Category Archives: Servicios de Red

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 1)


En este blog trato principalmente temas referidas a Active Directory, el cual se apoya fuertemente en la resolución de nombres del servicio DNS, pero veo que en muchos casos hay desconocimiento sobre su funcionamiento y las diferentes configuraciones que se pueden hacer para llegar a una corecta configuración que sea optimizada e inclusive tolerante a fallas

Por esto he decidido un poco volver a las fuentes para comprender las diferentes posibilidades de configuración, desde lo más básico hasta opciones avanzadas

Lo haré de la forma más “primitiva”, esto es, con servidores en grupo de trabajo, sin actualizaciones dinámicas ni seguras; y abarcará desde la resolución de nombres públicos de Internet, hasta un ambiente de múltiples dominos con múltiples Árboles

Al finalizar la serie de notas los objetivos son demostrar:

  • Resolución de nombres públicos de Internet con dos opciones diferentes
  • Resolución de nombres internos
  • Tolerancia a fallas
  • Zonas Secundarias y configuración de transferencias de zona
  • Resolución de nombres de Subdominio, con y sin delegación de zona
  • Reenviadores Condicionales
  • Uso de “Stub Zones” (Zonas de Código Auxiliar), esas desconocidas :)

Seguir leyendo

DHCP: Asignar Configuración Unicamente a Máquinas del Dominio


Hay una pregunta que he visto varias veces en los foros de soporte, o que me han hecho: “¿Cómo puedo hacer para que las máquinas que no son del Dominio no reciban configuración desde el servicio DHCP?”

Siempre he dado la respuesta “No se puede. Porque para que identifique que pertenece al Dominio o no, primero debe asignarle dirección IP para la comunicación”

Tengo que reconocerlo, estaba equivocado. Se puede hacer, y no es complicado

En casi todos los casos la pregunta estaba relacionada a que si alguna persona externa conectara su propia máquina a la red de la organización, no pudiera ni conectarse a las máquinas, ni salir a Internet

Seguir leyendo

Windows Server: Licenciamiento Escritorio Remoto (“Remote Desktop”) – “Terminal Services”


El licenciamiento de Escritorio Remoto (“Remote Desktop”) – “Terminal Services” es uno de los temas difíciles de comprender y administrar en ambiente Windows Server. Las preguntas sobre el tema se ven en todos los foros de soporte, y se repiten constantemente desde hace años

Confieso que fue por pura casualidad, pero encontré unos enlaces que aunque algo desactualizados pueden aclarar bastate el tema

Lo que algunos no van a considerar bueno, porque están en inglés, otros lo vamos a considerar mejor, ya que las traducciones suelen ser confusas o inclusive hasta con errores graves. Algunos de los enlaces tienen traducción automática (cuidado …)

Todo comenzó en este enlace que pongo acá abajo que creo que es el punto incial, ya que trata desde un panorama general, pasando por las diferencias y lo que se puede hacer tanto “Per Device” como “Per User”, la infraestructura necesaria, períodos de gracia, reportes, resolución de problemas, etc.

Seguir leyendo

Windows Server 2016 – Lab – Instalando Roles Remotamente


En esta nota vamos a ver como aprovechando la administración centralizada que realizamos anteriormente de lo servidores podremos instalar y administrar funcionalidades (Roles) remotamente

El proceso es muy sencillo, y utilizaré de ejemplo el servicio DHCP, el cual luego de la instalación lo configuraré

Seguir leyendo

Primer Inicio de Sesión por VPN


Trasladar una máquina de la red de la empresa fuera de la red, como todos sabemos, no causa problemas de inicio de sesión con una cuenta de usuario de Dominio, esto es así porque si el usuario ya había iniciado sesión en ese equipo, entonces localmente hay “cacheada” una copia de la contraseña, por lo cual no ofrece ningún problema inciar sesión con una cuenta del Dominio

Pero ¿qué sucede si se tratara de un usuario que nunca inció sesión anteriormente en dicho equipo? la respuesta es que no podrá hacerlo, ya que no se puede contactar a un Controlador de Dominio

La solución no es compleja: se debería poder tener una conexión VPN a la red del Dominio para permitir la autenticación y autorización del usuario, aún antes del incio de sesión

Esto implica tener que hacer un agregado a la pantalla de incio de sesión que permita el inicio a través de VPN

Seguir leyendo

DNS: Delegación de Dominios


La delegación de Dominios DNS, y su utilización en Active Directory se hace en forma muy sencilla, ya que el proceso de creación de un Dominio, pregunta si deseamos delegar el Domino, y el sistema se encarga de la configuración necesaria

En cambio, cuando se trata de Dominios no Active Directory, por ejemplo Dominios de Internet, la delegación debe hacerse en forma manual, y tiene algún paso que no es tan intuitivo como parece, por ejemplo, DNS no puede delegar un Dominio del cual ya es autoridad

En esta nota veremos cuáles son los pasos y configuraciones para delegar un Subdominio de un Dominio existente, sin Active Directory

Seguir leyendo

Conectando Clientes a la Red por VPN – Qué Protocolo Usar


En el blog ya he escrito varias notas sobre el tema de conectar clientes a la red usando VPNs (“Virtual Private Networks”), algunas con Windows Server 2008 y otras con Windows Server 2012 (R2). Pueden consultarlas fácilmente utilizando sobre el margen izquierdo la búsqueda de “VPN”

En esta nota, en lugar de poner el foco en cómo hacerlo, aunque lo muestro, lo dedicaré más al tema de la comparativa entre los cuatro protocolos posibles: PPTP, SSTP, IKEv2 y L2TP-IPSec, y las ventajas e inconvenientes de cada uno

Utilizaré la siguiente infraestructura:

DiagramaVPN4

Seguir leyendo

Servidores DNS: Repartir la Carga usando DHCP


Uno de los temas que he visto varias veces es cómo hacer para que en un ambiente de Dominio Active Directory se pueda repartir la carga de los clientes entre los diferentes Controladores de Dominio con el servicio DNS

Aunque en realidad hay administradores que no conocen cómo el cliente utiliza la configuración de DNS ;)
Cuando en la configuración de DNS en las propiedades de TCP/IPv4 configuramos tanto manualmente como por DHCP, un DNS preferido y un alternativo, cuándo el cliente se dirige a uno o al otro

El cliente siempre usa el que tenga configurado como preferido, y utiliza el alternativo únicamente si el preferido no responde. Una respuesta negativa es una respuesta, cuidado con esto

Entonces, si por ejemplo en mi red tengo dos Controladores de Dominio con el servicio DNS ¿cómo podría hacer para que algunos clientes utilicen como DNS preferido a uno, y otro usen como DNS preferido a otro?

Es fácil, usaremos “DHCP User Classes” y “DHCP Policies”

Seguir leyendo

Definir Rutas IPv4 por DHCP


Hay una posibilidad poco utilizada, o conocida incluso, como es la asignación de entradas en la tabla de enrutamiento (“Routing Table”) que puede hacerse mediante el servicio DHCP

Justamente por poco utilizada o desconocida es que he decidido hacer esta pequeña nota

Además, actualmente aún en pequeñas empresas se suelen tener más de una subred IP, donde por un lado se sale a Internet, y por otro se conecta a otras subredes internas

Seguir leyendo

Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 5 de 5]


En esta última de la serie de notas que preparé sobre este tema veremos cómo podemos mejorar la seguridad de lo hecho anteriormente utilizando L2TP+IPSec pero con autentificación de máquinas mediante certificados digitales

El cambio en sí es muy sencillo, lo que puede ser de más dificultad es que en esta prueba de laboratorio debemos ahora sí disponer de una Autoridad Certificadora, y un servicio DNS para resolver nombres de máquina

Vuelvo a poner el diagrama para que sea claro lo que estamos haciendo

Seguir leyendo

Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 4 de 5]


En la nota anterior “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 3 de 5]” ya hemos hecho la conexión entre los sitios mediante VPN utilizando PPTP

En esta nota comenzaremos cambiando PPTP con un protocolo más seguro, como es L2TP+IPSec

La utilización de IPSec tiene ventajas en cuanto a seguridad, pero tiene inconvenientes en cuanto a requisitos. Una buena implementación de IPSec requiere por lo menos la utilzación de certificados digitales lo cual en algunos casos puede complicar su implementación

Por lo tanto implementaré primero, y en esta nota, usando “Shared Secret” (Secreto Compartido) que aunque no es lo mismo tiene una fácil implementación, y recién para la siguente nota utilizaré certificados

Recuerdo la infraestructura utilizada

Seguir leyendo

Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 3 de 5]


Y siguiendo con esta serie de notas, teniendo ya configurado RTR1 de la nota anterior “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 2 de 5]” en esta veremos la configuración complementaria que debemos hacer en RTR2

Y además por supuesto haremos y demostraremos la conexión por PPTP

Recuerdo la infraestructura utilizada

Seguir leyendo

Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 2 de 5]


Continuando la nota anterior “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 1 de 5]” y ya teniendo toda la infraestructura hecha, en esta nota vamos a comenzar la configuración

Específicamente en esta ocasión veremos la configuración RTR1, dejando la de RTR2 para la próxima. Quizás alguien se pregunte el motivo de esto, lo hago así pues la configuración es muy parecida, y justamente por ese motivo es que muchas veces se producen inconvenientes, son parecidas pero no iguales

Además, en esta ya crearemos la conexión VPN utilizando PPTP

Para recordar pongo la figura de la infraestructura utilizada. Para esta parte necesitaremos solamente la máquina RTR1

Seguir leyendo

Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 1 de 5]


Hace tiempo hice dos notas sobre el tema de conectar sitios geográficos utillizando una conexión VPN, primero fue con Windows Server 2008, y luego con Windows Server 2012 no R2

Son pocas las diferencias entre W2012 y W2012R2, pero lo que me ha motivado a hacer esta nota es porque el objetivo es demostrar primero PPTP, luego L2TP con “Shared Secret”, y finalmente L2TP con IPSec

Otro objetivo de esta nota, y aprovechando que hemos visto ya varias sobre VMware Workstation, donde preparo todas estas demostraciones, es ver algunas de las configuraciones muy útiles que provee para este tipo de pruebas

Seguir leyendo

Windows Server 2012 R2: Resolución de Nombres de Máquina (Incluye Capturas de Red Explicadas)


Se conoce con “Resolución de Nombres de Máquina” al procedimiento por el cual cuando una máquina quiere contactar a otra, usando el nombre de destino, debe resolver cuál es la dirección IP de la máquina de destino

La posible complicación, es que en realidad, y por omisión, cada máquina perteneciente a un Dominio Active Directory tiene dos nombres que pueden ser diferentes: el nombre NetBIOS, y el “Hostname” que forma parte del FQDN (“Fully Qualified Domain Name”)
Para aclarar y por las dudas, si el “Hostname” es servidor, el FQDN es servidor.dominio.sufijo

Además hay que tener en cuenta que hay métodos para resolución de nombres NetBIOS, y otros diferentes para resolver “Hostnames/FQDNs”; y cada uno tiene un orden en particular que ha cambiado en diferentes versiones del sistema operativo. Y como si fuera poca la complicación, independientemente del nombre que use la aplicación, el sistema si no puede resolver de una forma, intentará por la otra

Vamos a ver el tema, con explicación, de cómo se resuelven los nombres, inclusive con capturas del tráfico de red donde podemos ver realmente cómo trabaja

Seguir leyendo

Autoridad Certificadora – Instalación y Configuración de una Autoridad Certificadora Subordinada Enterprise


Resumiendo lo que hemos hecho hasta ahora en esta serie de notas: hemos instalado una Autoridad Certificadora Raíz de tipo “Standalone” que emula una Autoridad Certificadora comercial. El certificado de esta Autoridad Certificadora lo hemos distribuido a todos los clientes del Dominio Active Directory, como si se tratara de una entidad comercial que participa del programa de Microsoft de Autoridades Certificadoras

En esta ocasión instalaremos una Autoridad Certificadora subordinada a la raíz, pero integrada en Active Directory (“Enterprise Subordinate CA”). Con este tipo de implementación tenemos varias ventajas, sobre un Autoridad Certificadora de tipo “Standalone”, por ejemplo el poder usar plantillas personalizadas, y además al ser propia, tener el control total sobre la misma

Seguir leyendo

Autoridad Certificadora – Distribuir un Certificado de Autoridad Certificadora en Ambiente de Dominio Active Directory


En las notas anteriores hemos instalado una Autoridad Certificadora de tipo Raíz que emula una entidad comercial, y que usaremos en nuestro laboratorio de pruebas

Como nuestra Autoridad Certificadora, por supuesto, no está incluida en las actualizaciones de Windows Update, debemos instalar el certificado de esta Autoridad Certificadora en todas las máquinas que que formen parte de nuestro laboratorio de pruebas

Esto lo podremos hacer fácilmente a través de Directivas de Grupo (GPOs)

Seguir leyendo

Autoridad Certificadora – Crear un Sitio Web Seguro (HTTPS)


Aprovechando la infraestructura que hemos creado en las notas anteriores:

En esta nota veremos cómo configurar un servidor web en modo seguro con HTTPS, y que nos servirá para futuras demostraciones y pruebas

Para que un sitio web seguro (HTTPS) sea confiable para cualquier cliente que se conecte, el certificado digital del servidor debe ser otorgado por una Autoridad Certificadora que el cliente considere confiable.

Y ya que tenemos de las notas anteriores, una Autoridad Certificadora de tipo Raíz, que emula ser de tipo comercial, vamos a mostrar el procedimiento, tanto de obtener los certificados de la Autoridad Certificadora, como uno para el servidor y que será asociado al sitio web

Seguir leyendo

DNS: Resolución de Nombres Mediante “Stub Zones”


Una de las preguntas y dificultades de comprensión de funcionamiento que veo regularmente están relacionadas con el funcionamiento del servicio DNS, y sobre todo cuando hay que resolver nombres entre Dominios diferentes

La resolución entre máquinas de nombres de Dominios diferentes en Active Directory es fundamental cuando se requiere acceso de uno a otro y en especial con Relaciones de Confianza. Esto no presenta en general problemas cuando todo está dentro del mismo Bosque (Forest), pero cuando son diferentes es distinto pues hay que configurarlo

Hay tres métodos diferentes para resolver el problema:

El objetivo de esta nota no es la explicación de cómo es el funcionamiento del servicio, ya que si alguien tiene dudas puede consultar:

En esta ocasión veremos el tercero y menos conocido y eficiente: mediante Zonas de Código Auxiliar (“Stub Zones”)

Seguir leyendo

DNS: Resolución de Nombres Mediante Reenviadores Condicionales


Una de las preguntas y dificultades de comprensión de funcionamiento que veo regularmente están relacionadas con el funcionamiento del servicio DNS, y sobre todo cuando hay que resolver nombres entre Dominios diferentes

La resolución entre máquinas de nombres de Dominios diferentes en Active Directory es fundamental cuando se requiere acceso de uno a otro y en especial con Relaciones de Confianza. Esto no presenta en general problemas cuando todo está dentro del mismo Bosque (Forest), pero cuando son diferentes es distinto pues hay que configurarlo específicamente

Hay tres métodos diferentes para resolver el problema:

El objetivo de esta nota no es la explicación de cómo es el funcionamiento del servicio, ya que si alguien tiene dudas puede consultar:

En esta ocasión veremos el segundo: mediante Zonas Reenviadores Condicionales

Seguir leyendo