Controlador De Dominio Atraves De Internet

29/04/2006 - 19:51 por PENDULO | Informe spam
Hola, como estan!

mi nombre es Darlan, soy un empleado de ComLan Ltda Mededllìn
(Colombia), tengo la siguiente inquietud.
En este momento tenemos un Controlador de Dominio en un Windows 2003
Server Standard Edition, en la cual se maneja una aplicación de
facturación y citas medicas, todo esto esta diseñado en Fox Pro.La idea
era configurar el controlador para ingrsar unos equipos de una area
local. Justo donde se esta alojado el Windows 2003 Server. el server se
encuentra en una DMZ protegida por un firewall en linux (Debian), a este
controlodor se uniran un maximo de 10 a 12 ordenadores q se encuentran
en (4 sedes), mas o menos por sede de 3 a 4 equipos, esto ultimo debido
a q solo hay un maximo de 4 perosonas deseginadas a esta labor, pero en
una de la sedes, en la q se encuentra fisicamente el server, a esa red
local si deberan ingresar los equipos, en total son 7, de ellos solo 4
seran para conectarse a la aplicacion, los restantes seran para el
intercambio de informacion, como carpetas compartidas, impresoras, etc.

Entonces la aplicacion seria instalada en el server, luego la gente q
esta en la LAN como estan en el dominio, pueden ingresar desde su
propia estacion de trabajo, la organizacion q nos contrato es del
sector salud asi q posee varias sedes al rededor de la ciudad (4
sedes), las demas sedes se conectarian a la aplicacion via vpn y luego
via Terminal server.
La pregunta seria la siguiente, nosotros podriamos coger estas 4 sedes
y unirlas como si fuese una sola red, con esto me refiero a q cada sede
es una red distinta ya q estan ubicadas fisicamente en lugares
diferentes, hacer q ingresen al dominio atraves de internet, se q para
eso necesitamos tener una IP publica estatica, nosotros ya la tenemos,
con esta IP solo seria cuestion de agregarle la direccion del
controlador de dominio en internet a los equipos q deseo q ingresen al
dominio. Me dejiron q esto se podria hacer, pero q debo registrar mi
dominio en internet para q pueda resolver los nombres en internet, y q
con esto ya podria ingresarlos al dominio, como si fuese en una area
local.
Yo ya lo intente y me arroja el siguiente error.
Nota: esta información está dirigida a un administrador de red. Si
usted no lo es, notifique al administrador de red que ha recibido esta
información que se ha registrado en el archivo
C:\WINDOWS\debug\dcdiag.txt.

Se hizo correctamente la consulta al DNS para el registro de recursos
de ubicación de servicio (SRV) usado para ubicar un controlador de
dominio para el dominio server.com:

La solicitud era para el registro SRV para
_ldap._tcp.dc._msdcs.server.com

La solicitud identificó los siguientes controladores de dominio:

edition.server.com

Las siguientes son causas comunes de este error:

-Faltan registros de host (A) que asignan el nombre del controlador de
dominio a sus direcciones IP o contienen direcciones incorrectas.

- Los controladores de dominio registrados en DNS no están conectados a
la red o no se están ejecutando.

Para obtener más información sobre cómo corregir este problema, haga
clic en Ayuda.



Revisa que en el servidor de dns existan los registros (A) que apunten
a tu controlador de dominio. Revisa tambien la zona inversa que tambien
exista el (PTR) que llame a tu dc.


este mensaje me salio antes de saber q tambien es necesario tener
registrado el dominio en internet para q apunte a mi direccion.
Me gustaria q me dijeras si esto es factible de hacer, o si puedo
utilizar los DNS de mi ISP para utilizarlos como reenviadores en
ineternet.

Gracias por todo, y espero ayuda de cualquier tipo, no importa si toca
leer mucho, eso es lo de menos.

atte:

Darlan Sierra C.
Analista en sistemas y soporte
ComLan Ltda.
http://www.comlanltda.net


PENDULO

PENDULO's Profile: http://www.psicofxp.com/forums/member.php?userid6665
View this thread: http://www.psicofxp.com/forums/show...php?t49507

Preguntas similare

Leer las respuestas

#1 Juan Diego Garcia [MCSE - Security]
29/04/2006 - 23:30 | Informe spam
Hola, la verdad no es necesario registrar el dominio en internet ni nada de
eso si los clientes se van a conectar por vpn. Tendria que definir una red
nueva en el firewall para todas las conexiones vpn en la que los clientes
reciban una direccion IP valida para su red y crear una regla que permita el
trafico de todos los protocolos que necesite hacia su red interna; con esto
cuando las sucursales se conecten tendrian acceso sin problemas como si
estuvieran conectados de forma local.

Cualquier cosa, estamos hablando...

Slds.
Juan Diego Garcia
MCSE - Security
Bogota, Colombia


"PENDULO" escribió:


Hola, como estan!

mi nombre es Darlan, soy un empleado de ComLan Ltda Mededllìn
(Colombia), tengo la siguiente inquietud.
En este momento tenemos un Controlador de Dominio en un Windows 2003
Server Standard Edition, en la cual se maneja una aplicación de
facturación y citas medicas, todo esto esta diseñado en Fox Pro.La idea
era configurar el controlador para ingrsar unos equipos de una area
local. Justo donde se esta alojado el Windows 2003 Server. el server se
encuentra en una DMZ protegida por un firewall en linux (Debian), a este
controlodor se uniran un maximo de 10 a 12 ordenadores q se encuentran
en (4 sedes), mas o menos por sede de 3 a 4 equipos, esto ultimo debido
a q solo hay un maximo de 4 perosonas deseginadas a esta labor, pero en
una de la sedes, en la q se encuentra fisicamente el server, a esa red
local si deberan ingresar los equipos, en total son 7, de ellos solo 4
seran para conectarse a la aplicacion, los restantes seran para el
intercambio de informacion, como carpetas compartidas, impresoras, etc.

Entonces la aplicacion seria instalada en el server, luego la gente q
esta en la LAN como estan en el dominio, pueden ingresar desde su
propia estacion de trabajo, la organizacion q nos contrato es del
sector salud asi q posee varias sedes al rededor de la ciudad (4
sedes), las demas sedes se conectarian a la aplicacion via vpn y luego
via Terminal server.
La pregunta seria la siguiente, nosotros podriamos coger estas 4 sedes
y unirlas como si fuese una sola red, con esto me refiero a q cada sede
es una red distinta ya q estan ubicadas fisicamente en lugares
diferentes, hacer q ingresen al dominio atraves de internet, se q para
eso necesitamos tener una IP publica estatica, nosotros ya la tenemos,
con esta IP solo seria cuestion de agregarle la direccion del
controlador de dominio en internet a los equipos q deseo q ingresen al
dominio. Me dejiron q esto se podria hacer, pero q debo registrar mi
dominio en internet para q pueda resolver los nombres en internet, y q
con esto ya podria ingresarlos al dominio, como si fuese en una area
local.
Yo ya lo intente y me arroja el siguiente error.
Nota: esta información está dirigida a un administrador de red. Si
usted no lo es, notifique al administrador de red que ha recibido esta
información que se ha registrado en el archivo
C:\WINDOWS\debug\dcdiag.txt.

Se hizo correctamente la consulta al DNS para el registro de recursos
de ubicación de servicio (SRV) usado para ubicar un controlador de
dominio para el dominio server.com:

La solicitud era para el registro SRV para
_ldap._tcp.dc._msdcs.server.com

La solicitud identificó los siguientes controladores de dominio:

edition.server.com

Las siguientes son causas comunes de este error:

-Faltan registros de host (A) que asignan el nombre del controlador de
dominio a sus direcciones IP o contienen direcciones incorrectas.

- Los controladores de dominio registrados en DNS no están conectados a
la red o no se están ejecutando.

Para obtener más información sobre cómo corregir este problema, haga
clic en Ayuda.



Revisa que en el servidor de dns existan los registros (A) que apunten
a tu controlador de dominio. Revisa tambien la zona inversa que tambien
exista el (PTR) que llame a tu dc.


este mensaje me salio antes de saber q tambien es necesario tener
registrado el dominio en internet para q apunte a mi direccion.
Me gustaria q me dijeras si esto es factible de hacer, o si puedo
utilizar los DNS de mi ISP para utilizarlos como reenviadores en
ineternet.

Gracias por todo, y espero ayuda de cualquier tipo, no importa si toca
leer mucho, eso es lo de menos.

atte:

Darlan Sierra C.
Analista en sistemas y soporte
ComLan Ltda.
http://www.comlanltda.net


PENDULO

PENDULO's Profile: http://www.psicofxp.com/forums/member.php?userid6665
View this thread: http://www.psicofxp.com/forums/show...php?t49507


Respuesta Responder a este mensaje
#2 PENDULO
03/05/2006 - 16:23 | Informe spam
Muchas gracias Juan Diego por haberte tomado la molestia de haberte
leido mi post.

Pero, lo q vos me estas diciendo, ya lo hicimos, todo lo haciamos via
VPN y TERMINAL SERVER, en el cortafuegos habilitabamos los puertos
correspondientes al de la vpn 1723 y terminal 3389, claro tambien los
de consulta dns q es el 53 y el del IPsec q es el puerto 500, y el
resto es cerrado, y solo permitimos conexiones q esten estipuladas en
el firewall en linux (Debian) y los protocolos q necesite la conexion
hacia el Server, de resto todo es cerrrado para evitar q el server sea
vulnerable, es mas el server solo le dejamos salir a internet cuando
necesitamos instalarle un parche o hacerle on Windows Update, todo esto
es controlado por el firewall en el Iptables. Ademas de la aplicacion no
hay ningun servicio aparte de los mencionados en el post anterior, esto
ultimo es para evitar ataques o vulnerabilidades q pueda tener algun
servicio o algun puerto de escucha utilizado por el servicio.
Nosotros ya hicimos todo lo referente a la vpn y al terminal y todo es
funcional, pero quicieramos hacer otro tipo de cosa, por ejemplo un
(DC). Con esto queremos asi poder determinar cual se acomoda o seria
mucho mejor para las necesidades y politicas de la entidad a la cual
estamos prestando nuestros servicios.
Como les habia mencionado, la idea es unir 4 sedes q estan en varios
sectores de la ciudad, lo q queremos es hacer ahora; pero q no sea por
medio de vpn y terminal server, sino por medio de un controlador de
dominio (DC), pero atraves de internet, la seguridad e integridad del
server de Windows, toda recae sobre el firewall en linux, por ahi
buscando en la red sobre DNS y Directorio Activo (AD), encontre esto:

Puertos usados en la replicacion de Active Directory
Cuando se replica la información del directorio activo es conveniente
tener conectividad en los siguientes puertos para que todo funcione
correctamente:
UDP/TCP 53 - DNS
UDP/TCP 88 - KERBEROS
TCP 135 - RPC (Remote Procedure call / Llamada al procedimiento remoto)
UDP/TCP 389 - Active Directory (LDAP)
UDP/TCP 445 SMB sobre IP
TCP 636 - LDAP sobre SSL
TCP 3268 - Global Catalog (LDAP)
RPC asignara un puerto alto (del 1024 al 65536) aleatoriamente para
replicar datos. En lugar de RPC también existe la posibilidad de usar
SMTP en la replicación del directorio activo entre sitios (intersite)
aunque raramente se usa ya que solo tiene sentido si existen problemas
de enrutamiento, si ese es el caso habrá que tener abierto el puerto 25
de TCP también.

Me imagino q todos estos puertos debo habilitarlos en el iptables del
firewall en linux, para cada direccion q deseo se conecte, (Nota: cada
sede posee una ADSL), pero me gustaria q me dijesen o no tanto q me
digan, sino como se podria hacer esto, o donde puedo leer algo
referente a mi problema, por q me imagino q yo no soy el unico con la
misma cuestion.

Lo q queremos es q todas las sedes la unamos a un solo y unico dominio
q estaria alojado en una de las sedes, pero todo esto lo queremos hacer
via internet, todo con direcciones IP publicas, q todos los pc`s q se
vayan a unir al dominio apunten a la direccion IP Publica del DC. Pero
como soy algo novato en esto de Dominios, aun tengo my por encima como
deberia configurar el DC para q acepte a las demas sedes por la
internet, y q todo fuese como si fuese una sola red, claro uniendo a
las 4 sedes, y asi todos podrian unirse al dominio desde sus estaciones
de trabajo y no como antes haciendo vpn`s y conexionoes via termininal
server. (Nota: se conectarian sino al DC un maximo de 10 ordenadores).

Megustaria q me ayudaran con este problema, no importa el tipo de
ayuda, ya sea por medio de este foro, msm, mail, etc.. Por mi no hay
problema, o q si me toca leer mucho, pues lo mismo, eso es lo de menos,
antes mejor para mi, antes asi me podria informar y no hacer este tipo
de preguntas, q puede q para algunos sea muy obvio y para algunos muy
esquiva, pero de eso se trata de aprender y compartir lo aprendido.

Asi q espero q no les moleste q halla escrito un poco, y si desean
colaborarme via mail o msm q seria lo mismo por q es la misma
direccion.



Pero por todo muchas gracias de igual forma.


PENDULO

PENDULO's Profile: http://www.psicofxp.com/forums/member.php?userid6665
View this thread: http://www.psicofxp.com/forums/show...php?t49507
Respuesta Responder a este mensaje
#3 Juan Diego Garcia [MCSE - Security]
03/05/2006 - 16:45 | Informe spam
Ok, precisamente a eso me referia. Lo que necesitas es que los clientes vpn
se validen directamente contra el dominio y no contra el linux. La idea seria
habilitar entonces un servicio RRAS en un servidor windows y que por
redireccion de puertos en el firewall sea él quien valide al usuario y le
permita acceso a la red mas no por Terminal Services.
Juan Diego Garcia
MCSE - Security
Bogota, Colombia


"PENDULO" wrote:


Muchas gracias Juan Diego por haberte tomado la molestia de haberte
leido mi post.

Pero, lo q vos me estas diciendo, ya lo hicimos, todo lo haciamos via
VPN y TERMINAL SERVER, en el cortafuegos habilitabamos los puertos
correspondientes al de la vpn 1723 y terminal 3389, claro tambien los
de consulta dns q es el 53 y el del IPsec q es el puerto 500, y el
resto es cerrado, y solo permitimos conexiones q esten estipuladas en
el firewall en linux (Debian) y los protocolos q necesite la conexion
hacia el Server, de resto todo es cerrrado para evitar q el server sea
vulnerable, es mas el server solo le dejamos salir a internet cuando
necesitamos instalarle un parche o hacerle on Windows Update, todo esto
es controlado por el firewall en el Iptables. Ademas de la aplicacion no
hay ningun servicio aparte de los mencionados en el post anterior, esto
ultimo es para evitar ataques o vulnerabilidades q pueda tener algun
servicio o algun puerto de escucha utilizado por el servicio.
Nosotros ya hicimos todo lo referente a la vpn y al terminal y todo es
funcional, pero quicieramos hacer otro tipo de cosa, por ejemplo un
(DC). Con esto queremos asi poder determinar cual se acomoda o seria
mucho mejor para las necesidades y politicas de la entidad a la cual
estamos prestando nuestros servicios.
Como les habia mencionado, la idea es unir 4 sedes q estan en varios
sectores de la ciudad, lo q queremos es hacer ahora; pero q no sea por
medio de vpn y terminal server, sino por medio de un controlador de
dominio (DC), pero atraves de internet, la seguridad e integridad del
server de Windows, toda recae sobre el firewall en linux, por ahi
buscando en la red sobre DNS y Directorio Activo (AD), encontre esto:

Puertos usados en la replicacion de Active Directory
Cuando se replica la información del directorio activo es conveniente
tener conectividad en los siguientes puertos para que todo funcione
correctamente:
UDP/TCP 53 - DNS
UDP/TCP 88 - KERBEROS
TCP 135 - RPC (Remote Procedure call / Llamada al procedimiento remoto)
UDP/TCP 389 - Active Directory (LDAP)
UDP/TCP 445 SMB sobre IP
TCP 636 - LDAP sobre SSL
TCP 3268 - Global Catalog (LDAP)
RPC asignara un puerto alto (del 1024 al 65536) aleatoriamente para
replicar datos. En lugar de RPC también existe la posibilidad de usar
SMTP en la replicación del directorio activo entre sitios (intersite)
aunque raramente se usa ya que solo tiene sentido si existen problemas
de enrutamiento, si ese es el caso habrá que tener abierto el puerto 25
de TCP también.

Me imagino q todos estos puertos debo habilitarlos en el iptables del
firewall en linux, para cada direccion q deseo se conecte, (Nota: cada
sede posee una ADSL), pero me gustaria q me dijesen o no tanto q me
digan, sino como se podria hacer esto, o donde puedo leer algo
referente a mi problema, por q me imagino q yo no soy el unico con la
misma cuestion.

Lo q queremos es q todas las sedes la unamos a un solo y unico dominio
q estaria alojado en una de las sedes, pero todo esto lo queremos hacer
via internet, todo con direcciones IP publicas, q todos los pc`s q se
vayan a unir al dominio apunten a la direccion IP Publica del DC. Pero
como soy algo novato en esto de Dominios, aun tengo my por encima como
deberia configurar el DC para q acepte a las demas sedes por la
internet, y q todo fuese como si fuese una sola red, claro uniendo a
las 4 sedes, y asi todos podrian unirse al dominio desde sus estaciones
de trabajo y no como antes haciendo vpn`s y conexionoes via termininal
server. (Nota: se conectarian sino al DC un maximo de 10 ordenadores).

Megustaria q me ayudaran con este problema, no importa el tipo de
ayuda, ya sea por medio de este foro, msm, mail, etc.. Por mi no hay
problema, o q si me toca leer mucho, pues lo mismo, eso es lo de menos,
antes mejor para mi, antes asi me podria informar y no hacer este tipo
de preguntas, q puede q para algunos sea muy obvio y para algunos muy
esquiva, pero de eso se trata de aprender y compartir lo aprendido.

Asi q espero q no les moleste q halla escrito un poco, y si desean
colaborarme via mail o msm q seria lo mismo por q es la misma
direccion.



Pero por todo muchas gracias de igual forma.


PENDULO

PENDULO's Profile: http://www.psicofxp.com/forums/member.php?userid6665
View this thread: http://www.psicofxp.com/forums/show...php?t49507


Respuesta Responder a este mensaje
#4 PENDULO
06/05/2006 - 19:37 | Informe spam
espera un memento q soy algo lento, me gustaria q fueses algo mas
explicito, como asi q se validen en el firewall y luego q lo deje
pasar, ahi me imagino q tendria q usar samba y unir al dominio el
firewall?, sabes aun no es q sea el mas experimentado con esto de DC,
claro q me estoy documentando sobre DNS pero la teoria si la entiendo,
pero a la hora de implementarla ahi es cuando me cuelgo, asi q me
gustaria q si puedes, me remitas a una documentacion q pueda guiarme o
q vos seas algo mas explicito a la hora de explicarme una posibilidada
o metodo q seria conveniente en mi caso.

igual me queda otra duda, como hago para montar un DC atravez de una
vpn, como deberia configurar las terminales q deseo sean agregadas al
dominio.

creo q es una pregunta boba, pero es mejor preguntar y aprender, q
meter las patas por ahi y terminar haciendo estragos por ignorante o
por no preguntar.

gracias por todo.


darlan sierra
ComLan Ltda
http://www.comlanltda.net


PENDULO

PENDULO's Profile: http://www.psicofxp.com/forums/member.php?userid6665
View this thread: http://www.psicofxp.com/forums/show...php?t49507
Respuesta Responder a este mensaje
#5 Juan Diego Garcia [MCSE - Security]
06/05/2006 - 21:09 | Informe spam
Mira, la idea general de una VPN es que a traves de internet te puedas
conectar a una red privada y tener acceso a los recursos de esta como si
estubieras conectado de forma local... hasta ahi nos entendemos, cierto?

En el momento en el que el cliente es autenticado por el servidor de acceso
remoto, se le 'entrega' una configuracion IP para que pueda acceder a la red
local, es decir, se le dá una IP, una mascara de red, un gateway y unos
DNS... Aqui comenzamos a pensar en tu domino: Bien sabes que para que una
maquina 'interactue' bien con el dominio debe tener como DNS al menos a un
controlador del mismo, asi que si a tu cliente VPN le asignas como DNS los
mismos que a los equipos de tu red, queda habilitado para ser parte de tu
dominio. Lo unico seria 'registrar' el equipo en el dominio como cualquier
otro y obiamente crearle al cliente un usuario. Todo esto, teniendo en cuenta
que quien valida y maneja la conexion vpn es tu firewall linux.

Lo que decia de un RRAS en windows y redireccion de puertos es mas
complicado pero tambien funciona 100% ok. Como me dices que ya tienes lo de
la VPN confgurado, seria mejor seguir maneandolo asi.

Ok, espero haberte aclarado un poco la situacion y seguiermos hablando...

Juan Diego Garcia
MCSE - Security
Bogota, Colombia


"PENDULO" wrote:


espera un memento q soy algo lento, me gustaria q fueses algo mas
explicito, como asi q se validen en el firewall y luego q lo deje
pasar, ahi me imagino q tendria q usar samba y unir al dominio el
firewall?, sabes aun no es q sea el mas experimentado con esto de DC,
claro q me estoy documentando sobre DNS pero la teoria si la entiendo,
pero a la hora de implementarla ahi es cuando me cuelgo, asi q me
gustaria q si puedes, me remitas a una documentacion q pueda guiarme o
q vos seas algo mas explicito a la hora de explicarme una posibilidada
o metodo q seria conveniente en mi caso.

igual me queda otra duda, como hago para montar un DC atravez de una
vpn, como deberia configurar las terminales q deseo sean agregadas al
dominio.

creo q es una pregunta boba, pero es mejor preguntar y aprender, q
meter las patas por ahi y terminar haciendo estragos por ignorante o
por no preguntar.

gracias por todo.


darlan sierra
ComLan Ltda
http://www.comlanltda.net


PENDULO

PENDULO's Profile: http://www.psicofxp.com/forums/member.php?userid6665
View this thread: http://www.psicofxp.com/forums/show...php?t49507


email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida