¿Qué es IdFix?
En Office 365 (u O365 para los amigos) un problema típico con lo que los administradores de Active Directory se encuentran al intentar sincronizar sus usuarios con la nube es la posibilidad que la data sincronizada no esté en el formato correcto para poder crear una casilla o incluso que no sea sincronizada.
Para solucionar este problema Microsoft liberó una aplicación llamada IdFix para hacer una evaluacion previa de nuestros usuarios antes de llevarlos a la nube.
Para comenzar debemos descargar la aplicacion desde el sitio de Microsoft en: http://www.microsoft.com/en-us/download/confirmation.aspx?id=36832
Una vez descargado, lo instalamos en un equipo que pertenezca al dominio y lo ejecutamos con un usuario con permisos para cambiar las propiedades de nuestras cuentas. La ventana que veremos es la siguiente:
Depende de la version que cuenten, tendremos la opción de evaluar multi-tenant y dominios dedicados. En mi caso mi dominio es un dominio dedicado por lo…
Ver la entrada original 327 palabras más
Charla “O365 Notas desde el campo”
Cuando hablamos del “campo” no nos referimos precisamente a administrar nuestra subscripcion desde “la pequeña casa de la pradera” (http://es.wikipedia.org/wiki/Little_House_on_the_Prairie_(serie_de_televisi%C3%B3n)), sino más bien nos referimos a una charla que abordó las consultas típicas que recibimos como PFEs de O365 y que se replican a través de muchos de nuestros clientes.
No quisimos hacer una sesión de alta complejidad técnica debido a que en Chile aún estamos partiendo con esta solución y nos hemos dado cuenta que muchas compañias contratan servicios sin sacarle el real provecho.
En resumen, tuvimos una excelente sesión el dia de ayer, que se alargó por una hora más de la hora de cierre, en donde se agradece muchisimo el feedback recibido y la dinámica de la sesión.
Para los que no pudieron llegar y los que quieren la presentación. La adjunto en este post.
Excelente semana a todos!
Para descargar la presentación, click en…
Ver la entrada original 14 palabras más
Uso de In-Place E-Discovery and Hold
Muy buenas tardes. Hace un tiempo atrás hice una sesión para channel9 en donde conversamos acerca de las caracteristicas de E-Discovery e In-Place Hold.
Para poder ver la sesión pueden entrar a https://channel9.msdn.com/Series/Latam-CloudSeries/Office-365-Retencion-de-correos
Espero que les agrade.
Saludos!!
Uso de In-Place E-Discovery and Hold
Muy buenas tardes. Hace un tiempo atrás hice una sesión para channel9 en donde conversamos acerca de las caracteristicas de E-Discovery e In-Place Hold.
Para poder ver la sesión pueden entrar a https://channel9.msdn.com/Series/Latam-CloudSeries/Office-365-Retencion-de-correos
Espero que les agrade.
Saludos!!
Charla “O365 Notas desde el campo”
Cuando hablamos del “campo” no nos referimos precisamente a administrar nuestra subscripcion desde “la pequeña casa de la pradera” (http://es.wikipedia.org/wiki/Little_House_on_the_Prairie_(serie_de_televisi%C3%B3n)), sino más bien nos referimos a una charla que abordó las consultas típicas que recibimos como PFEs de O365 y que se replican a través de muchos de nuestros clientes.
No quisimos hacer una sesión de alta complejidad técnica debido a que en Chile aún estamos partiendo con esta solución y nos hemos dado cuenta que muchas compañias contratan servicios sin sacarle el real provecho.
En resumen, tuvimos una excelente sesión el dia de ayer, que se alargó por una hora más de la hora de cierre, en donde se agradece muchisimo el feedback recibido y la dinámica de la sesión.
Para los que no pudieron llegar y los que quieren la presentación. La adjunto en este post.
Excelente semana a todos!
Para descargar la presentación, click en el siguiente link: http://1drv.ms/1SC1eww
Update: Con los cambios actuales esta presentación puede estar desactualizada.
¿Qué es IdFix?
En Office 365 (u O365 para los amigos) un problema típico con lo que los administradores de Active Directory se encuentran al intentar sincronizar sus usuarios con la nube es la posibilidad que la data sincronizada no esté en el formato correcto para poder crear una casilla o incluso que no sea sincronizada.
Para solucionar este problema Microsoft liberó una aplicación llamada IdFix para hacer una evaluacion previa de nuestros usuarios antes de llevarlos a la nube.
Para comenzar debemos descargar la aplicacion desde el sitio de Microsoft en: http://www.microsoft.com/en-us/download/confirmation.aspx?id=36832
Una vez descargado, lo instalamos en un equipo que pertenezca al dominio y lo ejecutamos con un usuario con permisos para cambiar las propiedades de nuestras cuentas. La ventana que veremos es la siguiente:
Depende de la version que cuenten, tendremos la opción de evaluar multi-tenant y dominios dedicados. En mi caso mi dominio es un dominio dedicado por lo que vamos al engranaje ubicado al costado derecho arriba y elegimos la opción “Dedicated”.
Un punto importante es que si ejecutamos una revisión de nuestro dominio completo evaluaremos más usuarios de los que realmente enviaremos a la nube. Es por esto que las consultas pueden ser filtradas para reducir los resultados. Para esto vamos al filtro ubicado al costado derecho arriba y elegimos la OU a revisar:
Elegida la OU, ahora damos clic en el botón “Query” y ya obtenemos los resultados con problemas:
Como ven, tenemos 5 usuarios en mi Unidad Organizativa con 12 problemas en total que podemos remediar antes de hacer la primera carga hacia la nube.
Adicionalmente tienen una propuesta que podemos evaluar y decidir si es la correcta para nuestro problema o modificarlo manualmente.
En mi caso, decidí modificar en la misma aplicación los valores y elegir la opción “Edit” para poder aplicar los cambios.
Una vez realizado los cambios, damos clic en “Apply” y en Yes cuando nos pregunte si estamos seguros de la actualización (por favor estén muy seguros del cambio a realizar!!!)
Si ven en la ventana, las acciones pasaron a “Complete”, lo que indica que ya los cambios fueron aplicados.
Que pasa si quiero deshacer uno o más cambios realizados?
Si hicimos cambios a nuestra organización y deseamos volver uno o más valores a su estado anterior, debemos ir a la opción “Undo” de IdFix y elegir la fecha de la actualización sobre la que queremos hacer la vuelta atrás:
En este caso podemos ver que tenemos la opcion de deshacer “Undo”. Luego de elegir cual volver atrás y nuevamente dar clic en “Apply” para aplicar los cambios.
Espero que les sirva este pequeño review a IdFix y lo utilicen como herramienta para normalizar sus usuarios antes de llevarlos a la nube, en donde se nos hace un poco más complicado su normalización.
Saludos!
¿Como configuro una IP estática en Azure?
Buenas queridos lectores 🙂
Como sabemos en Azure tenemos un servidor DHCP asignado por defecto que configura nuestras IPs de manera automática.
Importante: De ninguna forma recomendamos colocar una IP estática directamente en la configuración TCP/IP de nuestras tarjetas activas en Azure. ¿Por qué?, debido a que en el momento de apagar y de-atachar nuestra máquina virtual y luego encenderla, la tarjeta de red asignada podría ser otra totalmente diferente y por lo tanto perder la configuración TCP/IP realizada y de paso, no poder configurarla nuevamente a menos que eliminemos la tarjeta “fantasma” (una tarjeta que estuvo conectada pero ya no).
Generalmente si utilizamos DNS para toda nuestra resolución de nombres no necesitaremos forzar una IP, aunque en ciertos casos (como un Controlador de Dominio), deberemos hacerlo para asegurarnos que sea siempre la misma.
Para esto necesitamos conectarnos desde Powershell a nuestra instancia de Azure:
Conectarnos a una instancia de Powershell (debemos tener las herramientas instaladas)
Add-AzureAccount
Obtenemos la lista de Virtual Networks que tenemos configuradas y tomamos nota de la VNet sobre la que crearemos la IP estática:
Get-AzureVNetSite | fl Name,Location,Subnets,AddressSpacePrefixes
Luego probamos que la IP a configurar no esté en uso por ningún otro equipo
Test-AzureStaticVNetIP -VNetName <Nombre de la VNet> -IPAddress <IP a evaluar>
Opcional: Revisamos la configuración actual del mi equipo a configurar (que esta apagado, por lo tanto no tiene IP asignada) usando el siguiente comando:
Get-AzureVM <Nombre de la VM> -ServiceName <Nombre del servicio> |
FL Name,IpAddress,Powerstate
Ya comprobado que nuestra IP no está en uso, la asignamos a nuestro Servidor
Get-AzureVm <Nombre de la VM> -ServiceName <Nombre del servicio> |
Set-AzureStaticVNetIP -IPAddress <IP a asignar> | Update-AzureVM
Nota: Si la maquina virtual está encendida, el comando Update-AzureVM reiniciará el servidor.
Y ahora iniciamos nuestro equipo. y comprobamos que tenemos nuestra IP ya configurada.
Start-AzureVM <Nombre de la VM> -ServiceName <Nombre del servicio>
Get-AzureVM <Nombre de la VM> -ServiceName <Nombre del servicio> |
FL Name,IpAddress,Powerstate
Importante: Algunas CMDLets no caben en el tamaño de este post, por lo que tienen un salto de línea. Si van a copiar la información escrita, tengan la precaución de copiarlo antes a un notepad, eliminar cualquier salto de línea y pegarlo en Powershell.
Interesante de saber: A pesar que uno de los requerimientos al instalar ActiveDirectory es tener al menos una IP estática, podemos de todas formas instalar nuestro controlador de dominio si configuramos una IP estática en el DHCP y obviando la advertencia que nos saldrá al intentar promover nuestro equipo.
Rollback Forest/Domain functional level o como volver atrás el nivel funcional de tu Dominio o Foresta
Si elevaste el nivel funcional de tu dominio y tenias aplicaciones legacy que no son compatibles… bueno, no hay solución…
Sería un post muy corto, y triste, si eso aún fuese cierto.
Por suerte para nuestras aplicaciones legacy, con la introducción de Windows Server 2008 también se incluyó la capacidad de hacer rollback a nuestro nivel funcional ya sea tanto de nuestro dominio como de nuestra foresta.
Para poder realizar este cambio deberá realizar los siguientes pasos:
1. Si tienes alguna version inferior a Windows Powershell 3.0 deberás importar el módulo de AD (o abrir directamente el acceso directo de Active Directory Powershell):
Import-Module –Name ActiveDirectory
2a. Verificar el nivel actual del Forest
Get-ADForest | ft Name,ForestMode –Autosize
2b. Verificar el nivel actual del Dominio
Get-ADDomainMode | ft Name,DomainMode – Autosize
3a. Cambiar el nivel funcional del Forest
Set-ADForest –Identity “MiForesta.com” –ForestMode Windows2008Forest
3b. Cambiar el nivel funcional del Dominio
Set-ADDomain –Identity “MiDominio.com” –ForestMode Windows 2008Domain
4. Verificar el nivel actual del dominio o de la foresta utilizando el punto 2a o el 2b dependiendo del caso.
Importante: Aún el soporte oficial de Microsoft estipula que solo se puede elevar el nivel funcional de un dominio o foresta productiva, por lo que el procedimiento descrito solo debe ser usado en ambientes de laboratorio o bajo un caso de soporte de Microsoft en donde se haya evaluado el impacto de realizar este rollback.
Elevando el nivel funcional de tu dominio? lee esto antes de comenzar
Elevar el nivel funcional de un dominio es un proceso simple de realizar que no debiese requerir mayor planeamiento que evaluar el impacto de las aplicaciones legacy que pudiesen requerir un nivel funcional inferior.
Sin embargo a veces esto no es del todo cierto… Si vamos a elevar nuestro nivel funcional desde Windows Server 2003 a Windows server 2008/2008R2/2012/2012R2 debemos considerar que la contraseña del servicio KRBTGT (Key distribution service center account) será reseteado.
Si bien esto generalmente no tiene mayor impacto (incluso es parte de nuestro procedimiento de recuperación de desastres) sobre las aplicaciones, hay situaciones en las que las aplicaciones que consumen nuestro dominio de ActiveDirectory no pueden autenticar a los clientes conectados (Hello Exchange!!).
Debido a esto debemos tener la siguiente precaución al elevar el nivel funcional de nuestro dominio:
1. Luego de elevar el nivel funcional, debemos conectarnos a nuestro servidor de Active Directory de Windows Server 2003 en busca de los eventos EventID 14 KDCEVENT_NO_KEY_INTERSECTION_AS (Microsoft-Windows-Kerberos-Key-Distribution-Center) y EventID 10 KDCEVENT_KRBTGT_PASSWORD_CHANGE_FAILED (Microsoft-Windows-Kerberos-Key-Distribution-Center).
2. Si no vemos estos eventos logueados luego de unos minutos (asegurense que hay usuarios iniciando sesión o utilizando Exchange…), debemos realizar nuestras pruebas para asegurarnos de que esta todo bien.
3. Si vemos estos eventos… mala suerte en el trabajo, buena suerte en el amor (o algo así), debemos resolver nuestro problema de autenticación de usuarios simplemente reiniciando el servicio de KDC en todos nuestros controladores de dominio.
¿Como?
- Opción 1: Debemos ir a la consola de servicios (Services.msc) y reiniciar el servicio Kerberos Key Distribution Service.
- Opción 2: Utilizar una consola de comandos (CMD) con permisos administrativos y ejecutar la linea “SC \\ComputerName Stop kdc” (en donde ComputerName es nuestro controlador de dominio) y luego “SC \\ComputerName Start kdc”.
- Opción 3: Utilizar Powershell “Get-Service KDC –ComputerName Computer | Restart-Service” (en donde Computer es nuestro controlador de dominio).
- Opción 4: Utilizar Powershell y hacer el cambio masivo en todos los controladores. Personalmente no recomiendo esta opción ya que podría dejar usuario sin servicio durante el reinicio de los servicios (valga la redundancia). Siempre es mejor realizar el proceso de manera manual. Pero sin son Vikingos y no le temen a nada, esta sería la forma de hacerlo:
- Abrir un Windows Powershell con permisos administrativos
- $DC=Get-ADDomainController
- Get-Service KDC –ComputerName $DC | Restart-Service
Happy updates!!
Problema emergente en el login de usuarios de Exchange al instalar KB3002657
El día de ayer nos informaron de un problema emergiendo en los usuarios de Exchange, luego de que se instale la actualizacion KB3002657 en controladores de dominio de Windows 2003.
Esta actualización incluye un parche para NETLOGON.dll que resuelve una vulnerabilidad en Windows que permite realizar spoofing desde un atacante que utilice un equipo que es parte del dominio de Windows.
Al instalar esta actualización en servidores de Windows Server 2003 (y se han reportado problemas tambien en algunos servidores 2008 y 2012) los requests de autenticación fallan con eventos logueados de tipo Event ID 4625 en la fuente Microsoft-Windows-Security-Auditing.
En el caso de los usuarios de Exchange, los que utilicen el servidor afectado para el inicio de sesión no podrán hacerlo, ya sea por OWA o a través de Outlook.
Al apuntar a otro servidor no afectado por el problema, los usuarios podrán iniciar sesión.
Si aún no lo han instalado, deberán esperar a que se libere una version 2 de la actualización.
Si ya lo instalaron y presentan problemas de autenticación, es necesario que se comuniquen con la atención de soporte de Microsoft para obtener un parche temporal que resuelve el problema generado. En el caso de los clientes con soporte premier (http://premier.microsoft.com) deberán escalar con su TAM para una resolución más rápida.
Por el momento no se recomienda la desinstalación de la actualización ya que podría generar problemas de seguridad debido al tipo de ataque que soluciona en una primera instancia. Si no cuenta con la posibilidad de crear casos de soporte y no ha actualizado todos sus servidores, es recomendado que aisle los servidores afectado en orden de asegurar el login de sus clientes hasta la salida de la actualización oficial que corrija este problema.
RSS
- ¿Qué es IdFix?
- Charla “O365 Notas desde el campo”
- Uso de In-Place E-Discovery and Hold
- Uso de In-Place E-Discovery and Hold
- Charla “O365 Notas desde el campo”
- ¿Qué es IdFix?
- ¿Como configuro una IP estática en Azure?
- Rollback Forest/Domain functional level o como volver atrás el nivel funcional de tu Dominio o Foresta
- Elevando el nivel funcional de tu dominio? lee esto antes de comenzar
- Problema emergente en el login de usuarios de Exchange al instalar KB3002657
Blog de Comunicacion Unificada 