Activar Instancia de Administración Central de SharePoint 2013 con PowerShell

En las instalaciones de SharePoint de tres niveles o Roles separados es necesario determinar cuáles y cuantos de los servidores de Aplicación tendrán iniciada la instancia para la administración central. Para esto es necesario ejecutar la siguiente línea de comandos para

Primero use el siguiente comando para obtener la lista de instancias de administración central.

  • Get-SPServiceInstance | Where-Object {$_.TypeName -eq ´Administración central

Luego seleccione la instancia que desea dejar Online con el siguiente comando

  • Get-SPServiceInstance | Where-Object {$_.Id -eq ´[GUID]´} | Stop-SPServiceInstance

Finalmente configure la instancia en modo Online para

  • Get-SPServiceInstance | Where-Object {$_.Id -eq ´[GUID]´} | Start-SPServiceInstance

Para aplicar los cambios ejecute “iisreset” después del último comando.

1

Nicolás Herrera, Consultor Infraestructura, Blue Solutions.

Advertisements

Migración de una entidad certificadora desde Windows Server 2003 hacia Windows Server 2012

La migración de una CA de Microsoft es una actividad sencilla, pero debe llevarse a cabo de forma meticulosa, los tiempos de migración y la complejidad de ésta van a ir variado según el entorno al que nos enfrentemos. El primer paso es hacer el backup de la base de datos de la CA y de las configuraciones almacenadas en al registry.

Iniciar sesión en el servidor de origen, luego iniciar la consola de administración de la CA. Hacer click derecho sobre el nodo con el nombre de la CA, luego dirigirse a la opción All Tasks, luego hacer clic sobre Back Up CA.

1

En la sección Welcome to the Certification Authority Backup Wizard, presionar el Next.

2

En la sección Items to Back Up seleccionar Private Key and CA Certificates y Certificate database and certificate database log, luego seleccionar la ubicación en el campo Back up to this location y presionar Next.

3

En la sección Select a Password ingresar la contraseña para proteger la clave privada, presionar Next.

4

En la sección Completing the certification Authority Backup Wizard presionar Finish.

5

NOTA: Verificar que en la ruta seleccionada, existan los siguientes archivos: certbkxp.dat, edb#####.log, and CAName.edb

Desde la consola de comandos ejecutar “net stop certsvc.

6

NOTA: El servicio debe ser detenido para evitar la emisión de certificados adicionales.

El siguiente paso es exportar las claves de registro, para realizar esto desde el menú Run… ejecutar el comando regedit. Navegar hacia la clave HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCertSvc hacer click derecho sobre Configuration y hacer click en la opción Export. Seleccionar como destino la misma carpeta donde se realizó el backup de la CA, ingresar el nombre del archivo y presionar Save.

7

NOTA: Si la CA de origen usa un archivo CAPolicy.inf personalizado, se debe copiar el archivo en la misma ubicación que los archivos de copia de seguridad fuente de CA.

El archivo CAPolicy.inf se encuentra en el directorio %SystemRoot%, que suele estar en C:Windows.

Copiar la carpeta donde se realizaron los backups al nuevo servidor. Luego desinstalar la CA desde Add/Remove Windows Components Wizard, unir el servidor a un workgroup.

El siguiente paso es la instalación y configuración del rol AD-CS. Una vez instalado el rol AD-CS resta realizar la configuración del rol, para esto desde la consola Server Manager hacer click sobre el icono de notificaciones luego en el enlace Configure Active Directory Certificate Services on the destination server.

8

En la sección Specify credentials to configure roles services presionar Next.

9

En la sección Select Role Services to configure, seleccionar el rol Certification Authority luego presionar Next.

10

En la sección Specify the setup type of the CA seleccionar el mismo tipo de CA que la de origen, presionar Next.

11

En la sección Specify the type of the private key seleccionar la opción Use existing private key luego seleccionar la opción Select a certificate and use its associated private key, presionar Next.

12

En la sección Select an existing certificate for this CA, presionar el botón Import luego presionar el botón Browse… y navegar hasta la ruta donde se encuentra el certificado exportado. En el campo Password ingresar la contraseña para poder acceder a la clave privada por último presionar Next.

13

14

En la sección Specify the database locations verificar la ubicación de la base de datos y del log, presionar Next.

15

En la sección confirmation presionar el botón Configure.

16

En la sección Results presionar Close.

El siguiente paso es restaurar la base de datos de la CA de origen en el servidor de destino. Para llevar adelante esta tarea, ejecutar los siguientes pasos.

Iniciar sesión en el servidor de destino, iniciar la consola de administración de AD-CS hacer click derecho sobre el nodo con el nombre de la CA, dirigirse a la opción All tasks luego a la opción Restore CA…

17

Presionar el botón OK en la ventana que alerta sobre la detención del servicio AD-CS.

18

En la sección Welcome to the Certification Authority Restore Wizard presionar Next.

19

En la sección Items to restore seleccionar la opción Certificate database and certificate database log, luego presionar el botón Browse… y navegar hasta donde se encuentra la carpeta con el backup de la CA de origen, por último presionar Next.

20

En la sección Completing the Certification Authority Restore Wizard presionar Finish.

21

En la ventana Certification Authority Restore Wizard presionar el botón Yes para iniciar el servicio AD-CS.

22

El último paso en esta migración, es importar las claves de registro, antes de hacer esta tarea es importante revisar los siguientes valores, los cuales deben coincidir con los valores de la nueva instalación.

Estos valores de la ubicación del almacenamiento son elegidos durante la configuración de la CA. Estos existen en la clave del Registro de configuración:

  • DBDirectory
  • DBLogDirectory
  • DBSystemDirectory
  • DBTempDirectory

Los siguientes valores en la clave del Registro de configuración{nombre}CA contienen, en sus valores por defecto una ruta local. (Como alternativa, se puede actualizar estos valores después de importarlos mediante el uso de la consola de administración de CA. Los valores se encuentran en la solapa CA properties Extensions).

  • CACertPublicationURLs
  • CRLPublicationURLs

Iniciar la consola de comandos con privilegios de administrador, ejecutar el comando net stop certsvc.

23

Luego ubicados en la carpeta donde se encuentra el archivo .reg que queremos importar ejecutar el comando reg import < nombredearchivo.reg >

24

Por último ejecutar el comando net start certsvc para iniciar el servicio.

25

Con esto podemos finalizar la migración de la CA, finalmente pueden validar el funcionamiento de esta entidad certificadora, integrándolo con algún servicio web o similares para la distribución de certificados.

Nicolás Herrera, Consultor Infraestructura, Blue Solutions.

 

Exchange 2013 Filtro de contenido, Administración de contenido

Esta es una explicación sobre cómo bloquear por asunto, o añadir frases a la lista negra del filtro de contenido instalado en la plataforma de Exchange 2013, para que todo correo que sea analizado y contenga las frases indicadas, sea bloqueado y llevado directamente a la cuarentena. Además de explicar el cómo realizar la liberación de los buzones del filtro de contenido instalado en la plataforma de Exchange 2013 para evitar que todos los correos caigan al buzón de cuarentena.

Este documento tiene como objetivo explicar la realización de bloqueo de contenido en el filtro aplicado en la plataforma de Exchange 2013,  y los correos sean rechazados y enviados hacia la cuarentena. Por otro lado, también explicar cómo realizar la liberación de buzones para evitar el filtro de contenido y los correos no caigan en el buzón de cuarentena y sea entregado de manera exitosa al destinatario final.

Bloqueo de contenido no deseado

Para añadir reglas de bloqueo de contenido, solo se debe realizar a través de PowerShell. Para esto debemos utilizar el cmdlet Add-ContentFilterPhrase, de la siguiente manera.

Add-ContentFilterPhrase –Influence BadWord – Phrase “esto es un test”

1

Con esto ya realizamos el bloqueo, y nos entregará el resultado de toda la información con respecto a la frase bloqueada. Para verificarlo, utilizamos el cmdlet Get-ContentFilterPhrase | ft Influence, Phrase –AutoSize

2

Esto nos da de forma cómoda la información sobre todas las frases que se encuentran bloqueadas o permitidas.

NOTA: Esta configuración sirve para el bloqueo por asunto como para el bloqueo por contenido del mismo.

 

Eliminar bloqueo de contenido

Es posible eliminar frases añadidas al filtro de contenido a través de PowerShell, pero para esto, es necesario utilizar la frase exacta para eliminar a través del cmdlet Remove-ContentfilterPhrase.

Remove-ContentFilterPhrase –Phrase “esto es un test”

3

Y verificamos.

4

Permitir Contenido

Otra de las características del filtro de contenido, es añadir una regla para permitir ciertas frases del filtro de contenido con la finalidad de disminuir la cantidad de bloqueos erróneos en la plataforma.

Para esto utilizando Add-ContentFilterPhrase bastara con cambiar el parámetro BadWord por GoodWord.

5

Y para eliminar, se realiza de la misma manera que con el contenido bloqueado, a través de Remove-ContentfilterPhrase

6

Bloqueo por emisor

Dentro de las características del filtro de contenido, también se permite el bloqueo por emisor o dominio emisor, esta configuración puede ser verificada a través de PowerShell empleando el cmdlet Get-SenderFilterConfig, esto puede utilizarse para mail y dominio.

7

Para realizar la modificación utilizamos set-Senderfilterconfig –BlockSenders @{add=’eleon@bluesolutions.cl’} o set-Senderfilterconfig –BlockDomains @{add=’dominio’}

8

Y verificamos realizando una prueba de correos.

9

Eliminar bloqueo por emisor

Para poder eliminar cualquier tipo de bloqueo de emisores, ya sea a buzones o dominios, se utiliza Set-SenderFilterconfig –BlockedSenders @{remove=’eleon@bluesolutions.cl’} o Set-SenderFilterConfig –BlockedDomains @{remove=’dominio’}

10

Añadir receptores seguros

El primer paso para la liberación de los buzones, es añadir la dirección de correo en la lista del filtro de contenido y en la regla de bypass creada.

Para añadir receptores a la excepción del filtro de contenido, se debe realizar a través de Power Shell de Exchange utilizando el cmdlet Set-ContentFilterConfig como se muestra en el ejemplo a continuación:

11

Este cmdlet puede también ser utilizado para agregar múltiples direcciones.

Set-ConentFilterConfig  -BypassedRecipients @{add=’direccion@uno’, ’direccion@dos’, ’…’}

Para verificar si esto funciona de manera correcta, se debe ejecutar Get-ContentFiletConfig de la siguiente forma:

(Get-ContentFilterConfig).BypassedRecipients | ft local, domain –AutoSize -Wrap

12

Ya que de otra forma, no nos entregará todos los resultados de esta búsqueda.

13

Posterior a esta configuración en el filtro de contenido, debemos añadir las cuentas a la regla de transporte que fue generada en la consola de administración de Exchange. Para esto debemos ingresar a mail flow y en la pestaña rules ubicar la regla de nombre ByPassRecipient.

14

Ingresamos a las configuraciones de la regla, y lo primero que veremos será un listado con todos los buzones que fueron añadidos como receptores seguros para esta regla de ByPass.

15

Para poder añadir direcciones a esta regla, debe ingresar a la configuración haciendo click en los nombres que se encuentran a la derecha, una vez dentro en el recuadro de check names debe ingresar la dirección completa de correo.

Tal cual como se muestra en la imagen.

16

NOTA: estos se deben ingresar uno por uno, ya que al poner una “,” al final de la dirección la añadirá de manera automática al filtro.

Añadir emisores seguros

La ultima configuración que se debe realizar para liberar los buzones, es añadir el remitente que se encargará de comunicarse con ese o esos buzones, a través del nombre de dominio y la dirección de correo.

Para añadir un dominio a la WhiteList, se debe realizar desde PowerShell y desde la regla BypassSender. Mediante PowerShell debemos verificar primero que el dominio que queremos ingresar no se encuentre, utilizando Get-TransportConfig.

17

El parámetro BypassedSenderDomain es donde se encuentran los dominios en WhiteList, y para añadir un nuevo dominio debe utilizarse el cmdlet Set-TransportConfig de la siguiente manera:

18

Y Verificamos.

19

Para concluir con la configuración de la WhiteList debemos añadiros a la regla ByPassSender desde la configuración de rules en mail flow.

20

Y de igual manera, ingresamos a su configuración.

21

Desde aquí, podemos ingresar el dominio, el cual queremos liberar y el buzón que enviará los mensajes, ya sea de una organización externa o de manera interna, y de igual manera que en las configuraciones anteriores, debemos ingresar dirección de correo, y dominio.

Y añadimos las direcciones de correo que queremos liberar.

22

NOTA: Al igual que la configuración de los receptores, hay que añadirlas una por una.

Y esta es la ventana para incorporar dominios a la WhiteList.

23

En resumen, estas configuraciones son esenciales para el filtro de contenido del anti-spam de Exchange 2013, esto debido a que permiten especificar campos para bloquear o permitir como dominios, emisores, receptores, asunto y cuerpo del mensaje a través del módulo de Exchange PowerShell.

Ernesto León, Consultor de Infraestructura, Blue Solutions.

Síganos en LinkedIn Blue Solutions Chile.

Servidor KMS Windows Server 2008 R2

KMS es un servicio que permite que se activen los sistemas operativos de la red desde un servidor donde se haya instalado el servicio de KMS. Con KMS se elimina la necesidad de activar de manera individual cada uno de los equipos. KMS no requiere un sistema dedicado y se puede hospedar en un sistema que también proporcione otros servicios. Las ediciones por volumen de los sistemas operativos de servidor y cliente de Windows se conectan de forma predeterminada a un sistema que hospeda el servicio KMS para solicitar la activación.

a) Instalación de servicio KMS

El proceso de instalación, en un servidor Windows 2008 R2 es el siguiente:

  1. Clic derecho sobre Command Prompt y ejecutar como administrador
  2. En la consola de comandos escribir cd C:\Windows\system32 y luego presionar la tecla enter
  3. Ejecutar cscript.exe slmgr.vbs /ipk KMS-Host-Key, donde KMS-Host-Key es la clave KMS para el sistema operativo que se desea activar, esta clave KMS no es una licencia estándar de Windows ni una licencia MAC, es una licencia especial para este tipo de servicios. Además la licencia para el servicio de KMS no puede ser una licencia de Windows 8 o superior, para eso existe desde Windows server 2012 R2 un servicio llamado Active Directory-Based.

A2

a.1) Habilitación de servicio en Firewall de Windows

Para que el servicio atienda a los clientes, debe permitirse en el firewall de Windows del servidor donde instalaremos el servidor de KMS, para esto realizaremos las siguientes configuraciones en el firewall.

  1. Clic en Windows Firewall
  2. Clic en Allow a program of feature trough Windows Firewall
  3. Clic en Key Management Service y luego marcar la columna de Domain
  4. Clic en OK

Debe quedar configurado como muestra la imagen.

a3

a.2) Creación de registro DNS

Para que los equipos clientes puedan encontrar al servidor que provee la activación en la red interna, se debe crear un registro DNS de tipo SRV. Por omisión los clientes buscarán este registro y solicitarán la activación al servidor correspondiente.

Para crear el registro DNS:

  1. Ingresar al servidor DNS
  2. Abrir la consola DNS
  3. Expandir Forward Lookup Zones
  4. Expandir la zona DNS correspondiente al dominio de los equipos.
  5. Clic derecho sobre _tcp y clic en Other New records
  6. En la lista hacer clic sobre Service Location (SRV) y luego en botón Create Record
  7. Llenar los siguientes campos:
    1. Service = _VLMCS
    2. Protocol = _tcp
    3. Priority = 0
    4. Weight = 0
    5. Port Number = 1688
    6. Host offering this service = “nombre fqdn del servidor kms, por ejemplo: KMS.Contoso.com”
    7. Clic en OK

La habilitación del servicio de KMS hasta Windows server 2008 R2 es algo compleja pero útil, si bien no presenta la misma simplicidad de la interfaz gráfica que su actual actualización en Windows server 2012, KMS en Windows server 2008 R2 cumple a la perfección con la necesidad de aplicar licenciamiento a los equipos en el entorno de red, y no necesita hardware adicional.

Ernesto León, Consultor Cloud, Blue Solutions.

Síganos en LinkedIn Blue Solutions Chile.

 

 

 

¿Cómo instalar impresoras en sistemas operativos actuales?

La instalación de impresoras, tanto sea por máquinas, o por usuarios es algo que se puede hacer mediante Directivas de Grupo (GPOs). Me ha parecido interesante desarrollar este tema, no sólo porque he sido consultado muchas veces, sino porque ha cambiado de cómo era, en sistemas operativos “antiguos”.

Este post esta orientado a un servidor que comparte y administra una impresora de red, automatizando la instalación en máquinas cliente de acuerdo al usuario.

Como pueden ver en la siguiente figura, he creado una Unidad Organizativa (OU) con un usuario de pruebas (“User Uno”, U1), donde enlazaré la GPO que instalará la impresora.

n1

Comenzaré creando y enlazando una GPO a esta Unidad Organizativa, como muestran las siguientes figuras.

n2

 

n3

 

n4

Lo dejaremos stand by, lo utilizaré más adelante. Esto es así, porque en las actuales GPO ya no existe la opción “Deployed printers”

Por otro lado, en SRV1, tengo creada y compartida una impresora, puede ser la que necesiten, en mi caso es una conectada por un puerto TCP/IP, aunque sería exactamente igual si se tratara de un puerto local.

n5

Continuando en SRV1, instálo la funcionalidad “Print and Documents Services” de forma habitual.

n7

Solo es necesario seleccionar el rol de “Print Server”

n8

Una vez finalizada la instalación, tenemos disponible y abrimos “Print Management”

n9

Para esta demostración, comenzaré con botón derecho sobre la impresora a instalar automáticamente, y eligiendo “Deploy with Group Policy …”

n10

Primero debemos seleccionar con el botón “Browse” la GPO que creamos al principio.

n11

 

n12

 

Y luego seleccionar la opción si deseamos que la instalación sea por usuario o por máquina, en mi caso seleccioné por usuario, pero sería todo de igual forma si seleccionáramos por máquina, salvo que la GPO debe aplicarse a las cuentas de máquinas y no de los usuarios.

Recién cuando seleccionen la opción, se habilita el botón “Add”.

n13

Ahora solo debemos aceptar lo hecho.

n14

n15

En el cliente (CL1) podríamos necesitar ejecutar la aplicación forzada de la GPO, pero en mi caso decido iniciar sesión con el usuario de prueba (U1)

¿Cómo podemos observar si aparece la impresora correctamente instalada?

n16

Hemos visto una demostración de cómo se puede disponer de las impresoras de red en forma automática, en este caso por usuarios.

Nicolas Herrera, Consultor de Infraestructura, Blue Solutions.

¿Cómo configurar servidor de KMS 2012R2?

La función de un servidor KMS es bastante sencilla y útil. Su misión es entregar una licencia de Windows al equipo del cliente. Su implementación en bastante simple, hasta Windows 2008 R2 no se utilizaba interfaz gráfica, solo se trabajaba a través de líneas de comandos. Hoy en Windows Server 2012 R2 se añadió la posibilidad de usar una interfaz gráfica. Claro está que aún puede ser implementado a través de líneas de comandos.

A continuación vamos a realizar la implementación.

1.- Desde la consola de Server Manager de nuestro Windows 2012, debemos hacer click en manage, add roles and features y desde la opción de roles del servidor, seleccionamos “volumen activation services”

e1

Procediendo a la instalación.

e2

Una vez finalizada la instalación, damos click en “Volume Activation Tools” para comenzar con la configuración.

e3

Al ingresar a la herramienta de Volume Activation podemos observar que además de la opción de Key Management Service (KMS) está la opción de Active Directory-Based Activation. Nosotros utilizaremos el KMS y daremos click en next, ya que las activaciones basadas en Active Directory, solo soportan desde Windows 8 en adelante.

e4

Aquí utilizamos  KMS host key. ¡Ojo debe comprarse! y click en Next.

6e

7e

Seleccionamos la localidad donde serán utilizadas las licencias y click en commit para finalizar.

8e

9e

Este servicio se utiliza para activar las licencias de multiples equipos conectados a la red, realizando de esta forma una labor automatizada.

 Ernesto León, Técnico en Soporte, Blue Solutions.