AD Rights Management Server

Uno de los grandes desconocidos de  la infraestructura de directorio de Windows es el AD RMS. El AD RMS utiliza certificados o tokens a sociados a archivos para determinar si un usuario tiene o no, el derecho de abrir un documento, modificarlo etc … Esto que parece lo mismo que la asignacion de permisos en NTFS, no tiene nada que ver ya que el ambito va mas alla del propio Active Directory, incluso si paso los archivos a formato FAT o me los llevo fuera del bosque de AD, sigue vigente.ADRMS1

En la siguiente imagen se ilustra como funciona.

1- El usuario se autentica ante el ADRMS a traves de ADDS. Recibe lo que se llama el RAC. El RAC no es mas que el certificado de derechos para la cuenta.

2-El usuario crea contenido con la aplicacion que soporta ADRMS. Ejemplo: Microsoft Office

3-El usuario o bien asigna sus derechos o bien aplica y una plantilla de directiva a sus documentos.

4-AD RMS cifra el contenido del documento a traves de una clave publica.

5- Otros usuarios trabajan con la misma aplicacion que soporta AD RMS

6- Estos usuarios a traves de su autenticacion en el AD RMS solicitan al mismo el poder ver el contenido del documento. Para ello solicitan las licencias de uso.

7- Si el usuario tiene derecho entonces la licencia es emitida y el usuario accede al documento; sino el acceso es denegado.

8-Esa licencia de acceso al contenido del fichero concedida por el AD RMS permanece a lo largo del tiempo para el usuario.

Componentes necesarios para AD RMS.

1- Un controlador de dominio de AD DS en un bosque con al menos un dominio raiz.

2- Una entidad certificadora para el dominio.

3- Un servidor web (IIS) con certificado montado.

4- (Opcional aunque recomendable) Un servidor SQL Server para almacenar la base de datos.

Esquema:

Esquema ADRMSGuia Paso a Paso (Formato pdf):  Practica AD RMS



TS Gateway 2008

El  TSGateway es un elemento opcional al Terminal Server que permite establecer sesiones remotas a traves del puerto 443 con comunicaciones sobre SSL, pudiendo asi atravesar cortafuegos que tengan abiertos puertos comunes como el 443.

 

Esquema TSGateway
Esquema TSGateway

En la figura se puede ver como el usuario remoto se conecta al servidor de Terminal mediante una sesion SSL o lo que es lo mismo mediante RDP sobre SSL. El punto clave esta en el servidor intermedio donde esta instalado el TSGateway que sirve como punto intermedio entre el usuario y el servidor de Terminal o el intermedio entre SSL y RDP.

 

TSGateway e ISA
TSGateway e ISA

Otra opcion que se puede tomar es interponer un servidor de ISA como elemento terminador de las conexiones HTTPS del cliente sirviento como elemnto intermedio entre el TSGateway y el cliente.

Instalacion automatizada prerequisitos Exchange Server 2007

En el siguiente enlace se explico como automatizar la instalación de los prerequisitos de uno o varios servidores de Exchange 2007. En este articulo del Technet  http://technet.microsoft.com/en-us/library/bb691354.aspx muestra como crear unos scripts para instalar los prerrequisitos de Exchange 2007 y de Windows Server 2008 para instalar la función que nos interese de Exchange 2007 vía línea de comandos. Con esta web te puedes generar unos archivos XML de respuesta con los que instalar aquello que necesites.

Descripción de los archivos XML:
Exchange-Base.xml – Este XML instala los componentes comunes usados por la mayoría de los roles de Exchange 2007. Es recomendado reiniciar el servidor.
Exchange-MBX.xml – Instala los prerrequisitos del servidor con la función de buzón.
Exchange-CAS.xml – Instala el resto de prerrequisitos para la función de acceso de cliente.
Exchange-Edge.xml – Instala el resto de prerrequisitos para la función de transporte perimetral. Exchange-UM.xml – Instala los prerrequisitos para la función de mensajería unificada.
Exchange-ClusMBX.xml – Instala los  requisitos para la función de buzón con clúster, además del clúster de alta disponibilidad.
El rol de Concentrador de transporte no necesita prerrequisitos, así que no necesita un XML específico a parte del Exchange-Base.xml.
Para ejecutar la instalación mediante archivos de respuesta se ejecutará de la siguiente forma:

ServerManagerCmd -ip RUTA<Exchange-role>.XML

Contenido de los archivos XML:

Exchange-Base.xml

<!– ServerManagerCmd Answer File compatible with Windows Server 2008       –>
<!– Usage: ServerManagerCmd -ip Exchange-Base.xml                –>

<ServerManagerConfiguration
Action=”Install”
xmlns=”http://schemas.microsoft.com/sdm/Windows/ServerManager/Configuration/2007/1″>

<!– BASE: Install PowerShell feature –>
<Feature Id=”PowerShell”/>

<!– PREPARESCHEMA: Install LDIFDE and other directory tools –>
<Feature Id=”RSAT-ADDS”/>
</ServerManagerConfiguration>

Exchange-CAS.xml

<!– ServerManagerCmd Answer File compatible with Windows Server 2008         –>
<!– Usage: ServerManagerCmd -ip Exchange-CAS.xml                –>

<ServerManagerConfiguration
Action=”Install”
xmlns=”http://schemas.microsoft.com/sdm/Windows/ServerManager/Configuration/2007/1″>

<!– Install the Web Server role with additional child components –>
<Role Id=”Web-Server”/>
<RoleService Id=”Web-Metabase”/>
<RoleService Id=”Web-Lgcy-Mgmt-Console”/>
<RoleService Id=”Web-ISAPI-Ext”/>

<!– Install the three authentication types for OWA, GZip compression, plus Outlook Anywhere support –>
<RoleService Id=”Web-Basic-Auth”/>
<RoleService Id=”Web-Digest-Auth”/>
<RoleService Id=”Web-Windows-Auth”/>
<RoleService Id=”Web-Dyn-Compression”/>
<Feature Id=”RPC-over-HTTP-proxy”/>
</ServerManagerConfiguration>

Exchange-ClusMBX.xml

<!– ServerManagerCmd Answer File compatible with Windows Server 2008         –>
<!– Usage: ServerManagerCmd -ip Exchange-ClusMBX.xml                –>

<ServerManagerConfiguration
Action=”Install”
xmlns=”http://schemas.microsoft.com/sdm/Windows/ServerManager/Configuration/2007/1″>

<!– Install clustering support –>
<Feature Id=”Failover-Clustering”/>

<!– Install the Web Server role with default child components –>
<Role Id=”Web-Server”/>

<!– Install the optional IIS6 Metabase and console –>
<RoleService Id=”Web-Metabase”/>
<RoleService Id=”Web-Lgcy-Mgmt-Console”/>
<RoleService Id=”Web-ISAPI-Ext”/>

<!– Install auth types for DAV support –>
<RoleService Id=”Web-Basic-Auth”/>
<RoleService Id=”Web-Windows-Auth”/>
</ServerManagerConfiguration>

Exchange-Edge.xml

<!– ServerManagerCmd Answer File compatible with Windows Server 2008         –>
<!– Usage: ServerManagerCmd -ip Exchange-Edge.xml                –>

<ServerManagerConfiguration
Action=”Install”
xmlns=”http://schemas.microsoft.com/sdm/Windows/ServerManager/Configuration/2007/1″>

<!– Install AD Lightweight Directory Services (aka ADAM) –>
<Role Id=”ADLDS”/>
</ServerManagerConfiguration>

Exchange-MBX.xml

<!– ServerManagerCmd Answer File compatible with Windows Server 2008         –>
<!– Usage: ServerManagerCmd -ip Exchange-MBX.xml                –>

<ServerManagerConfiguration
Action=”Install”
xmlns=”http://schemas.microsoft.com/sdm/Windows/ServerManager/Configuration/2007/1″>

<!– Install the Web Server role with default child components –>
<Role Id=”Web-Server”/>

<!– Install the optional IIS6 Metabase and console –>
<RoleService Id=”Web-Metabase”/>
<RoleService Id=”Web-Lgcy-Mgmt-Console”/>
<RoleService Id=”Web-ISAPI-Ext”/>

<!– Install auth types for DAV support –>
<RoleService Id=”Web-Basic-Auth”/>
<RoleService Id=”Web-Windows-Auth”/>
</ServerManagerConfiguration>

Exchange-UM.xml

<!– ServerManagerCmd Answer File compatible with Windows Server 2008         –>
<!– Usage: ServerManagerCmd -ip Exchange-UM.xml                –>

<ServerManagerConfiguration
Action=”Install”
xmlns=”http://schemas.microsoft.com/sdm/Windows/ServerManager/Configuration/2007/1″>

<!– Install the Windows Media Player components –>
<Feature Id=”Desktop-Experience”/>
</ServerManagerConfiguration>

Windows Server 2008 EFS

Aqui os muestro un video de como cifrar ficheros con EFS en Windows XP. No es mucha cosa, pero me sirve de introduccion al post  de creacion de un Agente de Recuperacion de EFS a traves de un Entidad Certificadora Enterprise link: Agente de Recuperacion EFS

httpv://www.youtube.com/watch?v=f8ko5t088uU

 



 

 

 

 


Administrando Microsoft Hyper-V 2008 desde Windows Vista

Para poder administrar el servidor de Microsoft Hyper-V 2008 desde Windows Vista debemos de tener para empezar el SP1 par Windows Vista. Cuando lo instaleis si no lo teniais tomaroslo con calma, tarda casi una hora. Una vez instalado debemos de instalar las RSAT (Remote Server Administration Tools).Una vez instaladas estas debo de instalar al heramienta de administracion de Hyper-V que viene aparte, ya que cuando salieron RSAT no habia Hyper-V.Cuando las tengamos instaladas no vamos a ver nada, sino que tenemos que ir a Panel de Control, Programas y Caracterisiticas y a Activar/Desactivar componentes de Windows. Hay Buscamos herraminetas administrativas y las instalamos.

rsat1rsat2
Ahora vamos a Panel de Control Herramientas administrativas y ya tenemos la consolade Administracion Remota de Hyper-V.
rsat3

SSTP VPN Acceso Remoto

VPN SSTP es un  nuevo tipo de VPN de acceso remoto que permite una conexion VPN por SSL de HTTPS, o lo que es lo mismo encapsula trafico PPP sobre un canal SSL. Esto le permite atravesar Firewalls donde las conexiones VPN por PPTP o L2TP esten prohibidas. SSTP utilizara el puerto 443 para atravesar los firewalls y a traves de SSL tenemos cifrado,  autenticacion y negociacion de claves.

El funcionamiento es el siguiente:

Cuando un usuario en un equipo con Server 2008 o Vista SP1 inicia una conexion VPN SSTP sucede lo siguiente:

1.  EL cliente SSTP client establece una conexion TCP con el servidor SSTP entre un puerto dinamico del cliente y el puerto 443 del servidor.

2.   El cliente  SSTP envia un SSL Client-Hello , indicando que el cliente quiere crear una sesion SSL con el servidor.

3.   EL servidor  SSTP envia su certificado de maquina al cliente.

4.   El Cliente SSTP valida el certificado de equipo, determina el metodo de cifrado para la sesion SSL, genera una clave para la misma y cifra esta con la clave publica del certificado del servidor SSTP, y a continuacion lo envia al servidor.

5.   El servidor  SSTP descifra la clave de sesion SSL mandada por el cliente con su clave privada. Todas las comunicaciones posteriores se realizan ya con la nueva clave negociada.

6.   El cliente  SSTP envia una peticion de HTTP sobre SSL al servidor de SSTP.

7.   El cliente SSTP negocia un tunel SSTP con el servidor SSTP.

8.   El cliente SSTP negocia una conexion PPP con el servidor SSTP .Esta negociacion incluye  las credenciales de autenticacion del usuario, el metodo de autenticacion y la configuracion de IPv4 e IPv6.

9.   El cliente SSTP comienza a enviar trafico IPv4 o IPv6 sobre el enlace PPP.

Aqui os dejo un Step-By-Step de Microsoft Paginas Blancas.

Acceso Remoto por SSTP VPN


VPN de acceso por PPTP,L2TP y EAP-TLS con Windows Server

Aquí os dejo un .doc de Microsoft con un ejemplo de configuración de un servidor 2003 con servidor de entrada para VPN de acceso a través de PPTP,L2TP y EAP-TLS. El ejemplo también es aplicable a Windows 2008 Server ya que la consola de Enrutamiento y acceso remoto no a cambiado nada desde Windows Server 2003. Lo unico que ha cambiado es la instalacion de la entidad certificadora y del IIS en Server 2008 que como sabéis es un poco distinta. El documenrto pertenece a las pagina blancas de Microsoft. Espero que os sirva de ayuda.

VPNRemoteAccess



 

 

Configuracion de una VPN con Server 2008

Video para la creacion deun pequeña VPN de acceso remoto entre un cliente y un Windows Server 2008

[tube]nTVyEpNS_zE[/tube]

En los próximos días iré dejando unas entradas de como montar una VPN vía PPTP,L2TP y SSTP, hasta entonces aquí tenéis un bonito vídeo.



Certificaciones Microsoft

Las nuevas certificaciones de Microsoft se dividen en dos niveles. MCTS (Microsoft Certified Technology Specialist) y MCITP (Certificaciones Microsoft para profesionales IT). Los MCITP se obtienes a partir de un conjunto de MCTS, y cada MCTS se obtiene por cada examen realizado en alguna tecnologia.

Certificaciones Microsoft para profesionales TI (MCITP)

Microsoft Certified Technology Specialist (MCTS)

Las certificaciones MCITP son

• IT Professional: Business Intelligence Developer
• IT Professional: Business Intelligence Developer 2008
• IT Professional: Consumer Support Technician
• IT Professional: Database Developer
• IT Professional: Database Developer 2008
• IT Professional: Database Administrator
• IT Professional: Enterprise Messaging Administrator
• IT Professional: Enterprise Project Management with Microsoft Office Project Server 2007
• IT Professional: Enterprise Support Technician
• IT Professional: Enterprise Administrator
• IT Professional: Server Administrator

Os adjunto el link en el cual podéis obtener información sobre las nuevas certificaciones IT de Microsoft. Es la pagina en castellano y espero que os pueda ayudar a resolver cualquier duda.