Otro estúpido blog

Beta de Vmware Fusion para MAC

astu — Sun, 12 Nov 2006 23:48:00 +0000

Desde hace una semana estoy probando la beta de Vmware Fusion para Mac OS X sobre procesadores Intel, la primera impresión es bastante buena en cuanto a rendimiento ya que me parece da mejor rendimiento que Parallels aunque la versión se encuentra aun bastante verde y tiene fallos de falta de funcionalidad en algunos menús de la aplicación como en la ventana de browse para seleccionar una virtual machine donde no hay botón de cancel y la única manera de salir sin seleccionar una vm es hacer quit de la aplicación. También no reconoce correctamente algunos ficheros .vmx creados con otras versiones de Vmware y hay problemas para montar imágenes ISO como cd-rom.

En cuanto a funcionalidades este nuevo producto se queda a medio camino entre el Vmware Player y el Workstation ya que aunque permite crear maquinas virtuales por ejemplo no incluye la funcionalidad de Virtual Networks por lo que a la hora de elegir el interface de red solo permite escoger entre host-only, NAT o bridge. Se agradece que incluya soporte SMP para poder repartir la carga entre distintos cores o procesadores. Otra de las limitaciones es que al crear una maquina virtual los discos duros que crea son IDE sin posibilidad de escoger crear discos SCSI aunque si editamos el fichero .vmx manualmente podremos añadir discos SCSI y los reconocerá perfectamente.

Una de las funcionalidades que personalmente veo mas útiles es que podemos usar desde la maquina virtual dispositivos USB conectados físicamente al equipo, he estado probando esta funcionalidad con el iSight integrado del Macbook y funciona perfectamente.

Aqui esta el link para apuntarse a la beta.

Categorias: vmware macosx

Scanners de wifi para MAC

astu — Sun, 22 Oct 2006 19:50:00 +0000

No deja de sorprenderme la gran cantidad de software de calidad que hay para MacOSX, hoy buscando algo similar al Netstumbler de Windows para escanear redes inalámbricas y hacer algo de wardriving, usease robar el wifi de algún vecino, he encontrado un par de herramientas bastante buenas:

- KisMac: prácticamente incluye las mismas caracteristicas que Kismet en Linux, sobre todo esta orientado al wardriving ya que incluye varias características de cracking de claves WEP y WPA.

- iStumbler: basado en el código de macstumbler pero compatible con MacIntel, mucho mas completo que KisMac ya que además de redes wifi también realizar descubrimiento de dispositivos bluetooth y redes Bonjour.

Categorias: macosx wifi seguridad

MSCS, Microsoft Cluster Server, introducción

astu — Mon, 16 Oct 2006 19:02:00 +0000

MSCS, Microsoft Cluster Server, inicialmente conocido como Wolfpack apareció junto a Windows NT Server 4.0 Enterprise Edition en su versión 1.0, Windows 2000 Advanced Server y Datacenter incluían la versión 1.1 mientras que la versión 1.2 se incluye en Windows Server 2003 Enterprise y Datacenter. Se trata de una solución de clustering de HA, alta disponibilidad o high-availability, al igual que otras existentes en el mercado como Sun Cluster (Solaris), IBM HACMP (AIX, Linux on Power), Veritas Cluster (Windows, Linux, AIX, Solaris, HP-UX) o HP ServiceGuard (HP-UX, Linux). Microsoftofrece otras soluciones de clustering pero estas son de balanceo de carga como NLB o de grid computing como Windows Computer Cluster.

La implementación de Microsoft persigue el mismo objetivo que todos los clusters de HA, sufrir la mínima disrupciones posibles en los servicios que ofrecen moviendo los distintos servicios de una maquina física a otra en caso de fallo o bien en caso de que se prevea algún tipo de disrupción en el servicio como un reemplazo de hardware. Estos cambios se puedes realizar de manera manual o bien de manera automática de acuerdo con una serie de parámetros configurados, hablamos de failover cuando un servicio se mueve de un nodo (servidor fisico) a otro y de failback cuando un servicio que había sido movido por failover con anterioridad vuelve al nodo de origen al que pertenecía.

Nodo (node): se trata de uno cualquiera de los servidores que componen el cluster, los nodos se pueden agregar o quitar del cluster a lo largo del tiempo. Paradójicamente puede existir un cluster de un único nodo aunque no parezca de gran utilidad.

Recurso (resource): se trata de un componente hardware (disco fisico, red) o software (dirección IP, nombre de red, script...) que forma parte del cluster. Entre los recursos se producen dependencias que se han de reflejar en la configuración de los mismos. Por ejemplo entre un nombre de red netbios y una dirección IP, si la dirección falla entonces el nombre de red deberá fallar en cadena al ser componentes directamente relacionados.

Grupo (group): es una agrupación de recursos, un grupo de recursos es la única unidad del cluster donde se puede realizar failover, cuando esto ocurre se mueven todos los recursos que lo componen de un nodo a otro. Esta es la razón que los diferentes recursos componentes de un servicio o instancia de aplicación se agrupen en un mismo grupo, un recurso determinado no puede pertenecer a mas de un grupo de recursos. Cada grupo tiene una lista de nodos (prefered owner) que por orden de preferencia se escogen a la hora de determinar hacia que nodo mover el grupo cuando se realiza un failover.

Quorum: es un disco usado para compartir, entre los distintos nodos, información respecto a la configuración del cluster además en el caso de fallo en las comunicaciones entre los distintos nodos el que tenga en ese momento la propiedad del recurso Quorum. Dentro del quorum disk podemos encontrar la carpeta MSCS en la cual se alojan el log del quorum (quolog.log), que es en realidad un log de transacciones de los cambios realizados en la base de datos del cluster. También se encuentra dentro de la carpeta MSCS un fichero con nombre chk*.tmp hacia el cual cada nodo replica desde local el fichero local de registro de cluster %SystemRoot%\Cluster\CLUSDB, este fichero se encuentra cada nodo y es al que van primero los cambios realizados a la configuración del cluster.

   - Shared Quorum: se trata de la configuración mas habitual y recomendada, todos los clusters comparten el acceso a este recurso de disco fisico.

   - Local Quorum: aqui el quorum se localizaria en uno de los discos locales de uno de los nodos del cluster, este tipo de configuración solo tienen sentido para recuperación de desastres o durante mantenimientos o fallos del disco compartido de quorum, iniciando el servicio de cluster, Cluster Service (clussvc.exe), con el parametro /FIXQUORUM se creara un quorum local y solo tendríamos que seleccionarlo como quorum.

   - MNS (Majority Node Set): en este caso cada quorum se encuentra en local y esta diseñado, en principio, para clusters con mas de dos nodos o bien dispersos geográficamente. Esta tecnología, de tipo shared-nothing, se introdujo en Windows Server 2003, si bien existe una actualización para SP1 y R2 donde se producen algunos cambios con el objetivo de hacer posible el funcionamiento del Cluster Continuous Replication que incluira Exchange Server 2007.

Entre las limitaciones de clustering esta el limite de 8 nodos para Windows Server 2003, de 4 nodos para Windows 2000 Datacenter Server y de 2 para Windows 2000 Advanced Server o NT 4.0. Tampoco en un mismo cluster es posible mezclar diferentes ediciones (datacenter, enterprise, etc...) ni versiones de sistema operativo excepto sise trata de un proceso de actualización, tampoco están soportados los nodos con distintas arquitecturas de procesador (IA64, x64 o x86). También es necesario de disponer de dos redes diferentes en todos los nodos por motivos de redundancia de forma que se recomienda que una de ellas este en una VLAN aislada (o si se trata de dos nodos de un cable cruzado) y que esta red se configure para toda la comunicación interna del cluster.

Habitualmente se habla de nodos como pasivo / activo o activo / activo si bien esto se refiere mas concretamente a aplicaciones en configuraciones de cluster de dos nodos, como activo/activo nos referimos a aplicaciones que pueden ejecutar una "instancia" en cada nodo del cluster y si una falla pueden mover esa instancia al otro nodo de manera que se ejecuten en el nodo dos instancias de la aplicación. Como activo/pasivo queremos referirnos a aplicaciones que corren en un nodo mientras que el otro se encuentra en "stand-by" en caso de fallo.

La administración del cluster se puede realizar de manera local o remota desde el Cluster Administrator (cluadmin.msc) que ofrece una interfaz básica bastante sencilla y en la que prácticamente podemos acceder a todas las funcionalidades y también disponemos del comando cluster.exe que aunque no muy intuitivo si que además de la funcionalidad de la consola añade la posibilidad de realizar tareas algo mas complejas como registrar o desregistrar tipos de recursos de cluster desde una .dll o cambiar la contraseña.

Categorias: cluster

Particiones de aplicación en el directorio activo

astu — Sat, 15 Apr 2006 16:11:00 +0000

Las particiones de aplicación del directorio activo (active directory application partitions) se tratan de particiones que solo se replican a determinados controladores de dominio, de esta forma en lugar de usar una base de datos relacional especifica para una aplicación nos podemos aprovechar de la estructura del directorio activo existente para una aplicación dotándola además de redundancia al tener la opción de replicarla a través de distintos domain controllers en el bosque o dominio. Su uso mas habitual es para almacenar información de zonas DNS integradas en el directorio activo de forma que esta información solo se replique a determinados domain controllers dentro del forest o domain.

Una partición tiene su propio espacio de nombre (name espace) su estructura es idéntica a la de otras particiones del active directory excepto porque no puede contener elementos de seguridad (security principles) del directorio como usuarios, equipos o grupos. Existen tres lugares donde podemos posicionar una partición de aplicación, en un dominio hijo de una partición de un dominio, en un dominio hijo de una partición de aplicación y en un nuevo árbol en el bosque. Para acceder a las particiones bastara con realizar una consulta LDAP por los puertos TCP 389 o 636 (SSL), aunque el controlador de dominio contenga la partición si lo hacemos a través del puerto TCP 3268 o 3269 (SSL) de global catalog no nos devolverá ninguna información.

Para crear, modificar y administrar particiones del directorio podemos usar la herramienta de línea de comando LDP o Adsi Edit, aunque la herramienta mas sencilla es NTDSUtil. Como se puede ver en el ejemplo de abajo hay que tener en cuenta que se debe usar el DN ("DC=particiondeprueba,DC=lab,DC=julianrv,DC=com") de la partición que queremos gestionar y no el FQDN (particiondeprueba.lab.julianrv.com).

ABRIR NTDSUTIL Y CONECTARSE A DC

NTDSUTIL "DOMAIN MANAGEMENT"
domain management: CONNECTION
server connections: CONNECTO TO SERVER superdc.lab.julianrv.com
server connections: QUIT

CREAR PARTICIÓN
domain management: CREATE NC "DC=particiondeprueba,DC=lab,DC=julianrv,DC=com" superdc.lab.julianrv.com

CONFIGURAR REPLICA DE PARTICIÓN
domain management: ADD NC REPLICA "DC=particiondeprueba,DC=lab,DC=julianrv,DC=com" otrodc.lab.julianrv.com

ELIMINAR REPLICA DE PARTICIÓN
domain management: DELETE NC REPLICA "DC=particiondeprueba,DC=lab,DC=julianrv,DC=com" otrodc.lab.julianrv.com

BORRAR PARTICIÓN
domain management: DELETE NC "DC=particiondeprueba,DC=lab,DC=julianrv,DC=com"

Categorias: directorioactivo

Driver Motorola V3 RAZR para Windows x64

astu — Mon, 03 Apr 2006 22:31:00 +0000

Para otros sufridos propietarios del V3 que fueron tan inocentes de instalarse un OS de 64 bits de Microsoft aquí cuelgo el driver del v3 RAZR para Windows XP x64, es el original simplemente modificado para que funcione sobre x64.

Categorias: varios

Tombstones y Garbage Collection

astu — Mon, 19 Dec 2005 11:40:00 +0000

Debido a que el Directorio Activo es un sistema multimaster donde todos los controladores de dominio tienen acceso de escritura a la base de datos cuando borramos un objeto este no se borra directamente sino que pasa al estado de Tombstone con el atributo isDeleted marcado a true, se mueve el objeto al contenedor de Objetos borrados (Deleted Objects) y se quitan la mayoría se sus atributos menos los mas importantes como GUID y SID. De esta manera el objeto se replica al resto de controladores de dominio donde se mantiene hasta que es borrado por el Garbage collector.

El Garbage collection es un proceso que se ejecuta cada 12h por defecto y puede ser configurado como mínimo para que se ejecute cada hora lo que se fija en el atributo garbageCollPeriod, este proceso por un lado borra los objetos tombstone y por otro defragmenta la base de datos. El atributo tombstoneLifetime fija el tiempo que un objeto se encuentra como tombstone en el directorio, por defecto en los sistemas operativos anteriores a Windows Server 2003 SP1 su valor es de 60 días y el mínimo a lo que lo podemos configurar es a 2 días.

Es muy importante tener en cuenta el parámetro tombstoneLifetime sobre todo a la hora de restaurar copias de seguridad del Active Directory ya que si son su antigüedad es mayor que el tiempo fijado al atributo tombstoneLifetime deberemos realizar la restauración como autoritaria (authoritative) ya que muchos de los objetos a recuperar ya no existirían, sin embargo si es inferior a ese tiempo podemos realizar una restauracion no autoritaria (nonauthoritative). También debemos tener en cuenta que Windows Server 2003 SP1 a veces establece este parámetro en 180 días con el propósito de que los backups tengan una mayor duración usable, aquí tenéis un kb que detalla diferentes casos en que cambia el tombstoneLifetime.

También debemos estar atentos a que el parámetro tombstoneLifetime debe ser siempre bastante superior al tiempo que lleva a un objeto a replicarse en todos los controladores de dominio, ya que si no es así puede que un objeto se borre en unos controladores si y otros no. Para editar estos dos parámetros lo podemos hacer a con la herramienta ADSI Edit (ADSIEDIT.msc)

Categorias: backup directorioactivo

ADSI Edit

astu — Tue, 21 Mar 2006 21:00:00 +0000

ADSI Edit es una utilidad que forma parte de las Support Tools que incluye Microsoft en el CD de instalación de Windows en el directorio /SUPPORT/TOOLS. Esta pequeña aplicación nos permite ver y modificar el esquema del directorio activo por lo que debe ser manejada con muchísimo cuidado ya que si modificamos erróneamente algún parámetro se puede corromper este ya que la herramienta no incorpora ningún tipo de control de errores sobre la edición y estos cambios se producen de manera inmediata.

Por defecto se nos abrirán los contextos de nombre de dominio (domain), esquema (schema) y configuración (configuration), si queremos conectar a algún contexto de denominación (name context) adicional o bien a global catalog en lugar del LDAP estándar se puede hacer haciendo click sobre el nodo ADSIEdit y eligiendo connect to.., también podemos elegir unas credenciales o dominio diferentes.

Para utilizar esta consola es necesario registrar una librería DLL incluida en el paquete ya que de otra manera nos aparecerá un error y no se llegara a abrir ADSI Edit, para ello hay que ejecutar el comando regsvr32 adsiedit.dll y nos aparecerá un mensaje informándonos de que se ha registrado correctamente la librería, este pequeño truco para que ADSI Edit funcione nos lo podemos ahorrar si instalamos las Support Tools mediante el fichero MSI incluido. Otro de los errores habituales que se produce es que si no estamos autenticados con usuario del dominio se producirá un error al arrancar la aplicación, la solución consiste en ejecutar una consola MMC primero (simplemente escribir MMC Ejecutar) y después abrir desde ahí el .msc correspondiente a ADSI Edit.

Categorias: activedirectory tools

Niveles funcionales de bosque en Windows Server 2003

astu — Mon, 09 Jan 2006 22:00:00 +0000

A diferencia de Windows 2000 donde solo teníamos niveles de dominio mixto y nativo en Windows 2003 aparte de los cuatro diferentes niveles de dominio también tenemos tres niveles de forest diferentes, que son los siguientes:

Windows 2000: este es el nivel por defecto tanto para dominios migrados desde 2000 como para nuevos dominios de Windows Server 2003, aquí ninguna de las nuevas características de 2003 a nivel de bosque es aplicada excepto la nueva replicación diferencial y otras mejoras relacionadas con Global Catalog (GC), las particiones de active directory para aplicaciones y la opción de realizar un dcpromo instalando el directorio activo desde un backup. Debemos tener en cuenta que debemos mantener este nivel si deseamos tener algún domain controller de Windows 2000 o PDC/BDC de Windows NT presente.

Windows Server 2003 Provisional (interim): nivel análogo del nivel de dominio, al igual que con nivel de dominio esta pensado para un entorno que se encuentre realizando una migración a 2003. Podemos tener tanto controladores de dominio de 2003 como PDC/BDC de NT4 y a nivel de funcionalidad tenemos la misma que en el nivel de bosque Windows 2000 con algunas mejoras que introduce Windows 2003 a nivel de replicación intersite y algunas nuevas clases de Global Catalog.

Windows Server 2003: en este nivel solo se soporte controladores de dominio de Windows Server 2003 y tenemos toda la funcionalidad completa de 2003, a las nuevas características nombradas anteriormente hay que añadir la capacidad para renombrar dominios, cambios en el objeto InetOrgPerson, grupos de aplicación, cross forest trust (relaciones de confianza mutua entre bosques) y la habilidad para poner en estado defunt (desactivar) objetos del esquema lo que puede ser útil si realizamos una instalación fallida de Exchange u otra aplicación que modifique el esquema del directorio activo. Por supuesto es necesario que todos los dominios del bosque tengan nivel funcional Windows Server 2003 para poder pasar a este nivel de bosque.

Para elevar el nivel de bosque, al igual que para el de dominio, tenemos que ir a la consola Dominio y confianzas de Active Directory, seleccionar el bosque a modificar, ir a Todas las tareas o hacer click con el botón derecho sobre el bosque y escoger la opción Elevar el nivel funcional del bosque... tras lo que nos aparece un pequeño cuadro de dialogo con el nivel al que deseamos cambiar.

Esta operación es irreversible por lo que debemos estar seguros que no nos será necesario añadir ningún controlador de dominio que sea incompatible con el nuevo nivel de bosque.

Categorias: directorioactivo

Politicas de restricción de software

astu — Sun, 05 Mar 2006 20:10:00 +0000

Windows Server 2003 y Windows XP permiten restringir el uso de software a través de políticas, gracias a esto se puede evitar que se ejecute software no deseado. Estas políticas se pueden aplicar tanto a nivel de usuario como de equipo con lo que será posible adaptarlo a las necesidades del entorno, así que podemos encontrar esta directiva dentro de Configuración de Windows -> Configuración de seguridad tanto el el nodo de configuración del equipo como el de configuración de usuario. Para comenzar a crear una política solo tenemos que hacer click con el botón derecho o bien ir a acciones y en ambos casos hacer click sobre Nuevas directivas de restricción de software.

Si echamos un vistazo a la política podemos ver distintos objetos de configuración, Niveles de seguridad (security levels) se refiere a los dos métodos base que existen de restricción del software. Ilimitado (unrestricted), se trata del método utilizado por defecto también conocido como blacklisting que consiste en permitir que se ejecute todo el software excepto el que se especifique como no permitido. El otro método disponible es No permitido (disallowed), que hará whitelisting es decir que solo permitirá ejecutar los programas que nosotros especifiquemos, este método es mucho mas seguro. Tras seleccionar este método los ficheros que vamos a permitir ejecutar o no según si usamos ilimitado o no permitido se filtraran mediante las Reglas adicionales (additional rules).

Editores de confianza (trusted publishers) nos permite seleccionar quien puede configurar una confianza con un determinado editor, esto es especialmente relevante a la hora de aceptar la instalación de controles ActiveX y aceptación de certificados por lo que es recomendable que solo se lo permitamos a los administradores.

Obligatoriedad (enforcement), aquí nos permite también aplicar las reglas de restricción de software también a bibliotecas DLL de forma que si estamos en modo no permitir habría que agregar esas bibliotecas. Igualmente nos permite seleccionar si se deben aplicar o no las políticas a los administradores locales.

Tipos de archivos designados (designated file types), en esta opción podemos elegir a que tipos de ficheros se aplicaran las restricciones, por defecto todos los tipos habitualmente ejecutables como .exe, .bat, .msi, .vbs... estan incluidos, podemos tanto eliminar algún tipo como incluir uno nuevo simplemente escribiendo la extensión.

Existen cuatro tipos de Reglas adicionales según el método en el que basa para asignar restricciones o excepciones, por defecto están incluidos todos los ficheros del sistema mediante varias reglas de ruta de acceso con nivel de permiso ilimitado.

Regla de certificado (certificate rule), se puede añadir un certificado firmado por el fabricante del software de forma que todo el software de ese fabricante se pueda ejecutar.

Regla de hash, se nos solicitara que apuntemos al fichero para generar un hash único que identificara al fichero, esto permitirá que se restrinja su uso independientemente de su nombre o localización, esto nos puede servir para restringir el uso de una versión concreta de un programa. Esta técnica es similar a la que usan los antivirus para localización de ficheros infectados.

Regla de zona de Internet (internet zone), este tipo de regla solo se aplica a paquetes .MSI bajados a través de Internet Explorer y restringe su uso dependiendo del tipo de zona de Internet de donde se haya descargado el fichero.

Regla de ruta (path), esta regla nos permite tanto fijar restricciones directamente para un directorio o fichero concreto como hacerlo indirectamente apuntando a una entrada del registro que a su vez referencia a una ruta de fichero o directorio como por ejemplo se puede ver en las rutas que vienen definidas por defecto.

En un articulo de su blog, Mark Russinovich (de Sysinternals) explica como saltarse este tipo de software restriction policies si es están en modo blacklisting. Recordad que al implementar este tipo de políticas para que se apliquen al usuario o equipo es necesario reiniciar la sesión y también que esto solo funciona sobre XP y 2003, NO sobre Windows 2000.

Categorias: seguridad directorioactivo

Libros

astu — Mon, 13 Mar 2006 23:01:00 +0000

He descubierto que en ebay entre cachivaches de toda clase hay autenticas gangas de libros totalmente nuevos. Como siempre me han atraído mucho los dibujitos de las portadas de O'reilly y he aprovechado para comprar algunos libros de varios temas que me despiertan cierto interés últimamente.

Categorias: varios

Sitios en Active Directory

astu — Sun, 12 Mar 2006 22:49:00 +0000

Los sites (sitios) del directorio activo son la representación lógica de como se encuentran distribuidos los equipos físicamente, así posicionaremos en un mismo site todos los equipos que se encuentren interconectados mediante una red de alta velocidad o LAN mientras que estarán en distintos sites los equipos que se encuentren conectados mediante un enlace de baja velocidad (WAN). Al igual que a las OU's y los dominios también de pueden aplicar directivas de grupo (GPO) a los sites de manera que los podemos considerar una unidad también a nivel administrativo. Un dominio puede contener uno o mas sites, mientras que un mismo site a su vez puede tener uno o mas dominios. Para administrar los sitios disponemos de la consola de Sitios y servicios de Active Directory (Active Directory Sites and Services).

Para cada site debemos crear uno o varios objetos de subred (subnets) de forma que definamos su ámbito de direcciones IP, cuando se añado un nuevo controlador de dominio automáticamente se unirá al site que corresponda a su rango IP o también nos será posible moverlo a un site manualmente. La razón por la que solo se añaden domain controllers y no otros equipos es porque el cometido de los sites en active directory es tanto crear una topología lógica de replicación que directamente relacionada con la topología física de red, por diseño del directorio activo los clientes usaran si esta disponible el controlador de dominio mas cercano por tanto el de su site sin necesidad de añadirlos a ningún site específicamente. Por defecto al crear un dominio se crea siempre el site Nombre-predeterminado-primer-sitio (Default-First-Site-Name) a donde van a parar todos los domain controllers que creemos antes de fijar distintos sites, podemos renombrar este u otros sites sin ningún tipo de problema aunque puede ser necesario reiniciar los DC afectados o al menos el servicio Netlogon.

Para plasmar directamente en la topología de replicación como se encuentran interconectados los distintos sites se usan los vinculos a sitios (site links) que unen a dos o mas sitios y definen si el transporte de datos se realizara mediante RPC o SMTP si la replicación se produce de forma asíncrona al no tener una conexión permanente o no estar correctamente enroutada entre ambos sites, también se nos muestra la opción IP que se trata de RPC sobre IP. Por defecto siempre se crea un vínculo entre sitios llamado DEFAULTIPSITELINK donde están incluidos todos los sitios.

  - Costo (link cost), la replicación siempre se realizara a trabes de la ruta que ofrezca el costo menor o suma de costos menor si esta comprende mas de un vinculo de sitios, por defecto el coste es 100.
  - Programación (replication schedule), indica las horas y días en las que se puede realizar la replicación.
  - Replicar cada, especifica la frecuencia de replicación, por defecto es de 180 minutos.

Existe la posibilidad de controlar la replicación entre sites que no están conectados directamente si prescindimos del vinculo por defecto DEFAULTIPSITELINK, se trata del puente de vínculos a sitios (site link bridge). Consiste en unir dos o mas vinculos de sitios de forma que se puedan comunicar aunque no exista conectividad directa entre los dos extremos, esto sobre todo es útil para redes que no tienen enrutamiento completo o entornos de directorio activo con gran numero de sites.

En los vinculos entre sitios la replicación entre sites siempre se produce a través de un controlador de dominio predeterminado, es el conocido como Servidor cabeza de puente (bridgehead server), lo podemos fijar tanto para protocolo IP (RPC) como SMTP si vamos a las propiedades del controlador de dominio dentro del directorio Servers de cada site.

Categorias: directorioactivo

Descripción de roles FSMO.

astu — Thu, 01 Dec 2005 20:02:00 +0000

El directorio activo es básicamente un sistema multi-master es decir que todos los controladores de dominio pueden escribir los cambios realizados y en caso de que se hayan realizado modificaciones distintas sobre un mismo objeto en dos o mas controladores la que permanece es la ultima que se haya realizado.

Esto ocurre a diferencia del modelo de dominio de NT 4 y 3.51 en el que había un único master (single-master) que era el PDC y por el que debían ser procesados todos los cambios. Sin embargo para ciertas tareas, por su naturaleza, se ha seguido utilizando este modelo en lo que llamamos roles de FSMO (Flexible Single Master Operation). Hay cinco roles distintos, tres que son necesarios a nivel de bosque, mientras que dos son necesarios en cada dominio.

Schema master - Maestro de esquema: lleva el control de las actualizaciones que se producen en el esquema del directorio (ldap), no es un servicio muy critico ya que principalmente nos será necesario cuando debamos hacer un adprep ya sea para instalar exchange o para introducir controladores de dominio de 2003 en un entorno Windows 2000. Debe haber uno por bosque.
Domain naming master - Maestro de nombres de dominio: Es el responsable de controlar si se añaden o eliminan dominios del bosque. Si tenemos un problema con un dcpromo al añadir un nuevo dominio o eliminarlo es uno de los primeros puntos que debemos revisar.
RID master - Maestro de identificadores relativos: hay uno por bosque y es el encargado de suministrar en lotes a los controladores de dominios identificadores relativos (RID), esto se produce cuando el controlador entra en funcionamiento y cuando se queda sin mas. Con el RID y el SID de cada dominio se crean identificadores únicos para cada objeto del dominio.
PDC emulator - Emulador de PDC: debe haber un emulador de PDC por dominio. Como parece obvio emulara el PDC si tenemos aun un entorno con BDC’s, si nuestro entorno es 2000/2003 entonces todavía tendrá importantes tareas como llevar la sincronización de la hora y centralizar cambios de passwords, bloqueos de usuarios e intentos fallidos de introducir la contraseña.
Infrastructure master - Maestro de infraestructura: Debe haber uno en cada dominio y su función consiste en actualizar la SID y Distinguised Name (DN) de un objeto cuando se hace una referencia entre objetos de diferentes dominios. Este tipo de referencias se hace mediante el GUID, el SID y el DN.

Podemos asignar todos los roles a un mismo controlador de dominio pero dependiendo de las necesidades de nuestro entorno probablemente esto no sea lo mas adecuado, también debemos intentar que estos roles esten en maquinas lo mas estables posible ya que algunos son vitales para un correcto funcionamiento del dominio. Además también hay que tener en cuenta que no debemos asignar el rol de maestro de infraestructura a un controlador de dominio que sea a la vez global catalog a menos que todos los controladores del dominio sean global catalog ya que no actualizaría la información de objetos que no tiene lo que ocurre porque el catalogo global contiene copias parciales de todos los objetos del bosque.

Categorias: fsmo windows

Herramientas de diagnostico de servicios de red en Windows

astu — Sun, 25 Dec 2005 14:42:00 +0000

Para cuando se nos presente un problema de conectividad o funcionamientos con un servicio de red en Windows disponemos de una gran variedad de herramientas de diagnostico en el CD de Windows, mas concretamente, en el directorio /SUPPORT/TOOLS que nos permitirán localizar los problemas además también nos servirán para realizar comprobaciones del estado de funcionamiento de los servicios de red. Os ofrezco una breve explicación de las características de cada una de ellas basada en la versión de Windows Server 2003 SP1 aunque los cambios son mínimos respecto a versiones anteriores, si queréis comprobar la sintaxis simplemente ejecutar "HERRAMIENTA /?" desde la línea de comando de Windows.

BROWSTAT.exe: nos sirve para localizar el Master Browser, especialmente útil si aun tenemos un dominio de NT ya que aunque se sigue soportando el servicio browser ya se encuentra en desuso.

DCDIAG.exe: una herramientas de las mas útiles entre las Support Tools, permite comprobar el estado de un controlador de dominio mediante la realización de una serie de tests que van desde la verificación de la correcta conexión de la topología de red a la comprobación del estado de los roles FSMO.

DHCPLOC.exe: nos permite ver los servidores de DHCP (Dynamic Host Configuration Protocol) que se encuentran en nuestra su red y nos muestra, si es el caso, si alguno de ellos no esta autorizado en el Directorio Activo.

DNSCMD.exe: con esta herramienta podemos realizar prácticamente cualquier tarea administrativa del servidor de DNS al que conectemos.

DNSLINT.exe: gracias a dnslint podemos detectar problemas comunes en la resolución de nombres como que los registros SRV sean erróneos, tengamos la delegación de dominio o subdominios mal configurada o bien falten registros o estos sean erróneos.

GETSID.exe: nos permite comparar el SID de dos cuentas en dos domain controllers distintos sobre todo no es especialmente útil para verificar la consistencia de ambas bases de datos.

IASPARSE.exe: convierte los logs de un servidor de Internet Authetication Service en un servidor a un formato amigable para que lo podamos usar para propósitos varios.

NETCAP.exe: es la versión en línea de comando del Network Monitor, de hecho instalara el driver que usa este si no lo tenemos instalado.

NETDIAG.exe: con esta herramienta podemos diagnosticar la cause de problemas de red y conectividad realizando tests contra distintos servicios y parámetros.

NETDOM.exe: a través de netdom podemos realizar todo tipos de tareas relacionadas con la administración de cuentas de equipo: renombrar equipos, tareas relacionadas con el canal seguro (secure channel), unir un equipo a un dominio, crear cuentas de equipo. Además también nos permite realizar todo tipo de tareas administrativas en las confianzas (trusts) establecidas en dominios, bosques y realms de Kerberos. La gran mayoría de la funcionalidad que nos ofrece se puede realizar también desde la consola de Usuarios y Equipos de Directorio Activo (Active Directory Users and Computers).

NLTEST.exe: podemos utilizar esta herramienta para realizar distintas tareas como: comprobar el estado de una relación de confianza y replicación de un controlador de dominio, apagar un equipo remoto, obtener una lista de controladores de dominio y comprobar el estado del canal seguro establecido entre un equipo y el dominio.

PORTQRY.exe: se trata de simplemente un escáner de puertos TCP y UPD, de todas maneras me quedo con NMAP como tool de referencia en este tema aunque Microsoft haya querido impedir que se ejecutara en Windows XP SP2.

REPADMIN.exe: nos permite comprobar la topología de replicación desde cada controlador de dominio, forzar la replicación y crear manualmente la topología de replicación entre domain controllers. En principio no deberíamos tocar la topología de replicación ya que Knowledge Consistency Checker (KCC) es el encargado de generarla.

Categorias: networking seguridad directorioactivo dns

Diccionario básico PKI

astu — Sun, 19 Feb 2006 19:51:00 +0000

Espero publicar algunos artículos sobre uso de SSL y certificados en diferentes infraestructuras cuando disponga de algo mas de tiempo libre, entretanto dejo una breve descripción de los principales elementos que componen una infraestructura de clave publica (PKI).

PKI (public key infrastructure, infraestructura de clave publica): una PKI provee la posibilidad de intercambiar datos a través de una red publica de forma segura usando criptografía de clave publica. Una PKI consiste de diferentes elementos; entidades emisoras de certificados (CA), directorios que guardan estos certificados y certificados x.509 que son emitidos a entidades de seguridad en la red.

Entidad emisora de certificados / Certificate Authority (CA): se trata de una entidad que emite certificados y que asegura que la clave publica (public key) que se encuentra en un certificado emitido por ella pertenece realmente a la persona, organizacion o entidad que se especifica en el mismo certificado.

Authority Information Access (AIA): una extensión de certificado que contienes direcciones URI donde obtener el certificado de la CA emisora. Puede contener direcciones HTTP, FTP, LDAP o URLs de ficheros.

Certificate Revocation List (CRL): una lista firmada digitalmente emitida por una CA que contiene una lista de certificados emitidos por la CA que han sido revocados con su correspondiente razón de forma que se consulta para comprobar si los certificados han sido recovados y porque.

CRL Distribution Point (CDP): una extensión del certificado que nos indica donde se puede obtener la CRL de una CA, puede contener múltiples direcciones de fichero, HTTP, FTP o URLs LDAP.

Delta Certificate Revocation List (Delta CRL): un tipo de CRL que nos indica los cambios realizados respecto a la revocación de certificados que han sido hechos desde la publicación de la ultima CRL completa, se usa para ahorrar ancho de banda en entornos donde se revocan gran numero de certificados.

Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP): se trata de un protocolo que permite validar en tiempo real el estado de un certificado. CryptoAPI llamara al servicio OCSP y este proveerá una respuesta inmediata del estado de validación del certificado. Habitualmente OCSP realizara una consulta contra una CRL para obtener esta información.

Categorias: pki

Uso y sintaxis de NETDOM para renombrar un DC

astu — Sun, 12 Feb 2006 22:39:00 +0000

NETDOM.exe nos permite gestionar desde la línea de comando gran parte de la administración de un dominio en cuanto a la gestión de cuentas de equipos, relaciones de confianza e inclusos en dominios con nivel funcional Windows Server 2003 renombrar un controlador de dominio. NETDOM lo podemos encontrar entre las Support Tools que se incluyen en el CD de Windows Server 2003, también es posible ejecutarlo desde Windows XP para lo cual es necesario instalar previamente el Administration Tools Pack (adminpak.msi).

Renombrar un controlador de dominio no equivale a renombrar el dominio ni el bosque, tampoco es posible renombrar domain controllers que sean CA (Certificate Authority / Entidad Emisora de Certificados) debido a la naturaleza del servicio donde preservar el nombre de equipo es fundamental.

### El primer paso es añadir un nombre alternativo al domain controller que
### queremos renombrar, en lugar de su FQDN podemos indicar su IP.

> NETDOM COMPUTERNAME sqlserver.pruebas.int /add:nuevonombre.pruebas.int

Successfully added nuevonombre.pruebas.int as an alternate name for the computer. The command completed successfully.

### Esperaremos que el cambio replique a traves de los DNS
### una vez lo haya hecho lo configuramos como nombre primario

> NETDOM COMPUTERNAME sqlserver.pruebas.int /makeprimary:nuevonombre.pruebas.int

Successfully made nuevonombre.pruebas.int the primary name for the computer.
The computer must be rebooted for this name change to take effect. Until then this
computer may not be able to authenticate users and other computers, and may not be
authenticated by other computers in the forest. The specified new name was removed
from the list of alternate computer names. The primary computer name will be set to
the specified new name after the reboot. The command completed successfully.

### Reiniciamos y esperamos que el cambio de nombre primario replique. Podemos ver en
### el equipo el nombre primario mediante el comando hostname o bien ver todos
### los nombre asociados al equipo en orden desde cualquier equipo ejecutando:

> NETDOM COMPUTERNAME nuevonombre.pruebas.int /enum"

All of the names for the computer are:
nuevonombre.pruebas.int
SQLSERVER.pruebas.int
The command completed successfully.

### Ahora podemos mantener el viejo nombre durante un tiempo para asegurar el
### funcionamiento correcto o eliminarlo inmediantamente mediante:

> NETDOM COMPUTERNAME nuevonombre.pruebas.int /delete:SQLSERVER.pruebas.int

Successfully removed SQLSERVER.pruebas.int as an alternamte name for the computer.
The command completed successfully.

### ya esta!

Disponemos de dos parámetros aplicables a todas las acciones, si queremos ver con detalle las operaciones que realiza NETDOM debemos usar el parámetro /verbose que nos enumerara las acciones que realice de manera que podemos detectar posibles fallos. Si nos es necesario reiniciar el equipo en cuestión sobre el que realicemos alguna acción podemos especificar el parámetro /reboot que por defecto realizara el reboot 20 segundos después de la ejecución con exito del comando. Si lo que necesitamos es ayuda con la sintaxis especifica de alguna opción podemos usar simplemente NETDOM HELP OPCION o bien NETDOM OPCION /?.

Para otros ejemplos distintos de uso de todas las opciones podéis ver ejemplos de uso de NETDOM para todo tipo de tareas ademas de la sintaxis completa de NETDOM, ambos cortesía de la pagina de TechNet.