jueves, 18 de diciembre de 2014

NETWRIX. Auditar permisos del AD a usuarios y grupos.


Hoy hablaré de una utilidad de una nueva web que me he encontrado y he visto muy recomendada. Este fabricante tiene un grupo de herramientas para el control de nuestra infraestructura Windows muy interesante, se trata de la empresa NETWRIX.(http://www.netwrix.es)

Ha veces tenemos que delegar el trabajo de administrar usuarios al departamento de soporte, esto hace que perdamos cierto control. Para poder estar al tanto de los cambios de usuarios que se van haciendo podemos instalarlos la herramienta que ahora voy a comentar. Está es la versión gratuita, la de pago es mucho más completa.

De momento me he Descargado y probado su utilidad free "Netwrix Change Notifier for Active Directory"


 

Para hacer las pruebas no es necesario instalar el programa en un servido, vale cualquier workstation.

Su instalación no tiene mayor complicación, y sus parámetros son muy escasos



Ya está operativo.

Para probarlo, si le damos al "Apply" nos pedirá un usuario de dominio que pueda consultar nuestro AD, en principio cualquiera vale.



Seguidamente nos indicará un par de pasos de como probar esta herramienta:



Viene a decir que vayamos a "Panel de control" -> "Tareas Programadas" y lo ejecutemos.



Si no queremos esperar a las 3 de la madruga que es cuando el tiene prograda la tarea la podemos ejecutar manualmente con el botón derecho


Se nos quedará en estado "Activo" hasta que finalice:


El cambiar la programación de la ejecución de la consulta es bastante sencillo.

Al rato recibiremos nuestro primer email:


Si hacemos algún cambio, esperamos que se nos sincronicen los DC y volvemos a ejecutar la herramienta, recibiríamos otro emial del tipo siguiente:


La forma de entregar el informe es muy detallada.


Gon V1. Dic 2014

martes, 9 de diciembre de 2014

lldp. Link Layer Discovery Protocol


Ya sabemos que Cisco utiliza el protocolo cdp para localizar los periféricos de su marca conectados a la electrónica de red, o todo lo que sepa entender este protocolo. A veces no todos usan el cdp y con lo que podemos usar otra opción, el lldp.


Una descripción breve y rápida de que es el lldp sacada de la Wikipedia sería "...es un protocolo de capa de enlace de proveedor neutral en protocolos de Internet utilizado por los dispositivos de red para la publicidad de su identidad, sus capacidades, y vecinos..."

Para arrancarlo haríamos:


Está bien activarlo para buscar lo que nos interese, pero pienso que no es necesario dejarlo activado constantemente, con lo que para desactivarlo:


Los comandos que nos pueden ser útiles

Para ver si lo tenemos activado: Show lldp


Con la siguiente veríamos todo aparato que habla con este protocolo: Show lldp neigbours


Para ver en detalle los hosts que responden: Show lldp neigbours detail


Creo que puede ser una buena opción si buscamos hosts no Cisco (por ejemplo télefonos IP, Access Points, ...) y ya hemos probado el cdp

También nos puede ser de ayuda:  http://gonsystem.blogspot.com.es/2012/07/buscando-un-switch-en-el-vecindario.html

GoN. V1 Dic 2014

viernes, 5 de diciembre de 2014

Sitios y Servicios de Active Directory. Acceso denegado.




Nos encontramos en el caso que queremos mover un Controlador de dominio de una Site a otra Site, pero al intentarlo nos da un error.




Nos vamos a "Sitios y Servicios de Active Directory"


Nos situamos encima del servidor que queremos mover. Para ello vamos al nombre de nuestro dominio, nombre de la Site origen y a la carpeta Servers.

Una vez allí le damos botón derecho al servidor a mover.


Sorpresa cuando nos da el siguiente error y somos administradores de dominio:

"Windows no puede mover el objeto nombre_servidor debido a: Acceso denegado."



La manera de solucionarlo sencilla, desde la opción propiedades del servidor a mover, pestaña "Objeto" tendremos que desmarcar "Proteger objeto contra eliminación accidental"



Y ya se puede mover!!


Importante!!, Se tiene que hacer desde un Servidor con unas Windows 2008 Server o superior y evidentemente con los privilegios de usuario necesarios.

GoN Dic2014

viernes, 21 de noviembre de 2014

Linux LPI-1


Ya tengo el LPi-1. Aprobé el test 117-102


Este segundo examen no ha sido nada fácil. Era algo que siempre había querido probar y ya puedo tacharlo de mi lista.

viernes, 31 de octubre de 2014

Dirección Mac. Buscar fabricante.


En ocasiones nos encontramos con el problema que no sabemos que tenemos conectado en nuestra electrónica de red, y para variar empiezan a salir problemas.


La ayuda del usuario es importante, pero no siempre sabe explicarse bien o no siempre el host está accesible. Una manera de empezar a deducir que tenemos es saber quien lo ha fabricado, no siempre será una buena referencia pero si un punto por donde empezar a buscar.

Para saberlo existen links en internet que poniendo la dirección Mac nos buscan el fabricante.

Por ejemplo, nos conectamos al switch y sabiendo la Ip o en que puerto tenemos conectado el host en cuestión, podemos sacar su mac.

Si sabemos la IP haciendo un show arp los sale la dirección Mac



Ahora sabiendo la Mac podemos saber en que puerto esta conectado haciendo un show mac address-table


Usando la web siguiente http://www.coffer.com/mac_find/ y nuestra dirección mac, sabemos que la mac XXXX..c5b4.1f90 que tiene la IP X.X0.8.10 está el el puerto Gi1/0/2, ahora toca repasar que esté bien configurado el puerto...


Y que lo que ha conectado es de la marca Cisco!

Ya con el puerto, haciendo también un show cpd neig podría aportarnos alguna cosa más, no siempre está activado este protocolo.


En este caso nos dice que se llama XXXXIP01 y que puedes ser un CISCO2901



GoN. Oct 2014

viernes, 17 de octubre de 2014

Linux LPi 101


Estos últimos días he estado entretenido sacándome el primer examen para la certificación de Linux LPI.

Ahora toca ir a por el 102 para tener el LPI 1 completo.

A ver de donde saco el tiempo ;-)


GoN

martes, 9 de septiembre de 2014

STP. Spanning-tree prioridad costes


Ya se sabe que si configuramos por defecto el Spanning-tree la propia electrónica de red calcula el camino más óptimo para llegar a un Switch. A veces, por el motivo que sea, nos interesa forzar un camino, para ello una posible manera sería asignar costes a los puertos de salto.


Hay que saber que el coste es acumulativo a lo largo del dominio de STP, vamos que afectará al re cálculo del camino de acceso a otros switches.

Si tenemos dos caminos y queremos que salga por el camino A podemos hacer lo siguiente:

interface GigabitEthernet0/1
 description CAMINO_B
 switchport mode trunk
 spanning-tree cost 200
!
interface GigabitEthernet0/2
 description CAMINO_A
 switchport mode trunk
!

Aumentando el coste de la  GigabitEthernet0/1 hacemos que el switch escoga el camino por la GigabitEthernet0/2. Si nos queremos asegurar podemos ponerle un coste más bajo a la GigabitEthernet0/2.

El coste que pongamos cuanto más bajo es más prioritario.

Si queremos consultar que coste tiene cada camino usaremos el comando "sh spanning-tree"


Al final vemos las dos tarjetas de red la Gi0/1 y Gi0/2 del Switch donde hay dos caminos donde poder acceder a los datos de la Vlan1 de otros Switches y sus costes.

Otro comando para localizar que puertos tenemos bloqueados podría ser "show spantree blockedports"

Una buena explicación entre diferencia de coste y prioridad "https://supportforums.cisco.com/discussion/10709506/stp-port-priority-vs-cost"



GoN. Septiembre 2014

miércoles, 3 de septiembre de 2014

Switch Cisco. PoE


Si todo va bien y ni el switch ni el host tienen problemas el PoE no hay que tocarlo. El tema viene cuando se conecta algún periférico y no va, es cuando toda localizar lo que pasa. Lo normal es echarle la culpa a la electrónica de red y nuestro trabajo consistirá en confirmarlo o desmentirlo, normalmente es lo último.

Tengo un compañero que se encarga de la telefonía, y de vez en cuando añade alguna que otra antena nueva para los teléfonos inalámbricos. En principio algo bastante sencillo, el problema es cuando no le contestan a ping.

Primero te pide que repases la configuración.

Luego que compruebes si ves el puerto bien, para ello usaré los siguentes comandos:

- Para mirar de una manera rápida si está levantado: sho int description




- Para ver si se conecta bien y no tiene errores: sho interfaces fastEthernet 0/11


- Para comprobar que la dirección mac del AP está en el puerto que monitorizo: Sh mac address-table 

- Por si hay algo en el Switch que se me esté escapando: sh log


- Para saber si le esta llegando corriente al puerto: sho power inline


Si tenemos el cdp activado en nuestro periféricos, en muchos viene activado por defecto, otro comando que nos muestra la fuerza que consume el puerto podría ser "sho cdp entry  *"




En ocasiones algunas incidencias se arreglan con hacer un "shutdown" y luego un "no shutdown" al puerto en cuestión.

Si el problema continua, en mi caso como las instrucciones las doy remotamente, ya que no tengo cerca todos los puestos a los que doy soporte, a veces puede ser un inconveniente porque no veo lo mas evidente. Con esto quiero decir que hay que asegurarse que el cable de red de datos esté en condiciones y que no tenga el host que nos esté dando problemas otra entrada de alimentación a corriente activada. 

Probado en 2960. 3750 y 3850
GoN. V1.1 Sept 2014

lunes, 21 de julio de 2014

Cisco CCNA


Hola!!

Se que he estado mucho tiempo sin poner nada nuevo. La verdad he tenido mucho trabajo y me he estado preparando para sacarme la certificación de Cisco CCNA. La semana pasada subía examen y ya puedo decir que soy Cisco Certified Network Associate



lunes, 2 de junio de 2014

Alias recurso compartido, más de un nombre al servidor



No se si os habéis encontrado en alguna ocasión que tenes que configurar un recurso compartido de un servidor y os piden que tenga otro nombre diferente al que tiene. El problema es que no podéis renombrar o cambiar de nombre del servidor que vais a configurar, por si algo deja de funcionar. La solución es añadir otro nombre con el que poder acceder. Esto es muy fácil, con poner un alias o un nuevo registro DNS tendríamos suficiente, pero al acceder a los recursos compartidos, por este segundo nombre, veríais que hay un problema.

Al hacer: \\SegundoNombre\        -> daría error


Para poder acceder a los recursos compartidos del servidor, por este segundo nombre, necesitamos cambiar una clave de registro.

Ejecutaremos REGEDIT

Iremos a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters


Buscaremos la variable DisableStrictNameChecking

Si no está, dando botón derecho la crearemos


Y le pondremos 1 en su valor



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"DisableStrictNameChecking"=dword:00000001

Ahora toca poner el segundo nombre en el DNS, nos vamos a alguno de nuestros servidores DNS y abrimos la consola del DNS:




y ponemos  un cname (un alias):





Asociamos el nuevo nombre tipo CNAME con el actual nombre de nuestro servidor.


Ahora vemos que le podemos hacer ping por cualquiera de los dos nombres y si intentamos acceder a los recursos compartidos no hay problema

\\SegundoNombre\



Gon Jun14


lunes, 7 de abril de 2014

Acceso por consola a un servidor Windows.

Se ha dado el caso que se me ha quedado un servidor Windows tan "colgado" que era casi inaccesible.


Al ver que no podía entrar por el entorno gráfico, busqué la manera de ver los procesos que corrían y de tirar el proceso que saturaba la máquina para poder acceder.

Para poder conectarme remotamente a mi servidor "colgado" mediante un interprete de comandos usé el siguiente comando: psexec \\IP cmd Se tiene que hacer con un usuario que tenga privilegios sobre la máquina destino.

Y ya estamos dentro!!!

Para ver que procesos están ejecutándose: tasklist



Para para un servicio que se esté ejecutando: taskkill




Y Listo!

GoN

martes, 1 de abril de 2014

Ntopng. Instalación


Aquí voy a explicar una de las mejores y más completas herramientas que he encontrado para el control del tráfico que pasa por mi red. Sin hacer uso del protocolo NetFlow que mi electrónica de red no está preparada.



El programa se llama ntopng, su versión anterior es el ntop. Son muy parecidos, pero que las mejoras gráficas en el segundo son notables a la hora de presentar y acceder a la información.

Pruebas hechas con Debian 7 y Ubuntu 12.10.

Recomendaría tener el puerto en modo promiscuo en el host que lo instalemos y hacer llegar todo el tráfico que pase de nuestra salida a internet, o nuestra puerta de enlace, camino a los servidores,etc ... que más nos interese. Si tenemos electrónica de red Cisco, puede que nos ayude este post: http://gonsystem.blogspot.com.es/2011/04/port-mirror.html


Para instalar el ntopng necesitamos tener los siguiente paquetes instalados previamente en nuestra máquina Linux:

glib2.0
libgeoip-dev
libpcap-dev
libxml2-dev
redis-server
automake
autoconf 
checkinstall
libtool
libxml2-dev
libsqlite3-dev

La manera de instalarlos que yo he seguido ha sido:

apt-get install "nombre del paquete" y asi con todos o uno a uno.



Ya tenía instalado el Apache2, que seguro lo acabaré necesitando para acceder por web.

Me creo una carpeta con la que trabajar para la instalación del ntopng y procedo con el comando: 
svn co https://svn.ntop.org/svn/ntop/trunk/ntopng/


Si no tenemos el svn lo podemos instalar de la siguiente manera:  apt-get install subversion


Nos metemos en la carpeta que se nos ha creado con el nombre "ntopng" con el comando: "cd ntopng"

Seguimos con el comando "./configure"




Hacemos el "make geoip" que nos pide.

Seguimos poniendo "make"



Lo siguiente es un "make install"




Si no hemos tenido ningún error, ya no hay que instalar nada más.


Ahora ya esta instalado, vamos arrancar la aplicación, para ello debemos poner el numero de puerto, en este caso el 3000, y la tarjeta de red, en este caso la 1 (que es mi eth0):


ntopng -w 3000 -i 1



Si queremos ya podemos borrar la carpeta que hemos creado para la instalación.

Nuestro terminal se quedará inutilizable por las gestiones del Ntopng, siempre podemos hacer un Ctrl+C y salir (no lo hagais!! si quereis seguir con las pruebas).

Para ver si nos ha funcionado bien, a través de un navegador web, debemos poner la siguiente URL "http://IP:3000"


La información por defecto para poder acceder es:

Usuario: admin
Password: admin

En otro Post hablaré de que información nos muestra. 


GoN