Active Directory Domain Services on El blog de Ignacio https://www.igalvan.es/tags/active-directory-domain-services/ Recent content in Active Directory Domain Services on El blog de Ignacio Hugo -- gohugo.io es Ignacio Galván Vitas Mon, 29 Aug 2016 17:00:00 +0100https://www.igalvan.es/logo.svg Error 'Access denied' al validar contra Directorio Activo usando SSSD https://www.igalvan.es/posts/error-access-denied-al-validar-contra/ Mon, 29 Aug 2016 17:00:00 +0100 https://www.igalvan.es/posts/error-access-denied-al-validar-contra/ He configurado mi equipo con Ubuntu 16.04 para que validara contra un dominio de Servicios de Directorio Activo y al cabo de un par de días no podía validar y me mostraba el error “Access denied for user : 4 (Permission denied).

La solución al problema es bastante sencilla. Hay que iniciar una sesión con un usuario local y proceder a editar el fichero /etc/sssd/sssd.conf y añadir la línea ad_gpo_access_control = permissive. Tras reiniciar el servicio SSSD, ya podremos iniciar sesión en el equipo con las credenciales de Directorio Activo.

En mi caso el origen del problema era la aplicación de las GPO de la rama donde está el objeto del equipo, que estaba dejandome sin los suficientes permisos para poder acceder al equipo.

Aunque esta no sea la mejor solución del mundo, dado que arreglarlo me va a llevar algún tiempo pesto que no tengo claro qué GPO me está quitando los permisos, de momento me sirve como un apaño.

Si queréis más información sobre este tema, podéis consultar el enlace siguiente: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/sssd-gpo.html{:target="_blank"}

]]> Actualizaciones de seguridad de Microsoft Diciembre 2012 https://www.igalvan.es/posts/actualizaciones-de-seguridad-de/ Sat, 08 Dec 2012 18:59:00 +0000 https://www.igalvan.es/posts/actualizaciones-de-seguridad-de/ El último boletín de seguridad del año 2012 y viene cargado de actualizaciones que solucionan problemas de ejecución remota de código para Windows Desktop, Windows Server, Office 2010 y Exchange Server 2007 y Exchange Server 2010.


Actualizaciones de seguridad de Microsoft Diciembre 2012]]> Medir el coste en tiempo asociado con el procesamiento de las GPO en Directorio Activo https://www.igalvan.es/posts/medir-el-coste-en-tiempo-asociado-con/ Sun, 14 Oct 2012 10:32:00 +0100 https://www.igalvan.es/posts/medir-el-coste-en-tiempo-asociado-con/ El artículo trata los costes asociados con el despliegue de GPO y muestra ejemplos de como los ajustes en una GPO reaccionan con otros ajustes, GPO y configuraciones ILT.

Enlace al artículo: http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Processing-Benchmarks.html

]]> Nuevo bosque de Directorio Activo sobre Windows Server 2012 RC https://www.igalvan.es/posts/nuevo-bosque-de-directorio-activo-sobre_5/ Sun, 05 Aug 2012 20:03:00 +0100 https://www.igalvan.es/posts/nuevo-bosque-de-directorio-activo-sobre_5/ En este artículo voy a realizar un pequeño laboratorio que muestre como generar un nuevo bosque de Directorio Activo sobre Windows Server 2012 Release Candidate.

Para esta ocasión he decidido probar una nueva forma de presentar un artículo. Me he decidido por el formato de videotutorial porque creo que puede presentar una mejor forma de mostar la información.


Este es el primero que hago así que no seaís muy duros conmigo.

]]> Windows Server 2008 R2. Generando un bosque de Directorio Activo (y III) https://www.igalvan.es/posts/windows-server-2008-r2-generando-un_3925/ Tue, 17 Jan 2012 00:00:00 +0000 https://www.igalvan.es/posts/windows-server-2008-r2-generando-un_3925/ En esta tercera parte del laboratorio vamos a depromocionar el segundo controlador de dominio llamado SRV2 mediante el método desatendido. Las anteriores partes de este tutorial se encuentran en los siguientes enlaces para la parte primera y la parte segunda.


Lo primero es generar el fichero de texto que va a permitir depromocionar el controlador de dominio. Para este laboratorio el contenido de ese fichero es el siguiente:

[DCINSTALL]
UserName=Administrador
UserDomain=OLIMPO
Password=Passw0rd
AdministratorPassword=Passw0rd
RemoveApplicationPartitions=yes
RebootOnCompletion=yes

Este fichero se debe copiar en la maquina que se va a depromocionar como controlador de dominio en el bosque que se ha creado. Como siempre mi elección personal es ubicarlo en la raíz de la unidad C con el nombre de fichero "desatendido.txt":

Ilustración 1. Fichero para la depromoción desatendida

La ejecución del comando es la misma que se ha usado hasta ahora para el proceso de promoción mediante el siguiente comando:

dcpromo /unattend:desatendido.txt


Ilustración 2. Comando para lanzar la instalación desatendida
Por último, una vez se haya completado el proceso,  se podrá ver desde la consola gráfica de administración que vuelve a existir tan solo un controlador de dominio.
Ilustración 3. Consola gráfica mostrando un solo controlador de dominio

Ya para terminar este tutorial os dejo un par de enlaces que tratan la instalación desatendida de un controlador de dominio sobre Windows 2008 Server Core.
http://technet.microsoft.com/en-us/library/cc758390(WS.10).aspx
http://www.windowsnetworking.com/kbase/WindowsTips/WindowsServer2008/AdminTips/ActiveDirectory/PromotingServerCoretoaDomainController.html

]]> Windows Server 2008 R2. Generando un bosque de Directorio Activo (II) https://www.igalvan.es/posts/windows-server-2008-r2-generando-un_9103/ Mon, 16 Jan 2012 00:00:00 +0000 https://www.igalvan.es/posts/windows-server-2008-r2-generando-un_9103/ Continuamos con esta segunda parte del tutorial de este laboratorio. Puedes encontrar la primera parte en este enlace.
Ahora que ya hemos generado este primer controlador de dominio, vamos a preparar el fichero de instalación desatendida para la segunda maquina. En este caso es un nuevo controlador de dominio dentro del mismo dominio.


Para la realización de este tutorial, se ha utilizado un fichero con el siguiente contenido:

[DCINSTALL]
UserName=Administrador
UserDomain=OLIMPO
Password=
SiteName=Sitio-Olimpo
DatabasePath="%systemroot%ntds"
LogPath="%systemroot%ntds"
SYSVOLPath="%systemroot%sysvol"
InstallDNS=yes
SafeModeAdminPassword=
ConfirmGC=yes
RebootOnCompletion=yes
ReplicaOrNewDomain=Replica
ReplicaDomainDNSName=olimpo.local


Para este segundo controlador de dominio la secuencia de pasos a seguir después de la generación del fichero difiere ligeramente. Lo primero que vamos a hacer es cambiar la configuración DNS de esta segunda máquina para que su primer servidor DNS sea la IP del primer controlador de dominio que hemos creado anteriormente, de lo contrario no el sistema operativo no será capaz de encontrar el controlador de dominio SRV1.



A partir de aquí, los pasos son exactamente iguales que para el primer controlador de dominio. Una vez copiado el fichero de instalación desatendida que hemos generado para este segundo controlador de dominio lanzamos el comando siguiente:

dcpromo /unattend:desatendido.txt


Una vez se reinicie el controlador de dominio ya se habrá completado la instalación de este segundo controlador de dominio y podemos ver de forma visual la infraestructura que se ha desplegado desde las herramientas de administración que tengamos instaladas en una tercera maquina que tenga una instalación completa de Windows 7 o Windows 2008.

Con esto doy por terminada la segunda parte de este laboratorio y queda pendiente la tarcera parte donde depromocionaremos un controlador de dominio.


]]> Windows Server 2008 R2. Generando un bosque de Directorio Activo https://www.igalvan.es/posts/windows-server-2008-r2-generando-un_5651/ Sun, 15 Jan 2012 10:59:00 +0000 https://www.igalvan.es/posts/windows-server-2008-r2-generando-un_5651/ Una de las posibilidades que más me gustan de Windows Server 2008 Core es su uso para controladores de dominio por dos motivos principalmente:
  • Mantenimiento reducido. Un sistema operativo más pequeño y que tiene menos funciones necesita menos mantenimiento de parches y actualizaciones y sobre todo es más seguro porque reduce su superficie de ataque precisamente al tener menos funcionalidades.
  • Sistema «anti-manazas». Es triste decir esto pero, sin animo de entrar en polemicas, en casi todas las organizaciones existen «especialistas» que por una razón u otra disponen de acceso privilegiado a la infraestructura sin tener claros los conceptos de administración y gestión de un Directorio Activo, lo que suele acabar en la ejecución de tareas de recuperación de desastres.
Pasando al asunto de este artículo, en este microtutorial voy a explicar la forma de crear un nuevo bosque de Directorio Activo en modo Windows 2008 R2 y posteriormente añadir un controlador de dominio adicional a este nuevo dominio usando dos maquinas virtuales sobre las que he desplegado Windows 2008 R2 Core.

Este tutorial presupone que el usuario ha instalado el sistema operativo en las máquinas y tiene configuradas las tarjetas de red de ambas maquinas y la máquina se encuentra actualizada al último nivel, es decir, las maquinas están preparadas para comenzar con las tareas de creación del bosque de Directorio Activo.

El esquema final esperado es el siguiente:

Ilustración 1. Esquema laboratorio bosque W2k8 R2 Core
Antes de comenzar quisiera comentar que el «Asistente para la instalación de Servicios de Directorio Activo» (dcpromo.exe) no admite un entorno gráfico de trabajo en los sistemas Windows 2008 Server Core por lo que se es necesario completar su ejecución en modo desatendido o añadiendo todos los parámetros junto con el comando, lo que me parece un autentico suplicio por lo que en este laboratorio vamos a ver la opción de instalación desatendida.
El primer paso es crear el fichero de instalación desatendida especifico, en este caso, para generar el nuevo bosque. En este tutorial el contenido del fichero es el siguiente:

[DCInstall] 

InstallDNS=yes
NewDomain=forest
NewDomainDNSName=olimpo.local
DomainNetBiosName=olimpo
SiteName=Sitio-Olimpo
ReplicaOrNewDomain=domain
ForestLevel=4
DomainLevel=4
DatabasePath="%systemroot%ntds"
LogPath="%systemroot%ntds"
RebootOnCompletion=yes
SYSVOLPath="%systemroot%sysvol"
SafeModeAdminPassword=*

Este fichero debemos copiar en la maquina que va a ser el primer controlador de dominio del nuevo bosque de Directorio Activo. Mi opción personal es colocarlo siempre en la raíz de C: con el nombre de fichero "desatendido.txt".

Ilustración 2. Fichero de instalación desatendida
Posteriormente, una vez iniciada la sesión en la mencionada máquina, desde la consola de terminal que se abre se debe teclear el siguiente comando:

dcpromo /unattend:desatendido.txt

Ilustración 3. Comando para lanzar la instalación desatendida
Ilustración 4. Proceso de instalación desatendida (I)
Ilustración 5. Proceso de instalación desatendida (II) 
Ilustración 6. Proceso de instalación desatendida (III)
Ilustración 7. Proceso de instalación desatendida (IV)
Ilustración 8. Proceso de instalación desatendida (V)
Una vez completado el proceso, la máquina se reiniciará de forma automática y ya dispondremos del primer controlador de dominio de nuestro bosque.

Y con esto termino esta primera parte del tutorial.
]]> Obtener información de un bosque de Directorio Activo https://www.igalvan.es/posts/obtener-informacion-de-un-bosque-de_8495/ Sat, 17 Sep 2011 09:32:00 +0100 https://www.igalvan.es/posts/obtener-informacion-de-un-bosque-de_8495/ Os dejo el enlace a un script creado por Fernando Reyes (Urpiano) que permite obtener de forma separada en ficheros de texto información acerca de un bosque de Directorio Activo.
En concreto, obtiene la siguiente información:
  • Dominios
  • Sitios
  • Controladores de dominio
  • Unidades organizativas
  • Buzones de correo Exchange
  • Contactos
  • Listas de distribución
  • Equipos
  • Usuarios
Enlace al script de información de Directorio Activo

Disfrutadlo y hasta el próximo artículo.

]]>