Articulo Original (http://blogs.technet.com/b/askpfeplat/archive/2013/11/25/how-to-save-the-dns-cheese-protect-ad-integrated-dns-zones-from-accidental-deletions.aspx)

Como seguimiento al reciente artículo sobre la auditoria para eliminaciones DNS, aquí les tenemos un poquito sobre prevención.

Compañeros nuestros, nuestros pares en otras áreas y muchos otros han cubierto esto pero decidimos igual proporcionar nuestro propio aporte a forma de seguimiento lógico al artículo previamente mencionado sobre auditoría en DNS.

Aquí las ligas a algunos de otros valiosos artículos:

• De AskDS: http://blogs.technet.com/b/askds/archive/2013/06/04/two-lines-that-can-save-your-ad-from-a-crisis.aspx
• De Eric Jansen: http://cbfive.com/blog/post/Protecting-DNS-Zones-from-Accidental-Deletion.aspx  

Empecemos…  

Para zonas DNS en la partición de dominio:

Usted puede usar la consola de “Active Directory Users and Computers” para acceder a uno de los mejores “checkboxes” en la historia de AD… o, igual se puede usar powershell (¡¡¡obviamente!!! J):

Las zonas en las particiones de aplicación Domain-Wide y Forest-Wide son almacenadas en algún otro lugar dentro de AD:

Para proteger estas zonas hacemos uso de powershell para habilitar lo equivalente a la opción “Protect object from accidental deletion”, dado que esto no se puede acceder todavía desde ninguna interfaz gráfica (hey Grupo de Producto, ¿cachaste ésta petición? J)

Partición de aplicación Domain-wide

Para enumerar todas las zonas dns vulnerables en una “cajita” gráfica:

Get-ADObject -Filter 'ObjectClass -like "dnszone"' -SearchScope Subtree -SearchBase “DC=DomainDnsZones,DC=domain,DC=lab" -properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $False} | Select name,protectedfromaccidentaldeletion | out-gridview

Para protegerlas:

Get-ADObject -Filter 'ObjectClass -like "dnszone"' -SearchScope Subtree -SearchBase “DC=DomainDnsZones,DC=domain,DC=lab" -properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $False} | Set-ADObject –ProtectedFromAccidentalDeletion $true

Para checarlas:

Get-ADObject -Filter 'ObjectClass -like "dnszone"' -SearchScope Subtree -SearchBase “DC=ForestDnsZones,DC=domain,DC=lab" -properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $True} | Select name,protectedfromaccidentaldeletion | out-gridview

Partición de aplicación Forest-wide

Para enumerar todas las zonas dns vulnerables en una “cajita” gráfica:

Get-ADObject -Filter 'ObjectClass -like "dnszone"' -SearchScope Subtree -SearchBase “DC=ForestDnsZones,DC=domain,DC=lab" -properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $False} | Select name,protectedfromaccidentaldeletion | out-gridview

Para protegerlas:

Get-ADObject -Filter 'ObjectClass -like "dnszone"' -SearchScope Subtree -SearchBase “DC=ForestDnsZones,DC=domain,DC=lab" -properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $False} | Set-ADObject –ProtectedFromAccidentalDeletion $true

Para checarlas:  

Get-ADObject -Filter 'ObjectClass -like "dnszone"' -SearchScope Subtree -SearchBase “DC=ForestDnsZones,DC=domain,DC=lab" -properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $True} | Select name,protectedfromaccidentaldeletion | out-gridview

Partición de dominio (legacy)

Para enumerar todas las zonas dns vulnerables en una “cajita” gráfica:

Get-ADObject -Filter 'ObjectClass -like "dnszone"' -SearchScope Subtree -SearchBase “CN=MicrosoftDNS,CN=System,DC=domain,DC=lab" -properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $False} | Select name,protectedfromaccidentaldeletion | out-gridview

Para protegerlas:

Get-ADObject -Filter 'ObjectClass -like "dnszone"' -SearchScope Subtree -SearchBase “CN=MicrosoftDNS,CN=System,DC=domain,DC=lab " -properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $False} | Set-ADObject –ProtectedFromAccidentalDeletion $true

Para checarlas:

Get-ADObject -Filter 'ObjectClass -like "dnszone"' -SearchScope Subtree -SearchBase “CN=MicrosoftDNS,CN=System,DC=domain,DC=lab " -properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $True} | Select name,protectedfromaccidentaldeletion | out-gridview

Nota:  Si se requiere eliminar alguna de estas zonas en el futuro lo único que habría de hacer es cambiar el atributo ‘ProtectedFromAccidentalDeletion’ a FALSE with PowerShell:

Set-ADObject “DC=DOMAIN_APP_PARTITION.COM,DC=DomainDnsZones,DC=domain,DC=lab" protectedFromAccidentalDeletion $False 

Bueno, ahora que ya tiene usted un poco más de recursos de ayuda… ¡¡¡es hora de ir y proteger su DNS!!!

Post original

Hola, soy Joao Botto y durante los últimos cuatro años he estado enfocado en el sistema operativo Windows para cliente. Trabajé en Europa durante el lanzamiento de Windows 7 y después me mudé a Estados Unidos para trabajar en Windows 8 y 8.1. Así que este es un día muy especial para mí –este es mi primer post en AskPFEplat y es de Windows 8.1 GA (http://windows.microsoft.com/en-us/windows/home).

Durante el último año, he soportado docenas de implementaciones de Windows 8 y he estado observando de primera mano cómo los cambios relacionados con el botón/menú de inicio en Windows 8 hacen sentir incomodos a algunos usuarios. Por supuesto, en IT, como en todo, el cambio es inevitable y como humanos, somos fácilmente adaptables :)

En Windows 8.1, el Botón de Inicio está de vuelta – pero no el clásico menú de Inicio. En este post, Mike Hildebrand y yo presentamos un par de soluciones que deberían ayudar a los usuarios tradicionales de mouse y de teclado (como nosotros) a sentirse más cómodos con la interfaz gráfica del sistema operativo Windows 8.1.

Primero, les mostraremos como ajustar la “experiencia” de inicio en dos  “sabores” diferentes y luego discutiremos como pueden desplegar/personalizar los parámetros de la pantalla de inicio a través de su ambiente.

Con estos trucos, les mostraremos como establecer una experiencia que es similar en funcionamiento al clásico botón/menú de inicio de Windows 7. Una vez que se acostumbre a los cambios, podemos predecir que se encontrará trabajando de manera más eficiente con la pantalla de inicio 8.1 visualmente más rica y más escalable.

Los usuarios típicamente instalan muchas, muchas aplicaciones durante el ciclo de vida de un PC. El resultado de esto era a menudo un Menú de Inicio que se expandía en múltiples filas o “carpetas”. La navegación en él, con el mouse cada vez se hacía más difícil para los usuarios a medida se instalaban más y más aplicaciones. También, el icono más común para las aplicaciones era una “carpeta” el cual lo hacía un poco estático visualmente y la personalización estaba limitada ya que debían estar todos alineados. La pantalla de inicio permite “Tiles” de variados colores, tamaños e iconos y nos permite organizarlos en el “espacio”.

Vista: Todas las Aplicaciones

La primera Vista que cubriremos es la que denominamos la Vista “Todas las Aplicaciones”.

El primer paso es cambiar de la Pantalla de Inicio por defecto a la Vista de Aplicaciones. Esto se realiza en “Propiedades de la barra de tareas y navegación”

• Clic derecho en la barra de tareas y seleccionar “Propiedades”, después seleccionar la pestaña “navegación”.
• Seleccionar “Mostrar la vista Aplicaciones automáticamente al ir a Inicio”

Ahora, en lugar de la pantalla de Inicio, vemos la siguiente pantalla que muestra todas las aplicaciones instaladas cuando iniciamos sesión:

También podemos elegir el orden de la clasificación de las aplicaciones…

Aquí seleccionamos mostrar los usados con mayor frecuencia primero – esto lo hará “sentir” más como Windows 7. 

Fondo de escritorio en Inicio

En Windows 8.0, cuando cambio a la pantalla de Inicio desde el escritorio, se produce un “switch” visualmente dramático a una pantalla completamente diferente.

En 8.1, tenemos más opciones. Podemos hacer que los iconos de la pantalla de inicio realicen una especie de “overlay” en el papel tapiz del escritorio en lugar de ser devuelto a una pantalla completamente separada.

Con esto habilitado, cuando cambiamos a la pantalla de Inicio, es mucho menos dramático el cambio/flash visual.

Para esto, seleccione: “Mostrar mi fondo de escritorio en Inicio”

Ahora, el escritorio hara la transision mas suavemente de esto…

…. A esto ( y de vuelta).

 Vista: Grupos de Aplicaciones

Para un diseño alternativo, donde agrupemos un set específico (o sets) de aplicaciones juntos, escogemos los siguientes parámetros…

Ahora, usted puede fijar lo que usted quiera en la pantalla de Inicio. Usted puede personalizar el orden, tamaño, agrupado y ubicación de sus iconos. Usted también puede hacer clic derecho en el fondo de la pantalla de Inicio, clic en “Personalizar” y definir nombres para sus grupos de aplicaciones…

• En la siguiente pantalla de Inicio, he fijado mis aplicaciones de trabajo primarias y algunas herramientas secundarias y aplicaciones que se encuentran comúnmente en el menú de Inicio de Windows 7 y personalice los iconos para ayudar a que mi trabajo sea más eficiente:
• Mis Documentos
• Varias Herramientas/Consolas administrativas (Hyper-V, RDP – hay una buena nueva aplicación moderna de RDP que pueden encontrar en la Tienda)
• Panel de Control
• Windows Update
• Dispositivos e Impresoras

Aquí nuevamente, cuando usted pasa del escritorio a la pantalla de inicio y vuelve de nuevo, hay una transición muy suave entre los dos…

Arranque en el Escritorio

En conjunto con nuestra elección de tema, si usted lo desea, puede escoger arrancar o iniciar sesión directamente en el escritorio en lugar de la pantalla de Inicio.

Algunos prefieren arrancar en la pantalla de inicio y comenzar con los iconos/Tiles, otros quieren ir directo al Escritorio. Podemos darnos el lujo de darles a los usuarios la flexibilidad de usar cualquier manera.

Configuración Centralizada

Ahora – cómo configurar centralizadamente esto?

Así como la mayoría de las configuraciones de Windows, podemos aprovechar las Políticas de Grupo y/o las Preferencias de las políticas de Grupo para controlar las configuraciones del Sistema Operativo. Windows 8/8.1 no es diferente.

Acá está la Politicapara mostrar la vista de Aplicaciones en lugar de la pantalla de Inicio (esta puede ser configurada localmente o vía GPOs de Dominio):

Sin embargo, tener la opcion de el fondo de pantalla en la pantalla de Inicio es una decisión “por usuario” y no puede ser expuesta via GPO.

Esta solo puede ser cambiada manualmente por el usuario a través de la siguiente llave de registro:

• Subkey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Accent
• Entrada: MotionAccentId_v1.00
• Tipo: REG_DWORD
• Values:
• Chequeado/mostrar mi fondo de escritorio en el Inicio: 219 (decimal)
• No chequeado/No mostrar mi fondo de escritorio en el Inicio: 221 (decimal)

 Afortunadamente, distribuir esta llave de registro se puede facilitar mediante el poder de las Preferencias de las Políticas de Grupo:

Detalles adicionales y PODER!

Para algunos detalles adicionales acerca de establecer una pantalla de Inicio personalizada “estándar” para los usuarios, consultar la siguiente sección de la librería de TechNet y los buenos post del blog de nuestros “Deployment Guys” usando MDT para despliegues empresariales:

• http://technet.microsoft.com/en-us/library/dn467928.aspx
• http://blogs.technet.com/b/deploymentguys/archive/2012/10/26/start-screen-customization-with-mdt.aspx  

Una nota más acerca del botón de Inicio,  la pantalla de Inicio y la experiencia del escritorio en 8.1 – Apagado y Reinicio.

Estos eran un poco los puntos sensibles en Windows 8.0 y muchas personas crearon sus propios accesos directos/Tiles para la pantalla de Inicio (Incluyéndome).

Sin embargo, en Windows 8.1, presionando la tecla de Windows + X se despliega un menú (o haciendo clic derecho en el botón de inicio) que provee estas opciones desde el escritorio. Yo ya no utilizo los Tiles Apagar/Reiniciar de mi pantalla de Inicio, así que los eliminé.

Dejenos saber via los comentaros como van con la personalizacion de su pantalla de Inicio 8.1 y los elementos asociados.

De Hilde y Joao, Feliz día Windows 8.1 GA y como dicen en Portugal – até ja!

Una entrega mas de nuestra seccion de traduccion del post original.

Hola, este es otro post por Venkat Kalyanasundaram de IPv6 para todos.

Ya discutimos en el post anterior IPv6 para el Administración en Windows: ¿Cómo funciona la resolución de nombres en un escenario IPv4/IPv6? y se discutió sobre el comportamiento cuando se utiliza un rango de direcciones IP privadas. Hoy vamos a hablar de un escenario especial cuando se tiene rangos de direcciones IPv4 públicas en nuestra red interna. Vamos a empezar.

Repaso Rapido

Los siguientes tres bloques de direcciones IPv4 en el mundo son tratados como direcciones privadas. En resumen, estas direcciones no pueden ser utilizadas por enrutadores para tráfico de Internet y se pueden implementar dentro de la red corporativa para el tráfico de Intranet. Si usted tiene la paciencia y el tiempo para leer RFC, puede obtener más información sobre este tema en los siguientes enlaces.

http://www.faqs.org/rfcs/rfc1918.html.

10.0.0.0 - 10.255.255.255 (10/8 prefijo)

 172.16.0.0 - 172.31.255.255 (prefijo 172.16/12)

 192.168.0.0 - 192.168.255.255 (prefijo 192.168/16)

Si has implementado el rango de direccionamiento IPv4 que no sea uno de los tres bloques de direcciones anteriores, entonces probablemente se utilizó unas direcciones públicas. Si bien no es común para utilizar rango público de direcciones IPv4 en la red interna, la gente todavía puede hacerlo por varias razones. Técnicamente no hay nada que pueda impedir el utilizar  rango público de direcciones IPv4 en la red interna.

Si tu eres una de las personas que habían utilizado rango público de direcciones IPv4 en la red interna, esto te podrá parecer interesante y servir de ayuda.

Dual Stack Comportamiento predeterminado y las direcciones de túnel 6to4

Las máquinas de Windows (con dual stack habilitado para IPv4 e IPv6) que son configuradas con un rango publico de IPv4 (131.107.xy por ejemplo) en su red, tendrá un comportamiento por defecto para generar direcciones de túnel 6to4.

Si usted se está preguntando cuál es la dirección de un túnel 6to4, entonces usted necesita entender los conceptos tecnológicos de transición con IPv6. Discutido de forma rápida, esto quiere decir - Básicamente un paquete de túnel IPv6 dentro del marco de IPv4 en una red que solo soporte IPv4. Hay diferentes tipos de mecanismo disponibles para crear túneles (ISATAP, 6to4 y Teredo) dependiendo del tipo de redes IPv4 involucrados. Si usted está interesado en aprender más sobre las tecnologías de túnel de IPv6, puede obtener la información de este enlace.

Technet

http://technet.microsoft.com/en-us/library/bb726951.aspx

Veamos esto con un ejemplo. Una máquina de Windows se configura a partir de un rango de direcciones IPv4 públicas 131.107.23.20 como se muestra en el resultado del comando IPCONFIG arriba. Supongamos IPv6 también está habilitado y no hay una dirección IPv6 global configurado para esta máquina. El comportamiento predeterminado en Windows es, generar la dirección del túnel 6to4 y en este caso se configura en la sección del Adaptador.

La dirección de túnel 6to4 siempre comienza con un 2002. Los dígitos restantes 836b: 1714 se genera en función de la dirección IPv4 configurada en la máquina y también se repite en la parte del ID de interfaz. Se trata básicamente de la representación hexadecimal de los valores de direcciones IPv4. Si se convierte el dígito decimal 131 en un valor hexadecimal, es 83, 107 se convierte a 6B hexadecimal y así sucesivamente. Como mencioné anteriormente, si usted quiere saber más acerca de cómo las tecnologías de túneles trabajan, revisar el los enlaces en el  technet http://technet.microsoft.com/en-us/library/bb726951.aspx

Impacto en el mundo real y Active Directory

Con la generación automática de la dirección del túnel 6to4, veamos ahora el impacto que crea. Una dirección 6to4 es tratada como una dirección IPv6 normal y queda registrado en el DNS como registros AAAA con actualizaciones dinámicas habilitadas a nivel de DNS. Con ambos registros AAAA y A registrados entre dos equipos con Windows, el comportamiento predeterminado en Windows es tratar de comunicarse a través de IPv6. (De acuerdo con el comportamiento de resolución de nombres que hemos hablado en el blog anterior y se explica en el diagrama anterior). La red sigue funcionando por que la direccion 6to4 se envia a traves del tunel dentro de un paquete IPV4 y se transmite como trafico IPv4 por medio de la red inmediata como enrutadores, etc.

La mayoría de las personas no se dan cuenta que el comportamiento anterior está ocurriendo en su red cuando utilizan un rango público IPv4 en las máquinas de Windows. Ellos se sorprenden al ver los registros AAAA en DNS, como se muestra en la imagen de arriba muestra AAAA y registros A para la máquina con 6to4 habilitada. También tienden a olvidar como definir la asociación equivalente en la subred / site IPv6 en Active Directory (Consulte la imagen siguiente para la consola MMC Sites and Services)

 Por lo tanto el impacto real - aquí usted comienza a tener problemas de rendimiento a nivel de Active Directory porque los clientes Windows están tratando de comunicarse a través de IPv6 (dirección túnel 6to4) y no tienen ninguna subred / sitios definidos en Active Directory IPv6. Por lo que podría terminar en escenarios como - cliente Windows está tratando de autenticar con un controlador de dominio en el sitio remoto (aunque hay un DC disponible en el sitio local) o cualquiera de los servicios como DFS o aplicaciones que se basa en la configuración de costos en AD puede encontrar problemas de rendimiento.

La siguiente pregunta lógica es ¿cómo puedo deshabilitar la generación automática de la dirección del túnel 6to4 en el caso que discutimos anteriormente con un ejemplo?

Forma correcta para desactivación 6to4

Puede usar un GPO “política de grupo” de Windows para deshabilitar el adaptador túnel 6to4 como se muestra en la imagen siguiente. Al desactivar a través de la GPO “política del grupo”, IPv6 se mantiene habilitado pero no se generarán direcciones 6to4. Si desea utilizar la opción “”Disabledcomponents”  debe utilizar la clave del Registro como se menciona en el KB

http://support.microsoft.com/kb/929852

 Como último punto a tener en cuenta, usted no tiene que preocuparse de esto si despliega rangos privados de direcciones IPv4 en la red.

Venkat

Articulo original (http://blogs.technet.com/b/askpfeplat/archive/2013/11/11/ipv6-for-the-windows-administrator-how-name-resolution-works-in-a-dual-ipv4-ipv6-scenario.aspx)

Hola, soy Venkat Kalyanasundaram, Senior PFE del área metropolitana de Nueva York.

Como alguien que trabaja constantemente con IPv6, comúnmente veo surgir el mismo conjunto de preguntas una y otra vez. Quiero tomar un poco de tiempo para abordar algunas de las preguntas más comunes y tratar de quitar el misterio de IPv6 de una vez por todas. Este es el primer post de una serie, así que estén al pendiente de las siguientes entregas para conocer más bondades de IPv6.

La primera pregunta que quiero tratar es extremadamente común. ¿Cómo funciona el proceso de resolución de nombres en un escenario de dual stack con Windows? Siendo más específico, nos gustaría saber ¿Cuál es el impacto a nuestro entorno de red cuando se habilita IPv6 en Windows?

Bueno, resolvamos esto de una vez. Como hemos dicho antes, no es recomendable deshabilitar IPv6 en los equipos Windows (En el FAQ de IPv6 para Microsoft Windows pueden revisar la pregunta "¿Cuál es la recomendación de Microsoft sobre deshabilitar IPv6?" para más detalles.)

La clave aquí es tener un entendimiento básico sobre cómo funciona el proceso de resolución de nombres en Windows cuando se habilitan IPv4 e IPv6.

En el mundo de IPv4, estamos acostumbrados a manejar el proceso de resolución de nombres usando Microsoft WINS y DNS. En el mundo de IPv6, WINS ya no importa. En otras palabras, las direcciones IPv6 no se registran en WINS y deben ser manejadas totalmente vía DNS. Una dirección IPv6 es representada como un registro AAAA (cuádruple A) en DNS similar a como se representa una dirección IPv4 como un registro de Host A. El concepto de registro PTR (para resolución de nombres inversa - de dirección IP a nombre de host) también se aplica a las direcciones IPv6 en DNS.

Con IPv4, normalmente estamos acostumbrados a tener registrada en DNS una sola dirección IP para una máquina dada. Con IPv6, tenemos que lidiar con diferentes tipos de direcciones (Link Local, Global etc. como comentaron anteriormente Mark y Ray en su blog http://blogs.technet.com/b/askpfeplat/archive/2013/06/24/ipv6-for-the-windows-administrator-ipv6-fundamentals.aspx). Tengan en cuenta que no todos los tipos de direcciones IPv6 se registran en DNS. Por ejemplo, una dirección Link Local que inicia con FE80: (dirección no enrutable, activa solamente dentro de su subred local) no es registrada en DNS. Mientras que una dirección Global se registra en DNS con un registro AAAA (cuádruple A). Cuando se trabaja con tecnologías de transición, las direcciones de Teredo no se registran en DNS. El artículo de Microsoft Technet Comportamiento del cliente DNS explica este comportamiento a detalle.

Repasemos algunos escenarios de la vida real en donde la red corporativa existente está funcionando casi al 100% con IPv4 y ustedes están tratando de introducir máquinas Windows nuevas con dual stack habilitado (IPv4 e IPv6 activos). Intentaremos averiguar cómo se comunican estas máquinas nuevas con la red existente.

Escenario #1:

Como se puede ver en el diagrama de arriba, tenemos dos máquinas (digamos que son un cliente Windows 7 y un Appserver1 ejecutando Windows 2008/R2) ubicadas en dos subredes diferentes con IPv4 e IPv6 activado (dual stack). Cuando habilitamos IPv6, la dirección Link Local (que inicia con FE80: lo cual puede verificarse con la salida del comando IPCONFIG) se configurará automáticamente en Windows. No vamos a entrar al detalle de cómo es generada de forma automática la dirección Link Local. Ese es un tema que trataremos en una entrega posterior. Vamos a asumir que no hemos configurado ninguna dirección Global de IPv6 ni alguna dirección para tecnologías de transición de IPv6.

El servidor AppServer1 registra su IPv4 en DNS. Como la dirección Link Local de IPv6 no es enrutable y esta confinada a la subred local, no se registra en DNS. En otras palabras, en DNS tenemos un sólo registro Host A para el nombre AppServer1 que apunta a la dirección IPv4 10.1.0.2, aun cuando tenemos habilitado IPv6 en el servidor.

Digamos que el cliente Windows 7 necesita comunicarse con el servidor AppServer1, vamos a ver cómo funcionan las cosas en el background desde la perspectiva de la red y la resolución de nombres. Inicialmente el cliente envía una petición al servidor DNS para resolver el nombre "AppServer1.contoso.com". El servidor de DNS le responde con un registro A apuntando a  la dirección IPv4 10.1.0.2. Entonces el cliente se comunica con el AppServer1 enviándole una solicitud a la dirección IPv4 10.1.0.2. Como se puede ver, la comunicación se sigue estableciendo vía IPv4 aunque tengamos habilitado IPv4 e IPv6 tanto del lado del cliente, como del lado del servidor. No existe impacto al performance de la red. Aun cuando el cliente o el servidor estuvieran configurados solo con una dirección IPv4 (sin dirección IPv6), encontraríamos el mismo comportamiento que acabamos de explicar.

Escenario #2:

Extendamos un poco más el escenario #1. Esta vez, digamos que el cliente está configurado con dual stack (con una dirección IPv4 y una dirección IPv6 Link Local como en el escenario #1), pero esta vez el servidor está configurado con una dirección IPv4 y una dirección IPv6 Global.

En este escenario, el AppServer1 va a registrar en DNS su registro Host A (apuntando a la dirección IPv4 10.1.0.2) y su registro AAAA (para la dirección IPv6 Global). En este caso también se genera la dirección Link Local en el AppServer1, la cual no se registra en DNS.

¿Qué pasará cuando el cliente Windows 7 quiera comunicarse con el AppServer1 en este escenario? El cliente envía una petición al servidor DNS para resolver solo el registro Host A para el nombre AppServer1. El cliente nunca intentará consultar el registro AAAA (aun cuando el servidor DNS tenga el registro AAAA del AppServer1), lo anterior porque el cliente sabe que el solamente tiene configurada una dirección Link Local que no es enrutable. El servidor DNS responde con la dirección IPv4, después de lo cual, el cliente se comunica vía IPv4 similar a como sucedió en el escenario #1.

Escenario #3:

Vamos a asumir que para este escenario, hemos configurado direcciones IPv6 globales, tanto en el cliente como en el servidor. También vamos a asumir que el equipo de redes ha configurado los ruteadores para rutear correctamente las direcciones IPv6. Esto significa que hemos realizado acciones específicas para configurar direcciones IPv6 globales en nuestra red, ya sea manualmente o utilizando el servidor DHCP o incluso desde el ruteador. (Sí, es posible configurar las direcciones IPv6 directamente desde el ruteador... Este tópico se cubre brevemente aquí: http://blogs.technet.com/b/askpfeplat/archive/2013/07/08/ipv6-for-the-windows-administrator-more-ipv6-subnetting-zones-address-autoconfiguration-router-advertisements-and-ipv4-comparisons.aspx)

En este escenario tanto el cliente como el servidor registran en DNS su registro Host A (para su dirección IPv4) y su registro AAAA (para su dirección IPv6 Global). Cuando el cliente Windows 7 intenta comunicarse con el AppServer1 en este escenario, hace la consulta a DNS para resolver el nombre AppServer1. El servidor DNS le responde con el valor del registro A (apuntando a la dirección IPv4) y con el valor del registro AAAA (que apunta a la dirección IPv6 Global) del servidor AppServer1. En este caso, el cliente se comunica con el servidor mediante IPv6. Si ambos registros (A y AAAA) pueden ser resueltos, el comportamiento por default en Windows es tratar de comunicarse vía IPv6.

Recapitulando…

Como puede verse en los escenarios de arriba, el escenario #3 es el único en donde el cliente y el servidor se comunican vía IPv6. En este escenario, los administradores de Windows y de Redes han realizado tareas  específicas para configurar las direcciones IPv6 globales en los ruteadores y en los equipos Windows. Si no se han realizado dichas tareas específicas y se habilita IPv4 e IPv6 en los equipos Windows con la configuración predeterminada, el impacto a la red es mínimo, como se puede constatar en los escenarios #1 y #2.

Como han podido notar en los escenarios anteriores, hemos usado direcciones IPv4 en el rango de direcciones privadas. Si en su red están usando direcciones IPv4 públicas (rangos distintos al 10.x.y.z, 172.16.x.y o 192.168.x.y) hay unas cuantas cosas más que debemos tener en cuenta. En mi próximo post, abordaré estas cuestiones.

Venkat

Revisa el articulo original desde aqui.

Que tal, Joao de nuevo. Mi bandeja de entrada se ha llenado de correos relacionados con Windows 8.1 y decidí hablarles de una nueva característica que ha sido muy requerida que al fin vio la luz del día.

Has escuchado acerca de Acceso Asignado? Tal vez has escuchado acerca del escenario donde se puede implementar: Modo Quiosco!

Hasta ahora tu única opción para crear un quiosco con Windows en el cual tus usuarios puedan interactuar con una aplicación sencilla sin el riesgo de comprometer el Sistema es usar Windows Embedded.

Ahora con la seguridad mejorada nos permite tener una aplicación Moderna (desde la tienda o Sideloaded) en un ambiente de prueba, Microsoft ofrece una alternativa que estoy seguro complacerá a muchos clientes. No importa  si eres un cliente muy grande o pequeño, si crees que la versión de Windows embedded es demasiado, tal vez Acceso Asignado es lo que estás buscando.

Por qué utilizar acceso asignado?

Cuando configuras acceso asignado puedes escoger cualquier aplicación moderna y ejecutarla en modo exclusivo en modo de pantalla completa en una cuanta local. Las únicas aplicaciones que no puedes usar son aquellas que hagan algún cambio en el Sistema y comprometer el quiosco (por ejemplo: Tienda, Configuración e Internet Explorer). El fin de esta característica es configurar rápidamente una maquina con un propósito específico que no sea posible de manipular.

Es importante mencionar que las aplicaciones tradicionales del escritorio no proveen el mismo nivel de seguridad, por lo tanto, no pueden ser utilizadas en acceso asignado. En este caso Windows Embedded sigue siendo tu mejor opción para bloquear una maquina en una aplicación de escritorio.

Con una cuenta de acceso asignado el usuario no tendrá ninguna notificación y el botón de Windows será suprimido como también los siguientes accesos directos y gestos:

Como configurar una cuenta local para acceso asignado

Los únicos pre requisitos necesarios son tener una cuenta local y preinstalar  la aplicación Moderna para esa cuenta. Para ello necesitas acceder al menos una vez al equipo antes de poder configurar acceso asignado.

Nota: es recomendado que las cuentas sean utilizadas para un propósito específico, no es posible usar cuentas de dominio.

En esta demostración he creado una cuenta local llamada Kiosk, pero puede tener cualquier nombre

Haz clic en “Set up an account for assigned access” para seleccionar la cuenta y la aplicación que quieres utilizar.

Tan simple como eso!

Si quieres configurar esto en varias máquinas o simplemente te encanta  Windows Powershell, puedes configurar esto con el cmdlet Set-AssignedAccess

Un ejemplo típico seria: Set-AssignedAccess -AppName <appname> -UserName <username>

Como puedes cerrar la sesión desde una cuenta configurada con Acceso Asignado?

Si utilizas un dispositivo para múltiples propósitos (por ej. Un equipo regular de un usuario que también es utilizado como quiosco en algún show), o si necesitas hacer cambios a tu configuración, necesitas tener un teclado físico conectado al dispositivo y presionar la tecla Windows 5 veces rápidamente. Recuerda, el botón físico de Windows en el dispositivo no funciona, para cerrar tu sesión en realidad necesitas un teclado físico.

Al igual que la mayoría de máquinas en quioscos ahora son touch o utilizan un teclado especifico, los usuarios no tendrán acceso al botón de Windows, así es como los administradores podrán hacer cambios a la configuración de acceso asignado y sus aplicaciones.

Ya imagino los posibles escenarios para acceso asignado, pero en verdad quisiera saber sus comentarios para saber cómo lo van a utilizar!

Si no conocen la variedad de dispositivos que puedes utilizar, utiliza este enlace: http://www.youtube.com/watch?v=2iab5qC_My0

Actualizacion Dic-4-13: Debido a una decalracion incorrecta acerca de Internet Explorer no esta disponible para acceso asignado, y requerir el boton de hardware de windows para salirse del acceso asignado. Gracias Vadim Sterkin por probar y reportar estas inconsistencias.

Joao “Loves Comments” Botto