Categoría: Servidores

Básicamente, se incluyen cuatro novedades principales:

• Background Zone Loading: Los servidores DNS que contienen grandes zonas integradas en Active Directory, ahora podrán responder más rápido cuando son reiniciadas debido a que la información de las mismas se carga en background.Básicamente, los pasos cuando inicia DNS son los siguientes:
  • Enumerar todas las zonas que serán cargadas.
  • Cargar los root hints desde archivos o desde AD.
  • Cargar todas las zonas no integradas a AD.
  • Comenzar a responder consultas y RPCs.
  • Iniciar procesos para la carga de zonas integradas.

Debido a que la carga de zonas es llevada a cabo en diferentes threads, DNS es capaz de responder consultas mientras el proceso de carga de las zonas es llevado a cabo.

Si un cliente realiza una consulta sobre una zona que ya se ha cargado, responde como se espera. En caso contrario, leerá la información del nodo en AD, y actualizará el registro correspondiente.

• Soporte IP Version 6: Ahora DNS tiene soporte Full IPv6. IPv6 especifica direccionamiento con IPs de 128 bits, a diferencia de las IPv4, de 32 bits. DNS puede enviar consultas recursivas a servidores IPv6-only, y el forwarder puede contener direcciones en ambas versiones. Los clientes DHCP también pueden registrar ambas versiones de IP. DNS soporta el namespace ip6.arpa para mapeo reverso.
• Soporte para Read-only Domain Controllers: Provee zonas de solo lectura para RODCs, referidas como primary read-only zones o branch office zones. Cuando un servidor actua como RODC, replica una copia de solo lectura de las Application Directory Partitions que DNS usa, incluyendo la Domain Partition, ForestDNSZones y DomainDNSZones. Esto asegura que el DNS de un RODC tiene una copia full de solo lectura.
• Global Single Names: Proveen resolución de nombres single-label, para corporaciones de gran tamaño que no utilizan WINS. La zona GlobalNames es útil cuando la utilización de sufijos DNS para proveer resolución de nombres single-label no es práctica. Generalmente, el ámbito de replicación de esta zona es el forest en su totalidad, lo cual asegura que la zona cumple el efecto deseado de proveer nombres single-label en todo el forest. Adicionalmente, la zona soporta resolución entre forests mediante la utilización de registros SRV para publicar la ubicación de la zona GlobalNames. A diferencia de WINS, GlobalNames tiene la intención de proveer resolución single-label para un set limitado de nombres de hosts, tipicamente servidores y sitios web centralizados. GlobalNames no se utiliza para resolución peer to peer, ni tampoco soporta actualizaciones dinámicas. Utiliza CNAMEs para hacer el mapeo de single-label a FQDN. En redes donde se utiliza WINS, la zona GlobalNames generalmente contiene registros para nombres que se encuentra estáticamente configurados en WINS. La resolución Single-Label para clientes funciona de la siguiente forma:
  • 1. El sufijo DNS primario del cliente se almacena junto con el single-label en una consulta que es emitida al servidor DNS.
  • 2. Si el FQDN no es resuelto, el cliente solicita la resolución utilizando la lista de búsqueda por sufijos.
  • 3. Si continúa sin poder resolver, el cliente solicita resolución mediante single-label.
  • 4. Si single-label aparece en la zona GlobalNames, el servidor DNS que almacena la zona resuelve el nombre. En caso contrario, la consulta recaerá sobre WINS.

Por último, la zona GlobalNames provee resolución single-label solo cuando todos los DNS autoritativos ejecuten Windows Server 2008. Sin embargo, otros servidores DNS que no sean autoritativos, sí podrán ejecutar otras versiones de sistemas operativos.

Para mayor rendimiento y escalabilidad, se recomienda que la zona GlobalNames se integre en AD y que cada DNS autoritativo esté configurado con una copia local de la zona GlobalNames.

La integración con AD es necesaria para soportar la distribución de la zona GlobalNames entre multiples Forests.

¿Qué otras características provee DNS, en general?

Soporte para Active Directory Domain Services

Como todos sabemos, DNS es necesario para Active Directory. Este se puede instalar y configurar automáticamente durante el DCPromo, o posteriormente de forma manual.

Las zonas DNS pueden ser almacenadas en Active Directory, también en Application Directory Partitions. Una partición contiene información que se replicará en base a diferentes propósitos. Se puede especificar por un lado en que partición almacenar la zona, y además que Domain Controllers participarán en el proceso de replicación.

Si bien se recomienda utilizar el servicio DNS provisto en Windows Server 2008, con el fin de poder acceder a todas las nuevas funcionalidades que este provee, si la finalidad es solo hacer uso de Active Directory sin ninguna otra particularidad, se podrá hacer uso también de cualquier otro tipo de servidor DNS.

Stub Zones

Es una copia de una zona que solo contiene los registros que son necesarios para identificar el DNS autoritativo para esa zona. Ayudan a mantener una resolución de nombres eficiente.

Integración con otros servicios de red Microsoft

La integración de DNS con otros servicios provee algunas ventajas y características adicionales, algunas de ellas no especificadas en las RFCs. En este caso se refiere particularmente a la integración con otros servicios como Active Directory, WINS y DHCP.

Mejoras en la administración

En principio, el agregado de nuevos wizards para la configuración de diferentes tareas administrativas. Ademas, la inclusión de nuevas herramientas adicionales para la administración y soporte de servidores y clientes.

Soporte de protocolo de actualización dinámica RFC-compliant

Al igual que en versiones anteriores, los clientes pueden actualizar dinámicamente sus registros. Esto es importante a nivel administrativo.

Por supuesto, los clientes pueden llevar a cabo actualizaciones dinámicas seguras, lo cual solo es posible si se utilizan zonas integradas a Active Directory.

Soporte para incremental zone transfer entre servidores

Muy útil a la hora de replicar solamente los cambios ocurridos en una zona en particular. Importante a la hora de optimizar el uso del ancho de banda.

Conditional Forwarders

Es una extensión introducida a un Forwarder estándar. Un Conditional Forwarder se utiliza para direccionar consultas de acuerdo con el nombre de dominio en la consulta.

A continuación se indican los pasos necesarios para instalar y configurar el rol Terminal Services.

• 1. Ejecutar el Server Manager.
• 2. Seleccionar Add Roles.
• 3. Seleccionar Next.
• 4. En el listado de roles, seleccionar Terminal Services, luego, seleccionar Next.
• 5. Seleccionar Next nuevamente.
• 6. Seleccionar los roles que se requieran, luego, seleccionar Next.
• 7. Seleccionar Next.
• 8. Seleccionar el nivel de autenticación de red requerido, luego, seleccionar Next.
  1. Require Network Authentication: Solo para equipos que ejecuten mismas versiones de sistema operativo y del cliente RDP que soporten Network Level Authentication podrán conectarse al servidor.
  2. Do not requiere Network Level Authentication: Para equipos que ejecuten cualquier versión del cliente RDP.
• 9. Seleccionar el tipo de licenciamiento a utilizar (Per Device, Per User). Luego, seleccionar Next.
• 10. Seleccionar los usuarios o grupos que tendrán acceso al servidor. Luego, seleccionar Next.
• 11. Si se seleccionó el rol License Server:
  1. 11.1. Seleccionar el scope que se le dará al License Server (This Domain, The Forest). Luego, seleccionar Next.
• 12. Si se seleccionó el rol TS Gateway:
  1. Seleccionar la opción que corresponda con respecto a la utilización de un certificado. Luego, seleccionar Next.
  2. Seleccionar si se desea crear las authorization policies en este momento o luego (en este caso seleccionamos Now). A continuación, seleccionar Next.
  3. Seleccionar los usuarios o grupos que tendrán acceso a través de TS Gateway. Luego, seleccionar Next.
  4. Ingresar el nombre para el TS CAP, y seleccionar un método de autenticación. Luego, seleccionar Next.
  5. Ingresar el nombre para el TS RAP, y configurar en caso de que sea necesario, las restricciones adicionales como pertenencia a determinado grupo, o no. Luego, seleccionar Next.
• 13. Seleccionar Next.
• 14. Seleccionar los roles de servicio a instalar paraNetwork Policy and Access Services.
• 15. Asumiendo que seleccionamos todos los roles listados:
  1. En este caso vamos a seleccionar Install Certificate Server as the Network Policy Server for this HRA. Luego, seleccionar Next.
  2. Seleccionar si se requerirá que los usuarios deban estar previamente autenticados para obtener un healt certificate. Luego, seleccionar Next.
  3. Seleccionar el certificado para encriptación SSL. Luego, seleccionar Next.
  4. Seleccionar Next.
  5. Seleccionar los roles a instalar para Active Directory Certificate Services (ADCS). Luego, seleccionar Next.
  6. Seleccionar el método a utilizar por Certification Authorities. Luego, seleccionar Next.
  7. Seleccionar el tipo de Certification Authority. Luego, seleccionar Next.
  8. Seleccionar si se creará una nueva Private Key, o si por lo contrario, se utilizará una existente. En este caso vamos a seleccionar Create a new private key. Luego, seleccionar Next.
     1. Seleccionar el Cryptographic Services Provider (CSP), la longitud a utilizar, y el algoritmo hash. Luego, seleccionar Next.
     2. Ingresar el nombre a asignar para el CA. Luego, seleccionar Next.
     3. Ingresar el período de validez del certificado. Luego, seleccionar Next.
     4. Modificar, en caso de ser necesario, la ubicación de la Certificate Database y la Certificate Database Log. Luego, seleccionar Next.
• 16. Seleccionar Next.
  1. Seleccionar los roles de servicio a instalar para Web Server (en este caso dejaremos los componentes por defecto). Luego, seleccionar Next.
• 17. Verificar el sumario pre-instalación. Luego, seleccionar Install para dar comienzo a la instalación y configuración en base a las opciones y componentes seleccionados.
  Nota: Durante el proceso, el equipo se reiniciará.
• 18. Una vez finalizado el proceso, seleccionar Close, y luego Yes, para reiniciar el equipo.

El fallo en el logon es suele ser debido a que el fichero userinit.exe este corrupto o no este, o en su defecto la clave de registro no apunte al fichero correcto.

Comprueba que la clave de registro userinit esta en el lugar correspondiente

C:\windows\system32\userinit.exe

si no es así cámbiala.

¿Como puedes comprobar la clave si no puedes iniciar sesión?

Con el registro remoto, con otro equipo cualquiera conectado a la red, en archivo «Conectar al registro de red»

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

A continuación busca en el directorio si esta el fichero userinit.exe en cuestión si no es así descargatelo y copialo en ruta adecuada, con un boot cd de windows o de otra maquina con mismo sistema operativo.

Modificar el fichero /etc/httpd/conf.d/mod_deflate.conf

<filesMatch "\.(js|html|css)$">
SetOutputFilter DEFLATE
</filesMatch>

• Ir asegurarse que en el firewall del plesk tenemos activados los puertos pasivos Herramientas y configuración > Seguridad > Firewall
• Editar en la consola el fichero /etc/proftpd.conf, ejemplo vi /etc/proftpd.conf
• Mover IdentLookups Off a la sección <global>
  <Global>
  IdentLookups off
  ….
  </Global>
• Y asegurarse que esta UseReverseDNS Off de caso contrario ponerlo despues de terminar la seccion </global>
  <Global>
  ….
  </Global>
  UseReverseDNS Off
• Reiniciar el servicio para aplicar la nueva configuración service xinetd restart

Para poder activar el FTP pasivo en Plesk, como desde el propio panel de control de administrador, no es posible activarlo.

Tendremos que editar en la consola, con nuestro editor favorito el fichero /etc/proftpd.conf

vi /etc/proftpd.conf 

Nos vamos desplazando hasta encontrar la apertura y cierre de <global></global> y antes de el cierre escribimos PassivePorts [Puerto inicio] [Puerto fin]

PassivePorts 61000 62000

Una vez modificado el fichero debemos seguir los siguientes pasos

• Loguearte en el tu panel Plesk
• Herramientas y configuración > Seguridad > Firewall
• Modificar Las reglas de Firewall de Plesk
• Añadir regla personalizada
• Escribir un nombre a la regla
• Coincidir dirección, seleccionar Entrante
• Acción, seleccionar activar
• Añadir puerto o rango de puertos, escribir 60000-62000
• Y luego Aceptar

Teclas de uso para el editor vi

j = abajo | k = arriba | h = izquierda | l = derecha
i = insertar texto antes del cursor | a = insertar texto despues del cursor
r = reemplazar caracteres | x = borrar caracteres
ESC = Para volver al modo de Comando y continuar navegando por el documento
:wq = para guardar y cerrar el documento.

Si usted no tiene acceso a la instancia final de IIS (hosting compartido…) puede crear un HttpModule que agrega este código a cada evento de HttpApplication.Begin_Request

HttpContext context = HttpContext.Current;
context.Response.Filter = new GZipStream(context.Response.Filter, CompressionMode.Compress);
HttpContext.Current.Response.AppendHeader("Content-encoding", "gzip");
HttpContext.Current.Response.Cache.VaryByHeaders["Accept-encoding"] = true;

Esto es especialmente útil si eres de alojamiento compartido y no puede configurar IIS directamente, o que desea que el archivo config llevar entre todos los entornos que va destinado.

<system.webServer>
 <httpCompression directory="%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files">
 <scheme name="gzip" dll="%Windir%\system32\inetsrv\gzip.dll"/>
 <dynamicTypes>
 <add mimeType="text/*" enabled="true"/>
 <add mimeType="message/*" enabled="true"/>
 <add mimeType="application/javascript" enabled="true"/>
 <add mimeType="*/*" enabled="false"/>
 </dynamicTypes>
 <staticTypes>
 <add mimeType="text/*" enabled="true"/>
 <add mimeType="message/*" enabled="true"/>
 <add mimeType="application/javascript" enabled="true"/>
 <add mimeType="*/*" enabled="false"/>
 </staticTypes>
 </httpCompression>
 <urlCompression doStaticCompression="true" doDynamicCompression="true"/>
 </system.webServer>