--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Module 1: Implementing Advanced Network Services

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------importate para el examen:

IPAM
DHCP Failover

Servicio DHCP:
-

Service:
Scope: Cada una de las pilas de direcciones que vamos a entregar a los clientes. Podemos tener un servidor
DHCP tantos ambitos como queramos. Para que el servidor DHCP pueda entregar direcciones IP de un
ambito, Se necesita una de dos condiciones:
o Que tenga una tarjeta de red con una IP en ese ambito. Por ejemplo, para entregar IPs del ambito
192.168.10.0/24, debe tener una IP 192.168.10.X en alguna de sus tarjetas de red. Y entregara esas
dirreciones solo por esa tarjeta.
o Que este haciendo uso de DHCP Relay
Opciones: GW, Mascara, DNS principal, DNS Secundario, Nombre de dominio, Servidor WINS, Podemos
definir opciones globales (Seran las mismas para todos los ambitos) y opciones individuales para cada
ambito.
Base de datos: Es una base de datos Microsoft Jet. Guarda las direcciones IPs que se han entregado
(leases). DHCP Failover

Para autorizar un DCHP en el AD DS, el usuario que lo autoriza debe ser Enterprise Admin.
El Servidor DHCP y el DNS interactuan entre si mediante las actualizaciones dinamicas. Cuando a un cliente se le
asigna una nueva direccion IP, debe modificarse su registro A y, si lo tiene, el PTR (Resolucion inversa, a partir de la
IP devuelve el nombre).

IMPORTANTE
La opcion 081 indica quien hace la actualizacion dinamica del registro A DNS (por defecto lo hace el cliente si lo
modificamos lo hace el DCHP)

Superscopes:
Es un conjunto de ambitos que agrupamos con diferentes fines:
- Facilitar las tareas administrativas
- Uno de sus usos preincipales es facilitar la transicion de rangos de IPs. Queremos cambiar en la organizacin
un rango de IPs por otro y en el superscope podemos tener definidos en antiguo y el nuevo. A medida que los
usuarios van liberando las direcciones antiguas. Se les entrega direcciones dentro del nuevo ambito. Un caso
de uso es cuando no hemos quedado sin direcciones IP en el ambito antiguo. Durante un tiempo estaremos
usando los dos ambitos y habra que habilitar enrutamiento entre ellos.
- Otro caso de uso de superscopes es cuando tenemos multiples VLANs en la organizacin. Cada VLAN
tendra asignado una subred diferente (un ambito) y todos los podemos agrupar en un superscope

IPv6:
Para la asignacion dinamica de direcciones IPv6 a equipos tenemos 2 opciones:
- Stateless autoconfig: El router publica su prefijo y los equipos de esa subred se asignan direcciones IPv6 con
el mismo prefijo y con los 64bits de host de forma aleatoria. Tiene el inconveniente de que no es sencillo
tener informes de uso de direcciones IP. Tampoco podemos asignar a esos equipos opciones del DHCP
(Sufijo DNS, Servidores DNS,)
- Statefull: El servidor DHCP asignas las IPs y tambien las opciones de mbito
En IPv4, contar con mas de un servidor DHCP en la red puede ocasionar problemas (conflictos de IPs)

IMPORTANTE

DHCP Name Protection

Creacion de Superscope

Opciones del superscope

Muestra opciones agrupadas de todos los ambitos dentro del superscope

Las opciones de DHCP se configuran a nivel de Dominio o de ambito NO desde superscope

Activar Name Protection

Tambien se puede configurar a nivel de ambito

Activar opcion 081 del DHCP tiene que estar NAME PROTECTION DESHABILITADO

Al marcar esa opcion estamos activando la opcion 081 del DCHP

Valido a partir de maqinas XP. para que sea compatible con maquinas mas antiguas marcar este check

La prioridad entre DHCP se hace aadiendo retardo al servidor

Ambito de IPv6 si permite preferencia

Aqu vemos como en IPv6 si que nos deja elegir preferencia de ambito

DHCP Failover:
Es una caracteristica que se introduce en windows server 2012 y se ha mejorado en windows server R2
Permite disponer de alta disponibilidad y toleracion a fallos en el servicio DHCP sin necesidad de montar un cluster y
sin contar con un almacenamiento compartido.
Podemos usar 2 servidores DHCP para que entregeuen direcciones ip de un mismo ambito. Los dos servidores
tienen que estar sincronizados para que tengan informacion actualizada de las IPs que han sido entregadas, y no
las vuelvan a entregar. Al no haber un almacenamiento compartido, cada uno guarda una copia local de la base de
datos, deben estar sincronizadas.
Un mismo servidor DHCP puede formar parte de varias realciones DHCP failover con multiples servidores DHCP. La
relacion DHCP Failover Se configura a nivel de Scope.

La relacion de DHCP Failover entre 2 DHCPs puede ser:

- Hot Standby: Un servidor DHCP esta activo entregando todas las direcciones ip del ambito y el otro esta a la
espera de que el primero falle. Equivalente a un Cluster Activo-pasivo
- Load Sharing: Los dos servidor DHCP estan funcionando al mismo tiempo u balancean la carga de
peticiones. Cada uno tendra aproximadamente el 50% de las IPs del ambito. Si uno se cae, el otro asume el
control del 100% de las IPs.

La sincronizacion entre los DHCPs del DHCP Failover (Partners) Se controla con un par de parametros.
-

MCLT (Maximun Client Lead Time): (es como entregar la ip por un tiempo de prueba) Cuando se
configura por defecto entrega las IP para 1 hora, para que a los 30min vuelva a pedir la renovacion, asi si se
cae el DCHP que le da la IP se cae, el secundario lo ve, se apunta en la base de datos la ip del usuario y ya
le entrega la ip para 8 dias (por defecto). Con esta medida te aseguras que si hay un conflicto de IPs solo
sera durante 30 minutos.
Auto State Switchover: Solo tiene sentido cuando estamos en una relacion Hot Standby. Es el tiempo que
va a esperar el DHCP pasivo en entrar en funcionamiento por que detecta que el DHCP activo no responde.

Configuracion DHCP Failover

Necesitamos 2 Servidores DHCP autorizados

Ahora le decimos con quien quieres hacer la conexin failover (Partner)

La relaciones DHCP failover tienen que tener un nombre de relacion unico

Las 2 opciones de hot standby o load balance se configuran aqu tambien el Auto State Switchover

si no lo configuramos son 10 min (indica cuanto tiempo tiene que

pasar hasta que considera que el otro esta caido)

Como vemos en hot standby se reserva un 5% del ambito

Nosotros lo configuramos como load balance

Y ya estaria configurado el DHCP Failover, vemos como crea una copia exacta

Para eliminar la relacion

Si miramos las estadisticas vemos como se reparten las IP

Vamos a parar el servidor dhcp del dc1 en 10 minutos deberiamos ver en las estadisticas como el otro servidor
DHCP tiene el 100% de las direcciones

Configuracion Avanzada de DNS:

Privilegios necesarios para gestionar servidores DNS:
- Enterprise Admins: Tienen control completo de todos los servidores DNS dentro del bosque.
- Domain Admins: Tiene control completo de todos los servidores DNS del dominio.
- DNS Admins: Grupo por defecto esta vacio y que se utiliza para delegar tareas de administracion de
servidores DNS sin dar privilegios de Domain Admins ni Enterprise Admins

Grupo DNS Update Proxy: Se encargan de actualizar registros en el DNS de parte de los clientes

Activar el Debbug en DNS

Propiedades del servidor DNS

Aging and Scavenging: Elimina los resgistros que ya no son validos y que llamamos Stale
Se activa a nivel de servidor primero

Temporizadores:
No-refresh interval: Tiempo durante el que un cliente NO PUEDE actualizar sus registros
Refresh Interval: Intervalo durante el cliente DEBE actualizar sus registros para que no se considere Stale

Si lo activamos nos la opcion de activarlo en todas las zonas integradas en DA

Si no lo activamos antes se tiene que activar a nivel de zona en las propiedades de la zona

Los Controladores de dominio siempre tienen registro estatico = Time Stamp 0

Los servidores miembros tendran el Time Stamp por defecto que se indica en el SOA
Para ver el Time Stamp de los registros tenemos que activar la vista avanzada

Ya nos aparece el Time Stamp en todos los registros

Backup de zona integrada en directorio activo Solo se puede hacer por comandos

Si la zona no esta integrada en DA con copiar el archivo .dns con el nombre de la zona es suficiente tambien se
puede utilizar el export

Netmask Ordering:
Ejemplo: Tenemos un servicio web balanceado en 3 servidores de internet:
www.servicio.com: 80.60.20.10
www.servicio.com: 100.20.30.40
www.servicio.com: 200.40.50.60
Un cliente consulta al DNS por la ip de www.servicio.com
El cliente que consulta tiene la ip IP 80.63.24.12 asi que le da la ip mas cercana
www.servicio.com: 80.60.20.10

Globalnames Zones:
Es posible que en determinadas ocasiones queramos acceder a recursos y servicios usando nombres de etiquete
unica (single label names). Estos nombres hacen uso del nombre del servidor en lugar de la FQDN completa.
Si solo tenemos un dominio, no hay problema por que todos los miembros del dominio (clientes y servidores) usan el
sufijo DNS principal. Desde cualquiera de ellos, si intentamos acceder a lon-srv1, aaden de forma automatica el
sufijo para obtener la FQDN lon-srv1.adatum.com

Cuando tenemos varios dominios, es mas complicado. Si tenemos adatum.com y contoso.com, y un equipo de
contoso.com quiere acceder a lon-srv1 indicando solo el nombre de la maquina, al aadir el sufijo intentaria acceder
a lon-srv1.contoso.com.
Si no encuentra el servidor por DNS (lon-srv1.contoso.com), lo intenta por NETBIOS, pero al ir en difusion, si hay
routers por medio tampoco accederia al servidor. Una solucion era usar servidores WINS. En windows Server 2012
contamos con globalnames zones para no tener que usar servidores WINS

Configuracion de GlobalNames
1- Habilitar el soporte para globalnames

2- Crear la zona Globalnames (no permite actualizaciones dinamicas).

Importante marcar NO ACTUALIZAR DINAMICAMENTE

3- Crear registros CNAME en la zona para los nombres de etiqueta unica que queramos resolver.

DNS Cache Locking:

Cuando un resolver (cliente) necesita un resultado, le envia la peticion a su servidor DNS. Si el servidor no conoce la
respuesta y esta configurado de forma recursiva, empieza a consultar a los root hints y otros servidores DNS hasta
encontrar las respuesta. Cuando el servidor DNS recibe la respuesta, la almacena en su cache por si otro resolver le
hace la misma consulta. Estara en cache el tiempo determinado por el valor del TTL del registro SOA al que
pertenece la consulta.
Durante el TTL, un tercero podria intentar modificar el contenido de esa cache (DNS cache Poisoning. Para evitarlo,
los DNS de windows Server 2012 incluyen el parametro dns cache locking percent. Es el tiempo donde no se
permiten modificaciones en la cache.
Asi se consulta

Y asi lo cambiamos
Set-DNSServerCache LockingPercent 50

DNS Socket Pool:

Para evitar ataques MiTM (Man in the Middle), Podemos aleatorizar los puertos que utiliza el servicio DNS para las
respuestas.
Definimos el socket pool size indicando el numero de puertos que vamos a facilitar al servicio DNS para que elija uno
de forma aleatoria para las respuestas.
Por defecto esta habilitado en windows server 2012 con un valor de 1000
Asi se modifica

Aqu se consulta

Vamos a exportar en xml la configuracion del DNS para modificar una opcion y despues importarla

Este es el archivo generado

lon-dc1-export.xml

Vamos a poner a 1000 como estaba por defecto editandolo con el notepad

Ahora vamos a meter el archivo modificado en una variable

Y ahora la aplicamos

Y ya vemos que lo a cambiado

Tendriamos que reiniciar el DNS y ya estaria

Net Stop "DNS Server"
Net Start "DNS Server"

DNSSec:
DNSSec nos permite proteger mediante cifrado y firma digital todos los registros de una zona. Proteger una zona
con DNSSec se denomina Firmar una zona.
Cada uno de los registros de la zona se firma digitalmente.
Lo que buscamos aqu es mantener la integridad de los registros. El servidor cifrara los registros con una clave
probada y podrn descifrarse con la clave publica correspondiente. Necesitamos algun lugar donde guardar estas
claves publicas. Ese lugar es una zona que se denomina Trust Anchors (anclas de confianza).

El proceso de proteger mediente DNSSec va a requerir el uso de varias claves:

-

KSK (Key-Signing Key): es la clave maestra que se usa para cifrar las claves que vamos a usar para cifrar
las zonas.
ZSK (Zone-Signing Key): Clave que se usa para cifrar los registros de una zona. Cada zona tendra su ZSK

Cuando firmamos una zona, en esa zona se crean varios Resource Records:
- DNSKey: Guarda la clave publica de la zona
- DS (Delegation Signer): Se utiliza cuando en una zona padre tenemos zonas hijas (delegacion de zona) y
guarda el hash de la clave publica de la zona hija.
- RRSIG (Resource Record Signature): Existe un registro RRSIG por cada registro de la zona y guarda su
firma digital.
- NSEC (Next Secure): Registro que se utiliza para indicar un Denial of Existence. Las ultimas versiones de
DNSSec usan en su lugar NSEC3, que es un hash del NSEC para proteccion adicional

Configuracion DNSSec

Aqu elegimos donde se almacenan las claves (Key Master)

Aqu creamos la clave para cifrar claves

Tipos de cifrado disponibles

Nosotros vamos a usar NSEC3 de 2048 (se puede hasta 4096)

Aqu nos indica cada cuanto tiempo se va a renovar la clave

Y ya tenemos la clave

Aqu creamos la clave para cifrar zonas

Ya tendriamos la clave para cifrar zonas

El check de usar Salt of Length aade parte de aleatoriedad para que sea mas complicado romper el cifrado

Aqu elegimos las replicacion de la clave entre zonas integradas en DA

Ahora ya estaria protegida la zona con DNSSec

Vemos que todos los registros tienen su RRSIG que acompaa al registro solicitado
En los DNSKey esta la clave publica para descifrar

Aqu vemos como firma los tipo A

Aqu vemos las anclas de confianza ()

Ahora falta la configuracion en los clientes

Ahora hay que pulsar en create

Y aparece un poco mas abajo hay que dar a aplicar.

La enlazamos al dominio o donde queramos que se aplique y ya estaria funcionando.

Ejercicio configurar el servicio DHCP para obtener alta disponibilidad y toleracia a fallos mediante un DHCP Failover
hot standby. El cliente para hacer pruebas sera LON-RTR. Estables un swichtover interval de 2 minuutos para
comprobar que si el primer servidor DHCP cae, el segundo entra en funcionamiento automaticamente.

IPAM (IP Addresing Management):

SI ESTA INSTALADO EL ROL DHCP EN EL SERVIDOR DONDE ESTA IPAM NO FUNCIONA HAY QUE QUITAR
EL ROL DHCP
IPAM es un marco de gestion que sirve como alternatica a algunas funciones que ofrece System Center 2012 R2.
IPAM esta diseado para facilitar la gestion de los servidores de infraestructuras y los NPS:
-

Controladores de dominio
Servidores DHCP
Servidores DNS
Servidores NPS

Su funcion principal es la monitorizacion y auditoria. Solo incluye la funcionalidad completa en el caso del DHCP,
para DNS, DC y NPS praticamente se reduce a monitorizar y auditar.
IPAM recopila informacion sobre los srervidores de infraestructura y nos permite obtener informes, realizar
auidotrias, tracking de direcciones ip,
Por ejemplo, si necesitamos saber que equipo estuvo usando la direccion IP 192.168.10.128 hace 6 meses, cuando
inicio sesion un usuario,
Puede almacenar informacion detallada de hasta 100000 usuarios durante un maximo de 3 aos. Esto es muy util en
caso de necesitar informes para auditorias o analisis forenses

Limitaciones:
- Hasta 150 servidores DHCP con un maximo de 6000 ambitos en total.
- Hasta 500 servidores DNS con un maximo de 150 zonas en total.
- En windows Server 2012 solo puede usar la windows internal database (WID). En windows server 2012 R2
Podria usar una base de datos externa SQL server.
- El analisis de tenddencias y la reclamacion de IPs solo esta disponible para IPv4

Novedades en Windows Server 2012 R2:

-

Incluye RBAC (Role Based Access Control), Podemos tener diferentes perfiles (Roles) de acceso a IPAM
para delegar tarreas de administracion.
Integracion con SCVMM (System Center Virtual Machine Manager). Permite gestionar espacios de
direcciones virtuales.
Gestion mejorada de DHCP: DHCP Failover, Superscopes,

Componentes de IPAM:
- IPAM Discovery: Se encarga de localizar servidores DHCP, DNS, DC y NPS en la red. En este modulo
podemos definir el ambito de descubrimiento (todo el bosque, solo un dominio, )
- IPAM Address Space Management: Sutituye a la consola de DHCP y aade funcionalidades nuevas como
la generacion de informes de auditoria, historico de uso de direcciones IP, gestion de direcciones asignadas a
VMs, analisis de tendencias, analisis de ambitos que se solapan,
- Gestion multiple de servidores: Definicion de opciones en ambitos de multiples servidores DHCP, Gestion
centralizada de ambitos,
Estos componenetes se incluyen en el IPAM Server. Para gestionar IPAM tenemos 2 opciones:
- Powershell
- Consola grafica que se denomina IPAM Client. No es una MMC independiente, sino que se integra con server
manager.
Podemos tener multiples servidores IPAM en la red, pero son independientes entre si, no comparten informacion
entre ellos. Esto debe hacerse de forma manual.
Da muchos problemas por que realiza muchos cambios en el DA, crea 4 GPOs cambios en el squema etc
Puede tardar hasta 48 horas en aplicar la GPO que es imprescindible para que funcione.
Topologias de instalacion de IPAM:
- Distribuida: Un servidor IPAM en cada sitio que tengamos definido en el bosque. Tenemos que limitar muy
bien el ambito de descubrimiento de cada servidor.
- Centralizada: Un unico servidor IPAM para todo el bosque.
- Hibrida: Un servidor IPAM que monitoriza todo el bosque y usando RBAC definimos administradores IPAM
para todo el bosque. Tambien Servidores IPAM es cada uno de los sitios (controlado mediante el ambito de
descubrimiento) y usando RBAC definimos administradores IPAM para cada sitio. 1 a nivel de bosque
monitorizando todo y uno en cada sitio lo que tenemos es doble monitorizacion es la fusion entre Distribuida y
centralizada.
Cuando definimos servidores DNS, DHCP, DC o NPS que van a ser gestionados por IPAM, decimos que estamos
provisionando servidores. Este proceso de Server Provisioning implica varias tareas:
(Todo esto lo hace el asistente)
- Crear carpetas compartidas en cada servidor que vamos a gestionar. Por ejemplo, cada servidor DHCP que
queramos gestionar con IPAM debe tener compartida la carpeta C:\Windows\System32\DHCP. Estara
compartida como dhcpaudit
- Crear grupos de seguridad: IPAMUG (incluye a todos los servidores IPAM), DHCP Users, DHCP
Administrators.
- Crear las reglas necesarias en el firewall.

Este proceso de provisionamiento puede hacerse de dos formas:

- Manual (es una locura)
- GPOs: Es un proceso automatico. Si el provisionamiento es automatico, una vez que ha terminado no se
puede cambiar. Si una vez configurado IPAM tenemos que aadir mas servidores tendriamos que empezar
de nuevo todo el proceso de provisionamiento.

Prerequisitos:

El servidor IPAM DEBE pertenecer al dominio

El servidor IPAM NO PUEDE SER un DC
Se recomienda que el servidor IPAM no sea al mismo tiempo servidor DHCP, DNS o NPS
Aunque no lo digan si esta en un servidor con DHCP tampoco funciona

Configuracion de IPAM
Debemos tener los grupos DHCP Administrator y DHCP users
Aparecen cuando completamos la instalacion del DHCP en la banderita.
si no aparece en la banderita de server manager desde linea de comandos:
netsh dhcp add securitygroups
despues de aadir los grupos reiniciar el servidor DHCP

asi tiene que estar

Ahora instalamos IPAM en el otro servidor miembro LON-SRV1 en nuestro caso

Ahora en server manager ya vemos el cliente ipam

Empezamos con la Provision pulsando sobre el 2 en el cliente de IPAM

Aqu nos avisa en el triangulito amarillo de que si provisonamos con GPO luego tendriamos que volver a
hacerlo desde 0 si queremos cambiar a manual

Aqu ultimo aviso

Aqu nos indica los siguientes pasos que tenemos que hacer

IMPORTANTE ANTES DE EJECUTAR EL COMANDO, PARA QUE NO TENGAMOS QUE PONER LOS FILTROS
DE SEGURIDAD EN LAS GPO.
Vamos al paso 3

Aadimos nuestro dominio o los que tengamos con el boton add

Ahora ya nos aparece mas informacion en el cliente IPAM

IMPORTANTISIMO PARA EL EXAMEN aprenderse de memoria

Ahora vamos al paso 4

Nos aparecera esta barrita. A la derecha del todo aparece un boton que pone more lo pulsamos

Y vemos las tareas que se estan ejecutando

Esperamos a que termine

Ahora tenemos que lanzar el comando que nos indicaba antes en el servidor donde instalamos IPAM
Invoke-IpamGpoProvisioning -Domain adatum.com -GpoPrefixName IPAM -IpamServerFqdn lon-srv1.adatum.com
-DelegatedGpoUser Administrator

Y ahora en GPMC nos aparecen las 3 politicas de IPAM

Aun habiendo descubierto antes los servidores que crear las GPO, no nos ha aadido los servidores a los filtros de
seguridad
Los aadimos a mano a cada una de las 3 GPO de IPAM

Ahora un gpupdate /force para aplicar las politicas

Y comprobamos con gpresult /r que se aplican

Tenemos que comprobar que en el grupo IPAMUG esta nuestro servidor IPAM como miembro

Y que pertenezca a estos grupos

Tambien comprobamos que ha compartido la carpeta del DHCP como dhcpaudit

Ahora nos vamos a la consola de IPAM y le damos el control del servidor que ha descubierto

Ahora ya estaria terminada la configuracion es posible que tarde hasta 48 horas en que se ponga en verde.
Es aleatorio ya que no funciona muy bien.
Podemos probar a darle boton derecho

Y mientras esta actualizando lo cambiamos a managed

Si asi no funciona tendras que esperar las 48 horas de rigor
Y aqu para recolectar informacion

Aqu vemos los rangos de ip de los ambitos que tenemos

Servidores que tenemos funcionando

Aqu mas datos sobre los scopes

Para crear un ambito tenemos que ir al servidor

Tenemos todas estas opciones al crear el ambito desde IPAM

Ahora para editarlo desde es desde scopes

IPAM RBAC:
RBAC (Role Based Access Control) permite delegar tareas en IPAM
Los pasos a seguir son
1- Elegimos un rol predefinido o creamos uno nuevo si no se adapta ninguno de los preconfigurados
2- Con un access scope definimos los servidores sobre los que vamos aplicar el rol
3- Con una access policy asignamos un usuario al rol y al access scope

IMPORTANTE PARA EL EXAMEN

Roles por defecto

IPAM Administrator puede hacer todo lo que ASM y MSM administrator juntos

Para aadir nuevos roles (conjuntos de permisos) aqu creamos nuestros grupos de permisos como queramos si los
que vienen por defecto no nos sirven

Aqu aparecen todos los permisos que podemos dar

Aadir access Scope sirve para agrupar servidores y despues dar permisos a usuarios en ese access scope en vez
de servidor por servidor

Ahora vamos servidor por servidor indicando el access scope

Y para aplicar los roles a los ambitos de accesos usamos access policies

Indicamos el usuario

E indicamos rol y access scope

Ya tendriamos RBAC configurado

Ejercicio: dar permiso al usuario sistemas1 para administrar ambitos de los servidores de sistemas