Documentos de Académico
Documentos de Profesional
Documentos de Cultura
70 412 Modulo 1 PDF
70 412 Modulo 1 PDF
----------------------------------------------------------------------------------------------------------------------------------------------------------
Module 1: Implementing Advanced Network Services
------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------
Servicio DHCP:
- Service:
- Scope: Cada una de las pilas de direcciones que vamos a entregar a los clientes. Podemos tener un servidor
DHCP tantos ambitos como queramos. Para que el servidor DHCP pueda entregar direcciones IP de un
ambito, Se necesita una de dos condiciones:
o Que tenga una tarjeta de red con una IP en ese ambito. Por ejemplo, para entregar IPs del ambito
192.168.10.0/24, debe tener una IP 192.168.10.X en alguna de sus tarjetas de red. Y entregara esas
dirreciones solo por esa tarjeta.
o Que este haciendo uso de DHCP Relay
- Opciones: GW, Mascara, DNS principal, DNS Secundario, Nombre de dominio, Servidor WINS, Podemos
definir opciones globales (Seran las mismas para todos los ambitos) y opciones individuales para cada
ambito.
- Base de datos: Es una base de datos Microsoft Jet. Guarda las direcciones IPs que se han entregado
(leases). DHCP Failover
Para autorizar un DCHP en el AD DS, el usuario que lo autoriza debe ser Enterprise Admin.
El Servidor DHCP y el DNS interactuan entre si mediante las actualizaciones dinamicas. Cuando a un cliente se le
asigna una nueva direccion IP, debe modificarse su registro A y, si lo tiene, el PTR (Resolucion inversa, a partir de la
IP devuelve el nombre).
IMPORTANTE
La opcion 081 indica quien hace la actualizacion dinamica del registro A DNS (por defecto lo hace el cliente si lo
modificamos lo hace el DCHP)
Superscopes:
Es un conjunto de ambitos que agrupamos con diferentes fines:
- Facilitar las tareas administrativas
- Uno de sus usos preincipales es facilitar la transicion de rangos de IPs. Queremos cambiar en la organizacin
un rango de IPs por otro y en el superscope podemos tener definidos en antiguo y el nuevo. A medida que los
usuarios van liberando las direcciones antiguas. Se les entrega direcciones dentro del nuevo ambito. Un caso
de uso es cuando no hemos quedado sin direcciones IP en el ambito antiguo. Durante un tiempo estaremos
usando los dos ambitos y habra que habilitar enrutamiento entre ellos.
- Otro caso de uso de superscopes es cuando tenemos multiples VLANs en la organizacin. Cada VLAN
tendra asignado una subred diferente (un ambito) y todos los podemos agrupar en un superscope
IPv6:
Para la asignacion dinamica de direcciones IPv6 a equipos tenemos 2 opciones:
- Stateless autoconfig: El router publica su prefijo y los equipos de esa subred se asignan direcciones IPv6 con
el mismo prefijo y con los 64bits de host de forma aleatoria. Tiene el inconveniente de que no es sencillo
tener informes de uso de direcciones IP. Tampoco podemos asignar a esos equipos opciones del DHCP
(Sufijo DNS, Servidores DNS,)
- Statefull: El servidor DHCP asignas las IPs y tambien las opciones de mbito
En IPv4, contar con mas de un servidor DHCP en la red puede ocasionar problemas (conflictos de IPs)
IMPORTANTE
DHCP Name Protection
Creacion de Superscope
Opciones del superscope
Activar opcion 081 del DHCP tiene que estar NAME PROTECTION DESHABILITADO
Aqu vemos como en IPv6 si que nos deja elegir preferencia de ambito
DHCP Failover:
Es una caracteristica que se introduce en windows server 2012 y se ha mejorado en windows server R2
Permite disponer de alta disponibilidad y toleracion a fallos en el servicio DHCP sin necesidad de montar un cluster y
sin contar con un almacenamiento compartido.
Podemos usar 2 servidores DHCP para que entregeuen direcciones ip de un mismo ambito. Los dos servidores
tienen que estar sincronizados para que tengan informacion actualizada de las IPs que han sido entregadas, y no
las vuelvan a entregar. Al no haber un almacenamiento compartido, cada uno guarda una copia local de la base de
datos, deben estar sincronizadas.
Un mismo servidor DHCP puede formar parte de varias realciones DHCP failover con multiples servidores DHCP. La
relacion DHCP Failover Se configura a nivel de Scope.
La sincronizacion entre los DHCPs del DHCP Failover (Partners) Se controla con un par de parametros.
- MCLT (Maximun Client Lead Time): (es como entregar la ip por un tiempo de prueba) Cuando se
configura por defecto entrega las IP para 1 hora, para que a los 30min vuelva a pedir la renovacion, asi si se
cae el DCHP que le da la IP se cae, el secundario lo ve, se apunta en la base de datos la ip del usuario y ya
le entrega la ip para 8 dias (por defecto). Con esta medida te aseguras que si hay un conflicto de IPs solo
sera durante 30 minutos.
- Auto State Switchover: Solo tiene sentido cuando estamos en una relacion Hot Standby. Es el tiempo que
va a esperar el DHCP pasivo en entrar en funcionamiento por que detecta que el DHCP activo no responde.
Configuracion DHCP Failover
Las 2 opciones de hot standby o load balance se configuran aqu tambien el Auto State Switchover
Vamos a parar el servidor dhcp del dc1 en 10 minutos deberiamos ver en las estadisticas como el otro servidor
DHCP tiene el 100% de las direcciones
Configuracion Avanzada de DNS:
Grupo DNS Update Proxy: Se encargan de actualizar registros en el DNS de parte de los clientes
Temporizadores:
No-refresh interval: Tiempo durante el que un cliente NO PUEDE actualizar sus registros
Refresh Interval: Intervalo durante el cliente DEBE actualizar sus registros para que no se considere Stale
Si lo activamos nos la opcion de activarlo en todas las zonas integradas en DA
Si no lo activamos antes se tiene que activar a nivel de zona en las propiedades de la zona
Los Controladores de dominio siempre tienen registro estatico = Time Stamp 0
Los servidores miembros tendran el Time Stamp por defecto que se indica en el SOA
Para ver el Time Stamp de los registros tenemos que activar la vista avanzada
Si la zona no esta integrada en DA con copiar el archivo .dns con el nombre de la zona es suficiente tambien se
puede utilizar el export
Netmask Ordering:
Ejemplo: Tenemos un servicio web balanceado en 3 servidores de internet:
www.servicio.com: 80.60.20.10
www.servicio.com: 100.20.30.40
www.servicio.com: 200.40.50.60
Globalnames Zones:
Es posible que en determinadas ocasiones queramos acceder a recursos y servicios usando nombres de etiquete
unica (single label names). Estos nombres hacen uso del nombre del servidor en lugar de la FQDN completa.
Si solo tenemos un dominio, no hay problema por que todos los miembros del dominio (clientes y servidores) usan el
sufijo DNS principal. Desde cualquiera de ellos, si intentamos acceder a lon-srv1, aaden de forma automatica el
sufijo para obtener la FQDN lon-srv1.adatum.com
Cuando tenemos varios dominios, es mas complicado. Si tenemos adatum.com y contoso.com, y un equipo de
contoso.com quiere acceder a lon-srv1 indicando solo el nombre de la maquina, al aadir el sufijo intentaria acceder
a lon-srv1.contoso.com.
Si no encuentra el servidor por DNS (lon-srv1.contoso.com), lo intenta por NETBIOS, pero al ir en difusion, si hay
routers por medio tampoco accederia al servidor. Una solucion era usar servidores WINS. En windows Server 2012
contamos con globalnames zones para no tener que usar servidores WINS
Configuracion de GlobalNames
Durante el TTL, un tercero podria intentar modificar el contenido de esa cache (DNS cache Poisoning. Para evitarlo,
los DNS de windows Server 2012 incluyen el parametro dns cache locking percent. Es el tiempo donde no se
permiten modificaciones en la cache.
Asi se consulta
Y asi lo cambiamos
Set-DNSServerCache LockingPercent 50
Definimos el socket pool size indicando el numero de puertos que vamos a facilitar al servicio DNS para que elija uno
de forma aleatoria para las respuestas.
Por defecto esta habilitado en windows server 2012 con un valor de 1000
Asi se modifica
Aqu se consulta
Vamos a exportar en xml la configuracion del DNS para modificar una opcion y despues importarla
lon-dc1-export.xml
Vamos a poner a 1000 como estaba por defecto editandolo con el notepad
Y ahora la aplicamos
DNSSec nos permite proteger mediante cifrado y firma digital todos los registros de una zona. Proteger una zona
con DNSSec se denomina Firmar una zona.
Lo que buscamos aqu es mantener la integridad de los registros. El servidor cifrara los registros con una clave
probada y podrn descifrarse con la clave publica correspondiente. Necesitamos algun lugar donde guardar estas
claves publicas. Ese lugar es una zona que se denomina Trust Anchors (anclas de confianza).
- KSK (Key-Signing Key): es la clave maestra que se usa para cifrar las claves que vamos a usar para cifrar
las zonas.
- ZSK (Zone-Signing Key): Clave que se usa para cifrar los registros de una zona. Cada zona tendra su ZSK
Cuando firmamos una zona, en esa zona se crean varios Resource Records:
- DNSKey: Guarda la clave publica de la zona
- DS (Delegation Signer): Se utiliza cuando en una zona padre tenemos zonas hijas (delegacion de zona) y
guarda el hash de la clave publica de la zona hija.
- RRSIG (Resource Record Signature): Existe un registro RRSIG por cada registro de la zona y guarda su
firma digital.
- NSEC (Next Secure): Registro que se utiliza para indicar un Denial of Existence. Las ultimas versiones de
DNSSec usan en su lugar NSEC3, que es un hash del NSEC para proteccion adicional
Configuracion DNSSec
Aqu elegimos donde se almacenan las claves (Key Master)
Aqu creamos la clave para cifrar claves
Tipos de cifrado disponibles
Y ya tenemos la clave
Aqu creamos la clave para cifrar zonas
Ya tendriamos la clave para cifrar zonas
El check de usar Salt of Length aade parte de aleatoriedad para que sea mas complicado romper el cifrado
Aqu elegimos las replicacion de la clave entre zonas integradas en DA
Ahora ya estaria protegida la zona con DNSSec
Vemos que todos los registros tienen su RRSIG que acompaa al registro solicitado
SI ESTA INSTALADO EL ROL DHCP EN EL SERVIDOR DONDE ESTA IPAM NO FUNCIONA HAY QUE QUITAR
EL ROL DHCP
IPAM es un marco de gestion que sirve como alternatica a algunas funciones que ofrece System Center 2012 R2.
IPAM esta diseado para facilitar la gestion de los servidores de infraestructuras y los NPS:
- Controladores de dominio
- Servidores DHCP
- Servidores DNS
- Servidores NPS
Su funcion principal es la monitorizacion y auditoria. Solo incluye la funcionalidad completa en el caso del DHCP,
para DNS, DC y NPS praticamente se reduce a monitorizar y auditar.
IPAM recopila informacion sobre los srervidores de infraestructura y nos permite obtener informes, realizar
auidotrias, tracking de direcciones ip,
Por ejemplo, si necesitamos saber que equipo estuvo usando la direccion IP 192.168.10.128 hace 6 meses, cuando
inicio sesion un usuario,
Puede almacenar informacion detallada de hasta 100000 usuarios durante un maximo de 3 aos. Esto es muy util en
caso de necesitar informes para auditorias o analisis forenses
Limitaciones:
- Hasta 150 servidores DHCP con un maximo de 6000 ambitos en total.
- Hasta 500 servidores DNS con un maximo de 150 zonas en total.
- En windows Server 2012 solo puede usar la windows internal database (WID). En windows server 2012 R2
Podria usar una base de datos externa SQL server.
- El analisis de tenddencias y la reclamacion de IPs solo esta disponible para IPv4
- Incluye RBAC (Role Based Access Control), Podemos tener diferentes perfiles (Roles) de acceso a IPAM
para delegar tarreas de administracion.
- Integracion con SCVMM (System Center Virtual Machine Manager). Permite gestionar espacios de
direcciones virtuales.
- Gestion mejorada de DHCP: DHCP Failover, Superscopes,
Componentes de IPAM:
- IPAM Discovery: Se encarga de localizar servidores DHCP, DNS, DC y NPS en la red. En este modulo
podemos definir el ambito de descubrimiento (todo el bosque, solo un dominio, )
- IPAM Address Space Management: Sutituye a la consola de DHCP y aade funcionalidades nuevas como
la generacion de informes de auditoria, historico de uso de direcciones IP, gestion de direcciones asignadas a
VMs, analisis de tendencias, analisis de ambitos que se solapan,
- Gestion multiple de servidores: Definicion de opciones en ambitos de multiples servidores DHCP, Gestion
centralizada de ambitos,
Estos componenetes se incluyen en el IPAM Server. Para gestionar IPAM tenemos 2 opciones:
- Powershell
- Consola grafica que se denomina IPAM Client. No es una MMC independiente, sino que se integra con server
manager.
Podemos tener multiples servidores IPAM en la red, pero son independientes entre si, no comparten informacion
entre ellos. Esto debe hacerse de forma manual.
Da muchos problemas por que realiza muchos cambios en el DA, crea 4 GPOs cambios en el squema etc
Puede tardar hasta 48 horas en aplicar la GPO que es imprescindible para que funcione.
Cuando definimos servidores DNS, DHCP, DC o NPS que van a ser gestionados por IPAM, decimos que estamos
provisionando servidores. Este proceso de Server Provisioning implica varias tareas:
(Todo esto lo hace el asistente)
- Crear carpetas compartidas en cada servidor que vamos a gestionar. Por ejemplo, cada servidor DHCP que
queramos gestionar con IPAM debe tener compartida la carpeta C:\Windows\System32\DHCP. Estara
compartida como dhcpaudit
- Crear grupos de seguridad: IPAMUG (incluye a todos los servidores IPAM), DHCP Users, DHCP
Administrators.
- Crear las reglas necesarias en el firewall.
Prerequisitos:
- El servidor IPAM DEBE pertenecer al dominio
- El servidor IPAM NO PUEDE SER un DC
- Se recomienda que el servidor IPAM no sea al mismo tiempo servidor DHCP, DNS o NPS
- Aunque no lo digan si esta en un servidor con DHCP tampoco funciona
Configuracion de IPAM
Aqu nos avisa en el triangulito amarillo de que si provisonamos con GPO luego tendriamos que volver a
hacerlo desde 0 si queremos cambiar a manual
Aqu ultimo aviso
Aqu nos indica los siguientes pasos que tenemos que hacer
IMPORTANTE ANTES DE EJECUTAR EL COMANDO, PARA QUE NO TENGAMOS QUE PONER LOS FILTROS
DE SEGURIDAD EN LAS GPO.
Vamos al paso 3
Nos aparecera esta barrita. A la derecha del todo aparece un boton que pone more lo pulsamos
Ahora tenemos que lanzar el comando que nos indicaba antes en el servidor donde instalamos IPAM
Aun habiendo descubierto antes los servidores que crear las GPO, no nos ha aadido los servidores a los filtros de
seguridad
Los aadimos a mano a cada una de las 3 GPO de IPAM
Tenemos que comprobar que en el grupo IPAMUG esta nuestro servidor IPAM como miembro
Ahora nos vamos a la consola de IPAM y le damos el control del servidor que ha descubierto
Ahora ya estaria terminada la configuracion es posible que tarde hasta 48 horas en que se ponga en verde.
Es aleatorio ya que no funciona muy bien.
IPAM RBAC:
1- Elegimos un rol predefinido o creamos uno nuevo si no se adapta ninguno de los preconfigurados
2- Con un access scope definimos los servidores sobre los que vamos aplicar el rol
3- Con una access policy asignamos un usuario al rol y al access scope
IMPORTANTE PARA EL EXAMEN
IPAM Administrator puede hacer todo lo que ASM y MSM administrator juntos
Para aadir nuevos roles (conjuntos de permisos) aqu creamos nuestros grupos de permisos como queramos si los
que vienen por defecto no nos sirven
Aqu aparecen todos los permisos que podemos dar
Aadir access Scope sirve para agrupar servidores y despues dar permisos a usuarios en ese access scope en vez
de servidor por servidor
Ahora vamos servidor por servidor indicando el access scope
Y para aplicar los roles a los ambitos de accesos usamos access policies
Indicamos el usuario
E indicamos rol y access scope