Error 0x800f0831 añadiendo roles

Error 0x800f0831 añadiendo roles

Al intentar añadir cualquier rol nuevo, siempre aparece este error. Las reparaciones con SFC / DISM online y local muestran errores o no sirven:

dism.exe /online /Cleanup-Image /StartComponentCleanup /ResetBase
dism.exe /online /Cleanup-Image /RestoreHealth /Source:wim:X:\sources\install.wim:1 /LimitAccess
dism.exe /online /cleanup-image /restorehealth

Revisando el registro %WinDir%\Logs\CBS\CBS.log nos encontramos errores con los paquetes de idioma preinstalados STATUS_SXS_ASSEMBLY_MISSING…

Leer más

CRL: Lista de revocación de certificados

En ocasiones debemos configurar el acceso interno y externo a las listas de revocación de certificados con Entidades de Certificación de confianza, habitualmente autoemitidas. Si hemos comprado un certificado, estas estarán disponibles y no tendremos ente problema seguramente. En otros casos en los que obtenemos errores indicando que no es posible acceder a la lista de revocación de certificados (CRL), debemos comprobar:

  • El dominio en el que se publica esta accesible dentro de la red interna y desde fuera de ella.
  • Podemos navegar y acceder a la lista CRL via web
  • No aparecen errores relacionados en la Autoridad de certificación

Desde cualquier equipo con Windows esta disponible en la linea de comandos «certutil» en la que debemos añadir el parámetro con la URL que queramos verificar:

certutil -URL «http://ejemplo.mainmind.com:8682/CertEnroll/CA%20nombre%20compuesto.crl»

Seleccionamos el certificado CER y recuperamos las direcciones web del CRL, en este caso vemos que pese a poder navegar y acceder no es posible acceder…

Después de comprobar todos los pasos, activamos temporalmente la visualización/listado del servidor que contine los CRL y nos encontramos por fin con el error! El nombre de la CA con la que se publican es demasiado largo y con espacios, por lo que con la seguridad predeterminada de IIS no es posible acceder.

Es posible deshabilitar en la aplicación de IIS esta verificación, pero no es una práctica de seguridad recomendada. Por lo que otra opción sencilla sería acortar el nombre desde la CA en la configuración de extensiones, por ejemplo: «http://ejemplo.mainmind.com/listado.crl»

Volvemos a emitir e instalar el certificado, en el que aparecerá la nueva CRL y volvemos a verificar con certutil, ahora sin problemas de acceso:

 

 

Forzar redirección web HTTPS con IIS

En breve el navegador Chrome de Google mostrará las webs sin certificados mensajes de advertencia, además de relegarlos en su motor de búsqueda… para forzar desde Internet Information Server la redirección de toda las URLs debemos añadir en el archivo web.config:

<system.webserver>
    <rewrite>
      <rules>
        <rule name="Forzar HTTPS" enabled="true">
          <match url="(.*)" ignoreCase="true" />
          <conditions>
            <add input="{HTTPS}" pattern="off" />
          </conditions>
          <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" appendQueryString="true" redirectType="Permanent" />
        </rule>
      </rules>
    </rewrite>
<system.webserver>

 

Utilidades gratuitas para facilitar la emisión e instalación de certificados sobre IIS:

 

Sincronizar contraseñas de Directorio Activo con Office 365 / Azure

Los escenarios de configuración puede ser diversos, en muchos de ellos han ido pasando diferentes administradores con todo lo que ello conlleva. A continuación describiré un escenario simplificado habitual: un directorio activo bajo Windows Server (será necesario actualizar o migrar a 2012 R2 previamente) con un directorio heredado de la empresa con dominio «.local» que debemos sincronizar contraseñas con el correo de Office 365 en Azure.

Lo más habitual es que no todos los usuarios locales tengan cuenta de correo, la compartan, etc. aunque sea esta la tendencia actual en pequeñas empresas.

1.- Descargamos Microsoft Azure Active Directory Connect  y avanzamos en el asistente habitual

2.- En este caso solo vamos a sincronizar contraseñas:

3.- Introducimos las credenciales del usuario administrador de nuestra cuenta Office 365

4.- A continuación las de un usuario con permisos sobre el directorio activo local

5.- En el caso habitual nuestro nombre del directorio local no coincidirá con el del dominio, es posible utilizar para sincronizar otro campo, el más habitual la dirección de email de la cuenta del usuario en el directorio activo local.
NOTA 2022-05-17: en la nueva versión del conector es recomendable tener el UPN del dominio ya configurado antes de continuar con este paso

6.- Utilizaremos la siguiente opción para filtrar y limitar la sincronización en ambas direcciones, crearemos un grupo llamado «CorreoNube» por ejemplo en el que incluimos los usuarios con cuentas en local y correo en Office 365 y pulsamos en Resolver para rellenar automáticamente la cadena

7.- Finalizamos el asistente y acaba la instalación.

En este punto aunque tengamos usuarios dentro del grupo y la sincronización activa y funcionando, no será posible iniciar sesión. En el paso 5 ya nos advertía que no había un dominio en local que fuera igual a los dominios validados en el panel de Office 365. Para corregirlo debemos añadir un nuevo sufijo UPN.

8.- Desde «Dominios y confianzas de Active Directory» pulsamos sobre las propiedades:

9.- Añadimos el nombre de nuestro dominio verificado de Office 365 en la lista, y seleccionamos en la cuenta del usuario:

10.- Ahora si ya podemos utilizar las credenciales en los servicios Cloud, en este caso Office/Outlook y en nuestro ordenador local. Podemos forzar la sincronización en ambos sentidos desde «Syncronization Service Manager»

Si algún usuario posee alias de correo electrónico, debes añadirlas a las propiedades de su cuenta del directorio para sincronizarlas igualmente. Recuerda puede demorar hasta 30 minutos, o puedes forzar a iniciar la sincronización.

Permisos sobre discos VHDX con HyperV

En ocasiones después de mover o migrar datos entre servidores, de maneras no muy ortodoxas, aparece error sobre el acceso a los discos VHD o VHDX desde la consola de Hyper-V:

IDE/ATAPI Account does not have sufficiet privilege to opn attachment ‘X:\RUTA\archivo.VHDX’. Error: «General Access denied error»
Microsoft Emulated IDE Controller
Error 0x8007005

Pulsando sobre mostrar detalles obtenemos el identificador de la máquina virtual, ejecutamos el siguiente comando:

icacls "X:\RUTA\archivo.vhdx" /grant "NT VIRTUAL MACHINE\3DBXXXXX-91XX-493E-XXXX-F6A94963XXXX":(F)

Tambien es posible utilizar el grupo de seguridad «Virtual Machines» y los ficheros de puntos de control acabados en AVHDX:

icacls "X:\RUTA\archivo.vhdx" /grant "NT VIRTUAL MACHINE\Virtual Machines":(F)