory/
•  En la parte inferior de la página, hay enlaces para sugerir aplicaciones o realizar su aplicación añade a la colección de aplicaciones AAD-integrado

Usted puede preguntarse qué tan grande es el uso "de base" de la nube-aplicaciones para sus usuarios internos.  ¿Cuántas aplicaciones son personas realmente utilizan?  ¿Qué aplicaciones están utilizando?  Puede que se sorprenda.  He leído que es más de 10 veces lo que se estima.

Para ayudar a conseguir una manija en esto, Microsoft ha creado una herramienta que se puede utilizar para inventariar lo que la nube aplicaciones están en uso en los sistemas de sus usuarios.  La herramienta tiene que implementarse en los dispositivos de usuario final (o un piloto / muestra de ellos), pero una vez hecho esto, puede utilizar la herramienta para crear gráficos de uso, el volumen de datos intercambiados, mejores aplicaciones, etc.
•  CloudApp Descubrimiento – http://appdiscovery.azure.com/

Por lo tanto, la autorización y la autenticación de aplicaciones SaaS con credenciales en-prem vía Azure AD – consiguieron?

¿Cómo puedo pueblan nuestro directorio AD azul con la información de usuario en AD-prem?

Puede crear usuarios en el directorio de AD Azure uno por uno en el portal (o por medio de alguna de importación CSV, la API de gráficos, o AAD módulo de PowerShell), pero muchos de mis clientes tienen 30k, 90k, 100k o más cuentas de usuario. Microsoft Azure AD ofrece algunas herramientas de sincronización / servicios simples de configuración, pero muy robustas para que pueda llenar rápidamente / mantener su directorio de AD azul con la información de usuario y grupo en el prem partir de uno o varios dominios / bosques.

Amplíe su sobre-prem AD en Azure AD y ‘habilitado nube’ simplemente todos sus documentos de identidad al-prem. Deseo reiterar que: los usuarios pueden acceder a cualquier aplicación asignada a ellos que es (o será) integrado en AD Azure mediante la autenticación a través de un mensaje para proporcionar las mismas credenciales como su inicio de sesión actual en Prem ( "el mismo inicio de sesión" ) o por medio de un proceso federada "single sign-on". Esa frase de marcha en inercia acaba de abrir un sitio World Wide Web de posibilidades.
•  Opciones y detalles de sincronización de AD – http://technet.microsoft.com/en-us/library/jj573653.aspx

Con el servicio disponible autenticación de múltiples factores (MFA) en Azure AD, puede habilitar la autenticación de múltiples factores a cualquiera de estas aplicaciones SaaS para todos los usuarios en el corto plazo. Esto es sorprendente para mí. Lo que solía tomar meses de 40 -50hr semanas de trabajo, coordinación con los proveedores, el intercambio de certificados, la creación de cuentas de servicio, la instalación de la aplicación de autenticación de factores múltiples en un conjunto de servidores, compra, distribución y seguimiento de los costosos dijes físicas / tarjetas para el MFA aplicación, gestión y copia de seguridad del servidores, etc.

Con el servicio de MFA de Azure, podemos obtener esta en marcha y funcionando, literalmente, en cuestión de minutos, el aprovechamiento de los teléfonos móviles de los usuarios (a través de un mensaje de texto, una llamada telefónica o una aplicación en el teléfono).

Sé que todo esto suena un poco ‘ "infommercialish" pero es verdad.

www.radians.com.ar

Figura 1: Información general del acceso al recurso para la sincronización de directorio y federación (imagen a partir de las orientaciones / detalles técnicos aquí: http://technet.microsoft.com/en-us/library/dn761716.aspx )

AD es Azure un directorio compatible con LDAP? ¿Cómo nos relacionamos con AAD mediante programación?

Hay varias interfaces expuestas por Azure AD, pero AAD no soporta LDAP externamente hoy (internamente, es LDAP – véase el gráfico 2).

Para realizar una consulta / lectura / escritura a Azure AD, podemos utilizar AAD PowerShell y / o aprovechar las interfaces API de gráficos basados ​​en REST.

• RESTO = "Transferencia de estado representacional" es un tipo de web-estindar que permite a las aplicaciones web para interactuar con otras aplicaciones web

• La API de gráficos, en concreto, es una forma de interactuar con el contenido de Azure AD mediante GET, PUT, POST, etc.
http://msdn.microsoft.com/en-us/library/azure/hh974476.aspx
• "Gráfico" se refiere a la idea de que los datos de la AAD se estructura y pueden ser lógicamente / acceder predecible – se organiza; no sólo una colección de cosas al azar.

• Un ejemplo de una consulta ad-estilo LDAP familiarizado – "(& (objectCategory = persona) (objectClass = user) (cn = Santa Claus) 
• La misma consulta en el Gráfico sintaxis – GET https://graph.windows.net/contoso.com/Users?$filter=displayName eq ‘Santa Claus’ y api-version = 05/04/2013

www.radians.com.ar

Figura 2: vista general de AD Azure (de este documento excelente, que es una lectura requerida – http://blogs.microsoft.com/cybertrust/2014/09/09/protecting-customer-data-in-our-cloud-through-microsoft-azure/ )

¿Hay directiva de grupo en Azure AD?

Como se ha mencionado antes, la DAA no es Windows Server Active Directory – no hay ninguna funcionalidad de directiva de grupo en Azure AD.

Sin embargo, Microsoft InTune es un servicio de gestión de dispositivos móviles basado en la nube de Azure que permite un cierto control similar de usuarios, dispositivos y configuración y abre la funcionalidad de los dispositivos de plataforma cruzada.

Algunos ejemplos de esto son: gestión teléfono inteligente forzar un PIN, el cifrado del dispositivo, el borrado remoto de datos corporativos, etc. InTune integra fácilmente a la derecha en SCCM para prever tanto en el prem y administración de dispositivos basada en la nube.
•  Para más detalles Intune: http://msdn.microsoft.com/en-us/library/dn879015.aspx

¿Puedo implementar una instancia / réplica del Azure AD en mi centro de datos on-prem?

No hay una manera de replicar el directorio de AAD (s) en una instancia en Prem.  Uno de los valores de Azure es que Microsoft administra las infraestructuras / servicios de Azure y todo lo que necesita para gestionar es su contenido.

Además, recuerde que usted es capaz de sincronizar algunos de sus contenidos AD en prem en una instancia directorio de AD Azure.  He dicho "algo" porque sólo sincronizar usuarios, grupos y contactos;  que no se sincronizan los GPO, los registros DNS, sitios de anuncios, etc. 

¿Puedo implementar una instancia / replica de mi on-prem AD en Azure?

No y sí.

No se puede crear una instancia de la sobre-prem AD en Azure Active Directory fuera de los procesos de creación de directorios y sincronización que hemos estado discutiendo (la primera opción en el siguiente diagrama y el foco principal de este post).

Puede, sin embargo, crear / anfitrión de una máquina virtual en el servicio de Máquinas Virtuales de Azure ( http://azure.microsoft.com/en-us/services/virtual-machines/ ) que está conectado a la red de a Prem y funcionando como una réplica de DC a su sobre-prem AD.  Esto es similar a una sucursal escenario (o DR) pero el ‘sucursal’ en este caso es Azure (la opción de en medio en el siguiente diagrama).  Hemos publicado acerca de esto antes aquí en nuestro blog – http://blogs.technet.com/b/askpfeplat/archive/2014/03/03/connect-an-on-premises-network-to-azure-via-site-to-site-vpn-and-extend-your-active-directory-onto-an-iaas-vm-dc-in-azure.aspx

También puede utilizar Azure VM para configurar dev / prueba "islas" de AD, sin ninguna conexión / conocimiento de que en el prem AD (la opción inferior en el diagrama de abajo).  Es posible que desee comprobar hacia fuera Windows Server vNext AD?  En unos minutos, se puede configurar una máquina virtual que ejecuta la técnica previa y luego promover su nueva máquina virtual a un DC.  Hemos publicado acerca de esto antes aquí en nuestro blog (casi exactamente hace 2 años) – http://blogs.technet.com/b/askpfeplat/archive/2013/01/07/windows-azure-virtualization-a-lab-in-the-clouds-for-every-it-pro.aspx There  es más información y los pasos detallados here: http://azure.microsoft.com/en-us/documentation/articles/active-directory-new-forest-virtual-machine/

www.radians.com.ar

Figura 3: Opciones típicas de alto nivel

El contenido del anuncio se Azure replica a través de las fronteras internacionales?

Otra pregunta que tuve fue ‘¿qué pasa con las leyes de privacidad de datos por país / región que restringen donde los datos pueden / no pueden residir?’

En Azure AD, el contenido / datos se replican para la tolerancia a fallos y la recuperación construido en aspectos (DR) pero la replicación de datos está restringido a / desde / en ciertas regiones.  La figura 4 muestra la interfaz de usuario actual para crear un DAA – Anuncio de especificar el país / región.

www.radians.com.ar
Figura 4: La interfaz de usuario de portal de Azure para añadir un nuevo directorio

www.radians.com.ar 
Figura 5: Un mapa de punto en el tiempo de los centros de datos de Azure que le da una idea de las regiones

Más detalles se pueden encontrar aquí acerca de lugares y regiones de datos de los clientes:
http://azure.microsoft.com/en-us/support/trust-center/privacy/

¿Existen relaciones padre / hijo si tengo más de un directorio AAD (como los de un bosque de AD de Windows Server)?

En realidad, no – AD Azure es plana;  no es el mismo tipo de jerarquía relacional como un anuncio en-Prem.  Cada directorio AAD se crea es una entidad separada, sino un directorio de AD Azure puede tener varios espacios de nombres DNS de Internet configuradas una vez que demostrar que son propiedad de la empresa (es decir, contoso.com; mycompany.org, etc).  Estos son los llamados "dominios personalizados ‘en Azure AD.

Tenga en cuenta, sin embargo, hay un problema potencial relacionado con dominios principal / secundario en-Prem y el orden en que se configura para la integración de AD Azure.  Véase el siguiente KB y pensar a través de la orden que se desee vincular sus dominios en-prem a AD Azure para la mayoría de la flexibilidad (es decir, usted podría considerar el establecimiento de dominio (s hijo) en primer lugar en su mayor flexibilidad): http: // support .microsoft.com / kb / 2174324

¿Cómo administro AD Azure? ¿Hay un equivalente a los Usuarios y equipos de AD ( "A-pato" para que los administradores de AD de la vieja escuela)?

  • El ADUC de Azure AD es la sección "Directorio Activo" del portal web Azure (que tiene características añadidas / mejorado / actualizado con frecuencia)
  • Se puede realizar la administración AAD desde casi cualquier dispositivo habilitado para la Web
  • Existe un módulo rica Azure AD PowerShell
  • Sin embargo, otra razón para obtener competentes en PowerShell (nota – No he dicho "gurú" o "experto" – acaba de obtener funcional)
  • Existen las API de gráficos
  • Los Intune y Office 365 portales también se pueden utilizar para gestionar ciertos aspectos de la EA Azure
  • Por supuesto, si usted tiene la configuración de sincronización desde el-prem en Azure AD, muchas actividades de gestión que realice en-prem se sincronizarán (es decir, se puede utilizar ADUC para editar la descripción de un usuario y que se refleja en la copia de AAD de ese usuario. )
  • Nota – el intervalo predeterminado para la sincronización de directorios es cada 3 horas y hash de la contraseña de sincronización es cada 2 minutos.

www.radians.com.ar 
Figura 6: opciones de acceso de gestión de publicidad Azure

Por qué seguimos utilizando Kerberos, NTLM, LDAP, ADSI, y otros protocolos que estoy familiarizado?

On-prem, sí (obviamente).  Sin embargo, recuerde, la nube es un mundo centrado en la web (a través del dispositivo / multiplataforma / cross-el-mundo) y la interfaz con DAA exige que usamos un lenguaje centrado en la web – SAML 2.0, WS-Federation, OAuth, OpenID, RESTO gráfico, etc.
•  Para más detalles acerca de los protocolos de autenticación compatibles con AD Azure: http://msdn.microsoft.com/en-us/library/azure/dn151124.aspx
•  Para más detalles acerca de la especificación API de gráficos: http://msdn.microsoft.com/en-us/library/azure/hh974476.aspx

¿Lo que hay en un nombre?

"¿Qué tan importante son las decisiones que tomo cuando el primer ajuste de Microsoft servicios en línea tales como Azure, InTune, Office365, etc?"
•  En una palabra, MUY.  Las opciones iniciales que se hacen cuando la creación de servicios de Microsoft Online (Azure, Intune, O365, etc) son muy importantes y pueden tener graves consecuencias y de larga duración.  Piense en esto de manera similar a la selección de la selva de la raíz para su FQDN en Prem AD.  Como se ha mencionado, se puede añadir nombres DNS públicos que su compañía posee pero no se puede cambiar el original <entry> .onmicrosoft.com nombre que usted fija.
• Al igual que todas las decisiones de TI, es fundamental para planificar y pensar a través de sus puntos de decisión actuales y posibles / futuro de la nube antes de saltar. He visto clientes que querían "poner un pie" en el mundo Azure y el proceso de registro, eligieron el nombre a ser algo así como INTUNE-MYBIZ.ONMICROSOFT.COM (es decir, para probar InTune).  El problema se presentó cuando querían otros servicios Azure / O365 light-up, que inicial "nombre INTUNE-MyBiz era siempre alrededor. Esto causó mucha confusión cuando se trabaja con SharePoint Online, Exchange Online, Lync Online, DAA, etc. realmente recomiendo con lo que en algunos recursos de Microsoft para ayudar a planificar sus opciones de implementación y documento algunos de los puntos clave de decisión para su infraestructura de nube, d o una vez;. hacerlo bien.

•  Trabajar con su administrador técnico de cuentas (si usted es un cliente Premier) y / o en la cabeza aquí para obtener alguna ayuda – https://deploy.office.com/ Roma no se construyó en un día, pero imaginar si tuvieran que construirlo dos veces?

He estado haciendo trabajo de administración de AD desde los albores de la EA con Windows 2000 – es mi profesión en peligro?

En cierto modo, lo es.  Esta es la tecnología – las cosas siempre están cambiando.  Esto no es una sorpresa para cualquiera que lea esto.  Todos hemos tenido que aprender a seguir aprendiendo;  la próxima versión de un producto, un nuevo a usted característica / aspecto, PowerShell o lo que sea.  Esta carrera que hemos elegido es todo acerca de la adaptabilidad y la capacidad de uno para prosperar con el cambio.  Como siempre que se pueda adaptar, el rol de administrador de AD no va a desaparecer … es solamente cambiando.  Como hemos dicho, la DAA se sincroniza de AD en Prem.  Alguien tiene que instalar / ejecutar / gestionar / supervisar las herramientas de sincronización;  alguien tiene que gestionar / supervisar los servicios de configuración / run / federación;  PKI y gestión de certificados es de importancia crítica en la nube del mundo que nos encontramos ahora.  También hay "trabajo" que hacer dentro de Azure AD – el contenido / portal / etc.

Por lo tanto, si usted está listo en todos tus caminos y es ‘on-prem AD o la muerte’, es posible que se dirigen hacia unos tiempos difíciles.  Por otro lado, si estás dispuesto (Sé que eres capaz) para añadir "nube AD" a su conjunto de habilidades técnicas, los años de experiencia y madurez que ha desarrollado seguirán siendo de valor en el mundo nube.  Ser capaz de comunicarse de manera efectiva;  desarrollar y entregar la documentación de calidad;  siendo orientada al proceso y que posee un sistema flexible, "se puede hacer" actitud siempre será muy codiciados habilidades.

Ok – Resolución de mi Año Nuevo es aprender más sobre Azure, Azure AD, centros de datos Azure, etc – donde puedo conseguir más información?

Aquí están algunas más enlaces para que te va:
•  El enlace principal de AD administración Azul – http://msdn.microsoft.com/en-us/library/azure/hh967611.aspx

•  La página de inicio para la documentación Azure (echa un vistazo a la "Documentación a través del servicio ‘lista en la parte inferior de la página) – http://azure.microsoft.com/en-us/documentation/
•  Los centros de datos son la ingeniería hazañas Azure – este enlace es un tesoro de información increíble tecnología – http://www.microsoft.com/en-us/server-cloud/cloud-os/global-datacenters.aspx
•También hay una gran información en estos documentos técnicos: http://www.microsoft.com/en-us/download/details.aspx?id=36391
• Un gráfico útil puede ser descargado aquí para ver la mayor parte de los elementos que implican AD Azul – http://go.microsoft.com/fwlink/?linkid=399120&clcid=0x409

Espero que este post ayudó a arrojar un poco más de luz sobre lo que Azure Active Directory es – y no lo es.

Un agradecimiento especial a mi amigo y compañero, JD, por compartir su conocimiento y comprensión de Azure AD.  Su presentación se solidificó mis pensamientos acerca de esta entrada y provocó uno de los temas principales.

Su forma de trabajo a través de la información y los enlaces aquí y cuando haya terminado, te prometo que tendrá una mejor comprensión de Azure, Azure AD y su futuro en la era de la nube de la tecnología.

¡Aclamaciones!  Michael Hildebrand


04 2017

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


31  03 2017

Azure Active Directory: cuando debemos pensar en utilizar Azure AD Connector for FIM

En el mes de Azure Active Directory, hoy revisaremos cuando el Azure AD Connector para FIM debe ser considerado para diferentes escenarios. Para el escenario de varios bosques, Azure AD Connector está siendo obsoleto en favor de la herramienta Azure AD Connect.

En términos generales, y como hemos visto anteriormente, el uso de la herramienta Azure AD Connect debería ser la solución preferida. Las razones principales son:

  • La herramienta Azure AD Connect se ha diseñado para ser fácil de implementar y su configuración está completamente automatizada a través de un asistente.
  • En caso de problemas con la sincronización de directorios, la resolución de problemas de la herramienta Azure AD Connect normalmente será más fácil. La implementación de Azure AD Connector es una tarea personalizada, que es más compleja y puede asociarse con errores de configuración. El despliegue y el mantenimiento son más intensivos en esfuerzo y por lo tanto más costosos.
  • No se aplican requisitos de licencia para la herramienta Azure AD Connect, mientras que se requiere una licencia de servidor FIM y posiblemente licencias de Visual Studio para el Azure AD Connector.

El uso del conector Azure AD con FIM 2010 R2 sigue estando disponible para los clientes existentes. Las organizaciones pueden así continuar controlando completamente la partición de información entre locales y la nube, soportan entornos multi-forestales de AD (como Azure AD Connect) y soportan otros directorios y fuentes de datos que no sean AD, por ejemplo OpenLDAP o SAP (como Azure AD Connect).

El conector esta disponible en el sitio de descarga de Microsoft: Microsoft Download Center

Se recomienda implementar Azure AD Connector en una instancia FIM dedicada. Si bien la implementación de Azure AD en un servidor FIM 2010 R2 existente es posible (pero no es compatible), también aumentará la complejidad de la configuración y dificultará la resolución de problemas y el mantenimiento.

Otras opciones para considerar potencialmente

Como ya saben, el Módulo AD de Azure para Windows PowerShell nos permite realizar una variedad de tareas de administración desde la línea de comandos, incluida la administración de usuarios, la administración de licencias de grupos y grupos y la administración de licencias.

El Azure AD Graph API permite funciones similares, a través de interfaces API basadas en REST. Asimismo, nos permite acceder a las propiedades más comunes de todos los tipos de objetos en el directorio. La documentación de MSDN describe estas propiedades y muestra las que son escritura. Es compatible con la administración de todos los objetos de directorio, incluidos Usuarios, Grupos, Contactos (eliminar / actualizar), asignación de licencias de usuario y gestión del administrador del usuario y las relaciones de informe directo.

A través de estas dos interfaces, podemos automatizar operaciones de aprovisionamiento tales como la creación, modificación o eliminación de objetos en su inquilino de directorio de Azure AD.

Para los clientes de Office 365, aunque también permite la creación de buzones de Exchange a través de la asignación de licencias, no permite la creación de grupos o contactos habilitados para correo. La gestión de objetos de Exchange no está cubierta. Los objetos habilitados el correo deben crearse a través de PowerShell remoto de Exchange Online, después de que los objetos se hayan replicado desde el directorio AD de Azure al directorio de Exchange Online.

Con Exchange PowerShell remoto en línea, podemos administrar objetos y propiedades de Exchange Online, ya sea para fines de automatización o para administrar elementos que de lo contrario no están expuestos a través del portal.

Tengamos en cuenta que estas interfaces no proporcionan el mismo conjunto de capacidades que las herramientas de sincronización de directorios previamente discutidas proporcionadas por Microsoft. Más específicamente:

  • Estas interfaces sólo proporcionan acceso a un subconjunto de atributos que se pueden administrar mediante la herramienta Azure AD Sync (o la herramienta DirSync o el conector Azure AD de FIM).
  • El control del lado del servicio se aplica en estas interfaces para proteger el servicio y los clientes contra lotes grandes de comandos. Esto puede ralentizar el aprovisionamiento / sincronización de los usuarios, y cada ciclo de sincronización completo puede tardar mucho tiempo en completarse.
  • Azure AD Module para Windows PowerShell no proporciona mecanismos para enumerar los cambios que ocurrieron en el inquilino del directorio, por lo que no es adecuado para los procesos de sincronización de directorios. (El Azure AD Graph API admite la consulta diferencial desde noviembre de 2012.)
  • Desde una perspectiva de servicio, los objetos aprovisionados a través de los cmdlets de Azure AD Module para Windows PowerShell no aparecerán como objetos "sincronizados".

En consecuencia, el uso de interfaces para la provisión de objetos debe limitarse actualmente a escenarios donde:

  • Es necesario gestionar un número limitado de objetos.
  • Exchange Híbrido ("rich coexistence") no es necesario para los clientes de Office 365. La sincronización de directorios sólo está disponible a través de la herramienta DirSync o el Azure AD Connector. La sincronización de directorios es obligatoria para admitir determinadas características, como la coexistencia híbrida de Exchange.

Como tal, el módulo Azure AD para Windows PowerShell (y potencialmente el portal de administración de Azure) se puede recomendar a los clientes que sólo necesitan identidades de nube y no requieren una solución de sincronización en absoluto, perteneciendo a la categoría "zero on-premises hardware".

La siguiente tabla sintetiza las opciones disponibles para los escenarios individuales o multi-forest AD local:

www.radians.com.ar

Saludos, Roberto Di Lello.


Next Page »