DNS – Dominios y la Zona “_msdcs”

Estoy notando hace un tiempo que muchos administradores de Active Directory no tienen el conocimiento necesario respecto de la resolución de nombres DNS que hace la zona “_msdcs”

Aunque creo que a esta altura ya todos conocemos que el funcionamiento correcto de un ambiente Active Directory se basa en la resolución de nombres de DNS, este servicio no sólo es utilizado para la resolución de nombres, sino también para que las máquinas puedan encontrar qué equipos proveen determinados servicios, y en este caso específico veremos algunos de los de un ambiente de Dominio Active Directory

Problemas en los registros de esta zona, son los que provocan que clientes no se pueden unir al Dominio, errores en la replicación, fallas de autenticación, etc.

Sigue leyendo →

Directivas de Grupo (GPO) – Filtrado de Seguridad

En la nota anterior “Directivas de Grupo (GPO) – Herencia, Forzar y Resolución de Conflictos” hemos visto algunas opciones que disponemos para aplicar las configuraciones de una GPO, ya sea en la forma normal, cortando la herencia o forzando la aplicación, como así también cómo se resuelven los conflictos de configuraciones entre diferentes GPOs aplicadas

En esta nota veremos otra opción que nos pemite seleccionar a qué usuario o grupo de usuarios aplicar o no una Directiva de Grupo (GPO)

La aplicación de Directivas de Grupo a grupos de seguridad de Active Directory ha resultado muy confusa para los que hablamos español, ya que la traducción de “Group Policy Object” a “Objeto Directiva de Grupo” a mi entender no es correcta

Sigue leyendo →

Directivas de Grupo (GPO) – Herencia, Forzado y Resolución de Conflictos

Hace ya mucho tiempo, Febrero de 2011 para ser más exactos, escribí un nota explicando cómo se aplican las Directivas de Grupo, más conocidas por GPOs (“Group Policy Objects”), y las opciones más comunes para limitar o forzar la aplicación de las mismas

“Cómo Funcionan las Directivas de Grupo (GPOs)”

En esta primera parte de las dos notas que estoy preparando ahora, veremos con un ejemplo práctico, cómo funciona la herencia de GPOs, cómo se puede evitar esto, o cómo forzar que así no sea, y además cómo se resuelve cuando una GPO conflictua una configuración con otra

Sigue leyendo →

Simular Internet Virtual – Acceso a Internet Real

Continuando esta serie de notas sobre cómo simular Internet en nuestra red interna para poder tener un ambiente de pruebas, en esta nota veremos cómo darle acceso a Internet real a la infraestructura que ya tenemos creada

Recuerdo la infraestructura que tenemos preparada y que ha sido desarrollada en las notas anteriores

• Simular Internet en Virtual – Servicio DNS y Servidor Web
• Simular Internet Virtual – Autoridad Certificadora
• Simular Internet Virtual – Publicar Sitio Web Seguro de la Autoridad Certificadora
• Simular Internet Virtual – Instalar y Configurar una Máquina que Comparta Internet en Red Interna

Sigue leyendo →

Simular Internet Virtual – Instalar y Configurar una Máquina que Comparta Internet en Red Interna

En las notas anteriores hemos hecho la configuración de una máquina que simula ser un servidor en Internet, donde hemos configurado DNS, Autoridad Certificadora, y DHCP

• Simular Internet en Virtual – Servicio DNS y Servidor Web
• Simular Internet Virtual – Autoridad Certificadora
• Simular Internet Virtual – Publicar Sitio Web Seguro de la Autoridad Certificadora

Para esta nota debemos crear dos nuevas máquinas virtuales, una que emulará un “Router/NAT” compartiendo la conexión a Internet, y otra máquina que estará en un red interna, pero que podrá acceder a nuestra “Internet simulada” creada anteriormente

Sigue leyendo →

Simular Internet Virtual – Publicar Sitio Web Seguro de la Autoridad Certificadora

Habiendo configurado en la nota anterior “Simular Internet Virtual – Autoridad Certificadora” lo que haremos en esta nota es la configuración de un sitio web seguro, que es un requisito para poder obtener Certificados Digitales  desde un navegador web

Son interesantes ciertos pasos, porque al estar en Grupo de Trabajo, no podremos usar el asistente de la consola de Certificados, ni podremos pedir el Certificado en forma directa a través de la interfaz web, ya que se necesita el Certificado del servidor y aún no ha sido otorgado

El único Certificado creado hasta ahora es el propio Certificado de la Autoridad Certificadora, que no es lo mismo que el de la máquina en sí misma

Sigue leyendo →

Simular Internet Virtual – Autoridad Certificadora

En la nota anterior “Simular Internet Virtual – Servicio DNS y Servidor Web” dejamos preparada la infraestructura de base, y en esta continuaremos instalando y configurando algunos servicios que pueden resultar muy útiles, y me refiero especialmente a la emulación de una Autoridad Certificadora de tipo comercial, que nos servirá no sólo como aprendizaje en sí mismo, sino que luego la utilizaremos para obtener Certificados Digitales para las máquinas de nuestro ambiente de pruebas

En la siguiente nota haremos la configuración del Sitio Web Seguro (HTTPS) para luego poder obtener Certificados Digitales desde la interfaz web de la Autoridad Certificadora; esta configuración tiene un par de “trucos” que es interesante conocer

Sigue leyendo →

Simular Internet en Virtual – Servicio DNS y Servidor Web

En las estadísticas del blog, son muy pocos los términos de búsqueda usados para llegar al blog que puedo ver, pero entre ellos observo que hay uno que se repite con frecuencia, que es cómo simular o emular Internet en virtual para un ambiente de pruebas

En esta primera nota comenzaré con lo más básico, como es la configuración de un servidor que simulará un servidor de Internet, con las funcionalidades básicas de DNS y WWW, también emulando poco ancho de banda de red

En las siguientes notas continuaré agregando servicios que bien pueden servir para más pruebas, como son por ejemplo emular una Autoridad Certificadora de tipo comercial para obtener Certificados Digitales

Y luego poder seguir adelante con temas como configurar acceso de una red privada emulada a este servidor mediante el habitual NAT, acceso a un servidor web seguro (HTTPS), salida a Internet real a través de un Router adicional, conexiones por VPN “Client to Site” y “Site to Site”. Todo por supuesto de acuerdo al interés que despierte esta serie de notas

Sigue leyendo →

Servicio DHCP para Múltiples Redes

He visto últimamente varias consultas sobre el servicio DHCP, y más específicamente relativas al tema de que un único servicio DHCP pueda suministrar configuración IP a máquinas en diferentes redes. O inclusive dar por sentado que hay que tener un servicio DHCP en cada red, y esto no es así

También dudas sobre si un servicio DHCP tiene varios ámbitos de direcciones cómo sabe de cuál debe seleccionar la configuración a otorgar

Todo esto se soluciona con un componente poco conocido de los “Routers” llamado “DHCP Relay Agent”, que en algunos ambientes también es conocido como “IP Helper”

Inclusive, aunque no entraré en esta nota, el uso de “DHCP Relay Agent” es una de las formas posibles de tener tolerancia a fallas del servicio DHCP en ambiente de más de una red

Sigue leyendo →

Configurar Office con Directivas de Grupo (“Office GPOs”)

Esta vez es una nota sencilla, y la hago porque veo que muchos no conocen que a través de Directivas de Grupo (“GPOs”) es posible la configuración de Office

Los enlaces de descargas que indicaré permiten hacer la configuración de Office 2010, Office 2013 y Office 2016

Sigue leyendo →

Configurar Imagen de Fondo de Escritorio y Pantalla de Bloqueo

En muchas ocasiones un administrador de Dominio desea configurar que todos los usuarios tengan un determinado fondo de pantalla en el escritorio y que no lo puedan cambiar

Esto es a veces como imagen corporativa de la empresa, y otras para prevenir que pongan fotos personalizadas que por su tamaño pueden hacer que el sistema se torne más lento

Además, y ya que el proceso es muy similar mostraré como configurar en forma obligatoria una imagen de pantalla de bloqueo tanto para Windows 10 como para Windows 8.1

Esto es fácil de lograr a través de Directivas de Grupo (GPO). Lo mostraré sobre Windows 10 y Windows 8.1, aunque el proceso es igualmente válido para los correspondientes sistemas operativos de tipo servidor

Sólo un tema a tener en cuenta si lo llegaran a aplicar a versiones anteriores: Windows 7 tiene un bug que hace que no funcione correctamente, pero hay una actualización que lo corrige

Sigue leyendo →

Hyper-V: ¿Generación 1 o Generación? ¿Como Elegir?

A veces, tengo que reconocerlo, se encuentra información muy interesante e importante sin haberla buscado específicamente

Por supuesto que en mi caso conzco las ventajas de crear máquinas virtuales de tipo “Generation 2”, pero no en todos los casos se puede. Sólo como ejemplo: en la mayoría de las notas uso versiones cliente x86, simplemente porque trabajan mejor asignándole menos memoria, y si es x86 entonces es “Generation 1”

Encontré un enlace donde especifica varios temas que considero importantes para el que no tenga claro cuándo cada uno, y las diferencias

Entre otros puntos:

• Qué sistemas operativos están soportados (Windows y Linux)
• De qué medio pueden arrancar (Disco, red o imagen)
• Las ventajas de “Generation 2”
• Soporte de dispositivos
• Más ventajas de “Generation 2”

Ambos enlaces están en inglés:

• Should I create a generation 1 or 2 virtual machine in Hyper-V?
• Hyper-V feature compatibility by generation and guest

Espero sea de utilidad para muchos, es información bien concisa y clara

Instalar y Configurar Google Chrome con GPOs

El tema de cuál navegador es mejor que otro es algo largamente discutido e inclusive en muchos casos con argumentos que a veces no son técnicos. A mi entender cada uno tiene sus ventajas y sus inconvenientes, y aunque para determinados sitios es mejor uno u otro, en mi caso prefiero siempre tener dos, el que viene con el sistema operativo y uno más, Chrome es mi preferencia

Dos ejemplos: hay sitios que requieren sí o sí un determinado navegador así que no hay alternativa; y otro motivo por el que prefiero tener dos: si estamos accediendo a un sitio con autenticación de usuario, y necesitamos abrir otra ventana, ésta se abre con la misma autenticación pero necesitamos que sea con otro usuario o directamente que no informe datos de usuario

En esta nota veremos tres temas:

• Instalar Chrome en forma desatendida
• Configurar Chrome como navegador por omisión, que no es tan directo
• Configurar Chrome mediante Plantillas Administrativas de GPO

Sigue leyendo →

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 5)

Y ya finalizando esta serie de notas sobre el servicio DNS, en esta última veremos una opción muy poco conocida, y por ese motivo poco usada como es la utilización de “Stub Zones”. La traducción al español creo que no ha sido muy buena, han sido llamadas “Zonas de Código Auxiliar” lo cual no aclara mucho su utilidad. Hace tiempo pude oír a alguien llamarlas “delegación con esteroides” y realmente dice mucho sobre su utilidad :)

Recuerdo la infraestructura creada, y que en esta nota agregaremos a “DNS6.dom3.der”

Sigue leyendo →

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 4)

En esta serie de notas sobre el servicio DNS, en esta ocasión veremos específicamente el uso, configuración y diferencias entre “Reenviadores” y “Reenviadores Condicionales”

Recuerdo la figura correspondiente a la serie de notas que estamos haciendo

En esta nota agregaré “DNS5.dom2.izq” y veremos cómo configurar la resolución de nombres con la infraestructura ya creada, usando “Reenviadores” y “Reenviadores Condicionales”

Sigue leyendo →

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 3)

Siguiendo con esta serie de notas sobre la configuración del servicio DNS, y habiendo ya visto en las dos anteriores la resolución de nombres internos y externos, como la configuración de zonas secundarias, y las condiciones para la tolerancia a fallas del servicio, en esta ocasión comenzaré con el tema de la administración de subdominios, tanto con como sin delegación

• El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 1)
• El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 2)

A partir de este momento la infraestructura se torna un poco más compleja, e iré agregando más máquinas virtuales de acuerdo al progreso del tema en esta y futuras notas, así que lo mejor es agregar una simple figura que muestra la infraestructura que estamos construyendo los que seguimos esta serie de notas

Hasta ahora ya tenemos configurados DNS1 y DNS2, para esta demostración agregaré otras dos máqunas virtuales DNS3 y DNS4. En una futura nota agregaré a DNS5 y DNS6

Sigue leyendo →

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 2)

Continuando con esta serie de notas, y a partir de la configuración hecha en “El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 1)”, en esta agregaré otra máquina, con configuración similar, con la que veremos cómo podemos resolver nombres externos e internos, crearemos una Zona Secundaria, y veremos cómo permitir la transferencia de zona y la configuración necesaria

Sigue leyendo →

El Servicio DNS: Demostración y Prácticas de Funcionamiento (Nota 1)

En este blog trato principalmente temas referidas a Active Directory, el cual se apoya fuertemente en la resolución de nombres del servicio DNS, pero veo que en muchos casos hay desconocimiento sobre su funcionamiento y las diferentes configuraciones que se pueden hacer para llegar a una corecta configuración que sea optimizada e inclusive tolerante a fallas

Por esto he decidido un poco volver a las fuentes para comprender las diferentes posibilidades de configuración, desde lo más básico hasta opciones avanzadas

Lo haré de la forma más “primitiva”, esto es, con servidores en grupo de trabajo, sin actualizaciones dinámicas ni seguras; y abarcará desde la resolución de nombres públicos de Internet, hasta un ambiente de múltiples dominos con múltiples Árboles

Al finalizar la serie de notas los objetivos son demostrar:

• Resolución de nombres públicos de Internet con dos opciones diferentes
• Resolución de nombres internos
• Tolerancia a fallas
• Zonas Secundarias y configuración de transferencias de zona
• Resolución de nombres de Subdominio, con y sin delegación de zona
• Reenviadores Condicionales
• Uso de “Stub Zones” (Zonas de Código Auxiliar), esas desconocidas :)

Sigue leyendo →

DHCP: Asignar Configuración Unicamente a Máquinas del Dominio

Hay una pregunta que he visto varias veces en los foros de soporte, o que me han hecho: “¿Cómo puedo hacer para que las máquinas que no son del Dominio no reciban configuración desde el servicio DHCP?”

Siempre he dado la respuesta “No se puede. Porque para que identifique que pertenece al Dominio o no, primero debe asignarle dirección IP para la comunicación”

Tengo que reconocerlo, estaba equivocado. Se puede hacer, y no es complicado

En casi todos los casos la pregunta estaba relacionada a que si alguna persona externa conectara su propia máquina a la red de la organización, no pudiera ni conectarse a las máquinas, ni salir a Internet

Sigue leyendo →

Hyper-V: Los Diferentes Clases de Redes – Diagrama de Conectividad

En cualquier sistema de virtualización se pueden crear diferentes clases de redes, y aunque todos ofrecen características muy similares, hay diferencia en la forma de nombrarlas. Específicamente los que cambiamos de VMware a Hyper-V, o quizás sólo a mí, una de las dificultades fue el cambio de “network” a “switch”

Aún hoy en día, y luego de ya varios años en el tema, sigo recibiendo consultas sobre en qué clase de red conectar cada máquina virtual para que pueda … (reemplazar los puntos suspensivos por el caso de cada uno)

Así que con no poco trabajo hice un diagrama de conectividad de las diferentes clases de redes en Hyper-V

Sigue leyendo →