Archivo de la categoría: Windows Server 2008 R2

Habilitar protocolo de cifrado TLS 1.2

En esta oportunidad enseñaré los datos para habilitar el protocolo de cifrado TLS 1.2 y deshabilitar el 1.0.

Actualmente todas las aplicaciones en IIS que usan TLS 1.0 se recomienda realizar esta configuración para tener una comunicación más segura en nuestras aplicaciones.

Si queremos verificar si nuestra aplicación o servidor ejecuta TLS 1.0, TLS 1.2, podemos hacerlo desde la siguiente URL: https://www.ssllabs.com/ssltest/ , lo únio que debemos hacer es digitar el nombre de nuestra aplicación.

Por ejemplo la siguiente imagen muestra, que tenemos habilitado el protocolo TLS 1.2 y deshabilitado el TLS 1.0, con esto podemos estar tranquilos que nuestra aplicación está intercambiando datos de manera segura.

Para lograr este resultado en nuestro Test, debemos aplicar las siguientes configuraciones en la siguiente ruta de registro de Windows:

1.- Deshabilitar TLS 1.0:

En protocolos, damos clic derecho y creamos nueva llave de registro con el nombre TLS 1.0, luego hacemos clic derecho en TLS 1.0 y creamos dos llaves de registro Client y Server, dentro de Client y Server creamos el Valor de DWORD (32 bits)  Enabled con valor hexadecimal Cero.

2.- Habilitar TLS 1.1 y 1.2: Simplemente debemos crear las siguientes claves de registro:

En protocols, damos clic derecho y creamos nueva llave de registro con el nombre TLS 1.1, luego hacemos clic derecho en TLS 1.1 y creamos dos llaves de registro Client y Server, dentro de Client y Server creamos dos Valores de DWORD (32 bits) Enabled (Valor Hexadecimal Uno) y DisabledByDefault (Valor Hexadecimal Cero)

Nuevamente en protocols, damos clic derecho y creamos nueva llave de registro con el nombre TLS 1.2, luego hacemos clic derecho en TLS 1.2 y creamos dos llaves de registro Client y Server, dentro de Client y Server creamos dos Valores de DWORD (32 bits) Enabled (Valor Hexadecimal Uno) y DisabledByDefault (Valor Hexadecimal Cero)

Al final nuestro registro de windows debería tener la siguiente estructura; con esta configuración tenemos más segura la comunicación entre nuestra aplicaciones.

Espero les sea útil, nos vemos en otra oportunidad.

Importante: La siguiente configuración ha sido aplicada en entornos de windows Server 2008 R2 y Windows 7.

Anuncios

Configurar Aviso Legal de inicio Sesión en Servidores mediante GPO

Hoy en día muchas normas, estándares, librerías de Seguridad de La información recomiendan que en los servidores y otros equipos de comunicaciones debería existir un Banner, ya que puede servidor como un medio persuasivo para los atacantes.

Por ello en Windows server 2008, 2008r2,2012… existen opciones donde podemos configurar dichos avisos o banner.

En esta oportunidad voy a configurar un aviso para mis controladores de dominio, para ello editamos la GPO y nos dirigimos a la siguiente ruta (Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options

a

Aquí encontramos las dos opciones, la primera donde colocamos un título del banner.

2

En la segunda colocamos el contenido del aviso Legal.

3

Luego aplicamos y realizamos un gpupdate /force en los DC.

Ahora si hacemos un inicio de sesión remoto o local nos mostrará el aviso legal.

4

 

Esta configuración podemos utilizarla para todos los servidores y equipos que creamos conveniente en nuestra organización.

Gracias, espero que les sea de utilidad.

Convertir servidor físico a virtual (Hyper-v)

En algunas empresas suelo encontrar servidores de aplicaciones corriendo en hardware obsoleto y con el riesgo de que un día deje de funcionar y por ende si no se tiene algún backup nos vamos al abismo.

Hoy enseñaré los pasos para convertir un servidor físico a virtual (Hyper-v), usando la herramienta Disk2vhd, desarrollada por el amigo Mark Russinovich.

Esta herramienta es gratuita y lo podemos descargar desde aquí.

Una vez descargado, copiamos y descomprimimos en el escritorio del equipo físico que se va a virtualizar.

5

luego ejecutamos el archivo .exe y aceptamos los famosos términos de licencia.

6

Aquí seleccionamos los discos que necesitamos virtualizar, la ruta donde se guardará el VHDX (sugiero que sea en un disco Externo) y damos clic en crear; en mi caso seleccioné el Disco C,D y el Sistema Reservado.

Importante: Podemos seleccionar vhdx, este tipo de archivos es menos propenso a dañarse y con este formato podemos levantarlo en Hyper-v 3.0. o Windows Server 2012,2012r2.

8

 

Después de unos minutos el disco se ha creado satisfactoriamente, damos clic en cerrar.

 

9

Como se observa en la imagen se ha creado el archivo en al ruta donde le indicamos.

10

Ahora debemos copiar el archivo .vhdx en una ruta local o compartida de donde tenga acceso el Host con Hyper-v , luego creamos la máquina virtual, colocamos un nombre y seleccionamos la ruta donde se guardará la configuración de la VM.

11

Seleccionamos el adaptador de red.

12

Asignamos la memoria RAM, recomiendo que sea mayor e igual al servidor físico.

112

Seleccionamos la segunda opción para para usar el archivo .vhdx, damos clic en siguiente y finalizamos.

13

Ya tenemos creada la VM y agregado el disco del servidor virtualizado, ahora nos queda iniciarlo.

14

Con esto hemos logrado el objetivo.

Espero les sea de utilidad, en mi experiencia me ha ido muy bien.

Implementación de Print Server Windows Server 2008 r2

En ocasiones cuando tenemos muchas impresoras en nuestra organización es necesario centralizar la administración de las mismas, es por ello que surge el Rol de Windows llamado Print Server.

En esta oportunidad les enseñaré como instalar un Print Server desde Cero e instalar desde un cliente con windows 7.

Lo primero que haremos es instalar el rol mediante los siguientes pasos.

Nos dirigimos al Server Manager y en roles damos clic en Agregar Roles, siguiente.

0.1

Seleccionamos el Rol Print and Document Services y siguiente.

0.2

Verificamos que esté seleccionado Print Server y siguiente.

0.3

Después de todos los siguientes, damos clic en Intall

0.4

luego de unos minutos finaliza correctamente y cerramos.

0.5

En mi caso yo ya tenía varias impresoras agregadas, pero enseñaré como agregar una nueva impresora, para ello necesitamos descargar los drivers y guardarlos en alguna parte del servidor de Impresión.

1

Abrimos la consola de Print Management, desplegamos el nombre del servidor y en driver damos clic derecho, administrar drivers.

2

Observamos que tenemos todos los drivers de nuestras impresoras, en mi caso agregaré uno nuevo.

3

En caso tengamos equipos de 32 y 64 bits debemos selecionar las dos opciones, en mi caso sólo cuento con equipos con windows 7, windows 8 y windows 10 de 64 bits, por lo que seleccionaré la segunda opción.

4

Aquí seleccionamos Have Disk, nos dirigimos a la ruta donde guardamos el drivers, seleccionamos y abrimos el archivo .inf

5

6

7

Como observamos se cargan los drivers.

8

Con esto hemos agregado correctamente los drivers del modelo de nuestra impresora y finalizamos.

9

Si vamos a drivers veremos el driver instalado.

10

Ahora agregaremos la impresora, para ello hacemos clic derecho en Printers, agregar impresora.

11

Seleccionamos la segunda opción, puesto que antes yo ya le había colocado una ip a la impresora.

12

Escribimos la IP de la impresora y podemos dejarlo en Autodetect, luego clic en siguiente.

13

Seleccionamos el driver instalado.

14

Nos muestra el nombre que le colocará a la impresora y que lo va a compartir, le damos siguiente, ya mas adelante podemos cambiarle de nombre a la impresora.

15

Nos muestra información de la impresora.

16

Nos indica que la impresora ha sido instalada satisfactoriamente.

17

Ahora si nos dirigimos a la consola, en Printers podemos ver la impresora agregada y editar el nombre.

18

También el nombre con que se va a compartir.

19

A nivel de servidor eso sería todo, ahora lo que nos queda es ir a un cliente, y en el explorador de windows colocar el nombre del servidor de impresión y nos mostrará todas las impresoras que tenemos, simplemente damos doble clic en la impresora que deseamos, por supuesto con privilegios de administrador y listo se instalará la impresora.

20

21

Espero que este artículo les sirva de ayuda.

 

Saludos desde Lima-Perú.

Transferir Roles FSMO de Controlador de Dominio dañado

Después de tiempo quiero compartir con ustedes este artículo en el cual enseño cómo mover los Roles FSMO de un controlador de Dominio que ha sufrido una avería y es imposible volver a iniciar.

Los requisitos para poder realizar esta transferencia de roles es Contar con 02 contraladores de dominios Catálogo Global, en caso uno falle todas configuraciones lo realizaremos en el server que está activo.

En mi caso tengo 02 controladores de dominio;

DC-WIN2008R2 -> Controlador de Dominio que se quemó la fuente y dejó de funcionar y donde se encuentran los Roles FSMO.

3

DC02-WIN2008R2 ->Controlador de Dominio Catálogo Global funcionando y a donde queremos mover los Roles FSMO.

2

Ahora manos a la obra; como es lógico todo el proceso se realizará en el Controlador de dominio que está funcionando y utilizaremos el poderoso comando ntdsutil.

Lo primero que haremos es abrir como adminitrador la consola de PowerShell, escribimos ntdsutil, luego escrimos roles para ingresar al modo de mantenimiento FSMO, aquí digitamos connections y connect to fqdnDC

Una vez realizado la conexión regresamos al modo de Mantenimiento FSMO para ello digitamos la letra q

3.1

En el mismo PowerShell ejecutamos los siguientes 04 comandos en el orden de las imágenes, si les muestra lineas que indica error no se asusten, pues el error se dá porque se intenta conectar hacia el servidor dañado y como está fuera de linea el DC que está activo toma el control.

++++++++++++++++++++++++++++++++++++++++

seize infrastructure master

seize naming master

seize PDC

seize RID master

++++++++++++++++++++++++++++++++++++++++++

4.1

6.1

8

9

Ahora sólo cerramos el powerShell; si queremos verificar el cambio de los roles lo podemos hacer.

11

Con esto hemos terminado, sin embargo lo que queda es realizar la limpieza de todos los objetos que hacen referencia al DC dañado.

Para eliminar podemos seguir los siguientes pasos  Click Aquí

Espero les sea de utilidad, hasta otra oportunidad.