DNS – Dominios y la Zona “_msdcs”

Estoy notando hace un tiempo que muchos administradores de Active Directory no tienen el conocimiento necesario respecto de la resolución de nombres DNS que hace la zona “_msdcs”

Aunque creo que a esta altura ya todos conocemos que el funcionamiento correcto de un ambiente Active Directory se basa en la resolución de nombres de DNS, este servicio no sólo es utilizado para la resolución de nombres, sino también para que las máquinas puedan encontrar qué equipos proveen determinados servicios, y en este caso específico veremos algunos de los de un ambiente de Dominio Active Directory

Problemas en los registros de esta zona, son los que provocan que clientes no se pueden unir al Dominio, errores en la replicación, fallas de autenticación, etc.

Sigue leyendo →

Configurar DHCP en Ambientes Virtualizados

Al crear una ambiente virtualizado con múltples máquinas virtuales en diferentes clases de redes automatizar la configuración IP para cada red no siempre es algo sencillo

Podemos tener un servidor DHCP para cada red, o inclusive tener un único servidor DHCP, real o virtual, conectado a cada una de las redes (Servicio DHCP para Múltiples Redes) utilizadas, pero en este caso además de que cada red debe recibir configuración apropiada también debemos agregar seguramente servidor DNS, puerta de enlace, y por qué no, que las máquinas virtuales reciban por ejemplo menores tiempo de uso

Recordemos que no es conveniente tener más de un servicio DHCP sobre el mismo segmento de red, salvo que se haga una configuración específica (Windows Server 2012 – Demostración DHCP Tolerancia a Fallas (DHCP Failover), porque no podemos tener control sobre de cuál de ellos asignará configuración a los clientes

Sigue leyendo →

Simular Internet Virtual – Acceso a Internet Real

Continuando esta serie de notas sobre cómo simular Internet en nuestra red interna para poder tener un ambiente de pruebas, en esta nota veremos cómo darle acceso a Internet real a la infraestructura que ya tenemos creada

Recuerdo la infraestructura que tenemos preparada y que ha sido desarrollada en las notas anteriores

• Simular Internet en Virtual – Servicio DNS y Servidor Web
• Simular Internet Virtual – Autoridad Certificadora
• Simular Internet Virtual – Publicar Sitio Web Seguro de la Autoridad Certificadora
• Simular Internet Virtual – Instalar y Configurar una Máquina que Comparta Internet en Red Interna

Sigue leyendo →

Simular Internet Virtual – Instalar y Configurar una Máquina que Comparta Internet en Red Interna

En las notas anteriores hemos hecho la configuración de una máquina que simula ser un servidor en Internet, donde hemos configurado DNS, Autoridad Certificadora, y DHCP

• Simular Internet en Virtual – Servicio DNS y Servidor Web
• Simular Internet Virtual – Autoridad Certificadora
• Simular Internet Virtual – Publicar Sitio Web Seguro de la Autoridad Certificadora

Para esta nota debemos crear dos nuevas máquinas virtuales, una que emulará un “Router/NAT” compartiendo la conexión a Internet, y otra máquina que estará en un red interna, pero que podrá acceder a nuestra “Internet simulada” creada anteriormente

Sigue leyendo →

Simular Internet Virtual – Publicar Sitio Web Seguro de la Autoridad Certificadora

Habiendo configurado en la nota anterior “Simular Internet Virtual – Autoridad Certificadora” lo que haremos en esta nota es la configuración de un sitio web seguro, que es un requisito para poder obtener Certificados Digitales  desde un navegador web

Son interesantes ciertos pasos, porque al estar en Grupo de Trabajo, no podremos usar el asistente de la consola de Certificados, ni podremos pedir el Certificado en forma directa a través de la interfaz web, ya que se necesita el Certificado del servidor y aún no ha sido otorgado

El único Certificado creado hasta ahora es el propio Certificado de la Autoridad Certificadora, que no es lo mismo que el de la máquina en sí misma

Sigue leyendo →

Simular Internet Virtual – Autoridad Certificadora

En la nota anterior “Simular Internet Virtual – Servicio DNS y Servidor Web” dejamos preparada la infraestructura de base, y en esta continuaremos instalando y configurando algunos servicios que pueden resultar muy útiles, y me refiero especialmente a la emulación de una Autoridad Certificadora de tipo comercial, que nos servirá no sólo como aprendizaje en sí mismo, sino que luego la utilizaremos para obtener Certificados Digitales para las máquinas de nuestro ambiente de pruebas

En la siguiente nota haremos la configuración del Sitio Web Seguro (HTTPS) para luego poder obtener Certificados Digitales desde la interfaz web de la Autoridad Certificadora; esta configuración tiene un par de “trucos” que es interesante conocer

Sigue leyendo →

Simular Internet en Virtual – Servicio DNS y Servidor Web

En las estadísticas del blog, son muy pocos los términos de búsqueda usados para llegar al blog que puedo ver, pero entre ellos observo que hay uno que se repite con frecuencia, que es cómo simular o emular Internet en virtual para un ambiente de pruebas

En esta primera nota comenzaré con lo más básico, como es la configuración de un servidor que simulará un servidor de Internet, con las funcionalidades básicas de DNS y WWW, también emulando poco ancho de banda de red

En las siguientes notas continuaré agregando servicios que bien pueden servir para más pruebas, como son por ejemplo emular una Autoridad Certificadora de tipo comercial para obtener Certificados Digitales

Y luego poder seguir adelante con temas como configurar acceso de una red privada emulada a este servidor mediante el habitual NAT, acceso a un servidor web seguro (HTTPS), salida a Internet real a través de un Router adicional, conexiones por VPN “Client to Site” y “Site to Site”. Todo por supuesto de acuerdo al interés que despierte esta serie de notas

Sigue leyendo →

Servicio DHCP para Múltiples Redes

He visto últimamente varias consultas sobre el servicio DHCP, y más específicamente relativas al tema de que un único servicio DHCP pueda suministrar configuración IP a máquinas en diferentes redes. O inclusive dar por sentado que hay que tener un servicio DHCP en cada red, y esto no es así

También dudas sobre si un servicio DHCP tiene varios ámbitos de direcciones cómo sabe de cuál debe seleccionar la configuración a otorgar

Todo esto se soluciona con un componente poco conocido de los “Routers” llamado “DHCP Relay Agent”, que en algunos ambientes también es conocido como “IP Helper”

Inclusive, aunque no entraré en esta nota, el uso de “DHCP Relay Agent” es una de las formas posibles de tener tolerancia a fallas del servicio DHCP en ambiente de más de una red

Sigue leyendo →

DHCP: Asignar Configuración Unicamente a Máquinas del Dominio

Hay una pregunta que he visto varias veces en los foros de soporte, o que me han hecho: “¿Cómo puedo hacer para que las máquinas que no son del Dominio no reciban configuración desde el servicio DHCP?”

Siempre he dado la respuesta “No se puede. Porque para que identifique que pertenece al Dominio o no, primero debe asignarle dirección IP para la comunicación”

Tengo que reconocerlo, estaba equivocado. Se puede hacer, y no es complicado

En casi todos los casos la pregunta estaba relacionada a que si alguna persona externa conectara su propia máquina a la red de la organización, no pudiera ni conectarse a las máquinas, ni salir a Internet

Sigue leyendo →

Hyper-V: Los Diferentes Clases de Redes – Diagrama de Conectividad

En cualquier sistema de virtualización se pueden crear diferentes clases de redes, y aunque todos ofrecen características muy similares, hay diferencia en la forma de nombrarlas. Específicamente los que cambiamos de VMware a Hyper-V, o quizás sólo a mí, una de las dificultades fue el cambio de “network” a “switch”

Aún hoy en día, y luego de ya varios años en el tema, sigo recibiendo consultas sobre en qué clase de red conectar cada máquina virtual para que pueda … (reemplazar los puntos suspensivos por el caso de cada uno)

Así que con no poco trabajo hice un diagrama de conectividad de las diferentes clases de redes en Hyper-V

Sigue leyendo →

Resolución de Problemas de Conectividad (No puedo conectarme a …) – Cortafuegos y Servicio que Espere Conexión

Ya vistos los pasos para la resolución de problemas de conectividad que hemos hecho en las dos notas anteriores:

• Resolución de Problemas de Conectividad (No puedo conectarme a …) – Conectividad IP
• Resolución de Problemas de Conectividad (No puedo conectarme a …) – Resolución de Nombres

Si tenemos conectividad IP, y además resolvemos correctamente el nombre de la máquina destino, nos queda esta última parte, donde veremos los motivos para no poder acceder a un servicio o aplicación

Es muy común ver la pregunta “¿cómo hago para abrir X puerto?” cuando en realidad no es solamente esa condición para poder conectarse a un servicio o aplicación, sino que además y muy importante es que dicho servicio o aplicación esté esperando, “escuchando» decimos, recibir esa conexión

No sólo debe estar el puerto abierto, sino que además debe haber algo que escuche, que espere recibir la conexión remota

La mayoría de las aplicaciones y servicios propios de Windows, al instalarlas o habilitarlas automáticamente modifican el cortafuegos abriendo el o los puertos correspondientes, pero no todas las de terceros lo hacen

Sigue leyendo →

Resolución de Problemas de Conectividad (No puedo conectarme a …) – Resolución de Nombres

Si ya leyó la nota anterior (“Resolución de Problemas de Conectividad (No puedo conectarme a …) – Conectividad IP”), en esta comenzaremos con el segundo posible problema que es el llamado resolución de nombres, ya que normalmente cuando se desea conectar desde una máquina a otra no usamos la dirección IP sino el nombre de la misma

Si podemos conectar dos máquinas usando la dirección IP, pero no el nombre, entonces, el problema es que no se puede resolver el nombre, o se resuelve pero a una dirección incorrecta

Resolución de nombres es el proceso de a partir de un nombre de máquina, obtener la dirección IP correspondiente

Esta parte tiene muchas posibilidades porque hay diferentes nombres (Nombre NetBIOS, Hostname y FQDNs (“Fully Qualified Domain Names”) cada uno con sus características y métodos propios de resolución, e inclusive depende su uso si el ambiente es de Grupo de Trabajo o Dominio Active Directory, la aplicación usada, la versión del sistema operativo, y como si fuera poco cómo está configurado

Sigue leyendo →

Resolución de Problemas de Conectividad (No puedo conectarme a …) – Conectividad IP

Creo que uno de los problemas más veces preguntado es “¿Por qué no puedo conectarme a una máquina o servicio? Es una de las preguntas que se repite constantemente en los foros de soporte, o inclusive puedo verlo a veces en las palabras de búsqueda que llegan a este blog

E inclusive muchas veces la pregunta está formulada como “No puedo ver a …” determinada máquina. Esto es totalmente diferente a tener conectividad o no. Cuando alguna pregunta comienza así generalmente es porque la está buscando por el entorno de red, y esto no tiene relación con poder conectarse o no. El entorno de red está creado por servicios que son totalmente independientes de los protocolos que permiten conectividad. “Verla” no siempre permite conectarse, y “Conectarse” no implica siempre poder verla :)

Así que voy a hacer dos o tres notas, sobre este tema, que en realidad involucra tres temas diferentes:

1. Conectividad IP
2. Resolución de nombres de máquina
3. Cortafuegos y existencia de servicio que espere conexión

En esta primera nota comenzaré con el tema conectividad IP

Sigue leyendo →

Windows Server 2016 – TP5: Creación de Redes NAT (“NAT-Switch”)

Una de las cosas que faltaban en Hyper-V, para proveer las capacidades de productos que compiten, era la posibilidad de crear redes tipo NAT. Esto ya no es así tanto para Windows Server 2016, como para Hyper-V en Windows 10

La creación de estas redes NAT, por lo menos por ahora, no está disponible a través de la interfaz gráfica, pero se puede hacer en forma sencilla a través de PowerShell, son sólo tres líneas de comando

Sigue leyendo →

VMware – Redes en Laboratorio de Pruebas

Los ambientes de prueba, aunque a veces son sencillos, no siempre es el caso. Además uno comienza con una simple configuración que luego va creciendo y complicándose

Las diferentes clases de redes que provee cada aplicación de virtualización a veces generan confusiones, así que en este caso decidí mostrar la configuración de mi ambiente, y explicando cómo y el porqué de cada red

En mi caso todas las máquinas son virtuales, y la aplicación de virtualización es VMware Workstation. Alguno se preguntará el motivo de no usar Hyper-V, y la respuesta es sencilla: hasta Windows Server 2012 R2, Hyper-V no permite anidar virtualización. Se promete para Windows Server 2016, y aunque por ahora en versión beta, lo he probado en “”Nested Virtualization” – [(Virtual en Virtual) en Virtual] en Virtual”

La infraestructura de redes es como muestra el siguiente diagrama, pero vamos a ir revisando de a pasos y cómo se llega

Sigue leyendo →

Conectando Clientes a la Red por VPN – Qué Protocolo Usar

En el blog ya he escrito varias notas sobre el tema de conectar clientes a la red usando VPNs (“Virtual Private Networks”), algunas con Windows Server 2008 y otras con Windows Server 2012 (R2). Pueden consultarlas fácilmente utilizando sobre el margen izquierdo la búsqueda de “VPN”

En esta nota, en lugar de poner el foco en cómo hacerlo, aunque lo muestro, lo dedicaré más al tema de la comparativa entre los cuatro protocolos posibles: PPTP, SSTP, IKEv2 y L2TP-IPSec, y las ventajas e inconvenientes de cada uno

Utilizaré la siguiente infraestructura:

Sigue leyendo →

Cambiar Perfil de Red Pública a Privada o Privada a Pública (Fácil)

Hace varios años, el 22-10-11 para ser exactos, publiqué una nota sobre cómo cambiar de red pública a privada (“Cómo Cambiar en Windows de Red Pública a Privada”) pero hace poco tiempo descubrí un procedimiento mucho más sencillo, y que además puede hacer el cambio en ambos sentidos

El se hace sólo con dos comandos desde PowerShell

Sigue leyendo →

Definir Rutas IPv4 por DHCP

Hay una posibilidad poco utilizada, o conocida incluso, como es la asignación de entradas en la tabla de enrutamiento (“Routing Table”) que puede hacerse mediante el servicio DHCP

Justamente por poco utilizada o desconocida es que he decidido hacer esta pequeña nota

Además, actualmente aún en pequeñas empresas se suelen tener más de una subred IP, donde por un lado se sale a Internet, y por otro se conecta a otras subredes internas

Sigue leyendo →

Implementar iSCSI SAN con MPIO (Multipath I/O)

En estos tiempos donde hay servicios críticos para el funcionamiento de los sistemas, donde se ha avanzado mucho en tener los equipos virtualizados, o inclusive los servidores de archivos, entre otros, es crítico proveer tolerancia a fallas

Si revisan el blog encontrarán varias notas referidas a los temas nombrados desde un “Cluster Hyper-V” hasta servidor de archivos con alta disponibilidad
Pero aunque hemos visto la redundancia en cuanto a equipos, hasta ahora a quedado sin ver la parte de conectividad de red

Esta vez vamos a ver cómo podemos implementar tolerancia a fallas para el acceso de un servidor de archivos a una SAN, aunque sería totalmente análogo si fuera un “Cluster” de virtualización, y además mejoras en el rendimiento

La infraestructura que utilizaré se muestra a continuación:

Sigue leyendo →

Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 5 de 5]

En esta última de la serie de notas que preparé sobre este tema veremos cómo podemos mejorar la seguridad de lo hecho anteriormente utilizando L2TP+IPSec pero con autentificación de máquinas mediante certificados digitales

El cambio en sí es muy sencillo, lo que puede ser de más dificultad es que en esta prueba de laboratorio debemos ahora sí disponer de una Autoridad Certificadora, y un servicio DNS para resolver nombres de máquina

Vuelvo a poner el diagrama para que sea claro lo que estamos haciendo

Sigue leyendo →