julianrv.commi blog personal

Realizar copias de seguridad del Active Directory es una práctica imprescindible sobre todo si en nuestro entorno el número de controladores de dominio es pequeño o están repartidos por delegaciones que no tengan otro en local. Debemos abrir NTbackup y seleccionar system state como parte de los ficheros a los que queremos realizar un backup. Una vez seleccionado system state pulsamos iniciar y nos aparecerá un dialogo con distintas opciones avanzadas además de tener la oportunidad de programar el backup para que se realice de forma periódica lo que es muy recomendable.

Tras este dialogo se inicia el backup cuya duración depende del tamaño de los ficheros que tengamos seleccionados además de la velocidad, si es el caso, del medio de backup, si es una cinta llevara bastante mas que a disco duro.

Entre los contenidos del backup de system state esta la base de datos NTDS.dit del Directorio Activo y el contenido del volumen de sistema (SYSVOL), independiente de que el servidor sea domain controller o no contendrá también los ficheros de arranque (NTLDR, boot.ini, NTDetect.com), el registro y el COM+. Además si se trata de un Windows 2000 o Server 2003 que actué como CA se copiara también el almacén de certificados (certificate store).

Para restaurar el backup del Directorio Activo es necesario reiniciar el servidor en modo de restauración de servicios de directorio para lo que es necesario pulsar F8 antes de que inicie Windows, tambien tenemos la opcion de hacer una restauración tanto autorizada (authoritative) como no autorizada (non-authoritative).

 
 Categorias: backup  directorioactivo 

Cuando en Windows Server 2003 entramos en un controlador de dominio en el modo de restauración de SD (directory services restore mode) se nos solicita una password que habitualmente podemos haber olvidado ya que se configura durante el dcpromo y no coincide con la del administrador local. La contraseña debe de cumplir con los requisitos de complejidad fijados para los usuarios locales, por defecto son 8 caracteres que incluyan al menos con algún numero y un símbolo ortográfico como un guión, coma, punto, etc.. Solo tenéis que ejecutar los pasos que se detallan a continuación cambiando nombre-dc por el nombre del domain controller al que queráis cambiar la contraseña del modo de restauración.

En Windows 2000 esta contraseña tanto de la consola de recuperación como del modo de recuperación coinciden con la de administrador local por lo que simplemente debemos cambiarla, para ello simplemente lo podemos hacer desde la consola de administración de usuarios locales (lusrmgr.msc).

 
 Categorias: directorioactivo  backup 

Los volúmenes distribuidos, también conocidos como spanned volumes en ingles o volúmenes extendidos, están formados el espacio libre enlazado de hasta 32 discos dinámicos. Estos volúmenes no pueden ser configurados en mirror, tampoco tienen tolerancia a fallos por lo que si uno de los discos que lo componen falla no habrá manera de recuperar datos aunque estos teóricamente se encuentran en otro disco físico por lo que es muy importante realizar backups de los datos mas sensibles que se almacenen en este tipo de volumen.

A continuación os detallo como configurar un volumen distribuido, deberemos abrir la consola de Administración de discos (diskmgmt.msc) y en Acción -> Todas las tareas.. -> Nuevo volumen, tras esto nos aparecerá un dialogo donde nos pedirá que elijamos el tipo de volumen que deseamos, en este caso distribuido.

Ahora debemos elegir que discos agregar y cuanto espacio queremos extender el volumen en cada disco.

El siguiente paso es simplemente elegir si queremos montar el volumen como una carpeta, bien asignarle letra o no.

Tenemos que elegir si formatear o no el volumen, y si lo hacemos asignarla etiqueta además de elegir tipo de formato y el tamaño del cluster (unidad de asignación) de disco.

Tras estos simples pasos ya tenemos nuestro volumen extendido.

 
 Categorias: almacenamiento 

IPsec comprende una serie de estándares con el objetivo de autentificar y/o encriptar todos los paquetes a nivel capa de red (layer 3) lo que lo hace transparente a las aplicaciones de forma que no deben ser modificadas para hacer uso de IPsec, en principio fue diseñado de cara a Ipv6 pero se ha adaptado para v4. Se usan una serie de protocolos con dos objetivos, asegurar el flujo de datos y el intercambio de claves. Para lo primero se usan dos protocolos: Encapsulating Security Payload (ESP) que provee autentificación, confidencialidad de los datos e integridad del mensaje y Authentication Header (AH) que solo provee autentificación e integridad del mensaje. Mientras que para el intercambio seguro de claves solo hay un protocolo definido que es IKE (Internet Key Exchange) que en Windows se puede implementar mediante Kerberos v5 (por defecto), certificados o bien por una clave previamente compartida (PSK / pre-shared key) que se trata simplemente de una palabra o frase en texto que usa a modo de contraseña. AH y ESP pueden ser usados conjuntamente o por separado, pero ambos pueden usar dos modos de operaciones distintos:

Modo transporte (transport mode): provee seguridad punto a punto y es el tipo de encriptación que se usa en VPNs tipo L2TP con IPSec y en un entorno donde los equipos estén configurados por ipsec en el que se realicen conexiones IPSec donde se negocia de equipo a equipo o bien de equipo a gateway.

Modo túnel (tunnel mode): normalmente este termino provoca confusión y se tienda a relacionar directamente a los túneles L2PT/IPSec que en realidad no usan este modo sino el de transporte, este modo es usado entre gateways ipsec o por Isa Server cuando funciona en modo túnel de IPSec.

En Windows IPsec esta soportado en 2000, XP y Server 2003, en el caso de que la implementación que hagamos sea una VPN tipo L2TP/IPsec hay un cliente para sistemas operativos anteriores a Windows 2000. Tanto en las políticas de seguridad local (secpol.msc) como en las directivas de grupo (GPO) existen unas políticas predefinidas de IPSec:

Servidor Seguro (requerir seguridad) – Secure Server (require security): solo acepta comunicaciones sobre IPSec.

Servidor (solicitar seguridad) – Server (request security): si es posible utiliza IPSec en las comunicaciones.

Cliente (sólo responder)- Client (respond only): política pensada para los clientes de manera que usen IPSec si el otro

Si queremos crear una nueva directiva simplemente tenemos que ir a Acción -> Crear directiva de seguridad IP.. y nos aparecerá un asistente que nos guiara en los distintos pasos, lo primero que nos solicitara es el nombre y una breve descripción. Tras esto nos preguntara como queremos que la política responda a las peticiones de comunicación segura (ipsec) en algo que hace llamar activar la regla de respuesta predeterminada y el tipo de autentificación que se usara.

Básicamente una vez creada nuestra directiva personalizada podemos agregar distintas reglas que pueden utilizar distintos métodos de autentificación, a que tipo de trafico aplicar (por defecto tenemos ICMP e IP como elecciones pero se pueden agregar mas), responder o encaminar solo a determinadas redes y realizar distintas acciones como requerir que es forzar a que la comunicación segura o no realizarla si no se puede asegurar, solicitar (request) donde se pide si es posible realizar la comunicación por ipsec o bien permitir (permit) donde se permite realizar comunicación sin ningún tipo de seguridad.

 
 Categorias: seguridad  directorioactivo  pki 

Nunca he sido excesivamente fanático de los aviones, y menos de los de combate, pero siempre me han llamado la atención. He encontrado unas interesantes fotos via Digg de los supuestamente indetectables por radares F-117 Nighthawk y B-2 Spirit. Bastante curiosas ya que es raro encontrar fotos tan cerca y con tanto detalle de este tipo de aviones, tambien hay un juego de fotos de un show aereo en la base aérea de Edwards donde se pueden ver toda clase de aviones, nada que ver con nuestros tristes y desfasados desfiles anuales donde lo mas llamativo suele ser la cabra de la legión.

 
 Categorias: varios 

Si en Windows 2000 teníamos el modo mixto y nativo que nos permitían respectivamente tener compatibilidad con PDC/BDC’s de NT4 o bien disponer de todas las nuevas características de Windows 2000. En Windows Server 2003 ocurre algo similar ya que aparte de estos dos modos disponemos de otros dos mas que nos permiten distintos grados de compatibilidad con DC’s y PDC/BDC’s de 2000 y NT4, además también existen tres niveles funcionales distintos a nivel de bosque (forest). Los niveles de funcionalidad en entornos 2003 son los siguientes:

Windows 2000 mixto (mixed): en este modo podemos compatibilizar el uso de controladores de dominio de Windows 2000/2003 y PDC / BDC’s de NT. La única novedad de 2003 que disfrutaremos en este nivel es el anidamiento de grupos de distribución y la posibilidad de crear grupos universales de distribución. Este es el nivel que se adopta por defecto cuando configuramos el Directorio Activo en Windows Server 2003.

Windows 2000 nativo (native): es posible la configuración de domain controllers de Windows 2000 y 2003 en este modo. También disponemos de mas características de 2003 en este modo como el atributo, de usuario, histórico de SID (SID History) que nos puede ser realmente útil cuando realicemos migraciones tanto desde dominio NT como desde Exchange 5.5 ya que nos permite mantener el acceso en el dominio de origen lo que lo hace muy útil cuando mantenemos dos estructuras en paralelo. Además se incluyen en este nivel los grupos de seguridad universales y la posibilidad de anidarlos, la capacidad de convertir grupos de seguridad a distribución y viceversa.

Windows Server 2003 provisional (interim): este modo esta pensando en un escenario de migración de NT a 2003 y solo nos permite tener BDC’s de NT junto a los DC de Windows 2003, dispone de las mismas características funcionales que en modo 2000 nativo.

Windows Server 2003: solo podemos tener controladores de dominio Windows Server 2003, nos permite tener todas las características nuevas de 2003 incluidas las de los modos anteriores y otras que solo están disponibles en este modo como la posibilidad de fijar una contraseña para los objetos InetOrgPerson, renombrar un controlador de dominio, la delegación parcial de permisos de administración y otras..

Para cambiar el nivel de un dominio debemos de ir a la consola de Dominio y confianzas de Active Directory, seleccionar el dominio a modificar, ir a Todas las tareas y allí escoger la opción Elevar el nivel funcional de dominio… tras lo que nos aparece un pequeño cuadro de dialogo con el nivel al que deseamos cambiar.

Hay que tener en cuenta que una vez se eleva el nivel de un dominio ya no es posible dar marcha atrás y volver a un nivel inferior, por lo que debemos asegurarnos que ya no será necesario añadir de nuevo un controlador de dominio de los sistemas operativos con los que vamos a perder compatibilidad ya que se trata de una operación irreversible.

 
 Categorias: directorioactivo  windows