Hola a todos

El día Lunes 19 de Mayo realizare una charla de Windows Server 2008 + NAP

· Fecha : Lunes 19
· Hora : 19:00 -> ojo, en el registro de Microsoft dice 18:30 hrs
· Valor : $0
· Lugar : DuocUC Sede San Andrés, Paicaví 3280, Concepción
· Orador : Pablo Campos S.
· Titulo : ITSur invita: Protegiendo el acceso a las redes con NAP
· Network Access Protection (NAP) es una potente herramienta disponible con  Windows Server 2008 que nos ayuda a proteger la red contra malware y otras amenazas. Se explicaran las nuevas capacidades del role de  "Network Policy Sever" y como se puede usar NAP para obligar a cumplir una serie de requisitos en cuestiones de seguridad a los equipos que se quieran conectar a nuestra red.

PD: Auditorio S18

Registrate aqui para este evento

Estamos haciendo grandes esfuerzos de tiempo para preparar un laboratorio real con routers y switchs cisco 802.1X  para que ese día podamos hacer un demo real :)

Hola a todos.
Hoy me toco instalar masivamente el paquete FileFormatConverters.exe "Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats".

El problema es que por GPO solo se pueden instalar paquetes *.msi o *.zap.
Personalmente no me gustan los conversores de exe a msi que polulan por Internet

Cuales son los pasos para poder publicar un EXE con exito

1. Crear una carpeta compartida con permisos de lectura y ejecucion ej:\\192.168.222.10\software
2. Crear un archivo .zap con el siguiente contenido
   [Application]
   FriendlyName = "Software para poder leer archivos de Office 2007 en Office 2003"
   SetupCommand = "\\192.168.222.10\software\FileFormatConverters.exe /passive"
   DisplayVersion = 1.0
   Publisher = Pablo Campos
   
   Guardarlo como FileFormatConverters.zap
3. Dejar el archivo FileFormatConverters.exe y FileFormatConverters.zap dentro de \\192.168.222.10\software 
4. Crear la politica
   
    
   
   
   
   
5. Ejecutamos gpupdate /force para forzar la actualización de las políticas y probamos
6. Iniciamos sesión en el dominio y entramos al panel de control -> agregar o quitar programas -> Agregar programas nuevos...
   Si aparece en la lista :) si no aparece .... hay que ver el log de sucesos
   
   

mas info http://support.microsoft.com/kb/231747/en-us

Eso es todo, un saludo

Este post esta dirigido a las personas que ya implementaron su proxy (isa u otro) y quieren configurar los navegadores de todas las máquinas de los clientes, ya sean Internet Explorer o Mozilla Firefox.

Ya que Internet explorer nativamente se le pueden aplicar las políticas, ahy no esta el problema, el tema es como le aplico una política de cambio de configuración de proxy a Mozilla Firefox.

Vamos por parte
Tenemos un servidor Proxy con la IP 192.168.222.10, que atiende por el puerto 8080

1. Configurar una política para Internet Explorer
   1. En el controlador de Dominio Crear una nueva política llamada "Configuración del Proxy"
   2. Editar la política
   3. Entrar a: Configuración de Usuario -> Configuración de Windows -> Mantenimiento de Internet Explorer -> Conexión -> Configuración de los Servidores Proxy
      
      
   4. Entrar a: Configuración de Usuario -> Plantilla Administrativas ->Componentes de Windows -> Internet Explorer -> Deshabilitar el cambio de configuración del proxy -> Habilitado
   5. Entrar a: Configuracion de Equipo -> Plantillas Administrativas -> Sistema -> Directivas de Grupos -> Procesamiento de Directiva de Internet Explorer -> Habilitado
      
   6. En el controlador de dominio ejecutar el comando gpupdate /force para forzar la actualización de políticas y probar
      
2. Pero que pasa con Mozilla????
   Como comentamos anteriormente Mozilla No procesa las políticas de Microsoft.
   P:¿Que podemos hacer?
   R:Crear un script para modificar la configuración de Mozilla
   1. Primero que todo debemos conocer donde exactamente Mozilla guarda el perfil de confiiguracion del navegado
      1. Entonces leemos http://support.mozilla.com/es/kb/Profiles y nos damos cuenta que esta en
         Windows Vista/XP/2000=%APPDATA%\Mozilla\Firefox\Profiles\xxxxxxxx.default\
      2. Dentro de esta carpeta encontraremos el archivo pref.js, donde residen todas las configuraciones del navegador para ese perfil, incluida la del proxy.
   2. Saber que tenemos que cambiar o agregar a dicho archivo
      user_pref("network.proxy.http", "192.168.222.10");
      user_pref("network.proxy.http_port", 8080);
      user_pref("network.proxy.type", 1);
   3. Crear un script en VBscript, para que lea el archivo pref.js y le agregue lo necesario al inicio de sesión
3. El script, lo tenemos que agregar al la misma política anterior, pero en : Configuracion de Usuario -> Configuración de Windows -> Script -> iniciar Sesion
1. Agrgar 
2. Examinar 
3. Pegamos Nuestro Script llamado Firefox.vbs

----------------------------Script Firefox.vbs -----------------------------------------------------

Set oShell = CreateObject( "WScript.Shell" )
appdata=oShell.ExpandEnvironmentStrings("%AppData%")
ruta=appdata & "\Mozilla\Firefox\Profiles"
archivo="\prefs.js"
Set objFSO = CreateObject("Scripting.FileSystemObject")
If objFSO.FolderExists(ruta) Then
    proxy=""
    proxy=proxy & "user_pref(""network.proxy.ssl"", ""192.168.222.10"");" & vbCr
    proxy=proxy & "user_pref(""network.proxy.ssl_port"", 8080);" & vbCr
    proxy=proxy & "user_pref(""network.proxy.type"", 1);"

    strComputer = "."
    Set objWMIService = GetObject("winmgmts:" _
        & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

    Set colSubfolders = objWMIService.ExecQuery _
        ("Associators of {Win32_Directory.Name='"& ruta &"'} " _
            & "Where AssocClass = Win32_Subdirectory " _
                & "ResultRole = PartComponent")

    For Each objFolder in colSubfolders
        Set objetoFile = CreateObject("Scripting.FileSystemObject")
        set fileTOreading = objetoFile.OpenTextFile(objFolder.Name&archivo,1) 
        Do Until fileTOreading.AtEndOfStream
            strLine = fileTOreading.Readline
            strLine = Trim(strLine)
            If Len(strLine) > 0 Then
                strNewContents = strNewContents & strLine & vbCrLf
            End If
        Loop
        srtActual = strNewContents
        'srtActual = fileTOreading.ReadAll
        srtTempo = Replace(srtActual,proxy,"")
        srtTempo = srtTempo & proxy
        fileTOreading.Close
        Set fileTOwrite = objetoFile.OpenTextFile(objFolder.Name&archivo, 2)
        fileTOwrite.WriteLine srtTempo
        fileTOwrite.Close
    Next
End If

----------------------------------------------------------------------------------------------------------

Este script lo invente yo, así que si alguien lo quiere mejorar Bienvenido sea

Atte Pablo

Una parte importante del programa académico de Microsoft son las células académicas.

El día Lunes 5 de mayo se realizara el primer Cells on Camp en Concepción.

Que se tratará en este evento?

9:00 a 9:30  Registro General
9:00 a 9:45  Bienvenida a Cell on Camps
9:45 a 11:15 Novedades de Visual Studio 2008
11:30 a 13:00  ASP.NET MVC
14:30 a 16:00  Introducción a Silverlight 2.0
16:00 a 17:30 Protegiendo el acceso a las redes con NAP (YO :)
17.30 a 18.30 Programa Académico y Células Académicas
18.30 a 19:00 Sorteos y Regalos

Si leíste mi articulo de NAP con DHCP, ese día realizare el demo en vivo de todo lo visto en dicho articulo

Toda la información y el registro AQUI

Primero que todo que es WPAD http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol

Porque o para que configurar WPAD?

a) Si tenemos usuarios móviles, existe el problema que cuando salgan de la empresa la configuración del proxy quede marcada y no tenga acceso a Internet

b) Si se realiza la configuración con una GPO = queda marcada en el usuario

c) Es una lata configurar el proxy a mano :)

Como configuramos WPAD en nuestro DHCP

1) En isa server hay que ver las propiedades de la conexión de red que tenemos como Web proxy, seleccionamos la pestaña "Descubrimiento automático" y habilitamos la opción de publicación por el puerto 80.

ojo que si tienen el IIS instalado y corriendo, deben cambiar el puerto

2) Abrimos la consola de configuración del DHCP

3) Con el botón derecho del mouse, le damos "Configurar Opciones predefinidas"
Veremos la siguiente pantalla

Presionamos el ADD

En el nombre escribimos Wpad
En el tipo de dato seleccionamos String
En code ponemos el 252
En la descripción......
Presionamos OK

En Cadena agregamos la dirección del servidor isa donde esta publicado WPAD, deberia ser la direccion de nuestro isa server  : el puerto /wpad.dat

ej:http://IsaServer.local:80/wpad.dat

4) Seleccionamos el ámbito donde deseamos descubrir automáticamente el proxy

Con el botón derecho del mouse sobre el las opciones del ámbito seleccionado, le damos "Configurar Opciones"

Seleccionamos la opción 252 WPAD

Aplicar Aceptar

Ahora Nuestro Internet Explorer solo debe tener la opción "Detectar automáticamente ....."   Esto se podría hacer con una GPO

Para probar

ipconfig /release
ipconfig /renew

Eso es todo Suerte

Hay muchas maneras gráficas de respaldar nuestro servidor isa server.

Podemos seguir los asistentes que están en las pestañas Tareas y casi todos dicen Importar/exportar, y te deja la configuración en XML

Pero como realizo esto de manera automática?

realizaremos un script en vbs para esta tarea

1) creamos una carpeta compartida en un servidor \\servidor01\respaldoIsa

2) Creamos un archivo llamado backupisa.vbs con el siguiente código dentro

Dim fileName
Dim WSHNetwork
Dim shareName: shareName = "\\servidor01\respaldoIsa"
Dim xmldom : set xmldom = CreateObject("Msxml2.DOMDocument")
Dim fpc : set fpc = WScript.CreateObject("Fpc.Root")
Dim array : set array = fpc.GetContainingArray
set WSHNetwork = CreateObject("WScript.Network")
fileName=shareName & "\" & WSHNetwork.ComputerName & "-" & Month(Now) & "-" & Day(Now) & "-" & Year(Now) & ".xml"
array.Export xmldom, 0
xmldom.save(fileName)

El respaldo quedara con el nombre del Servidor isa mas el numero del mes dia año

ej: ServidorISA-3-25-2008.xml

3) Creamos una tarea programada con la frecuencia que ustedes quieran, apuntando al archivo backupisa.vbs, por ejemplo semanal

Siguiente - Siguiente - Finalizar Enjoy

Modificado 12/08/2009

Muchas personas dicen que les crea el dominiopero vacio, la respuesta a esto es ejecutar el script justo donde tienen el archivo con listas negras

Es decir el archuivo ISA_Fill_Domain_Name_Set.vbs y el archivo de domains deben estar en la misma carpeta

cscript ISA_Fill_Domain_Name_Set.vbs porno domains

PD: las listas muy grandes como la de pornografia pueden dar paso a que cueste unpoco exportar la confguracion colpleta del Servidor isa

Hola a todos en este tutorial, configuraremos nuestro isa server para usa la base de datos con listas negras de dominios y Urls disponible en la pagina http://urlblacklist.com/

Por que hacer esto?
No creo que ninguno tenga el tiempo de bloquear una por una las paginas pornográficas o de warez que existen en Internet. Al menos este sitio nos provee una base de datos con muchas de ellas.

Como se hace esto?

Primero bajamos un par de Scripts disponibles en http://www.isascripts.org/ 

Descargamos el archivo con listas negras de http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist

En este ejemplo el archivo bigblacklist.tar.gz de listas negras fue descomprimido en  c:\Blacklist

Copiamos el script llamado ISA_Fill_Domain_Name_Set.vbs y ISA_Fill_URL_Set.vbs dentro de la carpeta c:\Blacklist.

Entramos en la carpeta c:\Blacklist

1) Para prohibir los sitios de dominios pornograficos ejecutamos :   "ojo son como 8MB de dominios PACIENCIA"

cscript ISA_Fill_Domain_Name_Set.vbs porno'c:\Blacklist\warez\domains'

2) Para prohibir las Urls warez ejecutamos :

cscript ISA_Fill_URL_Set.vbs pornografia 'c:\Blacklist\warez\urls'

..... Y así sucesivamente con todos los ítems.

En esta pagina esta la descripción de cada uno de los ítems http://urlblacklist.com/?sec=download

Bueno después de todo este proceso ¿Como creamos la regla que me permita bloquear este contenido?

Editamos la regla que bloquea algunas paginas..... en un articulo anterior se mostró como Bloqueando Audio y Video con Isa Server 2006

Y en la pestana "A" ponemos agregar

Agregamos todos los dominios que queremos denegar

Y agregamos todos los conjuntos de Urls que deseamos denegar

Aceptar Aceptar Aplicar enjoy

mmmm se podria automatizar todo esto cada una semana con Wget para windows mmmmmmm

Eso no+

Ufff

Después de mis artículos anteriores dije "Podemos estar mas tranquilos", ya que los usuarios no están viendo vídeos en línea y el uso del ancho de banda es mas eficiente.

Pero justo vi a un compañero de trabajo en la pagina de www.indycar.com en la sección de vídeos, y los reproducía lo mas Bien.

¿Pero como? Si yo restringí la reproducción de los vídeo :(

El tema es que la exención de este vídeo es la famosa *.flv

Que podemos hacer.

En la regla del isa server que permite el trafico Http

Con el botón derecho del raton le damos "Configurar HTTP" y vamos a la pestaña Extenciones,  seleccionamos "Bloquear exenciones........", pulsamos el botón Agregar y en la exención agregamos .flv

Aceptar Aceptar Aplicar Enjoy

Pablo

Encontré una utilidad muy interesante llamada TZedit, el cual muestra cuando parte y termina el horario de Invierno de cada país

Les dejo el link y un pantallazo

Descargar ahora la utilidad Tzedit.exe

PD: El mío dice el ultimo sábado de marzo, ya que ejecute los scripts de los artículos anteriores :)

Hay un entrenamiento técnico extra para revisar este tema.

Es hoy Miércoles a las 17:00 horas, hora de Chile.

Los datos de conexión son:

Fecha: 05 de marzo
Hora:  17:00  horas, Chile.
Lugar: a través de Microsoft Office LiveMeeting
Duración: 60 minutos
Acceda haciendo click aquí.

Ojo que mañana tendremos otro más que anunciaré aquí mismo.

SI USTED NO POSEE MS OFFICE LIVEMEETING
Para ahorrar tiempo antes de la reunión, revise el sistema para asegurarse de que está preparado para usar Microsoft Office Live Meeting.
http://go.microsoft.com/fwlink/?LinkId=90703

Hola a todos.

Este año 2008 en particular tiene como característica que por el déficit energético se alargó el horario de verano por tres semanas, es decir, no se cambiará la hora este Sábado 8 de Marzo sino que se hará el 29 de Marzo a las 24:00 hrs y se deberá retroceder 1 hora hasta las 23:00 horas para volver al horario de invierno. Esto esta decretado por el Decreto Supremo N 316 del 8 de Febrero de 2008. Lo detalles del mismo pueden encontrarlos en la página del SHOA, aquí. Esto corre para Chile Continental y Chile Insular

Como el gobierno no cacha mucho de informática y cambia los horarios de Veranos a destajo... :) nosotros los TI admin debemos lidear con el cambio de hora en ambientes productivos.

y como se hace eso?

Lo podemos hacer con una clave de registro que actualice el intervalo de horario de verano y ejecutarla  al inicio de sesión de todas nuestras máquinas.

Para este ejemplo tenemos un dominio llamado test.com.

1) crear un archivo llamado TZupdate.reg con el bloc de notas con el siguiente contenido dentro

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones\Pacific SA Standard Time]
"TZI"=hex:f0,00,00,00,00,00,00,00,c4,ff,ff,ff,00,00,03,00,06,00,05,00,17,00,3b,00,3b,00,00,00,00,00,0a,00,06,00,02,00,17,00,3b,00,3b,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones\Pacific SA Standard Time\Dynamic DST]
"FirstEntry"=dword:000007d7
"LastEntry"=dword:000007d8
"2008"=hex:f0,00,00,00,00,00,00,00,c4,ff,ff,ff,00,00,03,00,06,00,05,00,17,00,3b,00,3b,00,00,00,00,00,0a,00,06,00,02,00,17,00,3b,00,3b,00,00,00
"2007"=hex:f0,00,00,00,00,00,00,00,c4,ff,ff,ff,00,00,03,00,06,00,02,00,17,00,3b,00,3b,00,e7,03,00,00,0a,00,06,00,02,00,17,00,3b,00,3b,00,e7,03

2) crear un archivo llamado refreshTZinfo.vbs con el bloc de notas con el siguiente contenido dentro

Set objSh = CreateObject("WScript.Shell")
'Get the StandardName key of the current time zone
szStandardName = objSh.RegRead("HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation\StandardName")
'Enumerate the subkeys in the time zone database
const HKEY_LOCAL_MACHINE = &H80000002
Set objReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\default:StdRegProv")
szTzsKeyPath = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones"
objReg.EnumKey HKEY_LOCAL_MACHINE, szTzsKeyPath, arrTzSubKeys
'Step through the time zones to find the matching Standard Name
szTzKey = "<Unknown>"
For Each subkey In arrTzSubKeys
    If (objSh.RegRead("HKLM\" & szTzsKeyPath & "\" & subkey & "\Std") = szStandardName) Then
        'Found matching StandardName, now store this time zone key name
        szTzKey = subkey
    End If
Next
If szTzKey = "<Unknown>" Then
       'Write entry to the Application event log stating that the update has failed to execute
       objSh.LogEvent 1, "DST 2007 Registry Update and Refresh failed to execute on this computer.  Time zones failed to enumerate properly or matching time zone not found."
       Wscript.Quit 0
End If
Dim process, processid, result, strUpdateCommand
Set process = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2:Win32_process")
'Add time change privilege to the process object
process.Security_.Privileges.AddAsString "SeSystemTimePrivilege",True
strUpdateCommand = "control.exe timedate.cpl,,/Z" & szTzKey
'Launch control.exe to refresh time zone information using the TZ key name obtained above
result = process.create(strUpdateCommand,Null,Null,processid)
If result <> 0 Then
    objSh.LogEvent 1, "DST 2007 Registry Update and Refresh failed to execute on this computer.  Unable to refresh the Timezone database."
    Wscript.Quit 0
End If
'Get current display name of refreshed time zone
szCurrDispName = objSh.RegRead("HKLM\" & szTzsKeyPath & "\" & szTzKey & "\Display")
'Write entry to the Application event log stating that the update has executed
objSh.LogEvent 4, "DST 2007 Registry Update and Refresh has been executed on this computer." & chr(13) & chr(10) & chr(13) & chr(10) & "Current time zone is: " & szCurrDispName & "."

3) Crear un archivo llamado cambiaHorario.bat con el siguiente contenido dentro

@echo off
ver |find /i "6.0">nul
IF %errorlevel% EQU 0 GOTO end
regedit /s \\test.com\NETLOGON\TZupdate.reg
cscript \\test.com\NETLOGON\refreshTZinfo.vbs
:end

4) Copiar todos estos archivos dentro de la carpeta NETLOGON del dominio

\\test.com\NETLOGON

5) En el controlador de dominio ejecute el Administrador de Active Directory dsa.msc y cree una politica a nivel de dominio

a) Propiedades al dominio "test.com", en la pestaña Directivas de Grupo cree una nueva directiva llamada "CambiaHorario"

b) Editamos la política

Configuración de Equipo->Configuración de Windows->Archivos de Comando->Inicio

6) De damos doble click en inicio y agregamos la ruta del archivo .bat creado en el punto 3

\\test.com\NETLOGON\cambiaHorario.bat

Aplicar aceptar

7) forzamos las Actualizaciones de las políticas de grupo

gpupdate /force
----------------------------------------------------------------------------------------------------------------------------------------------

Eso seria todo mas info en el blog de linacre http://blogs.technet.com/linacre

atte

Como puedo restringir que mis usuarios no entren en www.megaupload.com o www.rapidshare.com

Primero que todo, tenemos que hacer una lista de las Web Prohibidas

En el panel derecho, dentro del contenedor "Objetos de Red", le damos botón derecho del mouse sobre Conjunto de Direcciones URL

Le damos un nombre por ejemplo "No aceptadas" y dentro de estas agregamos las direcciones web exactas o como se muesta ene l ejemplo

ej: http://www.tvn.cl/ o puede ser todos los objetos dentro del dominio Tvn.cl http://*.tvn.cl/*

Después crearemos una regla en el Firewall Isa server 2006 siguiendo los pasos del 1 al 5 del post anterior "Bloqueando Audio y Video..."

Solo que en la red de destino debemos seleccionar el conjunto de direcciones URLs recién creadas "No aceptas"

Aplicar Aceptar y Enjoy

mmm, al parecer los usuarios disfrutan mucho de www.youtube.com y de las radios en linea, peo esta practica nos consume una gran porción del ancho de banda en el "trabajo".

¿ se puede bloquear todo eso ? ¿ como ?

Con isa Server 2006 se puede generar una regla de este tipo

1) Abrimos la Consola de administración de Isa Server

2) Creamos una Nueva regla

 

3) Le ponemos algún nombre a la regla

4) Le decimos que es denegara el trafico

5) Seleccionamos los puertos que queremos filtrar audio y video (HTTP y MMS)

6) Seleccionamos las redes de origen y destino

7) Aceptamos y aplicamos la regla

8) Editamos la regla haciendo doble click sobre ella, vamos a la pestaña de Tipos de Contenido y seleccionamos audio y video

9) Aplicar - Aceptar

Y eso es todo

Un saludo

Atte

Pablo Campos S.

 
Hola a todos

Como parte del proceso de mi proyecto en ItproMomentum, es que me decidí a implementar una red con NAP (Network Acces Protecction).

Pero Primero que todo ¿que es NAP?

La Protección de Acceso a Red (NAP, Network Access Protection) es una plataforma de aplicación de políticas incorporada dentro del sistema operativo Microsoft Windows que permite a los profesionales de TI configurar políticas (por ejemplo, políticas de actualización de versión del sistema operativo o de antivirus), de forma que se pueda restringir el acceso a la red a los clientes hasta que puedan demostrar que cumplen las normativas indicadas).

Segundo ¿ por que implementar NAP ?
Los administradores de TI hacemos esfuerzos muy grandes para proteger las empresas, implementando:

Firewalls Isa Server 2006 para prevenir el acceso de intrusos a nuestros servidores y estaciones de trabajo
Windows Server Update Services para mantener nuestras estaciones de trabajo y servidores actualizadas
Antivirus y AntiSpyWare, para prevenir todo tipo de infecciones dentro de la empresa.

Pero que pasa si llega un usuario con un notebook infectado por un virus y el ni siquiera lo sabe, ya que su antivirus no esta actualizado o justo no tiene una actualización critica de seguridad. Conecta el cable de red a su portátil  y el DHCP le entrega una dirección ip de nuestra LAN o simplemente el se asigna una manualmente. Automáticamente el virus o programa maligno puede propagarse por nuestra red e incluso llegando a nuestra sala de servidores.

Con NAP podemos forzar a que cualquier computador que entre en la red compla con los requerimientos minimos de seguridad de nuestra empresa, como pueden ser:

Tener todas las actualizaciones criticas
Antivirus Instalado y Actualizado
Firewall Activado
Actualizaciones Automáticas Activadas

Que software se ocupara para implementar NAP?

Virtual Server R2 en hambiente Virtual
Windows Server 2008
XP Pro Service Pack 3 
Windows Server 2003 R2 Sp2 o 2008

Diagrama de la red de prueba

1. Primero que todo instalar el controlador de Dominio en Windows 2003 llamado prueba.cl usando el comando dcpromo y siguiendo el Wizard al pie de la letra, Ojo no olvidar instalar DNS
2. Instalar Windows Server 2008 por defecto
3. Unir Windows Server 2008 al dominio pueba.cl, siguiendo los siguientes pasos
   1. Inicio
   2. Panel de Control
   3. Sistema
   4. Cambiar Configuración
   5. Presionan el botón cambiar
   6. 
   7. Reiniciar la máquina
   8. Iniciar Sesión como miembro del dominio PRUEBA\Administrador
      
4. Instalar NPS en Windows Server 2008
   
   Ahora vamos a Inicio -> Administrador del Servidor, hacemos click en el menu de funciones y hacer click en el icono Agregar Funciones
   
   
   
   Seleccionamos Servidor de acceso y directiva de redes (Network Policy and Acces Services) 
   
   
    
   Reiniciar la máquina
   
5. Configurar SHVs ("System Health Validators")
   1. inicio ejecutar nps.msc
   2. En el nodo Validadores de mantenimiento del sistema, hacer doble click en "Validadores  de mantenimiento de seguridad de Windows
       
   3. Presione el botón configurar y habilite el firewall y las actualizaciones automáticas, tanto en la pestaña de Windows Vista como en la de XP
      
      
6. Configurar servidores que proporcionaran "sanción" a nuestros Desktops, estos pueden ser Wsus... En este Step by Step no tenemos Wsus :(
7. Configurar Directivas de Mantenimiento
   1. Dar click derecho del ratón sobre el nodo "Directivas de Mantenimiento" en el menú Nuevo y y le damos en nombre de Cumple
      Seleccionar "El cliente Supera todas las comprobaciones de SHV" y habilitar el checkbox del Validador de Seguridad
       
   2. Dar click derecho del ratón sobre el nodo "Directivas de Mantenimiento" en el menú Nuevo y y le damos en nombre de NO Cumple
      Seleccionar "El cliente no Supera todas las comprobaciones de SHV" y habilitar el checkbox del Validador de Seguridad
      
      
8. Configurar Políticas de Red
   1. Deshabilitar todas las políticas por defecto
   2. Con el botón derecho del mouse sobre el nodo "Directivas de red", presionar el menú nuevo
   3. Especificar el nombre de la Política como Cumple Acceso Completo
      
   4. En la pantalla de Especificar Condiciones, presionar el botón agregar y seleccionar Directivas de Mantenimiento
      
   5. Cuando nos pregunte por la directiva de mantenimiento, seleccionamos Cumple
      
   6. En la pantalla de especificar permisos de Acceso, seleccionar Acceso Concedido
   7. En la pantalla de configurar métodos de autenticación, solo dejamos Realizar solo comprobación de mantenimiento de quipos
   8. En la pantalla de configurar opciones, debemos configurar el cumplimiento NAP, para Permitir Acceso Completo a la red
   9. Finish
   10. Ahora realizaremos lo mismo que del paso 2 al nuevo, solo que en este caso
       1. En el paso 1 le damos el nombre de la politica como No Cumple
       2. En el paso 5 seleccionaremos la directiva de mantenimiento "No Cumple"  
       3. En el paso 8 seleccionamos Permitir Acceso Limitado
   11. Finish
       
9. Instalar DHCP en Windows Server 2008
   
   
   
   
   
   
10. Configurar los Alcances en el DHCP
    1. ejecutar el comando dhcpmgmt.msc
    2. En la consola Dhcp expanda el nodo IPV4
    3. Presione con el botón derecho del mouse sobre el alance("Scope") que realizo en el paso 9 ("Red Nap1") y seleccione propiedades
    4. En la pestaña de protección de acceso a la red, habilite la protección de acceso a la red como muestra la siguiente figura
       
    5. Expanda el alance("Scope") Red Nap1 y presione con el botón derecho del mouse sobre Opciones de Ámbito y seleccione Configurar Opciones
    6. Seleccione la pestaña Opciones Avanzadas
    7. En clase de Usuario, seleccione "Clase de Protección a la red predeterminada"
    8. Seleccione la opción 005 "Servidores DNS" y agrege el servidor 192.168.200.10
    9. Seleccione la opcion 015 "Nombre del Dominio DNS" y agregue restringido.prueba.cl
    10. Aplicar y  Aceptar
11. Unir Vista y XP al Dominio
    1. Primero que todo, asegúrese que la configuración ip de los clientes sea correcta por DHCP 
    2. Usar el mismo procedimiento que en el paso 3 para vista
12. Habilitar el Cumplimiento NAP en XP
    1. Inicio-> ejecutar->services.msc
    2. Dejar el servicio habilitado y automático
       
    3. Configurar el cliente por dhcp
       1. netsh nap client set enforcement id=79617 admin="ENABLE"
          1. DHCP = 79617
          2. RAS = 79618
          3. IPSec = 79619
          4. TS Gateway = 79621
          5. EAP = 79623
13. Habilitar el Cumplimiento NAP en Vista
    1. Inicio-> ejecutar->services.msc
    2. Dejar el servicio habilitado y automático
       
    3. Configurar el Cumplimiento nap por dhcp
    4. Ejecute napclcfg.msc
       
       
14. Lo mas importante Probar si las cosas funcionan
    1. Iniciamos Sesión En Windows XP Sp3
    2. En el panel de Control seleccionamos el icono Centro de Seguridad
    3. Desactivamos el Firewall
    4. Renovamos nuestra ip con el dhcp con el comando ipconfig /release y después el comando ipconfig /renew  y deberíamos ver algo así
       
        
       
       
15. Pero en unos segundos mas, deberíamos ver algo así
    
    

Eso es todo

Espero les sirva este paso a paso

Espero Modificarlo en un par de semanas, agregando el servidor Wsus y el Antivirus Kaspersky

Atte

Pablo Campos

Tengo un dominio llamado miempresa.cl el cual tiene una zona integrada con active directory llamada mi empresa.cl la cual es principal.

Con el tiempo agregamos otra empresa al dns llamada otraempresa.cl

Donde esta el problema???. Es que en miempresa.cl tenemos un servidor llamado fotos y en otraempresa.cl = hay un servidor llamado fotos.

Los usuarios en el navegador están acostumbrados a entrar al sitio solo digitando http://fotos

Pero todos los usuarios del dominio se les abría el sitio de fotos de miempresa.cl

Por lo cual los usuarios de otraempresa.cl reclamaron que querían ver su sitio de fotos

Todos los usuarios y equipos de otraempresa.cl están en la OU otraempresa

La solución simple seria que digiten el FQDN y listo...... pero los usuarios están acostumbrados solo con el nombre del equipo

¿Que podemos hacer?

1) Usar una GPO  a nivel de máquina en la OU otraempresa

Y según yo santo remedio

Los clientes con Windows 2003 y XP funcionaban súper bien.

¿ pero que paso con mis clientes con Windows 2000 y NT4 ?

La GPO anterior solo es valida para XP y 2003.

Entonces recurrí al Script Center y modifique el siguiente Script

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

On Error Resume Next
strComputer = "."
dns1=""
dns2=""
Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

Set colNetCards = objWMIService.ExecQuery _
    ("Select * From Win32_NetworkAdapterConfiguration Where IPEnabled = True")

For Each objNetCard in colNetCards
    objNetCard.SetDNSDomain("otraempresa.cl")
    dns1=objNetCard.DNSDomainSuffixSearchOrder(0)
    dns2=objNetCard.DNSDomainSuffixSearchOrder(1)

Next

Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

Set ObjNetworkSettings=ObjWMIService.Get("win32_NetworkAdapterconfiguration")

ArrDnsSuffixes=Array(dns1,dns2)

ObjNetworkSettings.SetDNSSuffixSearchOrder (ArrDnsSuffixes)

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Este script lo guarde con el nombre de SolucionDNS.VBS y le asigne una GPO de inicio de sesion

Feliz después de implementar la solución, me di cuanta que los usuarios de la OU miempresa.cl podían ver su sitio de fotos y los usuarios de otraempresa.cl podían ver SU sitio de fotos, creí que la tarea estaba finalizada.

para mi sorpresa el arreglo que genere en el script anterior Array(dns1,dns2), después de reiniciar el equipo el arreglo se agregaba a la cola quedando de esta manera

otraempresa.cl,miempresa.cl

Después de reiniciar

miempresa.cl,otraempresa.cl

Después de reiniciar

otraempresa.cl,miempresa.cl

mmmmm es decir la cosa no estaba funcionando muy bien, pero una manito de gato al script y listo

if StrComp("miempresa.cl",dns1)=0 then
    dns1="otraempresa.cl"
end if
if StrComp("otraempresa.cl",dns2)=0 then
    dns2="miempresa.cl"
end if

Eso es todo.........

Un saludo

Hola a todos, hoy me toco realizar una nueva tarea. Migrar un DHCP de Windows 2000 a Windows 2003.

Que hice primero?

Podemos hacer la importacion por línea de comando

netsh dhcp dump >C:\dhcp.dump 

Recordemos que el signo mayor > es el standar potput del sistema operativo y  que en vez de salir por la pantalla, lo cual es por defecto, saldra a un archivo de texto llamado dhcp.dump

La otra manera mas facil es hacerlo con un software llamado dhcpexim http://www.microsoft.com/downloads/details.aspx?FamilyID=3603ae26-81f0-478a-836c-b31ed463af5e&displaylang=en

Ojo que este permite importar y exportar la base de datos del DHCP pero solo en Windows 2000 server

Para importar la base de datos en Windows Server 2003 solo debemos ejecutar el siguiente comando

netsh dhcp server import c:\dhcp.dump all

Eso seria todo.

Espero le sirva a alguien  

PD: ojo con la configuracion de los scope, si hay redundancia en un scope, fallara la importacion