Otro estúpido blog

Beta de Vmware Fusion para MAC

2006-11-13T00:48:00.000+01:00

Desde hace una semana estoy probando la beta de Vmware Fusion para Mac OS X sobre procesadores Intel, la primera impresión es bastante buena en cuanto a rendimiento ya que me parece da mejor rendimiento que Parallels aunque la versión se encuentra aun bastante verde y tiene fallos de falta de funcionalidad en algunos menús de la aplicación como en la ventana de browse para seleccionar una virtual machine donde no hay botón de cancel y la única manera de salir sin seleccionar una vm es hacer quit de la aplicación. También no reconoce correctamente algunos ficheros .vmx creados con otras versiones de Vmware y hay problemas para montar imágenes ISO como cd-rom.

En cuanto a funcionalidades este nuevo producto se queda a medio camino entre el Vmware Player y el Workstation ya que aunque permite crear maquinas virtuales por ejemplo no incluye la funcionalidad de Virtual Networks por lo que a la hora de elegir el interface de red solo permite escoger entre host-only, NAT o bridge. Se agradece que incluya soporte SMP para poder repartir la carga entre distintos cores o procesadores. Otra de las limitaciones es que al crear una maquina virtual los discos duros que crea son IDE sin posibilidad de escoger crear discos SCSI aunque si editamos el fichero .vmx manualmente podremos añadir discos SCSI y los reconocerá perfectamente.

Una de las funcionalidades que personalmente veo mas útiles es que podemos usar desde la maquina virtual dispositivos USB conectados físicamente al equipo, he estado probando esta funcionalidad con el iSight integrado del Macbook y funciona perfectamente.

Aqui esta el link para apuntarse a la beta.

Categorias: vmware macosx

Scanners de wifi para MAC

2006-10-22T21:50:00.000+02:00

No deja de sorprenderme la gran cantidad de software de calidad que hay para MacOSX, hoy buscando algo similar al Netstumbler de Windows para escanear redes inalámbricas y hacer algo de wardriving, usease robar el wifi de algún vecino, he encontrado un par de herramientas bastante buenas:

- KisMac: prácticamente incluye las mismas caracteristicas que Kismet en Linux, sobre todo esta orientado al wardriving ya que incluye varias características de cracking de claves WEP y WPA.

- iStumbler: basado en el código de macstumbler pero compatible con MacIntel, mucho mas completo que KisMac ya que además de redes wifi también realizar descubrimiento de dispositivos bluetooth y redes Bonjour.

Categorias: macosx wifi seguridad

MSCS, Microsoft Cluster Server, introducción

2006-10-16T21:02:00.000+02:00

MSCS, Microsoft Cluster Server, inicialmente conocido como Wolfpack apareció junto a Windows NT Server 4.0 Enterprise Edition en su versión 1.0, Windows 2000 Advanced Server y Datacenter incluían la versión 1.1 mientras que la versión 1.2 se incluye en Windows Server 2003 Enterprise y Datacenter. Se trata de una solución de clustering de HA, alta disponibilidad o high-availability, al igual que otras existentes en el mercado como Sun Cluster (Solaris), IBM HACMP (AIX, Linux on Power), Veritas Cluster (Windows, Linux, AIX, Solaris, HP-UX) o HP ServiceGuard (HP-UX, Linux). Microsoftofrece otras soluciones de clustering pero estas son de balanceo de carga como NLB o de grid computing como Windows Computer Cluster.

La implementación de Microsoft persigue el mismo objetivo que todos los clusters de HA, sufrir la mínima disrupciones posibles en los servicios que ofrecen moviendo los distintos servicios de una maquina física a otra en caso de fallo o bien en caso de que se prevea algún tipo de disrupción en el servicio como un reemplazo de hardware. Estos cambios se puedes realizar de manera manual o bien de manera automática de acuerdo con una serie de parámetros configurados, hablamos de failover cuando un servicio se mueve de un nodo (servidor fisico) a otro y de failback cuando un servicio que había sido movido por failover con anterioridad vuelve al nodo de origen al que pertenecía.

Nodo (node): se trata de uno cualquiera de los servidores que componen el cluster, los nodos se pueden agregar o quitar del cluster a lo largo del tiempo. Paradójicamente puede existir un cluster de un único nodo aunque no parezca de gran utilidad.

Recurso (resource): se trata de un componente hardware (disco fisico, red) o software (dirección IP, nombre de red, script...) que forma parte del cluster. Entre los recursos se producen dependencias que se han de reflejar en la configuración de los mismos. Por ejemplo entre un nombre de red netbios y una dirección IP, si la dirección falla entonces el nombre de red deberá fallar en cadena al ser componentes directamente relacionados.

Grupo (group): es una agrupación de recursos, un grupo de recursos es la única unidad del cluster donde se puede realizar failover, cuando esto ocurre se mueven todos los recursos que lo componen de un nodo a otro. Esta es la razón que los diferentes recursos componentes de un servicio o instancia de aplicación se agrupen en un mismo grupo, un recurso determinado no puede pertenecer a mas de un grupo de recursos. Cada grupo tiene una lista de nodos (prefered owner) que por orden de preferencia se escogen a la hora de determinar hacia que nodo mover el grupo cuando se realiza un failover.

Quorum: es un disco usado para compartir, entre los distintos nodos, información respecto a la configuración del cluster además en el caso de fallo en las comunicaciones entre los distintos nodos el que tenga en ese momento la propiedad del recurso Quorum. Dentro del quorum disk podemos encontrar la carpeta MSCS en la cual se alojan el log del quorum (quolog.log), que es en realidad un log de transacciones de los cambios realizados en la base de datos del cluster. También se encuentra dentro de la carpeta MSCS un fichero con nombre chk*.tmp hacia el cual cada nodo replica desde local el fichero local de registro de cluster %SystemRoot%\Cluster\CLUSDB, este fichero se encuentra cada nodo y es al que van primero los cambios realizados a la configuración del cluster.

   - Shared Quorum: se trata de la configuración mas habitual y recomendada, todos los clusters comparten el acceso a este recurso de disco fisico.

   - Local Quorum: aqui el quorum se localizaria en uno de los discos locales de uno de los nodos del cluster, este tipo de configuración solo tienen sentido para recuperación de desastres o durante mantenimientos o fallos del disco compartido de quorum, iniciando el servicio de cluster, Cluster Service (clussvc.exe), con el parametro /FIXQUORUM se creara un quorum local y solo tendríamos que seleccionarlo como quorum.

   - MNS (Majority Node Set): en este caso cada quorum se encuentra en local y esta diseñado, en principio, para clusters con mas de dos nodos o bien dispersos geográficamente. Esta tecnología, de tipo shared-nothing, se introdujo en Windows Server 2003, si bien existe una actualización para SP1 y R2 donde se producen algunos cambios con el objetivo de hacer posible el funcionamiento del Cluster Continuous Replication que incluira Exchange Server 2007.

Entre las limitaciones de clustering esta el limite de 8 nodos para Windows Server 2003, de 4 nodos para Windows 2000 Datacenter Server y de 2 para Windows 2000 Advanced Server o NT 4.0. Tampoco en un mismo cluster es posible mezclar diferentes ediciones (datacenter, enterprise, etc...) ni versiones de sistema operativo excepto sise trata de un proceso de actualización, tampoco están soportados los nodos con distintas arquitecturas de procesador (IA64, x64 o x86). También es necesario de disponer de dos redes diferentes en todos los nodos por motivos de redundancia de forma que se recomienda que una de ellas este en una VLAN aislada (o si se trata de dos nodos de un cable cruzado) y que esta red se configure para toda la comunicación interna del cluster.

Habitualmente se habla de nodos como pasivo / activo o activo / activo si bien esto se refiere mas concretamente a aplicaciones en configuraciones de cluster de dos nodos, como activo/activo nos referimos a aplicaciones que pueden ejecutar una "instancia" en cada nodo del cluster y si una falla pueden mover esa instancia al otro nodo de manera que se ejecuten en el nodo dos instancias de la aplicación. Como activo/pasivo queremos referirnos a aplicaciones que corren en un nodo mientras que el otro se encuentra en "stand-by" en caso de fallo.

La administración del cluster se puede realizar de manera local o remota desde el Cluster Administrator (cluadmin.msc) que ofrece una interfaz básica bastante sencilla y en la que prácticamente podemos acceder a todas las funcionalidades y también disponemos del comando cluster.exe que aunque no muy intuitivo si que además de la funcionalidad de la consola añade la posibilidad de realizar tareas algo mas complejas como registrar o desregistrar tipos de recursos de cluster desde una .dll o cambiar la contraseña.

Categorias: cluster

Particiones de aplicación en el directorio activo

2006-04-15T18:11:00.000+02:00

Las particiones de aplicación del directorio activo (active directory application partitions) se tratan de particiones que solo se replican a determinados controladores de dominio, de esta forma en lugar de usar una base de datos relacional especifica para una aplicación nos podemos aprovechar de la estructura del directorio activo existente para una aplicación dotándola además de redundancia al tener la opción de replicarla a través de distintos domain controllers en el bosque o dominio. Su uso mas habitual es para almacenar información de zonas DNS integradas en el directorio activo de forma que esta información solo se replique a determinados domain controllers dentro del forest o domain.

Una partición tiene su propio espacio de nombre (name espace) su estructura es idéntica a la de otras particiones del active directory excepto porque no puede contener elementos de seguridad (security principles) del directorio como usuarios, equipos o grupos. Existen tres lugares donde podemos posicionar una partición de aplicación, en un dominio hijo de una partición de un dominio, en un dominio hijo de una partición de aplicación y en un nuevo árbol en el bosque. Para acceder a las particiones bastara con realizar una consulta LDAP por los puertos TCP 389 o 636 (SSL), aunque el controlador de dominio contenga la partición si lo hacemos a través del puerto TCP 3268 o 3269 (SSL) de global catalog no nos devolverá ninguna información.

Para crear, modificar y administrar particiones del directorio podemos usar la herramienta de línea de comando LDP o Adsi Edit, aunque la herramienta mas sencilla es NTDSUtil. Como se puede ver en el ejemplo de abajo hay que tener en cuenta que se debe usar el DN ("DC=particiondeprueba,DC=lab,DC=julianrv,DC=com") de la partición que queremos gestionar y no el FQDN (particiondeprueba.lab.julianrv.com).

ABRIR NTDSUTIL Y CONECTARSE A DC

NTDSUTIL "DOMAIN MANAGEMENT"
domain management: CONNECTION
server connections: CONNECTO TO SERVER superdc.lab.julianrv.com
server connections: QUIT

CREAR PARTICIÓN
domain management: CREATE NC "DC=particiondeprueba,DC=lab,DC=julianrv,DC=com" superdc.lab.julianrv.com

CONFIGURAR REPLICA DE PARTICIÓN
domain management: ADD NC REPLICA "DC=particiondeprueba,DC=lab,DC=julianrv,DC=com" otrodc.lab.julianrv.com

ELIMINAR REPLICA DE PARTICIÓN
domain management: DELETE NC REPLICA "DC=particiondeprueba,DC=lab,DC=julianrv,DC=com" otrodc.lab.julianrv.com

BORRAR PARTICIÓN
domain management: DELETE NC "DC=particiondeprueba,DC=lab,DC=julianrv,DC=com"

Categorias: directorioactivo

Driver Motorola V3 RAZR para Windows x64

2006-04-04T00:31:00.000+02:00

Para otros sufridos propietarios del V3 que fueron tan inocentes de instalarse un OS de 64 bits de Microsoft aquí cuelgo el driver del v3 RAZR para Windows XP x64, es el original simplemente modificado para que funcione sobre x64.

Categorias: varios

ADSI Edit

2006-03-21T22:00:00.000+01:00

ADSI Edit es una utilidad que forma parte de las Support Tools que incluye Microsoft en el CD de instalación de Windows en el directorio /SUPPORT/TOOLS. Esta pequeña aplicación nos permite ver y modificar el esquema del directorio activo por lo que debe ser manejada con muchísimo cuidado ya que si modificamos erróneamente algún parámetro se puede corromper este ya que la herramienta no incorpora ningún tipo de control de errores sobre la edición y estos cambios se producen de manera inmediata.

Por defecto se nos abrirán los contextos de nombre de dominio (domain), esquema (schema) y configuración (configuration), si queremos conectar a algún contexto de denominación (name context) adicional o bien a global catalog en lugar del LDAP estándar se puede hacer haciendo click sobre el nodo ADSIEdit y eligiendo connect to.., también podemos elegir unas credenciales o dominio diferentes.

Para utilizar esta consola es necesario registrar una librería DLL incluida en el paquete ya que de otra manera nos aparecerá un error y no se llegara a abrir ADSI Edit, para ello hay que ejecutar el comando regsvr32 adsiedit.dll y nos aparecerá un mensaje informándonos de que se ha registrado correctamente la librería, este pequeño truco para que ADSI Edit funcione nos lo podemos ahorrar si instalamos las Support Tools mediante el fichero MSI incluido. Otro de los errores habituales que se produce es que si no estamos autenticados con usuario del dominio se producirá un error al arrancar la aplicación, la solución consiste en ejecutar una consola MMC primero (simplemente escribir MMC Ejecutar) y después abrir desde ahí el .msc correspondiente a ADSI Edit.

Categorias: activedirectory tools

Libros

2006-03-14T00:01:00.000+01:00

He descubierto que en ebay entre cachivaches de toda clase hay autenticas gangas de libros totalmente nuevos. Como siempre me han atraído mucho los dibujitos de las portadas de O'reilly y he aprovechado para comprar algunos libros de varios temas que me despiertan cierto interés últimamente.

Categorias: varios

Sitios en Active Directory

2006-03-12T23:49:00.000+01:00

Los sites (sitios) del directorio activo son la representación lógica de como se encuentran distribuidos los equipos físicamente, así posicionaremos en un mismo site todos los equipos que se encuentren interconectados mediante una red de alta velocidad o LAN mientras que estarán en distintos sites los equipos que se encuentren conectados mediante un enlace de baja velocidad (WAN). Al igual que a las OU's y los dominios también de pueden aplicar directivas de grupo (GPO) a los sites de manera que los podemos considerar una unidad también a nivel administrativo. Un dominio puede contener uno o mas sites, mientras que un mismo site a su vez puede tener uno o mas dominios. Para administrar los sitios disponemos de la consola de Sitios y servicios de Active Directory (Active Directory Sites and Services).

Para cada site debemos crear uno o varios objetos de subred (subnets) de forma que definamos su ámbito de direcciones IP, cuando se añado un nuevo controlador de dominio automáticamente se unirá al site que corresponda a su rango IP o también nos será posible moverlo a un site manualmente. La razón por la que solo se añaden domain controllers y no otros equipos es porque el cometido de los sites en active directory es tanto crear una topología lógica de replicación que directamente relacionada con la topología física de red, por diseño del directorio activo los clientes usaran si esta disponible el controlador de dominio mas cercano por tanto el de su site sin necesidad de añadirlos a ningún site específicamente. Por defecto al crear un dominio se crea siempre el site Nombre-predeterminado-primer-sitio (Default-First-Site-Name) a donde van a parar todos los domain controllers que creemos antes de fijar distintos sites, podemos renombrar este u otros sites sin ningún tipo de problema aunque puede ser necesario reiniciar los DC afectados o al menos el servicio Netlogon.

Para plasmar directamente en la topología de replicación como se encuentran interconectados los distintos sites se usan los vinculos a sitios (site links) que unen a dos o mas sitios y definen si el transporte de datos se realizara mediante RPC o SMTP si la replicación se produce de forma asíncrona al no tener una conexión permanente o no estar correctamente enroutada entre ambos sites, también se nos muestra la opción IP que se trata de RPC sobre IP. Por defecto siempre se crea un vínculo entre sitios llamado DEFAULTIPSITELINK donde están incluidos todos los sitios.

  - Costo (link cost), la replicación siempre se realizara a trabes de la ruta que ofrezca el costo menor o suma de costos menor si esta comprende mas de un vinculo de sitios, por defecto el coste es 100.
  - Programación (replication schedule), indica las horas y días en las que se puede realizar la replicación.
  - Replicar cada, especifica la frecuencia de replicación, por defecto es de 180 minutos.

Existe la posibilidad de controlar la replicación entre sites que no están conectados directamente si prescindimos del vinculo por defecto DEFAULTIPSITELINK, se trata del puente de vínculos a sitios (site link bridge). Consiste en unir dos o mas vinculos de sitios de forma que se puedan comunicar aunque no exista conectividad directa entre los dos extremos, esto sobre todo es útil para redes que no tienen enrutamiento completo o entornos de directorio activo con gran numero de sites.

En los vinculos entre sitios la replicación entre sites siempre se produce a través de un controlador de dominio predeterminado, es el conocido como Servidor cabeza de puente (bridgehead server), lo podemos fijar tanto para protocolo IP (RPC) como SMTP si vamos a las propiedades del controlador de dominio dentro del directorio Servers de cada site.

Categorias: directorioactivo

Politicas de restricción de software

2006-03-05T21:10:00.000+01:00

Windows Server 2003 y Windows XP permiten restringir el uso de software a través de políticas, gracias a esto se puede evitar que se ejecute software no deseado. Estas políticas se pueden aplicar tanto a nivel de usuario como de equipo con lo que será posible adaptarlo a las necesidades del entorno, así que podemos encontrar esta directiva dentro de Configuración de Windows -> Configuración de seguridad tanto el el nodo de configuración del equipo como el de configuración de usuario. Para comenzar a crear una política solo tenemos que hacer click con el botón derecho o bien ir a acciones y en ambos casos hacer click sobre Nuevas directivas de restricción de software.

Si echamos un vistazo a la política podemos ver distintos objetos de configuración, Niveles de seguridad (security levels) se refiere a los dos métodos base que existen de restricción del software. Ilimitado (unrestricted), se trata del método utilizado por defecto también conocido como blacklisting que consiste en permitir que se ejecute todo el software excepto el que se especifique como no permitido. El otro método disponible es No permitido (disallowed), que hará whitelisting es decir que solo permitirá ejecutar los programas que nosotros especifiquemos, este método es mucho mas seguro. Tras seleccionar este método los ficheros que vamos a permitir ejecutar o no según si usamos ilimitado o no permitido se filtraran mediante las Reglas adicionales (additional rules).

Editores de confianza (trusted publishers) nos permite seleccionar quien puede configurar una confianza con un determinado editor, esto es especialmente relevante a la hora de aceptar la instalación de controles ActiveX y aceptación de certificados por lo que es recomendable que solo se lo permitamos a los administradores.

Obligatoriedad (enforcement), aquí nos permite también aplicar las reglas de restricción de software también a bibliotecas DLL de forma que si estamos en modo no permitir habría que agregar esas bibliotecas. Igualmente nos permite seleccionar si se deben aplicar o no las políticas a los administradores locales.

Tipos de archivos designados (designated file types), en esta opción podemos elegir a que tipos de ficheros se aplicaran las restricciones, por defecto todos los tipos habitualmente ejecutables como .exe, .bat, .msi, .vbs... estan incluidos, podemos tanto eliminar algún tipo como incluir uno nuevo simplemente escribiendo la extensión.

Existen cuatro tipos de Reglas adicionales según el método en el que basa para asignar restricciones o excepciones, por defecto están incluidos todos los ficheros del sistema mediante varias reglas de ruta de acceso con nivel de permiso ilimitado.

Regla de certificado (certificate rule), se puede añadir un certificado firmado por el fabricante del software de forma que todo el software de ese fabricante se pueda ejecutar.

Regla de hash, se nos solicitara que apuntemos al fichero para generar un hash único que identificara al fichero, esto permitirá que se restrinja su uso independientemente de su nombre o localización, esto nos puede servir para restringir el uso de una versión concreta de un programa. Esta técnica es similar a la que usan los antivirus para localización de ficheros infectados.

Regla de zona de Internet (internet zone), este tipo de regla solo se aplica a paquetes .MSI bajados a través de Internet Explorer y restringe su uso dependiendo del tipo de zona de Internet de donde se haya descargado el fichero.

Regla de ruta (path), esta regla nos permite tanto fijar restricciones directamente para un directorio o fichero concreto como hacerlo indirectamente apuntando a una entrada del registro que a su vez referencia a una ruta de fichero o directorio como por ejemplo se puede ver en las rutas que vienen definidas por defecto.

En un articulo de su blog, Mark Russinovich (de Sysinternals) explica como saltarse este tipo de software restriction policies si es están en modo blacklisting. Recordad que al implementar este tipo de políticas para que se apliquen al usuario o equipo es necesario reiniciar la sesión y también que esto solo funciona sobre XP y 2003, NO sobre Windows 2000.

Categorias: seguridad directorioactivo

Diccionario básico PKI

2006-02-19T20:51:00.000+01:00

Espero publicar algunos artículos sobre uso de SSL y certificados en diferentes infraestructuras cuando disponga de algo mas de tiempo libre, entretanto dejo una breve descripción de los principales elementos que componen una infraestructura de clave publica (PKI).

PKI (public key infrastructure, infraestructura de clave publica): una PKI provee la posibilidad de intercambiar datos a través de una red publica de forma segura usando criptografía de clave publica. Una PKI consiste de diferentes elementos; entidades emisoras de certificados (CA), directorios que guardan estos certificados y certificados x.509 que son emitidos a entidades de seguridad en la red.

Entidad emisora de certificados / Certificate Authority (CA): se trata de una entidad que emite certificados y que asegura que la clave publica (public key) que se encuentra en un certificado emitido por ella pertenece realmente a la persona, organizacion o entidad que se especifica en el mismo certificado.

Authority Information Access (AIA): una extensión de certificado que contienes direcciones URI donde obtener el certificado de la CA emisora. Puede contener direcciones HTTP, FTP, LDAP o URLs de ficheros.

Certificate Revocation List (CRL): una lista firmada digitalmente emitida por una CA que contiene una lista de certificados emitidos por la CA que han sido revocados con su correspondiente razón de forma que se consulta para comprobar si los certificados han sido recovados y porque.

CRL Distribution Point (CDP): una extensión del certificado que nos indica donde se puede obtener la CRL de una CA, puede contener múltiples direcciones de fichero, HTTP, FTP o URLs LDAP.

Delta Certificate Revocation List (Delta CRL): un tipo de CRL que nos indica los cambios realizados respecto a la revocación de certificados que han sido hechos desde la publicación de la ultima CRL completa, se usa para ahorrar ancho de banda en entornos donde se revocan gran numero de certificados.

Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP): se trata de un protocolo que permite validar en tiempo real el estado de un certificado. CryptoAPI llamara al servicio OCSP y este proveerá una respuesta inmediata del estado de validación del certificado. Habitualmente OCSP realizara una consulta contra una CRL para obtener esta información.

Categorias: pki

Uso y sintaxis de NETDOM para renombrar un DC

2006-02-12T23:39:00.000+01:00

NETDOM.exe nos permite gestionar desde la línea de comando gran parte de la administración de un dominio en cuanto a la gestión de cuentas de equipos, relaciones de confianza e inclusos en dominios con nivel funcional Windows Server 2003 renombrar un controlador de dominio. NETDOM lo podemos encontrar entre las Support Tools que se incluyen en el CD de Windows Server 2003, también es posible ejecutarlo desde Windows XP para lo cual es necesario instalar previamente el Administration Tools Pack (adminpak.msi).

Renombrar un controlador de dominio no equivale a renombrar el dominio ni el bosque, tampoco es posible renombrar domain controllers que sean CA (Certificate Authority / Entidad Emisora de Certificados) debido a la naturaleza del servicio donde preservar el nombre de equipo es fundamental.

### El primer paso es añadir un nombre alternativo al domain controller que
### queremos renombrar, en lugar de su FQDN podemos indicar su IP.

> NETDOM COMPUTERNAME sqlserver.pruebas.int /add:nuevonombre.pruebas.int

Successfully added nuevonombre.pruebas.int as an alternate name for the computer. The command completed successfully.

### Esperaremos que el cambio replique a traves de los DNS
### una vez lo haya hecho lo configuramos como nombre primario

> NETDOM COMPUTERNAME sqlserver.pruebas.int /makeprimary:nuevonombre.pruebas.int

Successfully made nuevonombre.pruebas.int the primary name for the computer.
The computer must be rebooted for this name change to take effect. Until then this
computer may not be able to authenticate users and other computers, and may not be
authenticated by other computers in the forest. The specified new name was removed
from the list of alternate computer names. The primary computer name will be set to
the specified new name after the reboot. The command completed successfully.

### Reiniciamos y esperamos que el cambio de nombre primario replique. Podemos ver en
### el equipo el nombre primario mediante el comando hostname o bien ver todos
### los nombre asociados al equipo en orden desde cualquier equipo ejecutando:

> NETDOM COMPUTERNAME nuevonombre.pruebas.int /enum"

All of the names for the computer are:
nuevonombre.pruebas.int
SQLSERVER.pruebas.int
The command completed successfully.

### Ahora podemos mantener el viejo nombre durante un tiempo para asegurar el
### funcionamiento correcto o eliminarlo inmediantamente mediante:

> NETDOM COMPUTERNAME nuevonombre.pruebas.int /delete:SQLSERVER.pruebas.int

Successfully removed SQLSERVER.pruebas.int as an alternamte name for the computer.
The command completed successfully.

### ya esta!

Disponemos de dos parámetros aplicables a todas las acciones, si queremos ver con detalle las operaciones que realiza NETDOM debemos usar el parámetro /verbose que nos enumerara las acciones que realice de manera que podemos detectar posibles fallos. Si nos es necesario reiniciar el equipo en cuestión sobre el que realicemos alguna acción podemos especificar el parámetro /reboot que por defecto realizara el reboot 20 segundos después de la ejecución con exito del comando. Si lo que necesitamos es ayuda con la sintaxis especifica de alguna opción podemos usar simplemente NETDOM HELP OPCION o bien NETDOM OPCION /?.

Para otros ejemplos distintos de uso de todas las opciones podéis ver ejemplos de uso de NETDOM para todo tipo de tareas ademas de la sintaxis completa de NETDOM, ambos cortesía de la pagina de TechNet.

Relaciones de confianza

2006-02-08T23:49:00.000+01:00

Una relación de confianza (trust relationship) se trata de de una relación mediante la cual un usuario se puede autentificar, aparte de en los recursos de su propio dominio, en los recursos del dominio o bosque con el cual se establece este tipo de relación. Por defecto los dominios dentro de un mismo bosque se crean con una relación de confianza implícita entre ellos. Para configurar nuevas relaciones de confianza o ver las que están actualmente establecidas y con que características se puede realizar a través de la línea de comando con NETDOM o por la consola Dominios y confianzas de Active Directory desde también podremos crear una nueva confianza mediante un asistente grafico que nos guiara por todos los pasos necesarios que lo hará mucho menos tedioso que usando NETDOM. En Dominios y confianzas de Active Directory debemos ir a Propiedades->Confía en del dominio en cuestión donde podemos tanto ver las relaciones existente como crear una nueva.

Las relaciones de confianza pueden ser unidireccionales (one-way) o bidireccionales (two-way), es decir que pueden funcionar en un sentido solo o en ambos. Se considera relación de entrada (incoming trust) cuando los usuarios del dominio o bosque en que la configuramos pueden ser autentificados por el otro dominio mientras que se considera de salida (outgoing trust) cuando en el dominio que la configuramos se pueden autentificar usuarios de otro dominio o bosque.

También es posible configurar si queremos que la autenticación se pueda realizar en todos los recursos del dominio (domain-wide) o bien si la queremos hacer selectiva (selective) de forma que solo se pueda realizar en unos determinados servidores que especifiquemos. De igual manera podemos seleccionar si la relación de confianza queremos que sea transitiva o intransitiva, si elegimos que sea transitiva también se confiara en dominios que a su vez confíe en ellos el dominio con el que tenemos establecida el trust transitivo.

Según se confíe en un forest, dominio de NT4 o de directorio activo o un realm de Kerberos, dominio no-windows con autenticación Kerberos), se pueden establecer distintos tipos de trust:

Externo (external trust): es el tipo de confianza mas habitual, es siempre intransitiva y se puede configurar tanto unidireccional como bidireccionalmente. Este tipo de confianza se realizar entre dominios en bosques distintos o bien con un dominio de NT4. Por ejemplo si queremos realizar una migración de usuarios desde un dominio de Windows NT 4 utilizando ADMT deberemos establecer una confianza externa bidireccional entre el dominio de NT y el dominio de directorio activo al que pretendemos migrar los usuarios.

Bosque (cross-forest trust): como su nombre indica en lugar de realizarse entre dominios aquí la relación se establece a nivel de bosque de forma que se compartirán recursos entre ambos bosques. Este tipo de trust que siempre es transitiva y se puede realizar tanto unidireccional o bidireccionalmente se trata de una novedad de Windows Server 2003 por lo que solo se puede realizar si el nivel funcional de bosque de ambos dominios es de 2003.

Territorio (realm trust): este tipo de implantación se da raramente y sirve para interoperar con otros dominios no-windows que usen el protocolo Kerberos v5 para la autenticación como por ej. MIT Kerberos domains.

Acceso directo (shortcut trust): dentro de un bosque se crea implícitamente tanto en dominios con nivel Windows 2000 como Windows Server 2003 una relación de confianza bidireccional entre dominios padres e hijos (parent-child) y de raíz con los árboles (root-tree) de forma que todos los dominios confianza entre sí. Pero si tenemos muchos dominios esto puede funcionar notablemente lento ya que ha de recorrer desde los dominios que se realiza hasta el raíz del bosque, con este tipo de relación se estable una relación de confianza directa entre ambos dominios de forma que funcione de la forma mas rápida posible. Este tipo de confianza es siempre transitiva de forma que también puede beneficiar a otros dominios hijos de los que la forman y se puede configurar como unidireccional o bidireccional.

Tanto si realizamos la confía a través de NETDOM como del asistente se debe crear la confianza en ambos extremos, en una como saliente y en otro como entrante o en ambos como bidireccional, cuando la configuramos en el primer extremo se nos solicitara una contraseña de confianza que deberemos facilitar cuando se cree en el segundo extremo. Al finalizar el proceso de creación de relación se nos pedirá que se confirme si ya se ha creado la relación en el otro extremo para así intentar establecer o no la relación.

En cuanto a la configuración de DNS para realizar un trust lo mas recomendable es crear una zona secundaria del otro dominio o dominio raíz del bosque con el que se creara la confianza en el dominio de origen, de esta forma se evitaran gran numero de errores que se producen si se crean reenviadores o utilizan otras técnicas. Para verificar los dominios en los que una maquina confía podemos hacer uso de la herramienta de línea comando NLTEST.exe que se incluye en las support tools.

Categorias: directorioactivo

Global Catalog y Universal Group Membership Caching

2006-02-02T23:21:00.000+01:00

Catalogo Global es un rol adicional que pueden tomar los controladores de dominio tanto en Windows 2000 como en Windows Server 2003, a diferencia de los roles FSMO no es imprescindible para el correcto funcionamiento del active directory por lo que y también tenemos la posibilidad tener mas de uno por bosque o dominio. La función del global catalog es guardar una copircial de solo lectura de todos los objetos del bosque, al igual que el resto del directorio activo se trata de una arquitectura LDAP con la única particularidad de que funciona a través del puerto TCP 3268 en lugar de los puertos TCP 389 o 636 habituales, así que para dirigir consultas LDAP (queries) hacia el global catalog solo se requiere usar ese puerto y no ningún tipo de sintaxis especial.

Cuando configuremos el primer domain controller de un bosque este se configurara por defecto como Global Catalog, también podemos habilitar servidores adicionales de forma manual, para ello debemos ir a la consola de Sitios y servicios de Active Directory, buscar el controlador de dominio que queremos habilitar, o bien deshabilitar, e ir a NTDS Settings -> propiedades y marcar la opción de Catalogo Global.

Que sea accesible un controlador con global catalog es imprescindible en ciertos casos: para realizar una búsqueda entre todos los objetos del forest, para el logon de un usuario, búsquedas en libretas de direcciones de Exchange que tengan que acceder al global address list (GAL), para comprobar la pertenencia a grupos universales y en el caso de que tengamos un bosque con mas de un dominio es necesario cuando usamos el UPN (user principal name, por ej. usuario@dominio) y también cuando un usuario realice logon excepto si tenemos habilitada la opción de universal group membership caching que solo esta disponible en Windows Server 2003 o si hacemos una modificación en el registro (cambiar el valor de IgnoreGCFailures a 1).

La caché de pertenencia al grupo universal (universal group membership caching) se configura nivel de sitio (site) de active directory, se trata de una nueva característica de Windows Server 2003 pero estará disponible si tenemos un domain controller de 2003 aunque el nivel funcional del dominio sea Windows 2000. Para configurar esta opción debemos ir a la consola Sitios y servicios de Active Directory y en cada site en NTDS Site Settings -> propiedades se puede modificar esta opción y también seleccionar desde el site el cual se actualizara esta caché.

No debemos configurar el rol FSMO de maestro de infraestructura (infrastructure master) a un controlador de dominio que sea global catalog a menos que todos los controladores del dominio sean global catalog ya que no actualizaría la información de objetos que no tiene, que es la misión de ese rol, debido el catalogo global contiene copias parciales de todos los objetos del bosque. Si disponemos de ancho de banda suficiente, deberíamos tener si es posible un DC como global catalog en cada site, si el ancho de banda es limitado solo deberíamos posicionar global catalogs en sites con mas de 500 objetos en total entre usuarios y equipos ya que si es menor a eso es mas económico usar universal group membership caching.

Uso avanzado de DCPROMO y solución de problemas

2006-01-30T23:27:00.000+01:00

Dcpromo es el comando usado para promocionar un servidor a controlador de dominio o bien configurar un nuevo dominio de directorio activo, su uso es bastante sencillo y dispondremos de diferentes opciones, a través del asistente de instalación, tales como si tambien queremos configurar el propio servidor como DNS o si queremos que el dominio forme parte de un nuevo bosque o de uno existente. Igualmente si el servidor esta configurado como controlador de dominio, dcpromo nos servirá para despromocionar el domain controller o desinstalar el active directory. En Windows 2000 la única opción avanzada para dcpromo es la creación de un fichero de respuesta automática para realizar una instalación desatendida (unattended) mientras que Windows Server 2003 además nos ofrece la posibilidad de realizar la promoción de un nuevo controlador de dominio de un dominio ya existente desde una copia de seguridad del directorio activo.

Para crear un fichero de configuración desatendida para DCPromo debemos crear un fichero de texto en el cual debemos insertar el encabezado [DCInstall] , debajo de esto podemos configurar cualquier parámetros de los cuales os enumero los mas útiles:

PARAMETRO	VALORES	DESCRIPCION
AdministratorPassword	Yes/No	Nueva contraseña para la cuenta de administrador del dominio si es el caso
AutoConfigDNS	Yes/No	Indica si se debe configurar o no automáticamente el servidor como DNS
CreateOrJoin	Create/Join	Señala si se creara un nuevo bosque o se unirá a uno existente
DomainNetBiosName	Cualquiera	Nombre NETBios del dominio
NewDomainDNSName	Cualquie.ra	Nobre DNS del dominio
RebootOnSuccess	Yes/No	Si se indica se reiniciara el servidor tras una instalación satisfactoria
ReplicaOrNewDomain	Replica/Domain	Indica si es una replica de un dominio ya creado o un nuevo dominio
SysVolPath	ruta\a\SYSVOL	Ruta al directorio local donde se alojara SYSVOL
TreeOrChild	Tree/Child	Especifica si el directorio forma un nuevo árbol dentro del forest o bien cuelga de un dominio ya existente
SiteName	Cualquiera	Nombre del sitio al que pertenecerá el domain controller

Aquí tenéis un ejemplo sacado del articulo KB sobre instalaciones desatendidas en Windows 2000 y Windows Server 2003, donde también podéis encontrar todos los parámetros existentes para cada versión.

[DCINSTALL]
ReplicaOrNewDomain=Domain
TreeOrChild=Tree
CreateOrJoin=Create
NewDomainDNSName=
DNSOnNetwork=yes
DomainNetbiosName=
AutoConfigDNS=yes
SiteName=[active directory site name (optional)];
AllowAnonymousAccess=no
DatabasePath=%systemroot%\ntds
LogPath=%systemroot%\ntds
SYSVOLPath=%systemroot%\sysvol
SafeModeAdminPassword=
CriticalReplicationOnly=No
RebootOnSuccess=yes

En Windows Server 2003 como novedad existe la posibilidad de realizar el DCPromo desde un backup del directorio activo para lo que simplemente tendremos que ejecutarlo como dcpromo /adv y tras seleccionar, de esta forma en lugar de replicar desde otro controlador de dominio ya presente tomara los datos desde la copia de seguridad. Adicionalmente debemos asegurarnos, al igual que en cualquier otro caso de restauración del active directory, que el backup no es mas antiguo que el tiempo fijado para el atributo tombstoneLifetime. Aparte de para la recuperación de un servidor fallido, también nos puede ser útil para ahorrar trafico de replicación en enlaces WAN o acelerar el proceso, ya que solo los cambios realizados desde el backup serán los que se replican a este DC desde otros. Como se puede ver en los pantallazos de abajo esta opción nos aparecerá solicitando el directorio donde se encuentra el backup del system state tras seleccionar "Controlador de dominio dominio adicional para un dominio existente" en la segunda pantalla del dcpromo.

La gran mayoría de los problemas causados durante un dcpromo se deben a una incorrecta configuración DNS pero también pueden existir otras causas, os propongo a continuación una serie de comprobaciones básicas a realizar si se detectan errores durante o después del dcpromo a pesar de haberse realizado este con éxito y que pueden ayudar a la hora de aislar el problema.

- Comprobar conectividad IP con otros controladores de dominio y/o servidores DNS. Si la resolución DNS funciona aparentemente de manera correcta, comprobar si los registros de las zonas relativas al directorio activo (_msdcs, _sites, _tcp y _udp) se encuentran correctamente. Para estas tareas nos pueden ser de gran ayuda NetDiag y DCDiag, podemos reparar los registros del directorio activo realizando un NetDiag /fix. Igualmente debemos considerar ipconfig /flushdns para eliminar posibles restos de registros DNS en el caché DNS.

- Debemos revisar el estado y posibilidad de acceso a los directorios compartidos administrativos (administrative shares) SYSVOL y NETLOGON. Si recibimos errores de autentificación tal vez sea conveniente reiniciar el servicio Netlogon, además de todo esto es conveniente que el servidor de encuentre unido de antemano al directorio activo como servidor miembro. También se debe comprobar el estado de NTDS.dit y que se encuentre correctamente situado en %SystemRoot%\System32.

- También es conveniente comprobar el estado de los roles FSMO, especialmente el maestro de nombres de dominio (domain naming master).

Para realizar estos pasos siempre nos debemos valernos del Visor de sucesos (eventvwr) en los distintos servidores para poder orientarnos hacia cual es la fuente del problema.

Categorias: directorioactivo backup troubleshooting

Puertos usados en la replicacion de Active Directory

2006-01-26T23:46:00.000+01:00

Cuando se replica la información del directorio activo es conveniente tener conectividad en los siguientes puertos para que todo funcione correctamente:

UDP/TCP 53 - DNS
UDP/TCP 88 - KERBEROS
TCP 135 - RPC (Remote Procedure call / Llamada al procedimiento remoto)
UDP/TCP 389 - Active Directory (LDAP)
UDP/TCP 445 SMB sobre IP
TCP 636 - LDAP sobre SSL
TCP 3268 - Global Catalog (LDAP)

RPC asignara un puerto alto (del 1024 al 65536) aleatoriamente para replicar datos. En lugar de RPC también existe la posibilidad de usar SMTP en la replicación del directorio activo entre sitios (intersite) aunque raramente se usa ya que solo tiene sentido si existen problemas de enrutamiento, si ese es el caso habrá que tener abierto el puerto 25 de TCP también.

Categorias: directorioactivo networking

Tecnicas de balanceo de carga: NLB y Round Robin

2006-01-24T23:58:00.000+01:00

Round Robin es una técnica de balanceo de carga entre distintas maquinas o interfaces de red que funciona mediante DNS de modo que cada vez que se realiza una petición al servidor que contiene el registro DNS en cuestión este contiene varias correspondencias del registro tipo A (host) de manera que va rotando los resultados que ofrece. Esto nos ofrece un sistema de balanceo de carga muy sencillo pero irregular e inconsistente ya que nunca repartirá equitativamente las peticiones una vez se extiendan estos registros a otros servidores DNS y otro de los problemas que arrastra es que si una de las direcciones IP a las que e apunta de deja de funcionar no habrá forma de eliminar en un periodo breve las peticiones dirigidas a ella. Aun así es un método a considerar ya que nos permite usar equipos con sistemas operativos heterogéneos (Windows, Linux, Unix, Solaris..) para balancear servicios como Web, FTP o correo SMTP entrante y saliente. Os ofrezco un ejemplo de configuración de un servicio Web mediante round robin en:

Network Load Balancing (NLB) se trata de una tecnología de clustering propietaria de Microsoft existente tanto en Windows 2000 como en Windows 2003 Server que crea una red de servidores que mediante distintos mecanismos y algoritmos se intercomunican y deciden quien debe ser el receptor de cada petición, también si se produce algún problema en uno de los servidores se detectara y este será retirado automáticamente de la red de servidores en NLB. también es conocido como network load balancing la técnica que usan distintos fabricantes de hardware como F5 Networks, Radware, NetScaler o Cisco, que mediante dispositivos dedicados (appliances) conocidos como switches L4-L7, dedican uno (varios si están redundados) de estos dispositivos exclusivamente a repartir las peticiones entre los distintos servidores. también suelen integrar en paralelo con el balanceo de carga otras soluciones de seguridad y optimización de los servicios como proxy de SSL. Ambas técnicas nos plantean el problema de que la imposibilidad de dispersar los servidores geográficamente y ser soluciones complejas, en el caso de las soluciones hardware su principal desventaja es el alto precio de este tipo de dispositivos pero a cambio suelen ofrecer pocos problemas de incompatibilidad y un muy buen rendimiento.

En Windows disponemos la posibilidad de activar la opción orden de mascara de red (subnet mask ordering) en este modo si tuviéramos un mismo registro A (host) que correspondiera a distintas direcciones IP como es el caso de cuando configuramos un round robin, en lugar de ir rotando la dirección IP que devuelve en caso de que la IP del peticionario se encuentre en la misma subred que una de las direcciones IP de los resultados siempre devolverá la dirección IP de esa subred. Esto puede ser bastante útil a la hora de ofrecer servicios locales en entornos con distintas localizaciones. Tanto round robin como el orden de mascara de red están habilitadas por defecto, las podemos desactivar en propiedades -> avanzadas del servidor DNS.

Categorias: clustering dns

Cache de DNS

2006-01-23T23:23:00.000+01:00

Los servidores DNS guardan en caché todas las peticiones DNS que resuelven durante el tiempo que indica el SOA (Start of Authority) del dominio. Existe la posibilidad de configurar servidores llamados de "solo caché" (caching only) que simplemente resuelven las peticiones mediante reenviadores (forwarders) o realizando consultar recursivas a través de sugerencias de raíz (root hints) y que por tanto ni contienen ni tienen autoridad para ninguna zona. Pueden ser útiles en estrategias de resolución de nombres de Internet donde nuestras comunicaciones sean lentas, por un lado no desperdiciaremos trafico con transferencias de zona y por otro ahorraremos trafico gracias al caché ya que muchas consultas a servicios usados habitualmente se resolverán sin necesidad de generar ningún trafico WAN. También representan una buena manera de quitar carga de trabajo a los servidores de DNS que contienen las zonas del directorio activo si los configuramos como reenviadores de estos para resolver los nombres de Internet en lugar de confiar en los servidores de nuestro ISP.

Uno de los ataques mas comunes vía DNS que se producen son los conocidos como envenenamientos de caché (cache poisoning)que consisten en la introducción de registros erróneos en la caché de los servidores DNS mediante diferentes técnicas. En Windows disponemos de una opción en las propiedades del servidor DNS llamada Asegurar caché contra corrupción (prevent cache pollution) que evita que el servidor sea victima de este tipo de ataques, esta opción viene activada por defecto en Windows Server 2003 mientras que en Windows 2000 habrá de ser activada manualmente.

Categorias: dns seguridad

Estrategias de resolución de nombres externos en directorio activo

2006-01-17T23:26:00.000+01:00

Para resolver nombre externos a nuestro dominio en un entorno con active directory, aunque esto es también aplicable a cualquier entorno Windows, disponemos de varios métodos que se usan según las circunstancias, los enumero por el orden en que se recurre a ellos:

Reenviadores condicionales (conditional forwarders): estos reenviaran la consulta a una serie de servidores DNS según al dominio al que se trate, este tipo de reenviador solo esta disponible a partir de Windows Server 2003 y se suele usar en entornos donde existe mas de una espacio de nombres o existe una relación de confianza (trust) entre dominios o bosques que no comparten un espacio de nombres común.

Reenviadores (forwarders): es el método mas utilizado y eficiente para resolver nombres DNS de Internet, se suele apuntar al servidor DNS que nos facilitara nuestro ISP u otros.

Como podéis ver existen un par de opciones adicionales, si marcamos la casilla "No usar recursividad para este dominio" (do not use recursion for this domain) entonces no se recurrirá a los root hints para intentar resolver el nombre lo cual es una buena medida de seguridad si se trata de algún dominio que no este en Internet como el dominio interno de una empresa por ejemplo. La otra opción, "Segundos transcurridos hasta agotarse el tiempo de espera de envió de consultas" indica como el tiempo que espera el servidor para probar con el siguiente servidor DNS antes de recibir una respuesta.

Sugerencias de raíz (root hints): se trata de los servidores raíz del ICANN (root servers) a través de los que se puede resolver cualquier nombre de dominio registrado para Internet, el gran problema es su lentitud ya que aparte de la distancia geográfica también deberemos hacer distintos -queries- recursivos hasta encontrar el servidor primario o secundario del dominio.

Gran numero de problemas en entornos directorio activo se deben a la configuración de DNS, en gran parte debido a la dependencia que tiene del DNS, ya sea de clientes o servidores. Uno de los problemas mas comunes es que haya una zona DNS root (.) en el DNS creada lo que impide que se hagan uso de los reenviadores absolutos o condicionales de forma que es necesario borrarla para poder hacer uso de ellos, por otro lado crear una zona de este tipo puede ser una buena estrategia si lo que queremos es evitar que los clientes resuelvan nombres DNS externos. Los clientes -siempre- han de estar configurados con las direcciones IP de los servidores internos, ya sean controlador de dominio o servidores secundarios y estos a su vez contener reenviadores para poder resolver nombres externos, tener configurada otros servidores que no pertenezcan al dominio es fuente de gran cantidad de problemas.

Categorias: dns directorioactivo

Tipos de zona DNS en Windows

2006-01-16T23:55:00.000+01:00

La infraestructura DNS de Windows se aleja un poco de lo que había sido la concepción habitual DNS del mundo UNIX donde solo teníamos servidores primarios y secundarios y el almacenamiento se realizaba en ficheros de texto, si bien Windows respeta los estándares BIND en este aspecto y también nos ofrece este tipo de configuración igualmente nos ofrece unas opciones novedosas respecto a esto. En primer lugar la pregunta que se nos viene a la cabeza cuando hablamos de zonas DNS (DNS zones) es porqué hablamos de zonas y no de dominios cuando tratamos de DNS, esto es porque las zonas se tratan de divisiones de un dominio realizadas con el propósito de simplificar su administración de forma que podamos delegar la administración de partes del espacio del nombre (subdominios).

Zona Principal (Primary zone): es la zona con capacidad de lectura y escritura sobre la información.

Zona Secundaria (Secondary zone): es la zona que replica a la zona principal que solo tiene capacidad de lectura sobre la información.

Zona de código Auxiliar (Stub zone): este tipo de zona solo contiene el registro SOA de inicio de autoridad (Start Of Authority), los registros NS (Name Server) y A (host) que apuntan los servidores de nombre. Una stub zone no contiene ningún registro aparte de los anteriormente citados de manera que lo único que hace es apuntar a los clientes hacia un servidor DNS, a primera vista puede parecer que no tiene utilidad pero infraestructura cambiante pero tiene gran utilidad en dos tipos de escenario: en el caso de que estemos realizando cambios en nuestra infraestructura DNS así no tendremos que cambiar la configuración de los clientes mientras dure este proceso o bien en escenarios donde las zonas contengan gran cantidad de registros y no queramos realizar gran cantidad trafico de replicación de DNS entre distintas localizaciones por enlace WAN. Este tipo de zonas solo están disponibles a partir de Windows Server 2003.

Si el servidor DNS es también controlador de dominio es posible configurar el almacenamiento de la zona para que se integre en el directorio activo (ADI, Active directory integrated) ya que se trata a la zona como de replicación multimaster como lo es el directorio activo, en otro post tratare las particularidades, inconvenientes y ventajas de este modelo que esta disponible desde Windows 2000.

Existen dos supertipos de zona según el tipo de resolución que se realice, tenemos las zonas de búsqueda directa (forward lookup zones) que es el tipo mas utilizado es decir se realiza una resolución de nombre DNS a IP. También contamos con las zonas de búsqueda inversa (reverse lookup zones) que realizan justo lo contrario, es decir, ver cual es el nombre DNS asignado a una IP. Para ello dividen los nombres de espacio por subredes, y se nombra las zonas con el estándar C.B.A.in-addr.arpa para definir un rango IP de A.B.C.x y si el rango fuera clase A o B en lugar de clase C como este se representaría como A.in-addr.arpa o B.A.in-addr.arpa respectivamente.

Categorias: dns directorioactivo

¿Que es Windows Storage Server 2003?

2006-01-15T12:19:00.000+01:00

Windows Storage Server 2003, es una versión de Windows Server 2003 parcialmente limitada y sobre todo optimizada para ser utilizada de formada dedicada para servicios de impresión y especialmente de servidor de ficheros, en cualquier caso es totalmente compatible con el software que funciona sobre estos servicios. Esta versión, que también ha recibido la actualización R2 donde se mejoran las opciones de gestión de servidores de ficheros tanto locales como en oficinas remotas, no es posible que sea adquirida por separado y solo se incluye con la compra de dispositivos NAS (Network Attached Storage). A diferencia del resto de versiones no es necesaria la compra por separado de licencias CAL (Client Access License) ya que el producto incluye licencias ilimitadas.

Existen dos versiones de Windows Storage Server 2003, Standard y Enterprise, la versión Standard solo incluye la funcionalidad básica mientras que la versión Enterprise soporta hasta 4 procesadores en el dispositivo NAS, multipath I/O lo que le permite conectarse a un dispositivo de almacenamiento por hasta 32 caminos diferentes de forma de forma que creamos redundancia en la conexión se puede configurar para que realice balanceo de cargar (load balancing) o failover en caso de fallo en alguna de ellas y también nos permite realizar clustering de hasta 8 nodos.

Categorias: almacenamiento

DHCP en Windows

2006-01-11T23:39:00.000+01:00

Si queréis saber como funciona el protocolo DHCP en su forma estándar echarle un vistazo al link, este articulo es aplicable a Windows 2000 aunque como de costumbre me enfocare a Windows Server 2003. Para instalar el servicio debemos ir a Panel de Control -> Agregar y quitar programas -> Agregar o Quitar componentes de Windows -> Servicios de Red -> Protocolo de configuración dinámica de host (DHCP). El servicio DHCP funciona a través del puerto UPD 67 en el servidor y UDP 68 en el cliente.

Esto también nos instalara la consola de gestión de DHCP (dhcpmgmt.msc) desde la cual podremos manejar tanto los servidores de DHCP locales como los remotos. Si nuestro servidor DHCP forma parte del directorio activo es necesario para que comience a funcionar que se autorice, para ello hay que marcar el servidor que deseamos autorizar e ir a Todas las tareas -> Autorizar para esto es necesario un usuario que pertenezca al grupo Enterprise Administrators. A continuación podéis ver un pantallazo de la consola y una descripción de los elementos que podéis ver.

Ámbito (scope): se trata simplemente de un rango de direcciones IP que fijamos con unas propiedades comunes determinadas.

Superámbito (superscope): utilizaremos esta opción cuando queramos asignar un rango que ocupe mas de una subred (subnet), de forma que crearemos un ámbito por subred y los agruparemos en un superámbito.

Ámbito de multidifusión (multicast scope): aquí no aparece pero es una de las opciones que existen para crear en el asistente de creación de ámbitos. Se trata de un rango de direcciones IP de clase D que se asignan a equipos que las solicitan, su particularidad consiste en que necesitan el Multicast Address Dynamic Client Allocation Protocol (MADCAP) para solicitar una de estas direcciones. Todos los equipos en un grupo de multidifusión (multicast group) usa una única IP y sirve para enviar datos a un grupo de equipos a la vez enviando una única copia del mensaje.

Conjunto de direcciones: es el rango de direcciones IP del que asignaremos las direcciones. Si dentro de este rango tenemos uno o varios intervalos que no queramos asignar a ningún equipo debemos crear un rango o rangos de exclusión, por supuesto si solo queremos excluir una IP pues el inicio y final del rango deberá ser esa IP en concreto.

Concesiones de direcciones: son las direcciones del ambito que ya hemos concedido (lease) a cliente, nos indica a que MAC ha sido concedida cada IP.

Reservas: una reserva se realiza a una dirección IP de forma que siempre se asigne a un cliente que tenga una MAC prefijada y no a otros, esto es recomendable para configurar servidores o equipos que queremos que no tenga una configuración manual pero que no cambie su IP.

Lo que vemos en los pantallazos de arriba son las opciones de ámbito, en ellas para cada ámbito fijaremos una serie de opciones de configuración adicionales como servidor WINS, enrutador (puerta de enlace / gateway), servidores DNS, sufijo de conexión y otras menos comunes. También en las opciones avanzadas podemos ver opciones mas especificas según la clase de usuario (user class) o según la clase de proveedor (vendor class). En las propiedades del ámbito veremos las siguientes opciones:

En la primera pestaña aparte del intervalo de direcciones IP del ámbito podemos ver otra opción llamada Duración de la concesión para clientes DHCP (lease period), esto se refiere al tiempo que durara el préstamo de IP al equipo cliente, como norma habitual se suele configurar este tiempo con una duración igual al promedio de tiempo que el equipo esta conectado a la misma red. Una vez pasado este tiempo si la IP ya no esta en uso por el equipo se libera para que se pueda asignar a otro cliente, si aun esta en uso y a la dirección no ha sido aplicada ningún tipo de restricciones se renueva la concesión (lease renew). También podemos quitar el limite de manera que se asignen las direcciones IP por un periodo ilimitado lo que puede provocar problemas de que se nos agote la reserva (pool) de direcciones lo que puede pasar igualmente si el periodo es demasiado largo y no disponemos de demasiadas direcciones de manera que debemos ser cuidadosos a la hora de ajustar estos tiempos.

Las opciones que podéis ver en la pestaña de DNS son las que se configuran por defecto, el primer apartado se refiere a la actualización del sufijo de conexión es los servidores DNS de forma que nos de la opción de activar el puntero a registro (Point to record / PTR) y el registro A siempre que se haga una concesión o solo cuando se solicite explícitamente por el cliente. En el segundo apartado tenemos la opción de descartar esos registro una vez expire la concesión y no se renuevo, en el tercer apartado lo que nos ofrece es para clientes que no soporte la solicitud de actualización en DNS como NT4 que se actualice automáticamente.

Aquí nos da opción de conceder direcciones también a clientes BOOTP que se trata de un protocolo anterior a DHCP y mucho mas limitado, usualmente no será necesario activar esta opción pero en cualquier caso aquí la tenemos con la opción de configurar un tiempo de préstamo predeterminado.

Una de las tareas que podemos ver es Reconciliar o Reconciliar todos los ámbitos, en lo que consiste es en actualizar las concesiones que ha realizado el servidor contra el registro de ellos que guarda el en una base de datos .mdb de forma que no se produzca ningún tipo de inconsistencia, esto es un problema común que se da si acabamos de realizar una restauración recientemente de este registro. Por ultimo unas opciones mas que podemos encontrar si vamos a las Propiedades del servidor, en la pestaña General podemos configurar el intervalo temporal de actualización de estadísticas y si queremos realizar auditoria del registro DHCP. En la pestaña DNS configuraremos las mismas opciones que señalamos anteriormente pero a nivel de servidor de forma que serán las que se apliquen por defecto a los distintos ámbitos.

En la pestaña Opciones avanzadas, lo primero que nos encontramos es el parámetro Intentos de detección de conflicto que lo que hará es tantas veces como le indiquemos realizar ping a la IP que va a conceder de manera que si esta ocupada intentara de nuevo conceder otra en su lugar realizando el mismo proceso. Podemos definir las rutas a los ficheros de registro, base de datos y backup que por defecto se encuentran en C:\WINDOWS\system32\dhcp, también podemos fijar las interfaces de red del servidor a través de las cuales atenderá las peticiones DHCP y por ultimo podemos fijar las credenciales con las que se identificara en el servidor DNS para actualizar registros.

Categorias: dhcp dns directorioactivo

Niveles funcionales de bosque en Windows Server 2003

2006-01-09T23:00:00.000+01:00

A diferencia de Windows 2000 donde solo teníamos niveles de dominio mixto y nativo en Windows 2003 aparte de los cuatro diferentes niveles de dominio también tenemos tres niveles de forest diferentes, que son los siguientes:

Windows 2000: este es el nivel por defecto tanto para dominios migrados desde 2000 como para nuevos dominios de Windows Server 2003, aquí ninguna de las nuevas características de 2003 a nivel de bosque es aplicada excepto la nueva replicación diferencial y otras mejoras relacionadas con Global Catalog (GC), las particiones de active directory para aplicaciones y la opción de realizar un dcpromo instalando el directorio activo desde un backup. Debemos tener en cuenta que debemos mantener este nivel si deseamos tener algún domain controller de Windows 2000 o PDC/BDC de Windows NT presente.

Windows Server 2003 Provisional (interim): nivel análogo del nivel de dominio, al igual que con nivel de dominio esta pensado para un entorno que se encuentre realizando una migración a 2003. Podemos tener tanto controladores de dominio de 2003 como PDC/BDC de NT4 y a nivel de funcionalidad tenemos la misma que en el nivel de bosque Windows 2000 con algunas mejoras que introduce Windows 2003 a nivel de replicación intersite y algunas nuevas clases de Global Catalog.

Windows Server 2003: en este nivel solo se soporte controladores de dominio de Windows Server 2003 y tenemos toda la funcionalidad completa de 2003, a las nuevas características nombradas anteriormente hay que añadir la capacidad para renombrar dominios, cambios en el objeto InetOrgPerson, grupos de aplicación, cross forest trust (relaciones de confianza mutua entre bosques) y la habilidad para poner en estado defunt (desactivar) objetos del esquema lo que puede ser útil si realizamos una instalación fallida de Exchange u otra aplicación que modifique el esquema del directorio activo. Por supuesto es necesario que todos los dominios del bosque tengan nivel funcional Windows Server 2003 para poder pasar a este nivel de bosque.

Para elevar el nivel de bosque, al igual que para el de dominio, tenemos que ir a la consola Dominio y confianzas de Active Directory, seleccionar el bosque a modificar, ir a Todas las tareas o hacer click con el botón derecho sobre el bosque y escoger la opción Elevar el nivel funcional del bosque... tras lo que nos aparece un pequeño cuadro de dialogo con el nivel al que deseamos cambiar.

Esta operación es irreversible por lo que debemos estar seguros que no nos será necesario añadir ningún controlador de dominio que sea incompatible con el nuevo nivel de bosque.

Categorias: directorioactivo

Restauracion normal, primaria y autoritaria del directorio activo

2006-01-07T20:47:00.000+01:00

Si hemos realizado una backup del directorio activo para restaurarlo disponemos de varias opciones según como queramos que se comporten los objetos restaurados. Cada vez que se realiza un cambio a un objeto del active directory se incrementa una propiedad del objeto llamada USN (Update sequence number). Cuando se replican cambios en el directorio activo lo que hace un controlador de dominio contra otro es comparar el numero USN que contiene el objeto en cada DC de manera que siempre se replica la copia que tiene el USN mayor, en caso de que sean iguales se compara la marca horaria (timestamp) y se replica el mas reciente. Primero explicare cual es el cometido de cada tipo de restauración:

Primaria (primary): en este tipo de restauración lo que haremos sera sobrescribir todos los datos del directorio activo con los que restauremos, de manera que es tipo de restauración no la debemos usar a menos que solo tengamos un domain controller ya que aparte de que provocaría gran cantidad de trafico de replicación innecesario entre controladores de dominio.

Normal (non-authoritative): consiste en restaurar la base de datos del active directory pero con los objetos teniendo su USN original de manera que no se replicaran a otros controladores de dominio ya que su USN siempre será anterior al actual, a excepción de que algún objeto que contenga no se hubiera replicado en su momento.

Authoritative restore: este es una combinación de los dos procesos anteriores ya que primero realizaremos una restauración normal y después gracias a NTDSutil marcaremos algunos objetos con un USN nuevo para que se repliquen a otros controladores, nos sirve si por ejemplo queremos recuperar un determinado objeto como un grupo o usuario que ha sido borrado ahorrándonos tener que sobrescribir con una copia de seguridad todo el contenido del directorio activo

Lo primero que debemos hacer para restaurar el directorio activo es iniciar el servidor en modo de de restauración de servicios de directorio para lo que durante el arranque de Windows debemos pulsar F8 y esperar que aparezca el menú donde tendremos la opción en que modo queremos iniciar.

Tras realizar un CHKDSK de los discos y arrancar nos pedirá una contraseña que nos puede llevar a error pensando que es la de administrador local, esta contraseña se fija cuando se realiza el dcpromo, en el link tenéis mas información de como recuperarla o cambiarla.

Tras entrar en el sistema debemos ejecutar NTBackup, seleccionar System State e ir a Trabajo -> Iniciar para comenzar la recuperación.

Es importante detenernos en el cuadro que nos aparece tras iniciar el restore e ir a las opciones avanzadas.

En el dialogo de opciones avanzadas si marcamos la opción Al restaurar conjuntos de datos replicados, marcar los datos restaurados como los datos princípales para todas las réplicas realizaremos un backup primaria si no la marcamos realizaremos una restauración normal o autoritaria (authoritative) según los pasos que sigamos después.

La restauración llevara un tiempo...

En este paso, antes de reiniciar el servidor, es en el que si hemos realizado una recuperación normal (non-authoritative) debemos hacer uso de NTDSutil para que los objetos que seleccionemos se repliquen, la sintaxis a usar es básicamente ntdsutil "authoritative restore" "CN del objeto o subtree a restaurar" podéis ver una descripción completa de la sintaxis en un articulo kb de Microsoft.

Esta metodología es igual de valida tanto para Windows 2000 como para 2003 Server, también es importante que a la hora de restaurar backups del system state tengamos en cuenta el periodo de caducidad de los backups del directorio activo debido a los atributo Tombstone y garbageCollPeriod.

Categorias: backup directorioactivo

Realizar backup del Directorio Activo

2006-01-06T20:10:00.000+01:00

Realizar copias de seguridad del Active Directory es una práctica imprescindible sobre todo si en nuestro entorno el número de controladores de dominio es pequeño o están repartidos por delegaciones que no tengan otro en local. Debemos abrir NTbackup y seleccionar system state como parte de los ficheros a los que queremos realizar un backup. Una vez seleccionado system state pulsamos iniciar y nos aparecerá un dialogo con distintas opciones avanzadas además de tener la oportunidad de programar el backup para que se realice de forma periódica lo que es muy recomendable.

Tras este dialogo se inicia el backup cuya duración depende del tamaño de los ficheros que tengamos seleccionados además de la velocidad, si es el caso, del medio de backup, si es una cinta llevara bastante mas que a disco duro.

Entre los contenidos del backup de system state esta la base de datos NTDS.dit del Directorio Activo y el contenido del volumen de sistema (SYSVOL), independiente de que el servidor sea domain controller o no contendrá también los ficheros de arranque (NTLDR, boot.ini, NTDetect.com), el registro y el COM+. Además si se trata de un Windows 2000 o Server 2003 que actué como CA se copiara también el almacén de certificados (certificate store).

Para restaurar el backup del Directorio Activo es necesario reiniciar el servidor en modo de restauración de servicios de directorio para lo que es necesario pulsar F8 antes de que inicie Windows, tambien tenemos la opcion de hacer una restauración tanto autorizada (authoritative) como no autorizada (non-authoritative).

Categorias: backup directorioactivo

Como cambiar la contraseña del modo de restauración de servicios de directorio

2006-01-06T18:07:00.000+01:00

Cuando en Windows Server 2003 entramos en un controlador de dominio en el modo de restauración de SD (directory services restore mode) se nos solicita una password que habitualmente podemos haber olvidado ya que se configura durante el dcpromo y no coincide con la del administrador local. La contraseña debe de cumplir con los requisitos de complejidad fijados para los usuarios locales, por defecto son 8 caracteres que incluyan al menos con algún numero y un símbolo ortográfico como un guión, coma, punto, etc.. Solo tenéis que ejecutar los pasos que se detallan a continuación cambiando nombre-dc por el nombre del domain controller al que queráis cambiar la contraseña del modo de restauración.

C:\Docume...>ntdsutil "set dsrm password"
ntdsutil: set dsrm password
Restablecer contraseña de administrador del modo de restauración de servicios de directorio (DSRM): Reset password on Server nombre-dc
Escriba la contraseña para la cuenta de administrador del modo de restauración
de DS: *******
Confirme la contraseña nueva: *******
La contraseña se estableció correctamente.
Restablecer contraseña de administrador del modo de restauración de servicios de
directorio (DSRM): quit
ntdsutil: quit

En Windows 2000 esta contraseña tanto de la consola de recuperación como del modo de recuperación coinciden con la de administrador local por lo que simplemente debemos cambiarla, para ello simplemente lo podemos hacer desde la consola de administración de usuarios locales (lusrmgr.msc).

Categorias: directorioactivo backup