Category Archives: Windows Server

Windows Server 2016 – Lab – Instalando Roles Remotamente


En esta nota vamos a ver como aprovechando la administración centralizada que realizamos anteriormente de lo servidores podremos instalar y administrar funcionalidades (Roles) remotamente

El proceso es muy sencillo, y utilizaré de ejemplo el servicio DHCP, el cual luego de la instalación lo configuraré

Seguir leyendo

Windows Server 2016 – Lab- Las Directivas de Grupo (“GPOs”)


Continuando con el armado del ambiente de pruebas, en esta nota veremos unos temas a tener cuidado con la administración de Directivas de Grupo (“GPOs”) que no han sido como esperaba

Primero veré el tema de crear un repositorio centralizado de las Plantillas Administrativas (“Administrative Templates”) que como ya hemos visto tiene sus ventajas (“Directivas de Grupo (“GPOs”) – Optimizar y Evitar Futuros Problemas”)

La finalidad de esto es que al tenerlas centralizadas sería mucho más fácil la implementación, pero hay algunas configuraciones que no estarán disponibles pese a tener la última versión

Seguir leyendo

Experiencias: Cambio de VMware Workstation a Hyper-V 2016


Como todos los que siguen este blog conocen, todas las notas con los paso a paso que pueden ver, hasta ahora están hechas sobre máquinas virtuales con VMware Workstation

Básicamente esto era por la facilidad de uso de este producto en ambientes de prueba, mientras que Hyper-V desde un principio estaba orientado a ambientes productivos, con las restricciones de flexibilidad que eso implicaba

A partir de las últimas experiencias con VMware Workstation, y las nuevas posibilidades de Hyper-V 2016, estuve pensando bastante en si hacía el cambio o no

Comento en esta nota mis experiencias, qué evalué, qué encontré mejor y que no, cómo estoy armando mi nuevo ambientes de pruebas, y bueno, cualquier otra cosa que me ha llamado la atención

Seguir leyendo

Windows Server 2016 – Lab – Administración Centralizada


En las notas anteriores muestro como estoy configurando un ambiente de pruebas para Windows Server 2016, ya está creado el Dominio y hay dos máquinas miembros del Dominio, ambas con Windows Server 2016, sólo que una tiene interfaz gráfica (SRV1), y la otra no (CORE1)

En esta nota vamos a ver cómo podemos administrarlas centralizadamente desde DC1, tanto por “Computer Management” como agregar y configurar funcionalidades

Seguir leyendo

Windows Server 2016 – Lab – Configurar Servidor (“Core”)


Aunque ya hay varias notas publicadas sobre Windows Server 2016, como he comenzado a crear mi laboratorio virtual para pruebas, estoy preparando varias notas donde muestro la estructura a medida que la voy creando

El objetivo de estas notas, no es entrar en tanto detalle, sino resaltar cambios respecto a versiones anteriores, y eventualmente algunas cosas inesperadas que estoy descubriendo a medida que avanza la práctica

En esta nota veremos la configuración básica de un servidor sin interfaz gráfica, y cómo unirlo a un Dominio

Seguir leyendo

Windows Server 2016 – Instalación Versión Core


Complementando de forma rápida la nota anterior “Windows Server 2016 – Instalación” en esta mostraré las diferencias con la versión “Core”, que ya no se llama así, y además es la que por omisión sugiere la instalación

Mostraré solamente las pantallas diferentes como así también cómo podemos acceder a una configuración básica de la instalación

Seguir leyendo

Windows Server 2016 – Instalación


Aprovechando la reciente salida de Windows Server 2016, hago esta simple nota mostrando paso a paso el proceso de instalación

Realmente hay muy pocas diferencias con el de Windows Server 2012 R2, pero he capturado todas las pantallas, para no sólo mostrar donde hay diferencias sino que además sirva como ayuda para los que no lo conozcan

La instalación que muestro la he hecho sobre una máquina virtual funcionando sobre VMware Workstation 12, y he elegido tipo EFI/UEFI, aunque no hay diferencias si el sistema es el clásico BIOS, salvo la configuración del “hardware” virtual
Seguir leyendo

Primer Inicio de Sesión por VPN


Trasladar una máquina de la red de la empresa fuera de la red, como todos sabemos, no causa problemas de inicio de sesión con una cuenta de usuario de Dominio, esto es así porque si el usuario ya había iniciado sesión en ese equipo, entonces localmente hay “cacheada” una copia de la contraseña, por lo cual no ofrece ningún problema inciar sesión con una cuenta del Dominio

Pero ¿qué sucede si se tratara de un usuario que nunca inció sesión anteriormente en dicho equipo? la respuesta es que no podrá hacerlo, ya que no se puede contactar a un Controlador de Dominio

La solución no es compleja: se debería poder tener una conexión VPN a la red del Dominio para permitir la autenticación y autorización del usuario, aún antes del incio de sesión

Esto implica tener que hacer un agregado a la pantalla de incio de sesión que permita el inicio a través de VPN

Seguir leyendo

Auditoría de Seguridad Simple de Inicio de Sesión


La auditoría de seguridad de Windows es muy poderosa, pero no es fácil de implementar, sobre todo para llevar un seguimiento, auditar lo que necesitemos y no bajar el rendimiento de la máquina

Por lo anterior, y sin necesidad de implementarla he visto una opción de Directiva de Grupo (GPO), que fácilmente nos permite conocer si alguien estuvo tratando de ingresar interactivamente por teclado a una máquina determinada

Mostraré cómo podemos implementar que al incio de sesión interactivo nos muestre cuál fue la última vez anterior, y si hubieron intentos fallidos donde no se ha colocado correctamente usuario y contraseña

Entiendo que no es una opción para implementar a todas las máquinas del Dominio, pero sí se puede hacer en máquinas que tengan información altamente sensible que quedaría sin la adecuada protección ante un inicio de sesión interactivo. En este caso la implementaré sobre los Controladores de Dominio, pero es muy simple sobre otra clase de servidores

Seguir leyendo

Fecha y Hora en Dominios Active Directory


En ambientes de Dominio Active Directory es fundamental que la fecha y hora de todas las máquinas que lo forman estén sincronizadas. Por omisión, si la fecha/hora de una máquina difiere en más de 5 minutos con el Controlador de Dominio que debe hacer la autenticación, esta fallará, e inclusive se puede suspender la replicación entre Controladores de Dominio

Lo anterior explica en parte el motivo por el cual no se puede cambiar en forma arbitraria la fecha y hora de un equipo que forma parte de un Dominio. Teniendo además en cuenta, que luego de un tiempo el sistema se sincronizará automáticamente sin aviso

Veremos primero cómo se realiza esta sincronización y si debemos hacer algún cambio en la configuración por omisión

Seguir leyendo

Windows Server 2016 (TP5): Multiboot con Windows 10


Aunque Windows 10 hace tiempo que está disponible, la versión Windows Server 2016 sigue demorándose, así que seguimos probando la versión más reciente que al día de hoy es la TP5 (“Technical Preview 5)

Los que disponemos de un ambiente para virtualizar no tenemos problemas para hacer las instalaciones necesarias de esta versión previa, pero todavía hay muchos que no disponen de esa posibilidad

Para los entusiastas que gusten probar esta versión previa, sin virtualizar, sin perder su instalación en uso, y sin necesidad de discos/volúmenes separados es que preparé esta nota

Lo que aprovecharé es la instalación en un disco/archivo VHDX, sin usar virtualización, y que además de las pruebas nos permitirá ver la compatibilidad de hardware, ya que se tratará de “multiboot” seleccionando cada sistema operativo durante el arranque

Importante: antes de hacer ese tipo de pruebas debemos asegurarnos tener copia de seguridad que podamos recuperar, ya sea una imagen del sistema opertivo, o por lo menos de los datos

Seguir leyendo

Informar Uso Aceptable del Equipo Informático


En toda organización que tenga administrado y controlado su equipamiento informático es importante que los que hacen uso del mismo sepan y acepten las condiciones de uso impuesto por el propietario, e inclusive hasta las medidas que pueden tomarse por mal uso del mismo

Esto es muy fácil de configurar, presentando al usuario un cuadro de diálogo donde se puede informar cuál es el uso aceptable y que obligatoriamente debe aceptarlo antes de poder iniciar sesión

Seguir leyendo

Remote Desktop – Escritorio Remoto: Resumen de notas


Estoy notando que en el blog se están sumando cada vez más, notas sobre el tema “Remote Desktop – Escritorio Remoto”, 40 hasta hoy. Y aunque se puede filtrar por categoría en el margen izquierdo, al haber varias que son la entrada a las demás he escrito este pequeño resumen

Seguir leyendo

Remote Desktop – Escritorio Remoto: Configuraciones Básicas para Limitar Usuarios


Continuando esta serie de notas sobre Remote Dekstop – Escritorio Remoto, y específicamente esta es continuación de “Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores” vamos a ver algunas configuraciones básicas y típicas, para que las conexiones de usuario no afecten al servidor y por lo tanto a otros usuarios

Aunque por supuesto el sistema está protegido relativamente por los bajos privilegios que tiene un usuario normal, siempre viene bien evitar que tengan acceso a determinadas aplicaciones que pueden ser peligrosas

Veremos sólo algunas configuraciones que considero básicas, pero cada uno debe evaluar su entorno, y determinar cuáles pueden interesarles

Seguir leyendo

GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355)


En los últimos días he recibido varias consultas con un síntoma que aparentemente es extraño: algunas Directivas de Grupo (GPOs) que funcionaban perfectamente, dejaron de aplicarse

Son cosas que parecen raras, sólo algunas GPOs, y específicamente unas pocas, donde lo que tenían en común era que se había aplicado algún filtrado de seguridad, pero no en todas

Investigando y comentando con compañeros encontramos el motivo, todo fue provocado por una actualización de los sistemas operativos, todos desde Windows Vista hasta Windows Server 2012 R2

Seguir leyendo

Remote Desktop – Escritorio Remoto: Ocultar Discos


Continuando con esta serie de notas para limitar usuarios en el acceso a Escritorio Remoto, y contribuir a la seguridad del servidor, en esta nota veremos las dos opciones que tenemos para ocultar los discos locales del servidor a los usuarios

La demostración de esta nota está basada en la configuración que he hecho sobre las dos anteriores

Hay dos opciones parecidas para esta nota, una que permite ocultar y otra que evita acceder a los discos, vamos a ver las diferencias y las consecuencias de cada una de ellas

Seguir leyendo

Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores


Continuando con la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio” y con el objetivo de cómo podremos (en futuras notas) limitar las capacidades de un usuario cuando se conecta a un servidor utilizando Escritorio Remoto, lo primero es crear y vincular una GPO que tenga dos temas en cuenta:

  • Que las restricciones anteriores no se apliquen a los administradores
  • Que sean limitaciones específicas para cuando se conecte al servidor usando Escritorio Remoto, pero que no se apliquen a su máquina individual

Para cumplir con estos objetivos debemos denegar el permiso de aplicar la GPO a los administradores y además usar el procedimiento de aplicación de GPO de bucle invertido

Seguir leyendo

Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio


Hace ya tiempo que he escrito notas sobre “Remote Desktop – Escritorio Remoto”, su instalación y configuración, pero he observado que en muchos casos se necesita una instalación más simple, o aún personalizada de la instalación

Esto es lo que haré en esta nota, y que luego aprovecharé en otras subsiguientes mostrando cómo podremos mejorar la seguridad y limitar muy específicamente qué aplicaciones y configuraciones podrán hacer los usuarios, como así también qué le podremos ocultar en la sesión  remota del servidor

Para el que quiera repasar el tema pongo los enlaces a las tres series anteriores en el blog:

 

Seguir leyendo

Remote Desktop – Escritorio Remoto: Configuración del Licenciamiento (RD-CALs) en Grupo de Trabajo (“Workgroup”)


Continuando la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)” en esta vamos a proceder a la configuración del licenciamiento de Escritorio Remoto, que no es tan sencilla como en ambiente de Dominio Active Directory, una parte se hace a través de la Directiva Local de Seguridad

Además, al estar en Grupo de Trabajo, sólo se puede licenciar por dispositivo, y no por usuario

Recuerdo que Escritorio Remoto requiere licenciamiento aparte de las CALs (“Client Access Licenses”) que permiten acceder al servidor. Para Escritorio Remoto se deben adquirir RD-CALs (“Remote Desktop CALs”), y además instalar y activar el servicio de licenciamiento

Seguir leyendo

Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)


Muchas veces he visto la consulta sobre la utilización de Remote Dekstop – Escritorio Remoto en ambiente de Grupo de Trabajo. No es que no se pueda, sino que el procedimiento de instalación es diferente, y la funcionalidad reducida con respectoa a la implementación en ambiente de Dominio Active Directory

No se pueden utilizar los procedimientos “normales” de instalación y configuración denominados “Quick Start” y “Standard Deployment” que he documentado en notas anteriores, hay que hacerlo de forma diferente

Además veremos cómo podemos solucionar el mensaje de advertencia sobre el certificado no confiable del servidor que da por omisión

Seguir leyendo