Archivo de la categoría: Windows 7

Listar cuentas de servicio en nuestros servidores con Powershell.


Hola a todos,

Me he encontrado este post que tenía guardado desde hace …. un año o_O  . Otra píldora sobre Powershell, ese gran y desconocido amigo que nos hace las tareas administrativas mucho más fáciles.

“Hace poco (ahora hace un año!!!), me pidieron chequear con qué usuario se estaban ejecutando cada servicio en todos los servidores y me dije, esto con Powershell seguro que lo hacemos sin ningún problema”

Estube buscando como enfocarlo y pensé que si tenía la lista de todos los servidores podía volcarla  a un fichero de texto y, despues, chequear y obtener las cuentas que ejecutan los servicios. Eso es!!! 😀

Primero necesitamos un fichero txt con un listado de los servidores, en este caso no eran mas de 10 y lo denominaremos “Server_list.txt“, super ocurrentes los nombre que pongo 😉

Y también, había visto cómo obtener los servicios de un servidor, utilizando Get-WmiObject Win32_service para recuperar la información sobre un objeto de un servicio.

Hice un par de pruebas y me quedé con este script:

$server_names = Get-Content "C:Servers_list.txt"
Foreach ($server in $server_names){
Get-WmiObject Win32_service | Where-Object {$_.state -eq "Running"} | Group-Object -Property StartName | Format-Table $server,Name, Count -auto >> c:ServiceAccounts.txt
}

El resultado es un listado del número de servicios que cada usuario ejecuta en cada servidor. Et voilá!!!

De esta primera prueba se pueden hacer variaciones con permutaciones y obtener fantásticos resultados, detalle que os recomiendo encarecidamente y me los hagais llegar.

Que tengais muy buena semana….

Cómo configurar dirección IP primaria en Windows Server 2012.


Buenos dias,

Hace una semanas desde una empresa del Holding en el que trabajo, unos compañeros administradores me hacian una pregunta, en principio, algo extraña. “¿podemos configurar una dirección IP como primaria?” Pense que esto era una cuestión obvia, muy sencilla, pero según me iban explicando vi que las cosas habian cambiado.

Os pongo en antecedentes. Tenemos varios servidores que tienen múltiples direcciones IP, versión IPv4 por supuesto, en la misma tarjeta de red (NIC). Lo que pretendemos es garantizar que las comunicaciones salientes de dicho servidor se hagan a través de una dirección IP primaria o principal.

Esta situación ya ocurría en sistemas operativos como Windows 2000 y Windows Server 2003, bastaba con asegurarse de que la dirección IP que queriamos como primaria la asginásemos como la primera en la configuración de red del Panel de Control, como puede verse en el ejemplo, la dirección IP primaria será la 192.168.2.150.

Asi es como hé actuado yo sobre los nuevos sistemas operativos y veo que estaba equivocado.

El problema.

Todo cambió con la llegada de Windows server 2008 R2, el comportamiento a la hora de seleccionar la dirección IP está basado en las siguientes acciones:

  • Prefer same address.- Si la dirección IP de destino es la misma que una de las direcciones IP de origen, se utilizará esa misma dirección IP.
  • Prefer outgoing interface.- Se prefiere una dirección IP en la interfaz que envia el paquete.
  • Use longest matching prefix with the next hop IP address.- Se utlizará la dirección IP de origen conjuntamente al criterio de aquella dirección IP que tenga el bit de orden superior mas largo coincidente con la dirección IP de salto siguiente.
  • Use longest matching previx with the destination IP address.- Se utilizará la dirección IP de origen con el bit de orden superior mas largo a la dirección IP de destino.

En resumen, con este comportamiento Windows selecciona la dirección IP mas baja como dirección IP de origen. Podeis ver el KB969029 que lo explica. Me ha resultado complejo explicarlo.

La Solución.

Ya que no hay un checkbox junto a nuestras direcciones IP para indicar qué dirección IP es la primaria, o la origen, pues recurrimos a la shell.

Primero quitaremos todas las direcciones IP incluidas en nuestra pila IPv4 e iremos incluyendo de una en una a través del comando netsh especificando en aquellas que no queremos que contesten el parámetro skipassource=true

000700404

Os dejo un ejemplo:

netsh int ipv4 add address “DMZ” 10.10.10.10 255.255.255.0

netsh int ipv4 add address “DMZ” 10.10.10.20 255.255.255.0 skipassource=true

netsh int ipv4 add address “DMZ” 10.10.10.30 255.255.255.0 skipassource=true

netsh int ipv4 add address “DMZ” 10.10.10.40 255.255.255.0 skipassource=true

En este ejemplo, tenemos cuatro direcciones IPv4 en la misma tarjeta de red denominada DMZ y se utilizará como primaria siempre la dirección IP 10.10.10.10/24.

Este post se lo dedico a mis excompañeros de Infobolsa. Muy buena gente y muchos años trabajando con ellos.

Que tengais muy buen fin de semana.

Lecturas recomendadas:

Technet – Networking Blog.

KB969029

SecuraCloud.

Work Folders disponible ya para Windows 7.


Hoy voy a hablar de mi libro ….bueno de Work Folders. Si buscais por Internet encontrareis infinidad de posts sobre todo en los Blogs de Gurus de cómo se instala esta nueva característica (os dejo abajo unos cuantos) Pero,  ¿Qué es? ¿Cómo funciona? ¿En qué situación lo podemos aplicar? etcétera, etcétera.

Os lo voy a explicar muy rápidamente:

Work Folders, como su nombre indica, es un lugar donde almacenar nuestros ficheros de trabajo habituales independientemente del dispositivo desde el que estés trabajando, incluso cuando no estés conectado a la red (offline). Esta característica está orientada a la tendencia de utilizar para trabajar nuestros dispositivos personales (BYOD) y es aplicable a partir de entornos Windows Server 2012.

Muchos dirán, ahh! es un Dropbox pero de Windows o un OneDrive para la oficina. Pues es mas o menos cierto, lo único es que las redes y los dispositivos, en principio están controlados y una de las finalidades de Work Folders es tratar de evitar que la información y documentación salga de la empresa. Bien, aqui os dejo un cuadro explicativo de las diferencias con otras tecnologías similares:

Work Folders Offline Files OneDrive for Business OneDrive
Technology summary Syncs files that are stored on a file server with PCs and devices Syncs files that are stored on a file server with PCs that have access to the corporate network (can be replaced by Work Files) Syncs files that are stored in Office 365 or in SharePoint with PCs and devices inside or outside a corporate network, and provides document collaboration functionality Syncs personal files that are stored in OneDrive with PCs, Mac computers, and devices
Intended to provide user access to work files Yes Yes Yes No
Cloud service None None Office 365 Microsoft OneDrive
Internal network servers File servers running Windows Server 2012 R2 File servers SharePoint server (optional) None
Supported clients PCs and devices* inside or outside a corporate network PCs in a corporate network or connected through DirectAccess, VPNs, or other remote access technologies PCs, iOS, Windows Phone PCs, Mac computers, Windows Phone, iOS, Android

 

La última noticia que comparto con todos ustedes es que la semana pasada Microsoft puso a nuestra disposición un KB (kb2891638) para poder implementar esta característica a los clientes con Windows 7.

Requisitos:

  • En principio el único requisitos conocido es tener instalado el Service Pack 1 de Windows 7.
  • Obviamente el tener desplegado en tu infraestructura “Work Folders”.
  • Tener un cliente Windows 7 metido en el dominio donde hemos desplegado esta característica, logicamente.

Sistemas Operativos:

  • Windows 7 Enterprise.
  • Windows 7 Profesional.
  • Windows 7 Ultimate.

Tanto en versiones x32 como x64. Existen una serie de problemas ya conocidos y reportados:

WorkFoldersW7000002

Lecturas recomendadas sobre cómo implementar Work Folders en nuestra infraestructura:

http://media.ch9.ms/ch9/1ba0/3899970f-0a64-46c6-ab2a-761439b91ba0/WCA-B214.wmv

  • Introducción a Windows Server 2012 Work Folders en Channel 9.

http://media.ch9.ms/ch9/72c8/e01ca3ca-d551-48cc-a029-9a16a11672c8/WorkFolders.wmv

Buena semana a todos. En Madrid es cortita, como Semana Santa.

Restringir el tráfico RPC de los Controladores de Dominio a un puerto o puertos determinados.


Como sabreis, gran parte de la comunicación entre Controladores de Dominio (DC), se realiza a través de RPC (técnica para la comunicación entre procesos en una o más computadoras conectadas a una red). Este tráfico RPC puede ser motivado por distintos servicios que se ejecuten en nuestros DC, como pueden ser:

  • DHCP.
  • Replicación de Directorio Activo.
  • Replicación FRS.
  • WINS.
  • Promoción de un Controlador de Dominio,
  • etc.

¿Cómo funciona RPC?

Para empezar una comunicación RPC,  el cliente se conecta al puerto TCP 135 del servidor y solicita un puerto al End Point Mapper (EPM). El EPM del servidor reserva un puerto, denominado puerto dinámico, para este cliente y se lo envía. A partir de este punto, el cliente abre una nueva conexión TCP a dicho puerto del servidor y comienza la comunicación. Aqui os dejo un gráfico sobre un proceso Cliente/Servidor de RPC:

Estos puertos dinámicos RPC, también conocidos como puertos efímeros se distribuyen de la siguiente manera, dependiendo del sistema operativo:

  • Hasta Windows 2003/XP (del 1025 al 5000) = 3976 puertos en total.
  • Desde Windows 2008/Vista (del 49152 al 65535) = 16.384 puertos en total.

Hasta aqui todo correcto, pero ¿qué ocurre en zonas desmilitarizadas o DMZ dónde tenemos restringidos determinado tráfico y puertos?

Los puertos que generalmente utilizan los Controladores de Dominio en los servicios básicos son los siguientes:

Service Port/protocol
RPC endpoint mapper 135/tcp, 135/udp
Network basic input/output system (NetBIOS) name service 137/tcp, 137/udp
NetBIOS datagram service 138/udp
NetBIOS session service 139/tcp
RPC dynamic assignment Win 2k/2003:1024-65535/tcp
Win 2008+:49152-65535/tcp
Server message block (SMB) over IP (Microsoft-DS) 445/tcp, 445/udp
Lightweight Directory Access Protocol (LDAP) 389/tcp
LDAP ping 389/udp
LDAP over SSL 636/tcp
Global catalog LDAP 3268/tcp
Global catalog LDAP over SSL 3269/tcp
Kerberos 88/tcp, 88/udp
Domain Name Service (DNS) 53/tcp1, 53/udp

Asi que nuestros Firewalls tendrán que tener abierto estos puertos para la comunicación entre DCs y clientes pero ¿qué ocurre con el tráfico RPC si hemos dicho que es dinámico? El hecho de tener que abrir un rango tan grande de puertos en el Firewall implica aumentar el riesgo de ataque ya que son 16384 puertos los que se exponen. Posible solución: restringir dicho tráfico a un número fijo de puerto o puertos.

Nosotros, por ejemplo, lo que queremos es forzar el tráfico RPC entre los puertos 5000-5100. Recordar, que es necesario y como mínimo, dejar un rango de 100 puertos consecutivos para un mejor funcionamiento y evitar cuellos de botella.

RPCPORTS00001

Tenemos tres métodos de realizarlo, dependerá de los servicios que queramos restringir:

Método 1 – Entradas en el registro sobre la configuración de los servicios de replicación de Directorio Activo.

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters y añadimos la clave DWORD TCP/IP Port con el valor del puerto que queremos utilizar (incluyendo los espacios en blanco).
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters y añadimos la clave DWORD DCTcpipPort con el valor del puerto que queremos utilizar (incluyendo los espacios en blanco).

Método 2 – Para configurar en el Servicio Firewall de Windows el rango de puertos (para Windows 2008/Vista en adelante):

  • netsh int ipv4 set dynamicport tcp start=5000 num=1000
  • netsh int ipv4 set dynamicport udp start=5000 num=1000
  • netsh int ipv6 set dynamicport tcp start=5000 num=1000
  • netsh int ipv6 set dynamicport udp start=5000 num=1000

RPCPORTS00002

Y para verificar que está configurado:

  • netsh int ipv4 show dynamicport tcp
  • netsh int ipv4 show dynamicport udp
  • netsh int ipv6 show dynamicport tcp
  • netsh int ipv6 show dynamicport udp

RPCPORTS00003

Método 3 – Para los servicios de comunicaciones de Windows. También afecta a las comunicaciones de Directorio Activo. Volvemos a trabajar en el Registro:

 HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

  1. REG_MULTI_SZ: 5000-5100
    PortsInternetAvailable: REG_SZ: Y
    UseInternetPorts: REG_SZ: Y

Espero que os sea util. En un próximo post utilizaremos la herramienta “PortQuery” para verificar el tráfico RPC entre controladores de dominio.

Bibliografia:

>¿Cómo resetear la password de Master o Administrator en entornos Windows?


>Hoy por casualidad en el LinkeIn he visto que alguien preguntaba “He perdido mi password de Administrador del dominio, qué hago?”.

Esto, normalmente, en cualquier entorno ya se Linux, Windows, Host, MainFrame, etc., es un problema importante, ya que el usuario con mas privilegios del mundo mundial en tu infraestructura no está controlado!!! Vamos, que has perdido tus superpoderes!!! Que ya no eres Superguerrero de nivel 4!!!.

En algunas empresas dirian “estamos en crisis!” o “esto es una crisis!”……. o “qué es lo qué es?”.

¿Cómo solucionarlo? Aqui te dejo un par de videos tutoriales de Youtube y seguire buscando.

Este primero es bastante interesante por su forma de solucionarlo:

Este segundo es utilizando un producto denominado Active@ Change Password

Hay otras formas de solucionar los problemas.

Suerte a todos aquellos que hos haya pasado esto!!!.

Robezno.

Deshabilitar el estado de Hibernación de un Servidor.


Hoy me he encontrado con problemas de espacio en Disco en un servidor y he descubierto que estaba habilitado el “estado de hibernación” del mismo!!!!!

¿Cómo deshabilitarlo?
1. Abrimos una consola de comandos como administrador, si no lo somos.
2 escribimos “powercfg -h off”
3 Pulsamos Intro y ya está.

Fácil, rápido y con espacio en disco.

Nos vemos.

Manejo de ficheros VHD con Windows 7 y Windows Server 2008 R2.


Hola a tod@s,

¿Qué son los ficheros VHD? O mejor dicho con extensión .vhd. Es el acrónimo de Virtual Hard Disk, o sea, Disco Duro Virtual. Este es el formato que los diferentes productos de Virtualización de Microsoft, como Hyper-V o Virtual PC, utilizan para crear los discos duros.

También recordar que es el formato en el que, a partir de Windows Server 2008, se guardan los Backups de los equipos utilizando Windows Server Backup, recordar una entrada antigua en el Blog.

Bien, pues tenemos las siguientes opciones: crear, asignar y montar este tipo de ficheros ¿cómo?

Lanzamos una consola de Gestión de discos de nuestro Windows 2008 o Windows 7 (por ejemplo desde la línea de comandos ponemos diskmgmt.msc). Esta es nuestra consola:

En el menú Acción nos aparecen las nuevas opciones Crear VHD y Exponer VHD. Yo prefiero decir Asignar o montar VHD, creo que es más correcto.

Creamos un VHD. En este caso indicamos la ruta de nuestro equipo en la que se ubicará el fichero VHD, el tamaño y el formato. Tenemos dos opciones, de Expansión dinámica o Tamaño fijo:

En la consola de Discos ahora nos aparece el nuevo disco de 30 GB al que tenemos que

Inicializamos disco, creamos un nuevo volumen, le asignamos unidad y le damos formato con el Wizard (un clásico):

Nos aparece un mensaje de la detección de un nuevo dispositivo e instalación de los drivers necesarios en la barra de tareas, que si no os da tiempo a verlo, lo podéis verificar en el administrador de dispositivos, que se ha instalado un nuevo controlador de almacentamiento:

En este otro caso asignaremos un fichero ya creado. Desde el Menu de Acción seleccionaremos “Exponer VHD”. Asignaremos el disco y, ojo, nos deja la posibilidad de montar dicho disco pero sólo en lectura:

Aceptamos

Y ya podemos trabajar con él. Muy sencillo.

Para desconectar el disco virtual… podemos hacerlo de diferentes maneras:

Desde el administrador de discos:

¡Ojo! Con seleccionar la opción de “Eliminar el archivo del disco duro virtual tras quitar el disco”. Queda muy claro lo que hace:

Desde los dispositivos conectados:

Muy interesantes, ¿verdad?. Podemos montar estas unidades de disco virtual y sacar información de ellas, corregirla, modificarla o borrarla y luego volver a asignarla a una Máquina Virtual.

Nos vemos.

Instalación de Windows 7 en un Notebook desde un disco USB.


Aprovechando que “Pablito” me soltó su Notebook limpito, vamos, sin nada de nada, pues hacemos un “howto” sobre cómo realizar la instalación de Windows 7 desde un Pendrive, ya que estos equipos vienen sin DVD/CD.

Requerimientos:

  • Disco USB (mínimo 4GB)
  • CD/DVD de instalación de Windows 7 o Vista.

Tenemos dos formas bien diferentes de realizar dicha instalación. Método tradicional o con la Herramienta de descarga USB DVD de Windows 7. Pasos a seguir:

  • Opción tradicional (aunque suene mal).- Prepararemos el Pendrive como un disco de arranque.

    • Utilizaremos la utilidad diskpart para limpiar las particiones, formatearlo y asignarle una letra, por ejemplo, la D, al disco USB. Ejecutamos el comando cmd como administradores, nos aparecerá una ventana de comandos, ejecutaremos el comando “Diskpart” y las siguientes opciones:

    • Posteriormente, insertamos el CD/DVD de Windows 7 y ejecutaremos desde la línea de comando las siguientes instrucciones:

    • Para, finalmente, copiar los ficheros necesarios para la instalación del Sistema Operativo:

    • Descargamos e instalamos dicha herramienta.
    • Lanzamos dicho programa y seguimos instrucciones

      Seleccionamos la ISO donde tenemos el sistema operativo

      Elegimos el destino de la copia de los ficheros, en nuestro caso el Dispositivo USB

      Seleccionamos dicho dispositivo USB y….. “Empezar a copiar”

  • Instalación del sistema operativo.- Instalación habitual de un sistema operativo, en este caso Windows 7. En ambos casos es idéntica.

    Cuando inicie el sistema operativo, seleccionaremos (F12 en mi caso) el disco USB que hemos preparado para la instalación:

    Y a seguir los pasos ……

De todas maneras, hay mucha documentación en la red.

Suerte y nos vemos,

masrobeznoquenunca

Comparto lo que hago y lo que veo.

El camino de un ITPro

El camino de un ITPro

adumont

Just another WordPress.com weblog

Marco Antonio's space

Una mirada dentro de mis ratos libres...

Marcelo Ruiz

Network and SocialMedia

A Digital Frontier...

Blog personal de Robert Garrandés Simancas ("Versión Beta")

enero11

Literatura para romper el tiempo.

A %d blogueros les gusta esto: