Category Archives: Windows Server 2012 R2

Configurar Imagen de Fondo de Escritorio y Pantalla de Bloqueo


En muchas ocasiones un administrador de Dominio desea configurar que todos los usuarios tengan un determinado fondo de pantalla en el escritorio y que no lo puedan cambiar

Esto es a veces como imagen corporativa de la empresa, y otras para prevenir que pongan fotos personalizadas que por su tamaño pueden hacer que el sistema se torne más lento

Además, y ya que el proceso es muy similar mostraré como configurar en forma obligatoria una imagen de pantalla de bloqueo tanto para Windows 10 como para Windows 8.1

Esto es fácil de lograr a través de Directivas de Grupo (GPO). Lo mostraré sobre Windows 10 y Windows 8.1, aunque el proceso es igualmente válido para los correspondientes sistemas operativos de tipo servidor

Sólo un tema a tener en cuenta si lo llegaran a aplicar a versiones anteriores: Windows 7 tiene un bug que hace que no funcione correctamente, pero hay una actualización que lo corrige

Seguir leyendo

Hyper-V: ¿Generación 1 o Generación? ¿Como Elegir?


A veces, tengo que reconocerlo, se encuentra información muy interesante e importante sin haberla buscado específicamente

Por supuesto que en mi caso conzco las ventajas de crear máquinas virtuales de tipo “Generation 2”, pero no en todos los casos se puede. Sólo como ejemplo: en la mayoría de las notas uso versiones cliente x86, simplemente porque trabajan mejor asignándole menos memoria, y si es x86 entonces es “Generation 1”

Encontré un enlace donde especifica varios temas que considero importantes para el que no tenga claro cuándo cada uno, y las diferencias

Entre otros puntos:

  • Qué sistemas operativos están soportados (Windows y Linux)
  • De qué medio pueden arrancar (Disco, red o imagen)
  • Las ventajas de “Generation 2”
  • Soporte de dispositivos
  • Más ventajas de “Generation 2”

Ambos enlaces están en inglés:

Espero sea de utilidad para muchos, es información bien concisa y clara

Instalar y Configurar Google Chrome con GPOs


El tema de cuál navegador es mejor que otro es algo largamente discutido e inclusive en muchos casos con argumentos que a veces no son técnicos. A mi entender cada uno tiene sus ventajas y sus inconvenientes, y aunque para determinados sitios es mejor uno u otro, en mi caso prefiero siempre tener dos, el que viene con el sistema operativo y uno más, Chrome es mi preferencia

Dos ejemplos: hay sitios que requieren sí o sí un determinado navegador así que no hay alternativa; y otro motivo por el que prefiero tener dos: si estamos accediendo a un sitio con autenticación de usuario, y necesitamos abrir otra ventana, ésta se abre con la misma autenticación pero necesitamos que sea con otro usuario o directamente que no informe datos de usuario

En esta nota veremos tres temas:

  • Instalar Chrome en forma desatendida
  • Configurar Chrome como navegador por omisión, que no es tan directo
  • Configurar Chrome mediante Plantillas Administrativas de GPO

Seguir leyendo

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 5)


Y ya finalizando esta serie de notas sobre el servicio DNS, en esta última veremos una opción muy poco conocida, y por ese motivo poco usada como es la utilización de “Stub Zones”. La traducción al español creo que no ha sido muy buena, han sido llamadas “Zonas de Código Auxiliar” lo cual no aclara mucho su utilidad. Hace tiempo pude oír a alguien llamarlas “delegación con esteroides” y realmente dice mucho sobre su utilidad :)

Recuerdo la infraestructura creada, y que en esta nota agregaremos a “DNS6.dom3.der”

Seguir leyendo

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 4)


En esta serie de notas sobre el servicio DNS, en esta ocasión veremos específicamente el uso, configuración y diferencias entre “Reenviadores” y “Reenviadores Condicionales”

Recuerdo la figura correspondiente a la serie de notas que estamos haciendo

En esta nota agregaré “DNS5.dom2.izq” y veremos cómo configurar la resolución de nombres con la infraestructura ya creada, usando “Reenviadores” y “Reenviadores Condicionales”

Seguir leyendo

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 3)


Siguiendo con esta serie de notas sobre la configuración del servicio DNS, y habiendo ya visto en las dos anteriores la resolución de nombres internos y externos, como la configuración de zonas secundarias, y las condiciones para la tolerancia a fallas del servicio, en esta ocasión comenzaré con el tema de la administración de subdominios, tanto con como sin delegación

A partir de este momento la infraestructura se torna un poco más compleja, e iré agregando más máquinas virtuales de acuerdo al progreso del tema en esta y futuras notas, así que lo mejor es agregar una simple figura que muestra la infraestructura que estamos construyendo los que seguimos esta serie de notas

Hasta ahora ya tenemos configurados DNS1 y DNS2, para esta demostración agregaré otras dos máqunas virtuales DNS3 y DNS4. En una futura nota agregaré a DNS5 y DNS6

Seguir leyendo

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 2)


Continuando con esta serie de notas, y a partir de la configuración hecha en “El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 1)”, en esta agregaré otra máquina, con configuración similar, con la que veremos cómo podemos resolver nombres externos e internos, crearemos una Zona Secundaria, y veremos cómo permitir la transferencia de zona y la configuración necesaria

Seguir leyendo

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 1)


En este blog trato principalmente temas referidas a Active Directory, el cual se apoya fuertemente en la resolución de nombres del servicio DNS, pero veo que en muchos casos hay desconocimiento sobre su funcionamiento y las diferentes configuraciones que se pueden hacer para llegar a una corecta configuración que sea optimizada e inclusive tolerante a fallas

Por esto he decidido un poco volver a las fuentes para comprender las diferentes posibilidades de configuración, desde lo más básico hasta opciones avanzadas

Lo haré de la forma más “primitiva”, esto es, con servidores en grupo de trabajo, sin actualizaciones dinámicas ni seguras; y abarcará desde la resolución de nombres públicos de Internet, hasta un ambiente de múltiples dominos con múltiples Árboles

Al finalizar la serie de notas los objetivos son demostrar:

  • Resolución de nombres públicos de Internet con dos opciones diferentes
  • Resolución de nombres internos
  • Tolerancia a fallas
  • Zonas Secundarias y configuración de transferencias de zona
  • Resolución de nombres de Subdominio, con y sin delegación de zona
  • Reenviadores Condicionales
  • Uso de “Stub Zones” (Zonas de Código Auxiliar), esas desconocidas :)

Seguir leyendo

DHCP: Asignar Configuración Unicamente a Máquinas del Dominio


Hay una pregunta que he visto varias veces en los foros de soporte, o que me han hecho: “¿Cómo puedo hacer para que las máquinas que no son del Dominio no reciban configuración desde el servicio DHCP?”

Siempre he dado la respuesta “No se puede. Porque para que identifique que pertenece al Dominio o no, primero debe asignarle dirección IP para la comunicación”

Tengo que reconocerlo, estaba equivocado. Se puede hacer, y no es complicado

En casi todos los casos la pregunta estaba relacionada a que si alguna persona externa conectara su propia máquina a la red de la organización, no pudiera ni conectarse a las máquinas, ni salir a Internet

Seguir leyendo

Hyper-V: Los Diferentes Clases de Redes – Diagrama de Conectividad


En cualquier sistema de virtualización se pueden crear diferentes clases de redes, y aunque todos ofrecen características muy similares, hay diferencia en la forma de nombrarlas. Específicamente los que cambiamos de VMware a Hyper-V, o quizás sólo a mí, una de las dificultades fue el cambio de “network” a “switch”

Aún hoy en día, y luego de ya varios años en el tema, sigo recibiendo consultas sobre en qué clase de red conectar cada máquina virtual para que pueda … (reemplazar los puntos suspensivos por el caso de cada uno)

Así que con no poco trabajo hice un diagrama de conectividad de las diferentes clases de redes en Hyper-V

Seguir leyendo

Windows Server Core – Cambiar Aspecto de Interfaz


Hace ya un tiempo hice un par de notas sobre la instalación y configuración básica de la versión “Core” (sin interfaz gráfica) de Windows Server 2016, y en esta nota mostraré algunas formas de, sin aumentar el consumo de recursos en absoluto, hacer la interfaz más agradable o por lo menos adaptarla al administrador

Dejo los enlaces a las notas nombradas más arriba:

En esta nota mostraré algunos de los cambios que hago o que se pueden hacer para lograr una interfaz más agradable

Seguir leyendo

Actualizar – Migrar Dominio a Windows Server 2016 – Detallado


Aunque en general casi todos solemos usar el término “actualizar”, en realidad el proceso de pasar desde un Dominio con versión anterior a uno con versión más nueva de los Controladores de Dominio, suele hacerse mediante “migración”, que es algo diferente

La definición (de Microsoft) de actualizar, es hacer lo que se llama “upgrade-in-place”, esto es, sobre la misma instalación hacer una actualización del sistema operativo

Pero la opción recomendada es diferente y consiste en instalar Controladores de Dominio con la versión más nueva, para poder finalmente migrar el servicio

Iba a titular la nota con “Actualizar”, ya que es la terminología más usada, pero he agregado “Migrar” ya que es el término correcto

A diferencia de otras notas anteriores con otras versiones, en esta nota trataré de hacer el tema lo más detallado posible, consideraciones importantes que se deben tener en cuenta, tener un procedimiento que permita volver todo atrás en caso de problemas, y resaltar opciones importantes que debemos tener en cuenta

Seguir leyendo

Windows Server: Tarjetas Inteligentes Virtuales (“Virtual Smart Cards”)


Una de las preocupaciones de seguridad de todo administrador de sistemas es que independientemente de cualquier política de seguridad que implemente hay un eslabón de la cadena sobre el que tiene poco control: el cuidado que haga el usuario de su contraseña

Se pueden implementar directivas de contraseña con seguridad, pero todo dependerá de una buena concientización al usuario para que tome los recaudos necesarios para proteger su confidencialidad, algo que no es fácil en algunos casos

Para evitar esto existen varias opciones, una de las mejores es el uso de Tarjetas Inteligentes (“Smart Cards”), pero es una solución con un costo y complejidad que no todos pueden asumir

Hace unos días leyendo documentación en Internet, por accidente tengo que reconocerlo, llegué a un documento sobre la implementación de Tarjetas Inteligentes Virtuales (“Virtual Smart Cards”)

Por supuesto que no es lo mismo que el uso de tarjetas físicas, pero tiene sus ventajas y por supuesto el costo es mucho menor. Al estar la tarjeta inteligente dentro de la máquina, es una forma de vincular un usuario con uno o varios equipos determinados

Los requerimientos principales son:

  • El sistema operativo cliente sea por lo menos Windows 8
  • El hardware en la máquina cliente debe disponer TPM

Es relativamente fácil de implementar, por lo menos para un prueba conceptual que luego puede adaptarse al uso real

Seguir leyendo

Primer Inicio de Sesión por VPN


Trasladar una máquina de la red de la empresa fuera de la red, como todos sabemos, no causa problemas de inicio de sesión con una cuenta de usuario de Dominio, esto es así porque si el usuario ya había iniciado sesión en ese equipo, entonces localmente hay “cacheada” una copia de la contraseña, por lo cual no ofrece ningún problema inciar sesión con una cuenta del Dominio

Pero ¿qué sucede si se tratara de un usuario que nunca inció sesión anteriormente en dicho equipo? la respuesta es que no podrá hacerlo, ya que no se puede contactar a un Controlador de Dominio

La solución no es compleja: se debería poder tener una conexión VPN a la red del Dominio para permitir la autenticación y autorización del usuario, aún antes del incio de sesión

Esto implica tener que hacer un agregado a la pantalla de incio de sesión que permita el inicio a través de VPN

Seguir leyendo

Auditoría de Seguridad Simple de Inicio de Sesión


La auditoría de seguridad de Windows es muy poderosa, pero no es fácil de implementar, sobre todo para llevar un seguimiento, auditar lo que necesitemos y no bajar el rendimiento de la máquina

Por lo anterior, y sin necesidad de implementarla he visto una opción de Directiva de Grupo (GPO), que fácilmente nos permite conocer si alguien estuvo tratando de ingresar interactivamente por teclado a una máquina determinada

Mostraré cómo podemos implementar que al incio de sesión interactivo nos muestre cuál fue la última vez anterior, y si hubieron intentos fallidos donde no se ha colocado correctamente usuario y contraseña

Entiendo que no es una opción para implementar a todas las máquinas del Dominio, pero sí se puede hacer en máquinas que tengan información altamente sensible que quedaría sin la adecuada protección ante un inicio de sesión interactivo. En este caso la implementaré sobre los Controladores de Dominio, pero es muy simple sobre otra clase de servidores

Seguir leyendo

Fecha y Hora en Dominios Active Directory


En ambientes de Dominio Active Directory es fundamental que la fecha y hora de todas las máquinas que lo forman estén sincronizadas. Por omisión, si la fecha/hora de una máquina difiere en más de 5 minutos con el Controlador de Dominio que debe hacer la autenticación, esta fallará, e inclusive se puede suspender la replicación entre Controladores de Dominio

Lo anterior explica en parte el motivo por el cual no se puede cambiar en forma arbitraria la fecha y hora de un equipo que forma parte de un Dominio. Teniendo además en cuenta, que luego de un tiempo el sistema se sincronizará automáticamente sin aviso

Veremos primero cómo se realiza esta sincronización y si debemos hacer algún cambio en la configuración por omisión

Seguir leyendo

Windows Server 2016 (TP5): Multiboot con Windows 10


Aunque Windows 10 hace tiempo que está disponible, la versión Windows Server 2016 sigue demorándose, así que seguimos probando la versión más reciente que al día de hoy es la TP5 (“Technical Preview 5)

Los que disponemos de un ambiente para virtualizar no tenemos problemas para hacer las instalaciones necesarias de esta versión previa, pero todavía hay muchos que no disponen de esa posibilidad

Para los entusiastas que gusten probar esta versión previa, sin virtualizar, sin perder su instalación en uso, y sin necesidad de discos/volúmenes separados es que preparé esta nota

Lo que aprovecharé es la instalación en un disco/archivo VHDX, sin usar virtualización, y que además de las pruebas nos permitirá ver la compatibilidad de hardware, ya que se tratará de “multiboot” seleccionando cada sistema operativo durante el arranque

Importante: antes de hacer ese tipo de pruebas debemos asegurarnos tener copia de seguridad que podamos recuperar, ya sea una imagen del sistema opertivo, o por lo menos de los datos

Seguir leyendo

Informar Uso Aceptable del Equipo Informático


En toda organización que tenga administrado y controlado su equipamiento informático es importante que los que hacen uso del mismo sepan y acepten las condiciones de uso impuesto por el propietario, e inclusive hasta las medidas que pueden tomarse por mal uso del mismo

Esto es muy fácil de configurar, presentando al usuario un cuadro de diálogo donde se puede informar cuál es el uso aceptable y que obligatoriamente debe aceptarlo antes de poder iniciar sesión

Seguir leyendo

Remote Desktop – Escritorio Remoto: Resumen de notas


Estoy notando que en el blog se están sumando cada vez más, notas sobre el tema “Remote Desktop – Escritorio Remoto”, 40 hasta hoy. Y aunque se puede filtrar por categoría en el margen izquierdo, al haber varias que son la entrada a las demás he escrito este pequeño resumen

Seguir leyendo

Remote Desktop – Escritorio Remoto: Configuraciones Básicas para Limitar Usuarios


Continuando esta serie de notas sobre Remote Dekstop – Escritorio Remoto, y específicamente esta es continuación de “Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores” vamos a ver algunas configuraciones básicas y típicas, para que las conexiones de usuario no afecten al servidor y por lo tanto a otros usuarios

Aunque por supuesto el sistema está protegido relativamente por los bajos privilegios que tiene un usuario normal, siempre viene bien evitar que tengan acceso a determinadas aplicaciones que pueden ser peligrosas

Veremos sólo algunas configuraciones que considero básicas, pero cada uno debe evaluar su entorno, y determinar cuáles pueden interesarles

Seguir leyendo