Una Certificate Authority (Entidad emisora de certificados) es una pieza fundamental si dentro de un entorno corporativo queremos asegurar mediante certificados múltiples canales de datos sensibles tales como paginas web por TLS/SSL, túneles VPN, comunicaciones a través de IPSec o casi cualquier tipo de autentificación o encriptación mediante certificado. Por ello es muy importante una correcta elección de nuestro diseño de estructura de PKI (Public Key Infrastructure) a la hora de proyectar un esquema de seguridad en la empresa ya que es será una de las partes mas delicadas de nuestro plan.

Según la posición en la jerarquía que ocupe una CA puede ser de dos tipos:

Root (raíz): representa el grado mas alto en la jerarquía de las Certificate Authority dentro de un dominio, en principio no hay limites a las tareas que se pueden realizar desde esta CA y desde ella se expedirán certificados al resto de las CA's subordinadas. Una de las practicas mas habituales es tener un offline root CA que consiste en tener la root CA apagada o fuera de red y que se use una CA subordinada para las tareas cotidianas como expedir certificados, de esta manera se preserva al máximo la seguridad del root y solo se pone online el root para realizar tareas extraordinarias coma la crear un certificado para una nueva CA subordinada.

Subordinate (subordinadas): se trata del resto de las CA que están por debajo del root en la jerarquía, dentro de las subordinadas podemos subordinar las unas a las otras creando distintos grados de subordinación. También podemos limitar granularmente las tareas que se pueden realizar o el espacio de nombres para el que puede actuar cada CA.

Al igual según el tipo de integración con el Directorio Activo una CA puede ser de dos tipos:

Enterprise ("de la empresa"): si queremos integrar la CA dentro de un entorno de Active Directory es definitivamente la opción que debemos escoger. El servidor donde la instalemos debe ser un Windows Server 2003 Enterprise o Datacenter, también el dominio debe tener al menos un nivel funcional de Windows 2000 nativo. Automáticamente además se añade la CA a la lista de Entidades emisoras de certificados con las que hay una relación de confianza (Trusted Root Certification Authorities), también el almacenamiento de los certificados como de las CRL se realiza en el Directorio Activo. Además podemos emitir los certificados desde una plantilla (certificate template) v1 o v2 a diferencia de las entidades independientes desde las cuales no esta disponible esta opción. Y sobre todo la mayor ventaja es la capacidad de autoenrollment de certificados tanto para usuarios, equipos y EFS a diferencia de Windows 2000 donde no estaba disponible para usuarios.


Stand-alone (independiente): consiste en una CA independiente del Active Directory aunque si bien puede ser registrada en él, esta mas bien pensado como opción para una CA que se encuentre de cara a Internet y expida certificados para distintas entidades. Su uso es bastante limitado ya que usualmente si vamos a necesitar certificados para algún servidor web o de cualquier otro propósito de cara al publico optaremos por comprar certificados de alguna CA comercial reconocida generalmente como Verisign o Thawte cuyo precio suele oscilar entre 300 y 1000 euros anuales por certificado.



Recordad también que para la administrar todo lo relacionados con las CA's y certificados certutil.exe continua siendo la herramienta de referencia desde la línea de comando. En modo grafico tenemos la consola Entidad emisora de certificados (certsrv.msc) donde también se podrán realizar gran numero de tareas.

| Enlace  

Instalacion y desisntalancion de la Consola de Recuperación

La consola de recuperación de Windows nos puede salvar de mas de un apuro especialmente cuando nos encontramos con problemas a la hora de arrancar un equipo, si bien otras herramientas como ERD Commander son mas completas y versátiles, la Recovery Console nos ofrece una funcionalidad mucho mas básica pero esta incluida en el CD de Windows 2000, XP y 2003. Aparte de la opción de ejecutarla durante el arranque de la instalación de Windows también tenemos la posibilidad de instalarla de forma que al arrancar el equipo se nos presente la opción de bien cargar el sistema operativo o la consola. Para instalarla lo primero que debemos hacer es localizar el CD-Rom de Windows 2000/XP/2003 o bien no será necesario si hemos seguido unas buenas practicas y nos hemos copiado el directorio I386 del CD en el disco duro. En cualquier caso debemos ejecutar dentro del directorio I386 el siguiente comando "WINNT32.exe /CMDCONS", tras ejecutarlo nos aparecerá una ventana pidiendo confirmación de que realmente queremos instalar la consola.



Tras unos cuantos click a Siguiente adicionales tendremos la consola instalada y una vez reiniciemos el sistema nos encontraremos con lo siguiente.



Si bien por razones triviales queremos desinstalar la consola ya sea porque produce confusión entre los usuarios o bien no queremos que aparezca el menú de selección en el arranque, si disponemos de XP o 2003 debemos ir a Ejecutar y lanzar msconfig y en el menú de BOOT que nos aparecerá hacer click en la opción Comprobar todas las rutas de inicio, lo que borrara la entrada de la consola en el fichero boot.ini. Si disponemos de Windows 2000 deberemos editar manualmente el fichero boot.ini, que se encuentra oculto por lo que deberemos habilitar que se puedan ver los fichero ocultos en Opciones de carpeta. Al igual, el directorio CMDCONS se encuentra oculto en el volumen de arranque (BOOTVOL), así que si nos queremos ahorrar unos megas de discos lo podemos borrar.

| Enlace  

Para cuando se nos presente un problema de conectividad o funcionamientos con un servicio de red en Windows disponemos de una gran variedad de herramientas de diagnostico en el CD de Windows, mas concretamente, en el directorio /SUPPORT/TOOLS que nos permitirán localizar los problemas además también nos servirán para realizar comprobaciones del estado de funcionamiento de los servicios de red. Os ofrezco una breve explicación de las características de cada una de ellas basada en la versión de Windows Server 2003 SP1 aunque los cambios son mínimos respecto a versiones anteriores, si queréis comprobar la sintaxis simplemente ejecutar "HERRAMIENTA /?" desde la línea de comando de Windows.

BROWSTAT.exe: nos sirve para localizar el Master Browser, especialmente útil si aun tenemos un dominio de NT ya que aunque se sigue soportando el servicio browser ya se encuentra en desuso.

DCDIAG.exe: una herramientas de las mas útiles entre las Support Tools, permite comprobar el estado de un controlador de dominio mediante la realización de una serie de tests que van desde la verificación de la correcta conexión de la topología de red a la comprobación del estado de los roles FSMO.

DHCPLOC.exe: nos permite ver los servidores de DHCP (Dynamic Host Configuration Protocol) que se encuentran en nuestra su red y nos muestra, si es el caso, si alguno de ellos no esta autorizado en el Directorio Activo.

DNSCMD.exe: con esta herramienta podemos realizar prácticamente cualquier tarea administrativa del servidor de DNS al que conectemos.

DNSLINT.exe: gracias a dnslint podemos detectar problemas comunes en la resolución de nombres como que los registros SRV sean erróneos, tengamos la delegación de dominio o subdominios mal configurada o bien falten registros o estos sean erróneos.

GETSID.exe: nos permite comparar el SID de dos cuentas en dos domain controllers distintos sobre todo no es especialmente útil para verificar la consistencia de ambas bases de datos.

IASPARSE.exe: convierte los logs de un servidor de Internet Authetication Service en un servidor a un formato amigable para que lo podamos usar para propósitos varios.

NETCAP.exe: es la versión en línea de comando del Network Monitor, de hecho instalara el driver que usa este si no lo tenemos instalado.

NETDIAG.exe: con esta herramienta podemos diagnosticar la cause de problemas de red y conectividad realizando tests contra distintos servicios y parámetros.

NETDOM.exe: a través de netdom podemos realizar todo tipos de tareas relacionadas con la administración de cuentas de equipo: renombrar equipos, tareas relacionadas con el canal seguro (secure channel), unir un equipo a un dominio, crear cuentas de equipo. Además también nos permite realizar todo tipo de tareas administrativas en las confianzas (trusts) establecidas en dominios, bosques y realms de Kerberos. La gran mayoría de la funcionalidad que nos ofrece se puede realizar también desde la consola de Usuarios y Equipos de Directorio Activo (Active Directory Users and Computers).

NLTEST.exe: podemos utilizar esta herramienta para realizar distintas tareas como: comprobar el estado de una relación de confianza y replicación de un controlador de dominio, apagar un equipo remoto, obtener una lista de controladores de dominio y comprobar el estado del canal seguro establecido entre un equipo y el dominio.

PORTQRY.exe: se trata de simplemente un escáner de puertos TCP y UPD, de todas maneras me quedo con NMAP como tool de referencia en este tema aunque Microsoft haya querido impedir que se ejecutara en Windows XP SP2.

REPADMIN.exe: nos permite comprobar la topología de replicación desde cada controlador de dominio, forzar la replicación y crear manualmente la topología de replicación entre domain controllers. En principio no deberíamos tocar la topología de replicación ya que Knowledge Consistency Checker (KCC) es el encargado de generarla.

| Enlace  

Muchos servicios bajo Windows funcionan a través de los puertos asignados por RPC (Remote Procedure Call / Llamada al Procedimiento Remoto). El proceso como funciona RPC en Windows es el siguiente, se realiza una petición al RPCSS (RPC Endpoint Mapper / Localizador de llamadas a procedimiento remoto) que siempre funciona en el puerto 135 de TCP y este le reserva un puerto TCP alto (1024-65536), habitualmente al azar pero también es posible que se trate de un puerto fijo como pretendemos configurar aquí, para que contacte con el servicio.

Tanto la replicación del Directorio Activo como del FRS (File Replication Services) funcionan a través de este método, existe la posibilidad de restringir este trafico a un puerto determinado lo que nos puede ser útil por razones de seguridad u otros motivos. Para restringir ambos tipo de trafico solo debemos agregar un par de nuevas claves de registro de tipo DWORD, lo que podemos hacer desde Edición -> Nuevo -> Valor DWORD.



En el caso de la replicación del Active Directory en la rama \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters del registro debemos introducir un nuevo valor DWORD con el nombre TCP/IP Port y cuyo valor decimal sea el puerto a través del que queremos que se realice la replicación.

Mientras que en el caso de la replicación FRS que es la que se utiliza para copiar ficheros de SYSVOL y de DFS (Distributed File System) debemos agregar la nueva clave en la rama \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NFRS\Parameters del registro, debemos introducir un nuevo valor DWORD con el nombre RPC TCP/IP Port Assignment y al igual que en el caso anterior especificar el puerto en su valor decimal.

| Enlace  

Desde Windows 2000 se han introducido dos tipos de discos: básicos y dinámicos. El soporte en Windows 2000 y Server 2003 es igual mientras que en XP el soporte de discos dinámicos es limitado ya que solo soporta algunas configuraciones RAID. Si actualizamos desde NT 4 debemos ser cuidadosos si tenemos algún disco en RAID por software ya que en NT4 se hacia mediante discos básicos mientras que la implementación de 2000 y 2003 se hace mediante discos dinámicos por lo deberemos hacer una copia de seguridad y reconstruirlos una vez instalado el nuevo sistema operativo.

Los discos básicos (basic disks) es la concepción habitual que se tiene de un disco y el uso que se le da mas usualmente. Este tipo de disco sufre de las habituales restricciones como el limite de cuatro particiones debido a que el MBR (Master Boot Record) es de 64K y la descripción de cada partición ocupa 16K, también para realizar cambios a los volúmenes habitualmente será necesario reiniciar el equipo.

A diferencia de los básicos los discos dinámicos (dynamic disks) se usan solo en ciertas situaciones donde su funcionalidad adicional es necesaria dado que si no es así se suele prescindir de ellos en favor de la simplicidad y facilidad de manejo de los discos básicos. Su principal diferencia estriba en que en lugar de escribir la información relativa al formato del disco en la MBR, se usa un fichero de base de datos con tamaño de 1mb ubicado al final del disco que se replica en todos los discos dinámicos del sistema y que contiene la información de todos los discos dinámicos con la ventaja de que no existe un punto único de fallo cono es la MBR en los discos básicos.

Si queremos poner en un equipo un disco/s dinámico/s que se encontraban en otro equipo (lo que se suele denominar foreign disk) lo que debemos hacer es importarlo, en esta situación el proceso que se produce es una fusión de la base de datos de nuestro equipo con la del otro equipo que se encuentra en el disco importado y que habitualmente no produce ningún problema y nos permite conservar la estructura del disco o discos que provienen de otro sistema. Por otro lado debemos tener en cuenta que para crear un volumen extendido (spanned), en RAID 0/1/5 por software o bien para tener mas de cuatro particiones siempre es necesario el uso de volúmenes dinámicos.

También hay que recordar que en un disco físico podemos tener varios volúmenes o particiones almacenando cualquier combinación de FAT 16/32 o NTFS bien sea un disco dinámico o básico, dado que el sistema de ficheros es independiente del tipo de almacenamiento, pero que nunca se podrá tener un disco con ambos tipos de almacenamiento simultáneamente.

| Enlace  

Primero de todo deciros que este post es a modo informativo ya que no recomiendo que implementéis RAID (Redundant array of independent disks)de discos por software en entornos de producción y os aconsejaría siempre usar RAID mediante controladora hardware lo que os evitara muchísimos problemas. Tanto Windows Server 2003 como XP y 2000 soportan los siguientes

RAID 0 (stripe): escribe los datos divididos equitativamente entre los discos, es el tipo de RAID mas rápido tanto en escritura como en lectura pero el mas inestable.


RAID 1 (mirror): se trata de una configuración en espejo, donde un disco es una copia exacta de otro. Es la mejor opción rendimiento / seguridad / precio pero sobre software su rendimiento también depende bastante si ambos disco están en la misma controladora o no.


RAID 5 (stripe with parity): es similar al RAID 0 en el aspecto que divide la escritura entre varios discos (en RAID 5 el mínimo son 3) pero RAID 5 a diferencia de RAID 0 usa un disco exclusivamente para almacenar un offset de paridad (CRC). Si un disco falla el RAID 5 puede continuar funcionando en el llamado modo degradado hasta que incluyamos un nuevo disco en el RAID y rehagamos la paridad pero con el riesgo de que si falla otro disco perderemos todos los datos. El rendimiento de RAID 5 en lectura es bastante bueno pero en escritura es bastante peor al tener que realizar la escritura de la paridad.

| Enlace  

Debido a que el Directorio Activo es un sistema multimaster donde todos los controladores de dominio tienen acceso de escritura a la base de datos cuando borramos un objeto este no se borra directamente sino que pasa al estado de Tombstone con el atributo isDeleted marcado a true, se mueve el objeto al contenedor de Objetos borrados (Deleted Objects) y se quitan la mayoría se sus atributos menos los mas importantes como GUID y SID. De esta manera el objeto se replica al resto de controladores de dominio donde se mantiene hasta que es borrado por el Garbage collector.

El Garbage collection es un proceso que se ejecuta cada 12h por defecto y puede ser configurado como mínimo para que se ejecute cada hora lo que se fija en el atributo garbageCollPeriod, este proceso por un lado borra los objetos tombstone y por otro defragmenta la base de datos. El atributo tombstoneLifetime fija el tiempo que un objeto se encuentra como tombstone en el directorio, por defecto en los sistemas operativos anteriores a Windows Server 2003 SP1 su valor es de 60 días y el mínimo a lo que lo podemos configurar es a 2 días.

Es muy importante tener en cuenta el parámetro tombstoneLifetime sobre todo a la hora de restaurar copias de seguridad del Active Directory ya que si son su antigüedad es mayor que el tiempo fijado al atributo tombstoneLifetime deberemos realizar la restauración como autoritaria (authoritative) ya que muchos de los objetos a recuperar ya no existirían, sin embargo si es inferior a ese tiempo podemos realizar una restauracion no autoritaria (nonauthoritative). También debemos tener en cuenta que Windows Server 2003 SP1 a veces establece este parámetro en 180 días con el propósito de que los backups tengan una mayor duración usable, aquí tenéis un kb que detalla diferentes casos en que cambia el tombstoneLifetime.

También debemos estar atentos a que el parámetro tombstoneLifetime debe ser siempre bastante superior al tiempo que lleva a un objeto a replicarse en todos los controladores de dominio, ya que si no es así puede que un objeto se borre en unos controladores si y otros no. Para editar estos dos parámetros lo podemos hacer a con la herramienta ADSI Edit (ADSIEDIT.msc)

| Enlace  

Creo que puede ser bastante útil escribir como si fuera DOS o CMD gracias a Jim Westergren vía Digg.





Estos post tipo telegrama me encantan.

| Enlace  

Para la autentificación a través del protocolo Kerberos es vital la sincronización en tiempo de todos los equipos, ya que si se produce una diferencia de tiempo superior a 5 minutos no será posible la autentificación. Con W32Time (Windows Time Services / Horario de Windows) basado en Windows Server 2003 y Windows XP en el protocolo standard NTP (Network Time Protocol) mientras que Windows 2000 usa una versión mas sencilla del mismo, SNTP (Simple Network Time Protocol), en cualquier caso ambos son compatibles entre si y funcionan a través del puerto 123 de UDP.



La hora siempre se sincronizara con el emulador de PDC de nuestro dominio a menos que tengamos configurado un servidor de tiempo externo (internet) o bien un reloj hardware (atómico) conectado al equipo lo que es bastante improbable. Si no encuentra el emulador entonces intentara sincronizarse con los controladores de dominio del dominio raíz del bosque o con el domain controller que contenga el rol FSMO de emulador de PDC de algún dominio hijo del que se encuentre el equipo.

Para configurar un servidor externo para que nuestro emulador de PDC lo hacemos a través del comando NET TIME, el comando para configurarlo es "NET TIME /SETSNTP:direccionservidor.de.hora" y "NET TIME /QUERYSNTP" para sincronizar en cualquier momento. Aquí tenéis una lista de servidores de tiempo SNTP por regiones geográficas para elegir con el que queráis sincronizar.

| Enlace  

En Windows 2000 y 2003 existe la posibilidad de añadir un puerto adicional de acceso al servicio de terminal, para ello simplemente tenemos que realizar unas modificaciones en el registro. El primer paso es abrir el regedit e ir al registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations


Hay que hacer click con el botón derecho sobre la colmena RDP-Tcp y le das a exportar, en el dialogo de salvar lo guardas donde quieras. Tras esto debes renombrar este directorio (colmena) a RDP-Tcp-Loquequieras, si "Loquequieras" puede ser realmente cualquier palabra. Una vez renombrado marcas el directorio Winstations y vas a Archivo -> Importar y seleccionas el fichero al que habías exportado.



Una vez ya realizado la importación deberemos cambiar el numero del puerto de alguno de los dos en el registro, podéis ver un ejemplo en el articulo anterior sobre como cambiar numero de puerto de terminal services.

| Enlace  

En muchas ocasiones para analizar distintos problemas de software el fabricante nos puede solicitar que creemos un dump de memoria con el objeto de poder ver que es lo que exactamente pasa. Para poder obtenerlos a nuestra voluntad tendremos que agregar una clave al registro, primero deberemos abrir nuestro editor favorito del registro (regedit/regedt32/otros..hay para todos los gustos) y debemos ir a la siguiente ruta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters y añadir una REG_DWORD con nombre CrashOnCtrlScroll y valor 1. Crearla es muy fácil simplemente hacer click no el botón derecho sobre el fondo como podéis ver en la imagen o bien ir a Edición -> Nuevo -> Valor DWORD.



Para configurar las opciones de configuración del dump tenemos que ir a Mi PC -> Propiedades -> Inicio y Recuperación -> Configuración y podremos seleccionar el tipo de dump además de la localización donde se almacene, el tipo de dump habitualmente será el "Volcado completo de la memoria" que es el que esta seleccionado por defecto pero también tenemos opcion de realizar un volcado de la memoria del nucleo y un volcado de la memoria pequeña (64kb/minidump) que también nos pueden ser necesarios en ciertos casos.



Una vez realizado el dump tendrá un tamaño equivalente a la memoria ram que tengamos instalada, por cierto debido a las traducciones con las teclas que realiza vmware no funciona en maquinas virtuales de vmware aparentemente por lo que no os puedo facilitar un bonito pantallazo azul.

| Enlace  

Desde Windows Server 2003 SP1 tenemos la opción de instalar el componente Access-based Enumeration que lo que nos ofrece es la opción de no listar directorios y ficheros a los usuarios que no tengan permisos de acceso al estilo UNIX. Este componente se implanta individualmente en cada servidor de manera que independientemente del cliente que usemos no se verán los directorios sobre los que no tengamos permisos si en el servidor esta activado ABE.

Podemos descargar ABE desde la web de Microsoft. La instalación es extremadamente sencilla, primero nos preguntara si queremos instalarlo solo para nuestro usuario o para todos y después nos dará opción de activarlo en todos los directorios o hacerlo manualmente.



En propiedades de los directorios nos aparecerá una nueva pestaña perteneciente a enumeration based access donde podremos ocultar los ficheros en los que los usuarios no tengan permisos en todos los directorios que cuelguen por debajo del que lo configuramos y también nos permite aplicar la elección de ocultarlos a nivel de todo el servidor. También dispondremos de la utilidad abecmd.exe para configurar el ABE desde la línea de comando.



Para fileservers que requieran un muy alto rendimiento no deberíamos instalar ABE ya que aunque crea poca sobrecarga en el servidor en entornos normales esta aumenta cuando haya que listar gran cantidad de ficheros (a partir de 15000 archivos). También debemos ser cuidadosos con los servicios de backup ya que pueden dar algún problema si no corren desde una cuenta de servicio que tenga permisos específicos para realizar backup.

| Enlace  

Los paquetes de software pueden se pueden asignar tanto a usuarios como a equipos a diferencia de cuando los publicamos que solo pueden ser publicados a usuarios. La principal diferencia que tiene asignar (assign) paquetes a publicarlos (publish) es que se puede configurar de manera que se instalen durante el logon.



Lo primero que deberemos hacer una vez dentro del editor de GPO es seleccionar el paquete .msi, nos debemos asegurar que el .msi y resto de los ficheros necesarios para la instalación son accesibles para los usuarios a los que vamos a instalar el software. Puede ser bastante útil configurar un DFS para este tipo de tarea si se va a distribuir el software en mas de una localización y así ahorrar trafico wan.



Tras seleccionar el paquete se nos preguntara si queremos publicar, asignar y avanzada, elegiremos avanzada ya que esta opción nos dejara si queremos publicar o asignar el paquete mas tarde y además ver otras opciones de configuración en el siguiente paso, lo que nos mostrara es el dialogo de propiedades del paquete.



En las diferentes pestañas podemos completar

General: nos muestra la información del paquete msi como fabricante, nombre, versión.
Implementación: la opción de activación de la extensión del archivo lo que hace es que si abrimos algún fichero con una extensión de las que el paquete msi asigna a la aplicación que instala se instalara el paquete si aun no esta instalado a diferencia de cuando publicamos una aplicación cuando la asignamos siempre estará seleccionada esta opción, el resto de las opciones creo son bastante claras por si mismas así que me ahorro detallarlas.
Actualizaciones: nos permitirá seleccionar paquetes instalados anteriormente y que serán actualizados por este paquete.
Categorías: en esta pestaña podemos categorizar el software dentro del dialogo de Agregar nuevos programas.
Modificaciones: aquí podemos aplicar ficheros de modificación del paquete como ficheros .mst
Seguridad: como en una GPO podemos configurar varios paquetes, esto nos sirve por si queremos restringir la aplicación de alguno de ellos.



Finalmente para instalar las aplicaciones bien se hara automáticamente al hacer logon o bien si la aplicación esta asignada a usuario y no esta configurada para instalarse en el inicio de sesión tendremos la opción de instalarlo tal como si estuviera publicado, hay que ir a Panel de Control -> Agregar y quitar programas -> Agregar nuevos programas, y podremos seleccionar el paquete que queremos instalar.

| Enlace  

Microsoft ha implementado el protocolo RADIUS (Remote Authentication Dial In User Service) en Windows 2000/2003 en lo que ha llamado el servicio IAS (Internet Authentication Service / Servicio de Autenticación de Internet). Habitualmente este servicio nos puede ser necesario si queremos poner en marcha una red wireless segura con WPA/WPA2 + RADIUS o bien un servidor de VPN tanto autentificando contra Directorio Activo o los usuarios locales de un servidor. Para usar este servicio si colocamos nuestro servidor detrás de un firewall debemos abrir los puertos con protocolo UDP 1812 y 1813 para que funcione correctamente.

Como de costumbre para poner en marcha este servicio tendremos que ir a Panel de Control -> Agregar o quitar programas -> Agregar o quitar componentes de Windows -> Servicios de Red y una vez en este apartado activar el "Servicio de autenticación de Internet".



Para administrar el servicio debemos usar la consola Servicio de Autentificación de Internet (ias.msc), para añadir un nuevo cliente del servicio tenemos que hacer click con el botón derecho sobre el apartado Clientes RADIUS, donde tendremos que ir introducir la dirección IP o FQDN del cliente además de un secreto compartido (shared key). Aparte del RADIUS estándar también soporta otras implementaciones RADIUS de distintos fabricantes.



En el apartado Registro remoto tenemos la oportunidad de fijar el sistema almacenamiento de logs, podemos almacenarlos en local (por defecto) o bien en una base de datos SQL a través del correspondiente DSN (origen de datos OBDC).



En Directivas de acceso remoto podemos configurar una serie de condiciones de acuerdo con diversos parámetros para admitir o rechazar peticiones de autentificación, estas se procesan en el orden establecido y en caso de que no se cumpla ninguna el intento de autentificación será rechazado. Aparte de las directivas que podeis ver abajo que son las personalizadas, también existen otras que vienen ya definidas de acuerdo con los escenarios mas habituales de uso de IAS.



En Procesamiento de solicitud de conexión podremos crear proxies de RADIUS de forma que deleguemos la autentificación en un servidor de RADIUS remoto, esta opción esta solo soportada en Windows Server 2003. Para ciertas funcionalidades tales como implantar un servidor de VPN con RRAS donde es necesaria un integración con el Directorio Activo tenemos que registrar el servidor en el directorio, para ello debemos situarnos sobre el nodo raíz del menú y hacer click con el botón derecho sobre el o bien ir a Acciones donde también encontraremos la opción Registrar servidor en Active Directory.

En Windows Server 2003 en la versión Standard del sistema operativo estamos limitados a 50 clientes y 2 grupos remotos de acceso mientras que en Enterprise el numero es ilimitado, en Windows 2000 solo existe la función de servidor RADIUS y no hay limitaciones en ninguna versión.

| Enlace  

Transferir los roles FSMO a través de las distintas consolas es un proceso bastante sencillo y homogéneo, por cierto este método nos será igualmente útil si lo que queremos es adivinar que servidor tiene cada rol. Este método solo es valido si el DC que contiene el rol a transferir esta online y funcional ya que si no es así tendríamos que realizar un seize (viene a significar algo así como confiscar) a través de ntdsutil.



En todas las consolas el primer paso será conectar al controlador de dominio al que queremos transferir el rol en cuestión. Desde la consola Usuarios y equipos de Active Directory podemos transferir los roles de maestro de RIP, emulador PDC y maestro de infraestructura, desde la consola de Dominios y confianzas de Active Directory se puede transferir el rol de maestro de nombres de dominio, mientras que para el rol de maestro de esquemas necesitaremos registrar una nueva consola que detallare mas adelante.



El siguiente paso será ir a "Acciones" y allí elegir la opción de Maestro de Operaciones, y nos aparecerá un dialogo con el servidor desde el que queremos transferir el rol al que queremos transferirlo, recordad que debéis estar conectados al controlador de dominio al que queréis transferir el rol.





Para transferir el rol de esquemas primero deberemos registrar un dll, esto se hace abriendo Inicio -> Ejecutar y allí ejecutaremos "regsvr32 schmmgmt.dll".



Una vez hecho nos aparecerá un mensaje de registro con éxito en pantalla, volveremos a Inicio -> Ejecutar y una vez allí ejecutaremos "mmc" lo que nos abrirá una consola vacía, navegamos a Archivo -> Agregar o quitar complemento.. y seleccionar Esquema de Active directory.



Una vez ya abierta la consola de esquema, repetimos el mismo paso que en todas donde recibiremos un mensaje similar que a los casos anteriores.



También tened en cuenta los permisos necesarios para transferir estos roles, para el rol de esquema es necesario estar en el grupo Administradores del esquema, para transferir el rol de maestro de infraestructura, maestro de identidad relativa (RID) o emulador PDC necesitamos estar en el grupo Administradores del dominio y por ultimo necesitaremos estar en el grupo Administradores de organización (enterprise admins) para transferir el rol de maestro de nombres del dominio.

| Enlace  

Una nueva característica de Windows Server 2003 es la opción de aplicar filtros WMI (Windows Management Instrumentation) en las directivas de grupo para que estas se apliquen solo en determinados equipos. Los filtros WMI solo están soportados en sistemas operativos posteriores a Windows XP, en sistemas operativos anteriores siempre se aplicara la GPO al ser ignorado el filtro. Además si no existe al menos un controlador de dominio con Windows 2003 no se mostrara la opción de filtro WMI en el GPMC (Group Policy Management Console).



A cada GPO solo le podemos asignar un filtro WMI pero este puede tener múltiples sentencias. Los filtros WMI agrupan sentencias WQL (WMI Query Language) que podemos elaborar fácilmente con la herramienta Scriptomatic
que nos proporciona un interfaz realmente sencilla para conseguir cualquier información sobre el sistema. El filtro se procesa en el equipo lo que provoca que su resolución sea en ocasiones bastante lenta por lo que debemos ser cuidadosos en la cantidad de condiciones con que se configura un filtro, también porque el filtro se reevaluara cada vez que se refresquen las directivas en un equipo, por ej. por defecto este parámetro para los controladores de dominio es cada 5 minutos.

Con WMI podemos extraer toda clase de información de un equipo, desde el fabricante del hardware a la versión del sistema operativo pasando por comprobaciones de si contiene o no ciertas claves de registro. Como he indicado anteriormente por la carga adicional que los filtros WMI suponen a los equipos se recomienda utilizarlos como mecanismos circunstanciales para el filtrado de directivas y no a largo plazo.

| Enlace  

Como ya conté en el anterior articulo sobre distribución de software mediante GPO existen dos métodos, publicación y asignación. En este articulo voy a detallar como funciona la publicación, una de sus características esenciales es que solo podemos publicar software a usuarios no a equipos.



Lo primero que deberemos hacer una vez dentro del editor de GPO es seleccionar el paquete .msi, nos debemos asegurar que el .msi y resto de los ficheros necesarios para la instalación son accesibles para los usuarios a los que vamos a instalar el software. Puede ser bastante útil configurar un DFS para este tipo de tarea si se va a distribuir el software en mas de una localización y así ahorrar trafico wan.



Tras seleccionar el paquete se nos preguntara si queremos publicar, asignar y avanzada, elegiremos avanzada ya que esta opción nos dejara si queremos publicar o asignar el paquete mas tarde y además ver otras opciones de configuración en el siguiente paso, lo que nos mostrara es el dialogo de propiedades del paquete.



En las diferentes pestañas podemos completar

• General: nos muestra la información del paquete msi como fabricante, nombre, versión.
  
• Implementación: la opción de activación de la extensión del archivo lo que hace es que si abrimos algún fichero con una extensión de las que el paquete msi asigna a la aplicación que instala se instalara el paquete si aun no esta instalado, el resto de las opciones creo son bastante claras por si mismas así que me ahorro detallarlas.
  
• Actualizaciones: nos permitirá seleccionar paquetes instalados anteriormente y que serán actualizados por este paquete.
  
• Categorías: en esta pestaña podemos categorizar el software dentro del dialogo de Agregar nuevos programas.
  
• Modificaciones: aquí podemos aplicar ficheros de modificación del paquete como ficheros .mst
  
• Seguridad: como en una GPO podemos configurar varios paquetes, esto nos sirve por si queremos restringir la aplicación de alguno de ellos.
  

Finalmente para instalar las aplicaciones bien se hace automáticamente al abrir una de las extensiones de las que el paquete de software se asigna o hay que ir a Panel de Control -> Agregar y quitar programas -> Agregar nuevos programas, y allí podemos seleccionar el paquete que queremos instalar.

| Enlace  

Tanto Windows XP como 2003 incluyen un componente que hace posible que nos podamos conectar a terminal services o el escritorio remoto mediante Internet Explorer gracias un control de ActiveX. También se puede instalar en Windows NT y 2000 si se dispone de un IIS instalado superior al 4.0 y nos descargamos el componente de conexión web a escritorio remoto. Su configuración y uso es bastante sencillo, en el caso que usemos el componente adicional con 2000 y NT este extraerá los ficheros al directorio tsweb dentro del directorio wwwroot y deberemos configurar las opciones del sitio web en IIS.

Si queremos instalarlo en XP y 2003 debemos ir a "Agregar o quitar programas" del Panel de control, allí iremos a la opción "Agregar o quitar componentes de Windows" y una vez allí si es Windows XP iremos dentro de la opción Servicios de Internet Information Services (IIS) y activaremos la opción de "Conexión web a escrito..". Si se trata de un 2003 tendremos que ir a Servidor de Aplicaciones -> Internet Information Services -> Servicio World Wide Web y allí activar el servicio en ambos se caso también se activaran otros servicios de los que tiene dependencias.



Es recomendable que para un servicio como este dentro de la consola de IIS definamos algún tipo de autentificación no anónima y lo hagamos accesible solo a través de https si disponemos de algún tipo de infraestructura PKI en nuestro entorno. Su uso es de lo mas sencillo, abriremos el IE y accederemos a la dirección donde hemos configurado el site que por defecto es http(s)://direccionourldelservidor/tsweb/ y una vez allí recibiremos una notificación de instalación de un componente ActiveX.



Una vez instalado el componente ActiveX ya podremos usar el sitio para efectuar conexiones a nuestros terminal servers.

| Enlace  

Esta herramienta nos proporciona la opción de elaborar reportes sobre la seguridad de nuestros sistemas, no solo analiza la configuración a nivel de seguridad del sistema operativo a partir de Windows 2000 sino que también revisa la configuración de IE5/6, SQL Server 7.0 y 2000, Office 2000/XP/2003 e Internet Information Server (IIS) 5 y 6.



Además de escanear los parámetros de seguridad mas comunes como passwords débiles, servicios innecesarios también puede comprobar si los equipos tienen todas las actualizaciones al día ya sea comprobándolo con un servidor WSUS o SUS local o bien desde Microsoft Update. Hay que decir que la herramienta es un poco lenta así que lo mas conveniente es que la dejéis por la noche escaneando y así no interferirá con el uso habitual de la red y servicios, también a veces los grados de severidad que da son un poco exagerados pero bueno mas vale prevenir que curar.



El uso de la herramienta es de lo mas sencillo ya que nos presentara la opción de escanear una maquina o varias si le facilitamos un rango de ips o dominio, después tenemos que seleccionar los distintos parámetros que queremos comprobar y. Los informes que nos ofrecerá son bastante detallados y vistosos, además MBSA los ira archivando por si queremos consultarlos en cualquier momento. Aparte de la herramienta grafica también se nos ofrece su homologa de la línea de comando, MSACLI.exe, que podremos encontrar en el directorio de instalación de MBSA.



Un elemento opcional bastante útil es el conector para Visio gracias al cual obtendremos los reportes es forma de diagrama de red de Visio y clickando sobre cada maquina veremos el reporte de la maquina en cuestión. También de acuerdo con la severidad de las deficiencias nos colorea las maquinas de un color u otro.

| Enlace  

Este nuevo servicio de Windows 2003 nos trae principalmente dos ventajas, por un lado la realización de copias de seguridad de ficheros en uso que aprovechan para implementar esta funcionalidad tanto la utilidad nativa de Windows para backup, NTBackup, como aplicaciones de terceros tales como Symantec LiveState o Veritas Netbackup.

La otra funcionalidad que nos aporta este nuevo servicio son las shared folder shadow copies, lo que en castellano han traducido por Instantáneas de carpetas compartidas que aunque una traducción correcta me suena muy mal por lo que usare el termino Shadow Copies en este articulo. Gracias a esta novedad se pueden realizar snapshots periodicos automaticos o manuales de los directorios compartidos y tambien permite que los usuarios recuperen sus propias copias de seguridad.

Por un lado para que los clientes puedan usar esta funcionalidad si son sistemas operativos anteriores a Windows Server 2003 deben instalar el llamado cliente de versiones anteriores que también podemos encontrar en el directorio de instalación de Windows 2003 en la ruta system32\clients\twclient.

Por otro lado en el servidor tenemos que ir a las propiedades del volumen en que queremos habilitar las shadow copies ya que funcionan a nivel de volumen y no de carpeta lo que es un inconveniente importante ya que tal vez haya carpetas sobre las que no queremos realizarlas. Cuando habilitemos las shadow copies en el volumen se realizara el primer snapshot. La opción revertir realizara un rollback de los archivos, es decir que sobrescribirá los archivos actuales con el backup.



 



También tenemos que tener en cuenta que si queremos almacenar las copias en un volumen distinto, que es lo mas recomendable, debemos configurar esa opción antes de habilitar las shadow copies o bien borrar todas las shadow copies presentes y entonces cambiar el volumen ya que si hay copias realizadas no nos dejara cambiar el volumen de almacenamiento.



 



Si damos al botón de configuración nos aparecerá un dialogo en el cual podemos elegir configurar varias programaciones para realizar las instantáneas y que permiten una gran flexibilidad, por defecto vienen un par de programaciones configuradas de ejemplo. También deciros que no es posible almacenar mas de 64 snapshots de un volumen y que una vez alcance esa cifra comenzara a borrar las mas antiguas automáticamente así que si queréis guardar algún snapshot antiguo hay que borrar manualmente. Lo mismo ocurre si nos quedamos sin espacio en el volumen de almacenamiento de las copias, se borraran automáticamente las mas antiguas.



En el cliente el uso es bastante sencillo e intuitivo, simplemente tenemos que ir a las propiedades del fichero o carpeta en cuestión y allí nos encontraremos una pestaña llamada Versiones anteriores en la cual aparecerán los distintos snapshots realizados. Solo tenemos que seleccionar la versión que queremos, haciendo click en copiar se copiara esa versión del fichero a una ruta que nosotros elijamos, con la opción "Ver" visualizaremos esa versión del fichero o veremos los contenidos de la carpeta y con la opción "Restaurar" sobrescribiremos la versión actual del fichero con la seleccionada. Tened en cuenta que para realizar estas acciones el usuario debe tener los distintos permisos de lectura, escritura o modificación sobre los distintos ficheros o directorios.

| Enlace  

El directorio activo nos da la posibilidad de distribuir software a través de las directivas de grupo (gpos) en el formato msi de Windows Installer o también admitiendo ficheros ZAP. Existen dos métodos de despliegue de aplicaciones a través de GPO:

• Publicadas: las aplicaciones solo se pueden publicar a usuarios y no a equipos. La aplicación aparecerá dentro del apartado "Agregar nuevos programas" de la consola de "Agregar o quitar programas" del Panel de control y desde ahí podrá ser instalada por el usuario.
  
  
• Asignadas: podemos asignar aplicaciones tanto a usuarios como a equipos. La aplicación se instalara al iniciar sesión o bien podemos elegir que el usuario lo haga manualmente de la misma manera que se realiza en la opción de publicar aplicaciones.
  

En los próximos días entrare en detalle de como funcionan y en las opciones que ofrece cada método.

| Enlace  

El directorio activo es básicamente un sistema multi-master es decir que todos los controladores de dominio pueden escribir los cambios realizados y en caso de que se hayan realizado modificaciones distintas sobre un mismo objeto en dos o mas controladores la que permanece es la ultima que se haya realizado.

Esto ocurre a diferencia del modelo de dominio de NT 4 y 3.51 en el que había un único master (single-master) que era el PDC y por el que debían ser procesados todos los cambios. Sin embargo para ciertas tareas, por su naturaleza, se ha seguido utilizando este modelo en lo que llamamos roles de FSMO (Flexible Single Master Operation). Hay cinco roles distintos, tres que son necesarios a nivel de bosque, mientras que dos son necesarios en cada dominio.

• Schema master - Maestro de esquema: lleva el control de las actualizaciones que se producen en el esquema del directorio (ldap), no es un servicio muy critico ya que principalmente nos será necesario cuando debamos hacer un adprep ya sea para instalar exchange o para introducir controladores de dominio de 2003 en un entorno Windows 2000. Debe haber uno por bosque.
  
  
• Domain naming master - Maestro de nombres de dominio: Es el responsable de controlar si se añaden o eliminan dominios del bosque. Si tenemos un problema con un dcpromo al añadir un nuevo dominio o eliminarlo es uno de los primeros puntos que debemos revisar.
  
  
• RID master - Maestro de identificadores relativos: hay uno por bosque y es el encargado de suministrar en lotes a los controladores de dominios identificadores relativos (RID), esto se produce cuando el controlador entra en funcionamiento y cuando se queda sin mas. Con el RID y el SID de cada dominio se crean identificadores únicos para cada objeto del dominio.
  
  
• PDC emulator - Emulador de PDC: debe haber un emulador de PDC por dominio. Como parece obvio emulara el PDC si tenemos aun un entorno con BDC’s, si nuestro entorno es 2000/2003 entonces todavía tendrá importantes tareas como llevar la sincronización de la hora y centralizar cambios de passwords, bloqueos de usuarios e intentos fallidos de introducir la contraseña.
  
  
• Infrastructure master - Maestro de infraestructura: Debe haber uno en cada dominio y su función consiste en actualizar la SID y Distinguised Name (DN) de un objeto cuando se hace una referencia entre objetos de diferentes dominios. Este tipo de referencias se hace mediante el GUID, el SID y el DN.
  

Podemos asignar todos los roles a un mismo controlador de dominio pero dependiendo de las necesidades de nuestro entorno probablemente esto no sea lo mas adecuado, también debemos intentar que estos roles esten en maquinas lo mas estables posible ya que algunos son vitales para un correcto funcionamiento del dominio. Además también hay que tener en cuenta que no debemos asignar el rol de maestro de infraestructura a un controlador de dominio que sea a la vez global catalog a menos que todos los controladores del dominio sean global catalog ya que no actualizaría la información de objetos que no tiene lo que ocurre porque el catalogo global contiene copias parciales de todos los objetos del bosque.

| Enlace