Category Archives: Windows Server

DNS – Dominios y la Zona “_msdcs”


Estoy notando hace un tiempo que muchos administradores de Active Directory no tienen el conocimiento necesario respecto de la resolución de nombres DNS que hace la zona “_msdcs”

Aunque creo que a esta altura ya todos conocemos que el funcionamiento correcto de un ambiente Active Directory se basa en la resolución de nombres de DNS, este servicio no sólo es utilizado para la resolución de nombres, sino también para que las máquinas puedan encontrar qué equipos proveen determinados servicios, y en este caso específico veremos algunos de los de un ambiente de Dominio Active Directory

Problemas en los registros de esta zona, son los que provocan que clientes no se pueden unir al Dominio, errores en la replicación, fallas de autenticación, etc.

Sigue leyendo

Directivas de Grupo (GPO) – Filtrado de Seguridad


En la nota anterior “Directivas de Grupo (GPO) – Herencia, Forzar y Resolución de Conflictos” hemos visto algunas opciones que disponemos para aplicar las configuraciones de una GPO, ya sea en la forma normal, cortando la herencia o forzando la aplicación, como así también cómo se resuelven los conflictos de configuraciones entre diferentes GPOs aplicadas

En esta nota veremos otra opción que nos pemite seleccionar a qué usuario o grupo de usuarios aplicar o no una Directiva de Grupo (GPO)

La aplicación de Directivas de Grupo a grupos de seguridad de Active Directory ha resultado muy confusa para los que hablamos español, ya que la traducción de “Group Policy Object” a “Objeto Directiva de Grupo” a mi entender no es correcta

Sigue leyendo

Directivas de Grupo (GPO) – Herencia, Forzado y Resolución de Conflictos


Hace ya mucho tiempo, Febrero de 2011 para ser más exactos, escribí un nota explicando cómo se aplican las Directivas de Grupo, más conocidas por GPOs (“Group Policy Objects”), y las opciones más comunes para limitar o forzar la aplicación de las mismas

Cómo Funcionan las Directivas de Grupo (GPOs)

En esta primera parte de las dos notas que estoy preparando ahora, veremos con un ejemplo práctico, cómo funciona la herencia de GPOs, cómo se puede evitar esto, o cómo forzar que así no sea, y además cómo se resuelve cuando una GPO conflictua una configuración con otra

Sigue leyendo

Configurar DHCP en Ambientes Virtualizados


Al crear una ambiente virtualizado con múltples máquinas virtuales en diferentes clases de redes automatizar la configuración IP para cada red no siempre es algo sencillo

Podemos tener un servidor DHCP para cada red, o inclusive tener un único servidor DHCP, real o virtual, conectado a cada una de las redes (Servicio DHCP para Múltiples Redes) utilizadas, pero en este caso además de que cada red debe recibir configuración apropiada también debemos agregar seguramente servidor DNS, puerta de enlace, y por qué no, que las máquinas virtuales reciban por ejemplo menores tiempo de uso

Recordemos que no es conveniente tener más de un servicio DHCP sobre el mismo segmento de red, salvo que se haga una configuración específica (Windows Server 2012 – Demostración DHCP Tolerancia a Fallas (DHCP Failover), porque no podemos tener control sobre de cuál de ellos asignará configuración a los clientes

Sigue leyendo

Simular Internet Virtual – Acceso a Internet Real


Continuando esta serie de notas sobre cómo simular Internet en nuestra red interna para poder tener un ambiente de pruebas, en esta nota veremos cómo darle acceso a Internet real a la infraestructura que ya tenemos creada

Recuerdo la infraestructura que tenemos preparada y que ha sido desarrollada en las notas anteriores

Sigue leyendo

Simular Internet Virtual – Instalar y Configurar una Máquina que Comparta Internet en Red Interna


En las notas anteriores hemos hecho la configuración de una máquina que simula ser un servidor en Internet, donde hemos configurado DNS, Autoridad Certificadora, y DHCP

Para esta nota debemos crear dos nuevas máquinas virtuales, una que emulará un “Router/NAT” compartiendo la conexión a Internet, y otra máquina que estará en un red interna, pero que podrá acceder a nuestra “Internet simulada” creada anteriormente

Sigue leyendo

Simular Internet Virtual – Publicar Sitio Web Seguro de la Autoridad Certificadora


Habiendo configurado en la nota anterior “Simular Internet Virtual – Autoridad Certificadora” lo que haremos en esta nota es la configuración de un sitio web seguro, que es un requisito para poder obtener Certificados Digitales  desde un navegador web

Son interesantes ciertos pasos, porque al estar en Grupo de Trabajo, no podremos usar el asistente de la consola de Certificados, ni podremos pedir el Certificado en forma directa a través de la interfaz web, ya que se necesita el Certificado del servidor y aún no ha sido otorgado

El único Certificado creado hasta ahora es el propio Certificado de la Autoridad Certificadora, que no es lo mismo que el de la máquina en sí misma

Sigue leyendo

Simular Internet Virtual – Autoridad Certificadora


En la nota anterior “Simular Internet Virtual – Servicio DNS y Servidor Web” dejamos preparada la infraestructura de base, y en esta continuaremos instalando y configurando algunos servicios que pueden resultar muy útiles, y me refiero especialmente a la emulación de una Autoridad Certificadora de tipo comercial, que nos servirá no sólo como aprendizaje en sí mismo, sino que luego la utilizaremos para obtener Certificados Digitales para las máquinas de nuestro ambiente de pruebas

En la siguiente nota haremos la configuración del Sitio Web Seguro (HTTPS) para luego poder obtener Certificados Digitales desde la interfaz web de la Autoridad Certificadora; esta configuración tiene un par de “trucos” que es interesante conocer

Sigue leyendo

Simular Internet en Virtual – Servicio DNS y Servidor Web


En las estadísticas del blog, son muy pocos los términos de búsqueda usados para llegar al blog que puedo ver, pero entre ellos observo que hay uno que se repite con frecuencia, que es cómo simular o emular Internet en virtual para un ambiente de pruebas

En esta primera nota comenzaré con lo más básico, como es la configuración de un servidor que simulará un servidor de Internet, con las funcionalidades básicas de DNS y WWW, también emulando poco ancho de banda de red

En las siguientes notas continuaré agregando servicios que bien pueden servir para más pruebas, como son por ejemplo emular una Autoridad Certificadora de tipo comercial para obtener Certificados Digitales

Y luego poder seguir adelante con temas como configurar acceso de una red privada emulada a este servidor mediante el habitual NAT, acceso a un servidor web seguro (HTTPS), salida a Internet real a través de un Router adicional, conexiones por VPN “Client to Site” y “Site to Site”. Todo por supuesto de acuerdo al interés que despierte esta serie de notas

Sigue leyendo

Servicio DHCP para Múltiples Redes


He visto últimamente varias consultas sobre el servicio DHCP, y más específicamente relativas al tema de que un único servicio DHCP pueda suministrar configuración IP a máquinas en diferentes redes. O inclusive dar por sentado que hay que tener un servicio DHCP en cada red, y esto no es así

También dudas sobre si un servicio DHCP tiene varios ámbitos de direcciones cómo sabe de cuál debe seleccionar la configuración a otorgar

Todo esto se soluciona con un componente poco conocido de los “Routers” llamado “DHCP Relay Agent”, que en algunos ambientes también es conocido como “IP Helper”

Inclusive, aunque no entraré en esta nota, el uso de “DHCP Relay Agent” es una de las formas posibles de tener tolerancia a fallas del servicio DHCP en ambiente de más de una red

Sigue leyendo

Configurar Office con Directivas de Grupo (“Office GPOs”)


Esta vez es una nota sencilla, y la hago porque veo que muchos no conocen que a través de Directivas de Grupo (“GPOs”) es posible la configuración de Office

Los enlaces de descargas que indicaré permiten hacer la configuración de Office 2010, Office 2013 y Office 2016

Sigue leyendo

Cluster de Servidor de Archivos en Grupo de Trabajo, Sin Dominio – 3 de 3


Ya configurada la SAN y ambos nodos del Cluster de la forma adecuada, por fin llegamos a la parte importante, como es crear el Cluster de Servidor de Archivos (“Failover Cluster File Server”)

Esta parte es la que me ha llevado más tiempo, fue recién en el tercer intento que funcionó correctamente, porque hay información que falta en el documento de Microsoft que nombré en la nota anterior, que se supone es un “paso a paso”

Y además es un motivo más el probar todo en máquinas virtuales, y cuando uno llega a “puntos importantes” hacer antes los necesarios “Checkpoints” ;)

Sigue leyendo

Cluster de Servidor de Archivos en Grupo de Trabajo, Sin Dominio – 1 de 3


Hay redes que por su pequeño tamaño o poco presupuesto se administran como Grupo de Trabajo. Esta no es una mala solución, al contrario, puede ser muy buena en determinados ambientes

El problema de esa “pequeña infraestructura” que normalmente usa un servidor de archivos central para compartir información, es que no tiene tolerancia a fallas, y contando que el administrador del único servidor sea consciente y haga las copias de seguridad (“Backup”) con la suficiente frecuencia para que ante un inconveniente grave, aunque exista pérdida del servicio, se pueda recuperar la información

Aunque está disponible desde Windows Server 2012 R2, en realidad en forma usable recién en Windows Server 2016, se puede hacer sin demasidad inversión un Cluster de Conmutación (“Failover  Cluster”)por error. Sí, se necesitan por lo menos dos servidores y una SAN, pero por lo menos no necesitamos además Controladores de Dominio y la mayor complejidad de administración

Con Windows Server 2016, y dos servidores, se puede crear una Cluster de Conmutación por Error (“Failover Cluster”), tanto para Servidor de Archivos (“File Server”) como para Hyper-V

En esta primera serie de notas, veremos el paso y los datos desconocidos (que por lo menos yo no pude encontrar en Internet) para crear un Cluster Servidor de Archivos en Grupo de Trabajo. Llevó bastante trabajo y mucha “prueba y error” porque en muchos lugares hay un “paso a paso” pero nadie crea un compartido y muestra el acceso, y faltan datos para que funcione correctamente

Sigue leyendo

Configurar Imagen de Fondo de Escritorio y Pantalla de Bloqueo


En muchas ocasiones un administrador de Dominio desea configurar que todos los usuarios tengan un determinado fondo de pantalla en el escritorio y que no lo puedan cambiar

Esto es a veces como imagen corporativa de la empresa, y otras para prevenir que pongan fotos personalizadas que por su tamaño pueden hacer que el sistema se torne más lento

Además, y ya que el proceso es muy similar mostraré como configurar en forma obligatoria una imagen de pantalla de bloqueo tanto para Windows 10 como para Windows 8.1

Esto es fácil de lograr a través de Directivas de Grupo (GPO). Lo mostraré sobre Windows 10 y Windows 8.1, aunque el proceso es igualmente válido para los correspondientes sistemas operativos de tipo servidor

Sólo un tema a tener en cuenta si lo llegaran a aplicar a versiones anteriores: Windows 7 tiene un bug que hace que no funcione correctamente, pero hay una actualización que lo corrige

Sigue leyendo

Hyper-V: ¿Generación 1 o Generación? ¿Como Elegir?


A veces, tengo que reconocerlo, se encuentra información muy interesante e importante sin haberla buscado específicamente

Por supuesto que en mi caso conzco las ventajas de crear máquinas virtuales de tipo “Generation 2”, pero no en todos los casos se puede. Sólo como ejemplo: en la mayoría de las notas uso versiones cliente x86, simplemente porque trabajan mejor asignándole menos memoria, y si es x86 entonces es “Generation 1”

Encontré un enlace donde especifica varios temas que considero importantes para el que no tenga claro cuándo cada uno, y las diferencias

Entre otros puntos:

  • Qué sistemas operativos están soportados (Windows y Linux)
  • De qué medio pueden arrancar (Disco, red o imagen)
  • Las ventajas de “Generation 2”
  • Soporte de dispositivos
  • Más ventajas de “Generation 2”

Ambos enlaces están en inglés:

Espero sea de utilidad para muchos, es información bien concisa y clara

Windows Server 2016 – “Storage Spaces Direct” – “Shared Nothing Hyper-V Cluster” (II)


Continuando con la nota anterior (“Windows Server 2016 – “Storage Spaces Direct” – “Shared Nothing Hyper-V Cluster” (I)”) donde en los 3 nodos hemos instalado Hyper-V y creado el “cluster”, en esta veremos la configuración de “Storage Space Direct”, lo cual nos permitirá la creación del “Shared Nothing Hyper-V Cluster” donde instalaremos una máquina virtual, para demostrar el failover

Y lo más importante, recordar que en este “cluster” los nodos no comparten almacenamiento

Aclaración importante que olvidé en la nota anterior, aunque ya lo he aclarado: “Storage Space Direct” S2D es posible solamente con la versión Windows 2016 Datacenter

Sigue leyendo

Windows Server 2016 – “Storage Spaces Direct” – “Shared Nothing Hyper-V Cluster” (I)


Hace ya bastante tiempo hice una serie de notas con una demostración, más que nada conceptual, donde he montado un “Hyper-V Cluster”, que tomaba las máquinas virtuales desde un “File Server Cluster”, que usaba como almacenamiento un “iSCSI Storage”. Conceptualmente fue una buena demostración aunque tenía dos inconvenientes: la infraestructura era compleja, y lo más importante es que si fallaba el “iSCSI Storage” de nada servían ambos “Clusters”. O sea que no había tolerancia a fallas sobre el sistema

A partir de Windows Server 2016, se agrega la nueva característica “Storage Spaces Direct”, o más brevemente “S2D” que nos permite crear un “Failover Cluster” sin necesidad del medio compartido externo. Y como si fuera poco de una forma más sencilla

Para que esta nota sea comprensible es necesario conocer previamente de qué se trata el tema. Recomiendo dos enlaces:

Sigue leyendo

Instalar y Configurar Google Chrome con GPOs


El tema de cuál navegador es mejor que otro es algo largamente discutido e inclusive en muchos casos con argumentos que a veces no son técnicos. A mi entender cada uno tiene sus ventajas y sus inconvenientes, y aunque para determinados sitios es mejor uno u otro, en mi caso prefiero siempre tener dos, el que viene con el sistema operativo y uno más, Chrome es mi preferencia

Dos ejemplos: hay sitios que requieren sí o sí un determinado navegador así que no hay alternativa; y otro motivo por el que prefiero tener dos: si estamos accediendo a un sitio con autenticación de usuario, y necesitamos abrir otra ventana, ésta se abre con la misma autenticación pero necesitamos que sea con otro usuario o directamente que no informe datos de usuario

En esta nota veremos tres temas:

  • Instalar Chrome en forma desatendida
  • Configurar Chrome como navegador por omisión, que no es tan directo
  • Configurar Chrome mediante Plantillas Administrativas de GPO

Sigue leyendo

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 5)


Y ya finalizando esta serie de notas sobre el servicio DNS, en esta última veremos una opción muy poco conocida, y por ese motivo poco usada como es la utilización de “Stub Zones”. La traducción al español creo que no ha sido muy buena, han sido llamadas “Zonas de Código Auxiliar” lo cual no aclara mucho su utilidad. Hace tiempo pude oír a alguien llamarlas “delegación con esteroides” y realmente dice mucho sobre su utilidad :)

Recuerdo la infraestructura creada, y que en esta nota agregaremos a “DNS6.dom3.der”

Sigue leyendo

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 4)


En esta serie de notas sobre el servicio DNS, en esta ocasión veremos específicamente el uso, configuración y diferencias entre “Reenviadores” y “Reenviadores Condicionales”

Recuerdo la figura correspondiente a la serie de notas que estamos haciendo

En esta nota agregaré “DNS5.dom2.izq” y veremos cómo configurar la resolución de nombres con la infraestructura ya creada, usando “Reenviadores” y “Reenviadores Condicionales”

Sigue leyendo