Deshabilitar actualizaciones de Java en Windows Server

En entornos multiusuario Citrix o Remote App, la ejecución de "pequeños" programas con las sesiones de usuarios pueden llegar a causar sobreutilziación de recursos de manera innecesaria.

Una de las habituales si el servidor requiere algún tipo de complemento de Java, es el comprobador automático de actualizaciones. Para evitar tenerlo activo en múltiples sesiones, deberemos modificar el registro, para la versión de 64 bits en la ruta:

HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Update\Policy

 

Y para la versión de 32 bits en la ruta:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Update\Policy

 


Actualizar esquema directorio activo: Windows Server 2019

Una de las tareas previas a la actualización in-place para servidores, físico y virtuales, con rol de Directorio Activo es la actualización/preparación del esquema AD. En este ejemplo se utiliza desde Server 2012 R2 a Server 2019, con el CD accesible desde la máquina en la ruta: D:\sources\adprep\adprep /forestprep ejecutamos el comando y esperamos a que finalice.

Dependiendo de la complejidad, y número de servidores, en el bosque comprobaremos que los cambios se han aplicado. Podemos realizarlo con los comandos dsquery:

dsquery * cn=schema,cn=configuration,dc=nombredominio,dc=local -scope base -attr objectVersion

Mediante powershell:

Get-ADObject "cn=schema,cn=configuration,dc=nombredominio,dc=local" -properties objectversion

Mediante la herramienta visual ADSIEdit.msc, comprobamos la revisión:

Y la versión del esquema:

Dependiendo de la versión del sistema operativo, objectVersion tendrá el valor correspondiente:

Ya podremos seguir con la actualización, comprobando el nivel funcional actual del directorio activo y replicando dede el maestro de operaciones:

D:\support\adprep>adprep /domainprep /gpprep
Adprep actualizó correctamente la información de todo el dominio.
Adprep va a actualizar la información de objeto de directiva de grupo (GPO) en el FSMO del maestro de infraestructura miservidor.dominio.local.
La operación gpprep 2 se realizó correctamente.
La operación gpprep 3 se realizó correctamente.
Adprep actualizó correctamente la información de objeto de directiva de grupo (GPO).

 

Automatizar instalación de roles y características en Windows Server

Cuando una tarea se vuelve repetitiva, siempre quedan opciones de agilizarlas; en el caso de la instalación de roles o características en Windows Server 2016, podemos exportar en un fichero XML desde la propia interfaz gráfica, si no estamos en modo core, para replicar o modificar en otro servidor:

En la parte inferior "Exportar opciones de configuración" genera un XML con las opciones que hemos seleccionado en el proceso: DeploymentConfig.xml

Por ejemplo, una parte sería:

<Objs Version="1.1.0.1" xmlns="http://schemas.microsoft.com/powershell/2004/04">
  <Obj RefId="0">
    <TN RefId="0">
      <T>System.Collections.ObjectModel.Collection`1[[System.Management.Automation.PSObject, System.Management.Automation, Version=3.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35]]</T>
      <T>System.Object</T>
    </TN>
    <LST>
      <Obj RefId="1">

.....

Si queremos replicar esta configuración mediante powershell en el mismo equipo:

Install-WindowsFeature –ConfigurationFilePath 
C:\DATOS\DeploymentConfigPlantilla.xml

O bien en otro equipo remoto:

Install-WindowsFeature –ConfigurationFilePath
C:\DATOS\PlantillaIIS.xml -ComputerName $nombreservidor

Podemos generalizar y modificar los ficheros para automatizar instalaciones en cualquier entorno Windows Server 2016

Más información: Documentación server-manager

 

Activación Windows Server Core 2016: evaluación a estandar

A través de la instalación mínima de Windows Server Core, al intentar instalar el número de serie aparece un error en la consola:

Error: 0xC004F069 On a computer running Microsoft Windows non-core edition, run ‘slui.exe 0x2a 0xC004F069’ to display the error text

En este caso, el comando slui no devuelve ningún dato en pantalla, es necesario conocer que versiones están disponibles con el comando:

DISM.exe /Online /Get-TargetEditions

Una vez tengamos disponible la versión correcta, podemos establecerla y añadir el número de serie:

DISM /online /Set-Edition:ServerStandardCor /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

Puedes revisar después de reiniciar el estado de la licencia con el comando sconfig

Documentación online de Microsoft

CRL: Lista de revocación de certificados publicada en servidor externo

Dependiendo de la complejidad de la infraestructura PKI de la organización, podemos desde la entidad de certificación publicar automáticamente en servidores externos, en este caso IIS, los datos.

Para ello compartimos una carpeta en el equipo con el servidor web asignando permisos de acceso y NTFS sobre el nombre de la máquina.

Añadimos en la publicación de la CA una nueva ruta hacia nuestro servidor local, el nombre del fichero y la ruta final debe ser el mismo que el expuesto externamente para el CRL:

file://\\servidorLocal\CA\<nombre de CA><sufijo de nombre de lista CRL><diferencias entre listas CRL permitidas>.crl

En nuestra entidad de certificación tendremos de la siguiente manera la publicación interna y el acceso de consulta externo, por ejemplo:

 

Para asegurarnos que el servidor es capaz de alcanzar las rutas de publicación, con el botón derecho sobre "Certificados revocados" pulsamos "Todas las tareas" -> "Publicar"

 

Comprobar las listas de revocación desde equipo externo

Existe la alternativa de utilizar OCSP para la comprobación de las listas, lo veremos en otro momento.