Migrando Perfiles de Windows Workgroup hacia Active Directory con ForensIT

Que tal, ya cerrando el 2019, es momento de mi por asi decirlo ultimo post en mi blog para cerrar este año que fue excelente, mucho trabajo, muchas cosas que he realizado acorde al plan, altos bajos pero es parte de la vida.

Quiero cerrar entrando con el mundo Windows, por lo regular la mayoria de mis post son de Pfsense o Linux, pero como siempre lo he dicho, soy un administrador de sistemas, trabajo con variedad de ellos y Windows no es la excepcion.

Por ello en este post voy hablar de una herramienta llamada ForensIT que tiene su sitio en https://www.forensit.com/index.html

Este pedacito de software en que nos ayuda? Pues resulta y resalta que si tenemos una red de equipos con Windows XP, 7, 8 o 10 bajo una infraestructura de WORKGROUP y deseamos migrar todos los equipos a un Active Directory ya sea Windows Server 2012 o 2016 y todos los clientes ya tienen perfiles de usuarios con mucha informacion, Forensit nos ayuda a llevar a cabo la migracion sin tener que reconfigurar cada cuenta de usuario cuando se agrega al domino.

Lo que hace esta herramienta es:

-Agregar el equipo a el dominio.
-Mover los perfiles de los usuarios a Active Directory sin tener que reinstalar nada.

Si quieres ver el video en mi cuenta de youtube, aqui dejo el link: Mi Canal de Youtube Video 33

A lo mejor no he sido claro con esta labor, lo que muchas de las veces se lleva a cabo cuando agregamos maquinas al dominio, se crea la cuenta, de ahi se va el equipo cliente que deseamos dar de alta en el dominio, una vez que hacemos esto, si en ese equipo ya habia un usuario con mucha informacion en su perfil, se respaldan los datos, ya que el equipo esta en el dominio, se firma el cliente y a mover todos sus datos, reconfigurar todos los programas, como office, outlook, etc, etc.

Esta labor consume mucho tiempo en base a la cantidad de programas del usuario y el tamaño de su respaldo, pero eso si, olvidense del desktop, o su fondo de pantalla, hasta se molestan por que ya no esta la foto de sus bebe o su novio o novia de fondo o los iconos de sus programas donde los tenian.

En resumen, adios todo el perfil del usuario, a crearlo desde 0.

Aqui es donde Forensit entra a la jugada, ya que toda esa labor tediosa realmente cuando se estan migrando los equipos, Forensit nos hace la vida facil.

Por que con unos cuantos clicks, el se encarga de agregar los equipos a el dominio y reconfigurar los perfiles de los usuarios con nueva cuenta en el dominio sin perder nada del perfil, asi como estaba se mueve, la foto del fondo de pantalla ahi estara, los iconos, etc etc, lo unico donde falla es si tenemos Outlook, las claves se deben volver a teclear o bien Outlook 365 se debe reinstalar, no siempre pasa esto excepto lo de volver a teclear la clave esto si es de ley.

Todos lo demas ahi estara sin problemas, nos ahorra horas de configuracion, lo hace de manera transparente para los que estamos llevando a cabo las migraciones.

En un momento mas entrare a el detalle de como usar esta herramienta, Forensit viene en 3 sabores.

-Version Gratis como el aire que respiramos

-Version Profesional

-Version Empresarial

En la pagina oficial vienen los detalles de cada una, ahora si solo vamos a migrar 1 solo perfil de cada estacion de trabajo, en este caso con la version gratuita podemos hacerlo, el unico detalle es que si la cuenta se llamaba 'Pedro Moreno' y el usuario en el dominio se llama 'pmoreno', en el cliente se seguira llamando 'Pedro Moreno' el folder del usuario pero estara ligado totalmente a la cuenta de pmoreno del dominio.

Este detalle como lo menciona Forensit en sus doc de ayuda, la version gratuita asi funciona, si deseamos que tambien cambie el nombre del folder por el del nuevo usuario del dominio, como en este caso 'pmoreno' se requiere la version de paga, pero tomen nota, si algun programa esta casado con el perfil del usuario o sea que tenga alguna configuracion en:

C:\Users\Pedro Moreno\AppData\Local\

Pueden tener problemas, lo que sucedera es que tendrian que reinstalar la aplicacion o solo reconfigurarla, es algo que deben ustedes tomar en cuenta si desean llevar a cabo este cambio o no les afecta.

Otro detalle, si tenemos clientes con varios perfiles como:

Pedro Moreno
Emiliano Zapata
Carl Friedrich Gauss

Requerimos la version de paga, como la Profesional o Empresarial, la version gratuita solo permite migrar 1 solo perfil.

Migrando Perfil

Ya hablamos de mucha teoria la cual es bueno, pero no hay como llevar todo a la practica, lo que vamos hacer en este ejemplo practico es, migrar 1 perfil usando la version gratuita, es un equipo con Windows 10 Pro, recordar que todos los clientes para formar parte de una infraestructura Active Directory deben de ser minimo version Pro+.

Aqui les dejo un diagrama de la red para tener un mejor panorama, Windows 2016 Estandard AD, este servidor esta ofreciendo los siguientes servicios:

Figura 1.

• AD
• DHCP
• DNS

La red esta protegida nada menos y nada mas que por Pfsense, las consultas a el DNS todos los clientes la hacen hacia el AD, si este no tiene la respuesta consultara a el firewall en este caso Pfsense, ningun cliente en la red tiene derecho a consultar a Pfsense directamente.

Las reglas de Microsoft son muy claras, muchos quieren cambiarlas colocando el DNS en otro sistema lo cual rompe las reglas, yo siempre les he comentado, amaras mucho tu otro sistema, pero no hay como seguir las reglas de Microsoft, te ahorraras dolores de cabeza.

Ahora veamos el servidor windows 2016 con el que vamos a trabajar.

Figura 2.

Ahora en este momento no hay ningun equipo dado de alta, este sera el 1ro, veamos que dice el servidor:

Figura 3.

Ya hemos comprobado que no ningun equipo de computo registrado, ahora pasemos a ver los detalles del cliente que vamos a migrar.

Este cliente esta en un  WORKGROUP, como pueden  ver tal cual se ve su perfil, donde estan los iconos, imagen de fondo, etc.

Figura 4.

Ahora veamos los archivos que tenemos en el perfil.

Figura 5.

Todo esto cuando se lleve a cabo la tarea debe mantenerse de esta manera, nos vamos a ahorrar tiempo de estar reconfigurando cada usuario cada que iniciemos migraciones macivas, que es el plan.

Todo esta en su lugar, lo que sigue es entrar con el usuario Administrador del equipo para que lleve a cabo la tarea, recordar que solo los usuarios del Grupo de Administradores pueden dar de alta o sacar equipos del Dominio.

Figura 6.

Como podran observar el perfil del Administrador local es distinto a el usuario que vamos a migrar.

Descargando ForensIT

Nos vamos a la pagina de descargas: https://www.forensit.com/downloads.html

Figura 7.

Ya que lo tenemos vamos a necesitar como datos del AD.

-Nombre del Dominio: bos.local

-Usuario Administrador del dominio: Administrator

-Clave del usuario administrator

-Nombre del usuario en Dominio: pmoreno

Del equipo cliente tenemos estos datos:

Nombre del Equipo: BOS-PC6

Usuario local: Pedro Moreno

Resumen, el equipo llamado BOS-PC6 sera agregado al dominio, posteriormente el usuario Pedro Moreno con todo su perfil ahora pertenecera a el usuario llamado pmoreno en el dominio.

Migrando Perfil

Ya con todo en orden, nos vamos a el equipo cliente con su usuario administrador e instalamos la aplicacion.

Figura 8.

Al terminar le decimos que si lo ejecute al terminar la instalacion.

Figura 9.

Inicia el proceso de migracion.

Figura 10.

Seleccionamos el perfil 'Pedro Moreno'.

Figura 11.

Ahora le decimos el nombre del dominio bajo AD a donde deseamos agregar este equipo y el usuario al cual vamos a ligar este perfil.

Figura 12.

Localizara al servidor AD y cuando lo encuentre solicitara las credenciales del usuario administrador del dominio y su clave.

Figura 13.

Si todo en orden obtendremos algo asi.

Figura 14.

'Migration Complete' nos indica que toda la operacion se llevo a cabo con exito, va a reiniciar el equipo. 

Si nos vamos a el AD ya podremos ver el equipo que forma parte del dominio.

Figura 15.

Recuerdan al inicio(Figura 3) que no habia ningun equipo registrado en el dominio? aqui ya aparece el 1ro.

Forensit reinicia el equipo en 10 segundos.

Figura 16.

Ya vemos que nos muestra el usuario pmoreno del dominio para firmarnos.

Figura 17.

Maravilla, veamos el usuario en el dominio.

Figura 18.

Vamos a firmarnosy verificamos los detalles del equipo.

Figura 19.

Como se podra observar, ya forma parte de dominio, ahora veamos el perfil si fue respetado, empezamos por el desktop.

Figura 20.

Perfecto, iconos en su lugar, fondo de pantalla tal cual lo tenia el usuario 'Pedro Moreno', ahora veamos el contenido de los folders.

Figura 21.

Si observan la figura 5, es el mismo contenido que tenia el usuario cuando formaba parte de un WORKGROUP, ahora ya forma parte de un Dominio bajo AD.

Hasta hemos terminado, vamos a hablar de la herramienta comercial en otro post para migrar mas de 1 perfil por si les llegara a suceder, nos vemos hasta el otro año :-).

Pfsense 2.4.5, 2.5_dev Squid

De nuevo aparece una numero mas en la rama 2.4, ahora es la 2.4.5. Se juntaron varios cambios que se opto por abrir esta nueva version.

Mas info de los cambios, claro Ingles no hay de otra por el momento, los encontramos en este enlace directo de la fuente.

https://docs.netgate.com/pfsense/en/latest/releases/2-4-5-new-features-and-changes.html

El demonio de Squid sigue, se migra todo a la misma version que se este entregando en la rama 2.5_dev, la version 4.9.x.

En esta version se tiene que reparar el problema que he tocado en varios sitios que es el modo Transparente usando el modulo MITM.

No se ve un problema grave, solo ahi que reparar el squid.inc y hacer unas pruebas, el programa llamado ssl_crtd es remplazado por 'security_file_certgen'

En el modo No-Transparente no hay problema ese funciona sin problemas.

Por ahi un usuario de Argentina posteo un parche a el squid.inc, vamos a probarlo y ver si por ahi va el detalle diria el gran cantinflas.

Nos vemos...

Pfsense Squid SquidGuard Modo Transparente MITM vs Office365 Outlook.

He escuchado varios casos en distintas fuentes, en la redes sociales sobre el problema que a muchos les esta causando tener configurado PfSense con Squid+SquidGuard en modo transparente MITM.

Si es lo que uno desea, ya que el otro modo cuando hay equipos mobiles que no saben hablar con el protocolo WPAD se complican las cosas, se entiende, yo en lo personal prefiero este modo por que hay mas control y menos dolores de cabeza.

Pero el cliente lo que pida, claro que antes de explicandoles los pros y contras, y listo. Ahora regresando a el encabezado, a muchos los trae de cabeza cuando en las organizaciones usan office 365 en especial Outlook.

A unos les funciona sin problemas de estos me olvido, esto va para el resto que tienen intermitencia en el servicio, por de repente funciona para unos usuarios, para otros no y es una moneda al aire.

Cuando ya de plano quieren lanzar por la ventana a PfSense aqui les dejo una manera de atacar el problema, y esta es dejando salir a todos los IP's de la red de Outlook, a que me refiero?

Microsoft esta conciente que en muchos lugares hay proxies de por medio, por lo tanto ellos recomiendan sacar el trafico de sus servidores sin el proxy, como muchos sabemos, en el GUI de PfSense, Squid en especifico pestaña General hay una opcion asi:

En esta opcion nosotros podemos ingresar ya sea los IP(s), aliases, hostname, redes completas que no cruzaran por el proxy, lo que esta opcion hace es, cuando squid recibe los datos y uno de los paquetes que va a procesar cae en algunos de esos ya sea IP, hostname, alias, etc etc, si esto sucede no lo procesa, si no que le envia directo esa comunicacion a el firewall para que el decida que hacer.

De esta manera estamos brincando el proxy para esos destinos, ya nosotros tendremos que encargarnos de ya sea permitir o denegar su salida con el Firewall.

Outlook Office 365

Como les mencioe arriba, si ya de plano se las estan viendo dificil en su red, dejen salir el trafico de Outlook de esta manera.

Un detalle importante, muchos lo han tratado de hacer usando un Alias a los dominios de que usa Microsoft para el servicio de correo como:

• outlook.office.com
• outlook.office365.com
• smtp.office365.com

La tecnica es buena, pero hay un detalle que se nos olvida, ahi voy...

Microsoft  y muchos otros grandes manejan miles de IP's para montar toda su infraestructura de servicios, llamese:

• www.microsoft.com
• www.office365.com
• www.outlook.com
• etc etc

Cuando uno accesa a uno de esos sitios, el dns nos puede regresar un IP distinto cada que uno de nuestros clientes trata de accesar, el DNS pregunta:

Dame el IP de smtp.office365.com ===> Respuesta 147.47.127.10

Llega otro cliente de tu red y hace la misma pregunta:

Dame el IP de smtp.office365.com ===> Respuesta 191.234.140.25

Y asi sucesivamente, que hace Pfsense cuando le damos ese alias?

El consulta el DNS y lo mismo, este le regresa un IP, nosotros en el firewall agregamos una regla donde le decimos que deje salir a ese destino llamado: smtp.office365.com, el tiene ya una IP que la mantiene un determinado tiempo en una tabla de memoria, pero o sorpresa.

No contabamos con que el dns nos puede dar otro IP distinto y cliente bloqueado, espero me haya explicado, si no me dicen y lo explico de otra manera.

Por que sucede esto? Como les comente Microsoft usa bloques de IP's donde ellos montan sus servicios para poder proporcionar todos los servicios que ellos venden, correo, azure, su portal, hotmail, etc etc, solo imaginense si solo tuviera un solo IP...seria imposible brindar el servicio,

Por eso ellos tienen muchos IP's disponibles para balancear toda su red y poder dar un buen servicio a su clientes o quien accese sus servicios.

Bloques de IP's

Ahora, con toda la novela que llevo viene la parte importante, donde estan todos los IP's para el servicio de correo de Microsoft? Bien como ellos estan concientes de los proxies, ellos mismos en esta pagina proporcionan la informacion:

https://docs.microsoft.com/en-us/office365/enterprise/urls-and-ip-address-ranges

Hechenle un ojo.

Que hacer con todo eso?

Ahora si podemos hacer nuestro alias con todo esos IP's para ahora si decirle a PfSense que todos esos IP's los brinque en el proxy y nosotros con el firewall ya sabremos que hacer.

Alias Pfsense

Yo encontre todos estos bloques, de favor no tomen esto como fuente, por ello les puse arriba la pagina oficial de microsoft para que ustedes los tomen de los creadores de office365.

13.107.6.152/31

13.107.18.10/31

13.107.128.0/22

23.103.160.0/20

40.96.0.0/13

40.104.0.0/15

52.96.0.0/14

131.253.33.215/32

132.245.0.0/16

150.171.32.0/22

191.234.140.0/22

204.79.197.215/32

40.92.0.0/15

40.107.0.0/16

52.100.0.0/14

52.238.78.88/32

104.47.0.0/17

Ahora todos estos bloques pueden crecer o sea aparecer nuevos, cuando esto suceda volveran a tener problemas, pero esto se solucionara facil, revisando la pagina fuente y sus logs de pfsense :-).

Nuestro alias quedarias mas o menos asi:

Pongan atencion, no salen todos, ustedes asegurense de agregar todos los bloques que encuentren de la pagina fuente, yo le llame a mi alias 'Outlook'.

Una vez hecho esto, lo que sigues es que puertos se deben abrir en el firewall? En la pagina nos dice esos detalles, yo le llame a este alias 'MAIL_PORTS':

• 80
• 443
• 143
• 993
• 995
• 587

Ahora como consejo, a estas alturas de la novela el puerto 143 ya no lo usen es un puerto que no se encripta, por ellos olvidense de el, si tienen clientes aun con esos puertos, ahi les dejo mi punto de vista.

Con esos puertos hacemos otro alias, este quedaria asi en mi PfSense, ustedes puede ponerle el nombre que gusten:

Estamos preparando el camino, ahora sigue Squid para decirle que el primer alias en mi caso llamado 'Outlook' no lo procese y se lo mande a el firewall.

Cuidado, al final lleva ';'. buzos caperuzos.

Regla en el Firewall

Ya con lo anterior hecho, lo que sigue es la regla para esos alias puedan nuestros clientes comunicarse con esos destinos en la LAN.

Configuracion Squid(By Pass)

Lo que sigues es ahora si decirle a Squid que todos los IP's que dimos de alta en el Alias en mi caso llamado 'Outlook' se los salte y se los pase a el firewall para que el no los procese quedando asi el campo: Bypass Proxy for These Destination IPs.

Salvamos y ahora si a probar de nuevo, ya no deberian tener problemas con su servicio de correo con Office365 por que el Squid ya no procesa esos paquetes, se los entrega directamente a el firewall y este tiene la orden de que fluya esa comunicacion a los puertos que le indicamos.

Algo que si les quiero mencionar es que no se confien 100% con estos bloques, a lo que voy es que pueden aparecer mas, por ello si esto les arregla su dolor de cabeza y posteriormente regresa el demonio, notan que de nuevo empiezan a perder comunicacion con sus usuarios, les recomiendo visitar de nuevo la pagina que les proporcione donde sacamos todos los IP's y ver si aparece algun bloque nuevo, ya que Microsoft puede comprar mas IP's sin problema, por dinero no paran ellos, y si no ven ningun IP nuevo, a lo mejor no han actulizado la pagina, entonces es hora de ir a Pfsense y analizar los logs, de todos modos Pfsense nos puede decir rapidamente si esta pasando esto, nada mas es cuestion de ponerse a revisar los logs, un buen TCPDUMP y listo.

Espero esto le quite el dolor de cabeza a uno que otro con eso me conformo, no se les olvide visitar mi canal y darle like a los videos si les ayudan y compartirlos con sus colegas.

==>Mi Canal de YouTube<===

==>Twitter>===

==>Instagram<===

Si requieren soporte comercial no duden en visitar mi pagina www.bajaopensolutions.com y contactarme, nos vemos hasta la siguiente novela, saludos banda!!!

Linux: Batch para borrar archivos con ciertos dias de antiguedad.

Hay ocaciones que deseamos que en un directorio se mantengan los archivos con ciertos dias de antiguedad, por ejemplo.

Tenemos un script que saca el respaldo de la base de datos de PostgreSQL, este se deposita todos los dias en un directorio llamado:

/opt/respaldos

Si lo olvidamos nuestro sistema se llenara y tendremos problemas, ahora en esa ruta el sistema de respaldo llamado Bacula viene todos los dias y toma los archivos nuevos y los respalda, asi tenemos respaldo del respaldo, la base de datos es oro.

Ahora no tenemos espacio infinito, ni google solo que ellos tienen mucho mas :-). Necesitamos un batch que se ejecute 1 vez a la semana y su tarea es eliminar todos los archivos que tengan mas de N dias en sistema.

Por ejemplo, yo quiero borrar todos los archivos con mas de 30 dias en sistema todos los lunes a las 11:59PM , como quedaria mi batch?

#!/bin/sh
#2019-12-12 pmoreno@
#Batch para eliminar archivos con
#N numero de dias

#Archivos mayores a DIAS seran borrados.
DIAS=30

#Nos movemos a el directorio donde se localizan los archivos que deseamos borrar.
cd /opt/respaldos

#Ejecutamos la instruccion.
find ./* -mtime +$DIAS -exec rm {} \;

Recuerden darle el atributo de ejecucion.

chmod +x purga_bak.sh

Y posteriormente asi quedaria en cronjob:

59 23 * * 1 /root/batch/purga_bak.sh

Con esto solo mantendre mi directorio con archivos de maximo 30 dias, todo lo demas se borra y garantizo que mi sistema no se llenara muy pronto calculando ademas que hay espacio aunque crezca la base de datos.

Asi que a purgar sus directorios, no se te olvide visitar mi canal en youtube para seguir aprendiendo conmigo.

Mi Canal YouTube

pmoreno@ hasta pronto, saludos!!!

Dell PowerEdge T130 Windows Server 2016 OEM Se activa por consola cuidado.

Recuerden que si tiene servidores como un Dell PowerEdge T130 el cual trono o fue necesario reinstalar todo de nuevo por alguna falla en el arreglo, no se puede usar el GUI de activacion que trae Windows, no los dejara activarlo.

Para ello debemos usar el DISM desde la linea de comandos, es sencillo, solo recordar ejecutarlo como administradores.

Asi quedaria ya con su numero de serie a la mano:

En mi caso tardo unos minutos, al final me solicito reiniciar el servidor y sin problemas.

Avisados estamos todos, no vemos que este mundo de la informatica no para, animo!!!

Pfsense 2.5_dev Squid+SquidGuard Modo Transparente MITM Aun con fallas.

De nuevo intente tratar de usar en la nueva version de PfSense version desarrollo esta tiene fecha 06/12/2019.

La configuracion de Squid+SquidGuard es igual no hay cambios en el GUI, por tanto seguimos la misma linea.

Ya terminado todo nos pasamos a las pruebas de fuego, ya con nuestro pfsense en linea.

Ahora como les mencione, squid esta configuracion en modo MITM, pero no se ejecuta el servicio...

Squid caido, no arranca, ahora vamos a ponerle atencion los logs del sistema, es algo que hago mucho incapie cuando piden ayuda pero no hay indicios que hayan minimo intentado ver los detalles, Pfsense, Freebsd, Linux, todos los Linux/Unix sus logs no mienten :-).

Si observamos la imagen anterior ahi viene uno de los errores que nos marca squid, pero ese es solo la punta del iceberg, vamos mas adentro, si ya se ahi voy con mi pantalla negra, pero es la unica manera de entrar mas profundo, el GUI me limita :-(.

SSH a la jugada, para ellos el unico lugar donde podemos preguntarle a Squid que le duele es su log localizado en /var/squid/log/ el llamado cache.log

Vamos a usar el siguiente comando, ya estamos hablando Unix no se me pierdan, solo ponganse a lado mio y siganme.

tail -n 30 /var/squid/log/cache.log

Si se dan cuenta en la imagen del GUI de Pfsense no vemos este error:

2019/12/07 11:22:09 kid1| ipcCreate: /usr/local/libexec/squid/ssl_crtd: (2) No such file or directory

Lo que entiendo es que ese archivo, ejecutable, directorio no existe en el sistema, ahora vamos a tratar de entrar a esa ruta y ver que ahi dentro, vamos a movernos ahi:

cd /usr/local/libexec/squid

Como  nota, libexec por lo regular son archivos ejecutables y como dice squid que tienen relacion con squid, vamos a ver su contenido:

Si observan, no existe el archivo llamado "ssl_crtd" entonces a mi punto de vista, quien esta dandole mantenimiento a este paquete le falta agregar las opciones para que se compile esas funciones.

Ahora la duda es, solo faltara eso?

Ya hay varios post en el foro al respecto, pero aun no se ha tenido respuesta de parte de el equipo de Pfsense.

Ya estando en materia, vamos a regresar a nuestros inicios con FreeBSD, me dije, vamos a instalar la misma version de la cual esta basado Pfsense_2.5, FreeBSD 12.

Hecho a volar mi maquina virtual, descargo la version minima y a darle.

Me voy a mi vieja escuela e instalo squid, que la version que viene de fabrica es la misma que pfsense 2.5, squid 4.9.x, ejecutamos este comando para ver las opciones de compilacion:

make config

Y mira, ahi esta la opcion, me dije mmm si crea el ssl_crtd pudiera moverlo a pfsense y probar, a lo mejor es todo lo que se necesita, ya estamos aqui a seguirle.

Ahi podemos ver el 'ssl_crtd' habilitado para que se compile el soporte pero o sorpresa, despues de algun tiempo el sistem a compilado, no aparecio el 'ssl_crtd'.

Esto me dice que el problema esta en la version que viene desde FreeBSD.

Asi que no queda otra que esperar se arregle el detalle, hasta aqui le paro banda, saludos.