EXTENSION DE ACTIVE DIRECTORY DOMAIN SERVICES- AZURE

Cuando un cliente nos solicita extender su plataforma on-premise para la nube de Microsoft (Azure) https://docs.microsoft.com/en-us/azure/active-directory/ , existen dos oportunidades para atender este requerimiento, cada cual tiene sus bondades, pero también tienen diferentes requisitos y comportamientos. A continuación quiero clarificar ambos escenarios, uno es el configurar AD-Connect para “sincronizar” el directorio activo local con la nube *{en este escenario no se REPLICAN las cuentas y sus SID, se crean nuevas cuentas en Azure Active Directory -AAD con el mismo nombre de usuario y unos cuantos atributos copiados desde directorio activo}, el otro escenario es configurar una VPN site-to-site (S2S) y al extender la red se puede matricular un servidor de infraestructura como servicio (IAAS), pero en este escenario es necesario tener presentes los puertos que se han de permitir a nivel de firewall para evitar inconvenientes, https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10)

Cuestionario

El siguiente cuestionario es necesario para reconocer el escenario del cliente.

  • ¿Como se llama su dominio?
  • ¿Cuántos servidores controladores de dominio, Sitios y subredes componen su ADDS?
  • ¿Qué servidor/es tiene roles FSMO?
  • ¿Qué versión tienen sus controladores de dominio?
  • ¿Su dominio tiene subdominios?
  • ¿Su dominio tiene relaciones de confianza?
  • ¿Qué aplicaciones u servicios dependen de autenticación ADDS?
  • ¿Qué nivel funcional tiene su dominio y su forest?
  • ¿Cuál es la clave del administrador de dominio?
  • ¿Cuál es la clave de recuperación del dominio?
  • ¿Cuánto pesa su archivo c:\Windows\NTDS\NTDS.DIT?
  • ¿Cuántos objetos tiene su directorio activo entre usuarios, equipos, y grupos? (un aproximado)
  • ¿Esta usted actualmente utilizando Exchange, Sharepoint, o Skype for Business?
  • ¿Utiliza usted SQL, CRM, o algún ERP que requiere autenticación?
  • ¿Su Active Directory esta sincronizado con ADConnect contra Azure Active Directory?

Diseño propuesto

El siguiente diagrama es una propuesta para el escenario de un cliente que extiende su red por S2S a un domain controler en Azure.

Escenario

AD DS se usa para autenticar usuarios, equipos, aplicaciones u otras entidades que se incluyen en un dominio de seguridad. Se puede hospedar de forma local, pero si parte de la aplicación se hospeda en el entorno local y parte en Azure, puede que resulte más eficaz replicar esta funcionalidad en Azure. Esto puede reducir la latencia causada por el envío de solicitudes de autorización locales y de autenticación desde la nube a los servicios AD DS que se ejecutan en un entorno local.

Esta arquitectura suele usarse cuando la red local y la red virtual de Azure están conectadas mediante una conexión VPN S2S o ExpressRoute. Esta arquitectura también admite la replicación bidireccional, lo que significa que los cambios se pueden realizar en el entorno local o en la nube, de tal forma que se mantiene la coherencia de ambos orígenes. Los usos típicos de esta arquitectura incluyen aplicaciones híbridas en las que la funcionalidad se distribuye entre el entorno local y Azure, y las aplicaciones y los servicios que realizan la autenticación con Active Directory.

Arquitectura

Red local. La red local incluye servidores locales de Active Directory que pueden realizar la autenticación y autorización de componentes que se encuentran en entornos locales.

Servidores de Active Directory. Se trata de controladores de dominio que implementan servicios de directorio (AD DS) que se ejecutan como máquinas virtuales en la nube. Estos servidores pueden proporcionar la autenticación de componentes que se ejecutan en la red virtual de Azure.

Subred de Active Directory. Los servidores de AD DS se hospedan en una subred independiente. Las reglas de los grupos de seguridad de red (NSG) protegen los servidores de AD DS y proporcionan un firewall contra el tráfico procedente de orígenes inesperados.

Azure Gateway y sincronización de Active Directory. Azure Gateway proporciona una conexión entre la red local y la red virtual de Azure. Puede ser una conexión VPN o Azure ExpressRoute. Todas las solicitudes de sincronización entre los servidores de Active Directory en la nube y locales pasan a través de la puerta de enlace. Las rutas definidas por el usuario (UDR) controlan el enrutamiento del tráfico local que pasa a Azure. El tráfico hacia y desde los servidores de Active Directory no pasa a través de las aplicaciones virtuales de red (NVA) utilizadas en este escenario.

Recomendaciones

Las siguientes recomendaciones sirven para la mayoría de los escenarios. Sígalas a menos que tenga un requisito concreto que las invalide.

Recomendaciones de VM

Determine los requisitos de tamaño de la máquina virtual en función del volumen esperado de solicitudes de autenticación. Use las especificaciones de los equipos que hospedan AD DS de forma local como punto de partida y hágalas coincidir con los tamaños de máquina virtual de Azure. Una vez realizada la implementación, supervise la utilización y escale o reduzca verticalmente en función de la carga real de las máquinas virtuales. Para más información sobre cómo ajustar el tamaño de los controladores de dominio de AD DS, vea Capacity Planning for Active Directory Domain Services (Planeamiento de capacidad de Active Directory Domain Services).

Crear un disco de datos virtual independiente para almacenar la base de datos, los registros y SYSVOL de Active Directory. No almacene estos elementos en el mismo disco que el sistema operativo. Tenga en cuenta que, de forma predeterminada, los discos de datos que están conectados a una máquina virtual usan una caché de escritura simultánea. Sin embargo, esta forma de almacenamiento en caché puede entrar en conflicto con los requisitos de AD DS. Por ello, establezca la preferencia de caché de host en el disco de datos en Ninguna. Para más información, consulte Directrices para implementar Windows Server Active Directory en máquinas virtuales de Azure.

Implemente al menos dos máquinas virtuales que ejecutan AD DS como controladores de dominio y agréguelas a un conjunto de disponibilidad.

Recomendaciones de redes

Configure la interfaz de red (NIC) de VM para cada servidor de AD DS con una dirección IP privada estática para la compatibilidad total del Servicio de nombres de dominio (DNS). Para más información, vea Configuración de direcciones IP privadas para una máquina virtual mediante Azure Portal.

*** Nota: ****

No configure la NIC de VM para cualquier AD DS con una dirección IP pública. Vea las consideraciones de seguridad para más información.

El NSG de la subred de Active Directory requiere reglas para permitir el tráfico entrante desde el entorno local. Para obtener información detallada sobre los puertos que AD DS utiliza, vea Active Directory and Active Directory Domain Services Port Requirements (Requisitos de puertos de Active Directory Domain Services y Active Directory). Asegúrese también de que las tablas UDR no enruten el tráfico de AD DS a través de las NVA utilizadas en esta arquitectura.

Sitio de Active Directory

En AD DS, un sitio representa una ubicación física, una red o un conjunto de dispositivos. Los sitios de AD DS se utilizan para administrar la replicación de base de datos de AD DS mediante la agrupación de objetos de AD DS que se encuentran cerca unos de otros y que están conectados mediante una red de alta velocidad. AD DS incluye la lógica para seleccionar la mejor estrategia para replicar la base de datos de AD DS entre sitios.

Se recomienda crear un sitio de AD DS, incluidas las subredes definidas para la aplicación en Azure. Después, configure un vínculo de sitio entre los sitios de AD DS locales, y AD DS realizará automáticamente la replicación de base de datos más eficaz posible. Tenga en cuenta que esta replicación de base de datos requiere poco más aparte de la configuración inicial.

Maestros de operaciones de Active Directory

El rol de maestro de operaciones se puede asignar a los controladores de dominio de AD DS para admitir la comprobación de coherencia entre instancias de bases de datos de AD DS replicadas. Hay cinco roles de maestro de operaciones: maestro de esquema, maestro de nomenclatura de dominios, maestro de identificadores relativos, maestro emulador del controlador de dominio principal y maestro de infraestructuras. ¿Para más información sobre estos roles, vea What are Operations Masters? (¿Qué son los maestros de operaciones?).

Se recomienda no asignar roles de maestros de operaciones a los controladores de dominio implementados en Azure.

Supervisión

Supervise los recursos de las máquinas virtuales del controlador de dominio y los servicios de AD DS y cree un plan para corregir rápidamente los problemas. Para más información, vea Monitoring Active Directory (Supervisión de Active Directory). También puede instalar herramientas como Microsoft Systems Center en un servidor de supervisión (vea el diagrama de la arquitectura) para ayudar a realizar estas tareas

Contenido tomado de: https://docs.microsoft.com/es-es/azure/architecture/reference-architectures/identity/adds-extend-domain#deploy-the-solution

Deshabilitar la sincronizacion de AD hacia Office 365 por PowerShell

La gran mayoria de tutoriales nos ensenan a crear conectores, a adoptar nuevas tecnologias, pero a veces es necesario reconocer que lo que se enciende, a veces tambien se puede apagar. en esta ocasion vamos a deshabilitar la sincronizacion del active directory onpremise con Office 365 (Azure AD).

Vamos a la consola de PowerShell!!

Vamos a Deshabilitar la sincronizacion AD-Connect de mi escenario de Active Directory vs. Azure AD

PS>Get-ExecutionPolicy
Unrestricted
Si la politica de ejecucion no esta en modo Unrestricted, es necesario usar un Set-ExecutionPolicy Unrestricted para habilitarlo

Nos debemos conectar al tenant de Office 365 para realizar esta tarea, lo primero es verificar que tengamos el modulo instalado

PS>Get-InstalledModule -name MSOnline

Version Name Repository Description
——- —- ———- ———–
1.1.183.17 MSOnline PSGallery Microsoft Azure Active Directory Module for Windows PowerShell

Ahora bien, si no estuviera instalado, es necesario usar Find-Module MSOnline para encontrarlo, y luego Install-Module MSOnline para instalarlo en el PowerShell

Creemos entonces una variable que contenga las credenciales del tenant:
PS>$cred = Get-Credential -Credential fabian.campo@campohenriquezlab.onmicrosoft.com

Verifiquemos las credenciales almacenadas
PS>$cred

UserName Password
——– ——–
fabian.campo@campohenriquezlab.onmicrosoft.com System.Security.SecureString

Ahora conectemos nuestro powerShell con Office 365
PS>Connect-MsolService -Credential $cred

Verifiquemos la conexion usando un Get-MSOLAccountSKU
PS>Get-MSOLAccountSKU

AccountSkuId ActiveUnits WarningUnits ConsumedUnits
———— ———– ———— ————-
campohenriquezlab:DEVELOPERPACK 4 0 4

Este commandlet nos permite consultar el numero de licencias adquiridas y consumidas en el tenant
PS>Get-MsolCompanyInformation

DisplayName : CampoHenriquez
PreferredLanguage : en
Street :
City : Bogota
State : Cundinamarca
PostalCode :
Country :
CountryLetterCode : CO
TelephoneNumber : 3176821164
MarketingNotificationEmails : {}
TechnicalNotificationEmails : {fcampo@hotmail.com}
SelfServePasswordResetEnabled : True
UsersPermissionToCreateGroupsEnabled : True
UsersPermissionToCreateLOBAppsEnabled : True
UsersPermissionToReadOtherUsersEnabled : True
UsersPermissionToUserConsentToAppEnabled : True
DirectorySynchronizationEnabled : True
DirSyncServiceAccount : Sync_BogAZ01_#####da9f7ef@campohenriquezlab.onmicrosoft.com
LastDirSyncTime : 30/04/2019 0:33:53
LastPasswordSyncTime : 30/04/2019 0:39:02
PasswordSynchronizationEnabled : True

Este commandlet nos permite consultar la informacion de la organizacion, su administrador, numero de contacto, correo electronico y si tiene habilitado el servicio de sincronizacion de directorios, cuando fue la ultima sincronizacion
PS>get-help Set-MsolDirSyncEnabled

NOMBRE
Set-MsolDirSyncEnabled

SINOPSIS
Used to de-/activate Directory Sync for this tenant.

SINTAXIS
Set-MsolDirSyncEnabled -EnableDirSync [-TenantId ] []

DESCRIPCIÓN
The Set-MsolDirSyncEnabled cmdlet is used to turn directory synchronization on or off for a company.

VÍNCULOS RELACIONADOS

NOTAS
Para ver los ejemplos, escriba: “get-help Set-MsolDirSyncEnabled -examples”.
Para obtener más información, escriba: “get-help Set-MsolDirSyncEnabled -detailed”.
Para obtener información técnica, escriba: “get-help Set-MsolDirSyncEnabled -full”.
Para obtener ayuda disponible en línea, escriba: “get-help Set-MsolDirSyncEnabled -online”

PS>get-help Set-MsolDirSyncEnabled -examples

NOMBRE
Set-MsolDirSyncEnabled

SINOPSIS
Used to de-/activate Directory Sync for this tenant.

-------------------------- EXAMPLE 1 --------------------------

C:\PS>Set-MsolDirSyncEnabled -EnableDirsync $true

          None

Description

-----------

This command turns on directory synchronization for a company.

PS>Set-MsolDirSyncEnabled -EnableDirsync $False
Confirmar
¿Desea continuar con la operación?
&Sí &No S&uspender
S
Este cmdlet nos ayudo a deshabilitar la sincronizacion del directorio activo con Azure AD, ahora vamos a revisarlo.
PS>Get-MsolCompanyInformation |ft DisplayName, DirectorySynchronizationEnabled

DisplayName DirectorySynchronizationEnabled
———– ——————————-
CampoHenriquez False

De esta manera quedo deshabilitado nuestra sincronizacion de AD hacia AAD, hasta la proxima!

Proxima conferencia: DevOpsDays2019 en Bogota

Ahora nos encontraremos el 25 y 26 de Mayo en el centro de convenciones de Avianca de 8:00 AM a 5:00 PM un par de dias para compartir conocimiento en temas de desarrollo, automatizacion, y cloud computing. mas info en https://devopsdays.co/ mi charla sera de Automatizacion, ARM Templates, Visual Studio Code, PowerShell y Azure-Cli para gestionar los recursos en Azure.

image8

GlobalAzurebootcamp2019

Este año contamos con más de 280 asistentes, una nutrida asistencia considerando que en la misma fecha hubo flisol (festival de software libre) y otros eventos en el sector.

Este año mi charla fue sobre powershell y python en escenarios Devops, sobre cómo nos condena la rutina si no automatizamos los procesos diarios.

RFC1855, Netiqueta

Regularmente realizo publicaciones sobre mis investigaciones o las cosas que descubro por el camino (algunas malas traducciones, i know.-) pero estuve con mi pequeña hija de 10 años, del quinto grado, tratando de explicarle en español las 10 reglas de netiqueta, que son como las buenas maneras de Carreño en la vida diaria, “no pongas los codos sobre la mesa y esas cosas-“. En fin debemos considerarlas como normas para la sana convivencia en este cyber contexto que ofrece internet.

Gracias por esta imagen de “los increibles” ©Disney/Pixar

En resumen son 10:

  1. Nunca olvide que al otro lado del computador, la persona que lee el mensaje es otro ser humano.
  2. Adhiérase a los mismos estándares de comportamiento en línea que usted sigue en la vida real. “be kind”.
  3. Escribir todo en mayúsculas se considera como gritar y, además, dificulta la lectura.
  4. Respete el tiempo y el ancho de banda de otras personas.
  5. Muestre el lado bueno de sí mismo mientras se mantenga en línea.
  6. Comparta sus conocimientos con la comunidad.
  7. Ayude a mantener los debates en un ambiente sano y educativo.
  8. Respete la privacidad de terceras personas.
  9. No abuse de su poder o de las ventajas que pueda usted tener.
  10. Excuse los errores de otros. Comprenda los errores de los demás igual que usted espera que los demás comprendan los suyos.
seamos constructor-masters ©Lego
Construyamos una mejor internet, cada quien puede aportar un poco a que este espacio de convivencia sea enriquecedor, una utopia para el conocimiento, donde podamos crecer con el apoyo de expertos en diferentes materias, comunidades o situaciones.

AWS es 5 veces mas caro que Azure

Photo by Pixabay on Pexels.com

¿Por qué ejecutar Windows Server y SQL Server en otro lugar?
La respuesta es clara: la migración de sus cargas de trabajo a Azure puede generar ahorros significativos. No pague 5 veces más por Windows Server y SQL Server en AWS. Y, por último, no pase por alto el valor de un único punto de soporte en su nube híbrida. Cuando surgen problemas, obtiene una resolución más rápida con un solo proveedor al que llamar. Julia White (MSFT VP) analiza tres razones por las que los clientes prefieren Azure en su blog  https://azure.microsoft.com/en-us/blog/three-reasons-why-windows-server-and-sql-server-customers-continue-to-choose-azure/

Azure IAAS Free E-Book

Vagando por internet en la madrugada de hoy, me he encontrado un libro interesante que detalla varias de las cosas que he enseñado en mis clases, en mis conferencias y workshops de una manera que me parece muy practica, y me gustaría recomendarles que le den un chance, y le peguen una ojeada a Inside Azure IAAS me gusta la forma como aborda los temas, y sobre todo, que los autores le dan la merecida importancia al PowerShell. Vamos a explorar las opciones que trae Azure de la mano de este libro.

accomplishment action adult adventure

Photo by Pixabay on Pexels.com

Azure Study free

 

I’m an old school boy, and this means that i use to be a reader, a researcher, in my young days i didn’t have google, bing, or even altavista search engines web pages.

I remember i had to study hard, reading all over the enciclopedia, crawling, searching and looking for some data into an inmersive sea of contents, today my little girl simply talks to her phone’s Google Assistant and says “Okey Google, tell me the political and economic problems of Colombia’s caribean region”

i laugth a lot, just remembering those days when my school partners and i meet in the city library, asked some books to look for data, turning it on information to completely resolve that homework, taking time to make the investigations, retrieving some curious contents about those affairs, and enjoying the process to grow the ideas.

Today  microsoft raise the bid on Microsoft learn trying to capture the attention, for a coupple of minutes in MicroLearning sessions.- tiny videos, short lectures, increase the efficiency of self study, against the MVA, and Channel 9 Videos, this short sessions want to offer micro experiences, to build knowledge from basics, without wasting precious time, you can study and prepare yourself with this new way of self study, and if you got to go, you can restart just were you leave it.

people coffee meeting team

Photo by Startup Stock Photos on Pexels.com

I’m a seasoned guy, in self study, and i’ve really enjoy this new way to learn and practice, Azure is my first learning path (obviously) but i’m sure i gonna take the data cientist or data analytics path too-

hope you find it nice and smooth, kind regards.

FCampo

 

 

Se extendio la fecha de retiro de los examenes de transicion de Azure

Segun reporta El sitio de Microsoft Learning Microsoft ha decidido el pasado 18 de octubre, ampliar la fecha de retiro de los examenes de transicion para que aquellos que presentamos el examen 70-532 y el 70-533 podamos hacer el upgrade con el AZ-102 y AZ-101 respectivamente hasta el 30 de Junio de 2019.

Si presentaste como yo el 70-534 y no actualizaste al 70-535 no podras presentar el AZ-302, sino que tendras que hacer el AZ-300 y AZ-301 para ser arquitecto de soluciones Azure Expert, segun reporta el mismo portal.

Adicionalmente al rededor de esta misma noticia, Alex Payne (El director global de Global Customer Learning, Microsoft) indica que la ruta de aprendizaje tuvo mejoras, en su post sobre entrenamiento basado en roles, Alex explica que buscan mejorar la oportunidad para los autodidactas con microentrenamientos disponibles en Microsoft Learn, aquellos que prefieran la opcion de video tutoriales y cursos en linea, encontraran contenidos (gratuitos y de pago) en Pluralsigth, Linkedin Learning, OpenEDX, y los MOC OnDemand de los partner de entrenamiento. Para aquellos que prefieran un entrenamiento en persona, los cursos AZ-XXX estaran disponibles bajo la figura de Instructor-Led Training en los centros autorizados de entrenamiento o con los MCT que compren el MAP.

los examenes de certificacion seran Azure AdministratorAzure Developer y Azure Solutions Architect Expert

MS_Exam

How to do a Windows Server Hardening

By, Fabian A. Campo H. (MVP Cloud and Data Center Management) Bogota, Colombia.

I had a very important customer whose need to apply a special hardening to the Windows Servers in their datacenter. So, this is another opportunity to leave another tips and tricks post.

I’ve made a checklist, but first, I’ve taken the categories and start filling into them the steps that came to my mind:

Every Windows Machine got three minimal protections by default, the Firewall (disabled by many users), the Updates (also disabled to avoid applications failures), and the antivirus (that sometimes doesn’t have the proper exceptions). So as a first steps let’s update the machine against the Windows Updates site, let’s use the Microsoft Network Traffic Analizer or PortQuery (from Sysinternals) to identify the open and required ports, and there after enable the Windows Firewall with the appropriate rules to allow the traffic, and finally update the Antivirus, antimalware, and scan deeply your machine.

This process requires to pay attention in detail, to avoid unwanted behaviors. If you reach this point, your server is a little bit more secure. Now I can mention the next steps…

Consider using the Security Configuration Wizzard, this utility should guide you in the hardening.

The windows update has just begun, but you should make it monthly, every second Tuesday Microsoft release new updates. Keep it in mind, the best way to do this is configuring the server to download automatically the updates, and let you decide when to apply and restart it.

You should restrict the ability to access remotely from the network. Remote Desktop Protocol allows to set more secure client connections. But you can restrict by Active directory, whose can log in each computer, and the time allowed to do it.

Even as a local policy or a Domain GPO set a minimum password length, enable password complexity requirements, do not store passwords using reversible encryption, configure account lockout policy.

Restrict local logon access only to administrators and try to use LAPS to randomize the local admin passwords.

Deny guest accounts the ability to logon as a service, a batch job, locally, or via RDP

Place an explicit warning banner indicating “that all the actions over the system will be recorded”, as a message text for users attempting to log on.

Require Ctrl+Alt+Del for logon

Configure machine inactivity limit to 15 minutes to close idle sessions

Disable SMB 1.0 protocol

Disable the sending of unencrypted passwords to third party SMB servers

Configure Microsoft Network Server to always digitally sign communications and Configure Microsoft Network Server to digitally sign communications if client agrees

Disable anonymous SID/Name translation

Do not allow anonymous enumeration of SAM accounts

Do not allow anonymous enumeration of SAM accounts and shares

Do not allow Everyone permissions to apply to anonymous users

Do not allow any named pipes to be accessed anonymously

Restrict anonymous access to named pipes and shares

Do not allow any shares to be accessed anonymously

Configure Account Logon audit policy

Configure Account Management audit policy

Configure Logon/Logoff audit policy

Configure Policy Change audit policy

Configure Privilege Use audit policy

Configure Event Log retention method and size

Disable or uninstall unused services

Disable or delete unused users

Configure User Rights to be as secure as possible

Set the system date/time and configure it to synchronize against campus time servers