Home
About
Archives
Contactenos
Ayuda | Help

01 2017

VMWare – Novedades de vSphere 6.5 {News}

www.radians.com.arDesde que se anuncio vSphere 6.5 en VMworld Europe 2016, la reacción que se ha escuchado ha sido abrumadoramente positiva. Es fácil ver por qué, con nuevas características importantes en áreas que van desde vCenter Server y el VCSA , a la seguridad , a las nuevas API para desarrolladores y automatización y CLI . VSphere 6.5 también ofrece mejoras importantes a características principales como Perfil de host, Auto-deploy y vSphere HA y DRS. Y no olvidemos Contenedores Integrados vSphere, que se anunció en VMworld 2015 y ahora por fin está disponible una de las características compatibles de vSphere 6.5.

Aparte de estas características principales, hay bastantes otras mejoras que vale la pena conocer. En redes, por ejemplo, las nuevas características incluyen pasarelas dedicadas para adaptadores de red VMkernel, aprovisionamiento automatizado SR-IOV y soporte para ERSPAN. En almacenamiento, las nuevas mejoras incluyen soporte para unidades de formato avanzado, NFS 4.1, enrutamiento estático de software iSCSI y UNMAP automatizado.

Para proporcionar una visión más completa de vSphere 6.5, hemos elaborado un documento titulado ¿Qué hay de nuevo en vSphere 6.5? -What’s New in vSphere 6.5- . Descarga este documento para conocer las principales características, así como las otras áreas (por favor consulte esta tabla de comparación para ver qué características se incluyen en la edición de licencia de vSphere). ¡Feliz lectura!

Espero que les sea de interes. Saludos. Roberto Di Lello


01 2017

Resumen Semanal!

www.radians.com.arBuenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a : 

http://www.youtube.com/user/radilello 

https://www.youtube.com/channel/UCdOZP-ULQ19HnKlVr9jqWMQ

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


30  12 2016

Nuevos Videos sobre Directory Services y Windows Server, Bitlocker y mas–ScreenCasts-

Hoy quería compartir con ustedes los últimos videos que subí al nuevo canal de youtube del blog:

https://www.youtube.com/channel/UCdOZP-ULQ19HnKlVr9jqWMQ

por el momento tiene este dirección genérica hasta que youtube&Google apruebe la nueva y definitiva.

Saldos y que tengan un excelente comienzo de año. Roberto Di Lello

How impact Social Networking in our Jobs and in our life. Be Careful

Windows Server 2012, Configurando Hyper-v sobre un SMB Storage con Alta Disponibilidad {ScreenCast}

Windows Server 2012, Implementando BranchCache {ScreenCast}

Administrando Windows Server 2012 R2 con Server Manager y PowerShell

Implementando Windows Server 2012 R2 -First Install-

BitLocker: que es? Como Funciona? Como Configurarlo?


28  12 2016

Video en el nuevo canal de YouTube

Tal como sabrán estoy migrando todos los videos nuevos y viejos a mi nuevo canal de youtube para poder solucionar muchos problemas que he estado teniendo, debido a que mi cuenta era originariamente youtube, y luego cuando fue comprada por google algunas se podían unificar y otras no. Bueno mi caso era de las que no y hay muchas funcionalidades que no puedo utilizar. Esto era una traba para el crecimiento del canal ya que me demoraba muchos de los nuevos videos, y finalmente tome la decisión después que goolge me confirmara que no había nada que pudiéramos hacer.

Les dejo la primera tanta de videos que subí y les pediría que ayuden a difundir el nuevo canal. Muchas gracias y felices fiestas a todos. Saludos, Roberto Di Lello.

Preparando Dominio para implementar Windows Server 2008 R2 {HowTo} Parte1

Preparando Dominio para implementar Windows Server 2008 R2 {HowTo} Parte2

Windows Server 2016 First Installation

Microsoft Hololens


27  12 2016

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :  http://www.youtube.com/user/radilello

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


23  12 2016

Windows Server 2016, instalando y configurando nuestro servidor DFS {HowTo}

windows-server-2016

Hoy vamos a ver como configurar el rol de DFS y como configurar una replicación DFS-R todo por línea de comando, tal como dijimos que haríamos.

 

Ya hemos visto varias notas sobre DFS:

Para instalar el rol

  • En al consola de Server Manager, hacemos clic en Dashboard, y luego hacemos clic en Add roles and features.
  • Luego en la pagina Before you begin page, hacemos clic en Next.
  • En la pagina Select installation type, seleccionamos Role-based or feature-based installation y hacemos clic en Next.
  • En la pagina Select destination server, selecionamos el servidor del pool de servidores y hacemos clic en Next.
  • En la pagina Select server roles page, expandimos el item File and Storage Services, y luego expandimos File and iSCSI Services.
  • Seleccionamos el check box DFS Namespaces, y en el pop-up box de Add Roles and Features, hacemos clic en Add Features.
  • Seleccionamos el check box de DFS Replication y hacemos clic en Next.
  • Luego en la pagina de Features, hacemos un clic en Next.
  • Para terminar en la pagina de Confirm installation selections, hacemos un clic en Install.

También podemos hacer esto con powershel de la siguiente manera:

Install-WindowsFeature -Name FS-DFS-Namespace,FS-DFS-Replication -IncludeManagementTools

Para habilitar el Autorecovery

Para habilitar el autorecovery, debemos modificar la siguiente entrada de la registry:

Key: HKLM\System\CurrentControlSet\Services\DFSR\Parameters
Value: StopReplicationOnAutoRecovery
Type: Dword
Data: 0

Por línea de comando:

REG.EXE ADD HKLM\SYSTEM\CurrentControlSet\Services\DFSR\Parameters /v StopReplicationOnAutoRecovery /t REG_DWORD /d 0 /f

Ahora el Script para hacer todo en la consola de DFS.

Con esto creamos los shares:

New-SmbShare –Name “FileServerData" -Path E:\FileServerData –Description “NombreShare File Server Data" -FullAccess Administrators,"IT_Administrators" -ChangeAccess "NT AUTHORITY\Authenticated Users" -FolderEnumerationMode AccessBased -CachingMode None

 

Y con esto hacemos la magia en la consola DFS:

dfsutil root adddom \\ServerName1\DFSNamespace V2
dfsutil target add \\ServerName2\DFSNamespace

Dfsutil property targetfailback enable \\ServerName1\DFSNamespace
DfsrAdmin RG New /RgName:DFSNamespace

DfsrAdmin Member New /RgName:DFSNamespace /MemName:ServerName1
DfsrAdmin Member New /RgName:DFSNamespace /MemName:ServerName2

DfsrAdmin Conn New /RgName:DFSNamespace /SendMem:ServerName1
/RecvMem:ServerName2 /ConnEnabled:true

DfsrAdmin Conn New /RgName:DFSNamespace /SendMem:ServerName2
/RecvMem:ServerName1 /ConnEnabled:true

dfsradmin RF New /rgName:DFSNamespace /RfName:FileServerData

dfsradmin Membership Set /RgName:DFSNamespace /RfName:FileServerData /MemName:ServerName1
/LocalPath:E:\Data_Folder\FileServerData /MembershipEnabled:true
/IsPrimary:true

dfsradmin Membership Set /RgName:DFSNamespace /RfName:FileServerData /MemName:ServerName2
/LocalPath:E:\Data_Folder\FileServerData /MembershipEnabled:true
/IsPrimary:false

Espero que les sea de utilidad e interés, y cualquier duda envíenme un mail.

Saludos, y felices fiestas. Roberto Di Lello


21  12 2016

DFS en Windows Server 2016, como agregar una carpeta a DFS-N y configurar su réplica {Parte3} -HowTo-

Hoy veremos la tercera parte DFS en Windows Server 2016 y como debemos hacer para agregar una carpeta a DFS-N y configurar su réplica.

Intentaremos agregar las dos carpetas compartidas a nuestro DFS Namespace. Estas carpetas conservaran los recursos compartidos y se replicará.

  • En la consola de Administración de DFS, hacemos clic en New Folder en el menú de acciones y añadimos las carpetas compartidas de ambos servidores como podemos ver el el siguiente screenshoot:

www.radians.com.ar

  • Cuando hacemos en OK, se iniciará la configuración de la replicación.
  • Para configurar la replicación entre los servidores de archivos, debemos hacer clic en YES en la página Replicación.

www.radians.com.ar

  • Hacemos clic en Next en la página Replication Group and Replication Folder Name.

www.radians.com.ar

  • en la ventana Replication Eligibility hacemos clic en Next.
  • Seleccionamos el primer servidor (DC1) como miembro primario y hacemos clic en Next.

www.radians.com.ar

  • Selleccionamos la topología FULL MESH en la ventana Topology Selection y hacemos click en Next.

www.radians.com.ar

  • Ahora dejamos el seteo por defecto en la parte de Replication Group Schedule and Bandwidth y hacemos clic en Next. Esto es por si deseamos configurar en que momento se hace la replica.

www.radians.com.ar

  • Revisamos nuestra configuracion en la ventana Review Settings and Create Replication Group y hacemos clic en Next para pasar al sigueinte punto.
  • En la ventana de confirmación, hacemos clic en Close

www.radians.com.ar

Finalmente la configuración deberia terminar sin inconvenientes. Podemos expandir el Namespace para verifica el resultado de nuestro trabajo.

www.radians.com.ar

Para probar la replicación entre el primer servidor y el segundo servidor de archivos, podemos hacerlo simplemente copiando un archivo en la carpeta compartida del primer servidor y luego deberia ser replicado en nuestro segundo servidor.

Espero que les sea de interes, y proximamente veremos como hacer todo esto pero por medio de PowerShell. Saludos, Roberto Di Lello


19  12 2016

Resumen Semanal!

www.radians.com.arBuenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :  http://www.youtube.com/user/radilello

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


16  12 2016

Instalar y configurar el sistema de archivos distribuido (DFS) en Windows Server 2012 R2 {Parte2}

www.radians.com.arHoy vamos a ver la segunda parte de cómo implementar sistema de archivos distribuido (DFS) en Windows Server 2012 R2, ya hemos visto en varias oportunidades que es un DFS y que beneficios podemos obtener de ellos.

 

Agregar un servidor de espacio de nombres

Para agregar el segundo servidor (FS2) como segundo servidor de archivos para replicar los recursos compartidos entre servidores de archivos, debemos hacer lo siguiente:

  • Vamos a la página Administración de DFS, ampliamos espacios de nombres a continuación, seleccionamos la pestaña ya existente del Namespace y Namespaces Servers.

www.radians.com.ar

  • Hacemos clic en “add a namespace server” en el menu de Actions. Ingresamos el nombre del segundo file server y hacemos un click en Edit Settings.

www.radians.com.ar

  • Seleccionamos “Administration have full access: other users have read and write permission” en la página de configuración de permisos y hacemos clic en OK dos veces para agregar el servidor sin ningún error.

www.radians.com.ar

Agregar carpetas compartidas al espacio de nombres raíz

Ahora lo que debemos hacer es Agregar carpetas compartidas al espacio de nombres raíz, para esto necesitamos una carpeta compartida dentro de nuestros dos servidores de archivos. Estas carpetas compartidas guardan los archivos y recursos compartidos.

  • Desde la consola “From File and Storage Services” del Server Manager, hacemos un clic derecho en la página principal y hacemos clic en New Share para crear una carpeta compartida.

www.radians.com.ar

  • Seleccionamos “Type a custom path” en la página “Share Location” y escribimos la ubicación de la carpeta que deseamos compartir y luego hacemos clic en Next.

www.radians.com.ar

  • Especificamos el nombre del recurso compartido y su descripción, y a continuación  hacemos clic en OK. Si nos avisa que la ruta no existe, hacemos clic en OK para crear dicha carpeta.

www.radians.com.ar

  • Seleccionamos la opcion “Enable access-based enumeration” y hacemos clic en Next.

www.radians.com.ar

  • En la página “Permissionhacemos clic en Next. Si deseamos darle el permiso de usuario de dominio, hacemos clic en “customize permissions” para poder darle los permisos a los grupos de usuarios del dominio y los administradores.
  • Hacemos clic en Next en la página Management Properties”. En la página “Quota” podemos ingresar la cuota que queremos configurar para este share. Luego hacemos clic en Next. En la página de confirmación hacemos clic en “Create” y luego en “Close”.

Hasta ahora hemos creado correctamente la carpeta compartida para el servidor DC, pero también debemos crear la misma carpeta para el segundo servidor (FS2). Simplemente debemos crear una carpeta y compartirla así luego podemos asignarle los permisos de modificación para el grupo de administradores de dominio y los distintos grupos de usuarios que necesitamos.

Con esto doy por finalizado la segunda parte de este Tutorial, la próxima será la ultima entrega en donde veremos como agregar carpeta a DFS-N y configurar su réplica y también veremos como hacer todo esto en un súper mega script en PowerShell.

Espero les sea de interés y utilidad. Saludos. Roberto DL


13  12 2016

Como cambiar el puerto de RDP en nuestro Servidor o Estacion de trabajo {HowTo}

Hoy quería escribir acerca de este tema, ya que varios me han preguntado sobre como hacerlo. Vamos a ver el paso a paso de como cambiar el puerto de RDP (Remote Desktop) que por defecto usa el puerto TCP 3389. Este procedimiento es muy sencillo, debemos abrir el editor de registro con elevación de permisos (run as administrator):

  • Iniciar el Editor del Registro.
  • A continuación, hacemos clic en la siguiente clave del registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber


  • En el menú Edición, hacemos clic en Modificar y, a continuación, hacemos clic en decimal, y escribimos el numero de puerto y luego hacemos clic en Aceptar

  • Salimos del Editor del Registro.
  • Reiniciamos el equipo.

Mientras tanto, tengamos en cuenta, que el nuevo número de puerto debe ser un entero entre 1025 y 65535 en el cuadro de texto PortNumber; y debemos estar seguros de que el puerto que elegimos no esté en uso por otra aplicación.

Ahora para comprobar el resultado podemos usar el siguiente comando:

Netstat-a

Tambien podemos utilizar el Monitor de red para rastrear el puerto.
Monitor de red de Microsoft 3.4 Http://www.microsoft.com/en-in/download/details.aspx?id=4865

Recordemos tambien que si cambiamos el puerto, es muy probable que tengamos que agregarlo en nuestros firewalls ya sea en el de Windows como en nuestro router. En mi caso tengo un router Linksys

Espero les sea de interés y utilidad. Saludos, Roberto Di Lello


12  12 2016

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :  http://www.youtube.com/user/radilello

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


12 2016

Instalar y configurar el sistema de archivos distribuido (DFS) en Windows Server 2012 R2 {Parte1}

www.radians.com.ar Hoy vamos a ver cómo implementar sistema de archivos distribuido (DFS) en Wndows Server 2012 R2, ya hemos visto en varias oportunidades que es un DFS y que beneficios podemos obtener de ellos.

Igualmente de forma rapida si queremos definir que es un DFS podriamos decir que es la forma en que los usuarios del dominio pueden acceder a un recurso compartido de archivos utilizando UNC (Universal Naming Convention) para acceder a su contenido de la carpeta compartida; sobre todo pensando en grandes organizaciones que tienen multiples servidores en varios estados, provincias o paises.

Entonces utilizando un espacio de nombres, DFS puede simplificar la estructura de carpetas UNC. Además, DFS puede replicar el espacio de nombres virtual y las carpetas compartidas en varios servidores dentro de la organización. Esto puede asegurar que las acciones estén ubicadas lo más cerca posible de los usuarios, proporcionando así un beneficio adicional de tolerancia a fallos para los recursos compartidos de red.

Debemos tener en cuenta que para probar la configuración de DFS, al menos debemos tener dos Windows Server 2012 R2 instalados en nuestro laboratorio. Nuestro primer servidor es nuestro Controlador de Dominio (DC) que tiene el rol de DNS, DHCP y se instalará el servidor de archivos con DFS-N y DFS-R. El segundo servidor será el miembro de DFS Server. LA recomendación es que nuestro DC no tenga ningún rol extra solo el AD DS y el DNS. El resto debería estar configurado en otros equipos, aquí por un tema que es un laboratorio en mi notebook lo pondremos todo junto.

Así que vamos a iniciar la instalación y configuración de espacios de nombres DFS y funciones de replicación en primer Server (DC).

  • Vamos al Server Manager Dashboard
  • Hacemos clic en Manage y luego clic en Add roles and Features. En la pagina add roles and features seleccionamos Rule-based or feature-based installation y hacemos clic en Next.
  • En la seleccion del server, solo hacemos clic en Next.
  • En la pagina Server Roles expandimos Files and Storage Services y luego expandimos File and iSCSI Services. Seleccionamos DFS Namespace, DFS Replication and File Server Resources Manager. Aceptamos los features por defecto y hacemos clic en Next.

www.radians.com.ar

  • En Features dejamos la configuracion por defecto y hacemos clic en Next.
  • Hacemos clic en Install la pagina de confirmación y llevara unos minutos la instalación.

www.radians.com.ar

Cuando el proceso de instalación haya terminado, hacemos clic en Cerrar y salimos de la configuración.

Instalándo DFS Powershell

Intente instalar el servidor de archivos, DFS-N y DFS-R en el servidor miembro. Es mejor hacerlo con la línea de comandos de PowerShell. Nos ayudará a comprender el proceso de instalación de DFS con PowerShell.

El segundo servidor debe unirse al dominio, cambiar el nombre predeterminado y establecer la dirección IP estática. Ejecutamos el Powershel con elevacion de permisos y luego debemos ingresar para ver los componentes de DFS:

Get-WindowsFeatures -name FS*

www.radians.com.ar

Install-WindowsFeature -Name FS-DFS-Namespace,FS-DFS-Replication -IncludeManagementTools 

www.radians.com.ar

Si queremos verificarlo debemos ejecutar nuevamente el primer comando.

Para habilitar el “auto recovery”debemos modificar la siguiente registry:

Key: HKLM\System\CurrentControlSet\Services\DFSR\Parameters
Value: StopReplicationOnAutoRecovery
Type: Dword
Data: 0

o jecutando desde la linea de comando:

REG.EXE ADD HKLM\SYSTEM\CurrentControlSet\Services\DFSR\Parameters /v StopReplicationOnAutoRecovery /t REG_DWORD /d 0 /f

Crear un espacio de nombres de DFS

1. En el servidor DC abrimos la consola DFS Management dentro del Server Manager Dashboard y en el menu Tools

www.radians.com.ar

2. En la consola de Administración de DFS, hacemos clic en nuevo espacio de nombres en el menú de acciones para abrir el Asistente para el nuevo espacio de nombres.

www.radians.com.ar

3. Escribimos el nombre del servidor que desea utilizar como espacio de nombres de host y hacemos clic en Siguiente. En nuestro caso es el servidor DC1.

4. En la página de configuración de espacio de nombres, escribimos un nombre “public” para nuestro ejemplo y luego hacemos clic en Editar configuración.

5. Seleccionamos que los administradores tengan acceso total: los demás usuarios tienen permiso de lectura y escritura y luego hacemos clic en OK para aplicar los cambios.

www.radians.com.ar

www.radians.com.ar 

6. Seleccionamos el espacio de nombres basado en el dominio en la página Tipo de espacio de nombres a continuación, hacemos clic en Siguiente.

www.radians.com.ar

7. Una vez hicimos todos estos pasos nos aparecera un breve resumen, el cual es muy recomendable revisarlo y luego hacemos clic en Crear para crear el espacio de nombres

www.radians.com.ar

www.radians.com.ar

Este proceso debe terminar bien, sin errores, sino no podremos continuar. La próxima nota agregaremos otro servidor a este espacio de nombres para que repliquen entre sí.

Espero les sea de interés y utilidad. Saludos. Roberto Di Lello


12 2016

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :  http://www.youtube.com/user/radilello

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


12 2016

Active Directory Federation Services (ADFS) en Windows Server 2016

Con Windows Server 2016, tenemos una nueva versión de AD FS disponible para usar con nuestras diversas implementaciones en la nube. Por tal motivo, hoy veremos algunas de las nuevas características y funcionalidad de los Servicios de Federación de Active Directory (AD FS) en esta nueva versión.

Con Windows Server 2016 tenemos serias mejoras en el proceso de actualización, en la forma de realizar nuestra auditoría y en las herramientas de restauración rápida de AD FS. Anteriormente, con las versiones anteriores de AD FS, el proceso de actualizar la granja de servidores incluía la instalación de una nueva granja de servidores para luego, cambiar sus registros de DNS para apuntar a ella. Realmente esto no era lo que llamaríamos comúnmente una actualización sino mas bien una nueva instalación que luego reemplazaría la vieja.

El proceso de actualizar la granja de servidores de AD FS, con esta nueva versión de Windows Server 2016, es muy similar al proceso de actualizar nuestro Active Directory, por lo que es muy familiar y sencillo. Con Active Directory, hablamos de Forest Function Level (FFL) y Domain Function Level (DFL). Con AD FS, hablamos de Farm Behavior Level (FBL).

Ya con la version anterior, es decir con Windows Server 2012 R2, podemos agregar nuevos servidores Windows Server 2016 AD FS a nuestra granja de servidores existente y, luego podemos eliminar nuestros servidores Windows Server 2012 R2 AD FS existentes. Una vez que todos los servidores de nuestra arquitectura de AD FS se estén ejecutando en Windows Server 2016, podemos actualizar el nivel funcional de nuestros servidores y comenzar a aprovechar las nuevas características de AD FS. Si nuestra arquitectura de servidores de AD FS se está ejecutando sin una base de datos SQL (mediante WID), deberemos designar uno de los servidores de servidor de AD del Windows Server 2016 como nodo principal antes de realizar la promoción FBL ejecutando el siguiente cmdlet de PowerShell:

Set-AdfsSyncProperties -Role PrimaryComputer

Una vez que se configuramos el servidor principal de AD FS, necesitaremos hacer una preparación de bosque y una preparación de dominio y, a continuación, ejecutar el cmdlet de PowerShell:

Invoke-AdfsFarmBehaviorLevelRaise

Con la Auditoría mejorada que nos frece Windows Server 2016, nos sera mucho mas facil hacer el seguimiento y control de nuestra arquitectura de AD FS. Quedaran registrados varios eventos de auditoría para un solo evento y, en algunos casos, no registrarán nada. Con Windows Server 2016 AD FS, la auditoría de AD FS está activada de forma predeterminada en el nivel básico. Existen tres posibles niveles de auditoría para los servidores de AD FS: Ninguno, Básico (predeterminado) y Verbose. Siendo Verbose el nivel máximo de auditoria, se registraran todos los eventos, Basic registrará un máximo de 5 eventos para una sola solicitud.

En lo referido a las herramientas de restauración rápida de AD FS, este fue uno de los principales conflictos con una migración a la nube, y el esfuerzo que debíamos realizar para ello. Con AD FS, por ejemplo, podemos tener un "inicio de sesión único", pero requiere que se implementen varios servidores para garantizar la alta disponibilidad.

Con la nueva herramienta de restauración rápida de AD FS, los administradores tenemos la posibilidad de exportar la configuración de un solo servidor AD FS para poder implementar un nuevo servidor AD FS en caso de un fallo del servidor o la herramienta de restauración rápida pueda utilizarse para duplicar nuestro AD FS en un entorno de test.

La herramienta de restauración rápida respalda la siguiente información

  • Base de datos de configuración de AD FS
  • Archivo de configuración de AD FS
  • Certificados de firma de token
  • Certificado SSL y claves privadas correspondientes
  • Proveedores de autenticación personalizados, almacenes de atributos y trusts de proveedores de reclamaciones locales

Esta herramienta se puede descargar gratuitamente de Microsoft, y se puede utilizarse en Windows Server 2016 o en windows Server 2012 R2. Requiere .NET 4.0 o superior instalado en el servidor y el servidor recuperado debe estar en la misma versión que el servidor de origen original. Una vez instalado, podemos hacer una copia de seguridad de un servidor AD FS con el cmdlet Backup-ADFS PowerShell. Las restauraciones se realizan a través del cmdlet Restore-AD FS, tal como hemos visto en el pasado.

Con las Políticas de control de acceso, tenemos la capacidad de admitir reglas personalizadas que permiten a algunos usuarios autenticarse bajo condiciones especificadas. El escenario más común es que los empleados por hora sólo puedan iniciar sesión en su cuenta de correo electrónico de Office 365 cuando están físicamente en el trabajo.

Esto puede lograrse utilizando políticas de emisión de reclamaciones (o por su nombre en ingles: claims issuance policies), pero estas políticas son muy difíciles de configurar y administrar. Con Windows Server 2016 AD FS, tenemos la capacidad de controlar este tipo de autenticaciones a través de políticas de control de acceso que son muy similares a las politicas de grupo en Active Directory.

AD FS tiene plantillas de políticas de control de acceso integradas que nos servirán para cubrir la mayoría de los escenarios comunes que nuestra organización quiera imponer; tales como permitir que un grupo específico autentique o no se autentique en momentos específicos; o que requiera autenticación de múltiples factores para los usuarios que autentican fuera de la red corporativa son ejemplos de políticas de acceso que puede configurar.

Estas son solo algunas de las nuevas características que trae Windows Server 2016 con respecto a Active Directory Federation Services (ADFS), próximamente estaré publicando un video a modo de demo sobre esta característica.

Espero les sea de interés y utilidad. Saludos. Roberto Di Lello


30  11 2016

Active Directory Domain Services (AD DS) en una DMZ?

A menudo tenemos clientes que implementan aplicaciones Web Active Directory en una DMZ que aloja servidores web orientados al público. Estas aplicaciones suelen tener acceso a un Active Directory interno detrás del firewall y autentican a los usuarios del dominio de Active Directory interno.

Esto puede presentar un mayor riesgo de seguridad sobre los servidores web internos y tenemos algunas pautas para elegir el modelo mejor y más seguro de implementación para este escenario. Al implementar Active Directory en una DMZ, es importante utilizar las mejores prácticas.

Hemos completado algunas investigaciones para determinar estas prácticas recomendadas para configurar aplicaciones web en la DMZ que utilizan la autenticación integrada de Windows en IIS y acceder a Active Directory internamente detrás del firewall. Algunas preguntas simples podrían ser:

  • Hay cuatro modelos de implementación: Sin AD (servidor de grupo de trabajo independiente con solo cuentas locales); Isolated forest model (Modelo de bosque aislado); Extended corporate forest model (Modelo de bosque corporativo extendido) y Forest trust model (Modelo de confianza del forest).
  • No puede ejecutar la mayoría de las aplicaciones habilitadas para AD en servidores de grupo de trabajo independientes de Windows en la DMZ.
  • Dispone de varios modelos de arquitectura para permitir el acceso seguro desde una DMZ.
  • El modelo de bosque aislado y el modelo de bosque corporativo extendido que utiliza controladores de dominio de sólo lectura (RODC, Read Only Domain Controllers) proporcionan los riesgos de seguridad más bajos.
  • Todos los modelos se pueden endurecer para proporcionar una seguridad excelente.

Les recomiendo ver la nota de TechNet Active Directory Domain Services in the Perimeter Network (Windows Server 2008) que nos proporciona toda la información necesaria para implementar con seguridad las aplicaciones web habilitadas para AD en la DMZ. Igualmente no deja de ser una discusión interesante que van a tener que tener con Seguridad Informática (cuenten su experiencia y la publicare).

Espero les sea de interés. Saludos. Roberto Di Lello


« Previous PageNext Page »