Hyper-V: Los Diferentes Clases de Redes

Laboratorio :

Server 2019 con FSMO migrados (Rol iSCSI)

Server 2019 añadido al Dominio (Hyper-V)

En cualquier sistema de virtualización se pueden crear diferentes clases de redes, y aunque todos ofrecen características muy similares, hay diferencia en la forma de nombrarlas. Específicamente los que cambiamos de VMware a Hyper-V, una de las dificultades fue el cambio de “network” a “switch”

Algunas aclaraciones de la simbología usada para facilitar la comprensión

El recuadro de color corresponde a la máquina física (HOST FISICO), en este caso con una única placa de red (“Physical Interface”) conectada al “Switch” de la red real ("Physical Switch")

Red Externa

Al instalar Hyper-V, o posteriormente, en la mayoría de los casos se crea una red de tipo “External” para dar conectividad entre las máquinas virtuales (VM*) a la red física. En este caso el sistema crea una nueva interfaz virtual (“Virtual Interface EXTERNA”) que toma la configuración que tenía la “Physical Interface”, y esta útima queda conectada con la virtual y solamente con “Hyper-V Extensible Virtual Switch” y “Microsoft LLDP Protocol Driver”

Todas las aplicaciones y servicios disponibles en esta máquina física que ofrecían conectividad a través de la “Physical Interface”, ahora lo hacen a través de la”Virtual Interface EXTERNA”

Las máquinas virtuales VM1 y VM2, tienen conectividad entre ellas, con la física y con el resto de la red, pero siempre y cuando su configuración de red sea adecuada a la de la red física: todas deben estar en la misma red IP

 

Red Interna

Cuando se crea una red de clase Interna (“Internal Network” – “Internal Switch”) en la máquina física aparece una nueva interfaz de red (“Virtual Interface INTERNA”) a la cual hay que asignarle la correspondiente configuración IP propia de esta nueva red y diferente de la física externa

Observen que las máquinas virtuales VM3 y VM4 conectadas a esta red tienen conectividad entre ellas y con la máquina física a través de la “Virtual Interface INTERNA”, pero no existe conectiviad con la red física real

 

Red Privada

Cuando creamos una red de tipo privada (“Private Network”), no se crea ningúna interfaz en la máquina física, por lo tanto la máquina real no tiene conectividad con las máquinas virtuales VM5 y VM6 conectadas a esta red. Entre estas dos máquinas virtuales hay conectividad siempre y cuando tengan la configuración adecuada de red y diferente a las otras dos redes

 

Fuente :https://windowserver.wordpress.com/2017/02/07/hyper-v-los-diferentes-clases-de-redes-diagrama-de-conectividad/

Restablecer GPOs por defecto

dcgpofix /ignoreschema /target:DC Default Domain Controllers Policy dcgpofix /ignoreschema /target:Domain Default Domain Policy dcgpofix /ignoreschema /target:BOTH

PROYECTO PORTAL CAUTIVO

Escenario del laboratorio:

• Server 2019
• Pfsense
• Máquina W10

Accederemos desde winscp en la máquina W10 para cambiar los ficheros.

Después de cambiar el archivo .

Cambiar el nombre de un dominio de Active Directory

 El siguiente procedimiento muestra cómo cambiar el nombre de un dominio de Active Directory.

1. Se abre una ventana de comando en modo «administrador» y ponemos el siguiente comando que generará un archivo Domainlist.xml  :

rendom /list

2. Edite el archivo xml, cambiando su antiguo dominio por el nuevo :

<?xml version ="1.0"?>

<Forest>

<Domain>

<!-- PartitionType:Application -->

<Guid>0731e77c-1b86-4dd4-949a-191f75acab61</Guid>

<DNSname>ForestDnsZones.amaya.org</DNSname>

<NetBiosName></NetBiosName>

<DcName></DcName>

</Domain>

<Domain>

<!-- PartitionType:Application -->

<Guid>664c9a1d-a68b-490b-8e6b-f3504998d914</Guid>

<DNSname>DomainDnsZones.amaya.org</DNSname>

<NetBiosName></NetBiosName>

<DcName></DcName>

</Domain>

<Domain>

<!-- ForestRoot -->

<Guid>30a6dbd6-5032-461b-afd5-afad708ccbca</Guid>

<DNSname>amaya.org</DNSname>

<NetBiosName>AMAYA</NetBiosName>

<DcName></DcName>

</Domain>

</Forest>

En el archivo, modifiqué aso.org a amaya.org.

3. Desde la línea de comandos ponemos lo siguiente para verificar la coincidencia :

rendom /showforest

4. Desde la línea de comandos ponemos lo siguiente para cargar el archivo:

rendom /upload

5. Desde la línea de comandos ponemos lo siguiente que se pondrá en contacto con todos los controladores de dominio y los preparará para el cambio.

rendom /prepare

6. Desde la línea de comandos ponemos lo siguiente para iniciar el cambio de nombre. Los controladores se reiniciarán automáticamente :

rendom /execute

7. Desde la línea de comandos ponemos lo siguiente para reparar enlaces de GPO:

gpfixup /olddns:aso.org /newdns:amaya.org

gpfixup /oldnb:aso.org /newnb:amaya.org

8. El siguiente comando debe pasarse cuando esté seguro de que todas los servidores han tenido en cuenta el cambio de nombre porque elimina los reenviadores del nombre antiguo al nuevo.    

rendom /clean

CREAR UN DISCO VDI A PARTIR DE UN VMDK

 C:\Program Files\Oracle\VirtualBox>VBoxManage.exe clonehd --format VDI D:\netinvm_2022-12-29_vmware\netinvm_2022-12-29_vmware\netinvm_2022-12-29.vmdk  D:\NuevoDiscoenVDI.vdi

0%...10%...20%...30%...40%...50%...60%...70%...80%...90%...100%

Clone medium created in format 'VDI'. UUID: 18da819a-9149-4c6c-943f-d0a84b1b69bf

Add Atributos AD

PS C:\Users\Administrador> Get-ADUser kk -Properties dni |Where-Object {($_.dni -like "*T")} 

DistinguishedName : CN=kk1,CN=Users,DC=aso,DC=org dni : 13141004T 

Enabled : True 

GivenName : kk Name : kk1 

ObjectClass : user ObjectGUID : 6a55380d-190c-4c2e-9fef-dcc5c43286a0 

SamAccountName : kk SID : S-1-5-21-1837460305-2229785238-1185557869-1108 

Surname : UserPrincipalName : kk@aso.org 

 PS C:\Users\Administrador> Get-ADUser kk -Properties dni |Where-Object {($_.dni -like "*M")} PS C:\Users\Administrador>

Windows Server. ¿Qué es el catálogo global?

 

Funciones del Catálogo Global (Global Catalog)

La funcionalidad de Catálogo Global (Global Catalog) es algo que pueden cumplir solamente los Controladores de Dominio.

A diferencia de FSMO Roles, esta funcionalidad la pueden cumplir uno, varios, o inclusive todos los Controladores de Dominio.

Esta función es necesaria para que los usuarios normales puedan iniciar sesión. Aunque recordemos que por omisión el cliente si puede utiliza “cached credentials” que permiten el acceso local, esto no funcionará cuando el usuario quiera acceder a un recurso de red ya que en ese caso el Controlador de Dominio que lo autentica debe poder consultar a un Catálogo Global.

Po lo anterior es fundamental que todo Bosque tenga por lo menos dos Catálogo Global.
¿Qué sucedería si tuviéramos un único Catálogo Global y éste no estuviera disponible? ¿perderíamos todo? No, de ninguna forma, las cuentas pertenecientes al grupo Administradores del Dominio (Domain Admins) pueden igualmente iniciar sesión, indicar a algún Controlador de Dominio como Catálogo Global, y en cuanto éste disponga de la información necesaria todo funcionará normalmente.

¿Cuál es esa “información necesaria” que nombramos antes? Bien, un Catálogo Global tiene una copia de sólo-lectura de todos los objetos del Bosque, aunque no de todos los atributos de cada objeto

¿Entonces para qué se usa un Catálogo Global?

Búsquedas
Supongamos que tenemos un Bosque con varios Dominios, y debemos localizar una cuenta de usuario o máquina, pero no sabemos en qué Dominio está creada.
La opción de hacer búsquedas en cada uno de los Dominios puede ser laboriosa, en cambio si hacemos la búsqueda sobre un Catálogo Global, nos proporcionará fácilmente la ubicación de la cuenta sin importar en qué Dominio del Bosque esté.

Creación de Cuentas en Active Directory
Cuando un administrador crea una cuenta en Active Directory el sistema debe asegurarse que se cumplen las reglas de unicidad. Por ejemplo que no exista otra cuenta con el mismo User Principal Name (UPN usuario@dominio.sufijo)
Si un administrador creara una cuenta mientras no hay acceso al Catálogo Global, esta cuenta permanecerá desactivada hasta que se pueda comprobar

Requerido para Iniciar Sesión
Cuando un usuario inicia sesión, además de la autenticación y entre otras se debe asignar la membresía en grupos Universales
Y además, si el usuario iniciara sesión usando su UPN (usuario@dominio.sufijo) habría que resolver en qué Dominio tiene cuenta el usuario, ya que “dominio.sufijo” podría corresponder al Dominio Raíz y el usuario tener cuenta en un subdominio, o inclusive no tener relación con el nombre del Dominio Active Directory, sino corresponder a su dirección de correo electrónico.

Que en las credenciales de usuario (Access Token) figure la membresía en los grupos Universales es un requisito para iniciar sesión, ya que la falta en los mismos podría hacer que escale privilegios, o que los pierda no pudiendo hacer su labor. Por lo tanto el sistema no permite “logon incompletos”.

Fuente :https://windowserver.wordpress.com/2011/06/24/funciones-del-catlogo-global-global-catalog/