julianrv.commi blog personal

Una Certificate Authority (Entidad emisora de certificados) es una pieza fundamental si dentro de un entorno corporativo queremos asegurar mediante certificados múltiples canales de datos sensibles tales como paginas web por TLS/SSL, túneles VPN, comunicaciones a través de IPSec o casi cualquier tipo de autentificación o encriptación mediante certificado. Por ello es muy importante una correcta elección de nuestro diseño de estructura de PKI (Public Key Infrastructure) a la hora de proyectar un esquema de seguridad en la empresa ya que es será una de las partes mas delicadas de nuestro plan.

Según la posición en la jerarquía que ocupe una CA puede ser de dos tipos:

Root (raíz): representa el grado mas alto en la jerarquía de las Certificate Authority dentro de un dominio, en principio no hay limites a las tareas que se pueden realizar desde esta CA y desde ella se expedirán certificados al resto de las CA’s subordinadas. Una de las practicas mas habituales es tener un offline root CA que consiste en tener la root CA apagada o fuera de red y que se use una CA subordinada para las tareas cotidianas como expedir certificados, de esta manera se preserva al máximo la seguridad del root y solo se pone online el root para realizar tareas extraordinarias coma la crear un certificado para una nueva CA subordinada.

Subordinate (subordinadas): se trata del resto de las CA que están por debajo del root en la jerarquía, dentro de las subordinadas podemos subordinar las unas a las otras creando distintos grados de subordinación. También podemos limitar granularmente las tareas que se pueden realizar o el espacio de nombres para el que puede actuar cada CA.

Al igual según el tipo de integración con el Directorio Activo una CA puede ser de dos tipos:

Enterprise (“de la empresa“): si queremos integrar la CA dentro de un entorno de Active Directory es definitivamente la opción que debemos escoger. El servidor donde la instalemos debe ser un Windows Server 2003 Enterprise o Datacenter, también el dominio debe tener al menos un nivel funcional de Windows 2000 nativo. Automáticamente además se añade la CA a la lista de Entidades emisoras de certificados con las que hay una relación de confianza (Trusted Root Certification Authorities), también el almacenamiento de los certificados como de las CRL se realiza en el Directorio Activo. Además podemos emitir los certificados desde una plantilla (certificate template) v1 o v2 a diferencia de las entidades independientes desde las cuales no esta disponible esta opción. Y sobre todo la mayor ventaja es la capacidad de autoenrollment de certificados tanto para usuarios, equipos y EFS a diferencia de Windows 2000 donde no estaba disponible para usuarios.

Stand-alone (independiente): consiste en una CA independiente del Active Directory aunque si bien puede ser registrada en él, esta mas bien pensado como opción para una CA que se encuentre de cara a Internet y expida certificados para distintas entidades. Su uso es bastante limitado ya que usualmente si vamos a necesitar certificados para algún servidor web o de cualquier otro propósito de cara al publico optaremos por comprar certificados de alguna CA comercial reconocida generalmente como Verisign o Thawte cuyo precio suele oscilar entre 300 y 1000 euros anuales por certificado.

Recordad también que para la administrar todo lo relacionados con las CA’s y certificados certutil.exe continua siendo la herramienta de referencia desde la línea de comando. En modo grafico tenemos la consola Entidad emisora de certificados (certsrv.msc) donde también se podrán realizar gran numero de tareas.

 
 Categorias: pki  seguridad  directorioactivo 

Instalacion y desisntalancion de la Consola de Recuperación

La consola de recuperación de Windows nos puede salvar de mas de un apuro especialmente cuando nos encontramos con problemas a la hora de arrancar un equipo, si bien otras herramientas como ERD Commander son mas completas y versátiles, la Recovery Console nos ofrece una funcionalidad mucho mas básica pero esta incluida en el CD de Windows 2000, XP y 2003. Aparte de la opción de ejecutarla durante el arranque de la instalación de Windows también tenemos la posibilidad de instalarla de forma que al arrancar el equipo se nos presente la opción de bien cargar el sistema operativo o la consola. Para instalarla lo primero que debemos hacer es localizar el CD-Rom de Windows 2000/XP/2003 o bien no será necesario si hemos seguido unas buenas practicas y nos hemos copiado el directorio I386 del CD en el disco duro. En cualquier caso debemos ejecutar dentro del directorio I386 el siguiente comando “WINNT32.exe /CMDCONS”, tras ejecutarlo nos aparecerá una ventana pidiendo confirmación de que realmente queremos instalar la consola.

Tras unos cuantos click a Siguiente adicionales tendremos la consola instalada y una vez reiniciemos el sistema nos encontraremos con lo siguiente.

Si bien por razones triviales queremos desinstalar la consola ya sea porque produce confusión entre los usuarios o bien no queremos que aparezca el menú de selección en el arranque, si disponemos de XP o 2003 debemos ir a Ejecutar y lanzar msconfig y en el menú de BOOT que nos aparecerá hacer click en la opción Comprobar todas las rutas de inicio, lo que borrara la entrada de la consola en el fichero boot.ini. Si disponemos de Windows 2000 deberemos editar manualmente el fichero boot.ini, que se encuentra oculto por lo que deberemos habilitar que se puedan ver los fichero ocultos en Opciones de carpeta. Al igual, el directorio CMDCONS se encuentra oculto en el volumen de arranque (BOOTVOL), así que si nos queremos ahorrar unos megas de discos lo podemos borrar.

 
 Categorias: windows  troubleshooting  backup 

Para cuando se nos presente un problema de conectividad o funcionamientos con un servicio de red en Windows disponemos de una gran variedad de herramientas de diagnostico en el CD de Windows, mas concretamente, en el directorio /SUPPORT/TOOLS que nos permitirán localizar los problemas además también nos servirán para realizar comprobaciones del estado de funcionamiento de los servicios de red. Os ofrezco una breve explicación de las características de cada una de ellas basada en la versión de Windows Server 2003 SP1 aunque los cambios son mínimos respecto a versiones anteriores, si queréis comprobar la sintaxis simplemente ejecutar “HERRAMIENTA /?” desde la línea de comando de Windows.

BROWSTAT.exe: nos sirve para localizar el Master Browser, especialmente útil si aun tenemos un dominio de NT ya que aunque se sigue soportando el servicio browser ya se encuentra en desuso.

DCDIAG.exe: una herramientas de las mas útiles entre las Support Tools, permite comprobar el estado de un controlador de dominio mediante la realización de una serie de tests que van desde la verificación de la correcta conexión de la topología de red a la comprobación del estado de los roles FSMO.

DHCPLOC.exe: nos permite ver los servidores de DHCP (Dynamic Host Configuration Protocol) que se encuentran en nuestra su red y nos muestra, si es el caso, si alguno de ellos no esta autorizado en el Directorio Activo.

DNSCMD.exe: con esta herramienta podemos realizar prácticamente cualquier tarea administrativa del servidor de DNS al que conectemos.

DNSLINT.exe: gracias a dnslint podemos detectar problemas comunes en la resolución de nombres como que los registros SRV sean erróneos, tengamos la delegación de dominio o subdominios mal configurada o bien falten registros o estos sean erróneos.

GETSID.exe: nos permite comparar el SID de dos cuentas en dos domain controllers distintos sobre todo no es especialmente útil para verificar la consistencia de ambas bases de datos.

IASPARSE.exe: convierte los logs de un servidor de Internet Authetication Service en un servidor a un formato amigable para que lo podamos usar para propósitos varios.

NETCAP.exe: es la versión en línea de comando del Network Monitor, de hecho instalara el driver que usa este si no lo tenemos instalado.

NETDIAG.exe: con esta herramienta podemos diagnosticar la cause de problemas de red y conectividad realizando tests contra distintos servicios y parámetros.

NETDOM.exe: a través de netdom podemos realizar todo tipos de tareas relacionadas con la administración de cuentas de equipo: renombrar equipos, tareas relacionadas con el canal seguro (secure channel), unir un equipo a un dominio, crear cuentas de equipo. Además también nos permite realizar todo tipo de tareas administrativas en las confianzas (trusts) establecidas en dominios, bosques y realms de Kerberos. La gran mayoría de la funcionalidad que nos ofrece se puede realizar también desde la consola de Usuarios y Equipos de Directorio Activo (Active Directory Users and Computers).

NLTEST.exe: podemos utilizar esta herramienta para realizar distintas tareas como: comprobar el estado de una relación de confianza y replicación de un controlador de dominio, apagar un equipo remoto, obtener una lista de controladores de dominio y comprobar el estado del canal seguro establecido entre un equipo y el dominio.

PORTQRY.exe: se trata de simplemente un escáner de puertos TCP y UPD, de todas maneras me quedo con NMAP como tool de referencia en este tema aunque Microsoft haya querido impedir que se ejecutara en Windows XP SP2.

REPADMIN.exe: nos permite comprobar la topología de replicación desde cada controlador de dominio, forzar la replicación y crear manualmente la topología de replicación entre domain controllers. En principio no deberíamos tocar la topología de replicación ya que Knowledge Consistency Checker (KCC) es el encargado de generarla.

 
 Categorias: networking  seguridad  directorioactivo  dns 

Muchos servicios bajo Windows funcionan a través de los puertos asignados por RPC (Remote Procedure Call / Llamada al Procedimiento Remoto). El proceso como funciona RPC en Windows es el siguiente, se realiza una petición al RPCSS (RPC Endpoint Mapper / Localizador de llamadas a procedimiento remoto) que siempre funciona en el puerto 135 de TCP y este le reserva un puerto TCP alto (1024-65536), habitualmente al azar pero también es posible que se trate de un puerto fijo como pretendemos configurar aquí, para que contacte con el servicio.

Tanto la replicación del Directorio Activo como del FRS (File Replication Services) funcionan a través de este método, existe la posibilidad de restringir este trafico a un puerto determinado lo que nos puede ser útil por razones de seguridad u otros motivos. Para restringir ambos tipo de trafico solo debemos agregar un par de nuevas claves de registro de tipo DWORD, lo que podemos hacer desde Edición -> Nuevo -> Valor DWORD.

En el caso de la replicación del Active Directory en la rama \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters del registro debemos introducir un nuevo valor DWORD con el nombre TCP/IP Port y cuyo valor decimal sea el puerto a través del que queremos que se realice la replicación.

Mientras que en el caso de la replicación FRS que es la que se utiliza para copiar ficheros de SYSVOL y de DFS (Distributed File System) debemos agregar la nueva clave en la rama \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NFRS\Parameters del registro, debemos introducir un nuevo valor DWORD con el nombre RPC TCP/IP Port Assignment y al igual que en el caso anterior especificar el puerto en su valor decimal.

 
 Categorias: networking  seguridad  directorioactivo 

Desde Windows 2000 se han introducido dos tipos de discos: básicos y dinámicos. El soporte en Windows 2000 y Server 2003 es igual mientras que en XP el soporte de discos dinámicos es limitado ya que solo soporta algunas configuraciones RAID. Si actualizamos desde NT 4 debemos ser cuidadosos si tenemos algún disco en RAID por software ya que en NT4 se hacia mediante discos básicos mientras que la implementación de 2000 y 2003 se hace mediante discos dinámicos por lo deberemos hacer una copia de seguridad y reconstruirlos una vez instalado el nuevo sistema operativo.

Los discos básicos (basic disks) es la concepción habitual que se tiene de un disco y el uso que se le da mas usualmente. Este tipo de disco sufre de las habituales restricciones como el limite de cuatro particiones debido a que el MBR (Master Boot Record) es de 64K y la descripción de cada partición ocupa 16K, también para realizar cambios a los volúmenes habitualmente será necesario reiniciar el equipo.

A diferencia de los básicos los discos dinámicos (dynamic disks) se usan solo en ciertas situaciones donde su funcionalidad adicional es necesaria dado que si no es así se suele prescindir de ellos en favor de la simplicidad y facilidad de manejo de los discos básicos. Su principal diferencia estriba en que en lugar de escribir la información relativa al formato del disco en la MBR, se usa un fichero de base de datos con tamaño de 1mb ubicado al final del disco que se replica en todos los discos dinámicos del sistema y que contiene la información de todos los discos dinámicos con la ventaja de que no existe un punto único de fallo cono es la MBR en los discos básicos.

Si queremos poner en un equipo un disco/s dinámico/s que se encontraban en otro equipo (lo que se suele denominar foreign disk) lo que debemos hacer es importarlo, en esta situación el proceso que se produce es una fusión de la base de datos de nuestro equipo con la del otro equipo que se encuentra en el disco importado y que habitualmente no produce ningún problema y nos permite conservar la estructura del disco o discos que provienen de otro sistema. Por otro lado debemos tener en cuenta que para crear un volumen extendido (spanned), en RAID 0/1/5 por software o bien para tener mas de cuatro particiones siempre es necesario el uso de volúmenes dinámicos.

También hay que recordar que en un disco físico podemos tener varios volúmenes o particiones almacenando cualquier combinación de FAT 16/32 o NTFS bien sea un disco dinámico o básico, dado que el sistema de ficheros es independiente del tipo de almacenamiento, pero que nunca se podrá tener un disco con ambos tipos de almacenamiento simultáneamente.

 
 Categorias: almacenamiento  windows 

Primero de todo deciros que este post es a modo informativo ya que no recomiendo que implementéis RAID (Redundant array of independent disks)de discos por software en entornos de producción y os aconsejaría siempre usar RAID mediante controladora hardware lo que os evitara muchísimos problemas. Tanto Windows Server 2003 como XP y 2000 soportan los siguientes

RAID 0 (stripe): escribe los datos divididos equitativamente entre los discos, es el tipo de RAID mas rápido tanto en escritura como en lectura pero el mas inestable.

RAID 1 (mirror): se trata de una configuración en espejo, donde un disco es una copia exacta de otro. Es la mejor opción rendimiento / seguridad / precio pero sobre software su rendimiento también depende bastante si ambos disco están en la misma controladora o no.

RAID 5 (stripe with parity): es similar al RAID 0 en el aspecto que divide la escritura entre varios discos (en RAID 5 el mínimo son 3) pero RAID 5 a diferencia de RAID 0 usa un disco exclusivamente para almacenar un offset de paridad (CRC). Si un disco falla el RAID 5 puede continuar funcionando en el llamado modo degradado hasta que incluyamos un nuevo disco en el RAID y rehagamos la paridad pero con el riesgo de que si falla otro disco perderemos todos los datos. El rendimiento de RAID 5 en lectura es bastante bueno pero en escritura es bastante peor al tener que realizar la escritura de la paridad.

 
 Categorias: almacenamiento  windows 

Debido a que el Directorio Activo es un sistema multimaster donde todos los controladores de dominio tienen acceso de escritura a la base de datos cuando borramos un objeto este no se borra directamente sino que pasa al estado de Tombstone con el atributo isDeleted marcado a true, se mueve el objeto al contenedor de Objetos borrados (Deleted Objects) y se quitan la mayoría se sus atributos menos los mas importantes como GUID y SID. De esta manera el objeto se replica al resto de controladores de dominio donde se mantiene hasta que es borrado por el Garbage collector.

El Garbage collection es un proceso que se ejecuta cada 12h por defecto y puede ser configurado como mínimo para que se ejecute cada hora lo que se fija en el atributo garbageCollPeriod, este proceso por un lado borra los objetos tombstone y por otro defragmenta la base de datos. El atributo tombstoneLifetime fija el tiempo que un objeto se encuentra como tombstone en el directorio, por defecto en los sistemas operativos anteriores a Windows Server 2003 SP1 su valor es de 60 días y el mínimo a lo que lo podemos configurar es a 2 días.

Es muy importante tener en cuenta el parámetro tombstoneLifetime sobre todo a la hora de restaurar copias de seguridad del Active Directory ya que si son su antigüedad es mayor que el tiempo fijado al atributo tombstoneLifetime deberemos realizar la restauración como autoritaria (authoritative) ya que muchos de los objetos a recuperar ya no existirían, sin embargo si es inferior a ese tiempo podemos realizar una restauracion no autoritaria (nonauthoritative). También debemos tener en cuenta que Windows Server 2003 SP1 a veces establece este parámetro en 180 días con el propósito de que los backups tengan una mayor duración usable, aquí tenéis un kb que detalla diferentes casos en que cambia el tombstoneLifetime.

También debemos estar atentos a que el parámetro tombstoneLifetime debe ser siempre bastante superior al tiempo que lleva a un objeto a replicarse en todos los controladores de dominio, ya que si no es así puede que un objeto se borre en unos controladores si y otros no. Para editar estos dos parámetros lo podemos hacer a con la herramienta ADSI Edit (ADSIEDIT.msc)

 
 Categorias: backup  directorioactivo 

Creo que puede ser bastante útil escribir como si fuera DOS o CMD gracias a Jim Westergren vía Digg.

Estos post tipo telegrama me encantan.

Para la autentificación a través del protocolo Kerberos es vital la sincronización en tiempo de todos los equipos, ya que si se produce una diferencia de tiempo superior a 5 minutos no será posible la autentificación. Con W32Time (Windows Time Services / Horario de Windows) basado en Windows Server 2003 y Windows XP en el protocolo standard NTP (Network Time Protocol) mientras que Windows 2000 usa una versión mas sencilla del mismo, SNTP (Simple Network Time Protocol), en cualquier caso ambos son compatibles entre si y funcionan a través del puerto 123 de UDP.

La hora siempre se sincronizara con el emulador de PDC de nuestro dominio a menos que tengamos configurado un servidor de tiempo externo (internet) o bien un reloj hardware (atómico) conectado al equipo lo que es bastante improbable. Si no encuentra el emulador entonces intentara sincronizarse con los controladores de dominio del dominio raíz del bosque o con el domain controller que contenga el rol FSMO de emulador de PDC de algún dominio hijo del que se encuentre el equipo.

Para configurar un servidor externo para que nuestro emulador de PDC lo hacemos a través del comando NET TIME, el comando para configurarlo es “NET TIME /SETSNTP:direccionservidor.de.hora” y “NET TIME /QUERYSNTP” para sincronizar en cualquier momento. Aquí tenéis una lista de servidores de tiempo SNTP por regiones geográficas para elegir con el que queráis sincronizar.

 
 Categorias: windows  directorioactivo 

En Windows 2000 y 2003 existe la posibilidad de añadir un puerto adicional de acceso al servicio de terminal, para ello simplemente tenemos que realizar unas modificaciones en el registro. El primer paso es abrir el regedit e ir al registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations

Hay que hacer click con el botón derecho sobre la colmena RDP-Tcp y le das a exportar, en el dialogo de salvar lo guardas donde quieras. Tras esto debes renombrar este directorio (colmena) a RDP-Tcp-Loquequieras, si “Loquequieras” puede ser realmente cualquier palabra. Una vez renombrado marcas el directorio Winstations y vas a Archivo -> Importar y seleccionas el fichero al que habías exportado.

Una vez ya realizado la importación deberemos cambiar el numero del puerto de alguno de los dos en el registro, podéis ver un ejemplo en el articulo anterior sobre como cambiar numero de puerto de terminal services.

 
 Categorias: terminalservices  windows