DNS – Dominios y la Zona “_msdcs”

Estoy notando hace un tiempo que muchos administradores de Active Directory no tienen el conocimiento necesario respecto de la resolución de nombres DNS que hace la zona “_msdcs”

Aunque creo que a esta altura ya todos conocemos que el funcionamiento correcto de un ambiente Active Directory se basa en la resolución de nombres de DNS, este servicio no sólo es utilizado para la resolución de nombres, sino también para que las máquinas puedan encontrar qué equipos proveen determinados servicios, y en este caso específico veremos algunos de los de un ambiente de Dominio Active Directory

Problemas en los registros de esta zona, son los que provocan que clientes no se pueden unir al Dominio, errores en la replicación, fallas de autenticación, etc.

Sigue leyendo →

Configurar DHCP en Ambientes Virtualizados

Al crear una ambiente virtualizado con múltples máquinas virtuales en diferentes clases de redes automatizar la configuración IP para cada red no siempre es algo sencillo

Podemos tener un servidor DHCP para cada red, o inclusive tener un único servidor DHCP, real o virtual, conectado a cada una de las redes (Servicio DHCP para Múltiples Redes) utilizadas, pero en este caso además de que cada red debe recibir configuración apropiada también debemos agregar seguramente servidor DNS, puerta de enlace, y por qué no, que las máquinas virtuales reciban por ejemplo menores tiempo de uso

Recordemos que no es conveniente tener más de un servicio DHCP sobre el mismo segmento de red, salvo que se haga una configuración específica (Windows Server 2012 – Demostración DHCP Tolerancia a Fallas (DHCP Failover), porque no podemos tener control sobre de cuál de ellos asignará configuración a los clientes

Sigue leyendo →

Simular Internet Virtual – Acceso a Internet Real

Continuando esta serie de notas sobre cómo simular Internet en nuestra red interna para poder tener un ambiente de pruebas, en esta nota veremos cómo darle acceso a Internet real a la infraestructura que ya tenemos creada

Recuerdo la infraestructura que tenemos preparada y que ha sido desarrollada en las notas anteriores

• Simular Internet en Virtual – Servicio DNS y Servidor Web
• Simular Internet Virtual – Autoridad Certificadora
• Simular Internet Virtual – Publicar Sitio Web Seguro de la Autoridad Certificadora
• Simular Internet Virtual – Instalar y Configurar una Máquina que Comparta Internet en Red Interna

Sigue leyendo →

Simular Internet Virtual – Instalar y Configurar una Máquina que Comparta Internet en Red Interna

En las notas anteriores hemos hecho la configuración de una máquina que simula ser un servidor en Internet, donde hemos configurado DNS, Autoridad Certificadora, y DHCP

• Simular Internet en Virtual – Servicio DNS y Servidor Web
• Simular Internet Virtual – Autoridad Certificadora
• Simular Internet Virtual – Publicar Sitio Web Seguro de la Autoridad Certificadora

Para esta nota debemos crear dos nuevas máquinas virtuales, una que emulará un “Router/NAT” compartiendo la conexión a Internet, y otra máquina que estará en un red interna, pero que podrá acceder a nuestra “Internet simulada” creada anteriormente

Sigue leyendo →

Simular Internet Virtual – Publicar Sitio Web Seguro de la Autoridad Certificadora

Habiendo configurado en la nota anterior “Simular Internet Virtual – Autoridad Certificadora” lo que haremos en esta nota es la configuración de un sitio web seguro, que es un requisito para poder obtener Certificados Digitales  desde un navegador web

Son interesantes ciertos pasos, porque al estar en Grupo de Trabajo, no podremos usar el asistente de la consola de Certificados, ni podremos pedir el Certificado en forma directa a través de la interfaz web, ya que se necesita el Certificado del servidor y aún no ha sido otorgado

El único Certificado creado hasta ahora es el propio Certificado de la Autoridad Certificadora, que no es lo mismo que el de la máquina en sí misma

Sigue leyendo →

Simular Internet Virtual – Autoridad Certificadora

En la nota anterior “Simular Internet Virtual – Servicio DNS y Servidor Web” dejamos preparada la infraestructura de base, y en esta continuaremos instalando y configurando algunos servicios que pueden resultar muy útiles, y me refiero especialmente a la emulación de una Autoridad Certificadora de tipo comercial, que nos servirá no sólo como aprendizaje en sí mismo, sino que luego la utilizaremos para obtener Certificados Digitales para las máquinas de nuestro ambiente de pruebas

En la siguiente nota haremos la configuración del Sitio Web Seguro (HTTPS) para luego poder obtener Certificados Digitales desde la interfaz web de la Autoridad Certificadora; esta configuración tiene un par de “trucos” que es interesante conocer

Sigue leyendo →

Simular Internet en Virtual – Servicio DNS y Servidor Web

En las estadísticas del blog, son muy pocos los términos de búsqueda usados para llegar al blog que puedo ver, pero entre ellos observo que hay uno que se repite con frecuencia, que es cómo simular o emular Internet en virtual para un ambiente de pruebas

En esta primera nota comenzaré con lo más básico, como es la configuración de un servidor que simulará un servidor de Internet, con las funcionalidades básicas de DNS y WWW, también emulando poco ancho de banda de red

En las siguientes notas continuaré agregando servicios que bien pueden servir para más pruebas, como son por ejemplo emular una Autoridad Certificadora de tipo comercial para obtener Certificados Digitales

Y luego poder seguir adelante con temas como configurar acceso de una red privada emulada a este servidor mediante el habitual NAT, acceso a un servidor web seguro (HTTPS), salida a Internet real a través de un Router adicional, conexiones por VPN “Client to Site” y “Site to Site”. Todo por supuesto de acuerdo al interés que despierte esta serie de notas

Sigue leyendo →

Servicio DHCP para Múltiples Redes

He visto últimamente varias consultas sobre el servicio DHCP, y más específicamente relativas al tema de que un único servicio DHCP pueda suministrar configuración IP a máquinas en diferentes redes. O inclusive dar por sentado que hay que tener un servicio DHCP en cada red, y esto no es así

También dudas sobre si un servicio DHCP tiene varios ámbitos de direcciones cómo sabe de cuál debe seleccionar la configuración a otorgar

Todo esto se soluciona con un componente poco conocido de los “Routers” llamado “DHCP Relay Agent”, que en algunos ambientes también es conocido como “IP Helper”

Inclusive, aunque no entraré en esta nota, el uso de “DHCP Relay Agent” es una de las formas posibles de tener tolerancia a fallas del servicio DHCP en ambiente de más de una red

Sigue leyendo →

DHCP: Asignar Configuración Unicamente a Máquinas del Dominio

Hay una pregunta que he visto varias veces en los foros de soporte, o que me han hecho: “¿Cómo puedo hacer para que las máquinas que no son del Dominio no reciban configuración desde el servicio DHCP?”

Siempre he dado la respuesta “No se puede. Porque para que identifique que pertenece al Dominio o no, primero debe asignarle dirección IP para la comunicación”

Tengo que reconocerlo, estaba equivocado. Se puede hacer, y no es complicado

En casi todos los casos la pregunta estaba relacionada a que si alguna persona externa conectara su propia máquina a la red de la organización, no pudiera ni conectarse a las máquinas, ni salir a Internet

Sigue leyendo →

Hyper-V: Los Diferentes Clases de Redes – Diagrama de Conectividad

En cualquier sistema de virtualización se pueden crear diferentes clases de redes, y aunque todos ofrecen características muy similares, hay diferencia en la forma de nombrarlas. Específicamente los que cambiamos de VMware a Hyper-V, o quizás sólo a mí, una de las dificultades fue el cambio de “network” a “switch”

Aún hoy en día, y luego de ya varios años en el tema, sigo recibiendo consultas sobre en qué clase de red conectar cada máquina virtual para que pueda … (reemplazar los puntos suspensivos por el caso de cada uno)

Así que con no poco trabajo hice un diagrama de conectividad de las diferentes clases de redes en Hyper-V

Sigue leyendo →

Resolución de Problemas de Conectividad (No puedo conectarme a …) – Cortafuegos y Servicio que Espere Conexión

Ya vistos los pasos para la resolución de problemas de conectividad que hemos hecho en las dos notas anteriores:

• Resolución de Problemas de Conectividad (No puedo conectarme a …) – Conectividad IP
• Resolución de Problemas de Conectividad (No puedo conectarme a …) – Resolución de Nombres

Si tenemos conectividad IP, y además resolvemos correctamente el nombre de la máquina destino, nos queda esta última parte, donde veremos los motivos para no poder acceder a un servicio o aplicación

Es muy común ver la pregunta “¿cómo hago para abrir X puerto?” cuando en realidad no es solamente esa condición para poder conectarse a un servicio o aplicación, sino que además y muy importante es que dicho servicio o aplicación esté esperando, “escuchando» decimos, recibir esa conexión

No sólo debe estar el puerto abierto, sino que además debe haber algo que escuche, que espere recibir la conexión remota

La mayoría de las aplicaciones y servicios propios de Windows, al instalarlas o habilitarlas automáticamente modifican el cortafuegos abriendo el o los puertos correspondientes, pero no todas las de terceros lo hacen

Sigue leyendo →

Resolución de Problemas de Conectividad (No puedo conectarme a …) – Resolución de Nombres

Si ya leyó la nota anterior (“Resolución de Problemas de Conectividad (No puedo conectarme a …) – Conectividad IP”), en esta comenzaremos con el segundo posible problema que es el llamado resolución de nombres, ya que normalmente cuando se desea conectar desde una máquina a otra no usamos la dirección IP sino el nombre de la misma

Si podemos conectar dos máquinas usando la dirección IP, pero no el nombre, entonces, el problema es que no se puede resolver el nombre, o se resuelve pero a una dirección incorrecta

Resolución de nombres es el proceso de a partir de un nombre de máquina, obtener la dirección IP correspondiente

Esta parte tiene muchas posibilidades porque hay diferentes nombres (Nombre NetBIOS, Hostname y FQDNs (“Fully Qualified Domain Names”) cada uno con sus características y métodos propios de resolución, e inclusive depende su uso si el ambiente es de Grupo de Trabajo o Dominio Active Directory, la aplicación usada, la versión del sistema operativo, y como si fuera poco cómo está configurado

Sigue leyendo →

Resolución de Problemas de Conectividad (No puedo conectarme a …) – Conectividad IP

Creo que uno de los problemas más veces preguntado es “¿Por qué no puedo conectarme a una máquina o servicio? Es una de las preguntas que se repite constantemente en los foros de soporte, o inclusive puedo verlo a veces en las palabras de búsqueda que llegan a este blog

E inclusive muchas veces la pregunta está formulada como “No puedo ver a …” determinada máquina. Esto es totalmente diferente a tener conectividad o no. Cuando alguna pregunta comienza así generalmente es porque la está buscando por el entorno de red, y esto no tiene relación con poder conectarse o no. El entorno de red está creado por servicios que son totalmente independientes de los protocolos que permiten conectividad. “Verla” no siempre permite conectarse, y “Conectarse” no implica siempre poder verla :)

Así que voy a hacer dos o tres notas, sobre este tema, que en realidad involucra tres temas diferentes:

1. Conectividad IP
2. Resolución de nombres de máquina
3. Cortafuegos y existencia de servicio que espere conexión

En esta primera nota comenzaré con el tema conectividad IP

Sigue leyendo →

Primer Inicio de Sesión por VPN

Trasladar una máquina de la red de la empresa fuera de la red, como todos sabemos, no causa problemas de inicio de sesión con una cuenta de usuario de Dominio, esto es así porque si el usuario ya había iniciado sesión en ese equipo, entonces localmente hay “cacheada” una copia de la contraseña, por lo cual no ofrece ningún problema inciar sesión con una cuenta del Dominio

Pero ¿qué sucede si se tratara de un usuario que nunca inció sesión anteriormente en dicho equipo? la respuesta es que no podrá hacerlo, ya que no se puede contactar a un Controlador de Dominio

La solución no es compleja: se debería poder tener una conexión VPN a la red del Dominio para permitir la autenticación y autorización del usuario, aún antes del incio de sesión

Esto implica tener que hacer un agregado a la pantalla de incio de sesión que permita el inicio a través de VPN

Sigue leyendo →

Windows Server 2016 – TP5: Creación de Redes NAT (“NAT-Switch”)

Una de las cosas que faltaban en Hyper-V, para proveer las capacidades de productos que compiten, era la posibilidad de crear redes tipo NAT. Esto ya no es así tanto para Windows Server 2016, como para Hyper-V en Windows 10

La creación de estas redes NAT, por lo menos por ahora, no está disponible a través de la interfaz gráfica, pero se puede hacer en forma sencilla a través de PowerShell, son sólo tres líneas de comando

Sigue leyendo →

VMware – Redes en Laboratorio de Pruebas

Los ambientes de prueba, aunque a veces son sencillos, no siempre es el caso. Además uno comienza con una simple configuración que luego va creciendo y complicándose

Las diferentes clases de redes que provee cada aplicación de virtualización a veces generan confusiones, así que en este caso decidí mostrar la configuración de mi ambiente, y explicando cómo y el porqué de cada red

En mi caso todas las máquinas son virtuales, y la aplicación de virtualización es VMware Workstation. Alguno se preguntará el motivo de no usar Hyper-V, y la respuesta es sencilla: hasta Windows Server 2012 R2, Hyper-V no permite anidar virtualización. Se promete para Windows Server 2016, y aunque por ahora en versión beta, lo he probado en “”Nested Virtualization” – [(Virtual en Virtual) en Virtual] en Virtual”

La infraestructura de redes es como muestra el siguiente diagrama, pero vamos a ir revisando de a pasos y cómo se llega

Sigue leyendo →

Conectando Clientes a la Red por VPN – Qué Protocolo Usar

En el blog ya he escrito varias notas sobre el tema de conectar clientes a la red usando VPNs (“Virtual Private Networks”), algunas con Windows Server 2008 y otras con Windows Server 2012 (R2). Pueden consultarlas fácilmente utilizando sobre el margen izquierdo la búsqueda de “VPN”

En esta nota, en lugar de poner el foco en cómo hacerlo, aunque lo muestro, lo dedicaré más al tema de la comparativa entre los cuatro protocolos posibles: PPTP, SSTP, IKEv2 y L2TP-IPSec, y las ventajas e inconvenientes de cada uno

Utilizaré la siguiente infraestructura:

Sigue leyendo →

Cambiar Perfil de Red Pública a Privada o Privada a Pública (Fácil)

Hace varios años, el 22-10-11 para ser exactos, publiqué una nota sobre cómo cambiar de red pública a privada (“Cómo Cambiar en Windows de Red Pública a Privada”) pero hace poco tiempo descubrí un procedimiento mucho más sencillo, y que además puede hacer el cambio en ambos sentidos

El se hace sólo con dos comandos desde PowerShell

Sigue leyendo →

Definir Rutas IPv4 por DHCP

Hay una posibilidad poco utilizada, o conocida incluso, como es la asignación de entradas en la tabla de enrutamiento (“Routing Table”) que puede hacerse mediante el servicio DHCP

Justamente por poco utilizada o desconocida es que he decidido hacer esta pequeña nota

Además, actualmente aún en pequeñas empresas se suelen tener más de una subred IP, donde por un lado se sale a Internet, y por otro se conecta a otras subredes internas

Sigue leyendo →

Reunión: Conectar en Forma Remota a la Red por VPN

La conexión remota a la red de una organización es un tema del que recibo muchas consultas, sobre todo para que los administradores de la red puedan conectarse desde sitios remotos, ya sea una delegación, o inclusive desde su propia casa

Por este motivo es que he preparado una nueva reunión virtual gratuita para el que desee inscribirse y asistir

También servirá para despejar dudas sobre cómo funciona la Capacitación Virtual que ofrezco desde este blog

Lo que demostraré es la configuración de un servidor VPN en ambiente de Dominio, y las configuraciones necesarias para que una cuenta administradora pueda ingresar tanto a recursos compartidos como a Escritorio Remoto para Administración de un Controlador de Dominio, desde una máquina que simula ser personal y desde un ambiente hogareño

Para aprovechar mejor la reunión es necesario que los asistentes tengan conocimientos básicos de IPv4

La haré el Martes 8 de Septiembre en el mismo horario que las anteriores: 14 hs (2:00 PM) GMT-3 con una duración aproximada de 2 horas

El encuentro será, como otras veces, en forma virtual a través de Internet
Utilizaré TeamViewer QuickJoin Free, que es una aplicación que aunque requiere privilegios de administrador local, se puede usar sin instalación. Tengo un tutorial hecho, si alguno no la conoce, o si quiere una ayuda para comenzar a utilizarla, junto con el correo de aceptación de participación enviaré el enlace para acceder al instructivo

Es necesario en forma imprescindible contar con audio, para poder escuchar y si desean para poder hacer preguntas; siempre trato que sea lo más interactiva posible. También pueden preguntar con el sistema de “chat” de la aplicación

El que desee asistir, simplemente ponga un comentario en esta nota (no los publicaré) para así poder enviarle por correo electrónico las instrucciones para inscribirse

Con el objetivo de tener una “reunión” y no una conferencia, limito la cantidad de asistentes y de esa forma poder tener interactividad con preguntas, respuestas, y diferentes puntos de vista
Por lo tanto el que desee anotarse le recomiendo hacerlo lo antes posible para tener reservado su lugar. Respetaré estrictamente el orden de pedidos hasta llegar al máximo de asistentes

Sólo una solicitud muy importante, no anotarse si luego no asisten, ya que la cantidad de asistentes es reducida, y le quitan el lugar a alguien más que desee asistir

Gracias

 

[Actualización]

Ya se he completado la cantidad máxima de asistentes para esta reunión. Tanto que tendré que hacer dos reuniones con este tema

Gracias a todos