Habilitado de IRM en Exchange Online

Hola de nuevo, en este artículo vamos a ver como habilitar IRM en nuestro Exchange Online. Para activar IRM en nuestro Exchange Online, debemos de hacerlo mediante Powershell con lo que vamos a ver como conectarnos desde Powershell a nuestro tenant de Office 365 de forma adicional.

Descargamos módulos para conectarnos a Office 365 mediante Powershell, el primero de ellos es el módulo de MSOnline Services Assistant y el segundo el modulo Online para Powershell.

https://bposast.vo.msecnd.net/MSOPMW/Current/amd64/AdministrationConfig-es.msi

https://download.microsoft.com/download/7/6/9/7692D123-1389-4F3D-A928-4D31EC97FD6E/msoidcli_64.msi

Una vez descargados e instalados importamos el modulo

Import-Module MsOnline

Introducimos credenciales

$credential = Get-credential

Nos conectamos

Connect-Msolservice -Credential $credential

Verificamos que estamos en el dominio correcto

Get-MsolDomain

Continue reading “Habilitado de IRM en Exchange Online”

Actualizando Active Directory desde Windows Server 2008 R2 – Migracion de FSR a DFS – R

Hola en esta entrada vamos a actualizar nuestro dominio desde una versión 2008 R2 a 2016, introduciendo controladores de dominio Windows Server 2016. Lo primero como casi siempre que metemos nuevos controladores de dominio de nuevas versiones, es actualizar el esquema de Directorio Activo. Para ello necesitaremos los derechos dados por los grupos Enterprise Administrators y Schema Administrators.

Nos ponemos en nuestro nuevo Windows Server que va a actuar como controlador de dominio y bajo powershell con credenciales de administrador ejecutamos:

.\adprep /forestprep

A continuación, en cada dominio del bosque ejecutamos

.\adprep /domainprep

Una vez hecho instalamos el rol de Servicios de dominio de Active Directory. Esto es idéntico a cuando trabajábamos con Windows Server 2012 de igual forma que la promoción así que vamos a saltarnos esta parte.

Promocionamos el nuevo DC dentro de un dominio existente

 

Al finalizar el asistente nos muestra un warning por la replicación de archivos de nuestros DC. Estos controladores de dominio venían heredados de Windows Server 2003 y en su momento no se hizo el cambio de FSR a DFS-R.

Como solución vamos a hacer el proceso de migración de FSR a DFS-R

El proceso es sencillo, aunque tardara más o menos tiempo dependiendo del número de controladores y de los tiempos de replicación entre los sites. El proceso consiste en ir poniendo los controladores en el siguiente estado y espera a que ese estado replique. Continue reading “Actualizando Active Directory desde Windows Server 2008 R2 – Migracion de FSR a DFS – R”

Powershell Exportación de usuarios Directorio Activo

En este post vamos a exportar mediante Powershell los usuarios de Directorio Activo a un archivo CSV. Este proceso puede seros útil cuando estéis moviendo usuarios de un dominio a otro para lo cual necesitareis un script de importación que os pondré en el próximo post.

Aquí os va el script:

#Path base donde dejar todos los ficheros y realizar la búsqueda de los que se necesiten.

#Aqui debe de residir el script.

#Ejemplo C:\Script\*.*

 

$path
=
Split-Path
-parent
“c:\script\*.*”

 

#Fecha para el TimeStamp del Log.

 

$LogDate
=
get-date
-f
yyyyMMddhhmm

 

#Ubicacion de los ficheros CSV y Log

#Deben de estar en la misma ubicacion que el script.

 

$csvfile
=
$path
+
“\ALLADUsers_$logDate.csv”

 

#Importamos el módulo de Acive Directory

 

Import-Module
ActiveDirectory

 

#Path DN donde residen los usuarios a exportar

#Ejemplo “OU=Usuarios,DC=dominio,DC=local”

 

$SearchBase
=
“DC=dominio,DC=local”

 

#Get Admin accountb credential

 

$GetAdminact
=
Get-Credential

 

#Controlador de dominio

#Ejemplo DC1

 

$ADServer
=
‘DC1’

 

 

#Buscamos todos los usuarios basados en los parámetros anteriores

 

$AllADUsers
=
Get-ADUser
-server
$ADServer `

-Credential
$GetAdminact
-searchbase
$SearchBase `

-Filter
*
-Properties
*

 

#Filtramos atributos mostrar

$AllADUsers
|

Select-Object @{Label =
“Nombre”;Expression = {$_.GivenName}},

@{Label =
“Apellidos”;Expression = {$_.Surname}},

@{Label =
“DisplayName”;Expression = {$_.DisplayName}},

@{Label =
“SAM”;Expression = {$_.sAMAccountName}},

@{Label =
“Direccion”;Expression = {$_.StreetAddress}},

@{Label =
“Ciudad”;Expression = {$_.City}},

@{Label =
“Estado”;Expression = {$_.st}},

@{Label =
“Codigo Postal”;Expression = {$_.PostalCode}},

@{Label =
“Pais/Region”;Expression = {if (($_.Country -eq
‘ES’) ) {‘España’} Else {}}},

@{Label =
“Titulo”;Expression = {$_.Title}},

@{Label =
“Compañia”;Expression = {$_.Company}},

@{Label =
“Descripcion”;Expression = {$_.Description}},

@{Label =
“Departamento”;Expression = {$_.Department}},

@{Label =
“Oficina”;Expression = {$_.OfficeName}},

@{Label =
“Telefono”;Expression = {$_.telephoneNumber}},

@{Label =
“Email”;Expression = {$_.Mail}},

@{Label =
“Administrador”;Expression = {%{(Get-AdUser
$_.Manager -server $ADServer
-Properties
DisplayName).DisplayName}}},

@{Label =
“Estado de cuenta”;Expression = {if (($_.Enabled -eq
‘TRUE’) ) {‘Enabled’} Else {‘Disabled’}}},

@{Label =
“Ultimo inicio de sesion”;Expression = {$_.lastlogondate}} |

 

#Exportamos a CSV

Export-Csv
-Path
$csvfile
-NoTypeInformation


 

Windows Server 2016 – Controlador de dominio

Ya tocaba, hacía mucho que no escribía ya que el día a día le come a uno el tiempo, pero he sacado algo de tiempo y aquí lanzo una de mis primeras entradas sobre Windows Server 2016. En este caso vamos a montar un nuevo Domain Controller en 2016 para más tarde ver las novedades en Active Directory que nos presenta este 2016. La creación de un Domain controller es prácticamente idéntica a un 2012 R2 pero con matices, debido a sus nuevas funcionalidades.

Empezamos como es habitual desde 2012, añadiendo roles y características

Continue reading “Windows Server 2016 – Controlador de dominio”

Azure Active Directory vs Windows Server AD en Azure

Uno de los elementos básicos cuando quiero trabajar con Azure o aplicaciones online es la administración de identidad de los usuarios o lo que es lo mismo como autentico a usuarios para que accedan a esas aplicaciones. Cuando trabajamos onpremise esta fase es relativamente sencilla ya que la mayoría de la gente está acostumbrada a trabajar con Active Directory. Pero ¿y en la nube de Azure? ¿Cómo autentico yo a mis usuarios para que utilicen office 365 o CRM Online?

 

La respuesta a estas preguntas es la quiero plasmar en este artículo. A nivel de Azure existen dos opciones a la hora de administrar la identidad y el control de acceso, que son Azure Active Directory y Windows Server AD en Azure.

Lo primero que tenemos que decir es que no son excluyentes, es decir yo puede tener implementadas ambas soluciones dependiendo de mis necesidades. Detallo a continuación lo que es cada uno de ellos.

Azure Active Directory es la forma de administrar identidad y control de acceso que Microsoft tienes para sus aplicaciones SaaS, como Office 365, CRM Online, Onedrive… Decir que no penséis que solo se puedes utilizar para aplicaciones SaaS Microsoft, yo puedo utilizar Azure Active Directory para autenticarme contra Google Apps, Amazon Web Services, Dropbox … asi hasta un total de 2400 apps, pero no solo eso, incluso podría utilizarlo junto con Azure aplication proxy para autenticar las aplicaciones onpremises de mi empresa.

En cambio Windows Server Active Directory en Azure son la extensión de mi directorio activo onpremise en la nube de Azure, bien siendo parte de mi CPD de respaldo o bien porque tengo maquinas en Azure que necesitan de ese Active Directory para funcionar (Por ejemplo Navision).

¿y cómo conecto, y sincronizo todo esto? Pues la verdad es que más fácil de lo que uno se piensa. Azure Active Directory se sincroniza de forma muy sencilla con mi Active Directory OnPremise llamada Directory Sync. Esta conexión única, fiable y segura me permite sincronizar mis cuentas de Active Directory Onpremise con mis Saas en Azure, permitiendo autenticarme con un a única cuenta de usuario en todas aquellas aplicaciones SaaS asociadas sean o no de Microsoft.

En cambio sí utilizo Windows Server Active Directory tendré una conexión entre mi red local onpremise y la red virtual de Azure, mediante un conexión VPN o mediante ExpressRoute. Azure será un site más de directorio activo.

Netwrix Password Manager

Hola a todos de nuevo. La semana pasada fui padre por segunda vez y esa es la razón de que no hubiera ninguna entrada en el blog, pero si lo habrá esta semana. Hoy vamos a hablar de una herramienta gratuita de Netwrix llamada Password Manager. Esta herramienta permite a los usuarios restablecer contraseñas olvidadas y desbloquear sus cuentas personales a través del portal de autoservicio basado en la Web e integración con el proceso estándar del inicio de sesión de Windows. De forma gratuita permite trabajar con hasta 100 usuarios, si tu organización tiene más de 100 usuarios tendrás que optar por la edición estándar, la cual si es ya de pago.

Pero ¿Qué permite realizar esta herramienta? Esta herramienta permite que los usuarios restablezcan por sí mismos sus contraseñas olvidadas, sin necesidad de tener ningún software adicional implementado en el equipo del usuario, sino a través de un portal web puede administrar sus contraseñas. Decir que este self service portal es opcional, es decir puedo permitir o no a los usuarios el resetear sus contraseñas. Hay opción de instalar un pequeño cliente con el que se permite gestionar las contraseñas desde el propio sistema operativo.

Eso está bien por mi entender pero hay dos cosas más que podemos hacer con esta herramienta y son hacer que el equipo de Help Desk administre las contraseñas de usuarios; y que el administrador pueda forzar directivas de cumplimiento de contraseñas.

Esto significa que tedremos tres roles:

    End users

    Helpdesk

    Administrators

Una opción interesante de este producto es que es multidominio de Active Directory , es decir permite administrar varios dominios desde la misma consola. También permite gestionar Google Apps y SalesForce.

El portal de administración es sencillo de utiizar y se puede implementar de forma segura. Se puede montar en DMZ, con SSL y en cluster.

De igual manera la interfaz de gestión

Como mencione antes podemos instalar un pequeño cliente en los equipos mediante una directiva de grupo de Directorio Activo, que hace que se muestre al inicio de sesión la opción de recuperar contraseña.

En los próximos post profundizaremos un poco más en esta herramienta, pero merece la pena el probarla, además es gratis hasta 100 usuarios. Podéis descargarla aqui

Directory Sync – Sincronización de Active Directory con Office 365

En este artículo vamos a configurar la sincronización de Active Directory con Office 365, es el primer artículo desde que he empezado en Izertis. Estos días os he dejado un poco abandonados pero ahora que todo vuelve a la normalidad las entradas serán más frecuentes a las de los últimos meses.

Empezamos, una vez que hemos configurado el DNS público de mi organización en Office 365 podemos empezar a configurar la sincronización. Para ello iniciamos sesión con el administrador de Office 365 y seguimos los pasos de instalación de la sincronización de directorios.

Continue reading “Directory Sync – Sincronización de Active Directory con Office 365”

Netwrix – Alertas e informes sobre GPO, usuarios y restauración de objetos de AD

Hola, continuamos con los artículos sobre Netwrix y auditorias. Hoy vamos a ver como utilizar una parte de las cosas que vienen implementadas en este producto como la gestión de alertas, informes objetos de Active Directory, GPO y restauración de objetos eliminados.. Empezamos con las alertas, es decir puedo habilitar o deshabilitar alertas en tiempo real de mi Directorio Activo.

Dentro de Managed Objects – Active Directory – Rela Time Alerts me aparecen un conjunto de aletas que voy a poder habilitar o deshabilitar. Para Habilitar una alerta hag dobre clic sobre la misma y pulso sobre el check de Enable

Continue reading “Netwrix – Alertas e informes sobre GPO, usuarios y restauración de objetos de AD”

Error replicación SYSVOL: JRNL_WRAP_ERROR

Ayer tuve que solucionar un error en la replicación de la carpeta SYSVOL entre un controlador de dominio en Windows Server 2003 y otro controlador en 2008 R2 que se acababa de añadir como DC al dominio. El caso es que eses error llevaba tiempo y nunca nadie se había parado a preguntarse qué pasaba. Consultamos el visor de eventos y nos da un error del servicio de replicación de archivos como el de la imagen.

La solución a este error que hace que el controlador de dominio no replique su carpeta SYSVOL es relativamente sencilla. Consiste simplemente en modificar una entrada en el registro de Windows del servidor que contiene el error que por llamarlo así saca al DC del set de réplica.

Para ello modificamos la entrada en el registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Enable Journal Wrap Automatic Restore

Si no existe se crea y le damos valor 1

Reiniciamos el servicio de ntfrs, net stop ntfrs y después net start ntfrs.

Una vez realizado esperamos un tiempo a que el DC se entere de lo que pasa y volvemos a fijar el registro a Enable Journal Wrap Automatic Restore a 0.

Una vez realizado vamos al visor de eventos y comprobamos que todo se replica de forma correcta.

Migrar GPO entre dominios con GPMC

En este artículo vamos a ver cómo llevar GPO’s de un dominio de pruebas a un dominio de producción, o como migrar GPO´s de un dominio a otro. Lógicamente no se puede exportar una GPO de un dominio e importarla en otro directamente, ya que para empezar el dominio no coincide y ninguno de los objetos principales. Entonces ¿Qué hago?

Vamos a ver un paso a paso de cómo hacerlo. Para ello solo voy a utilizar la consola de Administración de Directivas de Grupo o GPMC. En mi laboratorio tengo dos dominios con un controlador cada uno de ellos.

Dominio origen – Controlador de dominio Origen

Lo primero que hacemos es un backup de las GPO’s a migrar en un controlador de dominio del dominio origen.

Continue reading “Migrar GPO entre dominios con GPMC”