Evento Active Directory desde Cero

Muchas gracias a todos los asistentes al ciclo de conocimiento de Active Directory, y como lo prometido es deuda, para los miembros de la comunidad ya se encuentran disponibles las diapositvas en el sitio ITPros-DC, si no eres miembro de la comunidad debes registrate para poder descargarlas. Un saludo para todos.

Les dejo algunas imágenes del evento! :-)

Ciclo de Conocimiento Active Directory - Microsoft Colombia

Active Directory desde Cero

Este mes de agosto estaré todos los martes hablando sobre los fundamentos de Active Directory en Microsoft Colombia, los invito a participar en este ciclo donde seguramente juntos aprenderemos muchas cosas sobre este excelente producto. No olviden registrarse, el evento es completamente gratis y tenemos cupos limitados, al hacer clic sobre la imagen serán enviados al sitio de registro.

Los espero!

Windows Azure Active Directory

En este artículo quiero mostrarles una característica de Windows Azure que particularmente me gusta mucho, ya que mi pasión son todos los temas relacionados con identidad y acceso, y aquí les mostraré cómo es posible hacer una sincronización de directorios con Windows Azure, mediante la herramienta Windows Azure Active Directory (WAAD). Pero primero veamos un poco de que se trata WAAD.

Se trata de un servicio de última tecnología, el cual hace uso de REST, y nos permite hacer administración de identidad y control de acceso para las aplicaciones en la nube, permite la integración con un directorio local (on-premise) y con proveedores de identidad de terceros. Para más información sobre Active Directory de Windows Azure visite este enlace

En este artículo mencionaré el tema relacionado con integración de directorios, del cual podemos encontrar las siguientes dos capacidades:

Sincronización de directorios: la cual nos permite como su nombre lo indica, sincronizar todos nuestros objetos locales (on-premise), tales como usuarios y grupos con la nube.

Inicio de sesió único (SSO): Se usa para ofrecer a los usuarios una experiencia de autenticación única, los usuarios iniciarán sesión en las aplicaciones alojadas en la nube con sus credenciales de red.

Esto es una gran ventaja, ya que permite a los desarrolladores integrar las aplicaciones con Active Directory sin la necesidad de manejar almacenes de identidad independientes.

En esta ocasión vamos a tratar la capacidad de Sincronización de Directorios.

Mediante esta característica podemos sincronizar todos los usuarios existentes en nuestro directorio local con la nube, si lo que desea es permitir el inicio de sesión único a los usuarios de la red, antes de activar la sincronización de directorios deberá habilitar el inicio de sesión único, por ahora no vamos a tocar el tema de SSO, lo haremos en otro artículo, el alcance de este artículo es mostrar cómo funciona la sincronización de directorios.

Windows Azure permite sincronizar hasta 50.000 objetos, si se tiene una mayor cantidad de objetos es necesario comunicarse con el servicio técnico de Windows Azure, la sincronización de directorios hace uso de una instancia de SQL Server 2008 Express, si se tiene más de los 50.000 objetos permitidos, es necesario utilizar una instalación de SQL Server 2008 completa.

Los siguientes son los requisitos que se deben cumplir para instalar la sincronización de directorios:

• El equipo debe estar unido a un dominio, pero NO debe ser un controlador de dominio, la herramienta debe instalarse en un servidor miembro.
• El equipo debe tener instalado .Net Framework 3.5 (Microsoft .Net Framework 3.5, Microsoft .Net Framework 3.5 SP1)
• Windows PowerShell, si va a instalar la herramienta de sincronización de directorios en Windows Server 2003, necesita descargar Windows PowerShell, si está ejecutando Windows Server 2008, necesita habilitar esta característica.
• Restrinja el acceso al servidor donde instalará la herramienta, solo deben tener acceso a este equipo administradores que tengan acceso al servicio de directorio.

Ahora vamos con los pasos, lo primero es ingresar a nuestra cuenta de Windows Azure para crear el directorio allí.

 

CREAR UN NUEVO DIRECTORIO EN WINDOWS AZURE ACTIVE DIRECTORY

---

Una vez iniciemos sesión en nuestra cuenta de Windows Azure, en el panel de la izquierda seleccionamos Active Directory, y luego hacemos clic en Agregar Directorio

Nos saldrá u mensaje que nos pregunta si deseamos crear un nuevo directorio o usaremos uno existente, seleccionamos Crear un nuevo directorio.

Luego diligenciamos los datos para nuestro directorio

 

Y listo, de este modo hemos finalizado de crear nuestro directorio en Windows Azure

ACTIVAR LA INTEGRACIÓN DE DIRECTORIOS EN WINDOWS AZURE ACTIVE DIRECTORY

---

 

Si vamos a hacer uso de SSO debemos tener por lo menos un dominio, se debe agregar y verificar el mismo, en el menú de la parte superior encontraremos la opción dominios, en este caso pasaré directamente a la opción de Integración de Directorios, la cual se encargará del tema  de manera automática.

En la página de integración de directorios, podemos observar si existen dominios preparados para la sincronización de directorios o para el inicio de sesión único (SSO). A su vez podemos observar los pasos que debemos seguir antes de activar la sincronización de directorios.

Si observamos en la página de integración de directorios nos aparecen los pasos que debemos seguir para preparar la integración de directorios (no se muestra en la imagen), el segundo de ellos es prepararse para la sincronización, los requisitos son en su mayoría para preparar el entorno para el inicio de sesión único, en nuestro caso como solo probaremos la sincronización de directorios, podemos hacer clic en la opción Activado, que se muestra en la imagen anterior, aparecerá un mensaje que pregunta si deseamos activar la sincronización de directorios, hacemos clic en Sí, y de este modo se habilitará la característica, sin embargo, es importante verificar si todo está listo para la integración de directorios, para ello, está a disposición la herramienta Microsoft Deployment Readiness Tool que inspecciona el entorno de AD y ofrece un reporte de la verificación de requisitos para utilizar la herramienta de sincronización de directorios, lo cual permite que podamos resolver cualquier inconveniente antes de activar la sincronización de directorios, entre los requisitos antes de la activación se ofrecen los enlaces para la preparación del SSO, .Net Framework, y los cmdlets de PowerShell necesarios para preparar el entorno antes de la activación.

 

Como en nuestro caso aún no estamos preparando el entorno para SSO, simplemente activamos la sincronización de directorios, y nos aparecerá un mensaje que indica que la sincronización de directorios nunca se ha realizado.

INSTALAR LA HERRAMIENTA DE INTEGRACIÓN DE DIRECTORIOS

---

 

Para descargar la herramienta de integración de directorios haga clic en el enlace a continuación, también se ofrece un enlace de descarga desde la opción de integración de directorios en WAAD.

 

Herramienta de sincronización de directorios DirSync

 

Una vez la descarguemos, la ejecutamos (es necesario hacerlo con privilegios de administrador local).

 

Hacemos clic en siguiente para iniciar la instalación.

Aceptamos los términos de la licencia.

 

Elegimos la carpeta de instalación.

Al hacer clic en Siguiente se iniciará el proceso de instalación.

 

Al finalizar la instalación iniciamos la herramienta, hacemos clic en Siguiente para iniciar

 

Proporcionamos nuestra cuenta de Active Directory en Windows Azure.

Luego proporcionamos las credenciales del administrador de Active Directory en nuestro entorno local (on-premise)

 

En la pantalla de implementación híbrida la dejamos tal cual y hacemos clic en Siguiente

Ahora, en Sincronización de contraseña, hacemos clic en la casilla de verificación, esto permitirá que las contraseñas locales se sincronicen con el directorio en Windows Azure.

Al finalizar la configuración, podemos forzar para que inicie de manera inmediata la sincronización del directorio local con WAAD.

 

 

Se iniciará el proceso de sincronización, cuyo tiempo dependerá de la cantidad de objetos que tengamos para sincronizar en nuestro directorio local, podemos verificar que la sincronización haya finalizado a través del visor de eventos en los registros de aplicación, de igual forma quedará registrado cuando finalice la sincronización de contraseñas.

 

Al final, si revisamos la lista de usuarios en WAAD, podemos ver que aparecerán los usuarios de nuestro directorio local, podemos ver que en la columna con origen en se muestra Active Directory Local, aparecen tres cuentas, que son las que tengo creadas en mi directorio local.

De este modo tenemos hecha nuestra sincronización de directorios, con ello podemos administrar las cuentas desde nuestra red, sincronizar los cambios y las aplicaciones en la nube funcionando de manera transparente, las identidades administradas desde un solo sitio. Espero esto sea de utilidad para muchos, un abrazo y hasta el próximo artículo.

Cómo crear una máquina virtual en Windows Azure

En esta ocasión les mostraré cómo crear una máquina virtual con Windows Server 2012 haciendo uso de Windows Azure, estoy utilizando la evaluación gratuita de 90 días, con el fin de poder descubrir qué se puede hacer allí, y pues la verdad es bastante interesante y es inevitable sentir cuál será el futuro de la computación..."la nube", y debemos estar preparados para ello, los cambios en el modo en que hacemos uso de la informática están cambiando y no podemos quedarnos atrás, por ello los invito a probar las grandes ventajas y bondades de la nube, espero poder seguir probando algunas cosas en Azure y compartirlas aquí, así que sin más preámbulos, de manera muy sencilla les indicaré los pasos que seguí para la creación de mi primera máquina virtual en Windows Azure.

Una vez tengamos creada nuestra cuenta de Windows Azure, ingresamos al panel de administración, y en la parte izquierda seleccionamos Máquinas Virtuales, y hacemos clic en Crear una máquina virtual, tal como se muestra a continuación.

En la siguiente ventana nos aparecerán dos opciones para crear la máquina virtual, una es la creación rápida y otra es crear una máquinas desde la galería, que es la opción que utilizaremos.

A continuación podemos elegir de la galería el sistema operativo que queremos que tenga nuestra máquina, algo bastante bueno y que vale la pena resaltar es que no solamente podemos crear máquinas con sistema operativo Windows, por el contrario, podemos elegir sistemas operativos como Linux Suse, en nuestro caso vamos a crear la máquina con Windows Server 2012 Datacenter

Una vez elegimos nuestro sistema operativo debemos indicar el nombre que llevará la máquina virtual, el nombre del usuario, la contraseña, y el tamaño de la máquina virtual, y pues entre más grande sea la máquina que seleccionemos pues más consumo haremos del servicio, en este caso y para efectos de prueba seleccionaré la máquina extra pequeña, la cual es de núcleo compartido y 768 MB de RAM, suficiente para probar.

En la siguiente pantalla debemos elegir el nombre DNS, mediante el cual podemos acceder a la máquina desde Internet, y pues claramente este nombre debe ser único, el nombre que seleccionemos quedará bajo el dominio por defecto de Azure cloudapp.net por lo cual si elegimos el nombre DNS virtualmachine el FQDN quedará así: virtualmachine.cloudapp.net, la siguiente imagen muestra el error que se recibe cuando el nombre DNS ya lo está usando alguien.

Debido a lo anterior, es necesario crear alguna nomenclatura de nombres no tan común para no tener problemas al elegir el nuestro, cuando el nombre está disponible podemos continuar.

Luego, debemos seleccionar una cuenta de almacenamiento generada y un grupo de afinidad, que es básicamente la ubicación geográfica de la máquina física.

En la siguiente pantalla nos solicita un conjunto de disponibilidad, el cual dejamos como aparece de manera predeterminada "ninguno". 

Con esto la máquina ya está creada, ahora debemos iniciarla, con la opción iniciar en la parte baja de la pantalla.

Esperamos unos pocos minutos a que se inicie, cuando terminé lo sabremos porque en la columna estado aparecerá el texto Ejecutándose, y por último hacemos clic en la opción Conectar de la parte baja.

Inmediatamente se iniciará la descarga del archivo .rdp mediante el cual nos conectaremos a la máquina virtual.

Una vez descargado el archivo, lo ejecutamos y hacemos clic en Aceptar en la venta de Conexión a Escritorio Remoto.

Por último nos solicitará las credenciales para conectarnos a la máquina, las cuales definimos cuando empezamos a crear la máquina virtual.

Una vez ingresamos la credenciales se abrirá nuestra máquina virtual con Windows Server 2012 instalado y listo para usar!

Y esto es todo, como pueden observar el proceso de creación de una máquina virtual ya con sistema operativo instalado es un proceso bastante sencillo, así que los invito a que se animen a utilizar Windows Azure y descubrir las interesantes posibilidades que nos ofrece.

Hasta la próxima.

Windows Day 2013

Este sábado 23 de Marzo se llevará a cabo el WindowsDay 2013, patrocinado por Unicafam y Microsoft, si deseas asistir es necesario el registro aquí, el evento será el primer gran evento de este año 2013, en esta ocasión los estaré acompañando con una charla sobre Control de Acceso Dinámico en Windows Server 2012. Los espero!

Esta es la agenda del evento.

Cómo renombrar un dominio en Windows Server 2008

En este artículo explicaré de manera general los pasos que debemos seguir para cambiar el nombre de un dominio basado en Windows Server 2008 R2, es importante aclarar que el escenario aquí planteado, es un escenario muy básico, en el cual no tenemos ninguna otra aplicación o servicio del cual debamos preocuparnos, si por alguna razón vas a intentar este procedimiento en un entorno de producción te recomiendo tener mucha precaución y analizar que otros servicios se pueden ver afectados con el procedimiento, como por ejemplo Microsoft Exchange.

Windows Server 2008 incorpora una herramienta de línea de comandos que nos permite hacer esta tarea, dicha herramienta se llama RENDOM.EXE, veamos cómo funciona.

Lo primero que debemos hacer es ejecutar la siguiente instrucción: rendom /list el cual genera un archivo XML llamado Domainlist.xml en la ruta donde se encuentre abierto el símbolo del sistema,. en este caso se encuentra la ruta del perfil de usuario.

Luego podemos observar el contenido del archivo Domainlist.xml si exploramos el directorio donde nos encontramos ubicados.

Debemos editarlo con cualquier editor de texto, por ejemplo el bloc de notas, y donde veamos referencias a nuestro dominio, simplemente las cambiamos por el nombre del nuevo dominio, la siguiente imagen muestra el archivo antes de ser modificado.

Por ejemplo en este caso cambiaré el nombre de dominio itpros-dc.com por contoso.com, por lo cual cambié todas las referencias al anterior dominio por el nuevo y guardé los cambios en el archivo.

Luego ejecutamos la siguiente instrucción para verificar los cambios hechos al archivo Domainlist.xml : rendom /showforest

Esta instrucción no realiza ningún cambio, simplemente es para verificar que los cambios hechos anteriormente son correctos, y como podemos apreciar aparece el nombre de nuestro nuevo dominio.

Ahora que hemos comprobado que todo está bien, debemos ejecutar la siguiente instrucción para efectuar los cambios en la partición de configuración de nuestro dominio: rendom /upload

Si tenemos más controladores de dominio y no queremos esperar hasta la próxima sincronización, podemos forzar la replicación mediante la siguiente instrucción: repadmin /syncall

Luego, si tenemos más controladores de dominio, debemos ejecutar la instrucción: rendom /prepare, esto con el fin de comprobar que todos los demás controladores de dominio están listos para el cambio de nombre de dominio, no debe arrojarnos ningún error.

Una vez realizado todo lo anterior, ya podemos proceder con el cambio de nombre de dominio, para lo cual debemos ejecutar la siguiente instrucción: rendom / execute

El cambio se ejecutará en todos los controladores de dominio, luego se reiniciará cada uno de los controladores de dominio. Tras reiniciar podemos comprobar que el nombre de nuestro dominio ha cambiado.

Luego, debemos actualizar nuestra infraestructura de directiva de grupo, para lo cual haremos uso del comando gpfixup.exe de la siguiente manera.

gpfixup /olddns:nombre_antiguo /newdns:nombre_nuevo

La siguiente imagen muestra el resultado del comando completo.

Debemos hacer lo mismo pero para el nombre NetBIOS del dominio.

gpfixup /oldnb:nombre_antiguo /newnb:nombre_nuevo

echo lo anterior, debemos ejecutar la instrucción rendom /clean que nos sirve para borrar cualquier referencia existente a nuestro antiguo dominio.

Ya para finalizar debemos ejecutar lo siguiente: rendom /end esto indicará que ya es posible hacer cambios sobre la base de datos del directorio activo, ya que cuando se inicia el proceso, ésta se bloquea para impedir la escritura.

Con esto hemos finalizado de cambiar el nombre a nuestro dominio en Windows Server 2008, la siguiente imagen muestra el cambio reflejado en la consola Usuarios y Equipos de Active Directory.