Enterprise Mobility Suite (EMS) - Parte 2

Bien continuamos con la segunda parta de esta serie. A continuación el enlace a otras partes de esta serie:

Enterprise Mobility Suite (EMS) - Parte 1

En esta nueva entrega vamos a revisar el primer componente de EMS (Azure Active Directory Premium)

Es importante saber que una suscripción a Microsoft Azure no incorpora la edición Premium de Active Directory sino la gratuita, con una suscripción a EMS si contamos con la edición más avanzada que es la Premium. Al tratarse de la edición más completa incluye características muy interesantes, nombremos algunas de ellas: Reportes avanzados, Grupos de autoservicio, Grupos dinámicos, Cambio de contraseña de autoservicio con replicación on-premise y muchas otras que se pueden revisar en detalle en este enlace.

Azure AD es parte clave para EMS ya que mediante este se gestiona todo el tema de identidades, los administradores pueden crear y modificar usuarios, otorgarles permisos para acceso a las aplicaciones, también es posible sincronizar las identidades que tengamos en nuestro sitio local (Windows Server AD) hacía Azure AD con lo cual se ofrece una experiencia de SSO. Más adelante revisaremos cómo se realiza la sincronización de identidades, o puede revisar los vídeos a continuación para ver una demostración.

Si desea conocer más sobre Azure AD lo invito a ver mi vídeo: Introducción a Azure AD

https://channel9.msdn.com/Blogs/MVP-Enterprise-Mobility/Azure-Active-Directory-Introduccin

También para comprender más sobre el tema de identidades los invito a ver el vídeo: Modelos de Identidad

https://channel9.msdn.com/Blogs/MVP-Enterprise-Mobility/Azure-Active-Directory-Modelos-de-Identidad 

Si cuenta con una suscripción a Office 365, todos los usuarios que allí se creen están siendo almacenados en un directorio de Azure AD.

Ahora veamos como asignar una licencia de EMS que Azure AD a un usuario en particular. La siguiente demostración asume que ya cuenta con una suscripción a EMS.

Ingresamos al portal de administración de Azure https://manage.windowsazure.com

De las extensiones de la parte izquierda seleccionamos Active Directory

Luego seleccionamos el directorio sobre el cual hemos configurado EMS, esto en caso de tener más de un directorio.

En el menú de la parte posterior, seleccionamos Licencias

Allí podemos observar que contamos con un plan de EMS y adicionalmente tenemos varias columnas donde veremos la cantidad de licencias activadas y las asignadas.

Al ubicarnos sobre el plan de licencia, en la parte inferior podemos apreciar la opción para asignar y quitar licencias

Una vez hacemos clic en Asignar, nos muestra la lista de usuarios seleccionamos el usuario al cual deseamos asignar la licencia y listo.

También podemos hacerlo ingresando al plan, en la parte posterior vemos la opción Usuarios y Grupos de manera predeterminada se mostrarán los usuarios que tienen licencias asignadas.

El cuadro desplegable Mostrar: nos ofrece la posibilidad de ver todos los usuarios independiente de si tienen o no licencias asignadas, y también permite mostrar grupos en el caso que deseemos asignar licencias a un grupo determinado de usuarios,

En este caso vamos a seleccionar Todos los usuarios y del resultado que nos arroje asignaremos una licencia a cualquier usuario.

En la imagen a continuación notemos que el único usuario con licencia asignada es el primero de la lista, ya que si nos fijamos en la columna Método vemos la palabra Directo esto significa que asignamos la licencia directamente sobre el usuario sin utilizar ningún grupo, de lo contrario mostraría el nombre del grupo desde el cual el usuario heredó la licencia.

Algo que no alcancé a mostrar en la imagen anterior, pero que voy a mostrar en la siguiente, es la columna Estado de la asignación donde nos muestra en este caso Habilitado en caso contrario mostrará error por ejemplo si no hay licencias suficientes.

Para asignar una licencia, basta con ubicarse sobre el usuario que requiera la licencia, y en la parte inferior del portal encontramos la opción Asignar del mismo modo, si lo que necesitamos es quitar la licencia se activará la opción Quitar sobre un usuario que ya posea licencia.

Veremos la respectiva notificación.

Y listo, esto es todo lo que debemos hacer para un usuario tenga su licencia de EMS, con la cual no solamente podrá hacer uso de Azure AD Premium y las características que mencionamos, sino que además podrá hacer uso del resto de servicios que conforma EMS y que hemos visto en la parte 1 de esta serie.

Bien, esto es todo por hoy,nos vemos en la próxima entrega para revisar el segundo componente de EMS, Microsoft Intune.

Activación basada en Active Directory

A partir de Windows Server 2012 tenemos la posibilidad de realizar activación de las máquinas del dominio a través de Active Directory, lo cual significa que una vez unamos los equipos al dominio, al iniciar sesión la máquina se activará de manera automática sin ningún tipo de intervención, los objetos de activación son almacenados en AD, los equipos permanecerán activados mientras sean miembros del dominio, para poder hacer uso de este rol de servidor, es necesario que se cumplan los siguientes requisitos:

1. Nivel funcional del bosque debe ser Windows Server 2012 o posterior
2. Solo funciona con máquinas Windows 8, Windows 8.1, Windows Server 2012 y Windows Server 2012 R2

Es importante aclarar que si en el entorno existen máquinas con versiones de sistema operativo diferentes a la soportada por Active Directory Based-Activation (ADBA) se debe seguir utilizando un servidor KMS para la activación de las mismas.

Ahora veamos el paso a paso de la instalación.

En Server Manager abrimos instalar roles y características y seleccionamos Volume Activation Services y hacemos clic en Next

Agregamos todas las características sugeridas

En la pantalla Volume Activation Services hacemos clic en Next

y luego clic en Install

Al finalizar la instalación podemos abrir de manera inmediata el asistente haciendo clic en Volume Activation Tools

A continuación seleccionamos Active Directory-Based Activation y hacemos clic en Next

Ahora ingresamos la clave KMS para la activación y opcional-mente el nombre para mostrar que llevará el objeto de activación en Active Directory, luego hacemos clic en Next

Seleccionamos el método de activación de la clave KMS, para este ejemplo lo haré en línea y hacemos clic en Commit

Aparecerá un mensaje que nos indica que se creará un objeto de activación en Active Directory. Hacemos clic en Yes

Atención en la siguiente pantalla, pregunta que se deseamos eliminar objetos de activación debemos hacer clic en Next, en caso contrario hacer clic en Close, como en este caso estamos es creando el objeto debemos hacer clic en Close

Y listo, esto es todo...

Ahora cualquier equipo con la versión soportada del sistema operativo una vez se una al dominio será activado de manera automática, si el equipo ya se encuentra en el dominio y simplemente deseamos activar, basta con ejecutar slmgr.vbs /ato desde una consola de comandos.

Un saludo, y como siempre espero sea de utilidad.

Error 2912 al actualizar VM en Virtual Machine Manager

A continuación voy a comentar sobre una experiencia que he tenido con Virtual Machine Manager, sobre una máquina virtual llamada DC01 (un controlador de dominio) no era posible modificar ninguna de sus propiedades, al intentar actualizar el estado se arrojaba el error 2912 que relaciono en las imágenes a continuación y básicamente indicaba lo siguiente:

An internal error has ocurred trying to contact the SERVER_NAME server: NO_PARAM:NO_PARAM.

En la web encontré varias cosas por hacer pero ninguna me resultó, después de varias pruebas, decidí abrir la consola Hyper-v Manager  y revisar los detalles de la máquina desde dicha consola, Y me encontré con la siguiente sorpresa, al hacer clic en el botón Inspect de la máquina virtual me encontré con el siguiente mensaje de error:

Como se puede apreciar en la imagen anterior, tenemos un problema de acceso denegado al disco duro de la máquina virtual, por lo cual tiene sentido el final de la cadena URL que indica el error 2912: Msvm_StorageJob?

Al revisar los permisos sobre la carpeta de archivos de la máquina virtual, en efecto y por una razón que desconozco no eran los mismos que el resto de las máquinas, es especial noté la ausencia del grupo Virtual Machines en la ACL, A continuación una muestra de los permisos en el resto de máquinas.

La decisión que tomé fue crear la máquina desde cero y adjuntarle el disco duro existente, después de hacer estos cambios, efectivamente desde Virtual Machine Manager el estado de la máquina cambió.

Esto es todo, espero esta información pueda ser de utilidad para alguien que se le presente este mismo escenario. Un saludo.

Acceso denegado al intentar deshabilitar SID Filtering

Si está ha creado una relación de confianza entre dos bosques de Active Directory y recibe el siguiente mensaje de error al intentar quitar el filtrado de SID:

Access is denied. The command failed to complete successfully

Debe hacer lo siguiente para solucionarlo:

En el servidor de destino, en este caso el que se indica en el parámetro /domain editar la directiva Default Domain Controllers Policy y expandir la siguiente ruta:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Y allí, buscar y habilitar la directiva: Network access: Allow anonymous SID/Name translation

Después de hacer el cambio, ejecutamos gpupdate /force en el controlador de dominio, y al volver al bosque de origen e intentar quitar el filtrado de SID vemos que funcionará sin problema.

Y esto es todo. Como siempre espero que esta información resulte de utilidad para alguien.

Error de contraseña en migración de passwords con ADMT

Si se encuentra utilizando ADMT para migrar usuarios y sus contraseñas, probablemente haya instalado la herramienta PES (Password Export Server) y al escribir la contraseña de la llave de cifrado recibe el siguiente mensaje de error:

The supplied password does not match this encryption key's password. ADMT´s Password Migration Filter DLL will not install without a valid encryption key.

Para solucionar este error, simplemente debemos abrir una consola de comandos (cmd.exe) elevada ***administrador*** y ejecutar el instalador de PES utilizando la herramienta msiexec como se muestra a continuación:

msiexec -i "instalador.msi"

Donde instalador es el nombre que tenga tu paquete de instalación, en mi caso fue de la siguiente forma:

Se abrirá el asistente y cuando lleguemos a la parte de la contraseña, la escribimos:

Y después de hacer clic en el botón OK veremos que ya no aparece el mensaje de error, en su lugar el asistente continuará.

Como siempre, espero sea de utilidad esta información!