Social Icons

twitter facebook google plus linkedin

jueves, 26 de noviembre de 2015

Migración de File Server y configuración de los SPN

Hola Mundo:
No hay migración de servicios que no esté acompañada de dolores de cabeza. Especialmente si son servicios críticos para las organizaciones, como es el caso de los servidores de archivos.

Nunca hay que creer cuando comentan que la migración de un File Server es solo mover los archivos de un lugar a otro usando Robocopy y luego hacer el cambio en el servidor DNS para que siga conservando el mismo nombre que el servidor de origen y el cambio sea transparente a los usuarios.

Antes de explicar el cambio de SPN, me gustaría que se entendiera el concepto de SPN en su definición más fundamental.
SPN viene de la sigla de Service Principal Name.
Éstos deben estar asociados a un objeto de Active Directory (cuenta de usuario, grupo o computador) en el cual el servicio se ejecuta. Su función principal es soportar la autenticación mutua entre un cliente y un servicio.

Entonces, la configuración de un SPN consiste en la asociación de un servicio a un objeto de AD. Un objeto de AD puede tener varios SPN asociados, pero un SPN solo puede estar asociado a un objeto de AD. En el caso de que se duplique un SPN, vendrán los problemas.

Cuando se realiza una migración de File Server y posteriormente se hace el cambio en el DNS para que el antiguo servidor apunte al nuevo y se intenta acceder a la ruta, el visor de eventos mostrará un error así:

The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server SRV-NUEVO$. The target name used was cifs/SRV-VIEJO. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (DOMINIO.CL) is different from the client domain (DOMINIO.CL), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server. 

Como el SPN no estaba configurado de forma correcta, no es posible hacer ni mantener la autenticación, por lo tanto, da error.

Para configurar el SPN, se debe hacer con una cuenta con privilegios sobre el dominio.

Eliminando un SPN
Antes de asignar un SPN a un objeto, hay que eliminarlo  del objeto al cual estaba asignado. Se debe seguir la sintaxis:
setspn -D servicio/host ObjetoAD Por ejemplo:

setspn -D host/srv-viejo.midominio.cl srv-viejo
setspn -D host/srv-viejo srv-viejo
setspn -D cifs/srv-viejo.midominio.cl srv-viejo
setspn -D cifs/srv-viejo srv-viejo

De esta forma se elimina los SPN asociados al file server del objeto srv-viejo.

Asociar un SPN
Una vez desasociados los SPN al antiguo objeto, se debe asociar al nuevo objeto. La sintaxis es:
setspn -S servicio/host ObjetoAD Por ejemplo:

setspn -S host/srv-viejo.midominio.cl srv-nuevo
setspn -S host/srv-viejo srv-nuevo
setspn -S cifs/srv-viejo.midominio.cl srv-nuevo
setspn -S cifs/srv-viejo srv-nuevo

De esta forma, el servicio podrá autenticar y mantener la autenticación. El recurso compartido es accesible desde los clientes. Hay que tener un especial cuidado con los clientes con Windows XP. Por que aparte de configurar los SPN correspondientes, también hay que hacer un cambio en el editor del registro de Windows. Seguir la documentación de este link: https://support.microsoft.com/en-us/kb/281308

Más información sobre la herramienta setspn se puede encontrar aqui: https://technet.microsoft.com/en-us/library/cc961723.aspx

Así que para la próxima vez que alguien diga que las migraciones de File Server son un proceso sencillo y sin muchos pasos, es pura fantasía.

Hasta la próxima.

Chau

martes, 17 de noviembre de 2015

Configurar direccion ip estatica

Hola Mundo:

Este es un truquito que nunca está demás tener dentro de nuestras notas. 
Es muy util cuando se levanta un ambiente de Windows PE para la recuperación de Windows o para la instalación de imágenes de sistema operativo y la red no cuenta con DHCP.

Con este script podrás configurar una dirección IP estática 


netsh int ipv4 set address "Ethernet" static <Direccion IP> <Mascara de subred> <Gateway>



¡Chau!

domingo, 15 de noviembre de 2015

Ruta Gas Andes

Hola Mundo:

Durante este fin de semana salimos a hacer una ruta bastante conocida por los amantes del 4x4 de la cuenca de Santiago, pero tampoco se tiene mucha referencia sobre ella.

Junto a los amigos del grupo de Suzuki Jimny emprendimos el viaje hacia la aventura.
   

La ruta tiene un poco más de 60 kilómetros. Muchas pendientes fuertes y muchas piedras. La altitud máxima es de, aproximadamente, 2200 msnm.
Hay que tener la precaución de quitarle presión a los neumáticos.
Es altamente recomendado ir en grupo. Hay partes que el camino es complicado y una compañía se agradece.

Por la fecha y las características del invierno recién pasado, los esteros y riachuelos estaban bastante secos, por lo que no habían los pozones que recomiendan.
Aparte de lo lindo e imponente que es el paisaje, es mayormente limpia. La gente se preocupa de no dejar rastro.
Si vas, lleva tu basura de vuelta también para que otros puedan disfrutar

Asi que a preparar el auto, cámaras fotográficas, binoculares, equipos de radio y comida.

Si necesitas el archivo para GPS Garmin, déjame un comentario. También hazlo si necesitas el archivo para Google Earth.

Algunos videos de la ruta









¡Chau!