Migrar Dominio 2008 a 2012

Si bien Windows 2012 hace un tiempo que está en el mercado todavía sigo viendo empresas que tienen su dominio Windows bajo 2008 o incluso 2003. La idea de este post es guiar en el proceso para realizar una migración y una vez migrado comenzar a agregar otro tipo de servidores para completar una red típica de una empresa.
Comenzamos con este diagrama de Red:

El dominio en Windows 2008 ya esta creado y se llama itfac.local. Lo que haremos será configurar un Windows 2012, preparar el esquema y dominio y agregarlo como controlador de dominio secundario.

Vemos la configuración del Controlador de Dominio DC-W2008.

Ya tenemos instalado el Windows 2012 que llamaremos DC-W2012 y lo configuramos en la misma red y colocamos como DNS primario al DC-W2008.

 

Una vez configurado y asegurandonos que hacemos Ping, lo agregamos al dominio como un servidor miembro y reiniciamos.

Ya hemos reiniciado y comenzamos con la instalación de los Roles para luego promocionarlo como controlador de dominio adicional.

 

Dejamos tildada la opción seleccionada y damos siguiente.

   

Damos siguiente.

 

Aquí nos toca seleccionar los roles que queremos instalar. Marcamos  Servicios de Dominio de Active Directory y Servidor DNS. El resto lo dejamos tal cual como está y damos siguiente.

 

En esta pantalla nos pide que seleccionemos las características. Dejamos como está y damos siguiente.

 

En las próximas pantallas nos muestra cada Rol selecionado y solo debemos dar siguiente para seguir avanzando.

Damos siguiente...

 

Nos pide confirmar la selección y damos Instalar.

  

Aquí vemos la pantalla de instalación.

 Nos muestra la finalización de la instalación.

Luego nos pide que sigamos la configuración para el Servicio de Dominios. Veamos la imagen.

  

Como queremos migrar el dominio, agregamos el Windows 2012 como controlador de dominio adicional.

Tildamos la opción de Catálogo Global, colocamos la contraseña de recuperación y le damos Siguiente y en las próximas ventantas también.

 

 

 

 

Le damos Instalar...

 

 

Cerrar y reiniciamos.

 

 Ya iniciado. Nos permite loguearnos. Usamos el usuarios Administrador y su respectiva contraseña.

Una vez adrentro, vamos a la Consola de Usuarios y Equipos de AD y vemos en la OU de Domain Controllers los dos controlados de dominio. El DC-W2008 y el DCW-2012.

Ahora, vamos auna PC con Windows 7 y la agregamos al dominio. Configuramos la red y la unimos.

Y por último, vemos en la OU Computers la PC con Windows 7 recien agregada.

}

 En las próximas entradas veremos como continuar para despromocionar el Dc-W2008 y seguir con las instalación del resto de los servidores.

Servidores VPN para navegar seguros

En muchas oportunidades hemos hablado de la inseguridad al momento de navegar por internet y la falta de privacidad. Más alla de que pensemos que no hay motivos para que nos espíen tenemos que saber que ciertos servicios de buscadores y redes sociales se personalizan automaticamente mediante nuetsro perfil digital. De esto ya hablamos hace tiempo ( http://netconredes.blogspot.com.ar/2015/09/nada-es-gratis-todo-se-paga-mediante-su.html ), ahora veremos como podemos sortear o securizar nuestra navegación.
El método que utilizaremos son las conexiones VPN. Las famosas VPN son enlaces virtuales privadas que se crea encima de un canal público (hacemos de cuenta que venimos circulando por una avenida y creamos un tunel para nosotros solos). Si bien no se puede confiar 100% en una VPN gratuita ya que no sabemos su verdadera procedencia, es mejor que nada.

Veamos algunas VPN más utilizadas.

SecurityKiss  https://www.securitykiss.com

Es este servidor VPN que nos ofrece varias funciones de forma gratuita.

    - Su uso es muy sencillo: Descargar el cliente y conectar.
    - No necesita registro para funcionar.
    - Gran multitud de servidores a elegir.
    - Funciona perfectamente por los protocolos OpenVPN y PPTP.
    - No tiene límites de velocidad.

Funciona en la mayoria de los SO y tambien posee una version paga con algunas características más.

ProXPN http://proxpn.com/

También posee varias características.

    - Descargar el cliente y conectar.
    - Gran multitud de servidores a elegir. (Versión paga)


SpotFlux  http://spotflux.com/

 

Según dicen SpotFlux es un servidor VPN totalmente anónimo.

    - Descargar el cliente y conectar.
    - Ofrecer cifrado completo.
    - Permite bloquear la publicidad al navegar.


CyberGhost  www.cyberghostvpn.com

Localizado en Rumania, es un servidor bastante utilizado porque no almecena los logs de conexiones.
Si bien tienen limitaciones de conexiones en su vresión free, no por eso deja de ser atractivo.



Si buscamos por intenet veremos que hay muchos sitios que nos ofrecen servicios VPN gratuitas y pagas. Lo ideal es que la VPN a utilizar tenga reputación buena y que una vez conectados tengamos buen ancho de banda.

SecurityKiss es este servidor VPN que nos ofrece varias funciones de forma gratuita:

• Su uso es muy sencillo: Descargar el cliente y conectar.
• No necesita registro para funcionar.
• Gran multitud de servidores a elegir.
• Funciona perfectamente por los protocolos OpenVPN y PPTP.
• Aseguran que será gratuito de por vida.
• Cifrado de la red de 1024 bits.
• No tiene límites de velocidad.

- See more at: http://www.redeszone.net/redes/securitykiss-analisis-de-este-vpn-gratuito-y-multiplataforma/#sthash.Y09bUvln.dpuf

Reduciendo costos mediante la virtualización

Mucho se habla en estos días sobre la virtualización pero pocos administradores saben utilizarla de forma eficaz para aprovechar los equipos y reducir costos de su datacenter. En esta nota explicaremos a grandes rasgos lo que se logra virtualizando y cual es la reducción estimada que logramos.

La instalación típica de un servidor es asignar a cada equipo un rol y ponerlo en funcionamiento. Los equipos actuales, aunque compremos los más económicos del mercado en gama Servidores, posee un gran poder de procesamiento que para la mayoria de los casos termina siendo muy holgado para el rol del servidor que vamos a instalar, salvo casos específicos.

Me ha tocado ver casos de datacenter con servidores que solo funcionan al 5% de su capacidad, lo cual hace este datacenter nada eficáz en consumo de energía por la cantidad de equipos y por la refrigeración para mantener la temperatura adecuada.

En estos casos la virtualización puede ayudar a reducir hasta un 80% el consumo eléctrico y además puede aprovecharse las ventajas que nos brindan las plataformas virtuales.

Nombremos algunas ventajas de virtualizar:

- Reducción de costes de energia y climatización del datacenter.

- Independencia de hardware.

- Entornos completamente independientes.

- Asignación de recursos a medida.

- Reducción en tiempo de recuperación ante una falla.

- Independencia de Sistemas Operativos.

Pongamos un ejemplo bastante común y práctico para entender mejor. Tenemos un datacenter con 8 servidores físicos. 

2 Controladores de dominio.

1 Servidor de Archivos.

1 Servidor antivirus y Wsus.

1 Servidor Web bajo Linux.

1 Servidor Proxy bajo Linux.

1 Servidor de Correo.

1 Servidor de Backup.

En la mayoria de los casos, con los servidores actuales, el uso de los equipos rondaría el uso en un porcentaje entre el 2% y el 10%, dejando el 90% de los recursos sin utilizar.

Mediante la virtualización podemos instalar los servidores en plataformas virtuales completamente independientes y reducir el número de equipos de 8 a 3.

Podriamos distribuirlo de la siguiente manera:

Equipo 1: - Controlador de dominio

                 - Servidor de archivos

                 - Servidor de Correo

Equipo 2: - Controlador de dominio

                 - Servidor antivirus y Wsus

                 - Servidor proxy

                 - Servidor Web

Equipo 3:  - Servidor backup 

En este caso el equipo 3 además de tener el servidor de backup, queda disponible si tenemos alguna contingencia para aprovechar la tolerancia a fallos.

En este ejemplo, se ha reducido la cantidad de equipos físicos de 8 a 3 sin perder poder de funcionamiento y se redujo la cantidad de energía utilizada en refrigeración.

  

Actualizar Fedora 22 a 23 en cuatro pasos.

Vamos a ver como actualizar Fedora 22 a su nueva versión 23 de manera online.

Anteriormente se utilizaba el comando “fedup” pero esto ha cambiado.

Ahora utilizaremos un plugin, para el sistema de gestión de paquetería por terminal DNF.

DNF permite:

• Instalar paquetes
• Actualizar paquetería
• Instalar repositorios de software
• Remover paquetería
• Des actualizar Paquetería
• Obtener información de paquetes
• Instalaciones de paquetería por medio de grupos
• Realizar una actualización parcial del sistema –> Nueva función.

1- Lo primero será actualizar el sistema y todos sus paquetes.


$ su -c "dnf update"




2-  Instalamos el plugins.

$ su -c "dnf install dnf-plugin-system-upgrade"


3- Descargamos los paquetes

$ su -c "dnf system-upgrade download --releaserver=23 --best"


4- Reiniciamos y actualizamos

$ su -c "dnf system-upgrade reboot"

 

Para conocer la versión ejecutamos cat /etc/redhat-release 


Listo!!

Requisitos de puerto de Active Directory y Servicios de dominio de Active Directory

Cuando montamos una red de Active Directory y debemos securizarla mediante firewall en cada servidor debemos tener en cuenta que servicios corren en cada uno para solo permitir el trafico que nos interesa dejar pasar.

Especificaremos que puertos abrir para cada servicio:

Intervalo de puertos dinámicos predeterminado

En un dominio de modo mixto que consta de controladores de dominio basados en Windows Server® 2003 y en Microsoft® Windows® 2000 Server o bien equipos cliente de versiones anteriores, el intervalo de puertos dinámicos predeterminado oscila entre 1025 y 5000.

Windows Server 2008 y Windows Vista® han aumentando el intervalo de puertos de cliente dinámicos en el caso de las conexiones salientes de 49152 y el de finalización, 65535.

En consecuencia, será necesario aumentar el intervalo de puertos de llamada a procedimiento remoto (RPC) en los firewalls. Si tiene un entorno de dominio mixto en el que hay un servidor de Windows Server 2008, permita el tráfico por los puertos 1025 a 5000 y 49152 a 65535. 

NOTA: Cuando vea “TCP dinámico” en las columnas relativas a los puertos de las siguientes tablas, hace referencia a los puertos 1025 a 5000 (intervalo de puertos predeterminado en Windows Server 2003 y versiones anteriores del sistema operativo cliente) y a los puertos 49152 a 65535 para Windows Server 2008 y Windows Vista.

 Replicación

 En la siguiente tabla se enumeran las asignaciones de puerto relativas a la replicación de AD DS y Active Directory.

Puerto                             Tipo de tráfico

TCP y UDP 389             LDAP

TCP 636                         LDAP SSL

TCP 3268                       GC

TCP y UDP 88              Kerberos

TCP y UDP 53              DNS

TCP y UDP 445            SMB sobre IP

TCP 25                          SMTP

TCP 135, dinámico       RPC, ECM

Confianzas

En las tablas que aparecen a continuación se enumeran los requisitos de puerto para establecer confianzas en los siguientes entornos:

Microsoft Windows NT

 Puerto de cliente     Puerto de servidor     Tipo de tráfico

UDP 137                   UDP 137                   Resolución de nombres NetBIOS

UDP 138                   UDP 138                   Servicio de datagramas de NetBIOS

TCP dinámico           TCP 139                    Servicio de sesión de NetBIOS

Windows 2000 Server y Windows Server 2003

Puerto de cliente                   Puerto de servidor     Tipo de tráfico

TCP dinámico                      TCP 135                     RPC, EPM

TCP dinámico                      TCP dinámico            Servicios RPC de autoridad de segu. local

TCP y UDP dinámicos        TCP 389                      LDAP

TCP dinámico                      TCP 636                     LDAP SSL

TCP dinámico                      TCP 3268                  GC

TCP dinámico                      TCP 3269                  GC SSL

TCP y UDP 53, dinámicos   TCP y UDP 53          DNS

TCP y UDP dinámicos         TCP y UDP 88          Kerberos

TCP dinámico                      TCP 445                     SMB, DFS, LsaRPC, Nbtss, NetLogonR,                                                                                        SamR, SrvSvc

Windows Server 2008

Puerto de cliente                  Puerto de servidor              Tipo de tráfico

TCP dinámico                     TCP 135, 49152–65535      RPC, EPM

TCP y UDP dinámicos        TCP y UDP 389                  LDAP

TCP dinámico                     TCP 636                              LDAP SSL

TCP dinámico                     TCP 3268                           GC

TCP dinámico                     TCP 3269                           GC SSL

TCP y UDP 53, dinámicos TCP y UDP 53                    DNS

TCP y UDP dinámicos       TCP y UDP 88                    Kerberos

TCP y UDP dinámicos       TCP-NP y UDP-NP 445     Admin. de cuentas de seguridad (SAM), LSA

TCP dinámico                    UDP 138                             Servicio de datagramas de NetBIOS

Catálogo global

Puerto              Tipo de tráfico

TCP 3268         GC

TCP 3269         GC SSL

Controladores de dominio de solo lectura

En la siguiente tabla se enumeran los puertos que se deben abrir en el firewall para permitir la comunicación entre un controlador de dominio grabable en una red corporativa y un controlador de dominio de solo lectura (RODC) en una red perimetral.

Puerto                              Tipo de tráfico

TCP 135                          RPC, EPM

TCP 53248 estático         FRsRpc

TCP 389                          LDAP

En la siguiente tabla se enumeran los puertos que se deben abrir en el firewall para permitir la comunicación entre un RODC en una red perimetral y un controlador de dominio grabable en una red corporativa.

Puerto                               Tipo de tráfico

TCP 57344                       DRSUAPI, LsaRpc, NeLogonR

TCP 53248 estático           FRsRpc

TCP y UDP 389                LDAP

TCP 3268                          GC

TCP 445                            DFS, LsaRpc, NbtSS, NetLogonR, SamR, SMB, SrvSvc

TCP y UDP 53                  DNS

TCP 88                              Kerberos

UDP 123                           Servicio Hora de Windows (W32time)

TCP y UDP 464                Cambiar/establecer contraseña Kerberos

En la siguiente tabla se enumeran los puertos que se deben abrir en el firewall para permitir la comunicación entre los servidores miembro de una red perimetral y un RODC de la red perimetral. Estos puertos deben estar abiertos solo si existe un firewall interno que separe a los servidores miembro en la red perimetral del RODC en la misma red.

Puerto                                Tipo de tráfico

TCP 135                            RPC, EPM

TCP y UDP 389                LDAP

TCP 445                            DFS, LsaRpc, NbtSS, NetLogonR, SamR, SMB, SrvSvc

UDP 53                             DNS

TCP 88                              Kerberos

(En caso de tener un DC en Windows 2003 abrir también UDP 88)

TCP y UDP 464               Cambiar/establecer contraseña Kerberos

TCP dinámico                  DNS, DRSUAPI, NetLogonR, SamR

DNS

En la siguiente tabla se enumeran los requisitos de puerto relativos al Sistema de nombres de dominio (DNS).

Puerto                      Tipo de tráfico

TCP y UDP 53         DNS

DHCP

En la siguiente tabla se enumeran los requisitos de puerto relativos al Protocolo de configuración dinámica de host (DHCP).

Puerto               Tipo de tráfico

UDP 67             DHCP

UDP 2535         MADCAP

Servicio de nombres Internet de Windows

En la siguiente tabla se enumeran los requisitos de puerto relativos al Servicio de nombres Internet de Windows (WINS).

Puerto                      Tipo de tráfico

TCP y UDP 42        Replicación de WINS

UDP 137                 Resolución de nombres NetBIOS

Autenticación de usuarios y equipos

En la siguiente tabla se enumeran los requisitos de puerto para la autenticación de usuarios y equipos.

Puerto                         Tipo de tráfico

TCP y UDP 445         SMB/CIFS/SMB2

TCP y UDP 88           Kerberos

UDP 389                     LDAP

TCP y UDP 53           DNS

TCP dinámico            RPC

Directiva de grupo

En la siguiente tabla se enumeran los requisitos de puerto de la directiva de grupo. Además de los puertos incluidos en la tabla, un equipo cliente también debe ser capaz de ponerse en contacto con un controlador de dominio a través del Protocolo de mensajes de control de Internet (ICMP). ICMP se usa para detectar vínculos lentos.

Puerto                                 Tipo de tráfico

TCP y UDP dinámicos      DCOM, RPC, EPM

TCP 389                            LDAP

TCP 445                            SMB

Servicios web de Active Directory

En la siguiente tabla se enumeran los requisitos de puerto de Servicios web de Active Directory (ADWS).

noteNota

ADWS se usa únicamente en Windows Server 2008 R2.

Puerto             Tipo de tráfico

TCP 9389        SOAP

***Nota: Lo principal a tener cuenta es conocer que sistemas operativos estamos interactuando ya que como hemos visto algunas versiones usan un puerto u otro para el mismo servicio.

Fuente: Microsoft

Nada es gratis, todo se paga mediante su perfil digital.

Cuando nos conectamos a internet y comenzamos a navegar nos rodean propuestas con servicios "totalmente gratuitos". Pero estos servicios son realmente gratuitos? Como hace el dueño de ese servicio para brindarlo sin cobrar por ello?

Como servicios gratuitos más importantes podemos nombrar las redes sociales tipo Facebook, Twitter, etc, servicios de email como Yahoo, Gmail o Hotmail o algún servicio de almacenamiento de nube.

Pero nunca nos detenemos a pensar como esos servicios de mantienen en pié, cuando por ejemplo, empresas como Facebook disponen de miles de servidores y personas trabajando a las cuales se le paga un sueldo para mantener esa infraestructura. 

Es aquí donde aparece el concepto de perfil digital de un usuario. Lo que llamamos "Perfil digital" de un usuario es como una recopilación de información que define a ese usuario cuando está conectado a internet. Dicha información es que servicio de email usa, si usa almacenamiento en la nube o no, si realiza compras online, que articulos compra y que información busca para leer. ¿Y esa información quíen la recopila? Esos datos se van recopilando mientras el usuario navega en internet mediante las cookies y muchas aplicaciones  "gratuitas" se utilizan con el mismo fín, de manera que mediante pasa el tiempo más grande es su perfil digital y mas amplia es la base de datos de gustos y  preferencias de ese usuario. Esa información es la paga por todos estos servicios gratuitos.

¿Y ahora que tienen toda esa información, como ganan dinero? Muy sencillo. Muchos decimos que esta es la Era de la información, y si, dicha información es la que se negocia.

Por ejemplo, un anunciante de un producto a la venta puede contratar alguna red social para que muestre esta publicidad de venta solo a quienen posean un perfil digital determinado u otro ejemplo es que muchos centros comerciales que brindan "WiFi gratis" pueden conocer el flujo de personas y su comportamiento dentro del local, lo cual pueden utilizar para el marketing o el precio de determinados locales.

Un estudio difundido por IAB Argentina muestra varios aspectos del perfil del usuario digital argentino desde donde se desprenden datos como que el 77 por ciento de los argentinos utiliza Internet desde su hogar, que consume 8,3 horas por mes promedio de video en la Web y 99 minutos por mes a leer noticias desde esta vía. - See more at: http://www.infotechnology.com/internet/El-perfil-del-usuario-digital-argentino-20120907-0002.html#sthash.9eL80ODx.dpuf

Un estudio difundido por IAB Argentina muestra varios aspectos del perfil del usuario digital argentino desde donde se desprenden datos como que el 77 por ciento de los argentinos utiliza Internet desde su hogar, que consume 8,3 horas por mes promedio de video en la Web y 99 minutos por mes a leer noticias desde esta vía.

Así que cada vez que navegue por la web sepa que su información puede estar siendo recolectada.

Como ubicar geográficamente a una persona utilizando WeChat

Actualmente vemos muchas aplicaciones de chat o redes sociales que brindan la distancia de un determinado contacto. En esta oportunidad decidimos ver cúan lejos podemos llegar con estas aplicaciones para geolocalizar a una persona.

En este ejemplo utilizaremos WeChat, pero cualquier aplicación que informe la distancia lineal puede utilizarce.

Lo primero que hacemos es medir la distancia entre nosotros y la persona que queremos localizar de forma repetida tres veces como mínimo desde distintas ubicaciones.

Ej: 

Primera Medicion (P1)= 200 mts

Segunda Medicion (P2)= 250 mts

Tercera Medicion (P3)= 230 mts

Ahora, utilizando nuestra localización y tomando la distancia al objetivo como radio (r) iremos marcando por cada medición una circunferencia. Debemos lograr que mediante nuestro movimiento, el "objetivo", quede ubicado mas o menos al centro. Y comenzamos a aplicar geometría básica. 

Ver Figura.

   En posición B, se pueden calcular las coordenadas usando los puntos conocidos P1, P2 y P3 en un plano horizontal. Medir la distancia r1 se pone en un círculo. Medir r2 se pone en dos puntos A o B. Medir la tercera distancia r3, da las coordenadas del punto B. Eso se conoce como resección o trilateración.

Como vemos, siempre debemos usar estas aplicaciones de manera cuidadosa ya que podemos estar brindando nuestra geolocalización a cualquier persona que se interese en nosotros. 
El uso de esta información es para fines educativos e informativos para la correcta configuración de los smartphones para resguardar la privacidad individual.