Windows 10: Utilidades de directorio activo

Para poder usar las utilidades de exploración del directorio activo en windows 7 y windows 10, es necesario activar RSAT ( Remote Server Administration Tools) a través de Programas y características.

rsat_windows_dominio_01

Panel de control > Programas > Programas y características > Activar o desactivar las características de windows.

rsat_windows_dominio_02Habilitamos Remote Server Administration Tools > Feature Administration Tools > AD DS and AD LDS Tools > AD DS Tools

rsat_windows_dominio_03

A través de la consola mmc (mmc.exe) añadimos el complemento de Usuarios y equipos de active directory.

rsat_windows_dominio_04

 

Windows: Configurar un cluster con quorum en unidad compartida de red.

Al trabajar con cluster de microsoft en máquinas virutales, es imposible crear un disco de quorum compartido entre 2 máquinas sin que haya dependencia del host. Renunciar a los movimientos de máquinas virtuales entre hosts, hace imposible el mantenimiento. Por ello, es mejor configurar las máquinas windows en cluster con el disco de quorum en una unidad de red.

Creación del cluster

Cada una de las máquinas tendrá sus discos de datos, configurados como discos normales.

  • win1

  • win2

Se crea un cluster de conmutación por error, con los dos nuevos nodos windows.

Cuando ya lo tenemos, tenemos que crear su nuevo disco de quorum.

Seleccionar el testigo de quorum.

ms.quorum.error018

Configurar un testigo de recurso compartido de archivos.

ms.quorum.error023

Configuramos la ruta de red compartida.

ms.quorum.error024

En este punto, nos puede dar un error de permisos de quorum.ms.quorum.error025

El problema radica en que en windows, es la cuenta del sistema local quien está ejecutando el servicio de cluster. Esta cuenta local (distinta para cada nodo del cluster) no tiene permisos sobre la carpeta compartida del quorum.

Forzando el servicio de cluster a ejecutar con una cuenta de dominio que tenga permisos sobre la unidad de red, ya no hay problema en configurar el quorum.

También se puede optar por otra opción, que es dar permisos a los usuarios de máquina local que ejecutarán el servicio, sobre el almacenamiento en red, de forma que tengan acceso de lectura y escritura sobre los archivos del quorum.

Windows 2008: Añadir usuarios al grupo de escritorio remoto

Para permitir escritorio remoto a usuarios de windows sin darles permisos de administrador, existe un grupo local “grupo de escritorio remoto”.

Para configurarlo:

  • Administración de equipos
  • Usuarios y grupos locales
  • Grupos
  • Usuarios de escritorio remotos
Windwos 2008: Acceder al grupo de escritorio remoto
Windwos 2008: Acceder al grupo de escritorio remoto

Servidor Radius en windows 2008 NPS

Configuración de Radius Rol NPS en windows 2008 y 2012.

Si el radius va a autenticar contra un dominio, debe formar parte del dominio activo antes de comenzar la instalación.

Se debe comenzar con la instalación del rol de servidor:

rad01

Se crean los nuevos clientes, con su secreto y su IP:

rad02

Se crea la directiva de red, que especifica qué usuarios del dominio van a poder acceder a la red

rad03

En la directiva de red, se especifican también los servidores DNS si procede.

rad04

Verificamos la directiva de solicitud de conexión para asegurar que siempre se permita el acceso de conexión

rad05

 

Los logs de conexiones se guardan en

C:\Windows\System32\LogFiles

Recomendamos el uso de log parser / log lizard para acceder a ellos.

Monitorización desde Nagios:

Probando el paquete freeradius-utils, hemos conseguido hacer un script que se ocupe de la monitorización en tiempo real del radius.

https://github.com/esterniclos/nagios_radius

Se basa en un cliente check_radius.sh que se debe instalar en la carpeta de nagios para plugins, y llamar a través de un servicio.

Para hacer pruebas en bash, se puede usar la siguiente línea:

echo "User-Name=$USER,User-Password=$PASSWORD" | radclient -4 $HOST auth $SECRET

 

cntlm. Proxy con autenticación para herramientas que no admiten la autenticación windows

cntlm funciona como un servicio de windows, y se ocupa de la autenticación con el proxy de todas esas herramientas que no lo soportan.

 

En mi caso, tenemos, por ejemplo f5editor, owncloud, tortoise git… Aceptan parámetros de proxy, pero con autenticación no funciona.

La instalación de cntlm es sencilla, y su configuración se basa en un archivo de texto. Eso sí, usuario y contraseña del dominio quedan en claro.

C:\Program Files (x86)\Cntlm

En cntlm.in configuramos:

Username    myuser
Domain        mydomain
Password    mypass
...
Proxy       192.168.1.10:8080
Proxy       192.168.1.11:8080
...
NoProxy        localhost, 127.0.0.*, 10.*, 192.168.*

Probamos la conexión:

$ cntlm -I -M http://test.com

Espero que os sea muy útil

IAS y Radius: Olvidé mi secreto

Se puede acceder de forma sorprendentemente fácil a los secretos IAS en windows 2003, simplemente localizando el fichero IAS.mdb y accediendo a la entrada del servidor radius correspondiente:

C:\WINDOWS\SysWOW64\ias
 C:\windows\system32\ias

Abriendo el mdb con access, en la tabla “properties” encontramos una línea por servidor con su clave secreta.

Supongo, o quiero suponer, que lo habrán resuelto ya en la versión de 2008.