Direct Access vs VPN

Hola.

Para empezar tendremos que definir que es cada cosa ya que Direct Access y VPN no son la misma cosa. Comencemos por VPN, Virtual Private Network, son muy conocidas y altamente empleadas por todos los fabricantes de electronica de comunicaciones. Microsoft por su parte también la implementa mediante RRAS, Route and Remote Access Server, que es el RAS de toda la vida paro los que llevamos algún tiempo en esto.

El problema: No se ve clara la diferencia.

VPN: Es un Túnel que se crea a través de internet para que las comunicaciones entre los dos puntos sean como si estuviésemos en la misma red. Es un sistema abierto y compartido por todos los fabricantes.

Direct Access: Es un Super-tunel que ha creado Microsoft para mejorar las VPN tradicionales. Lo implementan solo las ultimas versiones de Windows Server y Windows 7, 8 en adelante.

Las Ventajas de Direct Access son su talón de Aquiles.

	DirectAccess	VPN
Los equipos se conectan automáticamente sin intervención.	X
Funciona a través de todos los firewalls	X
Se puede seleccionar el servidor de acceso y el tipo de autenticación durante la conexión.	X
Soporta autenticación y encriptación de punto a punto	X
Soporta administración de los equipos remotos	X
Compatible todas las versiones de clientes Windows		X
Compatible con equipos de otros Sistemas Operativos		X
Compatible con equipos fuera de dominio		X
No necesita Windows Server 2008 R2 en el punto remoto		X

Visto así, todo son ventajas, pero para implementar Direct Access no es tan sencillo como lo pintan. si lo viesemos de esta otra forma…

Se necesita:

Servidores con Direct Access, mínimo Windows Server 2008 R2
Dos adaptadores de red: Uno a la Lan y otro a internet con 2 IPs consecutivas Públicas.
Los clientes de DirectAccess con Windows 7 o superior.
Un controlador de dominio y DNS con Server 2008 R2 o superior.
Una infraestructura PKI, Public Key Infrastructure para generar certificados.
IPsec para la protección del tráfico.
IPv6 en el servidor DirectAccess: ISATAP, Teredo o 6to4.
Ademas para dar acceso a clientes con IPv4 necesitaremos la ayuda de terceros.

La implementación

La implementación tanto de direct access como de VPN se puede realizar mediante el asistente que ofrece el servidor tras instalar el rol de Acceso remoto.

Problemas en la implementación

La implementación parece sencilla hasta que nos ponemos a hacerla ya que en uno de los pasos mas importantes, nos encontramos con el principal problema: ¿Como poner el servidor? en la red perimetral, en la interna, con uno o con dos adaptadores de red… y lo mas importante ¿como le ponemos 2 IPs públicas a la nic del Servidor?

Era típico el error: «no se encuentra un adaptador interno con una dirección IP válida»

Soluciones en la implementación

Vemos que desde Server 2008 ha sido siempre una implementación rígida y difícil de realizar. Hemos tenido que esperar a 2012 R2 para simplificar las cosas .

Desde que instalamos el Rol, ya nos aparecen mas opciones, El proxy para aplicaciones Web. Y a la hora de implementar también nos dejara poner los adaptadores dentro de la red interna y hacer NAT hacia ellos, incluso con un solo adaptador.

Para la gran mayoria

Hoy por hoy las VPN aunque menos seguras son las mas flexible y fáciles de configurar. En Windows server prácticamente no han cambiado a excepciona de que ahora están en el mismo rol que el que dota al servidor de la capacidad de enrrutar y unir delegaciones entre si; RRAS.

20/08/2013

Buscando un programa para hacer VPN

Hola

He tenido la necesidad de conectar dos sitios distantes mediante una VPN. Normalmente siempre nos conectamos con un cliente a un servidor de VPN y la cosa resulta sencilla.

El Problema:

Unir dos «delegaciones» mediante una VPN permanente y , claro, de la forma mas barata posible 🙂

Pruebas o posibles soluciones

He probado con un montón de software unos me han gustado mas que otros, aquí les dejo los links de todos lo que he configurado, por si les sirven de algo

Hamachi (gratis / de pago)

https://secure.logmein.com/US-ES/products/hamachi/

Neorouter – solo versión prueva / pago y ademas hay que instalar un servidor.

http://www.neorouter.com/products.html

Lanbridger – solo de pago y hay que configurar el firewall

http://www.lanbridger.com/

tradicional vpn – tiene Cliente de vpn de los principales fabricantes

http://www.shrew.net/

PTPVPN – en la versión gratis,maximo 5 clientes, para Win y Mac

https://secure.logmein.com/es/products/hamachi

openvpn – Ofrece 2 clientes gratis

http://openvpn.net/

Renobo – Da un error en 2012

http://www.remobo.com/

Tuneelbear – 500Mb gratis al mes

http://www.tunnelbear.com/

Comodo – Hace falta una cuenta por cliente

http://www.comodo.com/

Viscosity – solo versión de prueba

http://www.sparklabs.com/viscosity/

Thegreenbow – es gratis solo 30 dias

http://www.thegreenbow.com/

Wippien – necesita una cuenta «jabber»

http://www.wippien.com/

Los que mas me ha gustado han sido Hamachi y Viscosity y entre los dos, paro lo que quería hacer, Hamachi lo resolvía mas económicamente.

Pero finalmente ….¡ He descartado todos !

La Solución (para mi)

Lo he realizado con Microsoft 2012: Site to Site

Pros:

Es una solución que teniendo Servidores Windows Server, sale gratis.
No hay que pagar cuotas
No ampliamos el software del que hay que depender
Es una solución bastante transparente una vez implementada

Contras:

Si no tenemos Servidores tenemos que comprar como mínimo 2 licencias de Windows server (entre nosotros sale un pico)
Hay que plantearse bien las cosas y realizarlo como un pequeño proyecto.
No es sencillo, pero tampoco complicado
Hay que modificar/configurar los routers de las delegaciones

Ejemplo

En esta antigua entrada del blog explique como llevarlo a cabo:

Unir delegaciones

18/06/2013

Restaurar maquina virtual completa con DPM

Mi problema es:

En teoría se puede restaurar perfectamente, pero a la hora de hacer la recuperación me da la siguiente advertencia

«note that the selected recovery element is a vhd and not the virtual machine»

y por lo tanto no me deja restaurar a su ubicación original.

He aplicado hasta los últimos parches sin éxito.

Solución

La solución es poner mas atención y mirar mejor todas las opciones; soy un cazurro.

Si damos recuperar desde la rama «Backup using safe state» solo tenemos la opción de recuperar el .vhd:

Pero, recuperamos posicionados en «Todos los HyperV data protection» entonces nos deja recuperar la máquina completa:

Pues ha sido un problema que me ha costado mucho tiempo encontrar la solución, y al final no era ni problema, solo falta de atención 😉

24/04/2013

DPM en una maquina virtual.

Hola

Parece que System Center DPM, ha tenido algún problemilla, pero también muchas mejoras. Ahora DPM si se puede implementar en una máquina virtual, cosa que antes también se podía pero no con todas sus funciones.

La forma de instalar DPM para que pudiese hacer backups de máquinas virtuales completas era instalar el rol de Hyper-v en el, y…..claro si lo tenemos virtual, no se podía.

Pero por fin, en esta última versión DPM 2012 SP1, ya ha eliminado el problema y es enteramente funcional. Ya podemos hacer practicas y no tan practicas sin necesidad de tener un servidor físico para instalar el DPM.

22/04/2013

Realización de plantilla de maquina virtual

Hola

Voy a realizar un tutorial para implementar escritorios virtuales desde cero.

Para dejar claro el tutorial voy ha separarlo en tres partes:

Implementación de la infraestructura: infraestructura VDI
Realización de plantilla de maquina virtual: plantilla VM
Despliegue de escritorios virtuales: Despliegue de escritorios

El tuto para crear la plantilla:

[youtube=http://youtu.be/CwflYa1XNzw&rel=0]

Los pasos que se han seguido son los siguientes:

Crear una maquina virtual (o una que ya tengamos) con la que queramos usen los futuros usuarios del VDI.

Configurar, actualizar e instalar el software que necesitarán los usuarios

Tener en cuenta las siguientes reglas

La máquina de la plantilla solo puede tener 1 disco virtual.
La máquina virtual tiene que ser Windows 7 o Windows 8 (no lo he conseguido hacer con Windows XP)
El VHD o VHDX puede tener mas particiones, aunque no lo recomiendo y no le veo mucho sentido.
Necesita un mínimo de 1024Mb y se puede configurar como dinámica
Tiene que tener un adaptador de red conectado a una red
La red debe poder contactar con un DHCP y un DC para que se le asigne una IP y pueda ingresar en el dominio.
La plantilla puede tener un snapshot, puede ser útil en laboratorios.
No es necesario trabajar con discos diferenciales, ya que el VDI se encarga de este proceso

Por último hay que hacerle un SYSPREP para dejarla «generalizada», es decir inicializada como para su primer uso.

sysprep /oobe /generalize /shutdown /mode:vm

21/04/2013

Copia seguridad de maquina virtual: System Center DPM

Copias de seguridad de máquinas virtuales

Hola, bajo este titulo vamos a estudiar tres tipos diferentes de copias de seguridad que se pueden realizar para salvar nuestras virtual machines de posibles desastres. Voy a dividir el tema en tres entradas diferentes una por cada tecnologia usada para realizar el backup:

Copia seguridad de maquina virtual: Windows BackUp
Copia seguridad de maquina virtual: System Center DPM
Copia seguridad de maquina virtual: Windows Azure

20/04/2013

Pasar maquina virtual a alta disponivilidad

Hola

Hoy traigo este mini-tutorial de como pasar una maquina virtual funcionando en un host a alta disponibilidad en un cluster ya configurado.

Disponemos de:

Maquinas virtuales funcionando en los host
Cluster de conmutación por error
Disco de cluster preparado

El tuto:

[youtube=http://youtu.be/oQdl-0Rqu-g&rel=0]

Los pasos realizados y que mostramos en el vídeo son:

Partimos de una máquina funcionando en un nodo, en este tutorial elegimos «MSDOS»

En el Administrador de Clusters añadimos una nueva máquina virtual.

Nos fijamos que solo hemos puesto la VM, pero no su disco.

Migramos el almacenamiento.

Listo

14/04/2013

Remote Desktop Services en windows 2012

Vamos a describir que son los servicios de escritorio remoto.

Remote Desktop Services

Son una serie de servicios que implementa Windows en sus últimas versiones. Ya empenzó en windows 2008 sustituyendo los terminal services por unos nuevos y mejorados servicios remotos, RD services, que manteniendo la funcionalidad del antiguo añadían nuevos funcionalidades. En 2012 tenemos los siguientes servicios que se pueden implementar añadiendo el Rol de Remote Desktop Services.

RD Virtualization Host
RD Session Host
RD Connection Broker
RD Web Access
RD Licensing
RD Gateway

08/04/2013

Numero de Proceso de una maquina virtual con Hyper-V 2012

Problema:

Necesito determinar que máquina tiene un determinado PID para poder matar el proceso o identificar su rendimiento, en windows 2008 tenia una solución aprendida (aqui) pero no me sirve para 2012 y no quiero instalar herramientas diferentes a las que trae el SO.

Solución:

2 formas, mediante administrador de tareas y paciencia o por línea de comando

administrador de tareas

Si lanzamos el administrador de tareas y añadimos las columnas de PID y de «Nombre de proceso» tenemos una relación clara entre el proceso que queremos y una linea de comando en la que viene el GUID de la máquina virtual

Ahora tenemos que relacionar ese GUID con el de la máquina, y para ello tenemos que mirar carpeta por carpeta en el directorio donde se almacena el *.xml, ya que el nombre de ese archivo incluye el GUID.

Claro que esto si tenemos muchas maquinas nos va a costar un rato, por ello es preferible el siguiente método

por línea de comando de Power shell

Mediante la consola de power shell podemos ejecutar el siguiente comando:

PS C:\Users\administrador> Get-WmiObject -Namespace root\virtualization -class msvm_computersystem | select elementname, operationalstatus, processid, name| ft -auto

y nos dará la siguiente relación

En esta lista, ya aparece el nombre de la máquina con lo que es mas facil dar con ella o con el proceso que buscamos. La contra es que hay que saberse el comando 🙂

20/03/2013

ADK

Hola

El problema de hoy: istalar las WAIK

He tenido la necesidad de istalar las WAIK (windows AIK, Kit de instalación automatizada) para windows 8, pero he tenido muchos problemas para integrarlas con la instalación de VMM 2012. Pero he encontrado una solución rapida, limpia y sencilla:

Solución: Instalar las ADK

Las WAIK están discontinuadas, ahora se llaman ADK “Windows Assessment and Deployment Kit”. El problema de estas es que ocupan vastante y no hay una instalación stand alone, solo un instalador que tira de internet para la descarga.

Windows Assessment and Deployment Kit (ADK) for Windows® 8

Las ADKs contienen las siguientes herramientas:

Application Compatibility Toolkit (ACT)

Deployment Tools

User State Migration Tool (USMT)

Volume Activation Management Tool (VAMT)

Windows Performance Toolkit (WPT)

Windows Assessment Toolkit

Windows Assessment Services

Windows Preinstallation Environment (Windows PE)

Opinion

Instalando estas herramientas he podido terminar muy rápidamente la instalación de SCVMM y solamente instalando este paquete :). De la otra forma era mucho lio, así que recomiendo esta instalación para todos los entornos de server 2012 donde nos pidan las WAIK.