Windows on Apuntes de root

Export non-exportable private keys from Windows key store

jorti@pm.me (Juan Orti Alcaine) — Tue, 16 Dec 2014 00:00:00 +0000

When I was looking for a utility to export the non-exportable private keys in Windows, I found the mimikatz tool, which enabled me to do that and a lot more.

To export the private keys, run mimikatz as administrator and type:

crypto::capi
crypto::certificates /export

And you’ll get the certicates exported with the password mimikatz. You can also export the machine certificates with /systemstore flag. See the wiki for more info.

This tool is detected as a threat by many antivirus, so you’ll have to probably disable yours before using it.

Remove stored credentials in Windows

jorti@pm.me (Juan Orti Alcaine) — Thu, 25 Sep 2014 00:00:00 +0000

Today a user wasn’t able to log in from his Windows machine to a shared folder in Samba. He was said that his user name (from Active Directory) was not found. The system log was logging the security kerberos event ID 14.

After some digging, I found out this thread with the solution:

rundll32 keymgr.dll,KRShowKeyMgr

This shows up a credentials manager window, where we can delete the problematic credentials. After doing this, the user logged in without problems.

One-liner to get all the members of an AD group

jorti@pm.me (Juan Orti Alcaine) — Mon, 08 Sep 2014 00:00:00 +0000

With this line you get all the users of an Active Directory group recursively, so any nested group is expanded. It is also exported to a CSV file.

[code lang=“powershell” light=“true”]Get-ADGroupMember -Identity ‘GroupName’ -Recursive | Get-ADUser -Properties ‘*’ | Select-Object samAccountName, name, givenName, sn, mail, l | Export-Csv -Encoding UTF8 -Delimiter ‘;’ -path ‘.users.csv’[/code]

Export Exchange recipients to Postfix server

jorti@pm.me (Juan Orti Alcaine) — Sun, 30 Mar 2014 00:00:00 +0000

When you have an Exchange server in your organization and you also use a Postfix server as gateway, you need the list of all valid recipients of your organization at your gateway. In this way, you can reject invalid emails at the gateway, and what’s more important, when the sender address is forged, you don’t spam innocent people with undeliverable emails.

I use this script in Exchange 2003 to generate all addresses.

How to test a OCSP server

jorti@pm.me (Juan Orti Alcaine) — Sat, 18 Jan 2014 00:00:00 +0000

The other day, I installed a OCSP server in Windows 2012 R2 and got the need of testing it. I have found two different ways. In Windows, using the tool certutil:

# certutil.exe -url cert.pem

It will open a window where we can test all the revocation methods listed in the certificate. To test OCSP, we select it under “recovery” and click the button.

In Linux we can test OCSP with OpenSSL, this line does the trick:

Habilitar el arranque automático de Hyper-V

jorti@pm.me (Juan Orti Alcaine) — Tue, 11 Sep 2012 00:00:00 +0000

En una máquina de pruebas de Windows 2012 me ha sucedido que no podía arrancar máquinas virtuales porque decía que el hypervisor no estaba corriendo. Después de comprobar que las extensiones de virtualización estaban habilitadas en la BIOS, he descubierto que hay que añadir un parámetro en el boot loader de Windows para que arranque automáticamente el hypervisor.

Para ello, usaremos el comando bcdedit.exe como administrador. Si lo ejecutamos sin parámetros, podemos ver la configuración actual, y para añadir la opción de autoarranque:

Script to grant dial-in access in Active Directory

jorti@pm.me (Juan Orti Alcaine) — Mon, 23 Jul 2012 00:00:00 +0000

I have found that is not a trivial task to change the dial-in permission in an Active Directory user or computer because you must update the userParameters attribute at the same time that the msNPAllowDialin.

In the KB252398, Microsoft says to download the Active Directory Service Interface, so you can register adsras.dll, and use the ADSI interface it provides, but the download is no longer available.

I have managed to create a script to allow dial-in: first, I have allowed manually a user to dial-in, and then I pick those permissions and apply them to the rest.

Dominios de búsqueda en el DHCP de Windows

jorti@pm.me (Juan Orti Alcaine) — Wed, 28 Mar 2012 00:00:00 +0000

Por defecto, en el servidor DHCP de Windows no viene la opción para añadir dominios de búsqueda DNS. La opción que necesitamos es la 119, y podemos habilitarla siguiendo el siguiente documento:

http://technet.microsoft.com/en-us/library/dd572752%28v=office.13%29.aspx

Copia de seguridad de todas las bases de datos en SQL Server

jorti@pm.me (Juan Orti Alcaine) — Tue, 27 Mar 2012 00:00:00 +0000

Para hacer una copia de seguridad de todas las bases de datos en un SQL Server, viene muy bien este script que encontré en esta página: http://www.mssqltips.com/sqlservertip/1070/simple-script-to-backup-all-sql-server-databases/

DECLARE @name VARCHAR(256) -- database name
DECLARE @path VARCHAR(256) -- path for backup files
DECLARE @fileName VARCHAR(256) -- filename for backup
DECLARE @fileDate VARCHAR(20) -- used for file name

SET @path = 'C:Backup'

SELECT @fileDate = CONVERT(VARCHAR(20),GETDATE(),112)

DECLARE db_cursor CURSOR FOR
SELECT name
FROM master.dbo.sysdatabases
WHERE name NOT IN ('master','model','msdb','tempdb')

OPEN db_cursor
FETCH NEXT FROM db_cursor INTO @name

WHILE @@FETCH_STATUS = 0
BEGIN
SET @fileName = @path + @name + '_' + @fileDate + '.BAK'
BACKUP DATABASE @name TO DISK = @fileName

FETCH NEXT FROM db_cursor INTO @name
END

CLOSE db_cursor
DEALLOCATE db_cursor

Monitorizar equipos CentOS desde Microsoft Operations Manager

jorti@pm.me (Juan Orti Alcaine) — Tue, 13 Mar 2012 00:00:00 +0000

Estoy actualmente peleándome con Microsoft Operations Manager, y por lo que veo incluye unos management packs para Red Hat que no valen para CentOS. Gracias a los enlaces que os pongo a continuación he conseguido crear unos MP específicos para CentOS:

http://blogs.msdn.com/b/scxplat/archive/2010/01/05/building-a-centos-management-pack-part-1.aspx http://blogs.msdn.com/b/scxplat/archive/2010/01/05/building-a-centos-management-pack-part-2.aspx http://blogs.msdn.com/b/scxplat/archive/2010/01/18/building-a-centos-management-pack-part-3.aspx

Este usuario también ha escrito una guía muy útil para diagnosticar posibles problemas de descubrimiento o de instalación del agente en CentOS:

Programar reinicio en un servidor Windows

jorti@pm.me (Juan Orti Alcaine) — Thu, 10 Nov 2011 00:00:00 +0000

Con servidores Windows suele ocurrir que algún cambio que realizamos nos pide un reinicio que no podemos hacer en el momento porque está siendo usado. En estas ocasiones viene bien programar un reinicio nocturno para tenerlo listo al día siguiente. Con el siguiente comando podemos hacerlo:

> at 2:00 shutdown /r /t 30 /c "Motivo del reinicio"

Le estamos diciendo que a las 2 de la madrugada lo reinicie, con un timeout para los usuarios de 30 segundos y un motivo para escribir en el log.

Eliminar buzones de usuarios deshabilitados en Exchange 2010

jorti@pm.me (Juan Orti Alcaine) — Fri, 28 Oct 2011 00:00:00 +0000

Aquí os pongo un script que borra los buzones de Exchange de los usuarios deshabilitados en AD. Comprueba que sean del tipo UserMailbox, porque hay buzones como los RoomMailbox cuyo usuario está deshabilitado, cuidado con esto.

Es necesario tener instalado los comandos powershell para Active Directory de Quest.

# Script que deshabilita los buzones de todos los usuarios de AD deshabilitados

Add-PSSnapin Quest.ActiveRoles.ADManagement -ErrorAction SilentlyContinue | Out-Null
Add-PSSnapin Microsoft.Exchange.Management.PowerShell.E2010 -ErrorAction SilentlyContinue | Out-Null

$DisabledMailboxes = New-Object -TypeName Microsoft.Exchange.Data.Directory.Management.Mailbox
$DisabledMailboxes = $null
Get-QADUser -Disabled -SizeLimit 0 | foreach-object {
   $ID = $_.samaccountname
   $mbx = Get-Mailbox -Identity $ID -RecipientTypeDetails UserMailbox  -ErrorAction SilentlyContinue
   If ($mbx) {
      Write-Host "Añado a la lista: " $mbx.Name
      $DisabledMailboxes += $mbx
   }
}
If ($DisabledMailboxes) {
   $DisabledMailboxes | foreach-object {
      Write-Host "Deshabilito el buzón: " $_.Name
      $_ | Disable-Mailbox -Confirm:$false
   }
}
Get-MailboxDatabase | Clean-MailboxDatabase

Programar tareas de backup en Sharepoint 2010

jorti@pm.me (Juan Orti Alcaine) — Tue, 18 Oct 2011 00:00:00 +0000

Para automatizar tareas de backup de Sharepoint 2010 se puede crear un pequeño script que nos haga la copia a alguna carpeta compartida. Lo primero que haremos será crear la carpeta compartida con los permisos de control total para la cuentas de Farm, Sqlserver y ShAdmin.

En el ejemplo he creado la carpeta servidorSharepointBackup$ Gracias al símbolo del dolar al final, la carpeta compartida no es visible por defecto.

Primero damos permisos al usuario que hará los backups, para ello ejecutamos como administrador la Powershell de Sharepoint:

Certificados raíz de confianza en Sharepoint 2010

jorti@pm.me (Juan Orti Alcaine) — Fri, 07 Oct 2011 00:00:00 +0000

Me he quedado muy sorprendido al encontrar errores en Sharepoint 2010 sobre certificados que rechazaba por no confiar en la CA. La CA está integrada en Active Directory y en todas las máquinas está instalado su certificado en “Entidades de certificación raíz de confianza”. Parace ser que Sharepoint usa además de los certificados que vienen con Windows su propio almacén de certificados, por lo que nos va a tocar añadir la CA ahí también.

Instalar SP1 en Sharepoint 2010

jorti@pm.me (Juan Orti Alcaine) — Thu, 06 Oct 2011 00:00:00 +0000

Las instalaciones de Sharepoint se las traen. Me ha tocado actualizar unos servidores con el último service pack y los hotfix adicionales que han aparecido después, os indico el orden que he seguido. Hay que hacer estos pasos en todos los servidores de la granja.

Sharepoint foundation 2010 SP1
Los language packs que tengamos instalados de Sharepoint foundation 2010 SP1
Correr el configuration wizard.
Sharepoint server 2010 SP1
Los language packs que tengamos instalados de Sharepoint server 2010 SP1
Correr el configuration wizard
Hotfix para Sharepoint foundation KB2536601
Correr el configuration wizard
Hotfix para Sharepoint server KB2536599
Correr el configuration wizard

¡Así de facil! ah, y si tienes instaladas cosas adicionales como Project server, Office web apps, etc. no te olvides también de sus parches correspondientes. Echadle un ojo a este artículo de Technet.

Errores al instalar SQL Server 2008

jorti@pm.me (Juan Orti Alcaine) — Tue, 04 Oct 2011 00:00:00 +0000

Acabo de instalar un cluster de SQL Server 2008 y me ha sorprendido encontrarme varios fallos en el instalador que te impiden completar la instalación de forma gráfica. Os los detallo:

En el primer nodo, cuando se definen los grupos a los que pertenecen las cuentas de servicio, seleccionaba el grupo previamente creado en Active Directory y me daba un error de “must provide AGTDOMAIN group”. Después de volverme loco descubrí que si en vez de darle al botón de Examinar escribía el nombre del grupo a mano, lo aceptaba.
En el segundo nodo, al aceptar el código de licencia, me daba continuamente un error de “the current SKU is invalid”. En este caso lo solucioné lanzando la instalación desde línea de comandos: setup.exe /q /ACTION=AddNode /INSTANCENAME="MSSQLSERVER" /SQLSVCACCOUNT="" /SQLSVCPASSWORD="" /AGTSVCACCOUNT="", /AGTSVCPASSWORD="" /ASSVCACCOUNT="" /ASSVCPASSWORD=”” /INDICATEPROGRESS Más información en esta web

Habilitar la autenticación contra Active Directory en CentOS 5

jorti@pm.me (Juan Orti Alcaine) — Tue, 04 Oct 2011 00:00:00 +0000

Las siguientes instrucciones son para habilitar el login de usuarios de Active Directory en CentOS 5 x86_64.

Lo primero que necesitamos es instalar en el controlador de dominio (en mi caso Windows 2008 R2) el servicio de “Microsoft Identity Management for UNIX” y crear un dominio NIS.

He creado en AD un grupo global ad_unix_users para que sea el grupo principal de los usuarios en Linux, para esto en las propiedades del grupo, vamos a la pestaña UNIX attributes y lo asignamos al dominio NIS. Le tendría que dar automáticamente un GID.

Copiar archivos en windows

jorti@pm.me (Juan Orti Alcaine) — Thu, 12 Mar 2009 00:00:00 +0000

Cuando queremos copiar un árbol de directorios en windows y queremos conservar los permisos, propietario, hora de acceso, etc. la función copy normal se nos queda totalmente coja. Necesitamos recurrir a herramientas más avanzadas como RoboCopy.

RoboCopy se encuentra dentro del paquete Resource Kit Tool de windows, donde hay un montón de herramientas útiles. La documentación se encuentra en un archivo .doc en el directorio de instalación, echadle un ojo porque tiene multitud de opciones.