Página principal Sobre mi Premios recibidos Links de Interés Contacto Blogs de referencia

Translate

miércoles, 28 de noviembre de 2018

GPO: Modificar la tolerancia máxima para la sincronización del reloj.

En el laboratorio de hoy, vamos a ver como podemos modificar la Tolerancia máxima para la sincronización de los relojes de los equipos unidos a nuestro dominio de Active Directory usando las directivas de grupo.

Por defecto, el valor establecido para la Tolerancia máxima para la sincronización de los relojes de los equipos viene definido en la Default Domain Policy de nuestro dominio de Active Directory. En nuestro laboratorio, crearemos una nueva directiva de grupo vinculada a nivel de dominio, que modifique el valor por defecto establecido en la Default Domain Policy.

En primer lugar, abriremos una nueva ventana de la Administración de directivas de grupo.

En el árbol de Administración de directivas de grupo, situado en la parte lateral izquierda de la consola, desplegaremos la rama que tenga el nombre de nuestro dominio. En nuestro laboratorio se llamará DOM.LOCAL.

En su interior buscaremos la carpeta llamada Objetos de directiva de grupo. Lo seleccionaremos con el botón derecho de nuestro ratón para desplegar el menú y seleccionaremos la opción llamada Nuevo.

Aparecerá una nueva ventana emergente llamada Nuevo GPO, introduciremos un nombre para identificar la nueva directiva de grupo que vamos a crear.


domingo, 25 de noviembre de 2018

GPO: Restaurar Default Domain Policy a sus valores por defecto.

En el laboratorio de hoy, vamos ha ver como restaurar la directiva de grupo llamada Default Domain Policy a sus valores por defecto.

También, podéis acceder al canal de YouTube de Pantallazos.es, donde encontrareis un vídeo tutorial en el restauramos la directiva de grupo Default Domain Policy a sus valores por defecto.


Podéis acceder y suscribiros al canal de Youtube de Pantallazos.es en el enlace que mostramos a continuación:

La Default Domain Policy es una directiva con configuraciones de seguridad, que se crea cuando promocionamos nuestro primer controlador de dominio al crear un nuevo bosque de Active Directory y se aplica de forma predeterminada a todas las máquinas y usuarios de nuestro nuevo dominio.  

Esta directiva de grupo, como buena practica, no la tendríamos que variar nunca sus definiciones. En su lugar, si necesitamos modificar los valores establecidos por defecto por la Default Domain Policy, tendríamos que crear una nueva GPO vinculada a nivel de dominio, que varíe los valores que ha establecido la Default Domain Policy.

A continuación encontrareis un enlace que os dirigirá a un ejemplo de lo anteriormente comentado:
Por desgracia, muchos administradores de sistemas desconocían esto, cuando apareció Microsoft Windows Server 2000 y los servicios de Dominio de Active Directory.

Por esta razón, en la actualidad podemos encontrar una Default Domain Policy muy tocada en nuevos servidores Microsoft Windows 2016. Todas las directivas de grupo son migradas cuando cambiamos de controlador de dominio.

Para restablecer al estado inicial la Default Domain Policy usaremos el comando dcgpofix.exe.

En primer lugar, tendríamos que hacer una copia de seguridad de nuestra Default Domain Policy. De este modo, podremos volver atrás si algo no funcionara después de la restauración.

Podéis acceder al canal de YouTube de Pantallazos.es, donde encontrareis un vídeo tutorial en el que realizaremos una copia de seguridad de nuestras GPO, en concreto respaldaremos la Default Domain Policy de nuestro dominio de Active Directory.



Encontrareis, en el enlace siguiente, el tutorial de nuestro blog donde podréis consultar como poder realizar copia de seguridad de la Default Domain Policy de nuestro dominio.


Seguidamente, abriremos una nueva ventana de la consola de símbolo del sistema de Microsoft Windows con permisos de administrador en el controlador de dominio de nuestra infraestructura.


miércoles, 21 de noviembre de 2018

Windows Server 2012/16: El valor predeterminado Tombstone lifetime (TSL) permanece en 60 días en lugar de aumentar a 180 días.

Cuando se elimina un objeto de un dominio de Active Directory, como una cuenta de usuario o un equipo, el objeto permanece almacenado en el directorio durante un período de tiempo de gracia conocido como Tombstone lifetime.

Tombstone lifetime es el número de días que pasarán antes de que un objeto eliminado se elimine de definitivamente de los servicios de directorio. Esto ayudará a eliminar objetos de servidores replicados y evita que las restauraciones reintroduzcan un objeto eliminado. Este valor está en el objeto Servicio de directorio en la configuración NIC.

En Microsoft Windows server 2000 y Windows Server 2003 RT, el tiempo predeterminado de Tombstone lifetime estaba establecido en 60 días. A partir de Windows Server 2003 Service Pack 1 se aumentó a 180 días, y este sigue siendo el valor predeterminado en la actualidad.

Sin embargo, la aplicación de Service Pack 1 en un controlador de dominio Microsoft Windows server 2003 ya existente, no aumenta de forma automática el valor de tiempo de gracia Tombstone lifetime. Es posible que un bosque de nuestro Active Directory, cuyos controladores de dominio ejecuten Windows Server 2012/16 aún tengan una vida útil de 60 días, si el dominio ha sido migrado desde una versión Microsoft Windows Server 2000 o Windows server 2003.

Durante el tiempo Tombstone lifetime, el estado de un objeto eliminado depende principalmente de si la Papelera de reciclaje de Active Directory está habilitada en el bosque del objeto.

La cantidad máxima de tiempo que un controlador de dominio puede permanecer desconectado de otros controladores de dominio es precisamente el Tombstone lifetime.

Los controladores de dominio que no consiguen replicarse correctamente superando tiempo que el Tombstone lifetime sin replicar deshabilitarán automáticamente la replicación entrante y saliente para evitar la replicación de objetos persistentes, que son objetos Active Directory que se han eliminado de un controlador de dominio pero permanecen en otros debido a problemas de replicación.

En el laboratorio de hoy, vamos a ver como podemos modificar el tiempo de Tombstone lifetime en nuestro entorno.

En primer lugar abriremos una nueva ventana del editor de ADSI, en el cuadro de texto llamado ejecutar escribiremos escriba adsiedit.msc.

Desplegaremos el menú, presionando con el botón derecho de nuestro ratón en la parte superior del árbol lateral izquierdo de la consola llamada Editor ADSI . Una vez aparezca Conectar a...

En la sección Punto de conexión, usaremos el botón selector para elegir la opción llamada Seleccione un contexto de nomenclatura conocido y seguidamente desplegaremos la lista desplegable y seleccionaremos la opción llamada Configuración. Una vez hayamos realizado estos cambios, aplicaremos las selecciones pulsando el botón Aceptar.


domingo, 18 de noviembre de 2018

Windows Server: Realizar copia de seguridad de nuestras GPO. (Default Domain Policy)

En el laboratorio de hoy, vamos a ver como podemos hacer copia de seguridad de nuestras Group Policy Object (GPO). En nuestro laboratorio vamos a respaldar la Default Domain Policy, de este modo, estaremos protegidos contra una posible modificación errónea de la política.

También, podéis acceder al canal de YouTube de Pantallazos.es, donde encontrareis un vídeo tutorial en el que realizaremos una copia de seguridad de nuestras GPO, en concreto respaldaremos la Default Domain Policy de nuestro dominio de Active Directory.


Podéis acceder y suscribiros al canal de Youtube de Pantallazos.es en el enlace que mostramos a continuación:

Abriremos una nueva ventana de la Consola de administración de directivas de grupo. En el árbol lateral izquierdo de la consola, seleccionaremos la rama llamada Objetos de directiva de grupo, en el bosque y dominio que contiene la Group Policy Object (GPO) que deseamos realizar una copia de seguridad.

Para realizar una copia de seguridad de un único objeto de directiva de grupo, seleccionaremos con el botón derecho de nuestro ratón en el objeto de directiva de grupo y, a continuación, en el menú desplegable elegiremos la opción llamada Realizar copia de seguridad.

Si quisiéramos realizar una copia de seguridad de múltiples objetos de directiva de grupo, los seleccionaríamos todos y procederemos del mismo modo que en el caso anterior.

Aparecerá una nueva ventana llamada Copia de seguridad de objeto de directiva de grupo. En el cuadro de diálogo llamado Copia de seguridad de objeto de directiva de grupo, buscaremos el  cuadro de texto llamado Ubicación, en él escribiremos la ruta en la que deseamos almacenar las copias de seguridad de nuestros objetos de directiva de grupo.

También podemos pulsar el botón llamado Examinar, para localizar la carpeta en la que queremos guardar las copias de seguridad.

En el cuadro llamado Descripción, escribiremos un nombre que nos permita localizar fácilmente nuestras copias de seguridad en el momento de la recuperación, a continuación, presionaremos el botón llamado Hacer copia de seguridad

Una vez que la operación de copia haya finalizado, presionaremos el botón Aceptar para cerrar el asistente.

domingo, 11 de noviembre de 2018

Windows Server 2016: Instalar servicios de Active Directory y DNS usando la PowerShell.

En el laboratorio de hoy, vamos a ver como instalar los servicios de dominio de Active Directory directamente usando la Windows Powershell.

Queremos crear un nuevo bosque usando un servidor Microsoft Windows 2016, será el primer controlador de dominio de un nuevo dominio de Active Directory que todavía no existe.

También, podéis acceder al canal de YouTube de Pantallazos.es, donde encontrareis un vídeo tutorial en el que  instalaremos los servicios de Active Directory y DNS en un nuevo servidor Microsoft Windows 2016. Para posteriormente, promocionarlo a controlador de dominio de un nuevo bosque. Todo el procedimiento se realizará enteramente usando solo  la Windows PowerShell .


Podéis acceder y suscribiros al canal de Youtube de Pantallazos.es en el enlace que mostramos a continuación:

Hemos dividido este artículo en dos post independientes. Podéis acceder a cualquiera de ellos usando el indice que mostramos a continuación.
Empezaremos instalando el rol de Servicios de dominio de Active Directory haciendo uso de la Windows PowerShell. Abriremos una nueva ventana de la consola de la Windows PowerShell con permisos de administrador y ejecutaremos el comando siguiente.  Este comando, instalará el rol de Servicios de dominio de Active Directory y también las herramientas de administración. 

Escribiremos el comando Install-windowsfeature con el modificador -name para especificar el nombre del rol que queremos instalar.

AD-Domain-Services

Las herramientas de administración de servidor, no se instalan de forma predeterminada al usar Windows PowerShell. Debemos especificar el modificador -IncludeManagementTools para poder administrar el servidor local o instalar las Herramientas de administración remota del servidor para administrar un servidor en remoto.

Install-windowsfeature -name AD-Domain-Services -IncludeManagementTools


Windows Server 2016: Promocionar un servidor a controlador de dominio de Active Directory usando la PowerShell.

En el laboratorio de hoy, vamos a ver como promocionar un servidor a controlador de dominio de Active Directory usando la Windows Powershell.

También, podéis acceder al canal de YouTube de Pantallazos.es, donde encontrareis un vídeo tutorial en el que  instalaremos los servicios de Active Directory y DNS en un nuevo servidor Microsoft Windows 2016. Para posteriormente, promocionarlo a controlador de dominio de un nuevo bosque. Todo el procedimiento se realizará enteramente usando solo  la Windows PowerShell .


Podéis acceder y suscribiros al canal de Youtube de Pantallazos.es en el enlace que mostramos a continuación:
Una vez tengamos instalado el rol de Servicios de dominio de Active Directory, importaremos el modulo llamado addsdeployment necesario, con el comando que mostramos a continuación.

Import-module addsdeployment

Seguidamente procedemos a crear nuestro nuevo bosque. Usaremos el comando Insall-ADDSForest, con el modificador -DomainName y -DomainNetBiosName para especificar los nombres DNS y NETBIOS de nuestro nuevo dominio.

A continuación, especificaremos los directorios para la instalación de la base de datos, los archivos de registro y la carpeta de SYSVOL. Usaremos los modificadores -LogPath, -SYSVOLPath, -DatabasePath.

Las rutas por defecto en una instalación usando el modo gráfico estarían ubicadas dentro del directorio c:/Windows. En la carpeta NTDS, alojaríamos el archivo de Log y la base de datos. Finalmente usaríamos la carpeta SYSVOL dentro del directorio c:\windows para los archivos del SYSVOL. Especificaremos estas mismas rutas por defecto en nuestro comando de Windows PowerShell.

También, usaremos el modificador -ForestMode para especificar el nivel funcional del nuevo dominio de Active Directory  y el modificador -InstallDNS para instalar los servicios de nombres en nuestro nuevo dominio.

Accediendo a  nuestro post relacionado, podréis copiar el comando entero para después modificar-lo a vuestras necesidades.

Install-ADDSForest -DatabasePath "C:\Windows\NTDS" -LogPath "C:\Windows\NTDS" -SYSVOLPath "C:\Windows\SYSVOL" -DomainName "dominio.local" -DomainNetBIOSName "dominio" -ForestMode "Win2012" -InstallDNS:$true -NoRebootOnCompletion:$false -Force:$true

Ejecutaremos el comando y nos solicitará que introduzcamos la nueva contraseña del usuario Administrador del dominio para el Safe Mode.

La introduciremos dos veces y esperaremos a que el proceso de creación de nuestro nuevo bosque termine y reinicie el sistema.

miércoles, 7 de noviembre de 2018

Exchange 2013/16 ECP: Exportar buzón a un archivo PST de Outlook.

En el laboratorio de hoy, vamos a ver como usar la Centro de administración de nuestro servidor Exchange o ECP para exportar el contenido de un buzón a un archivo de carpetas personales de Microsoft Outlook (PST)

Accediendo al enlace que mostramos a continuación, encontrareis como realizar este mismo procedimiento usando las herramientas de la PowerShell:
También, podéis acceder al canal de YouTube de Pantallazos.es, donde encontrareis un vídeo tutorial en el que  exportaremos usando la consola de administración de Microsoft Exchange 2013/16, un buzón de correo electrónico a un archivo de carpetas personales de Microsoft Outlook, archivo PST.


Podéis acceder y suscribiros al canal de Youtube de Pantallazos.es en el enlace que mostramos a continuación:

En primer lugar, tenemos que crear una carpeta compartida donde dejaremos el archivo archivo de carpetas personales de Microsoft Outlook resultante de la operación.


domingo, 4 de noviembre de 2018

Exchange PowerShell: Exportar buzón a un archivo PST de Outlook.

En el laboratorio de hoy, vamos a ver como usar la PowerShell de nuestro servidor Microsoft Exchange para exportar el contenido de un buzón a un archivo de carpetas personales de Outlook, archivo PST.

También, podéis acceder al canal de YouTube de Pantallazos.es, donde encontrareis un vídeo tutorial en el que  exportaremos usando la consola de Exchange PowerShell un buzón de correo electrónico ubicado en un servidor Microsoft Exchange 2013/16 a un archivo de carpetas personales de Outlook, archivo PST.


Podéis acceder y suscribiros al canal de Youtube de Pantallazos.es en el enlace que mostramos a continuación:

En nuestro laboratorio usaremos un servidor Microsoft Windows 2012 con un Exchange 2013, instalado pero el proceso de exportar buzón a un archivo PST de Microsoft Outlook usando la PowerShell es básicamente igual para todas las versiones de Microsoft Exchange.

En primer lugar, tenemos que crear una carpeta compartida donde dejaremos el carpetas personales de Outlook resultante de la operación.