Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Servicio DHCP:
-
Service:
Scope: Cada una de las pilas de direcciones que vamos a entregar a los clientes. Podemos tener un servidor
DHCP tantos ambitos como queramos. Para que el servidor DHCP pueda entregar direcciones IP de un
ambito, Se necesita una de dos condiciones:
o Que tenga una tarjeta de red con una IP en ese ambito. Por ejemplo, para entregar IPs del ambito
192.168.10.0/24, debe tener una IP 192.168.10.X en alguna de sus tarjetas de red. Y entregara esas
dirreciones solo por esa tarjeta.
o Que este haciendo uso de DHCP Relay
Opciones: GW, Mascara, DNS principal, DNS Secundario, Nombre de dominio, Servidor WINS, Podemos
definir opciones globales (Seran las mismas para todos los ambitos) y opciones individuales para cada
ambito.
Base de datos: Es una base de datos Microsoft Jet. Guarda las direcciones IPs que se han entregado
(leases). DHCP Failover
Para autorizar un DCHP en el AD DS, el usuario que lo autoriza debe ser Enterprise Admin.
El Servidor DHCP y el DNS interactuan entre si mediante las actualizaciones dinamicas. Cuando a un cliente se le
asigna una nueva direccion IP, debe modificarse su registro A y, si lo tiene, el PTR (Resolucion inversa, a partir de la
IP devuelve el nombre).
IMPORTANTE
La opcion 081 indica quien hace la actualizacion dinamica del registro A DNS (por defecto lo hace el cliente si lo
modificamos lo hace el DCHP)
Superscopes:
Es un conjunto de ambitos que agrupamos con diferentes fines:
- Facilitar las tareas administrativas
- Uno de sus usos preincipales es facilitar la transicion de rangos de IPs. Queremos cambiar en la organizacin
un rango de IPs por otro y en el superscope podemos tener definidos en antiguo y el nuevo. A medida que los
usuarios van liberando las direcciones antiguas. Se les entrega direcciones dentro del nuevo ambito. Un caso
de uso es cuando no hemos quedado sin direcciones IP en el ambito antiguo. Durante un tiempo estaremos
usando los dos ambitos y habra que habilitar enrutamiento entre ellos.
- Otro caso de uso de superscopes es cuando tenemos multiples VLANs en la organizacin. Cada VLAN
tendra asignado una subred diferente (un ambito) y todos los podemos agrupar en un superscope
IPv6:
Para la asignacion dinamica de direcciones IPv6 a equipos tenemos 2 opciones:
- Stateless autoconfig: El router publica su prefijo y los equipos de esa subred se asignan direcciones IPv6 con
el mismo prefijo y con los 64bits de host de forma aleatoria. Tiene el inconveniente de que no es sencillo
tener informes de uso de direcciones IP. Tampoco podemos asignar a esos equipos opciones del DHCP
(Sufijo DNS, Servidores DNS,)
- Statefull: El servidor DHCP asignas las IPs y tambien las opciones de mbito
En IPv4, contar con mas de un servidor DHCP en la red puede ocasionar problemas (conflictos de IPs)
IMPORTANTE
Creacion de Superscope
Activar opcion 081 del DHCP tiene que estar NAME PROTECTION DESHABILITADO
Valido a partir de maqinas XP. para que sea compatible con maquinas mas antiguas marcar este check
Aqu vemos como en IPv6 si que nos deja elegir preferencia de ambito
DHCP Failover:
Es una caracteristica que se introduce en windows server 2012 y se ha mejorado en windows server R2
Permite disponer de alta disponibilidad y toleracion a fallos en el servicio DHCP sin necesidad de montar un cluster y
sin contar con un almacenamiento compartido.
Podemos usar 2 servidores DHCP para que entregeuen direcciones ip de un mismo ambito. Los dos servidores
tienen que estar sincronizados para que tengan informacion actualizada de las IPs que han sido entregadas, y no
las vuelvan a entregar. Al no haber un almacenamiento compartido, cada uno guarda una copia local de la base de
datos, deben estar sincronizadas.
Un mismo servidor DHCP puede formar parte de varias realciones DHCP failover con multiples servidores DHCP. La
relacion DHCP Failover Se configura a nivel de Scope.
La sincronizacion entre los DHCPs del DHCP Failover (Partners) Se controla con un par de parametros.
-
MCLT (Maximun Client Lead Time): (es como entregar la ip por un tiempo de prueba) Cuando se
configura por defecto entrega las IP para 1 hora, para que a los 30min vuelva a pedir la renovacion, asi si se
cae el DCHP que le da la IP se cae, el secundario lo ve, se apunta en la base de datos la ip del usuario y ya
le entrega la ip para 8 dias (por defecto). Con esta medida te aseguras que si hay un conflicto de IPs solo
sera durante 30 minutos.
Auto State Switchover: Solo tiene sentido cuando estamos en una relacion Hot Standby. Es el tiempo que
va a esperar el DHCP pasivo en entrar en funcionamiento por que detecta que el DHCP activo no responde.
Y ya estaria configurado el DHCP Failover, vemos como crea una copia exacta
Vamos a parar el servidor dhcp del dc1 en 10 minutos deberiamos ver en las estadisticas como el otro servidor
DHCP tiene el 100% de las direcciones
Grupo DNS Update Proxy: Se encargan de actualizar registros en el DNS de parte de los clientes
Aging and Scavenging: Elimina los resgistros que ya no son validos y que llamamos Stale
Se activa a nivel de servidor primero
Temporizadores:
No-refresh interval: Tiempo durante el que un cliente NO PUEDE actualizar sus registros
Refresh Interval: Intervalo durante el cliente DEBE actualizar sus registros para que no se considere Stale
Si no lo activamos antes se tiene que activar a nivel de zona en las propiedades de la zona
Backup de zona integrada en directorio activo Solo se puede hacer por comandos
Si la zona no esta integrada en DA con copiar el archivo .dns con el nombre de la zona es suficiente tambien se
puede utilizar el export
Netmask Ordering:
Ejemplo: Tenemos un servicio web balanceado en 3 servidores de internet:
www.servicio.com: 80.60.20.10
www.servicio.com: 100.20.30.40
www.servicio.com: 200.40.50.60
Un cliente consulta al DNS por la ip de www.servicio.com
El cliente que consulta tiene la ip IP 80.63.24.12 asi que le da la ip mas cercana
www.servicio.com: 80.60.20.10
Globalnames Zones:
Es posible que en determinadas ocasiones queramos acceder a recursos y servicios usando nombres de etiquete
unica (single label names). Estos nombres hacen uso del nombre del servidor en lugar de la FQDN completa.
Si solo tenemos un dominio, no hay problema por que todos los miembros del dominio (clientes y servidores) usan el
sufijo DNS principal. Desde cualquiera de ellos, si intentamos acceder a lon-srv1, aaden de forma automatica el
sufijo para obtener la FQDN lon-srv1.adatum.com
Cuando tenemos varios dominios, es mas complicado. Si tenemos adatum.com y contoso.com, y un equipo de
contoso.com quiere acceder a lon-srv1 indicando solo el nombre de la maquina, al aadir el sufijo intentaria acceder
a lon-srv1.contoso.com.
Si no encuentra el servidor por DNS (lon-srv1.contoso.com), lo intenta por NETBIOS, pero al ir en difusion, si hay
routers por medio tampoco accederia al servidor. Una solucion era usar servidores WINS. En windows Server 2012
contamos con globalnames zones para no tener que usar servidores WINS
Configuracion de GlobalNames
1- Habilitar el soporte para globalnames
3- Crear registros CNAME en la zona para los nombres de etiqueta unica que queramos resolver.
Y asi lo cambiamos
Set-DNSServerCache LockingPercent 50
Para evitar ataques MiTM (Man in the Middle), Podemos aleatorizar los puertos que utiliza el servicio DNS para las
respuestas.
Definimos el socket pool size indicando el numero de puertos que vamos a facilitar al servicio DNS para que elija uno
de forma aleatoria para las respuestas.
Por defecto esta habilitado en windows server 2012 con un valor de 1000
Asi se modifica
Aqu se consulta
Vamos a exportar en xml la configuracion del DNS para modificar una opcion y despues importarla
lon-dc1-export.xml
Vamos a poner a 1000 como estaba por defecto editandolo con el notepad
Y ahora la aplicamos
DNSSec:
DNSSec nos permite proteger mediante cifrado y firma digital todos los registros de una zona. Proteger una zona
con DNSSec se denomina Firmar una zona.
Cada uno de los registros de la zona se firma digitalmente.
Lo que buscamos aqu es mantener la integridad de los registros. El servidor cifrara los registros con una clave
probada y podrn descifrarse con la clave publica correspondiente. Necesitamos algun lugar donde guardar estas
claves publicas. Ese lugar es una zona que se denomina Trust Anchors (anclas de confianza).
KSK (Key-Signing Key): es la clave maestra que se usa para cifrar las claves que vamos a usar para cifrar
las zonas.
ZSK (Zone-Signing Key): Clave que se usa para cifrar los registros de una zona. Cada zona tendra su ZSK
Cuando firmamos una zona, en esa zona se crean varios Resource Records:
- DNSKey: Guarda la clave publica de la zona
- DS (Delegation Signer): Se utiliza cuando en una zona padre tenemos zonas hijas (delegacion de zona) y
guarda el hash de la clave publica de la zona hija.
- RRSIG (Resource Record Signature): Existe un registro RRSIG por cada registro de la zona y guarda su
firma digital.
- NSEC (Next Secure): Registro que se utiliza para indicar un Denial of Existence. Las ultimas versiones de
DNSSec usan en su lugar NSEC3, que es un hash del NSEC para proteccion adicional
Configuracion DNSSec
Y ya tenemos la clave
El check de usar Salt of Length aade parte de aleatoriedad para que sea mas complicado romper el cifrado
Ejercicio configurar el servicio DHCP para obtener alta disponibilidad y toleracia a fallos mediante un DHCP Failover
hot standby. El cliente para hacer pruebas sera LON-RTR. Estables un swichtover interval de 2 minuutos para
comprobar que si el primer servidor DHCP cae, el segundo entra en funcionamiento automaticamente.
Controladores de dominio
Servidores DHCP
Servidores DNS
Servidores NPS
Su funcion principal es la monitorizacion y auditoria. Solo incluye la funcionalidad completa en el caso del DHCP,
para DNS, DC y NPS praticamente se reduce a monitorizar y auditar.
IPAM recopila informacion sobre los srervidores de infraestructura y nos permite obtener informes, realizar
auidotrias, tracking de direcciones ip,
Por ejemplo, si necesitamos saber que equipo estuvo usando la direccion IP 192.168.10.128 hace 6 meses, cuando
inicio sesion un usuario,
Puede almacenar informacion detallada de hasta 100000 usuarios durante un maximo de 3 aos. Esto es muy util en
caso de necesitar informes para auditorias o analisis forenses
Limitaciones:
- Hasta 150 servidores DHCP con un maximo de 6000 ambitos en total.
- Hasta 500 servidores DNS con un maximo de 150 zonas en total.
- En windows Server 2012 solo puede usar la windows internal database (WID). En windows server 2012 R2
Podria usar una base de datos externa SQL server.
- El analisis de tenddencias y la reclamacion de IPs solo esta disponible para IPv4
Incluye RBAC (Role Based Access Control), Podemos tener diferentes perfiles (Roles) de acceso a IPAM
para delegar tarreas de administracion.
Integracion con SCVMM (System Center Virtual Machine Manager). Permite gestionar espacios de
direcciones virtuales.
Gestion mejorada de DHCP: DHCP Failover, Superscopes,
Componentes de IPAM:
- IPAM Discovery: Se encarga de localizar servidores DHCP, DNS, DC y NPS en la red. En este modulo
podemos definir el ambito de descubrimiento (todo el bosque, solo un dominio, )
- IPAM Address Space Management: Sutituye a la consola de DHCP y aade funcionalidades nuevas como
la generacion de informes de auditoria, historico de uso de direcciones IP, gestion de direcciones asignadas a
VMs, analisis de tendencias, analisis de ambitos que se solapan,
- Gestion multiple de servidores: Definicion de opciones en ambitos de multiples servidores DHCP, Gestion
centralizada de ambitos,
Estos componenetes se incluyen en el IPAM Server. Para gestionar IPAM tenemos 2 opciones:
- Powershell
- Consola grafica que se denomina IPAM Client. No es una MMC independiente, sino que se integra con server
manager.
Podemos tener multiples servidores IPAM en la red, pero son independientes entre si, no comparten informacion
entre ellos. Esto debe hacerse de forma manual.
Da muchos problemas por que realiza muchos cambios en el DA, crea 4 GPOs cambios en el squema etc
Puede tardar hasta 48 horas en aplicar la GPO que es imprescindible para que funcione.
Topologias de instalacion de IPAM:
- Distribuida: Un servidor IPAM en cada sitio que tengamos definido en el bosque. Tenemos que limitar muy
bien el ambito de descubrimiento de cada servidor.
- Centralizada: Un unico servidor IPAM para todo el bosque.
- Hibrida: Un servidor IPAM que monitoriza todo el bosque y usando RBAC definimos administradores IPAM
para todo el bosque. Tambien Servidores IPAM es cada uno de los sitios (controlado mediante el ambito de
descubrimiento) y usando RBAC definimos administradores IPAM para cada sitio. 1 a nivel de bosque
monitorizando todo y uno en cada sitio lo que tenemos es doble monitorizacion es la fusion entre Distribuida y
centralizada.
Cuando definimos servidores DNS, DHCP, DC o NPS que van a ser gestionados por IPAM, decimos que estamos
provisionando servidores. Este proceso de Server Provisioning implica varias tareas:
(Todo esto lo hace el asistente)
- Crear carpetas compartidas en cada servidor que vamos a gestionar. Por ejemplo, cada servidor DHCP que
queramos gestionar con IPAM debe tener compartida la carpeta C:\Windows\System32\DHCP. Estara
compartida como dhcpaudit
- Crear grupos de seguridad: IPAMUG (incluye a todos los servidores IPAM), DHCP Users, DHCP
Administrators.
- Crear las reglas necesarias en el firewall.
Prerequisitos:
Configuracion de IPAM
Debemos tener los grupos DHCP Administrator y DHCP users
Aparecen cuando completamos la instalacion del DHCP en la banderita.
si no aparece en la banderita de server manager desde linea de comandos:
netsh dhcp add securitygroups
despues de aadir los grupos reiniciar el servidor DHCP
Aqu nos indica los siguientes pasos que tenemos que hacer
IMPORTANTE ANTES DE EJECUTAR EL COMANDO, PARA QUE NO TENGAMOS QUE PONER LOS FILTROS
DE SEGURIDAD EN LAS GPO.
Vamos al paso 3
Nos aparecera esta barrita. A la derecha del todo aparece un boton que pone more lo pulsamos
Ahora tenemos que lanzar el comando que nos indicaba antes en el servidor donde instalamos IPAM
Invoke-IpamGpoProvisioning -Domain adatum.com -GpoPrefixName IPAM -IpamServerFqdn lon-srv1.adatum.com
-DelegatedGpoUser Administrator
Aun habiendo descubierto antes los servidores que crear las GPO, no nos ha aadido los servidores a los filtros de
seguridad
Los aadimos a mano a cada una de las 3 GPO de IPAM
Tenemos que comprobar que en el grupo IPAMUG esta nuestro servidor IPAM como miembro
Ahora nos vamos a la consola de IPAM y le damos el control del servidor que ha descubierto
Ahora ya estaria terminada la configuracion es posible que tarde hasta 48 horas en que se ponga en verde.
Es aleatorio ya que no funciona muy bien.
Podemos probar a darle boton derecho
IPAM RBAC:
RBAC (Role Based Access Control) permite delegar tareas en IPAM
Los pasos a seguir son
1- Elegimos un rol predefinido o creamos uno nuevo si no se adapta ninguno de los preconfigurados
2- Con un access scope definimos los servidores sobre los que vamos aplicar el rol
3- Con una access policy asignamos un usuario al rol y al access scope
IPAM Administrator puede hacer todo lo que ASM y MSM administrator juntos
Para aadir nuevos roles (conjuntos de permisos) aqu creamos nuestros grupos de permisos como queramos si los
que vienen por defecto no nos sirven
Aadir access Scope sirve para agrupar servidores y despues dar permisos a usuarios en ese access scope en vez
de servidor por servidor
Y para aplicar los roles a los ambitos de accesos usamos access policies
Indicamos el usuario
Ejercicio: dar permiso al usuario sistemas1 para administrar ambitos de los servidores de sistemas