Crear una conexión VPN Point-to-Site en Windows Azure

Actualización 26/03/2017: Esta información ha sido actualizada al nuevo portal de Azure con ARM. Artículo actualizado aquí

En esta ocasión veremos cómo crear una conexión VPN Poin-to-Site entre Windows Azure y cualquier equipo local, existe otro tipo de conexión en Azure llamado VPN Site-toSite que permite conectar la red de Windows Azure con una red local, la diferencia es clara la opción que trataremos me permite conectar un único equipo a la red de Azure, mientras que la segunda opción permite conectar toda una red local a la red de Windows Azure.

Vamos a empezar creando la conexión VPN, para ello debemos hacer uso de una red virtual en Windows Azure, si aún no tienes una red virtual o no sabes a que me refiero, te recomiendo primero leer el siguiente artículo: Creación de una red virtual en Windows Azure

Nota: La configuración de las VPN se puede realizar durante la creación de la red virtual, pero en este caso dividí la tarea en dos partes.

Ingresamos al sitio de administración de Azure: http://manage.windowsazure.com/ 

Primero debemos editar la configuración de nuestra red virtual, para mi caso editaré la red virtual llamada network2

Ahora seleccionamos la opción Configurar del menú superior

Más abajo, encontramos la opción conectividad de punto a sitio (opción disponible por ahora en vista previa), marcamos la casilla de verificación Configurar la conectividad de punto a sitio inmediatamente se desplegará la opción para elegir el espacio de direcciones a utilizar para los equipos que se conecten a la VPN.

En este caso elegí el espacio 10.0.0.0 para asignar a los clientes que se conecten, si bien la conexión se hace por equipo, está permitido conectar hasta un máximo de 250 equipos individuales a través de la conexión Point-to-Site.

Una vez habilitada la conectividad de punto a sitio debemos agregar una subred de puerta de enlace, necesaria para establecer conectividad entre la red local y Windows Azure, simplemente debemos presionar el botón agregar subred de puerta de enlace.

Como se puede apreciar automáticamente se agregó la subred de puerta de enlace, hacemos clic en el botón Guardar de la parte inferior y esperamos a que la configuración finalice.

Una vez terminada la tarea nos pasamos a la opción Certificados del menú superior y veremos el siguiente mensaje.

Bueno, el mensaje es muy claro, debemos cargar un certificado, pero de dónde lo sacamos?, bien pues por ahora Windows Azure solo trabaja con certificados autofirmados, así que debemos recurrir a una utilidad llamada Makecert para generar el certificado, esta utilidad la podemos obtener de dos formas, una de ellas es si tenemos Visual Studio instalado, pues este la incorpora, o bien podemos instalar el SDK de Windows 8 el cual también la incluye.

Está bien, si no tienes Visual Studio instalado y tampoco tienes tiempo para descargar e instalar el SDK de Windows 8 puedes descargar la utilidad directamente a través del siguiente enlace:http://www.inventec.ch/chdh/notes/makecert_5_131_3790_0.zip

Ya con la herramienta descargada ejecutamos la siguiente instrucción para generar el certificado para el servidor:

makecert -sky exchange -r -n "CN=Azure-Root-Cert" -pe -a sha1 -len 2048 -ss My

Listo, ahora que hemos creado el certificado para el servidor, debemos crear uno para los equipos cliente que se van a conectar a través de la VPN a la red de Windows Azure.

makecert.exe -n "CN=Client-VPN-Cert" -pe -sky exchange -m 96 -ss My -in "Azure-Root-Cert" -is my -a sha1

Ahora que ya tenemos ambos certificados, tanto el del servidor como el del cliente, debemos exportarlos, veamos como.

Iniciamos la utilidad certmgr desde la misma línea de comandos.

Expandimos Personal - Certificados y veremos los dos certificados que creamos con la utilidad Makecert

Ahora debemos exportar cada uno de ellos, empecemos con el certificado root

Hacemos clic sobre el certificado en Todas las tareas seleccionamos Exportar

En el asistente seleccionamos No exportar la clave privada

Dejamos la opción por defecto para el formato del certificado

Por último elegimos la ruta donde vamos a guardar el certificado y el nombre que le daremos.

Bien, ahora vamos a exportar el certificado del cliente de la misma forma que hicimos con el de root, pero ahora sí vamos a exportar la clave privada como se muestra a continuación.

Mantenemos las opciones de formato por defecto

Establecemos una contraseña para proteger la clave privada

Por último elegimos el nombre y la ubicación para el certificado de cliente.

El certificado de cliente debe ser instalado en cada uno de los equipos que se utilizarán para conectarse a la VPN

Una vez terminada la instalación del certificado volvemos al sitio de administración de Windows Azure para crear la conexión de punto a sitio, volvemos a la opción de certificados de la red virtual y elegimos la opción Cargar un certificado raíz

Y hacemos clic para buscar el certificado raíz que creamos previamente, lo cargamos y esperamos hasta que aparezca con estado creado.

Ahora seleccionamos la opción Panel de la parte superior, podemos observar que en la gráfica de la red virtual aparece un mensaje indicando que no se creó la puerta de enlace, bien, pues lo único que debemos hacer es clic en el botón de la parte inferior que dice Crear puerta de enlace.

Esperamos unos cuantos minutos hasta que finalice el proceso de creación de la puerta de enlance, al final el gráfico tendrá un aspecto como el siguiente:

Como se puede apreciar, la puerta de enlace ha sido creada, y además nos muestra información de los Bytes de entrada y salida, así como la dirección IP que se utilizará.

También una vez creada la puerta, se generan los enlaces para descargar el paquete de conexión VPN para el cliente, descargamos según la arquitectura del equipo cliente.

Al finalizar la instalación del paquete, se creará una conexión SSTP para establecer la VPN con la red de Windows Azure

Al hacer clic en conectar se abrirá la utilidad Windows Azure Virtual Network y hacemos clic en el botón Conectar

Una vez finalizada la conexión haremos un ipconfig para comprobar que efectivamente hemos recibido una dirección IP del segmento que definimos.

Como podemos apreciar, ya tenemos conectividad entre el equipo local y la red de Windows Azure, por lo tanto podemos hacer uso de todos los servicios dispuestos en la nube de Windows Azure desde nuestro equipo local. Por último veamos el estado de la conexión VPN en el sitio de administración de Windows Azure.

Nótese que se armó la conexión entre nuestra red virtual y el equipo local, recordemos que podemos realizar conexión Point-to-Site en un máximo de 250 equipos.

Bueno, por ahora esto es todo, espero sea de utilidad y nos vemos en un próximo artículo sobre el apasionante mundo de la nube Microsoft. Hasta pronto!

Creación de una red virtual en Windows Azure

En esta oportunidad mostraré los pasos que se deben llevar a cabo en Windows Azure para crear una red virtual. Es importante aclarar que solo podemos crear redes con direcciones IPv4, Windows Azure no soporta direccionamiento IPv6, las redes que podemos crear deben estar en el espacio de redes privadas (10.x, 172.x, 192.x).

Una vez creada la red virtual, podemos crear máquinas virtuales y asignarlas al segmento de red que ya hemos definido, y todas las máquinas que vayamos agregando a la red tendrán comunicación entre sí. También es importante saber que existe la posibilidad de crear las redes virtuales que necesitemos, pero no es posible comunicar las máquinas entre dichas redes, es decir; solo podemos establecer comunicación con las máquinas que se encuentren dentro del mismo segmento, generando de este modo asilamiento entre ellas. 

A través de la creación de redes virtuales, podemos extender nuestro centro de datos local (on-premises) a la nube de Windows Azure, es decir; podemos conectar nuestro segmento de la red corporativa con la red virtual de Windows Azure que creemos, esto a través de una conexión VPN site to site.

Otra consideración importante acerca de las redes virtuales en Windows Azure, es que no podemos realizar traza de rutas (tracert) para diagnosticar la conectividad, así como tampoco es permitida la salida de paquetes ICMP, por lo cual no es posible hacer ping a direcciones IP fuera de nuestra red. También considero importante tocar en este momento el tema del direccionamiento de las máquinas virtuales, pues es importante saber que no debemos asignar direcciones IP estáticas a nuestros servidores, así como lo ven!!..Windows Azure utiliza su propio sistema de direccionamiento dinámico (DHCP) y no recomienda que asignemos direcciones IP estáticas a nuestras máquinas o perdemos la conectividad. Pero entonces, qué sucede con sistemas que requieren de una dirección IP estática, como por ejemplo un controlador de dominio, donde las "Best practices" indican que estos servidores deben tener una dirección IP estática.(actualización: ya es posible trabajar con IP estática, artículo aquí) Pues bien, resulta que Windows Azure, si bien asigna una dirección dinámica, esta no cambia durante el tiempo de vida de la máquina virtual, es decir; la dirección se conserva hasta que eliminemos o desasignemos la máquina, lo cual viene siendo muy parecido a tener una dirección IP estática.

Bien, creo que ya es suficiente de teoría, creo que con lo mencionado podemos tener una idea general de lo que se tratan las redes virtuales en Windows Azure, ahora vamos a crear una para ver lo sencillo que resulta.

Lo primero, ingresar al sitio de gestión de Windows Azure y en el panel de opciones seleccionar Redes

Luego, en la parte inferior izquierda de la pantalla hacemos clic en la opción Nuevo

En Servicios de Red elegimos Red Virtual y por último Creación Personalizada como se muestra a continuación.

Ahora debemos empezar a diligenciar los detalles de nuestra red virtual, le asignamos un nombre a nuestro gusto, en mi caso network2, ya que antes había creado una network1 ;-) el grupo de afinidad lo llame del mismo modo, recordemos que le grupo de afinidad hace referencia a la ubicación física de nuestra red dentro de los datacenters de Microsoft.

En el paso 2 del asistente encontramos las opciones para establecer un servidor DNS y para configurar la conectividad VPN con la red local, lo cual veremos en otro artículo, por ahora simplemente dejaremos estos datos sin diligenciar y continuaremos con el paso 3 del asistente.

En el tercero y último paso del asistente podemos elegir nuestro espacio de direcciones y crear las subredes, como se puede apreciar en la imagen a continuación, podemos elegir cualquiera de los espacios de direcciones IP privadas definidos en la RFC1918.

En este caso elegiré el espacio 192.168.0.0, y podemos elegir las direcciones a utilizar, donde la menor que podemos elegir es una /29 con capacidad para 8 hosts, en mi caso elegí crear una subred, la cual re nombré como Subred-1 con CIDR /24. Finalmente así quedó mi subred:

Y con esto ya quedó  creada nuestra red virtual.

Finalmente veamos la opción que nos permite asignar una máquina a nuestra red virtual durante la creación de una máquina virtual.

Una vez asignada la máquina a nuestra red virtual le será asignada mediante DHCP una dirección perteneciente al segmento que definimos.

Muchas gracias y hasta la próxima!

Windows Azure Identidad y Acceso

Amig@s, los invito a que me acompañen en el último ciclo de conocimiento del año, el cual inicia este martes 12 de Noviembre, el ciclo lo iniciará Guillermo Taylor, yo los estaré acompañando con una charla sobre Windows Azure Active Directory el día 19 de Noviembre. A continuación les dejo los datos del evento. Espero me acompañen.

Lugar: Microsoft Colombia (Cra 7a No. 71 - 21 Torre B Piso 15)

Fecha:  Todos los martes de Noviembre (12, 19, y 26)

Hora: 6:30 - 8:30 p.m.

Evento Active Directory desde Cero

Muchas gracias a todos los asistentes al ciclo de conocimiento de Active Directory, y como lo prometido es deuda, para los miembros de la comunidad ya se encuentran disponibles las diapositvas en el sitio ITPros-DC, si no eres miembro de la comunidad debes registrate para poder descargarlas. Un saludo para todos.

Les dejo algunas imágenes del evento! :-)

Ciclo de Conocimiento Active Directory - Microsoft Colombia

Active Directory desde Cero

Este mes de agosto estaré todos los martes hablando sobre los fundamentos de Active Directory en Microsoft Colombia, los invito a participar en este ciclo donde seguramente juntos aprenderemos muchas cosas sobre este excelente producto. No olviden registrarse, el evento es completamente gratis y tenemos cupos limitados, al hacer clic sobre la imagen serán enviados al sitio de registro.

Los espero!

Windows Azure Active Directory

En este artículo quiero mostrarles una característica de Windows Azure que particularmente me gusta mucho, ya que mi pasión son todos los temas relacionados con identidad y acceso, y aquí les mostraré cómo es posible hacer una sincronización de directorios con Windows Azure, mediante la herramienta Windows Azure Active Directory (WAAD). Pero primero veamos un poco de que se trata WAAD.

Se trata de un servicio de última tecnología, el cual hace uso de REST, y nos permite hacer administración de identidad y control de acceso para las aplicaciones en la nube, permite la integración con un directorio local (on-premise) y con proveedores de identidad de terceros. Para más información sobre Active Directory de Windows Azure visite este enlace

En este artículo mencionaré el tema relacionado con integración de directorios, del cual podemos encontrar las siguientes dos capacidades:

Sincronización de directorios: la cual nos permite como su nombre lo indica, sincronizar todos nuestros objetos locales (on-premise), tales como usuarios y grupos con la nube.

Inicio de sesió único (SSO): Se usa para ofrecer a los usuarios una experiencia de autenticación única, los usuarios iniciarán sesión en las aplicaciones alojadas en la nube con sus credenciales de red.

Esto es una gran ventaja, ya que permite a los desarrolladores integrar las aplicaciones con Active Directory sin la necesidad de manejar almacenes de identidad independientes.

En esta ocasión vamos a tratar la capacidad de Sincronización de Directorios.

Mediante esta característica podemos sincronizar todos los usuarios existentes en nuestro directorio local con la nube, si lo que desea es permitir el inicio de sesión único a los usuarios de la red, antes de activar la sincronización de directorios deberá habilitar el inicio de sesión único, por ahora no vamos a tocar el tema de SSO, lo haremos en otro artículo, el alcance de este artículo es mostrar cómo funciona la sincronización de directorios.

Windows Azure permite sincronizar hasta 50.000 objetos, si se tiene una mayor cantidad de objetos es necesario comunicarse con el servicio técnico de Windows Azure, la sincronización de directorios hace uso de una instancia de SQL Server 2008 Express, si se tiene más de los 50.000 objetos permitidos, es necesario utilizar una instalación de SQL Server 2008 completa.

Los siguientes son los requisitos que se deben cumplir para instalar la sincronización de directorios:

• El equipo debe estar unido a un dominio, pero NO debe ser un controlador de dominio, la herramienta debe instalarse en un servidor miembro.
• El equipo debe tener instalado .Net Framework 3.5 (Microsoft .Net Framework 3.5, Microsoft .Net Framework 3.5 SP1)
• Windows PowerShell, si va a instalar la herramienta de sincronización de directorios en Windows Server 2003, necesita descargar Windows PowerShell, si está ejecutando Windows Server 2008, necesita habilitar esta característica.
• Restrinja el acceso al servidor donde instalará la herramienta, solo deben tener acceso a este equipo administradores que tengan acceso al servicio de directorio.

Ahora vamos con los pasos, lo primero es ingresar a nuestra cuenta de Windows Azure para crear el directorio allí.

 

CREAR UN NUEVO DIRECTORIO EN WINDOWS AZURE ACTIVE DIRECTORY

---

Una vez iniciemos sesión en nuestra cuenta de Windows Azure, en el panel de la izquierda seleccionamos Active Directory, y luego hacemos clic en Agregar Directorio

Nos saldrá u mensaje que nos pregunta si deseamos crear un nuevo directorio o usaremos uno existente, seleccionamos Crear un nuevo directorio.

Luego diligenciamos los datos para nuestro directorio

 

Y listo, de este modo hemos finalizado de crear nuestro directorio en Windows Azure

ACTIVAR LA INTEGRACIÓN DE DIRECTORIOS EN WINDOWS AZURE ACTIVE DIRECTORY

---

 

Si vamos a hacer uso de SSO debemos tener por lo menos un dominio, se debe agregar y verificar el mismo, en el menú de la parte superior encontraremos la opción dominios, en este caso pasaré directamente a la opción de Integración de Directorios, la cual se encargará del tema  de manera automática.

En la página de integración de directorios, podemos observar si existen dominios preparados para la sincronización de directorios o para el inicio de sesión único (SSO). A su vez podemos observar los pasos que debemos seguir antes de activar la sincronización de directorios.

Si observamos en la página de integración de directorios nos aparecen los pasos que debemos seguir para preparar la integración de directorios (no se muestra en la imagen), el segundo de ellos es prepararse para la sincronización, los requisitos son en su mayoría para preparar el entorno para el inicio de sesión único, en nuestro caso como solo probaremos la sincronización de directorios, podemos hacer clic en la opción Activado, que se muestra en la imagen anterior, aparecerá un mensaje que pregunta si deseamos activar la sincronización de directorios, hacemos clic en Sí, y de este modo se habilitará la característica, sin embargo, es importante verificar si todo está listo para la integración de directorios, para ello, está a disposición la herramienta Microsoft Deployment Readiness Tool que inspecciona el entorno de AD y ofrece un reporte de la verificación de requisitos para utilizar la herramienta de sincronización de directorios, lo cual permite que podamos resolver cualquier inconveniente antes de activar la sincronización de directorios, entre los requisitos antes de la activación se ofrecen los enlaces para la preparación del SSO, .Net Framework, y los cmdlets de PowerShell necesarios para preparar el entorno antes de la activación.

 

Como en nuestro caso aún no estamos preparando el entorno para SSO, simplemente activamos la sincronización de directorios, y nos aparecerá un mensaje que indica que la sincronización de directorios nunca se ha realizado.

INSTALAR LA HERRAMIENTA DE INTEGRACIÓN DE DIRECTORIOS

---

 

Para descargar la herramienta de integración de directorios haga clic en el enlace a continuación, también se ofrece un enlace de descarga desde la opción de integración de directorios en WAAD.

 

Herramienta de sincronización de directorios DirSync

 

Una vez la descarguemos, la ejecutamos (es necesario hacerlo con privilegios de administrador local).

 

Hacemos clic en siguiente para iniciar la instalación.

Aceptamos los términos de la licencia.

 

Elegimos la carpeta de instalación.

Al hacer clic en Siguiente se iniciará el proceso de instalación.

 

Al finalizar la instalación iniciamos la herramienta, hacemos clic en Siguiente para iniciar

 

Proporcionamos nuestra cuenta de Active Directory en Windows Azure.

Luego proporcionamos las credenciales del administrador de Active Directory en nuestro entorno local (on-premise)

 

En la pantalla de implementación híbrida la dejamos tal cual y hacemos clic en Siguiente

Ahora, en Sincronización de contraseña, hacemos clic en la casilla de verificación, esto permitirá que las contraseñas locales se sincronicen con el directorio en Windows Azure.

Al finalizar la configuración, podemos forzar para que inicie de manera inmediata la sincronización del directorio local con WAAD.

 

 

Se iniciará el proceso de sincronización, cuyo tiempo dependerá de la cantidad de objetos que tengamos para sincronizar en nuestro directorio local, podemos verificar que la sincronización haya finalizado a través del visor de eventos en los registros de aplicación, de igual forma quedará registrado cuando finalice la sincronización de contraseñas.

 

Al final, si revisamos la lista de usuarios en WAAD, podemos ver que aparecerán los usuarios de nuestro directorio local, podemos ver que en la columna con origen en se muestra Active Directory Local, aparecen tres cuentas, que son las que tengo creadas en mi directorio local.

De este modo tenemos hecha nuestra sincronización de directorios, con ello podemos administrar las cuentas desde nuestra red, sincronizar los cambios y las aplicaciones en la nube funcionando de manera transparente, las identidades administradas desde un solo sitio. Espero esto sea de utilidad para muchos, un abrazo y hasta el próximo artículo.