Puertos abiertos para AD

Para conseguir que nuestro PC se comunique contra nuestro Active Directory (Domain) sin problemas es necesario tener los siguientes puertos abiertos.

    LDAP                                           TCP+UDP/389 : Light Weight Directory Access
    DNS                                             UDP/53
    SMB                                             UDP/138
    SMB                                             TCP/445 : Microsoft Active Directory and SMB
    Kerberos                                      UDP/88 

    RPC Locator Service port             TCP 135

    LDAP sobre SSL                          TCP 636

    Global Catalog (LDAP)                 TCP 3268

Para ampliar la lista de puertos importantes de MS:

http://translate.googleusercontent.com/translate_c?anno=2&hl=es&rurl=translate.google.es&sl=en&tl=es&twu=1&u=http://technet.microsoft.com/en-us/library/dd772723%28WS.10%29.aspx&usg=ALkJrhh8qrdmna5FaVT0pGcSvtv1AHqGNQ

Un listado más amplio que nos puede ser útil:

http://translate.google.es/translate?hl=es&sl=en&tl=es&u=http%3A%2F%2Fwww.answersthatwork.com%2FDownload_Area%2FATW_Library%2FNetworking%2FNetwork__2-List_of_Common_TCPIP_port_numbers.pdf&anno=2

GPO WSUS estaciones de trabajo

Para no inventarme nada y haciendo uso de la wiki añadiremos una breve expliación de que es el WSUS: "Windows Server Update Services provee actualizaciones de seguridad para los sistemas operativos Microsoft. Mediante Windows Server Update Services, los administradores pueden manejar centralmente la distribución de parches a través de Actualizaciones automáticas a todas las computadores de la red corporativa."

Hay infinidad de convinaciones posibles de como configurar una buena política de Wsus. Yo os voy a poner la que tengo aplicada, que aunque seguro que es muy mejorable, está nos está funcioando sin problemas.

 

Gestión GPO 2003 - 2008

La herramienta que tenemos en Windows 2003 que viene por derfecto de Microsoft para gestionar las GPO's no es demasiado completa. Para poder trababar con cierta soltura Microsoft permite instalarte una aplicación llamada "Administrador de directivas de Grupo (GPMC.msc)" que agiliza enormemente el trabajo. Te la puedes descargar en: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=21895.En Windows 2008 viene de serie.

Para acceder a consultar o modificar una GPO en Windows 2000/2003 lo haríamos de la siguiente manera:

Vamos a "Usuario y equipos de AD", seleccionamos la OU que nos interese y le damos botón derecho. Podemos ir directamente ejecutando "gpedit.msc"

Vamos a la pestaña "Directiva de grupo"

Marcamos la GPO que queremos modificar o podemos añadir una nueva:

Utilizando el "Administrador de directivas de Grupo" la cosa cambia bastante, en W2008 las pantallas son las mismas.

Si la tienes instalada en W2003 podrás acceder a ella de igual manera con los pasos anteriores, lo que al dar boton derecho sobre la OU que toca saldrá lo siguiente:

 

Como podemos observar nos aparecen pestañas nuevas.

 La pestaña que nos puede ser muy práctica es "Configuración"

 En la que de una manera muy rápida podemos ver todos los registros modificados de la GPO seleccionada.

Para ejecutarlo en W2008 debes ejecutar (gpmc.msc):

Nos saldrá la siguienta pantalla. La operativa es la misma que lo comentado anteriormetne.

IIS 7 - Publicar página Web

El cambio de IIS6 a IIS7 ha sido bastante grande.

Es verdad que es muy sencillo publicar una pequeña página web, si no sale ningún problema, pero como algo no funcione a la primera te puedes volver loco bucando que que puede pasar. Esto es debido a la infinidad de opciones nuevas que aparecen en el nuevo IIS7. 

Aquí explicaré una manera sencilla de empeza a publicar algo con muy pocos pasos.

Para instalar el IIS lo podemos hacer através de añadir un nuevo rol:

Para la prueba que vamos hacer, con aceptar la configuración por defecto tendremos bastante.

La publicación ejemplo que voy a explicar utilizará el acceso anónimo, vamos que cualquiera podrá abrirla.

Para empezar crearemos una sencilla pag web de ejemplo y así probar que funciona la publicación. Será un pequeño fichero texto con la extensión HTML.

Como casi siempre tenemos 2 maneras de acceder a la consola de administrador de nuestro IIS 7.

Nos aparecerá la siguiente pantalla (nada que ver con el IIS6)

 

Como consejo primero registraría el nombre DNS de la pag web que vamos a usar, así a la hora de hace las pruebas puede ya se haya propagados por todos los servidores DNS de tu LAN.

Empezamos a usar la consola de administración. Para crear nuetra nueva Web tenemos que irnos hasta "Sitos" y dar al boton derecho:

Nos aparecerá la siguiente pantalla en la que tenemos que rellenar todos los campos que están en blanco.

Primero rellenaremos en nombre del "Sitio" , podemos usar el que viene por defecto, o poner un nombre significativo por si queremos agrupar más de una Web que compartan ciertas características.

También buscaremos la carpeta donde tenemos los ficheros físicos de nuestra páguina web. Normalmente solemos dejarlos en la carpeta \intepub\wwwroot\NuestraCarpeta

 

En el paso siguiente (opcionalmente) podemos elegir poner la ip o que coja cualquiera asignada a este servidor. Yo recomendaría poner la misma que el nombre DNS que anteriormente hemos dado de alta como regirto A o AAA. Está claro que en "Nombre de host " hay que poner el nombre DNS que hemos registrado.

 Podemos ver si lo que hemos configurado es correcto con el botón "Probar configuración". Si al probar la configuración nos da este error:

Es muy posible que el nombre que tenga asociado para la conexión no exista. Lo podemos arreglar asociandolo a un usuario con unos permisos muy limitados en nuestro AD.

Yo he creado el que vemos en la pantalla. Los permisos que tiene el usuario que he utilizado son:

Si no usuamos la páguina de inicio que viene por defecto, como es este caso,  tenemos que poner la nuesta tal como muestra la siguiente opción:

 La agregamos dando el botón que hay a la derecha y la ponemos la primera de la lista.

En nuestro caso la páguina se llama "web.html" como hemos visto anteriormente

Ya está!! quedaría probar que funciona. Con el IIS 7 es tan sencillo como dar al link que nos propone en la parte derecha:

 

Y obtenemos el resultado deseado 

PSR - Grabar acciones Windows

Problem Step Recorder

Muchas veces hacemos tantas cosas que luego nos cuesta acordarnos que hemos hecho para documentarlo. Microsoft en sus versiones de Windows 7 y 2008 ha incluido una utilidad que nos puede ser muy útil el PSR (Problem Step Recorder) .

Esta utilidad tiene la función de grabar y documentar todas nuestras acciones guardándolas en  formato HTML y comprimiéndolo en un ZIP con un tamaño muy reducido.

 Para ejecutarlo:

  

No saldrá la siguiente pantalla:

Si estamos con algún usuario sin privilegios administrativos nos puede salir la pantallla siguiente:

Este es el idicador de grabación cuando vamos moviendo el puntero:

 

También nos permite poner en "pausa" la grabación, por si tenemo algo que no nos interese documentar.

Cuando si tienes alguna pantalla abierta, con información "delicada"  (DNS, AD), la graba como fondo, aunque no te grabe las acciones ejecutes (borra, dar de alta ...)

El Informe

Empieza con un índice en que nos informa como va a operar. Nos va anotando las captura como si fuese un log, con su marca de tiempo. 

En el informe que te genera siempre te va marcando enun recuado verde en el Item con el que trabajas:

Si no estás validado como administrador o usuario autorizado graba los programas que usas pero no las acciones (borra, crear, etc ...)

Durante la grabación te da la opción de añadir comentários:

Al final del informe nos muestra una bítacora de las acciones grabadas:

Se me ocurren unas cuantas maneras de sacarle provecho a esta utilidad, una sería una manera fácil de publicar documentación. También nos puede ser muy útil si tenemos que monitorizar a una empresa externa trabajando y así poder anotar las acciones.

Voz IP con Cisco y Polycom

Donde trabajo hemos entrado en el mundo de la vozIP, no es un tema del que me encarge pero me toca de manera directa. En estos momentos estamos dando de alta teléfonos Ip Polycom 330 en la electrónica de red Cisco con switches 2960 y 3750.

Para empezar a que todo funcione correctamente es recomendable que el teléfono tenga el protocolo CDP activado.

La manera que hemos encontrado de configurarlos en el switch y que funcionen ha sido la siguiente:

Si hacemos un "sh running-config" para ver como está configura la vlan de VozIP
....
!
vlan 2
 name VozIp
!
....
!
interface Vlan2
 ip address 192.168.2.1 255.255.255.0
 no ip redirects
 no ip proxy-arp
!
...
!
interface Vlan77
ip address 10.77.0.1 255.255.255.0
 no ip redirects
 no ip proxy-arp
!
....
El puerto del switch nos ha quedado de la siguiente manera.

interface FastEthernet0/XX
 description Telefono de Datos y Voz
 no switchport port-security
 switchport mode access
 switchport access vlan 77
 switchport voice vlan 2
 storm-control broadcast level 4.00
 spanning-tree portfast
 spanning-tree bpduguard enable
 ip access-group 101 in
 shutdown
 no shutdown
!
!
...
 
************************************************************
Vlan 77 = Datos , si solo queremos poner el teléfono no es necesario ponerlo.
Vlan 2 = Voz
************************************************************
Al Servidor de voz que es un Asterisk y a los AP cos configuro con " switchport vlan 2" no " switchport voice vlan 2"

Con lo que aquí comento nos funciona sin problemas aunque entiendo que no sea una configuración perfecta. En cuanto tenga más información la iré actualizando.

Access Point Cisco más Pistolas Intermec

El otro día nos tocó configurar unos AP y unas pistolas de código de barras. No fue nada fácil consegir lo que pretendíamos pero al final después de muchas vueltas salío. Me voy a limintar a explicar como quedó la configuración definitiva.

El hardware a probar:

 

Queríamos añadir nuevos AP al networking, de manera que el AP pertenezca a la Vlan 20 que sería la de gestión y las pistolas que se conectan deberán pertenecer a la Vlan 21, cada Vlan con su rango de IP.

********

SWITCH

********

Al final el puerto de Switch quedó de la siguiente manera:

interface FastEthernet0/XX

 description AP 1240AG
 switchport access vlan 21
 switchport trunk native vlan 20
 switchport trunk allowed vlan 20,21
 switchport mode trunk
!

*************

ACCESS Point 

*************

A parte de los parametros de seguridad a nivel de Vlan tubimos que hacer lo siguiente: 

 

********

PISTOLA

********

 El modelo de Pistola es una Intermec 71

Las pistalas fué otra historia. Después de configurarlas correctamente no había nanera que entrasen en red, lo hacien de manera aleatoria y solo durante un rato, cualquier otro periférico que enrolabamos funcionaba (PC, móvil ...) al final, después de unas cuantas horas, nos dimos cuenta que tenía activado el PSP y había que ponerlo en disable.

"Power save polling (PSP) causes connection issues with access points

Symptom(s): The following symptoms can happen if a Wi-Fi access point (AP) or broadband Wi-Fi router does not support the power save polling (PSP) feature: Intermittent loss of Wi-Fi connection Inability to initiate a Wi-Fi connection Poor Wi-Fi connection data performance Using battery power can cause these symptoms to be noticeable. Cause:PSP mode is a feature that provides extended battery life for laptop computers. The mode requires coordination between the AP or router and the Wi-Fi adapter. Intel has discovered that some APs or routers may not implement the feature correctly or completely. Solution: Contact the AP or router vendor for updated software or firmware to correct the problem. Alternate Solution: An optional workaround is to manually put the Wi-Fi adapter into continuously aware mode (CAM). This disables the PSP feature." * Otra cosa que también me ha pasado ha sido la recepción de log de reintentos de las pistolas en los AP: La solución la he conseguido añadiendo el siguiente códio en los AP en la configuración del interface radio: conf t int dot11Radio0 packet retries 128 drop-packet exit wr

GoN