domingo, 18 de diciembre de 2011

Instalar una PKI y una PKI subordinada de AD en Windows Server 2008 R2

Me ha surgido la duda de instalar una PKI subordinada de empresa perteneciente a un Directorio Activo dependiendo de una CA/PKI que no era de empresa.

A parte de mover certificados .cer, .p7b, .crl de un lado para otro lo importante es la CRL (Lista de Revocación de Certificados).

No se puede crear una entidad subordinada si la principal no publica una CRL con todos sus certificados revocados para estar al día la una con la otra. Eso se hace en las propiedades de la "Autoridad Certificadora" principal en la pestaña "Extensiones" en la que hay que añadir la ruta web del archivo .crl o la ruta de carpeta compartida donde está ese mismo archivo.
En local está en:
      c:\windows\system32\certsrv\certenroll\.crl
en remoto en:
         http://-equipo-/certenroll/-archivo-.crl
      ó 
        \\-equipo-\certenroll\-archivo-.crl

Una vez hecho eso correctamente instalas la PKI subordinada, le solicitas el certificado a la PKI principal (lo obtienes por la inscripción web) y poco mas.... a trabajar


Bueno, tengo una duda con las todas las propiedades que he marcado en las "extensiones".... pero ya investigaré detalladamente que es cada uno de los checkbox que he marcado.

Un saludo.

miércoles, 16 de noviembre de 2011

Failover Cluster en Windows Server 2008 R2

Buenas tardes.


Me he puesto a probar un tema muy interesante que es el "Cluster de conmutación por error" o "Failover Cluster".


Y he realizado una serie de vídeos mostrando como se hace.
Si, reconozco que son unos cuantos... y que aparecen temas no muy conocidos como:

  • Cluster
  • Quorum
  • LUN
  • iSCSI
  • Latido
  • Nodos
  • Mayoría de Nodos y Disco
  • Target o destino iSCSI
  • Discos virtuales (.vhd)
  • Alta disponibilidad
Pero me ha gustado bastante trastear con ello.
Lo ideal hubiese sudo hacer un cluster de virtualización con el HyperV, pero para eso necesitaba al menos dos máquinas reales que soportasen HyperV y mas o menos con la misma configuración de hardware además de un tercer equipo que fuese DC y una SAN con soporte iSCSI lo cual no estaba a mi disposición.
Así que lo que he hecho ha sido utilizar máquinas virtuales:
  • Nodo 1 con Windows Server 2008 R2
  • Nodo 2 con Windows Server 2008 R2
  • DC con windows Server 2008 R2 que a la vez hacía de almacenamiento SAN utilizando el "Target iSCSI 3.3 de Microsoft".
  • Hacer un cluster en el que pongo en alta disponibilidad el servicio DFS.
Bueno, cuelgo los videos.....

  1. Preparo el entorno con los roles y características necesarios
  2. Creo el cluster utilizando el asistente de "Clusteres de conmutación por error"
  3. Creo el destino iSCSI y LUN para el disco de QUORUM y lo añado al cluster para ponerlo en modo "Mayoría de Nodos y disco"
  4. Después de eso añado las LUN de los dos servicios DFS que quiero poner en alta disponibilidad y pruebo un poco a ver como pasa el almacenamiento de un NODO al otro según van fallando o pasa algo.
  5. Configuro dos veces el servicio DFS, lo pruebo y simulo fallos en el servicio para ver como los dos nodos pasan de estar en estado ACTIVO/ACTIVO a ACTIVO/ERROR o ERROR/ACTIVO.... incluso los dos en error y luego ver como se puede volver a recuperar el servicio. Ver como se pasa el servicio de un nodo a otro o cualquier cosa que se os ocurra.
Espero que os guste.

Un saludo.



Video 1

Video 2

Video 3

Video 4

Video 5