Categoría: Servidores

Categorías
Servidores

Comandos utiles para la consola de linux

Comando du

El comando du, Disk Usage, nos muestra el espacio que ocupan todos los directorios a partir del directorio actual.

El numero de la primera columna es el espacio ocupado por el directorio y esta expresado en kb.

  • du
    archivo nos dice cuanto ocupa el archivo.
  • du -s
    nos muestra únicamente el total.
  • du -a
    muestra lo que ocupan los archivos, ademas de los directorios.
  • du -h
    hace el listado, indicando la unidad (human readable).
  • du -sh
    Cuanto pesa el directorio
  • du -sm *
    Listado de los directorios más pesados que tenemos en nuestro organizados de mayor a menor
  • du -sh * | sort -nr | head -10
    Listado ordenado de mayor a menor, con tope de 10
  • du -sch
    Listado con tamaños y suma total de todos ellos.

¿Como contar los archivos que tiene un directorio?

ls | wc -l

Para tener en cuenta también los archivos ocultos, habrá que pasar el parámetro -A al comando ls

ls -A | wc -l

El parámetro -A lista todos los archivos excepto la ruta de carpetas . y .. que siempre se muestran implícitas.
Si sólo pasamos el parámetro -a nos contaría las carpetas . y .. que en realidad no existen dentro del directorio físico como archivo o carpetas.

¿Como eliminar ficheros abiertos por el sistema que no se estan utilizando?

A veces después de eliminar los ficheros, si estos estaban siendo utilizados de alguna forma por el sistema, es posible que aunque el fichero ya no se muestre, el espacio siga estando ocupado y nuestro servidor seguirá sin funcionar correctamente.

Para determinar cuales son estos ficheros y liberar el espacio podemos utilizar el comando

lsof +L1

Que nos mostrará los ficheros abiertos pero que ya no están enlazados al sistema, es decir que han sido marcados como borrados pero aun hay alguna aplicación que los está utilizando.

Categorías
Servidores

Como deshabilitar la recursividad en el servidor DNS en Windows Server

Sigas los siguientes pasos:

  1. Abra DNS.
  2. En el árbol de consola, haga clic con el botón secundario del <i>mouse</i> (ratón) en el servidor DNS correspondiente y luego haga clic en Propiedades.
  3. Haga clic en la ficha Opciones avanzadas.
  4. En Opciones del servidor, desactive la casilla de verificación Deshabilitar recursividad y, a continuación, haga clic en Aceptar.

Notas

  • Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente. Si el equipo está unido a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento. Como práctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento.
  • Para abrir DNS, haga clic en InicioPanel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en DNS.
  • Si deshabilita la recursividad en el servidor DNS, no podrá utilizar reenviadores en el mismo servidor.
Categorías
Servidores

Como cambiar el puerto del escritorio remoto

Hay que modificar la siguiente clave de registro.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
 "PortNumber"=dword:00000d3e

El valor PortNumber cuando es modificado entre paréntesis pone el puerto, en este caso el 3390 en lugar del 3389.

Cosas a tener en cuenta cuando se proceda a cambiar el puerto por defecto

Hay que abrir el puerto nuevo asignado en el firewall, antes de reiniciarlo, ya que si no lo hace, no podrá entrar por escritorio remoto, ni con el puerto por defecto

Cuando intente conectar con este equipo mediante la conexión de Escritorio remoto, tendrá que escribir el nuevo puerto.

La IP o dns asignado más el puerto que has cambiado, separado por dos puntos.

Ejemplo: xxx.xxx.xxx.xxx:3388
Ejemplo: midominio:3388

Listado de puertos

Listado de de ejemplo de valor hexadecimal y su puerto correspondiente.

Valor hexadecimalPuerto
00000d3a3386
00000d3b3387
00000d3c3388
00000d3d3389 – Default
00000d3e3390
00000d3f3391
00000d3g3392

Tutorial en imágenes

Categorías
Servidores

Cómo restringir NTLM: tráfico NTLM entrante

La autenticación NTLM es una familia de protocolos de autenticación que se incluyen en Windows.

Los protocolos de autenticación NTLM autentican a usuarios y equipos en función de un mecanismo de desafío/respuesta que le demuestra a un servidor o a un controlador de dominio que un usuario conoce la contraseña asociada con una cuenta.

Aplicaciones actuales del NTLM

La autenticación NTLM aún se admite y se debe usar para la autenticación de Windows con sistemas configurados como miembros de un grupo de trabajo.

La autenticación NTLM también se usa para la autenticación de inicio de sesión local en los controladores de dominio.

La autenticación Kerberos versión 5 es el método de autenticación preferido para entornos de Active Directory, pero puede que una aplicación de Microsoft o que no es de Microsoft siga usando NTLM.

Bloquear el protocolo NTLM

En algunas ocasiones es necesario bloquear dicho acceso, con lo que aplicaremos los siguientes pasos..

INICIO / Todos los Programas / Herramientas Administrativas / Directiva de Seguridad Local

Una vez dentro ir a la siguiente rama

Configuración de Seguridad / Directivas Locales / Opciones de Seguridad / Seguridad de Red: Restringir NTLM: tráfico entrante NTLM

NOTA: empieza desde abajo, ya que esta al final de opciones de seguridad

Esta configuración de directiva permite denegar o permitir el tráfico NTLM entrante.

Si selecciona «Permitir todo» o no establece esta configuración de directiva, el servidor permitirá todas las solicitudes de autenticación NTLM.

Si selecciona «Denegar todas las cuentas de dominio», el servidor denegará las solicitudes de autenticación NTLM para el inicio de sesión en el dominio y mostrará un mensaje de error de NTLM bloqueado pero permitirá el inicio de sesión en una cuenta local.

Si selecciona «Denegar todas las cuentas», el servidor denegará las solicitudes de autenticación NTLM del tráfico entrante y mostrará un mensaje de error de NTLM bloqueado.

Esta directiva se admite en Windows 7, Windows Server 2008, Windows Server 2012.

Nota: los eventos de bloqueo se registran en este equipo en el registro «Operativo» que se encuentra en Registros de aplicaciones y servicios/Microsoft/Windows/NTLM.

Categorías
Servidores

Como bloquear el acceso al regedit con políticas del sistema en Windows Server

La directiva la encontramos en Configuración de usuario\Directivas\Plantillas Administrativas\Sistema.

Con esta directiva conseguiremos que los usuarios no accedan a modificar el registro de Windows.

Una vez habilitada la directiva, si un usuario intenta ejecutar regedit obtendrá un mensajito como este:

Con sólo habilitarla no impediremos el uso del modo silencioso, es decir, un usuario podría ejecutar algo así como, regedit.exe /s archivo.reg para añadir claves al registro.

Por ello, hay que marcar SI en la opción de ¿Desea deshabilitar la ejecución sin notificación de regedit? para impedir tanto que ejecute regedit como para la ejecución del modo silencioso.

Categorías
Servidores

Como instalar Active Directory en Windows Server 2008 RC1

Pasos para Instalar Active Directory:

  1. Debemos configurar el protocolo TCP/IP, en este caso he deshabilitado el TCP/IP versión 6 y adicionalmente he configurado al mismo servidor como cliente DNS.
  2. Ejecutamos el comando dcpromo y esperamos que se configuren los binarios para la promoción de un Controlador de dominio.
  3. Cargará la ventana de Bienvenida para promoción de un Controlador de dominio. El check para la instalación en modo avanzado brinda configuraciones avanzadas para la promoción de controladores de dominio. En esta ocasión no marcaremos el check.
  4. Cargará un mensaje de advertencia, informándonos de las nuevas características de los controladores de dominio sobre Windows Server 2008 como la seguridad.
  5. Seleccionamos, Create a new domain in a new forest. Esta opción nos permitirá crear un nuevo dominio.
  6. Escribimos el nombre FQDN para nuestro dominio. En este caso será exchangepro.local. Luego de aceptar el nombre de dominio se revisará el nombre DNS y NetBIOS para comprobar que no exista conflictos de nombres.
  7. A continiación seleccionamos el nivel funcional del bosque. En este caso aprovecharemos las ventajas del nivel funcional Windows Server 2008.
    Mayor información sobre los niveles funcionales de Windows Server
  8. A continuación seleccionamos verificamos que el controlador de dominio Windows Server 2008 ejecute el servicio de DNS, para la resolución de nombres. Por defecto el primer controlador de dominio es Global Catalog. Como es el primer controlador de dominio promovido no puede ser Read-Only Domain Controller.
    Mayor información sobre los Read-Only Domain Controller.
  9. Aceptamos el mensaje de advertencia. Este mensaje explica que es necesario delegar la zona primaria si es que se requiere que los nombres DNS se resuelvan desde fuera del dominio exchangepro.local, en nuestro caso no es necesario delegar porque este DNS sólo resolverá nombres locales y de Internet pero desde la red interna.
  10. A continuación ingresamos una contraseña para la restauración del Active Directory en modo de Directory Services Restore Mode.
  11. Aparecerá un sumario con el resumen de lo seleccionado para instalación del AD DS.
  12. Empezará la promoción del Controlador Windows Server 2008. Este proceso se llevará a cabo durante unos minutos.
  13. Cuando el proceso finaliza debemos reiniciar el nuevo Controlador de dominio.
  14. Ahora podremos ingresar a nuestro Controlador de dominio con nuestro domain admin.
  15. Podemos acceder a la consola de administración del servicio de Directorio Activo. Desde Server Manager o dirigiéndonos a Administrative Tools.
Categorías
Servidores

Asignación de ancho de banda para conexiones Terminal Services sobre RDP en Windows Server 2008

En un entorno en el cual el ancho de banda es bajo, estas aplicaciones compiten por el ancho de banda disponible.

Como resultado, este tráfico debe competir además, con el tráfico de fondo, como por ejemplo trabajos de impresión que viajan a un Print Server, entre otras cosas.

En Windows Vista y Longhorn (Windows Server 2008 para quienes todavía no estén familiarizados), este problema se ha resuelto con la introducción de un simple esquema en el cual se ha ajustado el porcentaje de ancho de banda asignado a video, y el resto se dirije a un canal de tráfico virtual.

Por defecto, esta asignación es: 70% Video – 30% para el canal virtual.

En otras palabras, cuando el uso del ancho de banda se encuentre en un nivel elevado, el tráfico correspondiente a video tendrá un 70% del ancho de banda disponible.

Si bien este esquema no resuelve el problema de manera efectiva, pueden existir algunos escenarios que requieran algún ajuste adicional. Existen algunas claves de registry que pueden modificarse:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TERMDD

  • FlowControlDisable:
    • Cuando este valor se setea en 1, se deshabilita el nuevo algoritmo de control de flujo, haciendo escencial la metodología FIFO o PEPS (First-In-First-Out o Primero-Entra-Primero-Sale) para todos los paquetes solicitados. Esta es la funcionalidad que provee Windows Server 2003. El valor por defecto es 0.
  • FlowControlDisplayBandwidth/FlowControlChannelBandwidth:
    • Ambos valores en conjunto determinan la distribución del ancho de banda entre el display y los canales virtuales. Se pueden setear entre el rango de 0-255. Por ejemplo 100-100 distribuirá equitativamente el tráfico entre Video y VCs (Virtual Channels). El valor por defecto es de 70 para FlowControlDisplayBandwidth, y 30 paraFlowControlChannelBandwidth.
  • FlowControlChargePostCompression:
    • En 1, este valor basará la distribución del ancho de banda en el uso de Post-Compression. El valor por defecto es 0, significando que la distribución se aplica en el modo Pre-Compressed.
Categorías
Servidores

¿Como funciona el Servidor DNS en Windows Server 2008?

Básicamente, se incluyen cuatro novedades principales:

  • Background Zone Loading: Los servidores DNS que contienen grandes zonas integradas en Active Directory, ahora podrán responder más rápido cuando son reiniciadas debido a que la información de las mismas se carga en background.Básicamente, los pasos cuando inicia DNS son los siguientes:
    • Enumerar todas las zonas que serán cargadas.
    • Cargar los root hints desde archivos o desde AD.
    • Cargar todas las zonas no integradas a AD.
    • Comenzar a responder consultas y RPCs.
    • Iniciar procesos para la carga de zonas integradas.

Debido a que la carga de zonas es llevada a cabo en diferentes threads, DNS es capaz de responder consultas mientras el proceso de carga de las zonas es llevado a cabo.

Si un cliente realiza una consulta sobre una zona que ya se ha cargado, responde como se espera. En caso contrario, leerá la información del nodo en AD, y actualizará el registro correspondiente.

  • Soporte IP Version 6: Ahora DNS tiene soporte Full IPv6. IPv6 especifica direccionamiento con IPs de 128 bits, a diferencia de las IPv4, de 32 bits. DNS puede enviar consultas recursivas a servidores IPv6-only, y el forwarder puede contener direcciones en ambas versiones. Los clientes DHCP también pueden registrar ambas versiones de IP. DNS soporta el namespace ip6.arpa para mapeo reverso.
  • Soporte para Read-only Domain Controllers: Provee zonas de solo lectura para RODCs, referidas como primary read-only zones o branch office zones. Cuando un servidor actua como RODC, replica una copia de solo lectura de las Application Directory Partitions que DNS usa, incluyendo la Domain Partition, ForestDNSZones y DomainDNSZones. Esto asegura que el DNS de un RODC tiene una copia full de solo lectura.
  • Global Single Names: Proveen resolución de nombres single-label, para corporaciones de gran tamaño que no utilizan WINS. La zona GlobalNames es útil cuando la utilización de sufijos DNS para proveer resolución de nombres single-label no es práctica. Generalmente, el ámbito de replicación de esta zona es el forest en su totalidad, lo cual asegura que la zona cumple el efecto deseado de proveer nombres single-label en todo el forest. Adicionalmente, la zona soporta resolución entre forests mediante la utilización de registros SRV para publicar la ubicación de la zona GlobalNames. A diferencia de WINS, GlobalNames tiene la intención de proveer resolución single-label para un set limitado de nombres de hosts, tipicamente servidores y sitios web centralizados. GlobalNames no se utiliza para resolución peer to peer, ni tampoco soporta actualizaciones dinámicas. Utiliza CNAMEs para hacer el mapeo de single-label a FQDN. En redes donde se utiliza WINS, la zona GlobalNames generalmente contiene registros para nombres que se encuentra estáticamente configurados en WINS. La resolución Single-Label para clientes funciona de la siguiente forma:
    • 1. El sufijo DNS primario del cliente se almacena junto con el single-label en una consulta que es emitida al servidor DNS.
    • 2. Si el FQDN no es resuelto, el cliente solicita la resolución utilizando la lista de búsqueda por sufijos.
    • 3. Si continúa sin poder resolver, el cliente solicita resolución mediante single-label.
    • 4. Si single-label aparece en la zona GlobalNames, el servidor DNS que almacena la zona resuelve el nombre. En caso contrario, la consulta recaerá sobre WINS.

Por último, la zona GlobalNames provee resolución single-label solo cuando todos los DNS autoritativos ejecuten Windows Server 2008. Sin embargo, otros servidores DNS que no sean autoritativos, sí podrán ejecutar otras versiones de sistemas operativos.

Para mayor rendimiento y escalabilidad, se recomienda que la zona GlobalNames se integre en AD y que cada DNS autoritativo esté configurado con una copia local de la zona GlobalNames.

La integración con AD es necesaria para soportar la distribución de la zona GlobalNames entre multiples Forests.

¿Qué otras características provee DNS, en general?

Soporte para Active Directory Domain Services

Como todos sabemos, DNS es necesario para Active Directory. Este se puede instalar y configurar automáticamente durante el DCPromo, o posteriormente de forma manual.

Las zonas DNS pueden ser almacenadas en Active Directory, también en Application Directory Partitions. Una partición contiene información que se replicará en base a diferentes propósitos. Se puede especificar por un lado en que partición almacenar la zona, y además que Domain Controllers participarán en el proceso de replicación.

Si bien se recomienda utilizar el servicio DNS provisto en Windows Server 2008, con el fin de poder acceder a todas las nuevas funcionalidades que este provee, si la finalidad es solo hacer uso de Active Directory sin ninguna otra particularidad, se podrá hacer uso también de cualquier otro tipo de servidor DNS.

Stub Zones

Es una copia de una zona que solo contiene los registros que son necesarios para identificar el DNS autoritativo para esa zona. Ayudan a mantener una resolución de nombres eficiente.

Integración con otros servicios de red Microsoft

La integración de DNS con otros servicios provee algunas ventajas y características adicionales, algunas de ellas no especificadas en las RFCs. En este caso se refiere particularmente a la integración con otros servicios como Active Directory, WINS y DHCP.

Mejoras en la administración

En principio, el agregado de nuevos wizards para la configuración de diferentes tareas administrativas. Ademas, la inclusión de nuevas herramientas adicionales para la administración y soporte de servidores y clientes.

Soporte de protocolo de actualización dinámica RFC-compliant

Al igual que en versiones anteriores, los clientes pueden actualizar dinámicamente sus registros. Esto es importante a nivel administrativo.

Por supuesto, los clientes pueden llevar a cabo actualizaciones dinámicas seguras, lo cual solo es posible si se utilizan zonas integradas a Active Directory.

Soporte para incremental zone transfer entre servidores

Muy útil a la hora de replicar solamente los cambios ocurridos en una zona en particular. Importante a la hora de optimizar el uso del ancho de banda.

Conditional Forwarders

Es una extensión introducida a un Forwarder estándar. Un Conditional Forwarder se utiliza para direccionar consultas de acuerdo con el nombre de dominio en la consulta.