Subir archivos a la nube de Microsoft - Azure Storage Explorer

Actualización 26/03/2017: Consulte el artículo con la versión de la herramienta a marzo de 2017 AQUÍ

En la entrada anterior expliqué cómo subir archivos a Microsoft Azure utilizando la línea de comando, específicamente la herramienta AzCopy (vea el artículo aquí), ahora vamos a ver cómo podemos subir información e incluso descargar haciendo uso de una herramienta bastante útil llamada Azure Storage Explorer la cual se puede descargar de forma gratuita desde Codeplex, el enlace a continuación: https://azurestorageexplorer.codeplex.com/

Una vez en el sitio, hacemos clic en Downloads

Hacemos clic en archivo zip para comenzar la descarga

Al terminar la descarga descomprimimos el ejecutable e iniciamos la instalación.

En la ventana inicial hacemos clic en Next para empezar el proceso de instalación

Aceptamos los términos de la licencia y hacemos clic en Next

Seleccionamos la ruta donde deseamos que se instale la aplicación y hacemos clic en Next

Ahora, clic en Install

Para terminar hacemos clic en el botón Finish y nos aseguramos de tener marcada la opción Launch the program para iniciar la aplicación inmediatamente.

Al iniciar la aplicación, veremos una ventana con unas opciones en la parte superior derecha, tal como se muestra en la siguiente imagen:

Aún no debemos usar ninguna, ya que para empezar nos solicita el nombre de la cuenta de almacenamiento en Azure y la clave de acceso, por lo cual debemos ingresar al portal de Azure para obtener ésta información, sin embargo, la herramienta es tan cool que incorpora una opción para llevarnos directamente hacia el portal de administración de Azure, basta con hacer clic en el engranaje en la parte superior derecha de la ventana, allí podemos ver la opción del menú que se despliega.

Una vez en el portal seleccionamos Storage del panel de la izquierda

Allí podemos observar y seleccionar el nombre de la cuenta de almacenamiento que deseemos, en mi caso solo tengo una y se llama azurecloudla, la cual cree en un artículo anterior.

Nota: Si deseas saber qué es una cuenta de almacenamiento y un contenedor de Azure y cómo crearlos, te invito a leer un artículo donde lo explico, consúltalo y luego vuelve aquí, Clic aquí para verlo

Ya tenemos el nombre de la cuenta de almacenamiento, ahora necesitamos la llave de acceso, para ello debemos hacer clic Manage Access Keys que se encuentra en la parte inferior de la pantalla.

Hacemos clic sobre el icono que se muestra en recuadro rojo para copiar la llave al porta-papeles

Ya tenemos las dos partes que necesitamos, el nombre de la cuenta y la clave de acceso, ahora volvamos a Azure Storage Explorer y hagamos clic en el botón Add Account

En la ventana Add Storage Account ponemos en los campos respectivos los datos que ya tenemos.

1. Nombre de la cuenta de almacenamiento
2. Llave de acceso a la cuenta de almacenamiento

Antes de continuar podemos hacer clic en el botón Test Access para comprobar que efectivamente podemos conectarnos a la cuenta.

Podemos observar en la parte inferior de la ventana el resultado del test, y hacemos clic en el botón Save

Y listo, ahora podemos destacar las siguientes partes de la ventana.

1. Pestaña con el nombre de la cuenta de almacenamiento (podemos tener varias)
2. Nombre del contenedor que tenemos en la cuenta de almacenamiento
3. Archivos o blobs dentro del contenedor

Si observamos, la parte superior de la ventana (encima de los blobs), nos muestra iconos con varias acciones que podemos llevar a cabo sobre dichos blobs, como por ejemplo: Upload, Download, Delete, entre otras.

Es decir, nos permite realizar cualquier acción con la información que tenemos allí, al mejor estilo del explorador de archivos de Windows.

Por ejemplo, vamos a subir un archivo de mi servidor local haciendo clic en la opción Upload

Vamos a subir una imagen en png llamada azurecloud

Al final, vemos que efectivamente la imagen fue cargada en el contenedor backup

Si hacemos clic en la opción View, estando ubicados sobre el archivo, podemos ver sus propiedades detalladas, y adicional a ello veremos una pestaña llamada Content, donde podemos explorar el contenido del archivo y según su tipo hasta podemos editarlo, por ejemplo un archivo de texto.

Ahora, que tal si le echamos un vistazo al contenedor desde el portal de Azure?

Allí tenemos el archivo.

Como pueden ver Azure Storage Explorer es una herramienta que no puede faltar en nuestros equipos si estamos trabajando con Microsoft Azure.

Espero la información sea de utilidad, Hasta la próxima!

Actualizar Azure AD Connect Preview a la versión GA

En este post veremos cómo actualizar la herramienta Azure Active Directory Connect de su versión en Vista Previa (preview) a la versión ya liberada por Microsoft conocida como GA (General Availability) la cual ya podemos usar en entornos de producción.

Primero, debemos descargar el instalador desde la siguiente URL:
http://www.microsoft.com/en-us/download/details.aspx?id=47594

Una vez descargado, ejecutamos el paquete MSI

Y seguimos los pasos del asistente, como podemos observar, el instalador detecta que existe una versión previa, bien sea DirSync, AD Sync o AAD Connect Preview, en este caso vamos a realizar un upgrade desde AAD Connect Preview, simplemente debemos hacer clic en el botón de color verde Upgarde

La siguiente ventana solicita las credenciales de un Administrador Global del directorio en Azure que usaremos para la sincronización..

La siguiente ventana activa de manera automática la casilla en la cual indicamos que el proceso de sincronización inicie una vez finalice el proceso de actualización de la configuración de sincronización de Azure Active Directory

Inicia el proceso de configuración.

Si todo sale bien, al finalizar obtendremos la siguiente ventana que indica el fin del proceso de actualización.

De este modo ya tendremos actualizada nuestra herramienta de sincronización a Azure Active Directory Connect

Error: Event 1064 - The requested template is not supported by this CA

Me encontré con un caso donde se estaba asegurando la conexión a través de RDP con SSL, para ello se utilizó un certificado emitido por una CA interna, el certificado estaba configurado con “Object Identifier”  “1.3.6.1.4.1.311.54.1.2” con propósito para ser utilizado solamente en conexiones RDP, el certificado fue desplegado utilizando la directiva de grupo, sin embargo, en los servidores con sistema operativo Windows Server 2008 R2 el certificado no estaba siendo desplegado, y el error que se podía observar en el visor de eventos era el siguiente:

Este es el texto del mensaje:

The terminal server cannot install a new template based certificate to be used for Transport Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error ocurred: The requested certificate template is not supported by this CA.

Lo curioso del asunto, es que los servidores con sistema operativo Windows Server 2012 no presentan el problema, solamente se presentó en Windows Server 2008 R2, a continuación la imagen del certificado en el sistema Windows Server 2012, se puede apreciar claramente que el certificado está basado en una plantilla llamada RDP Secure

Al observar con detenimiento las propiedades de la plantilla del certificado, observé una diferencia que a simple vista de pronto no es fácil de notar.

Si observan con detenimiento Los campos Template display name y Template name aunque dicen lo mismo tienen una diferencia (un espacio en blanco entre las palabras RDP y Secure)

Resulta que en Windows Server 2008 la información de estos dos campos debe ser idéntica, esto ya no funciona así a partir de Windows Server 2012, esta es la razón por la cual si funcionaba en la versión más reciente de Windows Server, me tomó un buen tiempo darme cuenta de esto, y por eso lo plasmo en este blog por si en algún momento alguien experimenta lo mismo.

Así que decidí hacer lo obvio, quitar el certificado de lista de plantillas de certificados a emitir, cambiar el nombre en la plantilla y volver a importar el certificado en la CA con base en la nueva plantilla.

Así que veamos los pasos, eliminé 

Luego en la consola de plantillas de certificados (certtmpl.msc), seleccioné la plantilla RDP Secure clic derecho y elegir Change names

Este es el cuadro de diálogo antes del cambio (nótese la diferencia en ambos campos)

Ahora realizo el cambio en el campo Template display Name voy a dejar el nombre sin espacio, aunque al final significó más trabajo para mi ya verán porqué.

Imagen después del cambio, al terminar hacer clic en OK

Al intentar cargar la nueva plantilla para emitir, veo que sigue apareciendo el nombre anterior (con espacios), por ello mencioné lo del trabajo adicional, sin embargo pensé que con reiniciar el servicio bastaría per no fue así, seguia mostrando tal como en la siguiente imagen:

Fui a revisar las propiedades de la plantilla y me encuentro que en la pestaña Extensions en Certificate Template Information es donde sigue apareciendo el anterior nombre. (no tomé el pantallazo antes, así que la imagen alcanza a mostrar el nombre ya corregido)

Después de averiguar en algunos KB de Microsoft encontré que al ya haber emitido certificados con esta plantilla, después de cambiar el nombre era necesario el reinicio de la CA, así que procedí con el reinicio.

Tras reiniciar, vuelvo al contenedor de plantillas de certificados y sigo el proceso para cargar una nueva plantilla de certificado para emitir.

Vemos que ahora si me ofrece la plantilla con el cambio de nombre.

Ahora, el resultado como lo esperaba.

Pero al final recordé que había que cambiar algo en otro lugar (la directiva de grupo!) y adivinen cual nombre de plantilla tenía :-( así que no me quedó más opción que hacer el cambio también en la GPO.

La GPO antes

Y después del cambio:

Después de estos cambios, voy a los servidores con Windows Server 2008 R2, hago un gpupdate /force lo primero que noté es que el evento 1064 ya no apareció tras el gpudate, una excelente noticia, luego a revisar en el almacén personal de certificados del servidor, y me encuentro la grata sorpresa de encontrar el certificado basado en la plantilla tal como se muestra en la siguiente imagen:

Bien, y esto es todo, espero a alguien le pueda ser útil esta información.

Gracias y hasta la próxima!

Local Administrator Password Solution (LAPS) Disponible

Desde hace un tiempo, y desde sus primeras versiones he venido utilizando la herramienta AdmPwd que permita el manejo de la contraseña del usuario administrador local, almacenándola en un atributo de Active Directory, lo cual permite gestionar el tema de manera centralizada y cada usuario tendrá una contraseña diferente en cada uno de los equipos dentro del alcance de la solución. Para ver cómo se instala y funciona la herramienta puede revisar el siguiente artículo que escribí sobre la herramienta: http://www.cesarherrada.com/2015/01/cambiar-contrasena-de-administrador.html

Pero la buena noticia es que desde Mayo de este año la herramienta ya está disponible desde el centro de descargas de Microsoft.

Aquí está el Security Advisory 3062591 donde se anuncia: 

https://technet.microsoft.com/en-us/library/security/3062591.aspx

Y aquí tenemos el enlace oficial al centro de descargas de Microsoft:

https://www.microsoft.com/en-us/download/details.aspx?id=46899

La herramienta ha sido llamada por Microsoft Local Administrator Password Solution (LAPS) así que en adelante nos referiremos a LAPS cuando de esta herramienta se trate. 

Crear cuenta de servicio local con PowerShell

En algunas ocasiones podemos tener la necesidad de crear una cuenta de servicio local, donde claramente no tenemos Active Directory para crear una cuenta de servicio de dominio, en estos escenarios es común requerir a técnicas como por ejemplo un adaptador [ADSI], pero el título de este artículo es claro en mencionar que la creación de la cuenta de servicio es con PowerShell, y mejor aún la podemos crear en equipos remotos ¿cómo es posible? veamos a continuación.

Actualmente no disponemos de un módulo de PowerShell que lo permita, pero en el Script Center de TechNet se encuentra una buena solución, un ingeniero de Microsoft ha desarrollado un módulo de PowerShell, que en su interior también hace uso del adaptador [ADSI], pero encapsula todo en el código para que no tengamos que llevar a cabo los complejos pasos que ello involucra, sino que en su lugar usaremos sencillos y amigables command lets o cmdlets.

Para usar el módulo debemos realizar los siguientes pasos:

1. Ingresar a la siguiente URL donde encontraremos el código del Script:
     https://gallery.technet.microsoft.com/scriptcenter/f75801e7-169a-4737-952c-1341abea5823

2. En la página encontraremos el código, seleccione y copie todo el código, el sitio no tiene un botón para descargar un archivo con el código.

3, Abrimos un editor de texto y pegamos el código copiado, en este caso usaré PowerShell ISE

4. Debemos crear un directorio llamado Local_User en el directorio de módulos

Si no conoces la ubicación del directorio de módulos, puedes averiguarlo con el siguiente comando en una consola de PowerShell

$ENV:PSModulePath

Sin embargo, si has trabajado con módulos alguna vez, sabrás que la ruta que siempre exploramos, es la siguiente:

C:\Windows\system32\WindowsPowerShell\v1.0\Modules\

Al final la carpeta de módulos debe tener una apariencia similar a la siguiente:

5. El código que tenemos en el editor debemos guardarlo con el siguiente nombre Local_User.psm1 (Nótese la extensión psm1), debemos guardar este archivo en la carpeta recién creada Local_User

Importante: El módulo y el directorio deben llamarse igual, no poner nombres diferentes.

Y esto es todo, ya estamos listos para usar el módulo, basta con ingresar a una consola de PowerShell e importar el módulo.

Import-Module Local_User

Ahora, creemos una cuenta llamada Service1 en el servidor SERVER02 

 New-LocalUser -userName Service1 -password "P@ssw0rd" -computerName SERVER02

Como podemos apreciar con una sola línea tenemos una cuenta local creada en un equipo remoto, ahora vayamos a SERVER02 a revisar.

La descripción Created by PowerShell sale de forma automática, pero podemos poner nuestra propia descripción usando el parámetro -Description

De manera predeterminada la cuenta recién creada no pertenece a ningún grupo, veamos como podemos agregar esta cuenta al grupo de Administradores por ejemplo. A continuación el comando completo.

Set-LocalGroup Service1 -computerName SERVER02 -add Administrators

El cmdlet Set-LocalGroup sirve para agregar o eliminar miembros de un grupo

Para ver la lista completa de comandos que trae el módulo podemos escribir lo siguiente:

Get-Command *-local*

Podemos excluir el último comando, como podemos ver pertenece a otro módulo.

También incorpora ayuda, así que si deseamos saber la sintaxis y ver ejemplos de cada comando, basta con invocar la ayuda. Por ejemplo podemos consultar la ayuda del cmdlet Set-LocalUserPassword que sirve para cambiar la contraseña de un usuario local.

Get-Help Set-LocalUserPassword

Esto es todo, espero les sea de utilidad. Hasta la próxima.