julianrv.commi blog personal

Cuando se replica la información del directorio activo es conveniente tener conectividad en los siguientes puertos para que todo funcione correctamente:

UDP/TCP 53 – DNS
UDP/TCP 88 – KERBEROS
TCP 135 – RPC (Remote Procedure call / Llamada al procedimiento remoto)
UDP/TCP 389 – Active Directory (LDAP)
UDP/TCP 445 SMB sobre IP
TCP 636 – LDAP sobre SSL
TCP 3268 – Global Catalog (LDAP)

RPC asignara un puerto alto (del 1024 al 65536) aleatoriamente para replicar datos. En lugar de RPC también existe la posibilidad de usar SMTP en la replicación del directorio activo entre sitios (intersite) aunque raramente se usa ya que solo tiene sentido si existen problemas de enrutamiento, si ese es el caso habrá que tener abierto el puerto 25 de TCP también.

 
 Categorias: directorioactivo  networking 

Round Robin es una técnica de balanceo de carga entre distintas maquinas o interfaces de red que funciona mediante DNS de modo que cada vez que se realiza una petición al servidor que contiene el registro DNS en cuestión este contiene varias correspondencias del registro tipo A (host) de manera que va rotando los resultados que ofrece. Esto nos ofrece un sistema de balanceo de carga muy sencillo pero irregular e inconsistente ya que nunca repartirá equitativamente las peticiones una vez se extiendan estos registros a otros servidores DNS y otro de los problemas que arrastra es que si una de las direcciones IP a las que e apunta de deja de funcionar no habrá forma de eliminar en un periodo breve las peticiones dirigidas a ella. Aun así es un método a considerar ya que nos permite usar equipos con sistemas operativos heterogéneos (Windows, Linux, Unix, Solaris..) para balancear servicios como Web, FTP o correo SMTP entrante y saliente. Os ofrezco un ejemplo de configuración de un servicio Web mediante round robin en:

Network Load Balancing (NLB) se trata de una tecnología de clustering propietaria de Microsoft existente tanto en Windows 2000 como en Windows 2003 Server que crea una red de servidores que mediante distintos mecanismos y algoritmos se intercomunican y deciden quien debe ser el receptor de cada petición, también si se produce algún problema en uno de los servidores se detectara y este será retirado automáticamente de la red de servidores en NLB. también es conocido como network load balancing la técnica que usan distintos fabricantes de hardware como F5 Networks, Radware, NetScaler o Cisco, que mediante dispositivos dedicados (appliances) conocidos como switches L4-L7, dedican uno (varios si están redundados) de estos dispositivos exclusivamente a repartir las peticiones entre los distintos servidores. también suelen integrar en paralelo con el balanceo de carga otras soluciones de seguridad y optimización de los servicios como proxy de SSL. Ambas técnicas nos plantean el problema de que la imposibilidad de dispersar los servidores geográficamente y ser soluciones complejas, en el caso de las soluciones hardware su principal desventaja es el alto precio de este tipo de dispositivos pero a cambio suelen ofrecer pocos problemas de incompatibilidad y un muy buen rendimiento.

En Windows disponemos la posibilidad de activar la opción orden de mascara de red (subnet mask ordering) en este modo si tuviéramos un mismo registro A (host) que correspondiera a distintas direcciones IP como es el caso de cuando configuramos un round robin, en lugar de ir rotando la dirección IP que devuelve en caso de que la IP del peticionario se encuentre en la misma subred que una de las direcciones IP de los resultados siempre devolverá la dirección IP de esa subred. Esto puede ser bastante útil a la hora de ofrecer servicios locales en entornos con distintas localizaciones. Tanto round robin como el orden de mascara de red están habilitadas por defecto, las podemos desactivar en propiedades -> avanzadas del servidor DNS.

 
 Categorias: clustering  dns 

Los servidores DNS guardan en caché todas las peticiones DNS que resuelven durante el tiempo que indica el SOA (Start of Authority) del dominio. Existe la posibilidad de configurar servidores llamados de “solo caché” (caching only) que simplemente resuelven las peticiones mediante reenviadores (forwarders) o realizando consultar recursivas a través de sugerencias de raíz (root hints) y que por tanto ni contienen ni tienen autoridad para ninguna zona. Pueden ser útiles en estrategias de resolución de nombres de Internet donde nuestras comunicaciones sean lentas, por un lado no desperdiciaremos trafico con transferencias de zona y por otro ahorraremos trafico gracias al caché ya que muchas consultas a servicios usados habitualmente se resolverán sin necesidad de generar ningún trafico WAN. También representan una buena manera de quitar carga de trabajo a los servidores de DNS que contienen las zonas del directorio activo si los configuramos como reenviadores de estos para resolver los nombres de Internet en lugar de confiar en los servidores de nuestro ISP.

Uno de los ataques mas comunes vía DNS que se producen son los conocidos como envenenamientos de caché (cache poisoning)que consisten en la introducción de registros erróneos en la caché de los servidores DNS mediante diferentes técnicas. En Windows disponemos de una opción en las propiedades del servidor DNS llamada Asegurar caché contra corrupción (prevent cache pollution) que evita que el servidor sea victima de este tipo de ataques, esta opción viene activada por defecto en Windows Server 2003 mientras que en Windows 2000 habrá de ser activada manualmente.

 
 Categorias: dns  seguridad 

Para resolver nombre externos a nuestro dominio en un entorno con active directory, aunque esto es también aplicable a cualquier entorno Windows, disponemos de varios métodos que se usan según las circunstancias, los enumero por el orden en que se recurre a ellos:

Reenviadores condicionales (conditional forwarders): estos reenviaran la consulta a una serie de servidores DNS según al dominio al que se trate, este tipo de reenviador solo esta disponible a partir de Windows Server 2003 y se suele usar en entornos donde existe mas de una espacio de nombres o existe una relación de confianza (trust) entre dominios o bosques que no comparten un espacio de nombres común.

Reenviadores (forwarders): es el método mas utilizado y eficiente para resolver nombres DNS de Internet, se suele apuntar al servidor DNS que nos facilitara nuestro ISP u otros.

Como podéis ver existen un par de opciones adicionales, si marcamos la casilla “No usar recursividad para este dominio” (do not use recursion for this domain) entonces no se recurrirá a los root hints para intentar resolver el nombre lo cual es una buena medida de seguridad si se trata de algún dominio que no este en Internet como el dominio interno de una empresa por ejemplo. La otra opción, “Segundos transcurridos hasta agotarse el tiempo de espera de envió de consultas” indica como el tiempo que espera el servidor para probar con el siguiente servidor DNS antes de recibir una respuesta.

Sugerencias de raíz (root hints): se trata de los servidores raíz del ICANN (root servers) a través de los que se puede resolver cualquier nombre de dominio registrado para Internet, el gran problema es su lentitud ya que aparte de la distancia geográfica también deberemos hacer distintos -queries- recursivos hasta encontrar el servidor primario o secundario del dominio.

Gran numero de problemas en entornos directorio activo se deben a la configuración de DNS, en gran parte debido a la dependencia que tiene del DNS, ya sea de clientes o servidores. Uno de los problemas mas comunes es que haya una zona DNS root (.) en el DNS creada lo que impide que se hagan uso de los reenviadores absolutos o condicionales de forma que es necesario borrarla para poder hacer uso de ellos, por otro lado crear una zona de este tipo puede ser una buena estrategia si lo que queremos es evitar que los clientes resuelvan nombres DNS externos. Los clientes -siempre- han de estar configurados con las direcciones IP de los servidores internos, ya sean controlador de dominio o servidores secundarios y estos a su vez contener reenviadores para poder resolver nombres externos, tener configurada otros servidores que no pertenezcan al dominio es fuente de gran cantidad de problemas.

 
 Categorias: dns  directorioactivo 

La infraestructura DNS de Windows se aleja un poco de lo que había sido la concepción habitual DNS del mundo UNIX donde solo teníamos servidores primarios y secundarios y el almacenamiento se realizaba en ficheros de texto, si bien Windows respeta los estándares BIND en este aspecto y también nos ofrece este tipo de configuración igualmente nos ofrece unas opciones novedosas respecto a esto. En primer lugar la pregunta que se nos viene a la cabeza cuando hablamos de zonas DNS (DNS zones) es porqué hablamos de zonas y no de dominios cuando tratamos de DNS, esto es porque las zonas se tratan de divisiones de un dominio realizadas con el propósito de simplificar su administración de forma que podamos delegar la administración de partes del espacio del nombre (subdominios).

Zona Principal (Primary zone): es la zona con capacidad de lectura y escritura sobre la información.

Zona Secundaria (Secondary zone): es la zona que replica a la zona principal que solo tiene capacidad de lectura sobre la información.

Zona de código Auxiliar (Stub zone): este tipo de zona solo contiene el registro SOA de inicio de autoridad (Start Of Authority), los registros NS (Name Server) y A (host) que apuntan los servidores de nombre. Una stub zone no contiene ningún registro aparte de los anteriormente citados de manera que lo único que hace es apuntar a los clientes hacia un servidor DNS, a primera vista puede parecer que no tiene utilidad pero infraestructura cambiante pero tiene gran utilidad en dos tipos de escenario: en el caso de que estemos realizando cambios en nuestra infraestructura DNS así no tendremos que cambiar la configuración de los clientes mientras dure este proceso o bien en escenarios donde las zonas contengan gran cantidad de registros y no queramos realizar gran cantidad trafico de replicación de DNS entre distintas localizaciones por enlace WAN. Este tipo de zonas solo están disponibles a partir de Windows Server 2003.

Si el servidor DNS es también controlador de dominio es posible configurar el almacenamiento de la zona para que se integre en el directorio activo (ADI, Active directory integrated) ya que se trata a la zona como de replicación multimaster como lo es el directorio activo, en otro post tratare las particularidades, inconvenientes y ventajas de este modelo que esta disponible desde Windows 2000.

Existen dos supertipos de zona según el tipo de resolución que se realice, tenemos las zonas de búsqueda directa (forward lookup zones) que es el tipo mas utilizado es decir se realiza una resolución de nombre DNS a IP. También contamos con las zonas de búsqueda inversa (reverse lookup zones) que realizan justo lo contrario, es decir, ver cual es el nombre DNS asignado a una IP. Para ello dividen los nombres de espacio por subredes, y se nombra las zonas con el estándar C.B.A.in-addr.arpa para definir un rango IP de A.B.C.x y si el rango fuera clase A o B en lugar de clase C como este se representaría como A.in-addr.arpa o B.A.in-addr.arpa respectivamente.

 
 Categorias: dns  directorioactivo 

Windows Storage Server 2003, es una versión de Windows Server 2003 parcialmente limitada y sobre todo optimizada para ser utilizada de formada dedicada para servicios de impresión y especialmente de servidor de ficheros, en cualquier caso es totalmente compatible con el software que funciona sobre estos servicios. Esta versión, que también ha recibido la actualización R2 donde se mejoran las opciones de gestión de servidores de ficheros tanto locales como en oficinas remotas, no es posible que sea adquirida por separado y solo se incluye con la compra de dispositivos NAS (Network Attached Storage). A diferencia del resto de versiones no es necesaria la compra por separado de licencias CAL (Client Access License) ya que el producto incluye licencias ilimitadas.

Existen dos versiones de Windows Storage Server 2003, Standard y Enterprise, la versión Standard solo incluye la funcionalidad básica mientras que la versión Enterprise soporta hasta 4 procesadores en el dispositivo NAS, multipath I/O lo que le permite conectarse a un dispositivo de almacenamiento por hasta 32 caminos diferentes de forma de forma que creamos redundancia en la conexión se puede configurar para que realice balanceo de cargar (load balancing) o failover en caso de fallo en alguna de ellas y también nos permite realizar clustering de hasta 8 nodos.

 
 Categorias: almacenamiento 

Si queréis saber como funciona el protocolo DHCP en su forma estándar echarle un vistazo al link, este articulo es aplicable a Windows 2000 aunque como de costumbre me enfocare a Windows Server 2003. Para instalar el servicio debemos ir a Panel de Control -> Agregar y quitar programas -> Agregar o Quitar componentes de Windows -> Servicios de Red -> Protocolo de configuración dinámica de host (DHCP). El servicio DHCP funciona a través del puerto UPD 67 en el servidor y UDP 68 en el cliente.

Esto también nos instalara la consola de gestión de DHCP (dhcpmgmt.msc) desde la cual podremos manejar tanto los servidores de DHCP locales como los remotos. Si nuestro servidor DHCP forma parte del directorio activo es necesario para que comience a funcionar que se autorice, para ello hay que marcar el servidor que deseamos autorizar e ir a Todas las tareas -> Autorizar para esto es necesario un usuario que pertenezca al grupo Enterprise Administrators. A continuación podéis ver un pantallazo de la consola y una descripción de los elementos que podéis ver.

Ámbito (scope): se trata simplemente de un rango de direcciones IP que fijamos con unas propiedades comunes determinadas.

Superámbito (superscope): utilizaremos esta opción cuando queramos asignar un rango que ocupe mas de una subred (subnet), de forma que crearemos un ámbito por subred y los agruparemos en un superámbito.

Ámbito de multidifusión (multicast scope): aquí no aparece pero es una de las opciones que existen para crear en el asistente de creación de ámbitos. Se trata de un rango de direcciones IP de clase D que se asignan a equipos que las solicitan, su particularidad consiste en que necesitan el Multicast Address Dynamic Client Allocation Protocol (MADCAP) para solicitar una de estas direcciones. Todos los equipos en un grupo de multidifusión (multicast group) usa una única IP y sirve para enviar datos a un grupo de equipos a la vez enviando una única copia del mensaje.

Conjunto de direcciones: es el rango de direcciones IP del que asignaremos las direcciones. Si dentro de este rango tenemos uno o varios intervalos que no queramos asignar a ningún equipo debemos crear un rango o rangos de exclusión, por supuesto si solo queremos excluir una IP pues el inicio y final del rango deberá ser esa IP en concreto.

Concesiones de direcciones: son las direcciones del ambito que ya hemos concedido (lease) a cliente, nos indica a que MAC ha sido concedida cada IP.

Reservas: una reserva se realiza a una dirección IP de forma que siempre se asigne a un cliente que tenga una MAC prefijada y no a otros, esto es recomendable para configurar servidores o equipos que queremos que no tenga una configuración manual pero que no cambie su IP.

Lo que vemos en los pantallazos de arriba son las opciones de ámbito, en ellas para cada ámbito fijaremos una serie de opciones de configuración adicionales como servidor WINS, enrutador (puerta de enlace / gateway), servidores DNS, sufijo de conexión y otras menos comunes. También en las opciones avanzadas podemos ver opciones mas especificas según la clase de usuario (user class) o según la clase de proveedor (vendor class). En las propiedades del ámbito veremos las siguientes opciones:

En la primera pestaña aparte del intervalo de direcciones IP del ámbito podemos ver otra opción llamada Duración de la concesión para clientes DHCP (lease period), esto se refiere al tiempo que durara el préstamo de IP al equipo cliente, como norma habitual se suele configurar este tiempo con una duración igual al promedio de tiempo que el equipo esta conectado a la misma red. Una vez pasado este tiempo si la IP ya no esta en uso por el equipo se libera para que se pueda asignar a otro cliente, si aun esta en uso y a la dirección no ha sido aplicada ningún tipo de restricciones se renueva la concesión (lease renew). También podemos quitar el limite de manera que se asignen las direcciones IP por un periodo ilimitado lo que puede provocar problemas de que se nos agote la reserva (pool) de direcciones lo que puede pasar igualmente si el periodo es demasiado largo y no disponemos de demasiadas direcciones de manera que debemos ser cuidadosos a la hora de ajustar estos tiempos.

Las opciones que podéis ver en la pestaña de DNS son las que se configuran por defecto, el primer apartado se refiere a la actualización del sufijo de conexión es los servidores DNS de forma que nos de la opción de activar el puntero a registro (Point to record / PTR) y el registro A siempre que se haga una concesión o solo cuando se solicite explícitamente por el cliente. En el segundo apartado tenemos la opción de descartar esos registro una vez expire la concesión y no se renuevo, en el tercer apartado lo que nos ofrece es para clientes que no soporte la solicitud de actualización en DNS como NT4 que se actualice automáticamente.

Aquí nos da opción de conceder direcciones también a clientes BOOTP que se trata de un protocolo anterior a DHCP y mucho mas limitado, usualmente no será necesario activar esta opción pero en cualquier caso aquí la tenemos con la opción de configurar un tiempo de préstamo predeterminado.

Una de las tareas que podemos ver es Reconciliar o Reconciliar todos los ámbitos, en lo que consiste es en actualizar las concesiones que ha realizado el servidor contra el registro de ellos que guarda el en una base de datos .mdb de forma que no se produzca ningún tipo de inconsistencia, esto es un problema común que se da si acabamos de realizar una restauración recientemente de este registro. Por ultimo unas opciones mas que podemos encontrar si vamos a las Propiedades del servidor, en la pestaña General podemos configurar el intervalo temporal de actualización de estadísticas y si queremos realizar auditoria del registro DHCP. En la pestaña DNS configuraremos las mismas opciones que señalamos anteriormente pero a nivel de servidor de forma que serán las que se apliquen por defecto a los distintos ámbitos.

En la pestaña Opciones avanzadas, lo primero que nos encontramos es el parámetro Intentos de detección de conflicto que lo que hará es tantas veces como le indiquemos realizar ping a la IP que va a conceder de manera que si esta ocupada intentara de nuevo conceder otra en su lugar realizando el mismo proceso. Podemos definir las rutas a los ficheros de registro, base de datos y backup que por defecto se encuentran en C:\WINDOWS\system32\dhcp, también podemos fijar las interfaces de red del servidor a través de las cuales atenderá las peticiones DHCP y por ultimo podemos fijar las credenciales con las que se identificara en el servidor DNS para actualizar registros.

 
 Categorias:  "http://del.icio.us/julianrv/blog.julianrv.com+dhcp" rel="tag">dhcp  dns  directorioactivo 

A diferencia de Windows 2000 donde solo teníamos niveles de dominio mixto y nativo en Windows 2003 aparte de los cuatro diferentes niveles de dominio también tenemos tres niveles de forest diferentes, que son los siguientes:

Windows 2000: este es el nivel por defecto tanto para dominios migrados desde 2000 como para nuevos dominios de Windows Server 2003, aquí ninguna de las nuevas características de 2003 a nivel de bosque es aplicada excepto la nueva replicación diferencial y otras mejoras relacionadas con Global Catalog (GC), las particiones de active directory para aplicaciones y la opción de realizar un dcpromo instalando el directorio activo desde un backup. Debemos tener en cuenta que debemos mantener este nivel si deseamos tener algún domain controller de Windows 2000 o PDC/BDC de Windows NT presente.

Windows Server 2003 Provisional (interim): nivel análogo del nivel de dominio, al igual que con nivel de dominio esta pensado para un entorno que se encuentre realizando una migración a 2003. Podemos tener tanto controladores de dominio de 2003 como PDC/BDC de NT4 y a nivel de funcionalidad tenemos la misma que en el nivel de bosque Windows 2000 con algunas mejoras que introduce Windows 2003 a nivel de replicación intersite y algunas nuevas clases de Global Catalog.

Windows Server 2003: en este nivel solo se soporte controladores de dominio de Windows Server 2003 y tenemos toda la funcionalidad completa de 2003, a las nuevas características nombradas anteriormente hay que añadir la capacidad para renombrar dominios, cambios en el objeto InetOrgPerson, grupos de aplicación, cross forest trust (relaciones de confianza mutua entre bosques) y la habilidad para poner en estado defunt (desactivar) objetos del esquema lo que puede ser útil si realizamos una instalación fallida de Exchange u otra aplicación que modifique el esquema del directorio activo. Por supuesto es necesario que todos los dominios del bosque tengan nivel funcional Windows Server 2003 para poder pasar a este nivel de bosque.

Para elevar el nivel de bosque, al igual que para el de dominio, tenemos que ir a la consola Dominio y confianzas de Active Directory, seleccionar el bosque a modificar, ir a Todas las tareas o hacer click con el botón derecho sobre el bosque y escoger la opción Elevar el nivel funcional del bosque… tras lo que nos aparece un pequeño cuadro de dialogo con el nivel al que deseamos cambiar.

Esta operación es irreversible por lo que debemos estar seguros que no nos será necesario añadir ningún controlador de dominio que sea incompatible con el nuevo nivel de bosque.

 
 Categorias: directorioactivo 

Si hemos realizado una backup del directorio activo para restaurarlo disponemos de varias opciones según como queramos que se comporten los objetos restaurados. Cada vez que se realiza un cambio a un objeto del active directory se incrementa una propiedad del objeto llamada USN (Update sequence number). Cuando se replican cambios en el directorio activo lo que hace un controlador de dominio contra otro es comparar el numero USN que contiene el objeto en cada DC de manera que siempre se replica la copia que tiene el USN mayor, en caso de que sean iguales se compara la marca horaria (timestamp) y se replica el mas reciente. Primero explicare cual es el cometido de cada tipo de restauración:

Primaria (primary): en este tipo de restauración lo que haremos sera sobrescribir todos los datos del directorio activo con los que restauremos, de manera que es tipo de restauración no la debemos usar a menos que solo tengamos un domain controller ya que aparte de que provocaría gran cantidad de trafico de replicación innecesario entre controladores de dominio.

Normal (non-authoritative): consiste en restaurar la base de datos del active directory pero con los objetos teniendo su USN original de manera que no se replicaran a otros controladores de dominio ya que su USN siempre será anterior al actual, a excepción de que algún objeto que contenga no se hubiera replicado en su momento.

Authoritative restore: este es una combinación de los dos procesos anteriores ya que primero realizaremos una restauración normal y después gracias a NTDSutil marcaremos algunos objetos con un USN nuevo para que se repliquen a otros controladores, nos sirve si por ejemplo queremos recuperar un determinado objeto como un grupo o usuario que ha sido borrado ahorrándonos tener que sobrescribir con una copia de seguridad todo el contenido del directorio activo

Lo primero que debemos hacer para restaurar el directorio activo es iniciar el servidor en modo de de restauración de servicios de directorio para lo que durante el arranque de Windows debemos pulsar F8 y esperar que aparezca el menú donde tendremos la opción en que modo queremos iniciar.

Tras realizar un CHKDSK de los discos y arrancar nos pedirá una contraseña que nos puede llevar a error pensando que es la de administrador local, esta contraseña se fija cuando se realiza el dcpromo, en el link tenéis mas información de como recuperarla o cambiarla.

Tras entrar en el sistema debemos ejecutar NTBackup, seleccionar System State e ir a Trabajo -> Iniciar para comenzar la recuperación.

Es importante detenernos en el cuadro que nos aparece tras iniciar el restore e ir a las opciones avanzadas.

En el dialogo de opciones avanzadas si marcamos la opción Al restaurar conjuntos de datos replicados, marcar los datos restaurados como los datos princípales para todas las réplicas realizaremos un backup primaria si no la marcamos realizaremos una restauración normal o autoritaria (authoritative) según los pasos que sigamos después.

La restauración llevara un tiempo…

En este paso, antes de reiniciar el servidor, es en el que si hemos realizado una recuperación normal (non-authoritative) debemos hacer uso de NTDSutil para que los objetos que seleccionemos se repliquen, la sintaxis a usar es básicamente ntdsutil “authoritative restore” “CN del objeto o subtree a restaurar” podéis ver una descripción completa de la sintaxis en un articulo kb de Microsoft.

Esta metodología es igual de valida tanto para Windows 2000 como para 2003 Server, también es importante que a la hora de restaurar backups del system state tengamos en cuenta el periodo de caducidad de los backups del directorio activo debido a los atributo Tombstone y garbageCollPeriod.

 
 Categorias: backup  directorioactivo