Archivo del Autor: eldeza

Configure Port Mirroring en Switch Allied Telesis

En ocasiones tenemos problemas de conexión de red y es necesario usar un analizador de protocolos como Wireshark.

Para este caso, tengo una central Avaya conectado a un Switch en el puerto port1.0.15, y quisiera capturar el tráfico en mi equipo, que tiene instalado el Wireshark y está conectado al mismo switch, en el puerto port1.0.8.

¿Qué necesito para lograr este objetivo?

Simple, una configuración que permita enviar una copia del tráfico que ingresa y sale por el puerto port1.0.15, hacia el puerto port1.0.8 , para que pueda ser capturado en el wireshark que tengo instalado en mi equipo.

La configuración sería la siguiente:

Ingresamos al modo configuración y ejecutamos los siguiente comandos:

switch(config)#interface port1.0.8

switch(config-if)#mirror interface port1.0.15 direction both

*direction both : este comando es para que envíe una copia de información tanto del ingreso como de salida del tráfico de la interfaz 1.0.15.

Una vez terminado la captura o el análisis con el wireshark, recomiendo deshabilitar esta configuración de port mirroring y dejar que trabaje normalmente el puerto port1.0.15.

Para deshabilitar, igualmente ingresamos al modo configuración Global y ejecutamos los siguiente comandos:

switch(config)#interface port1.0.8

switch(config-if)#no mirror interface port1.0.15

Es algo muy sencillo, pero de mucha utilidad.

Un saludo.

Instalación y configuración de Exchange Server 2010

Hola a todos, esta semana estaba pensando en realizar una comparación de instalaciones y configuraciones de las diferentes versiones de exchange server 2010, 2013 y 2016, además de una implementación híbrida de exchange y office 365.

Como se indica en el título, en este artículo empezaremos con la instalación de Exchange server 2010, luego actualizaremos a SP3 e instalaremos el rollup 16 (último rollup de exchange server 2010 SP3).

Para instalar el exchange server 2010, haremos uso de una máquina virtual en Hyper-v con sistema operativo Windows Server 2008 R2 con las últimas actualizaciones, memoria RAM 8 GB, un disco de 100 GB y 2 procesadores virtuales.

Importante: en un ambiente de producción podríamos usar una calculadora de exchange para obtener requisitos óptimos para un buen performance de nuestro exchange. También pensar en montar un DAG, un NLB, crear 2 díscos más para logs y para las Base de datos, etc.

Bueno nos logueamos con un usuario administrador del dominio y descargamos el Microsoft Filter Pack 2.0, éste es un requisito de exchange server.

La instalación es simple, sólo ejecutamos, seguimos los pasos y finalizamos.

1

Ahora debemos abrir como administrador una ventana de PowerShell, importamos el módulo de server manager y luego ejecutamos la lista de requisitos como se muestra en la imagen.

Import-module servermanager

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,Web-Asp-Net,Web-Client-Auth,Web-Dir-Browsing,Web-Http-Errors,Web-Http-Logging,Web-Http-Redirect,Web-Http-Tracing,Web-ISAPI-Filter,Web-Request-Monitor,Web-Static-Content,Web-WMI,RPC-Over-HTTP-Proxy -Restart

El servidor se reiniciará.

2

Una vez reinciado, insertamos y ejecutamos el instalador de exchange server 2010.

Seleccionamos en Install only languages from the DVD, para que escoja el idioma que viene en el Disco o imagen.

3

Ahora seleccionamos Install Microsoft Exchange.

4

Nos muestra una introducción del producto, seleccionamos siguiente.

5

Seleccionamos Instalación personalizada, activamos la casilla para que se instalen roles o características en caso Exchange los necesite; en el caso de la ruta de instalación la podemos dejar por defecto, ahora damos clic en siguiente.

6

Seleccionamos los roles que necesitamos instalar, para este caso intalaremos los roles Mailbox, Client Access y Hub Transport en un mismo servidor. Para casos de producción y ambientes más grandes podemos instalar el rol Mailbox en un servidor y en otro servidor los roles Client Access y Hub Transport.

3

Aquí nos pide el nombre de la Organización, podemos cambiarlo o dejarla como está, luego seleccionamos siguiente.

4

Aquí nos pregunta si en nuestra organización tenemos usuarios que usan cliente outlook 2003, en mi caso le diré que no.

5

Nos pide el nombre de dominio externo del Cliente access, es decir el nombre con el que contactarán los clientes de activesync, outlook anywhere y OWA desde el exterior de la empresa.

6

Luego nos pregunta si queremos participar en un programa de mejora de Exchange, en mi caso le daré que no, pero si tienen un ambiente de producción, es bueno que se unan.

7

Se me pasó una ventana, pero lo que nos pide es comprobar si cumplimos con todos los requisitos, le daremos comprobar y si nos arroja la siguiente ventana, es porque cumplimos con todo. Nos queda darle clic en Instalar.

¿Qué significa la advertencia?

Simplemente que después de extender el esquema de AD actual e instalar exchange 2010, no se podrá instalar algún exchange 2003 o 2007.

8

Después de unos 15 o 20 minutos, hemos terminado con éxito la instalación de exchange server 2010 SP1. Es recomendable reiniciar el servidor.

9

Al inciar, podemos ejecutar la consola de exchange Server 2010.

11

En este momento podemos realizar envío de correo interno sin problemas.

12

Ahora debemos configurar un conector de envío de correo hacia internet, para ello en Configuración de la Organización/Hub Transport, creamos un nuevo conector de envío.

13

Colocamos cualquier nombre y seleccionamos que sea un conector de Internet.

14

En espacio de direcciones digitamos un asterisco, esto quiere decir que podremos enviar correo a cualquier destino.

15

En Configuración de Red seleccionamos como se enviará el correo en este conector, mayormente es utilizando un registro MX.

16

Aquí seleccionamos qué servidores Hub Transport serán los autorizados para enviar correo hacia el exterior.

17

Un pequeño resumen y procedemos a crear.

18

Ahora configuraremos el conector de recepción, para ello por seguridad y no mostrar el nombre interno de nuestro servidor de correo, vamos a editar el conector Default. Seleccionamos el conector, nos dirigimos a la pestaña Network y en Receive Mail eliminamos los rangos de IPs existentes y colocamos el o los segmentos de red Local de nuestra empresa.

tenerncuenta1

Ahora crearemos un conector de recepción que dará la cara hacia servidores externos.

Para ello en Receive Conectors haremos clic derecho y crearemos un nuevo conector, damos un nombre y seleccionamos que será usado para internet.

tener2

Aquí colocamos el nombre que se mostrará hacia el exterior.

tener3

Le damos crear y listo.

tener5

Lo siguiente a realizar será instalar un certificado digital, se recomienda un certificado firmado por una autoridad certificadora pública.

Para crear un request debemos de seleccionar a Configuración del servidor, seleccionamos el servidor y damos clic en Nuevo certificado de exchange.

19

Colocamos cualquier nombre.

20

Llenamos los datos de nuestra organización, seleccionamos una ruta y nombre para guardar el archivo .req.

22

Y le damos en nuevo.

24

Este archivo es el conocido CSR, lo podemos abrir con un notepad. El contenido de este archivo lo utilizaremos para comprar un certificado digital de una autoridad certificadora pública. He realizado un artículo de cómo generar un certificado gratuito para exchange.

25

Una vez adquirido el certificado, podemos completar la solicitud  pendiente en el exchange, antes debemos copiar y pegar el certificado en alguna ruta de nuestro exchange 2010.

29

Seleccionamos el certificado, en este caso el certificado que obtuvimos tiene un formato .crt, lo cual no es problema, ya que al abrirlo debemos seleccionar todos los tipos de archivos.

30

Completamos la solicitud pendiente.

31

Ahora nos queda asignar este certificado a los servicios que queremos proteger.

32

Aquí seleccionamos los servidores.

33

Y seleccionamos los dos servicios que vamos a proteger.

34

Nos queda asignar.

35

Si pide confirmación, damos clic en Yes y listo.

36

Otra cosa que debemos configurar es el Outlook Anywhere, para ello nos dirigimos a Server Configuration, Client access y sobre el servidor Habilitamos Outlook AnyWhere.

any1

Colocamos el dominio externo y la autenticación básica, ya que será protegida por un certificado digital.

any2

Finalizamos.

Si leen un poco nos indica que outlook anywhere se habilitará en unos 15 minutos, asi que habrá que esperar y listo.

any3

Ahora nos queda dirigirnos a nuestro server DNS para crear un registros Tipo A internos.

37

A nivel externo debemos publicar en nuestro firewall nuestro servidor de correo, dependiendo de la marca o modelo del firewall, simplemente es crear un NAT de una Ip privada hacia un pública y abrir los puertos 25 y 443.

40

Otra cosa que nos queda hacer es crear registros Tipo A, MX y TXT, en nuestra zona DNS externa, en mi caso mi dominio lo tengo en godaddy,

41 42 43

Otra cosa que es importante es cambiar la autenticación del OWA, para que sólo pida el usuario y no en dominio\username. Cambiamos como en la imagen y reiniciamos el IIS.

45

Ahora como se muestra la imagen, ya tenemos un certificado instalado (Es seguro) y el formato de inicio de sesión a OWA es utilizando sólo el usuario.

46

Haremos unas pruebas de envío y recepción hacia y desde cuentas de correo externas y observaremos que todo está funcionando.

48

Haremos pruebas de outlook anywhere, ActiveSync y veremos que funciona sin problemas.

any5

any6-5

 

any7

Se observa el uso del protocolo RPC/HTTP.

any8

Con esto tendremos funcionando nuestro correo exchange, lo único que faltaría es configurar un Antispam, podemos usar uno de terceros como Barracuda, Fortimail, entre otros, que escapan del alcance de este articulo.

Ahora bien tenemos nuestro exchange, pero debemos tenerlo actualizado, para ello enseñaré como actualizar a SP3.

Para ello descargaré Microsoft Exchange server SP3, copiamos el instalador en una unidad de nuestro servidor y ejecutamos el setup.

NOs muestra la siguiente ventana y damos clic en Install Microsoft Exchange Server upgrade.

sp31

Una pequeña introducción.

sp32

Aceptamos los términos.

sp33

Seleccionamos en Upgrade. Si nos fijamos hay una advertencia, la cual indica que debemos instalar un hotfix, esto es obligatorio, si tenemos en nuestra organización un ambiente de DAG, de lo contrario podemos exceptuar.

Importante: Al realizar la actualización a SP3 los servicios de exchange se detendrán, por lo que los usuarios se quedarán sin correo.

sp35

Como se observa, la actualización ha culminado satisfactoriamente y los servicios de exchange nuevamente se han restablecido.

sp39

Sin embargo, es importante mencionar que como todo software siempre debemos mantenerlo actualizado, por ello que casa cierto tiempo salen rollups, los cuales debemos instalarlos para que mejoren algunas funcionalidades de exchange.

Si queremos ver más información podemos ingresar aquí.

En este caso el último rollup es el 16, por lo que descargaremos e instalaremos.

Importante: Al realizar la actualización a los servicios de exchange se detendrán, por lo que los usuarios se quedarán sin correo.

rol1

rol2

Finalizamos, y veremos que los servicios nuevamente se inician.

rol3

Con esto hemos finalizado este artículo, espero que les sea de utilidad.

Gracias a todos.

 

 

Certificados gratuitos para Exchange

Existen varios proveedores de certificados que otorgan certificados Digitales gratuitos, uno de ellos es StartSSL,  a quién estoy agradecido, ya que gracias a estos certificados puedo realizar laboratorios completos los cuales comparto con ustedes.

Quizás pensemos que por ser gratuitos no son buenos, pues nos equivocamos, ya que estos certificados los he usado en ambientes de producción de clientes con Exchange y Lync y hasta el momento me funciona perfecto.

Bueno vamos al grano y al objetivo este artículo, que es obtener un certificado  digital, en este caso para Exchange.

Lo primero que haremos es ingresar a la página de StartSSL y dar  clic en Start EV Validation Now.

cert1

Siguiente paso seleccionar Sign Up.

cert2

Seleccionamos el país y escribimos nuestro correo electrónico; es recomendable usar el correo que está registrado en nuestro dominio externo de nuestra empresa, pero no hay problema usaremos nuestro correo de hotmail.

Aceptamos los términos y damos clic en enviar código de verificación.

cert3

Abrimos nuestro correo, copiamos el código y pegamos en la siguiente ventana. Luego daremos clic en Obtener el nuevo certificado (OJO: No es el certificado que se instalará en el exchange, es el certificado que usaremos para autenticar con el sitio StartSSL)

cert4

Colocamos una contraseña para la llave privada del certificado con el que haremos la autenticación para ingresar al sitio de StartSsl.

cert5

Seleccionamos en descargar Archivos.

cert6

Nos descarga el certificado con la llave privada para realizar la autenticación con StartSSL.

cert7

Lo que haremos es instalarlo, para ello ejecutamos con el usuario actual de nuestro equipo (puede ser un equipo personal, no el servidor de exchange).

cert8

Seleccionamos el certificado.

cert9

Colocamos la contraseña que se colocó en el paso incial.

cert10

Simplemente damos clic en siguiente.

cert11

Finalizamos.

cert12

Una vez finalizada la instalación nos muestra la siguiente ventana en la web, seleccionamos Login Now.

cert13

Nos muestra una ventana emergente, a la que daremos aceptar.

cert14

Con estos pasos hemos logrado acceder al panel de administración para poder obtener nuestro certificado.

Sin embargo queda validar que somos dueños del dominio, para ellos vamos a Validations Wizard, seleccionamos Validación de dominio y continuar.

cert15

Colocamos el dominio y continuar.

cert16

Aquí debemos seleccionar la cuenta a la que necesitamos que nos envíe el código para verificar que nos pertenece el dominio.

Abrimos el correo que seleccionamos, copiamos y pegamos el código y validamos.

cert17

Todo salió perfecto, ahora seleccionamos en To “Order SSL Certificate”

cert18

En el cuadro agregamos todos los nombres que queremos proteger.

cert19

Si bajamos la página, debemos pegar el CSR antes generado en el Exchange y damos clic en Submit.

cert21

Para descargar el certificado damos clic en Here.

cert22

Por fin hemos descargado el certificado, el cual será instalado en nuestro exchange. En archivo .ZIP veremos que existen varias carpetas, yo usaré el certificado que se encuentra en OtherServers.

cert23

Espero les sea de utilidad, hasta pronto.

Configurar VPN Sitio a Sitio – Azure RM

Buenas noches, nuevamente compartiendo con ustedes este artículo sobre la creación de una conexión VPN Sitio a Sitio desde azure hacia nuestro firewall on-premise.

Para ello necesitaremos crear los siguiente recursos:

  • Puerta de enlace de red virtual
  • Puerta de enlace de red local
  • Conexión

*Se asume que tenemos creada nuestra estructura de máquinas virtuales en azure con una subnet y GatewaySubnet.

01. Para crear la Puerta de enlace de red Virtual (sería nuestro firewall en la nube), nos dirigimos a todos los recursos, seleccionamos el recurso y damos clic en crear.

1

02. Colocamos un nombre, seleccionamos el tipo de puerta de enlace:

VPN: Una conexión que podemos realizarlo nosotros utilizando IPsec.

ExpressRouter: Una conexión personalizada y con un costo más elevado; pagaríamos a un ISP para que nos haga una conexión privada desde azure hasta nuestra sede On-premise.

03. Luego seleccionamos el Tipo de VPN:

Basada en Rutas: Esta conexión es la más usada, sin embargo hay que tener en cuenta que no todos los equipos firewall que usamos en nuestras organizaciones son compatibles.

Basada en Directivas: Es el tipo de VPN que es compatible con casi todos los firewall, la desventaja es que sólo se puede crear una conexión VPN sitio a sitio.

Pueden ver más información aquí.

04. En SKU seleccionamos Estándar.

05. Seleccionamos la red virtual, la dirección IP pública y damos clic en crear.

 

2

07. Ahora creamos la Puerta de enlace de red local (sería la información del firewall on-premise.

3

08. Colocamos un nombre, colocamos la IP pública del firewall on-premise, las redes remotas on-premise con las que queremos conectarnos, seleccionamos el grupo de recursos y damos clic en crear.

4

09. Ahora seleccionamos la puerta de enlace de red Virtual, luego seleccionamos Conexiones y agregamos una nueva conexión.

5

10. Colocamos un nombre, seleccionamos el tipo de conexión, la puerta de enlace de red local y colocamos la clave compartida, la cual tenemos que colocar en el firewall on-premise para que se de la negociación.

6

Con esto hemos terminado la configuración en Azure, lo que faltaría es la configuración en nuestro firewall on-premise, dependiendo de la marca y modelo deberíamos crear la conexión VPN usando IPsec.

Los parámetros a utilizar, tanto en la fase 1 y 2 se ve en este artículo.

Espero que le sea útil, cualquier duda me comentan.

 

ERROR 550 5.1.1 Exchange

Hola a todos, hoy un día de tanto calor, pero animado a compartir con ustedes este artículo, el cual fue trabajado en conjunto con mi partner David Sanchez.

La situación es la siguiente: Por error se ha eliminado el usuario visitas@midominio.com.pe con su buzón en un ambiente de exchange, no tenemos como recuperar ese buzón de correo, por lo que crearemos un nuevo usuario, acompañado de su buzón.

El problema viene cuando un usuario de la organización quiere enviar un correo desde su outlook al usuario re-creado, ya que le mostrará el siguiente error:

Mensaje error:

Este mensaje no es más que el atributo LegacyExchangeDN del usuario eliminado.

1

Para solucionar este problema rápidamente debemos trabajar con el mensaje de error (línea sombreada de amarillo) y reemplazar algunos valores.

01. Eliminar el texto  inicial : IMCEAEX- y el texto final @midominio.com.pe

02. Luego reemplazamos los siguientes valores por su equivalente:

 –         equivalente a     /

+         equivalente a    espacio

+20    equivalente a    espacio

+28     equivalente a    (

+29    equivalente a      )

03. luego de reemplazar los valores la línea debería quedar así:

/o=CI El Deza/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=Visitasd7e

04. Esta línea debemos de copiar y pegar como Dirección personalizada en las propiedades del buzón:

4

Como vemos en la siguiente imagen, hemos copiado el texto en e-mail Address y en e-mail type colocamos x500, luego aceptamos.

5

Con todo esta configuración los usuarios podrán enviar sin problemas y no les rebotará el mensaje.

Espero les sea de utilidad en algún momento.

Nos vemos pronto.