Master Windows Server
Master Windows Server
Master Windows Server
Contenido
Mdulo 7: Configuracin y soporte de infraestructuras de red en Windows 2008.
Unidad 1: Instalando y configurando servidores Unidad 2: Configuracin y resolucin de problemas en DNS Unidad 3: Configuracin y administracin de Wins Unidad 4: Configuracin y resolucin de problemas con DHCP Unidad 5: Configuracin y resolucin de problemas con TCP/IP V6 Unidad 6: Configuracin y resolucin de problemas con Acceso a redes Unidad 7: Instalando, configurando y soporte con el rol de servicio NPS Unidad 8: Configurando Proteccin de Acceso a red (NAP) Unidad 9: Configuracin de IPSec Unidad 10: Monitorizacin y resolucin de problemas con IPSec Unidad 11: Configuracin y administracin de Sistema de archivos distribuidos DFS
.
Unidad 12: Configurando y administrando tecnologas de almacenamiento Unidad 13: Asegurando disponibilidad de contenido y recursos de red
Introduccin
La instalacin de Windows Server 2008 ha cambiado con respecto a las anteriores versiones de Windows Server, las opciones disponibles varan desde una instalacin simple basado en DVD, a la utilizacin de responder a los archivos creados con Windows System Image Manager (SIM) y la automatizacin de implementacin mediante el Kit de instalacin automatizada de Windows (WAIK) Como ya se vio en el Mdulo 2. El proceso de instalacin ya no incluye la parte de modo texto de la instalacin y es completamente basada en una interfaz Grfica; Otra diferencia es que un solo DVD de 32-bit o 64-bit incluye todas las ediciones (Estandard, Enterprise y Datacenter), Sin embargo, la versin que se instala depende de la clave de instalacin que puede utilizarse durante el proceso de instalacin. Microsoft ha cambiado la manera de los administradores gestionar el entorno de servidor. El sistema operativo se instala en forma segura, y los administradores pueden elegir entre cuatro mtodos para configurar el servidor de acuerdo a la funcionalidad que ellos desean: Tareas de configuracin inicial: se abre y permite al administrador configurar el nombre del servidor, configuracin de red, actualizaciones automticas, y la configuracin de Firewall de Windows. consolas de administracin de Microsoft (MMC) para administrar el servidor El administrador de servidores para instalar y quitar funciones y caractersticas Windows PowerShell para tareas de configuracin, si lo desea.
Una nueva opcin en Windows Server 2008 es la opcin Server Core, que instala slo lo que se requiere tener en un servidor de infraestructura: AD DS, AD LDS, DHCP, DNS, archivos, impresin y / o Servicios de Streaming Media. Una interfaz grfica no est disponible con esta opcin, en su lugar, utilice la lnea de comandos o herramientas de administracin remota para configurar y administrar el entorno del servidor. Si decide instalar esta opcin, la instalacin no es compatible con la actualizacin desde versiones anteriores, por lo tanto, se debe realizar una instalacin limpia. Esta opcin es beneficiosa para muchos ambientes debido a la reduccin necesaria de gestin, la reduccin de la superficie de ataque, reducido mantenimiento necesario, y menor necesidad de espacio en disco pues Server Core slo ocupa aproximadamente el 25% del espacio en disco que una instalacin completa.
Definiciones
Ediciones de Windows Server 2008
Hay cinco ediciones disponibles de Windows Server 2008. La edicin que usted elija depender de los requerimientos de la organizacin y servicios que usted necesite hacer frente, con Windows Server 2008 ayuda a: .
Aumentar la flexibilidad de su infraestructura de servidores, ofrece a los desarrolladores una Web ms robusta y una plataforma de aplicaciones para crear aplicaciones y servicios conectados, potentes herramientas nuevas de gestin y mejoras de seguridad que ofrecen ms control de servidor y de red, y proteccin avanzada para aplicaciones y datos.
Ventajas de 64-bit
Fundamentalmente, los productos de 64-bit desde servidores a aplicaciones de software usan una arquitectura que le permite duplicar el tamao de la unidad de datos que mantiene el procesador preservando al mismo tiempo la compatibilidad con la arquitectura x86 32-bit que se ha utilizado durante dcadas. Esto tiene una variedad de implicaciones, La capacidad de duplicar el tamao de la unidad de datos permite a los sistemas el uso de mucho ms memoria virtual y fsica con eficacia mientras desempea procesamiento con mayor rapidez. Para los clientes, esto puede traducirse en sistemas ms rpidos, ahorros de costes debido a la consolidacin de varios servidores ms pequeos a un sistema nico, con un mayor desempeo, los sistemas de 64-bits tambin son un requisito para la ejecucin de software de aplicacin tal como Microsoft Exchange Server 2007.
Procesador: mnimo 1 gigahertz (GHz), se recomienda 2 GHz pero lo ms ptimo es 3 GHz o ms. Memoria RAM: mnimo 512MB, Recomendado 1GB, ptimo: 2GB (instalacin completa) o 1GB ms en instalacin Core; Mximo en sistemas de 32-bits 4GB (estndar) o 64 GB (Enterprise y Datacenter); Mximo en sistemas de 64-bits 32GB (Standard) 2 TB (Enterprise, Datacenter y sistemas basados en Itanium) Espacio Disco: mnimo: 8GB, Recomendado 40GB (instalacin completa) o 10GB (Servidor de instalacin Core); ptimo 80GB (instalacin completa) o 40GB (Servidor de instalacin Core) o ms.
Se debe tener en cuenta que en Servidores con ms de 16GB de RAM requerirn ms espacio en disco para paginacin, hibernacin y volcado de archivos. Unidad de DVD Pantalla Sper VGA (800 x 600) o mayor resolucin, Teclado, Ratn Microsoft o dispositivo sealado compatible
Nota: Si va a instalar una versin de 64 bits, debe asegurarse de que todos los controladores de modo ncleo son firmados digitalmente antes de la instalacin. La instalacin fallar si utiliza los controladores sin firma. Puede que tenga que incluir versiones de 64 bits de Windows Server 2008 en su infraestructura, en funcin de las necesidades de la empresa, la instalacin de una versin de 64 bits pueden ofrecer la posibilidad de escalar hacia arriba (aumento de las CPU y RAM) ms que un sistema de 32 bits, pero debe asegurarse de que los controladores de modo ncleo que va a utilizar estn firmados digitalmente. La firma digital para los Drivers garantiza la proteccin de datos personales y corporativos, porque de sta manera se evita la propagacin de programas maliciosos, las firmas digitales para el software en modo de ncleo son una forma importante de garantizar la seguridad en sistemas informticos. Las firmas digitales permiten al administrador o al usuario final que la instalacin del software est basado en Windows y determina si se trata de un editor legtimo. Tambin a travs de las firmas se permite conocer a Microsoft los editores que se estn ejecutan en el momento de un fallo ya que sta informacin se enva al usar la opcin de envo de informe de errores. Los editores de software pueden entonces utilizar la informacin que proporciona Microsoft para detectar y solucionar sus problemas de software. La poltica de firma de cdigo se aplica a todo el software en modo de ncleo en los sistemas basados en x64 que ejecutan Windows Server 2008. Sin embargo, Microsoft recomienda a los editores firmar digitalmente todo el software, incluidos los controladores de dispositivos para 32-bit (No obligatoria) y las plataformas de 64-bit. Nota: Los usuarios con privilegios de administrador no puede cargar cdigo sin firmar en modo de ncleo en los sistemas basados en x64. Esto se aplica para cualquier mdulo de software que se carga en modo de ncleo, incluyendo dispositivos, controladores y los servicios del ncleo. Un Controlador configurado para arrancar al inicio el Windows 2008 lo carga al inicio del sistema operativo, dichos controladores se identifican en el fichero de informacin (INF) del controlador, cuando se especifica el tipo de inicio como "Start = 0" o un servicio del ncleo est configurada la clave ServiceType como Driver de Ncleo o Driver del Sistema de Ficheros y el valor STARTMODE es "boot". Para deshabilitar el requisito de la firma para el proceso de arranque actual: Reinicie el equipo, y durante el inicio, presione F8. Seleccione Opciones avanzadas de arranque. Seleccione Desactivar Forzado de Firma de Driver. Inicie Windows y desinstale el controlador sin firmar.
Instalaciones Limpias
En su forma ms simple, puede realizar una instalacin de Windows Server 2008 mediante la insercin del DVD del producto en la unidad de DVD, se debe inicializar el sistema con el medio de Windows 2008. Si usted est construyendo un nuevo entorno o simplemente desea instalar un nuevo servidor, una instalacin limpia puede ser la mejor opcin.
Instalaciones de Actualizacin
Si actualmente ejecuta Windows Server 2003 y se desea realizar una actualizacin a Windows Server 2008, hay ciertas rutas de actualizacin que estn disponibles dependiendo de la versin de Windows Server 2003 que se ejecuta en el servidor que est actualizando as: Windows 2003 R2 Standard, Windows 2003 SP1 Standard, Windows 2003 SP2 Standard pueden ser actualizados a Windows 2008 Standard (Completa). Windows 2003 R2 Enterprise, Windows 2003 SP1 Enterprise, Windows 2003 SP2 Enterprise pueden ser actualizados a Windows 2008 Enterprise (Completa). Windows 2003 R2 Datacenter, Windows 2003 SP1 Datacenter, Windows 2003 SP2 Datacenter pueden ser actualizados a Windows 2008 Datacenter (Completa). Nota: Microsoft no admite la actualizacin desde Windows Server 2003 para servidores con instalacin Server Core de Windows Server 2008. Antes de actualizar se recomienda que se hagan Copias de seguridad de sus servidores, debe incluir todos los datos e informacin de configuracin que es necesario para que el equipo funcione, especialmente para aquellos servidores que proporcionan la infraestructura de red, tales como DHCP, etc. Al realizar la copia de seguridad, asegrese de incluir las particiones de arranque y del sistema adems del estado del sistema. Otra forma de copia de seguridad de la informacin de configuracin es crear un grupo de respaldo para la recuperacin automtica del sistema.
Instalaciones Desatendidas
Puede automatizar el proceso de instalacin utilizando archivos de respuesta creados en Windows SIM y utilizando el AIK de Windows. Para utilizar un archivo de respuestas Windows SIM, usted necesita el Windows System Image Manager y un medio con posibilidad de escritura como un Pen Drive, CD / DVD o un disquete. Para instalar Windows desde el DVD del producto utilizando el archivo de respuesta: Encienda el equipo nuevo, e inserte el medio extrable que contiene el archivo de respuesta (Autounattend.xml) y el DVD del producto Windows. Reinicie el ordenador, el programa de instalacin (Setup.exe) se inicia automticamente y busca todos los medios extrables para un archivo de respuesta llamado Autounattend.xml. Una vez completada la instalacin, asegrese de que todas las personalizaciones del archivo de respuesta se han aplicado segn lo especificado.
las mejores prcticas para cualquier instalacin del sistema operativo de Microsoft y por lo tanto debe ser incluido en cualquier gua usada para la construccin de la mayora de entornos. Antes de instalar Windows Server 2008, utilice las siguientes pautas para preparar la instalacin: Prueba de compatibilidad de aplicaciones. Se puede utilizar el Microsoft Application Compatibility Toolkit Aunque es una herramienta utilizada para proporcionar informacin de compatibilidad sobre las aplicaciones de red, tambin se puede utilizar para preparar la instalacin de Windows Server 2008. Desconecte el sistema de alimentacin ininterrumpida (SAI), Si tiene una conexin de SAI a su equipo de destino, desconecte el cable serie antes de ejecutar el programa de instalacin, el programa de instalacin intenta detectar automticamente los dispositivos conectados a puertos serie, y el equipo SAI puede causar problemas con el proceso de deteccin. Copias de seguridad de sus servidores, la copia de seguridad debe incluir todos los datos e informacin de configuracin que el ordenador necesita para funcionar Deshabilite el software antivirus, el antivirus puede interferir con la instalacin. por ejemplo, puede hacer la instalacin mucho ms lenta al escanear todos los archivos que se copian localmente en su ordenador. Ejecute la herramienta Windows Memory Diagnostic, se debe ejecutar esta herramienta para probar la memoria de acceso aleatorio (RAM) del ordenador. Proporcionar Controladores de los dispositivos de almacenamiento masivo, si su fabricante ha suministrado un controlador independiente, guarde el archivo en un disquete, CD, DVD, o de bus serie universal (USB) en cualquier directorio raz de los medios o en una de las siguientes carpetas: amd64 para Equipos x64, i386 para equipos de 32 bits o ia64 para equipos basados en Itanium.
Para proporcionar el controlador durante la instalacin, en la pgina de seleccin de disco, haga clic en Cargar controlador (o presione F6). Usted puede navegar para localizar el controlador. Tenga en cuenta que el Firewall de Windows est activado por defecto, las aplicaciones de servidor que deben recibir conexiones entrantes no solicitadas producirn un error hasta que se creen las reglas de firewall de entrada que les permita la comunicacin. Consulte con su proveedor de aplicaciones para determinar los puertos y protocolos necesarios para que la aplicacin se ejecute correctamente. Preparar su entorno de Active Directory con actualizaciones para Windows Server 2008, para poder agregar un controlador de dominio que ejecuta Windows Server 2008 en un entorno de Active Directory que est ejecutando Windows 2000 o Windows Server 2003, deber actualizar primero dicho entorno as:
Para preparar un bosque y un dominio si est realizando una instalacin desatendida, realice este paso antes de instalar el sistema operativo, de lo contrario, tendr que hacer esto despus de ejecutar el programa de instalacin y antes de instalar Active Directory Domain Services.
Windows PowerShell
Es un nuevo shell de lnea de comandos y lenguaje de scripting que ayuda a los profesionales a lograr una mayor productividad y control de la administracin con mayor facilidad, Con Windows PowerShell no es necesario migrar scripts existentes, y se adapta idealmente para la automatizacin de las nuevas caractersticas de Windows Server 2008. Con ms de 130 herramientas de lnea de comandos, un nuevo lenguaje de secuencias de comandos para la administracin centralizada, acelera la automatizacin de tareas de administracin del sistema, mejora la capacidad de su organizacin para abordar los problemas especficos de su entorno de gestin del sistema. Windows PowerShell es fcil de adoptar, aprender, y utilizar porque no requiere experiencia en programacin, y funciona con su actual infraestructura de IT
Funciones
Las funciones de servidor en Windows Server 2008 describen la funcin primaria de un servidor. Por ejemplo, una funcin de servidor podra ser como Active Directory Domain Services (AD DS) o un servidor Web. Usted puede optar por instalar uno o varias funciones en un equipo Windows Server 2008, las funciones incluidas en el Servidor de Windows 2008 Son:
en forma simultnea en un nico servidor, y cada instancia se puede configurar de forma independiente para dar servicio a mltiples aplicaciones.
Servidor de Aplicaciones
Proporciona una solucin completa para la gestin de hosting y de alto rendimiento de aplicaciones distribuidas de negocios, incluye Los servicios integrados, como l. NET Framework, Web Server Support, Message Queue Server, COM +, Windows Communication Foundation.
Servidor DNS
DNS proporciona un mtodo estndar para asociar nombres con direcciones de Internet numrico, hace posible que los usuarios se refieren a equipos de la red mediante el uso fcil de recordar nombres en lugar de una larga serie de nmeros. Puede integrar los servicios de Windows DNS con los servicios de DHCP en Windows, eliminando la necesidad de agregar registros DNS como equipos se agreguen a la red.
Servidor de fax
Enva y recibe faxes, y le permite administrar los recursos de fax.
Servicios de Fichero
Proporciona tecnologas para la gestin del almacenamiento, replicacin de ficheros, la administracin distribuida de espacio de nombres, bsqueda de ficheros
Servicios de impresin
Servicios de impresin permite la gestin de servidores de impresin e impresoras. Un servidor de impresin reduce la carga de trabajo administrativo y de gestin mediante la centralizacin de las tareas de administracin de impresoras.
Terminal Services proporciona tecnologas que permiten a los usuarios acceder a los programas basados en Windows que se instalan en un servidor de Terminal Server, o para acceder al escritorio de Windows, desde casi cualquier dispositivo informtico. Los usuarios pueden conectarse a un servidor de Terminal Server para ejecutar programas y utilizar sus recursos de red.
Virtualizacin de Windows
La Virtualizacin de Windows Server proporciona servicios que se pueden utilizar para crear y gestionar mquinas virtuales y sus recursos, cada mquina virtual es un sistema de computacin virtualizada que opera en un entorno de ejecucin aislados. Esto le permite ejecutar mltiples sistemas operativos simultneamente.
Caractersticas
Una caracterstica en general no describe la funcin principal del servidor, en su lugar, describe una funcin auxiliar de un servidor o apoya a una funcin principal, algunas caractersticas son:
La experiencia de escritorio
Incluye caractersticas de Windows Vista, como Windows Media Player, temas de escritorio, y gestin de fotos, la experiencia de escritorio, no permite ninguna de las caractersticas de Windows Vista por defecto. En su lugar, debe habilitarse manualmente.
Asistencia remota
Permite (a personal de soporte) ofrecer asistencia a los usuarios ya que permite ver y compartir el control de escritorio del usuario con el fin de solucionar problemas.
Es un proxy usado por los objetos que reciben llamadas de procedimiento remoto (RPC) a travs Hypertext Transfer Protocol (HTTP). Este poder permite a los clientes descubrir objetos incluso si los objetos se mueven entre los servidores o si existen en reas restringidas de la red (generalmente por razones de seguridad).
SMTP Server
Protocolo compatible con la transferencia de mensajes de correo electrnico.
TCP/IP simple
Admite los siguientes servicios TCP / IP: generador de caracteres, horario diurno, descartar, eco y cita del da, proporciona compatibilidad con versiones anteriores y no deben ser instalados a menos que sea necesario.
Cliente Telnet
Utiliza el protocolo Telnet para conectarse a un servidor Telnet remoto y ejecutar aplicaciones en el servidor.
Servidor Telnet
Permite a los usuarios remotos, incluidos los que ejecutan sistemas operativos basados en UNIX, realizar tareas de administracin de lnea de comandos y ejecutar programas utilizando un cliente telnet.
Distribuye el trfico entre varios servidores, utilizando el protocolo TCP / IP en red, NLB es til sobre todo para asegurar que las aplicaciones sin estado, como un servidor Web que ejecuta IIS, sean escalables mediante la adicin de servidores adicionales a medida que aumenta la carga.
Windows PowerShell
Es un shell de lnea de comandos y lenguaje de scripting que ayuda a los profesionales a lograr una mayor productividad, proporciona un nuevo lenguaje de secuencias de comandos de administracin centralizada.
la lnea de comandos o herramientas de administracin remota para configurar y administrar el entorno del servidor. La instalacin no es compatible con la actualizacin desde versiones anteriores, por lo tanto siempre debe realizar una instalacin limpia.
Usted puede reducir el esfuerzo administrativo y ayudar a limitar los riesgos de seguridad al optar por utilizar la opcin de instalacin Server Core en un servidor.
Requisitos previos para la instalacin de una funcin de servidor en un servidor ejecutando una instalacin Server Core:
Un equipo en el que ha instalado y configurado una instalacin Server Core de Windows Server 2008. Una cuenta de usuario y contrasea de administrador del servidor que ejecuta la instalacin de Server Core. Si va a instalar y configurar un servidor de impresin, otro equipo que ejecuta Windows Vista o Windows Server 2008 en el que se puede ejecutar la Consola de administracin de impresin para configurar el servidor de impresin remota. Si va a instalar y configurar un servidor DHCP, la informacin necesaria para configurar un mbito DHCP, debe configurar el servidor que ejecuta la instalacin de Server Core para utilizar una direccin IP esttica. .
Si va a instalar y configurar un servidor DNS, la informacin necesaria para configurar una zona DNS. Si va a instalar y configurar un entorno de Active Directory, la informacin necesaria para unirse a un dominio existente o para crear un nuevo dominio, si planea promover el servidor que ejecuta la instalacin de Server Core para ser un controlador de dominio en un dominio de Active Directory, un administrador de dominio nombre de usuario y contrasea.
Cscript C:\Windows\System32\Scregedit.wsf /ar 0 Esto permite que el Escritorio remoto para el modo de administracin acepte conexiones. De forma remota utilizando Windows Shell Remoto: Mediante el uso de otro equipo que ejecuta Windows Vista o Windows Server 2008, puede utilizar Windows Shell remoto para ejecutar herramientas de lnea de comandos y scripts en un servidor con una instalacin Server Core. .
Para utilizar Shell Remoto de Windows, usted debe habilitar en la instalacin Server Core. Para ello, escriba lo siguiente en una ventana de comandos en el servidor: WinRM quickconfig
Para conectarse al servidor de Server Core con comando Shell, en un equipo diferente utilizar la herramienta Winrs. La siguiente es la sintaxis de ejemplo: Winrs -r: nombreDeServidor dir c:\windows (Donde nombreDeServidor es el nombre del servidor que ejecuta una instalacin Server Core.) De forma remota utilizando un complemento de MMC: Mediante el uso de un complemento de MMC de un equipo que ejecuta Windows Vista o Windows Server 2008, puede conectarse a un servidor que ejecuta Server Core de la misma manera que se conecta a cualquier equipo que ejecuta Windows, la administracin se realiza del mismo modo que la administracin de cualquier otro servidor.
Para habilitar los puertos necesarios para la administracin remota mediante consolas de MMC: Para habilitar la administracin remota del firewall, en el smbolo del sistema, escriba: Netsh firewall set service RemoteAdmin enable Estos puertos incluyen: TCP 445 TCP RPC dinmico TCP RPC Endpoint Mapper Puertos necesarios para conectividad Servicios de Terminal TCP 3389
Resumen
Se puede concluir que el proceso de instalacin ha sido mejorado ya que siempre usa una interfaz grfica para la instalacin gracias a Windows PE, que ya no se necesitan conocer los parmetros especficos de configuracin del servidor durante la instalacin porque ste paso se har en las tareas de configuracin inicial posterior a la instalacin, esto se traduce en instalaciones ms rpidas y menos complejas. Tambin concluimos que tomar la decisin de instalar un servidor en Modo Server Core nos ayuda a mejorar la seguridad para servidores que deben estar ubicados remotamente y no cuentan con protecciones especficas de un Centro de Proceso de Datos (CPD), pero debemos tener en cuenta que la seguridad aumenta pero perdemos la consola grfica y la posibilidad de implementar otros servicios que no son compatibles en sta versin. Otro aspecto de Windows Server 2008 es que ahora podemos gestionar el servidor desde una nica consola, haciendo que los administradores no perdamos tiempo buscando otras herramientas para gestionar el servidor, tambin podemos decir que la instalacin del sistema ya no instala componentes innecesarios sino que a medida que los necesitemos los podemos agregar como una funcin o una .
caracterstica y siempre al instalarlos podemos estar tranquilos porque si se necesitan componentes adicionales para la funcin que queremos el proceso de instalacin lo informar. Los procesos de instalacin y desinstalacin siempre se ejecutan en contextos seguros que hacen que el sistema no pierda estabilidad.
Recuerde:
Existen algunas modificaciones al soporte de hardware que Windows 2008 como por ejemplo Windows 2008 slo se pueden instalar en Equipos de tipo ACPI (Sistema por el cual los equipos controlan su consumo elctrico por software) Ya no se especifica un fichero HAL (Capa de abstraccin de hardware) personalizado para el hardware. El Firewall de Windows est activo por defecto e impedir las conexiones hacia el Servidor, no es una buena prctica desactivarlo porque junto con l tambin se desactivan otros componentes como IPSEC, considere mejor abrir los puertos necesarios para establecer comunicacin hacia el servidor. Si se utiliza la versin de 64 bits tenga en cuenta de usar hardware que tenga controladores firmados por que ahora es un requisito obligatorio debido a que nos protege de ataques a nivel de ncleo. No es posible actualizar una versin de Windows existente a modo instalacin Server Core, ste modo de instalacin siempre se hace en modo limpio.
Videos
Ver Vdeo: Instalacin de Servidores Windows 2008, en el Mdulo 7. Unidad 1, en la plataforma e-learning. Ver Vdeo: Instalacin desatendida de Servidores Windows 2008, en el Mdulo 7. Unidad 1, en la plataforma e-learning.
2. Seleccionar: El Idioma, la configuracin regional y Distribucin del teclado (debe estar de acuerdo a nuestro teclado fsico)
4. Seleccionamos el sistema operativo a instalar de acuerdo a nuestra licencia, podemos encontrar varias ediciones de Windows Server 2008 seleccionar la forma de instalacin completa o la Server Core.
El proceso de instalacin copia ficheros, los expande, instala caractersticas, actualizaciones y finaliza la instalacin.
El servidor detecta las redes y nos preguntar la ubicacin de dicha red (Hogar, Trabajo o Pblica).
Aparece entonces la Consola de Tareas de Configuracin Inicial desde la que se puede fijar las opciones de configuracin especfica para ste servidor y modificar los valores predeterminados: La opcin 1 Proporcionar informacin del equipo: zona horaria, nombre de equipo aleatorio, configuraciones IP V4 y V6 en forma dinmica y en un grupo de trabajo llamado WORKGROUP. La opcin 2 Actualizar ste servidor: Activar y configurar las actualizaciones automticas de Windows.
La opcin 3 Personalizar este servidor: podemos agregar Funciones, Caractersticas, Activar el acceso al servidor usando escritorio remoto y configurar el firewall de Windows.
3. Seleccionar una de las 17 Funciones (en ste caso AD DS) o de las 35 Caractersticas
5. Pinchar en Instalar, para activar los ficheros binarios que el servicio utilizar
7. Al finalizar la instalacin de la Funcin o caracterstica nos dar informacin sobre los pasos adicionales.
4. Haciendo uso de la cuenta predeterminada de Administrador intentamos iniciar sesin dejando la contrasea en blanco (opcin predeterminada)
5. Por seguridad no se permite la contrasea en blanco, solicita el cambio de la contrasea la primera vez que se efecta el inicio de sesin.
6. Para realizar el cambio debemos usar una contrasea compleja en los campos solicitados.
7. Server Core no incluye interfaz grfica entonces en los siguientes pasos configuran el Servidor usando comandos del smbolo del sistema, comando SET muestra la configuracin actual.
8. Con el comando Netdom Renamecomputer asignamos el nombre al servidor que si tiene xito pedir un reinicio.
10. Una vez reiniciado el sistema, asignar las configuraciones IP usando el comando NETSH (asignar IP, mscara y gateway).
13. Ahora para unir el servidor como miembro de un Dominio usamos el comando Netdom Join.
14. Si la unin al dominio tiene xito entonces se debe reiniciar, es posible hacer CTRL+ALT+SUPR y en la esquina Inferior Derecha desplegar las opciones de Apagado o Reinicio.
15. De sta manera el sistema pedir la razn por la que Se apaga o se reinicia.
16. De nuevo volvemos a entrar en el sistema y ahora debemos tener en cuenta que Windows Server 2008 por defecto Activa el Firewall de Windows, para ver el estado de firewall en una instalacin de Windows 2008 Server Core usamos el comando Netsh firewall show state.
17. Para abrir algunos puertos a travs del firewall usamos el comando netsh firewal add portopening (Tipo de transporte) y nombre de la regla predeterminada, en el ejemplo se abren los puertos TCP y UDP para el DNS (53) para prcticas posteriores, los puertos NetBIOS y permitir Administracin remota (135, 137, 138, 139, 445).
19. Para ver las Funciones o Caractersticas instaladas en Server Core se utiliza el comando OCLIST.
20. Para instalar una Funcin o caracterstica usamos el comando OCSETUP y el nombre de la funcin (El nombre debe ser escrito como aparece en la lista obtenida con el comando OCLIST, distingue maysculas y minsculas). En ste ejemplo se instala un Servidor DNS Core.
Introduccin
La funcin de servidor DNS es un componente crtico de una infraestructura de dominios de Windows Server 2008 por que los clientes suelen utilizar los nombres para acceder a recursos en Internet como en la intranet, tambin DNS es la base para resolver nombres en los Dominios de Directorio Activo de Windows Server 2008. Las Zonas DNS son un concepto importante en la infraestructura de DNS, ya que permiten a los dominios DNS estar separados lgicamente y gestionados en forma separada, tambin sirven como la base de almacenamiento de informacin de registros utilizados en un espacio de nombres concreto. Las transferencias de zona DNS es la manera que utiliza la infraestructura DNS para mover la informacin de zona DNS de un servidor a otro proporcionando un sistema completamente tolerante a fallos o lograr distribuir mltiples servidores que sean ms cercanos a los clientes. Es muy importante que un administrador sepa cmo resolver problemas en DNS debido a que son la parte fundamental de un dominio basado en Directorio Activo y por ello debemos estar lo suficientemente aptos para identificar y solucionar los problemas ms comunes que puedan surgir, por ello le recomendamos que use las herramientas que el propio servicio proporciona.
Definiciones
Instalacin de la Funcin Servidor DNS
DNS es un servicio de resolucin de nombres que resuelve los nombres de los equipos a nmeros, DNS es una base de datos jerrquica distribuida lo que significa que la base de datos est separada lgicamente, permitiendo que muchos servidores diferentes alojen la base de datos mundial de nombres DNS. DNS es un servicio mundial que le permite escribir un nombre de dominio (por ejemplo, mcitp.com), que el equipo resuelve en una direccin IP, el beneficio es que las direcciones IPv4 pueden ser largas y difciles de recordar (por ejemplo, 194.224.52.4), mientras que un nombre de dominio normalmente es ms fcil de recordar. Originalmente, haba un fichero de Internet que contena una lista de todos los nombres de dominio y sus correspondientes direcciones IP, sta lista se convirti rpidamente en un fichero que gastaba mucho tiempo para administrar y distribuir. DNS fue desarrollado para resolver los problemas asociados con el uso de un solo archivo, con la adopcin del IPv6, DNS ser an ms crtico porque las direcciones IPv6 (por ejemplo, 2001:DB8:10:0:e38c:384f:3764:b59c) son ms complejas que las direcciones IPv4. DNS es responsable de resolver los recursos en un dominio de servicios de directorio (AD DS), es necesario instalar la funcin de DNS para instalar Directorio Activo, DNS proporciona informacin a los .
clientes de estaciones de trabajo para que puedan iniciar sesin en la red, resuelve los recursos en el dominio, tales como servidores, estaciones de trabajo, impresoras y carpetas compartidas, si el Servidor DNS est configurado incorrectamente puede ser la fuente de muchos problemas de Directorio Activo.
Raz de dominio
El dominio raz se representa por un "." Que no se escribe en un navegador Web por lo general debido a que el "." se da por supuesto; hay 13 servidores de dominio raz en todo el mundo.
Subdominio
El subdominio est en la lista antes del segundo nivel y dominios de nivel superior. Un ejemplo de un subdominio Soporte en el dominio www.support.microsoft.com. Los subdominios se definen en el servidor DNS de la organizacin que tiene el servidor DNS de segundo nivel.
El Servidor DNS puede almacenar la base de datos DNS de dos maneras diferentes
En un archivo de texto almacenado en el Servidor DNS que contiene todas las entradas de nombres DNS, se puede editar con un editor de texto, se recomienda usar las Consola MMC del DNS para modificar la informacin del fichero. .
El servidor DNS almacena las entradas de DNS en la base de datos de Directorio Activo, sta base de datos se puede replicar en otros controladores de dominio incluso si no ejecutan la funcin de Servidor DNS, la replicacin se produce de forma transparente en segundo plano, no se puede utilizar un editor de texto para editar los datos de DNS que se almacena en el Directorio Activo. La utilidad de lnea de comandos para configurar un servidor DNS es Dnscmd.exe se puede utilizar esta herramienta de lnea de comandos como alternativa a la configuracin de la funcin de DNS con la interfaz grfica de usuario (GUI).
Servidores DNS
Un servidor DNS responde a las solicitudes DNS recursivas e iterativas, tambin puede albergar una o ms zonas de un dominio en particular, las zonas contienen registros de recursos diferentes tambin activan un almacenamiento en cach de las consultas comunes para ahorrar tiempo en las bsquedas.
Cliente DNS
El cliente DNS genera y enva consultas iterativas o recursivas al servidor DNS, un cliente DNS puede ser cualquier equipo que realice una bsqueda DNS que requiere la interaccin con el servidor DNS, los servidores DNS tambin puede emitir solicitudes de clientes DNS a otros servidores DNS.
A
Registro host define un nombre de host a una direccin IP
CNAME
Nombre cannico es un tipo de registro de alias .
MX
Intercambio de correo, se utiliza para especificar un servidor de correo electrnico para un dominio particular.
PTR
Puntero, se utiliza para hacer un mapa de una direccin IP a un nombre de dominio, se almacenan en Zonas de bsqueda inversa.
SRV
Servicio de localizacin, identifica un servicio que est disponible en el dominio, Directorio Activo utiliza ampliamente estos registros.
NS
Servidor de nombres, identifica todos los servidores de nombres (DNS) en un dominio.
AAAA
En IPv6 es el registro de host.
Sugerencias de Raz
Son la lista de los 13 servidores de Internet que la Internet Assigned Numbers Authority (IANA) mantiene y que el servidor DNS utiliza si no se puede resolver una consulta DNS con un reenviador DNS o su propio cach. Las sugerencias de raz son los ms altos en la jerarqua de servidores DNS y puede proporcionar la informacin necesaria para que un servidor DNS realice una consulta iterativa a la capa inmediatamente inferior del espacio de nombres DNS. Las sugerencias de raz se instalan al instalar la funcin de DNS, se copian desde el archivo Cache.dns que los archivos de configuracin incluyen en la funcin DNS. Tambin se puede aadir sugerencias de raz a un servidor DNS para ayudar en operaciones de bsqueda de dominios no contiguos dentro de un bosque. Cuando un servidor DNS se comunica con un servidor de sugerencias de raz, se utiliza slo una consulta iterativa, si selecciona la opcin No usar recursividad para este dominio, el servidor no ser capaz de realizar consultas sobre las sugerencias de raz.
Consultas DNS
Una consulta DNS es el mtodo que se utiliza para solicitar la resolucin de nombres en el que se enva una consulta a un servidor DNS, hay dos tipos de consultas DNS: De autoridad y no autoritarias. Es importante sealar que los servidores DNS tambin pueden actuar como clientes DNS y enviar consultas DNS a otros servidores DNS. Un servidor DNS puede tener autoridad o no en el espacio de nombres de la consulta, un Servidor DNS tiene autoridad en un espacio de nombres cuando contiene una base de datos de Zona primaria o secundaria en un espacio de nombres DSN Los dos tipos de consultas son las siguientes:
Consultas No Autoritativas
Son todas aquellas que el servidor DNS obtiene desde su cach o usando otros servidores DNS como reenviadores o sugerencias de raz, la respuesta puede no ser exacta debido a que slo el servidor DNS autorizado para el dominio dado puede emitir esa informacin. Si el servidor DNS est autorizado para el espacio de nombres de la consulta, el servidor DNS verifica la zona y realice una de las siguientes: Devuelve la direccin IP solicitada. Devuelve una respuesta autoritativa negativa (No, ese nombre no existe). Si el servidor DNS local no tiene autoridad para espacio de nombres de la consulta, el servidor DNS realice una de las siguientes: Compruebe su cach y devuelve una respuesta de cach. Si no puede resolver la consulta con su propia informacin entonces puede reenviar la consulta a otro servidor especfico llamado Reenviador. Utilice las direcciones conocidas de mltiples servidores raz para encontrar un servidor DNS con autoridad para que resuelva la consulta, ste proceso se llama sugerencias de raz.
Consultas Recursivas
Puede tener dos resultados posibles: devuelve la direccin IP del host solicitado o el servidor DNS no puede resolver una direccin IP. Por razones de seguridad, a veces es necesario deshabilitar las consultas recursivas en un servidor DNS, de este modo, el servidor DNS en cuestin no intentar presentar sus peticiones a otro servidor DNS, esto puede ser til si no deseamos que un servidor DNS en particular se comunique fuera de su red local.
Consultas Iterativas
Proporcionan un mecanismo para acceder a la informacin de nombres de dominio que reside en todo el sistema DNS, y permitir a los servidores de forma rpida y eficiente resolver los nombres a travs de muchos servidores. Cuando un servidor DNS recibe una solicitud que no puede responder utilizando su informacin local o de sus bsquedas en cach, se hace la misma peticin a otro servidor DNS mediante una consulta iterativa. Cuando un servidor DNS recibe una consulta iterativa, puede responder con la direccin IP del nombre de dominio (si se conoce), o remitiendo la solicitud a los servidores DNS que son responsables para el dominio se consulta.
Reenvo Condicional:
Un reenviador condicional es un servidor DNS en una red que enva las consultas DNS segn el nombre de la consulta de dominio DNS. Por ejemplo, puede configurar un servidor DNS que transmita todas las consultas que recibe por los nombres que terminan con test.com a la direccin IP de un servidor DNS especfico o a las direcciones IP de varios servidores DNS, esto puede ser til cuando tiene varios espacios de nombres DNS en un bosque. En Windows Server 2008, la configuracin de los reenviadores condicionales se ha trasladado a un nodo en la configuracin DNS de la consola, as mismo es posible replicar esta informacin a otros servidores DNS a travs de la integracin de Directorio Activo, se recomienda el reenvo condicional si se tienen varios espacios de nombres internos.
Cach DNS:
Aumenta el rendimiento del DNS al disminuir el tiempo necesario para proporcionar bsquedas de DNS, cuando un servidor DNS resuelve un nombre DNS correctamente, se agrega el nombre a su cach, con el tiempo, esto crea una cach de nombres de dominio y sus correspondientes direcciones IP de los dominios ms comunes que utiliza la organizacin o accesos. El tiempo predeterminado para almacenar los datos en la cach de DNS es una hora. Un servidor de slo cach no almacena datos de zonas DNS, slo responde a las bsquedas de los clientes DNS, ste es el tipo ideal de servidor DNS para utilizarse como reenviador.
copia de una zona principal que otro host almacena, no se puede almacenar en AD DS, la zona secundaria puede ser til si va a replicar los datos de una Zona desde un servidor No Windows. Zona de Rutas Internas Solucionan varios problemas con los grandes espacios de nombres DNS y con varios rboles de bosque, un bosque de mltiples rboles es un bosque de Directorio Activo que contiene mltiples nombres de dominio diferentes. La zona de Rutas internas es una copia de una zona que contiene slo los registros de recursos necesarios para identificar los servidores DNS autorizados en dicha zona (Registro SOA y NS), el objetivo de sta zona es resolver distintos espacios de nombres DNS independientes. Puede ser necesaria cuando se requiere una fusin corporativa y necesitamos que los servidores DNS para dos espacios de nombres DNS independientes resuelvan los nombres de los clientes, las zonas de rutas internas utiliza la direccin IP de uno o ms servidores maestros que utilizar para mantenerse actualizada. Es posible confundir la zona de ruta interna con los reenvios condicionales porque ambas caractersticas DNS permitir a un servidor DNS responder a una consulta con una referencia mediante el envo de la consulta a un servidor DNS diferente, sin embargo, estos valores tienen propsitos muy diferentes: El reenviador condicional configura el servidor DNS para que transmita una consulta que recibe a un servidor DNS en funcin del nombre DNS que contiene la consulta, mientras que la zona de ruta interna, mantiene el servidor DNS al tanto de todos los servidores DNS con autoridad en un espacio de nombres de un dominio principal como de los dominios hijos (subdominios). Zonas Integradas en Directorio Activo La zona DNS se almacena dentro de la base de datos del servicio de directorio activo para tomar ventaja del modelo de replicacin con varios maestros para replicar la zona primaria lo cual permite editar datos de la zona en ms de un servidor DNS. Windows Server 2008 introduce un nuevo concepto llamado controlador de dominio de slo lectura (RODC), es posible que todos los datos de una zona DNS integrada en directorio activo se repliquen en todos los controladores de dominio, incluso si la funcin DNS no est instalado en el controlador de dominio por tanto si el servidor es un controlador de dominio de slo lectura, la zona en dicho servidor no podr escribir ni modificar datos. Zonas de Bsqueda Directa e Inversa La zona de bsqueda directa resuelve nombres de host a direcciones IP, y puede contener registros de recursos comunes: A, CNAME, SRV, MX, SOA y NS. Zona de bsqueda inversa resuelve una direccin IP a un nombre de dominio contiene registros SOA, NS, y PTR. Una zona inversa funciona de la misma manera como una zona de bsqueda directa pero en ste caso la consulta resolver una direccin IP a un nombre de host.
Se necesita dividir una zona de gran tamao en pequeas zonas para que pueda distribuirse la cargas de trfico entre varios servidores, lo que mejora el rendimiento de resolucin de nombres DNS y crea un entorno ms tolerante a fallos DNS. Es necesario ampliar el espacio de nombres agregando ms subdominios para dar cabida a la apertura de una nueva sucursal o un nuevo sitio.
Notificaciones DNS
Permite notificar a los servidores secundarios cuando se producen cambios en la zona, esta notificacin es til en entornos donde es necesario mantener los servidores DNS replicados en un espacio de tiempo mnimo y donde la precisin de datos es importante.
Los problemas ocasionados por no mantener los registros controlados pueden incluir:
Para resolver estos problemas, el servicio Servidor DNS tiene las siguientes caractersticas:
Por defecto, Caducidad y Borrado no est activo, se debe habilitar solo cuando se comprenda perfectamente su utilizacin de lo contrario podra eliminar registros que se deben mantener en la base de datos ocasionando problemas de resolucin de nombres.
forma peridica, estas pruebas bsicas proporcionan un buen punto de partida para la solucin de problemas del servicio de DNS.
Las herramientas utilizadas para solucionar estos y otros problemas de configuracin son: Nslookup Se utiliza para consultar informacin DNS, la herramienta es muy flexible y puede proporcionar mucha informacin valiosa sobre el estado del servidor DNS, se puede usar para buscar los registros de recursos y validar su configuracin, tambin puede probar las transferencias de zona, las opciones de seguridad, y la resolucin de registros MX. Dnscmd Permite administrar el servicio DNS con esta interfaz de lnea de comandos, es til en secuencias de comandos de archivos por lotes para ayudar a automatizar las tareas rutinarias de administracin de DNS o para realizar instalaciones desatendidas simples de nuevos servidores DNS. Ipconfig Utilice este comando para ver y modificar los detalles de configuracin IP en el equipo que utiliza, incluye opciones adicionales de lnea de comandos que sirven para solucionar problemas y dar soporte a los clientes DNS, es posible ver la cach local del cliente DNS mediante el comando ipconfig /displaydns, borrar la cach local utilizando el comando ipconfig /flushdns. DNSLint Se usa para diagnosticar problemas de DNS, es una utilidad de lnea de comandos para diagnosticar problemas de configuracin de DNS de forma rpida y tambin puede generar un informe en formato HTML con respecto al estado del dominio que est probando. Supervisin DNS Usando El Visor de Eventos y el Fichero de registro de depuracin: El servidor DNS tiene su propia categora en el registro de eventos, como con cualquier otro registro de eventos del visor de sucesos, debe revisar peridicamente el registro de sucesos. Algunas veces puede ser necesario obtener ms informacin sobre problemas del servidor DNS adicional al visor de sucesos, el Servidor DNS incluye la posibilidad de activar un fichero de registro para depurar informacin sobre los distintos tipos de paquetes y su actividad sobre el servidor DNS, dentro de las opciones es posible registrar: Direccin de paquetes tanto de envo como de recepcin Contenido de los paquetes: Consultas, Actualizaciones dinmicas y Notificaciones Protocolo de transporte: UDP y TCP. Tipo de paquete: Solicitudes y Respuestas Habilitar el filtrado basado en direcciones IP: Permite el registro de los paquetes enviados desde determinadas direcciones IP a un servidor DNS, o desde un servidor DNS a direcciones IP .
especficas. Nombre de archivo y tamao lmite mximo: establece el tamao mximo de archivo para el archivo de registro del servidor DNS. Cuando el servidor DNS del archivo de registro alcanza su tamao mximo especificado, el servidor DNS sobrescribe la informacin ms antigua con informacin nueva (Si no se especifica un tamao mximo de archivo de registro, el servidor DNS del archivo de registro puede consumir una gran cantidad de espacio de disco duro). Por defecto, todas las opciones de registro de depuracin estn desactivadas, recuerde que el registro de depuracin puede hacer uso de los recursos muy intensivo provocando bajo rendimiento y consuno de espacio en disco duro, por lo tanto si se activa se debera hacer slo como una medida temporal, el fichero Dns.log contiene la actividad del registro de depuracin y en forma predeterminada, se encuentra en WindowsSystem32Dns.
Resumen
Podemos decir que DNS es uno de los servicios ms crticos en la infraestructura de red porque permite que los clientes encuentren los recursos usando los nombres en lugar de las direcciones IP numricas, incluso los administradores algunas veces usan las direcciones IP en versin 4 para acceder a ciertos equipos pero se debe tener en cuenta que con la inclusin de IPv6 las direcciones son de 128 bits hexadecimal lo que hace ms difcil recordar y utilizar, por tanto se hace ms necesario el uso de DNS y que su funcionamiento sea ptimo. Por sta misma razn no podemos descargar la responsabilidad de la resolucin a un nico servidor porque si hay un fallo, la red dejara de responder, para ello DNS ofrece una forma de replicar datos de las Zonas DNS hacia otros servidores usando la Transferencia de Zona, una alternativa a la gestin de la topologa de replicacin es incluir la zona en el Directorio Activo y entonces la replicacin DNS se hara de acuerdo a la replicacin del Servicio de Directorio. Saber cmo funcionan las herramientas de solucin de problemas como NSlookup, DNSlint y DNScmd ayudar mucho cuando nos enfrentemos a problemas en red provocados por una mala resolucin de nombres.
Recuerde
Las consultas realizadas a un servidor DNS siguen el siguiente orden para poder ser resueltas: El Servidor DNS comprueba su cach Si el nombre FQDN de la consulta coincide con una base de datos de Zona creada en el Servidor DNS que recibe la consulta quiere decir que tiene Autoridad en ese espacio de nombres, por lo tanto el servidor responder con la informacin que contenga en las zonas, la respuesta entonces se dar al cliente informando la direccin IP sino encuentra la informacin devolver una respuesta negativa al cliente. Si la consulta enviado no coincide con ninguna zona en el servidor, entonces se evaluar si existen configuraciones de Servidores DNS de reenvo, que pueden ser condicionales (segn un nombre de dominio que coincide con la consulta) o un servidor DNS reenviador que puede acceder a Internet directamente y obtener la resolucin desde Internet. Si no hay servidores DNS de reenvo el Servidor DNS utilizar las consultas Iterativas empezando por los servidores Sugerencias de raz configurados hasta encontrar el servidor DNS que tenga autoridad en el espacio de nombres de la consulta recibida. Cuando el servidor recibe la respuesta, almacena la informacin en su cach para que consultas posteriores buscando el mismo host, no tenga que volver a hacer todo el proceso sino que responder de los datos almacenados en la cach
Precisamente la cach puede ser causa de respuestas equivocadas a los clientes, por ello se debe tener en cuenta como borrar la informacin de cach usando la consola mmc del DNS o usando el comando DNSCMD En un entorno replicado la frecuencia que controla la replicacin tambin debe ser tenida en cuenta cuando queramos resolver un problema, porque es posible que si la replicacin no ocurre con la frecuencia que nosotros esperamos los registros no se actualicen adecuadamente, tenga en cuenta ste aspecto y vigile la replicacin entre servidores DNS. El trfico DNS usa los protocolos TCP y UDOP 53 tenga en cuenta en abrir stos puertos en firewalls donde sea necesario. Cuando se cree una infraestructura DNS en un entorno de Dominio adems de la Zona de bsqueda directa, se recomienda usar zonas de bsqueda inversa debido a que algunas aplicaciones se beneficiaran de esto tipo de resolucin. Una forma rpida de resolver nombres en 2 espacios de nombres de Dominio en una organizacin es crear las Zonas de Rutas internas porque con ellas se implican procesos de resolucin usando reenviadores pero con la diferencia que la zona de rutas internas se mantendr actualizada (usando la replicacin DNS) con informacin de los servidores DNS que tengan autoridad en dicho espacio de nombres en un momento dado. Siempre que sea posible en Zonas que sirven para la resolucin de Dominios internos como Directorio Activo intgrelas en la base de datos del Directorio por que como beneficios podemos obtener: ms seguridad, sistema tolerante a fallo y administracin y despliegue simplificado.
2. Ahora en una instalacin Server Core Para instalar una Funcin o caracterstica usamos el comando OCSETUP y el nombre de la funcin (El nombre debe ser escrito como aparece en la lista obtenida con el comando OCLIST, distingue maysculas y minsculas). En ste ejemplo se instala un Servidor DNS Core.
3. Una vez instalado el Servidor DNS en Server Core es necesario abrir los puertos de administracin en el firewall como se mostr en el captulo anterior y despus usando una consola MMc de DNS agregarlo para administrarlo remotamente, en ste caso hemos instalado DNS en 2 Servidores (DC2008 y Core2008). 4. Desde DC2008 abro la consola de administracin de DNS y agrego el Servidor DNS Core para administrarlo.
5. Sobre DNS hacer clic derecho y seleccionar la opcin Conectar con el Servidor DNS.
3. Luego seleccionar la pestaa Sugerencias de raz, podemos ver la informacin de stos servidores (tambin se puede ver sta informacin editando el fichero Cache.dns en el servidor DNS, ste fichero se instala al activar la funcin DNS) .
4. Otro aspecto para la resolucin de nombres es usar antes que las sugerencias de raz a otros servidores llamados Servidores DNS de reenvo (pueden resolver consultas en nombre de otro servidor DNS que posiblemente por seguridad no pueda acceder directamente a Internet, como es el caso de un Servidor DNS que sirve a la resolucin de nombres de una red interna con Directorio Activo). Para configurar un Servidor DNS de Reenvo, sobre las propiedades del Servidor DNS usamos la ficha Reenviadores:
5. Luego pinchar en Editar para agregar el Servidor de Reenvo (un servidor DNS de cara a Internet) y Aceptar.
6. Existe tambin la posibilidad de hacer un Reenvo Condicional, es una solucin para resolver nombres DNS separados internos en una organizacin, con ste reenvo un administrador debe conocer cul es la direccin IP del servidor DNS que tiene autoridad en el espacio de nombres que se quiere reenviar, para hacer un reenvo condicional en la consola, bajo el nombre del servidor encontramos el nodo reenviadores condicionales, hacer clic derecho y seleccionar Nuevo reenviador condicional.
7. A continuacin se escribe el nombre del domino que queremos resolver en el reenviador y la direccin IP del servidor o servidores DNS que tienen autoridad en ese espacio de nombres y luego Aceptar.
8. Todos los servidores DNS cuando reciben una consulta, intentarn resolverla empezando por buscar la informacin desde la cach del Servidor DNS, esta cach se va creando a medida que el servidor va obteniendo respuestas desde los dems servidores DNS, para ver el cach en la consola DNS tenemos que activar la vista Avanzada en el Men Ver (Debes seleccionar primero el nombre del servidor para que se active la opcin).
9. A continuacin aparece un nuevo Nodo llamado Bsquedas en Cach donde se puede observar todos los dominios resueltos por el Servidor DNS y que al ser consultados nuevamente, la respuesta se devolver desde ste cach dando como resultado ms rapidez y menos trfico necesario (optimiza ancho de banda).
10. Si se detecta que la respuesta que un Servidor DNS devuelve a una consulta de cliente es equivocada y la fuente de ese dato est en la cach, entonces debemos borrar la cach del servidor DNS para forzarlo a que vuelva a consultar los servidores DNS y responda correctamente.
11. Para borrar la cach se puede borrar slo la entrada equivocada o todo el cach, haciendo clic derecho y Eliminar.
4. Seleccionar el tipo de zona (Principal, Secundaria o de rutas internas) en ste caso vamos a crear una Zona Principal, la base de datos puede ser almacenada como un fichero o como objeto dentro de la base de datos del Directorio activo (Slo se activa si el servidor DNS adems es un controlador de Dominio), en ste caso aunque el servidor DNS es un DC no integraremos la informacin en el Directorio Activo (Desmarcar la opcin "Almacenar la zona en Active Directory".
5. El siguiente paso es seleccionar que tipo de bsqueda deseamos activar en la zona, en ste caso seleccionamos que sea de bsqueda directa (Resolucin de Nombres a IP).
6. El asistente nos pide el Nombre de la zona, ste nombre debe reflejar el espacio de nombres FQDN en el que el Servidor DNS tendr autoridad para responder a consultas en dicho espacio de nombres.
7. Como la Zona no se integrar en Directorio Activo entonces debemos crear un fichero donde se almacenar los datos de la zona (Registros de recursos), El fichero siempre tendr como nombre la siguiente nomenclatura EspaciodeNombres_FQDN.DNS (Los ficheros de Zona en Microsoft llevan extensin DNS) Tambin si la zona ya tiene informacin creada en un fichero existente (Fichero .
Copiado desde otro Servidor DNS o por un proceso de Migracin) se puede indicar el fichero en sta opcin.
8. El ltimo paso de la creacin de la Zona es configurar las Actualizaciones Dinmicas que Permite que el host cree informacin dinmicamente en la base de datos de zona con sus registros A (Nombre e IP del host en zonas de bsqueda directa) y PTR (IP y Nombre FQDN en zonas de bsqueda inversa), se muestran 3 opciones. 9. Actualizaciones Slo Seguras: Si la zona se integra en Directorio Activo esta opcin se activar, su objetivo es aumentar la seguridad (Slo estn autorizados a escribir informacin de registros en la zona los equipos que pertenecen al Dominio y cuya identidad es comprobada) en la creacin de registros de la zona, generalmente se usa en Zonas que resuelven un Dominio de Directorio activo. 10. La segunda opcin Permite la Actualizacin Dinmica en la zona: Los clientes crean sus registros Ay PTR pero sin seguridad (No se Identifican al crear los registros). 11. La tercera opcin es NO permitir la actualizacin dinmica, lo que significa que el administrador debe crear los registros manualmente en la zona (sta es la opcin predeterminada).
13. Al crear una Zona Inversa el proceso es similar slo que el Nombre de la zona debe llevar el Identificador de la Red IP a la inversa y termina con in-addr.arpa.
15. El nombre de Zona para mayor comodidad y evitar confusin el asistente permite dar el ID. de Red de forma normal y ste crea la zona con la nomenclatura DNS necesaria.
16. Al igual que la zona de bsqueda directa se puede determinar el uso de las actualizaciones dinmicas (en ste caso de registros PTR).
5. Seleccionar la pestaa Transferencias de zona, desde aqu se puede decidir a qu otros servidores se les permitir copiar los datos de la zona, al permitir la transferencia de zona hay 3 opciones: 6. La primera opcin es a cualquier servidor (No es una opcin muy adecuada por seguridad, porque cualquier servidor conocido o desconocido puede obtener los datos de la zona) La segunda opcin determina que los servidores a los que se les permite la transferencia son a aquellos que estn definidos en la pestaa "Servidores de Nombres" de las propiedades de la zona (Opcin predeterminada) la tercera opcin define a los servidores DNS por direccin IP (Se agregan pinchando en el botn Editar) y luego Aplicar.
7. Otro valor a definir es la Notificacin (Opcional), con ste parmetro el Servidor DNS Principal notifica a los servidores DNS Secundarios, cada vez que se producen modificaciones en la base de datos de la zona. .
8. Si no se definen las notificaciones los servidores Secundarios actualizarn la zona despus de transcurrido el intervalo de tiempo que un administrador decida. 9. La notificacin hace que las actualizaciones se repliquen inmediatamente sin esperar el intervalo de tiempo definido para la replicacin. 10. Pinchar en Notificacin y configurar los servidores a los que se notificar (Servidores definidos en la pestaa Servidores de nombres de las propiedades de la zona o por direccin IP) luego dar Aceptar.
11. Otras configuraciones que se deben definir es el Intervalo de tiempo en el que los Servidores Secundarios deben solicitar el envo de actualizaciones al servidor Principal (por defecto 15 Minutos) los intervalos de reintento (10 minutos) y el tiempo mximo que un servidor secundario puede responder a consultas clientes sin haber replicado del primario (1 Da). 12. El TTL mnimo es la cantidad de tiempo que una respuesta ser almacenada en la cach del cliente o de los servidores DNS cuando se resuelve un registro de dicha zona (El tiempo predeterminado para todos los registros en la zona es de 1 hora). 13. El nmero de serie representa las modificaciones realizadas en la base de datos (Aumenta en 1 cada vez que lo hace) sirve como valor de referencia para los servidores DNS que reciben una copia de la base ya que los nmeros de serie en todos debe ser igual (las bases son idnticas).
14. Una vez Preparada la Zona Primaria para su transferencia, sobre un servidor DNS adicional se crea la Zona Secundaria as: Se lanza el asistente para crear zonas.
16. El nombre de Zona debe ser igual al nombre de la zona primaria, si cambia en algn carcter, DNS entender que no es el mismo espacio de nombres donde los 2 servidores DNS tendrn Autoridad.
17. A continuacin pregunta por el Servidor DNS Maestro (Servidor Desde donde se copiar la base de datos, puede ser Primario u otro secundario).
18. Al finalizar el asistente el Servidor DNS Secundario solicitar al Servidor DNS Maestro los datos de la zona.
19. La vista de la zona en el servidor Secundario con los registros replicados, No olvidar que el servidor DNS con una Zona Secundaria slo puede leer la informacin pero no permite crear nuevos registros.
4. Seleccionar el tipo de prueba, consulta nica o una consulta recursiva, luego pinchar en el botn Probar ahora, el resultado ser mostrado en la ventana de prueba.
5. Tambin se puede programar para que se siga haciendo pruebas de acuerdo a un intervalo de tiempo (Si sospecha que el servicio deja de responder en algn momento, esta supervisin podra ayudarle a saber en qu momento se produce). 6. Por ejemplo si se detiene el Servicio DNS y volvemos hacer el test veremos el fallo.
7. Otra herramienta que ayuda a la solucin de problemas es NSLOOKUP, con ella podemos conocer informacin de la zona en un espacio de nombres, se trata de una herramienta que lanza consultas al servidor DNS de distintos tipos de registro, en el ejemplo al ejecutar el comando vemos la direccin IP del Servidor DNs al que se lanzarn las consultas (en ste caso se escoge la direccin IPv6 ::1 que equivale en direccin IPv4 a 127.0.0.1 es decir localhost). 8. Luego se configura el tipo de registro (SOA Inicio de Autoridad) que deseamos testear. .
10. Otra herramienta que podemos usar es DNSLINT pero sta no viene incorporada en el sistema operativo, es necesario descargarla de la web de Microsoft http://support.microsoft.com/kb/321045. Cuando se descargue a continuacin se instala.
12. Una vez descomprimida ir a la carpeta en el smbolo del sistema y ejecutar dnslint /s (IP del Servidor DNS) /d (Dominio que queremos consultar) el comando crea un informe en html con informacin de la zona consultada.
13. Para analizar estadsticas de utilizacin del servidor DNS la herramienta de sistema Confiabilidad y Rendimiento nos muestra informacin recopilada por los contadores de rendimiento. 14. En la consola Administre el Servidor buscar el monitor de rendimiento, pinchar en el Signo + Verde.
15. Buscar el Objeto DNS y Agregar los contadores (por ejemplo agregar el contador Total Query Received /Sec (Consultas recibidas por segundo) y Aceptar.
17. Podemos simular consultas desde las propiedades del servidor en la pestaa Supervisin y hacer consultas Simples y recursivas mltiples veces.
18. Al volver al monitor de supervisin vemos la grfica con alguna informacin de estadsticas (mximo, mnimo y promedio).
Introduccin
El propsito de WINS en una infraestructura de red es resolver los nombres NetBIOS a direcciones IP para una comunicacin efectiva entre los sistemas y aplicaciones que an hacen uso de nombres nico, las versiones anteriores de los sistemas operativos de Microsoft, y algunas aplicaciones antiguas, siguen utilizando este tipo de resolucin, al igual que usuarios de la red siguen usando los nombres nicos para acceder a recursos tales como servidores Web internos; por lo tanto, WINS est disponible y se puede utilizar, pero se eliminar en versiones futuras que se liberarn, al quitar WINS encontramos que sta funcionalidad puede ser adoptada por DNS que aprovecha las ventajas del DNS como la replicacin. Para que WINS funcione eficazmente en un entorno de Microsoft, los clientes y servidores deben tener sus nombres registrados en el servicio WINS, puede haber casos en que la base de datos WINS tenga entradas incorrectas produciendo problemas con la resolucin de nombres NetBIOS. Aunque WINS es dinmico, tanto para la creacin y eliminacin de sus registros, a veces pueden surgir problemas con los registros, y un administrador debe tener acceso a la base de datos de forma manual para corregir el problema. Para administrar el WINS los administradores pueden utilizar la consola de administracin de Microsoft WINS (MMC) para ver los registros creados en la base de datos y ver informacin incorrecta que pueda ser eliminada. Tambin una de las tareas administrativas en WINS consiste en hacer copias de seguridad de la base de WINS peridicamente para ayudar en la recuperacin de desastres cuando los datos parezcan corruptos, esta copia de seguridad es automtica y se ejecuta cada 24 horas en el servidor WINS, sin embargo, el administrador debe especificar la ubicacin donde se almacenar la copia de seguridad de base de datos WINS. Con el tiempo, la base de datos puede llegar a ser menos eficaz debido a un uso ineficiente del espacio. Por lo tanto, la compactacin de la base de datos WINS de forma regular es necesaria, en funcin del nmero de clientes y su utilizacin. De forma predeterminada, un servidor WINS slo contiene informacin acerca de sus propios clientes, para asegurar que la resolucin de nombres NetBIOS sea eficaz se debe crear mltiples Servidores WINS que pueden tener clientes distintos, por tanto la forma de unificar las bases de datos WINS es usando la replicacin WINS. La replicacin de datos WINS garantiza que un nombre registrado con un servidor WINS se replica en todos los servidores WINS en la red dando como resultado que un cliente WINS puede resolver un nombre NetBIOS en la red, independientemente del servidor WINS en la que se registr el nombre. .
Para ayudar a los clientes a migrar a DNS y permitir que todos los esquemas de nombres sean resueltos, la funcin del servidor DNS en Windows Server 2008 es compatible con una zona especial llamada GlobalNames (GNZ). GNZ est diseado para permitir la resolucin de nombres nicos globalmente usando nombres nicos usando el DNS; GNZ est destinado a ayudar en el retiro de WINS, Sin embargo, no es un reemplazo para WINS porque GNZ no soporta la resolucin de nombres nicos de forma dinmica.
Definiciones
Generalidades Del Servicio WINS
El propsito de WINS en una infraestructura de red es resolver los nombres NetBIOS a direcciones IP para que la comunicacin sea efectiva entre los sistemas y aplicaciones que an hacen uso de nombres nicos, el uso de WINS reduce el trfico de difusin NetBIOS y permiten a los clientes resolver los nombres NetBIOS de los equipos aunque estn en distintos segmentos de red. Hay varias razones por las que WINS sigue siendo necesario en la mayora de las redes, como son: Versiones anteriores de sistemas operativos de Microsoft que usan WINS preferiblemente para la resolucin de nombres. Debido a la existencia de aplicaciones, basadas en nombres NetBIOS. Se necesita mantener registros dinmicos de nombres nicos Los usuarios deben usar las funciones de entorno de red o Mis sitios de red desde el Navegador. No es posible usar la infraestructura DNS de Windows Server 2008.
La instalacin del Servicio en Windows Server 2008 se realiza a travs de la consola Administrador de Servidor, previamente se recomienda que el servidor tenga direcciones IP estticas debido a que los clientes usarn dichas IP cuando hagan uso del servidor WINS, es importante tener en cuenta que WINS y NETBIOS slo se soporta sobre IPv4 y no sobre IPv6 La necesidad de utilizar el servicio WINS radica en el uso que los clientes hagan del esquema de nombres nicos NETBIOS, como se mencion antes, funciones incluidas en sistemas operativos Microsoft y utilizadas durante mucho tiempo y que han sido muy populares son el uso del entorno de red y mis sitios de red, si usted utiliza estas aplicaciones, es posible que sea necesario utilizar WINS para ayudar a poblar las listas de recursos de red que presentan estas aplicaciones al usuario; la forma de exploracin que usan stas funciones es a travs de NetBIOS cuyo mecanismo genera y mantiene estas listas, cuando los usuarios ejecutan estas aplicaciones les permite abrir y guardar datos a travs de la red local, o seleccione un equipo al que desea conectarse, como un servidor o estacin de trabajo de una lista de recursos de red, entonces NetBIOS debe rellenar esas listas e inherentemente deberamos usar WINS para ayudar a mejorar el rendimiento de la red y localizar la informacin ms fcil.
Componentes de WINS
Servidor WINS Equipo que procesa las solicitudes de registro de nombres e IP de los clientes, responde a las consultas de nombres NetBIOS que los clientes realizan devolviendo la direccin IP de un nombre consultado claro est, si el nombre figura en la base de datos del servidor. Base de datos WINS Almacena datos de nombres e IP registradas por los clientes. Clientes WINS Son ordenadores configurados para consultar un servidor WINS directamente, los clientes WINS registran dinmicamente sus nombres NetBIOS con un servidor WINS. .
Agente Proxy WINS Es un equipo que escucha solicitudes de consulta de nombres en una subred de clientes NO WINS y las enva directamente a un servidor WINS.
Si la direccin antigua no responde a la solicitud de consulta de nombre, el servidor asume que no hay equipo con ese nombre y la direccin IP y acepta el registro de nombre de nuevo.
Renovacin de Nombre
Debido a que los registros de nombres WINS son temporales, los clientes deben renovar sus registros peridicamente, cuando un equipo cliente se registra por primera vez con un servidor WINS, el servidor WINS devuelve un mensaje con un perodo de vida (TTL) que indica cuando el registro del cliente caduca o necesita ser renovado. Si la renovacin no se produce en ese momento, el registro del nombre se caduca y finalmente la entrada de nombre se elimina de la base de datos WINS, las entradas esttica WINS no caducan y por tanto no necesitan ser renovados en la base de datos del servidor WINS. El intervalo de tiempo por defecto para la renovacin es de seis das, el cliente intentar renovar sus registros cuando haya transcurrido el 50% del valor del TTL, Si el servidor WINS no renueva el nombre, el cliente WINS lo intenta renovar de nuevo cada 10 minutos durante 1 hora si pasada la hora no consigue renovar entonces lo intentar con un Servidor WINS Secundario.
Manejo de Rfagas
Es la opcin que permite a un servidor WINS controlar un nmero elevado de peticiones simultneas de registro de nombres, haciendo que el servidor WINS responda al cliente de manera positiva e inmediata a los clientes WINS sin llegar a aceptar la solicitud de registro de nombres. El control de rfagas se inicia cada vez que el nmero de solicitudes de registro de un cliente WINS sobrepasa el lmite establecido en la cola de rfagas establecido en el servidor WINS, si el umbral de cola de rfaga es superado, el servidor WINS responde a las solicitudes adicionales de cliente de inmediato con una respuesta positiva pero con un intervalo de renovacin muy breve (cinco minutos por defecto), que ayuda a regular la carga que supone el proceso de registro de clientes y le permite distribuir el procesamiento de las solicitudes en el tiempo. Como el tiempo de refresco es reducido hace que el cliente este obligado a renovar su registro en poco tiempo, momento en que el servidor WINS puede ser capaz de manejar correctamente la solicitud y escriba la informacin en su base de datos. El umbral del manejo de rfagas es un parmetro configurable. El umbral se puede ajustar a la baja (300), mediano (500), alta (1.000), o un valor personalizado (50 a 5.000). Nota: Cada cliente WINS puede registrar mltiples nombres NetBIOS nicos (1 por cada servicio por ejemplo mensajero, estacin de trabajo y servidor). Por lo tanto, si 400 clientes WINS registran simultneamente despus de un corte de luz, entonces las solicitudes de registros podran llegar a ser 1.200 en una sola rfaga, es recomendable configurar el valor de control de rfagas de acuerdo a su entorno de red.
tipo de nodo que use, habitualmente suele ser un nodo H lo cual intentar resolver el nombre usando una Difusin o comprobando el fichero LMHOSTS.
Todos los sistemas operativos desde Windows 2000 en adelante son por defecto Nodo-B pero si se configura la direccin IP de un servidor WINS entonces asume el mtodo de resolucin Nodo-H, sin embargo el tipo de nodo puede ser configurado usando DHCP o manualmente agregando el valor REG_DWORD denominado NodeType en el Registro bajo la clave HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters los valores vlidos son 1 para Nodo-B, 2 para Nodo-P, 4 para Nodo-M y 8 para Nodo-H. Para saber el tipo de nodo que usa el ordenador se debe ejecutar ipconfig /all en el smbolo del sistema.
Registros de Clientes
La base de datos WINS se compone de registros de clientes, un registro de cliente contiene informacin detallada de cada servicio dependiente de NetBIOS que se ejecuta en un cliente WINS. La informacin en la base de datos es mostrada en forma organizada de acuerdo a la siguiente informacin: Nombre Registrado Es el nombre NetBIOS registrado, que puede ser un nombre nico o puede representar un grupo, un grupo de Internet o un equipo multitarjeta. Tipo .
Es el nombre del servicio que usa NetBIOS acompaado por un identificador de tipo Direccin IP
hexadecimal.
La direccin IP que corresponde al nombre NetBIOS registrados que aloja el servicio NetBIOS. Estado Es el estado del registro en la base de datos, puede ser activo, liberado o desechado (marcado para eliminacin de bases de datos). Esttica Indica si la entrada de registro es esttica (creada por un administrador manualmente). Propietario Identifica el servidor WINS donde se crea la entrada de registro, debido a la replicacin, los registros pueden haber sido creados en otros servidores WINS y agregados a la base de datos. Versin Un nmero hexadecimal nico que el servidor WINS asigna durante el registro del nombre, se utiliza en el proceso de replicacin de extraccin ya que sirve al Partner de rplica para encontrar nuevos registros. Caducidad El lmite mximo de tiempo que un registro se mantiene en la base de datos.
Eliminacin de Registros
Puede recuperar espacio no utilizado por la eliminacin de registros obsoletos en la base de datos WINS para ello desde la consola MMC de WINS al realizar la eliminacin de un registro se muestran las siguientes 2 opciones: .
Eliminacin Simple Se elimina el registro de la base de datos de un slo servidor. Eliminacin desechados Es la eliminacin de los registros que estn marcados para su eliminacin (desechados) de la base de datos WINS slo despus de que se han replicado en las bases de datos de los servidores WINS.
Replicacin de Extraccin
Es el proceso de copia de actualizacin de datos WINS desde un servidor WINS a otro servidor WINS en un intervalo de tiempo especfico configurable. El asociado de replicacin por extraccin se debe utilizar cuando se usen vnculos lentos entre los servidores WINS, esta forma de replicacin limita la frecuencia de trfico de replicacin a travs del vnculo. Por ejemplo, puede programar la replicacin se produzca en horas no pico para evitar la replicacin en los perodos de tiempo con mucho trfico. Es importante tener en cuenta en este modelo de replicacin que una frecuencia de replicacin lenta hace que las bases de datos WINS estn cada vez menos sincronizada produciendo que algunos intentos de resolucin de nombres puedan fallar. Replicacin Insercin Extraccin: la replicacin entre los servidores WINS se efecta de acuerdo a las 2 circunstancias mencionadas anteriormente (por cantidad de modificaciones en la base de datos y por intervalos de tiempos definidos). Si se usa sta manera de replicacin se asegura que la base de datos WINS mantiene sincronizado con independencia de cmo se producen mltiples cambios, en efecto, la replicacin se produce cuando el umbral de cambios llegue, o cuando el perodo de tiempo mximo se supere. Esta es la opcin de configuracin de asociados de replicacin WINS por defecto, sta configuracin es el mtodo ms simple y ms efectivo de asegurar que las bases de datos en estos servidores son casi idnticas en un momento dado.
El servidor WINS compara todas sus entradas con las entradas en los servidores WINS para comprobar que su base de datos contiene las entradas correctas, todos los registros extrados de bases de datos remotas se comparan con los registros de la base de datos local mediante el uso de los controles de coherencia siguientes: Si el registro en la base de datos local es idntico al registro extrado de la base de datos propietario, se actualizan las marcas de tiempo de los registros desde la base de datos del WINS propietario. Si el registro en la base de datos local tiene una versin inferior de identificacin que el registro extrado de la base de datos del WINS propietario, entonces el registro se replica hacia la base de datos local y el registro con la versin ms baja se marca para su eliminacin. Es posible configurar el servidor WINS para comprobar la coherencia de base de datos de forma automtica a una hora predeterminada, o puede invocar el proceso manualmente.
Si el nombre no se puede resolver con DNS mediante el uso de distintos sufijos, la consulta pasa a WINS (Se debe tener en cuenta que debido a la naturaleza jerrquica de los nombres de dominio, no hay garanta de que un nombre sea nico a travs de mltiples dominios y/o bosques, a pesar que un nombre sea nico en un dominio dado, hay un lmite de tiempo de 12 segundos de espera para la consulta, independientemente de cmo muchos sufijos estn configuradas para un cliente DNS, el tiempo de espera har que la consulta sea enviada a WINS, si est disponible). Zona GlobalNames La Zona GlobalNames no es un tipo de zona nueva, pero su nombre reservado lo distingue, el nombre GlobalNames indica al servicio Servidor DNS que se ejecuta en Windows Server 2008 que la zona se va a utilizar para la resolucin de un solo nombre. Para implementar sta zona se recomienda el uso de servicios de Zonas integradas en Directorio Activo (AD DS) que se distribuye a nivel global, puede contener registros DNS para asignar un nombre nico a un nombre de dominio completo (FQDN) utilizando un registro de recursos de nombre cannico (CNAME) el DNS permite entonces el uso del FQDN para resolver el nombre a una direccin IP. El proceso de resolucin de la zona GlobalNames es el siguiente: .
Un usuario escribe en http://servidor1 en la barra de direcciones del navegador en un equipo que est unido al dominio soporte.mcitp.com. El navegador llama al getaddrinfo () para resolver el nombre Servidor1 Getaddrinfo () invoca el cliente DNS para resolver el nombre. El cliente DNS enva las consultas siguientes: (basado en la lista de sufijos de bsqueda): Servidor1.soporte.mcitp.com (error) Servidor1.test.mcitp.com (error) Servidor1.desarrollo.mcitp.com (error) Si las consultas FQDN fallan, el servidor DNS busca en la zona de GlobalNames, si est configurada, y trata de resolver el nombre nico.
En forma predeterminada las consultas enviadas al servidor DNS las intentar resolver primero con los ficheros de Zona DNS en los espacios de nombre y luego pasar a la Zona Globalnames, pero ste comportamiento se puede cambiar para que primero revise la zona GNZ y luego los ficheros de Zona FQDN, para hacerlo se debe lanzar el siguiente comando desde el smbolo del sistema: Dnscmd <servidor> /Config /GlobalNamesQueryOrder (0 1) 0 especifica que GNZ se consulta primero, y 1 primero los ficheros de zona FQDN. La zona GlobalNames slo puede ser creada en Servidores DNS Windows 2008.
Resumen:
Es importante entender que los nombres NetBIOS nicos usados por aos en las redes Microsoft no permiten escalabilidad mientras que el modelo de nombres de dominio o nombres completos FQDN si lo ofrece, es por ello que se sugiere la supresin de los nombres nicos pero tambin es importante decir que usar nombres nicos es ms cmodo que los nombres completos (Las consultas DNS deben ser completas, no por nombres nicos) por sta razn resolver mltiples nombres FQDN requiere soluciones como Reenviadores condicionales o zonas de rutas internas, adems hay que configurar a los clientes DNS con mltiples sufijos de bsquedas para que sean capaces de consultar nombres nicos de hosts que pertenecen a distintos espacios de nombres. Por todas estas razones WINS sigue siendo un servicio utilizado ya que resuelve los nombres independientemente a que espacio de nombres pertenece el host por qu no lo usa. Otra ventaja que aporta WINS es que es un servicio que activa el registro dinmico en la base de datos WINS, creando la informacin en forma rpida, sin carga administrativa. La zona GlobalNames ser una posibilidad de eliminacin del WINS ya que aporta caractersticas que no son posibles en el modo de funcionamiento normal de DNS como es permitir la resolucin de nombres nicos sin que el cliente tenga un sufijo de bsqueda DNS definido.
GNZ (GlobalNames Zone) necesita que el administrador genere entradas de registro DNS de tipo CNAME que estn asociados a los nombres de host que tengan registros A en las zonas DNS en un espacio de nombres. Esto supone una carga administrativa que con WINS al ser dinmico no se tiene. En resumen debemos evaluar varias situaciones, y preguntarnos se deben mantener los nombres NetBIOS activos por alguna razn especial? Si los nombres NetBIOS no son necesarios en que situaciones necesita una organizacin resolver nombres nicos de dominio? Cuntos espacios de nombres se tienen en la organizacin? Es posible agregar Sufijos de bsqueda a los clientes? Es posible usar DNS para resolver nombres nicos con la zona GlobalNames (requiere que los servidores DNS sean Windows 2008)?
Recuerde:
WINS debe ser substituido por DNS porque en versiones futuras no ser incluido, sin embargo si necesita registros dinmicos de nombres nicos la zona GlobalNames no es la mejor opcin Establecer una replicacin WINS depende de la calidad de los enlaces de comunicacin que interconecte los servidores WINS, si es muy baja se sugiere usar Replicacin por Extraccin, si son rpidos se puede usar replicacin por Insercin y si se desea que las bases sean lo ms idnticas posibles se sugiere replicacin Insercin y Extraccin simultneamente. Configurar los clientes con mltiples servidores WINs para mejorar la disponibilidad del servicio.
2. Una vez instalado en las herramientas administrativas encontramos WINS para acceder a la herramienta de administracin.
3. Para instalar el WINS en Windows 2008 con instalacin Server Core ejecutamos en el smbolo del sistema ocsetup WINS-SC.
4. Desde la consola WINS en un servidor remoto podemos agregar el Server Core para administrarlo.
7. El valor seleccionado determinar la cantidad de solicitudes de registro que el Servidor WINS aceptar en un instante sin que el cliente deba volverse a registrar en el ejemplo usamos un valor personalizado de 1500 solicitudes.
8. Para configurar un cliente WINS debemos cambiar la configuracin en las propiedades TCP/IP de las adaptadoras de red, luego en Opciones Avanzadas, pestaa WINS.
10. Para ver las bases de datos del Servidor WINS, en la consola sobre el nodo Registros Activos hacer clic derecho y seleccionar Mostrar Registros.
11. Se abre una nueva ventana que permite filtrar la informacin para buscar en la base segn criterios (por nombre, IP, por servidor WINS (Propietario) por tipo de servicio NETBIOS (Cdigos hexadecimales NetBIOS asociados a los servicios).
13. Como vemos todos los registros son Dinmicos (creados por los equipos automticamente) sin embargo podemos agregar entradas estticas con informacin de clientes no WINS, sobre el Nodo Registros Activos hacer clic derecho y seleccionar Asignacin esttica nueva.
15. En la base de datos veremos que la entrada esttica crea 3 registros de nombre de mquina con los servicios estacin de trabajo, Mensajero y servidor de ficheros, como se ve en la columna caducidad los registros estticos no tienen una fecha de vencimiento por tanto garantiza que no sern eliminados a menos que un administrador lo haga manualmente.
16. Cuando un registro en la base de datos alcanza una fecha de caducidad, entonces el registro se considera obsoleto, WINS limpia los registros obsoletos en forma automtica (Intervalo de tiempo de espera de Extincin) para conocer dichos intervalos. En las propiedades del Servidor, pestaa intervalos vemos que por defecto los tiempos son de 40 minutos, si pinchamos en Restaurar predeterminados entonces se establecen los valores ms comunes en WINS.
2. Escribimos la direccin IP o el nombre del servidor WINS con el que se har la replicacin y aceptar.
3. El Servidor es agregado como Asociado por Insercin / Extraccin en forma predeterminada, pero esto se puede cambiar o definir los umbrales especficos para que se produzca la rplica. Hacer clic derecho sobre el asociado de replicacin y luego Propiedades
5. Los asociados de replicacin siempre se configuran para replicar la base en un solo sentido, en ste caso el Servidor DC2008 replicar informacin del servidor core2008 pero no al contrario, por tanto se debe configurar ahora en el servidor core2008 a dc2008 como asociado de replicacin y entonces la comunicacin y la sincronizacin ser en doble sentido.
6. Para comprobar si la rplica ha tenido lugar en cualquiera de los 2 servidores en el nodo de Registros Activos mostramos la base de datos, en la columna Propietario podemos ver las direcciones IP de los 2 servidores y la base con toda la informacin de registros de las 2 bases de datos, sino aparece an podemos forzar la replicacin, haciendo clic derecho sobre el asociado de rplica e Iniciar las rplicas necesarias.
7. Volvemos a consultar la base de datos, observar la columna propietarios (se puede saber cules son los registros replicados desde otros servidores).
4. Se recomienda que la zona se integre en el Directorio Activo para mejorar aspectos de replicacin y modificacin en cualquier servidor DNS
5. Al integrar la zona en el dominio debemos establecer el alcance de la replicacin de la zona es recomendable que sea replicada a todos los servidores DNS del bosque.
7. Las actualizaciones dinmicas no son permitidas para sta zona, por tanto la funcin de un administrador es generar los registros CNAME (alias) de los nombres FQDN de los hosts que hagan parte de cualquier Espacio de nombres.
Zona
GlobalNames
usar
el
comando
DNSCMD
/config
11. Ahora debemos crear registros CNAME de los hosts FQDN a resolver: En la zona hacer clic derecho y Alias nuevo (CNAME).
14. Ahora probamos si haciendo uso de un nombre nico responde usando el Servidor DNS.
Introduccin
DHCP juega un papel importante en la infraestructura de red de Windows 2008 ya que es el principal medio para la distribucin y configuracin del protocolo TCP/IP en una red, este servicio incluye aspectos importantes para muchos otros servicios tales como WDS (Servicio de Despliegue de Windows) y NAP (Proteccin de Acceso a Redes). DHCP es un servicio que utiliza una base de datos local donde almacena todos los aspectos de configuracin de direccionamiento IP junto a otras opciones, debemos entonces intentar mantener esta base de datos libre de error protegida y con posibilidades de buscar tolerancias a fallos asignando otras bases de datos en nuevos servidores DHCP. Desde el punto de vista administrativo cuando un servidor DHCP falla representa un nivel muy alto de interrupciones dentro una organizacin. Las tareas administrativas que se tienen que desarrollar cuando instalamos un servicio DHCP comienzan desde la toma de las copias de seguridad, restauraciones cuando sean necesarias, identificacin de problemas por asignacin de configuraciones equivocadas, vigilar el correcto rendimiento y funcionamiento de este servicio.
Definiciones
Generalidades de la Funcin Servidor DHCP
El protocolo DHCP simplifica la configuracin de IP de los clientes de un entorno de red, sin la utilizacin de DHCP cada vez que se agrega un cliente a una red se debe configurar con informacin sobre la red en la que se est instalando, incluyendo la direccin IP, la mscara de la red y la puerta de enlace predeterminada para el acceso a otros redes manualmente, ahora, cuando se necesita para controlar muchos ordenadores en una red, ste proceso requerir mucho tiempo provocando demasiada carga a los administradores. Con la funcin de servidor DHCP, se asegura que todos los clientes tienen la misma informacin de configuracin, se elimina el error humano durante la configuracin, si hay cambios en la informacin de configuracin de la red se puede actualizar utilizando la funcin de servidor DHCP sin tener que cambiar la informacin directamente en cada equipo. DHCP tambin es un servicio importante para los usuarios mviles que suelen cambiar de redes porque de sta manera se autoconfiguran rpidamente evitando que un administrador tenga que dar .
informacin compleja de configuracin de red a usuarios no tcnicos, y a su vez los usuarios no tienen por qu saber configuraciones de redes. Caractersticas de DHCP en Windows Server 2008: Soporte para IPv6 La configuracin con estado y sin estado DHCPv6 es compatible con la configuracin de los clientes en un entorno IPv6, configuracin con estado se produce cuando el servidor DHCPv6 asigna la direccin IP al cliente, junto con otros datos DHCP; Configuracin sin estado se produce cuando la direccin IPv6 es auto asignada por el cliente y el servidor DHCPv6 slo asigna los datos de DHCP. Network Access Protection (NAP) Con DHCP ayuda a aislar los equipos potencialmente inseguros (No cumplen con las expectativas de seguridad deseada en una organizacin) de la red corporativa, NAP es parte de un conjunto de herramientas nuevas que controla el acceso a recursos de red; DHCP NAP permite a los administradores asegurar que los clientes DHCP cumplen con las polticas de seguridad interna. Puede instalar DHCP como una funcin en Windows Server 2008 con instalacin Server Core, la administracin del servidor DHCP Core, puede hacerse a travs de interfaz de lnea de comandos o usando una consola DHCP instalada desde otros servidor.
emite un DHCPREQUEST que contiene un identificador de servidor que informa a los servidores DHCP que reciben la difusin por cual servidor ha optado por aceptar el DHCPOFFER. Los servidores DHCP reciben el DHCPREQUEST, los servidores cuyo DHCPREQUEST no fue aceptado usan el paquete como notificacin que el cliente ha rechazado la oferta del servidor; el servidor elegido almacena la informacin de direccin IP del cliente en la base de datos DHCP y responde con un mensaje DHCPACK. Si por alguna razn el servidor DHCP no puede proporcionar la direccin que ofreci en el DHCPOFFER inicial, el servidor DHCP enva un mensaje DHCPNAK.
Para crear los mbitos se puede hacer usando la consola de administracin DHCP instalada cuando se agrega la funcin servidor DHCP o usando el comando NETSH (si se desea incluir en ejecuciones de script o para administrar un DHCP en instalacin Server Core).
Opciones de DHCP
Los servidores DHCP pueden configurar datos adicionales a la direccin IP, proporcionando informacin sobre los recursos de red, como servidores DNS y la puerta de enlace predeterminada. Las opciones de DHCP se pueden generar a nivel de servidor, de mbito, de reserva, segn tipo de usuario y por proveedor. Un cdigo identifica la opcin en DHCP y estn definidos en RFC generados por IETF, los ms comunes son: 1 Mscara de subred 3 Puerta de enlace 6 servidores DNS .
15 nombres de dominio DNS 44 Servidores WINS / NBNS (NetBIOS Name Servers) 46 Tipo de Nodo WINS / NetBT (NetBIOS Type) 47 ID de mbito NetBIOS 51 tiempo de concesin 58 Renovacin (T1) valor de Tiempo de Renovacin 59 Revinculacin (T2) valor del tiempo de revinculacin 31 Realizar descubrimiento de enrutador 33 rutas estticas 43 informacin especfica del proveedor 249 rutas estticas sin clase.
Reservas DHCP
Una reserva DHCP se produce cuando una direccin IP dentro de un mbito se reserva para su uso con un cliente DHCP concreto, a veces se hace necesario establecer servidores e impresoras con una direccin IP fija asegurndonos que las direcciones IP no sean asignadas a otros dispositivos, tambin asegura que los dispositivos con las reservas tengan la direccin IP incluso si el mbito agota las direcciones, permite centralizar la administracin de direcciones IP fijas. La configuracin de una reserva DHCP permite asignar opciones, estos ajustes anulan todas las dems opciones de DHCP que se configure en los niveles superiores. Para configurar una reserva, se debe saber cul es la MAC del dispositivo, esto indica al servidor DHCP que el dispositivo debe tener una reserva, para conocer la direccin MAC utilice el comando ipconfig /all.
Disponibilidad DHCP
.
Al configurar mbitos y opciones DHCP considere una cantidad de direcciones IP para asignar y otro tanto ms para que sean usadas en soluciones de tolerancia a fallos, se recomienda tener ms de un servidor DHCP en la red para que en el caso que un servidor falle, un servidor de respaldo DHCP estar en su lugar para seguir concediendo direcciones IP. La cantidad de direcciones IP que un mbito debe tener siempre debera ser como mnimo un 20% ms de la totalidad de clientes que recibirn direcciones IP desde el Servidor DHCP, cuando se planee usar ms de un Ser DHCP, la configuracin correcta es repartir las direcciones IP de la subred en ambos servidores usando la regla 80/20 (Un Servidor define un mbito con el 80% de las direcciones IP, mientras que el segundo servidor define un mbito con el 20% de las direcciones IP restantes. Esto mejora la disponibilidad del servicio DHCP si uno de los servidores falla.
Las posibles causas por las que una base de datos DHCP aumenta su tamao pueden ser: Ms clientes, Servidores, Subredes (nuevos) conectados en Red.
La base de datos del servidor DHCP es dinmica, en ella se registran todas las actualizaciones de los clientes DHCP cuando se les asigna o liberan sus parmetros TCP/IP, pero sta base no ofrece la posibilidad de ser distribuida como la base de datos del WINS por lo que no se puede replicar a otros servidores DHCP. El Servicio DHCP est configurado para hacer copias de seguridad automticas cada 60 minutos por defecto, se puede cambiar este valor, cambiando el valor de BackupInterval en la clave del Registro:HKLMSYSTEMCurrentControlSetServicesDHCPServerParameters.
%systemroot%System32DhcpBackup. Como recomendacin se puede modificar esta ruta para que apunte a otro volumen. La copia Manual se realiza si es necesario hacer la copia en un momento dado, se puede ejecutar la opcin de copia de seguridad en la consola DHCP y requiere permisos administrativos bien sea por ser Administrador Local del Servidor o por pertenecer al grupo de administradores de DHCP. Al realizar una copia de seguridad toda la base de datos DHCP se guarda, esto incluye todos los mbitos, supermbitos y mbitos de multidifusin, Reservas, Concesiones, Opciones de Servidor, las opciones adicionales creadas por un administrador, opciones de bsqueda y opciones de clase, todas las claves del Registro y otras opciones de configuracin (por ejemplo, la configuracin de registro de auditora y los ajustes de ubicacin de la carpeta) que se almacenan en la siguiente subclave de Registro: HKLMSYSTEMCurrentControlSetServicesDHCPServerParameters
Proceso de restauracin
Si se tiene que restaurar la base de datos, es posible hacerlo desde la funcin Restaurar en el servidor DHCP de la consola, se debe introducir la ubicacin de la copia de seguridad despus el servicio DHCP se detiene y la base de datos ser restaurada, para restaurar la base de datos, el usuario debe tener permisos administrativos o debe ser miembro del grupo de administradores de DHCP.
Desde el smbolo del sistema ejecute: NETSH DHCP export c:\Micarpeta\DHCP (Copia de seguridad) y para restaurar usar el comando: Netsh DHCP import "c:\Micarpeta\DHCP"
Estadsticas DHCP
Proporcionan informacin sobre la actividad y el uso de DHCP, pueden servir para determinar rpidamente si hay un problema con el servicio de DHCP o con los clientes de la red DHCP, un ejemplo en que las estadsticas pueden ser tiles es si el administrador observa una cantidad excesiva de paquetes confirmacin negativa (NACK) que puede indicar que el servidor no est proporcionando los datos correctos a los clientes. Las estadsticas mostradas en la consola pueden ser sobre todo el Servidor o por mbito.
Seguridad en DHCP
El protocolo DHCP no tiene un mtodo incorporado para la autenticacin de usuarios lo que significa que si no se toman precauciones las concesiones podran ser dadas a dispositivos y usuarios que tienen intenciones maliciosas. Las razones para asegurar DHCP son: Evitar que un usuario no autorizado obtenga una concesin: DHCP puede ser difcil asegurarlo en si, por que el protocolo est diseado para trabajar antes que informacin necesaria de autenticacin tenga lugar con un controlador de dominio; las precauciones bsicas que podramos tomar para limitar el acceso no autorizado incluyen: asegurarnos de reducir el acceso fsico ya que si un usuario se conecta a la red a travs de una conexin activa podr obtener una direccin IP, por lo tanto se sugiere que desconecte los puntos de red libres de la infraestructura de swith; active el registro de auditora en todos los servidores DHCP esto le proveer una vista de la actividad y poder hacer un seguimiento de direcciones IP obtenidas por usuarios maliciosos, tambin puede exigir autenticacin a los usuarios a travs de tecnologas como 802.1X y finalmente puede implementar NAP para validar las configuraciones de cumplimiento de seguridad en los clientes de la red. Restringir servidores DHCP no Microsoft que no estn autorizados para conceder direcciones IP: Muchos dispositivos de red tienen implementaciones de servidores DHCP, en muchos casos podemos encontrar que es posible que estos servidores DHCP no se comprueben en el directorio activo y por tanto estarn habilitados para conceder informacin a los clientes que puede ser incorrecta, para eliminar los servidores DHCP no autorizados debe localizarlos y desactivarles la comunicacin en red fsicamente o desactivarles el servicio DHCP. Se puede utilizar servidores DHCP no autorizados con una utilidad llamada DHCPLOC.EXE lo que sirve para encontrar servidores DHCP activos en una red. Restringir la administracin del DHCP: el grupo incorporado administradores DHCP es un grupo local creado por el servicio para restringir y conceder acceso al servidor DHCP y poderlo administrar, existen dos grupos agregados: administradores DHCP (para gestionar el servicio de servidor DHCP) y el grupo usuarios SHCP (pueden tener acceso de solo lectura a la consola de administracin.)
Resumen
Podemos concluir que DHCP ayuda a los administradores a hacer ms ligera la carga administrativa que supone el hecho de configurar los equipos de una red con el protocolo TCP/IP en forma controlada y eficiente, este servicio permite a los administradores realizar cambios de infraestructura y en consecuencia esperar a que los clientes actualicen su informacin en forma automtica, sin embargo debemos conocer que la debilidad de DHCP est en la perdida de la base de datos del servicio, lo cual nos provoca problemas bastante graves en una red, para evitarlo considere siempre utilizar al menos dos servidores DHCP cuyos mbitos estn relacionados entre s, distribuyendo la totalidad de las direcciones IP entre ellos pero evite solapar las direcciones IP en distintos mbitos. Realizar copias de seguridad constantemente y vigilar el rendimiento del servidor permitirn que su red se mantenga estable y libre de errores por falta del servicio DHCP. .
Es necesario entender que en una red adoptamos este servicio y no controlamos los puntos de conexin a la red podemos sufrir ataques que nos degradaran la fiabilidad de nuestra red.
Recuerde
El DHCP de Windows necesita ser autorizado por un usuario administrador de empresa para que el servicio pueda empezar a conceder direcciones IP. Si se utiliza un DHCP para conceder configuracin IP a mltiples subredes considere implementar agentes de retransmisin DHCP. Cuando un cliente DHCP no consiga contactar el servidor DHCP como resultado veremos que el cliente adopta una direccin IP del rango de APIPA (169.254.0.0) Considere implementar mltiples servidores DHCP para conseguir tolerancia a fallo aplicando la regla 80/20 en los mbitos del DHCP. Si necesita asignar direccionamiento IP fijo a ciertos dispositivos de red, puede implementar reservas. Cuando las direcciones IP en un servidor DHCP empiecen a escasear por que el rango IP est en sus lmites intente ampliar el rango IP, y si no es posible reduzca el tiempo mximo de la concesin y as liberar direcciones IP ms rpido.
2. El asistente de instalacin del Servicio DHCP nos permite configurar el Servicio durante la instalacin, el primer paso es habilitar en las adaptadoras de red la posibilidad de recibir y enviar paquetes de .
DHCP (Enlazar), en escenarios donde un servidor contenga mltiples tarjetas de red y no todas se usan para recibir solicitudes de clientes DHCP entonces podemos desvincular algunas adaptadoras de red para que no sean usadas por DHCP.
3. A continuacin nos pide informacin acerca del servicio DNS, detecta sta informacin de acuerdo a lo configurado en las propiedades de red del Servidor DHCP.
5. Incluso podemos crear los mbitos que el servidor DHCP usar sin embargo no lo crearemos en ste caso ahora, se har ms adelante.
6. El siguiente paso nos permite decidir la funcin que tendr el Servidor DHCPv6 en la infraestructura IPv6, configuracin Sin estado en IPv6 significa que los clientes se autoconfigurarn una direccin IPv6 y el servidor DCHP slo se usar para configurar las opciones adicionales (Sufijo y Servidores DNS, etc) en la siguiente unidad veremos cmo se configura IPv6. 7. En ste caso dejar Activado el modo sin estado que ser utilizado ms adelante.
8. Al Activar el Modo sin estado, el asistente pregunta la configuracin de opciones DNS para IPv6, en ste paso pinchar en siguiente, en el siguiente captulo se configurarn.
9. El asistente incluso permite Autorizar el servidor DHCP en Directorio Activo, seleccionamos omitir ste paso en el asistente (se har ms adelante).
10. Pinchar en Instalar si la configuracin seleccionada es correcta, espere hasta que la instalacin finalice correctamente.
11. El Servidor aunque ste instalado no empezar a emitir direcciones IP hasta que sea autorizado, como vemos el servicio se muestra con una flecha roja abajo (Desactivado).
12. La autorizacin del servidor DHCP necesita que el servidor sea registrado en Directorio Activo por un Administrador de Empresa (ste grupo slo existe en el domino raz de bosque y por defecto el nico usuario en el grupo es la cuenta incorporada Administrador del Dominio raz del bosque) 13. Para registrar el servidor abrir la consola DHCP desde herramientas administrativas y a continuacin hacer clic derecho sobre el servidor (si el usuario con el que se ha iniciado sesin es administrador de empresa) y seleccionar la opcin Autorizar.
14. Si Autorizar no aparece posiblemente no tienes los derechos suficientes para realizar sta accin, otra forma de autorizar es hacer clic derecho sobre la opcin DHCP de la consola de administracin y seleccionar la opcin Administrar Servidores Autorizados.
18. El servidor ahora debe listarse en la ventana con los servidores DHCP Autorizados, Pinchar en Cerrar.
19. Cuando el servidor sea Autorizado podemos ver el estado con flecha verde arriba (Activo para emitir direcciones IP).
5. A continuacin definimos un rango de direcciones IP que sern otorgadas por el Servidor DHCP a los clientes que lo soliciten, es importante tener en cuenta lo aprendido en el Mdulo 6 para configurar correctamente el Identificador de Red, la mscara de subred (determinan la cantidad mxima de direcciones IP a usar en un esquema de direcciones IP) en ste caso usamos la red 192.168.100 (Red Clase C) con una mscara de 24 bits lo cual deja como posibilidad emitir hasta 254 direcciones, sin embargo en el ejemplo slo se usarn algunas direcciones IP de las 254 para que sean usadas por DHCP.
6. Es posible que dentro del rango de direcciones IP configurado en la red existan direcciones IP que ya han sido dadas a dispositivos como direccionamiento IP fijo, entonces esas direcciones debemos excluirlas para que el DHCP no las conceda y evitar as un conflicto, en el ejemplo excluimos un rango de 6 IP.
8. Ahora el asistente continuar con las opciones del DHCP, en ste punto seleccionar que las configuraremos posteriormente.
9. El asistente recuerda que debes configurar las opciones y activar el mbito para que los clientes reciban la configuracin IP.
10. El mbito ser mostrado en la consola, para activarlo hacer clic derecho en l y seleccionar la opcin activar.
12. Para comprobar si el servidor DHCP emite direcciones IP del mbito configurado, usaremos un cliente Windows Vista como cliente DHCP, para configurar un cliente DHCP ir al panel de control
16. Se pide elevacin de privilegios, pinchar en Continuar, luego seleccionar Protocolo TCP/IP versin 4 y luego propiedades.
17. Por defecto un Cliente Windows Vista es un Cliente DHCP por que obtiene IP y DNS automticamente, pinchar en Aceptar.
18. Para ver si el Servidor DHCP ha otorgado configuracin IP al cliente, salir al smbolo del sistema y ejecutar comandos IPCONFIG /all (ver configuracin). Observe que el cliente tiene una IP en el rango 192.168.100 y le ha sido asignada la primera direccin del rango (50), note tambin la direccin IP del Servidor DNS, el sufijo de bsqueda, WINS y del Servidor DHCP que asigna la IP y la duracin de la concesin. Tambin podemos ver que sin embargo no ha recibido configuracin de puerta de enlace (Gateway) que define la direccin IP de un enrutador que le permitira conectarse con otras redes.
19. Para poder asignar el parmetro de Puerta de enlace en el servidor podemos agregar sta opcin, para ello sobre el mbito creado buscar el nodo Opciones de mbito, hacer clic derecho y seleccionar configurar opciones, note que en las opciones existentes hay algunos parmetros como Sufijo DNS (015), Servidores DNS (06), Servidores WINS (044) que fueron creados durante el proceso de instalacin del Servicio DHCP.
20. Para agregar la puerta de enlace agregamos la opcin Enrutador (03) y escribir la direccin IP del Enrutador y Aceptar.
21. La opcin de mbito ser mostrada junto a las opciones de Servidor creadas durante la instalacin del servicio.
22. Para que ste cambio surta efecto en el cliente debemos esperar a que el cliente cumpla el 50% de la concesin y se actualice o podemos forzar la actualizacin en los clientes usando el comando IPCONFIG /Release (Liberar) y luego IPCONFIG /Renew (Renovar). Esta operacin requiere elevacin de privilegios en Windows Vista, por tanto el smbolo de sistema debe ser abierto como Administrador.
23. Sobre el icono del smbolo del sistema clic derecho y Ejecutar como Administrador.
26. Ahora ejecutar el comando IPCONFIG /Renew, notar que el valor de la puerta de enlace se ha actualizado.
Introduccin
Despus de muchos aos conviviendo con los entornos de red con el protocolo TCP/IP (versin 4) vemos la necesidad de aumentar las prestaciones de las redes actuales por distintos motivos tales como ampliacin del espacio de direcciones, ms seguridad, facilidad en el manejo de direcciones, mejor rendimiento, estas y muchas ms ventajas se incorporan en la nueva versin del protocolo TCP/IP (versin 6) que ya viene integrado en los sistemas operativos Windows Vista y Windows Server 2008; IPv6 es una tecnologa fundamental que nos permitir soportar el crecimiento de usuarios y dispositivos que utilizan los servicios de Internet. IPv6 fue diseado para subsanar todos aquellos inconvenientes conocidos en IPv4 pero tambin es muy importante reconocer que el cambio es drstico y que la implementacin de un entorno slo IPv6 se tardar muchos aos, es por ello que nuestra funcin debe ser empezar a implementar sta infraestructura e ir probando nuestros entornos para ver que comportamiento tienen con ella, por ello todos los procesos de migracin empiezan verificando los tipos de Nodo que componen cada una de nuestras redes, esto nos permite conocer si es posible implementarles IPv6. Tambin es necesario para poder implementarlo conocer cmo funciona, como se configura y que implicaciones de administracin conlleva ya que para empezar un proceso de migracin podemos usar tecnologas de tnel que nos permitir mantener un entorno de red en IPv4 pero adems podemos a empezar a ver el comportamiento de una red con IPv6 en los hosts; Una transicin exitosa a IPv6 exige la convivencia provisional de los nodos IPv6 en entornos IPv4; mientras tanto no debemos dejar de lado IPv4 porque sta de momento seguir siendo el estndar IP para la mayora de las aplicaciones y servicios de Internet en la actualidad.
Definiciones
Generalidades de IPV6
IPv6 es una tecnologa que ayudar fundamental a asegurar que Internet puede soportar la creciente base de usuarios y el nmero de dispositivos habilitados para IP cada vez mayor, el Protocolo actual de Internet versin 4 (IPv4) ha servido de base a Internet desde hace casi 30 aos, por lo que su robustez, escalabilidad y un conjunto de caractersticas ms limitadas ahora se enfrentan a la creciente necesidad de nuevas direcciones IP, debido en gran parte al rpido crecimiento de nuevos dispositivos para redes. IPv6 lentamente se est volviendo ms comn, si bien la adopcin puede ser lenta, es importante entender cmo esta tecnologa afectar a las redes actuales y la manera de integrar IPv6 en las redes. Espacio de direcciones ms grande .
Un espacio de direcciones de 32 bits permite 4.294.967.296 de direcciones posibles, el nuevo espacio de direcciones es de 128-bit que permite 340 undecillones de direcciones IP posibles. Direccionamiento y enrutamiento de la infraestructura de Red en forma Jerrquica: El espacio de direcciones IPv6 ha sido diseado para ser ms eficiente para los enrutadores, lo que significa que aunque hay muchas ms direcciones, los enrutadores pueden procesar los datos de forma mucho ms eficiente debido a la optimizacin de la direccin. Configuracin de direcciones IP Sin estado y con estado IPv6 tiene la capacidad de la auto-configuracin sin el uso del protocolo DHCP, los hosts pueden encontrar la informacin en el enrutador para que puedan acceder a Internet (configuracin de direcciones sin estado). Una configuracin de direcciones con estado es cuando se utiliza el protocolo DHCP v6, sta configuracin cuenta con dos niveles de configuracin: una en la que DHCP proporciona toda la informacin de direccionamiento IP (Direccin, Subred, Opciones) y la segunda donde slo proporciona slo la informacin de subred. Seguridad integrada IPv6 tiene un extra de seguridad IP incorporado, mientras que en IPv4 es una extensin del protocolo (es opcional), esto facilita la configuracin de las conexiones de red en forma segura. En IPv4 modificar la IP de origen, de destino o los puertos de la comunicacin puede invalidar los datos de IPsec, ste es uno de los problemas cuando los hosts de IPv4 deben atravesar dispositivos NAT (Traduccin de direcciones). IPv6 vuelve a restaurar las comunicaciones punto a punto porque NAT fue concebido para prolongar la vida de direcciones IP pblicas IPv4. Establecimiento de prioridades en la entrega de paquetes IPv6 contiene un campo en el paquete que permite a los dispositivos de red determinar que el paquete debe ser procesado en un valor determinado. Esto permite la priorizacin de trfico, la cual consiste en darle mayor prevalencia a la transferencia de datos que pertenezcan a un protocolo especfico, se puede definir la prioridad en funcin del tiempo de entrega de paquetes que se necesite. Deteccin de vecinos IPv6 detecta mejor otros dispositivos y hosts en su red local, utiliza esta propiedad para crear redes entre 2 equipos a travs del cual se puede compartir la informacin. Extensibilidad IPv6 ha sido diseado de manera que se puede ampliar con menos limitaciones que IPv4.
Soporte IPsec: IPv4 (opcional) en IPv6 (Obligatorio). Priorizacin de paquetes: en IPv4 No hay identificacin calidad de servicio (QoS) se consigue manipulando la prioridad en los enrutadores, mientras que en IPv6 las etiquetas de QoS se generan en los encabezados de IPv6 utilizando el campo Etiqueta de Flujo. La fragmentacin de paquetes: IPv4 se fragmenta tanto en hosts como en enrutadores mientras que en IPv6 slo se fragmenta en los hosts. Suma de Comprobacin (Checksum) en el Encabezado: IPv4 lo incluye, IPv6 No. Opciones de encabezado: IPv4 incluye todas las opciones, IPv6 mueve las opciones a cabeceras de extensin. IPv4 usa ARP para vincular direcciones IP a direcciones MAC usando difusiones mientras que IPv6 lo hace por Multicast mediante el uso de paquetes de Mensajes de Solicitud de Vecinos. IGMP de Ipv4 tambin es reemplazado por otro paquete Multicast Mensajes MLD. EL protocolo ICMP para descubrimiento de enrutadores que es opcional y que sirve en IPv4 para determinar la direccin IP del mejor enrutador para usarlo como puerta de enlace, se sustituye por Mensajes de solicitud de enrutador y anuncios de enrutados en ICMPv6 y son de carcter obligatorio. Direcciones usadas en difusiones que envan trfico a todos los equipos de la red en IPv4 no existen en IPv6 en su lugar, utiliza una direccin Multicast de mbito enlace local a todos los nodos. IPv4 se debe configurar manualmente o mediante DHCP, IPv6 no requiere configuracin manual o DHCP. Ipv4 usa registros A en DNS para los mapas de nombres de host y las direcciones IPv4; Ipv6 usa registro de host (AAAA) en DNS que une un nombre de host a una direccin IPv6. Las zonas de bsqueda inversa usan registros de puntero (PTR) en una zona de DNS IPv4 llamada IN-ADDR.ARPA y en una zona DNS IPv6 llamada IP6.ARPA. El tamao de paquete en IPv4 es 576-bytes (posiblemente fragmentado), IPv6 soporta un tamao de paquete de 1280 bytes (sin fragmentacin).
Algunas equivalencias de IPv4 en IPv6 Direccionamiento IP basado en clases no aplica en IPv6. Las direcciones de multicast (224 al 239) equivalen a direcciones IPv6 multicast (ff00::/8). Direcciones de difusin no se aplican en IPv6. Una direccin no especificada 0.0.0.0 en IPv6 es :: Direcciones de prueba 127.0.0.1 en IPv6 es ::1 Las direcciones IP pblicas equivalen a las direcciones unicast globales en IPv6. Los rangos de direcciones IP privadas (10.0.0.0, 172.16.0.0 y 192.168.0.0) corresponden a direcciones de sitio local IPv6 (FEC0::/10). Direcciones configuradas automticamente (169.254.0.0) equivalen a direcciones locales de vnculo IPv6 (FE80::/64) La representacin de texto para la direccin IP en versin 4 es notacin decimal con puntos mientras que en IPv6 la representacin del texto es formato hexadecimal con 2 puntos y acepta supresin de ceros a la izquierda y la compresin de ceros. Representacin de bits de red: IPv4 usa la mscara de subred en notacin decimal con puntos o un prefijo de longitud de mscara. En IPv6 slo se usan prefijos de longitud.
Windows Vista y Windows Server 2008 usan una implementacin de doble capa lo que significa que slo usa una implementacin TCP y UDP para los 2 direccionamientos IP, es conocido como TCP/IP NG (Next Generation). Las ventajas de la doble capa es que como los 2 protocolos comparten un transporte comn simplifica tareas de mantenimiento (reduce controladores y libreras). Los 2 protocolos se activan por defecto y como resultado el rendimiento es mucho mayor.
0010111100111011
0000001010101010
Ahora cada bloque de 16-bits expresados con cuatro caracteres hexadecimales delimitados con dos puntos: 2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A Es posible seguir simplificando la representacin de la IPv6 eliminando los ceros iniciales dentro de cada bloque de 16-bit: 2001:DB8:0:2F3B:2AA:FF:FE28:9C5A La compresin de ceros simplifica la notacin IPv6 an ms, el ordenador reconoce "::" y la sustituye con el nmero de ceros necesarios para realizar la adecuada direccin IPv6. En el ejemplo podemos expresar la direccin utilizando la compresin de ceros: 2001:DB8::2F3B:2AA:FF:FE28:9C5A Para determinar el nmero de bits 0 que estn representados por la "::", se cuenta el nmero de bloques en la direccin comprimida, luego restar ese nmero de ocho, y luego multiplicar el resultado por 16; en el ejemplo anterior, hay siete bloques, Resto 7 de 8, luego multiplicamos el resultado (1) por 16, por lo tanto hay 16 bits o 16 ceros en la direccin donde se encuentra el doble dos puntos. En una direccin IP slo se puede usar una sola vez los 2 :: o de lo contrario no se puede determinar el nmero de bits 0 que est representando.
Prefijos IPv6
Al igual que el espacio de direcciones IPv4, el espacio de direcciones IPv6 se divide para asignar porciones del espacio de direcciones disponibles para varias funciones; los bits de orden superior (los bits que estn en el principio de la direccin IPv6 de 128 bits) definen las reas o porciones en las que se divide el espacio de direcciones de forma esttica y sus valores fijos se conocen como un formato de prefijo. IANA (Internet Assigned Numbers Authority) gestiona IPv6 y es el organismo que se ha encargado de precisar sta divisin del espacio de direcciones IPv6 y de establecer los formatos de prefijos, de la siguiente manera: Reservado 00000000 1/256 Reservado para NSAP 0000001 1/128 Direcciones Unicast Globales 001 (empiezan con 2 o 3) 1/8 Direcciones Unicast de Vnculo Local 1111111010 (Empiezan con FE8) 1/1024 Direcciones Unicast de Sitio Local 1111111011 (Empiezan con FEC0) 1/1024 Direcciones Multicast 11111111 (Empiezan por FF) 1/256 El resto de espacio de direcciones IPv6 no est asignado.
El conjunto actual de direcciones unicast que se puede utilizar con los nodos IPv6 consta de direcciones globales y locales de vnculo y representan slo el 15% del espacio de direcciones IPv6 completo. Los prefijos IPv6 son la parte de la direccin que indica los bits que tienen un valor fijo o que son los bits del prefijo de subred; para las subredes IPv6, enrutadores y rangos de direcciones son expresados de la misma forma que CIDR (Classless Inter-domain Routing) en IPv4, el prefijo se escribe en connotacin Direccin/longitud-de-Prefijo, Ejemplos: 31DA:db8::/48 31DA:DB8:0:10::/64 Aunque la connotacin en IPv4 y en IPv6 parezca igual no tienen el mismo significado, ya que en IPv4 denota la cantidad de bits usados para la red (con valor 1) en la mscara de subred, pero para IPv6 sta connotacin indica una longitud de prefijo porque IPv6 no usa Mscaras de subred.
De bucle: equivalente a 127.0.0.1 es ::1 Direcciones unicast locales nicas: Las direcciones de Sitio local IPv6 proveen direcciones privadas como alternativa al uso de direcciones unicast globales para el trfico en una intranet, sin embargo el prefijo de una direccin de sitio local puede estar duplicado porque ste puede ser utilizado en mltiples sitios dentro de una organizacin; la ambigedad de las direcciones de sitio local agrega ms complejidad y dificultad para Enrutadores y las aplicaciones. Los primeros 7 bits fijos (1111110) genera el prefijo FC00::/7 en todas las direcciones unicast locales nicas, el bit 8 es un indicador (Indicador L de LOCAL) si se activa en 1 indica una direccin local, 0 no se ha definido an, entonces una direccin local nica que tenga el identificador L en 1 usar el prefijo FD00::/8 Direcciones IPv6 asignadas a Hosts y a Enrutadores: Un host IPv6, incluyendo aquellos con una nica interfaz, tpicamente posee mltiples direcciones IPv6, de forma predeterminada, las direcciones locales de vnculo se configuran automticamente para cada interfaz en cada host o enrutador IPv6 (para comunicarse con hosts vecinos y descubrir otras .
configuraciones en routers o DHCP en IPv6), pero para poder comunicarse con nodos que no sean vecinos el host tambin debe estar configurado con direcciones unicast locales de sitio o globales, el host obtendr las direcciones adicionales, utilizando un mecanismo de anuncios de enrutador o por configuracin manual (se puede usar el comando netsh interface ipv6 para configurar manualmente las direcciones IPv6) En resumen un hosts IPv6 puede configurar los siguientes tipos de direcciones: Direcciones Unicast: Una direccin local de vnculo para cada interfaz, una direccin local de sitio para cada interfaz, una o ms direcciones globales para cada interfaz, la direccin de bucle invertido para la interfaz de bucle invertido. Direcciones de Multicast (para escuchar el trfico de multidifusin): De interfaz local a todas las direcciones de los nodos (FF01::1); De vnculo local a todas las direcciones de los nodos (FF02::1); La direccin multicast de solicitudes de nodo en cada direccin unicast de cada interfaz; La direccin de multidifusin para cada grupo al que se ha unido cada interfaz. Adems, los enrutadores IPv6 tambin tienen las siguientes direcciones: Direcciones Multicast: De interfaz local a todas las direcciones de los enrutadores (FF01::2); de enlace local a todas las direcciones de enrutadores (FF02::2); de Sitio local a todas las direcciones de los Enrutadores (FF05::2). Direcciones Anycast: Una direccin Anycast (Cualquier enrutador siguiente ms prximo) de Enrutamiento de Subred por cada subred, otras direcciones Anycast opcionales.
IDs de Zona
A diferencia de las direcciones globales, las direcciones de uso local (de vnculo local y de sitio local) pueden volver a ser utilizadas en cada enlace por lo que stas direcciones presentan ambigedad debido a esta capacidad de reutilizar la direccin, por lo tanto es necesario que ste tipo de direcciones tengan un identificador que nos permita saber qu direccin est configurada sobre cual vnculo, o donde est localizada, o dentro de cual sitio la direccin est asignada o localizada. Este identificador es el ID de Zona o ID de mbito, se identifica en una direccin IPv6 de uso local as: direccin_IPv6%ID_Zona Los valores de ID de Zona se definen en relacin al host que enva, por lo tanto, distintos hosts pueden determinar valores de ID de Zona diferentes para la misma zona fsica. Ejemplo: un host A puede utilizar 3 para representar el ID de zona para una IP atada a un vnculo y Host B puede utilizar 4 para representar el mismo vnculo (segmento de red). Para ver informacin de direcciones IPv6 con ID de Zona use el comando IPCONFIG Los Id de Zona se definen segn lo siguiente: Para direcciones de vnculo local el ID de Zona suele ser el ndice de interfaz (nmero entero a partir de 1 y que se asigna a las interfaces IPv6 tales como las interfaces de red, las de tnel y las de loopback) para la interfaz en la que se ha asignado la direccin, para obtener la lista de ndices y ver las interfaces asociadas usar el comando Netsh interface ipv6 show interface. Para direcciones de Sitio local el ID de zona es el Identificador de sitio (nmero entero asignado a un sitio de una organizacin); si la organizacin no reutiliza los prefijos de direcciones de sitio local entonces el Sitio ID se configura como 1 por defecto. Para saber los ID de Site usar el comando:
Esta forma de configurar los hosts IPv6 le permite a una organizacin controlar como las direcciones IP son asignadas o porque quizs una organizacin quiera implementar otros servicios que dependan de DHCP como NAP o simplemente si tenemos que configurar ms opciones del protocolo IPv6. Ambos: Se basa en la recepcin de mensajes de anuncios de un enrutador con informacin de opciones de prefijo y los indicadores M o O configurados en 1.
El primer paso fue introducir en los sistemas operativos los 2 protocolos para permitir usar IPv4, los 2 para que se puedan establecer comunicaciones en cualquiera de los 2 entornos o usar slo IPv6. Segn el sistema operativo conviene saber qu tipo de nodo es y su implicacin en los procesos de transicin a IPv6, segn ste aspecto los tipos de Nodos pueden ser: Nodo slo IPv4: implementa slo IPv4 (y slo tiene las direcciones IPv4) y no es compatible con IPv6. La mayora de hosts y routers instalados hoy en da son nodos slo IPv4. Nodo slo IPv6: implementa slo IPv6 (y slo tiene las direcciones IPv6) y no es compatible con IPv4. Este nodo es capaz de comunicarse slo con nodos IPv6 actualmente no es muy comn pero se prev que empiecen a aparecer en dispositivos como telfonos mviles y PDA. Nodo IPv6/IPv4: Es un nodo que implementa ambos protocolos Nodo IPv4: Implementa IPv4 y puede ser slo IPv4 o IPv6/IPv4 Nodo IPv6: Implementa IPv6 y puede ser slo IPv6 o IPv6/IPv4.
Para que la coexistencia se de, la mayora de nodos (IPv4 IPv6) pueden comunicarse bajo una infraestructura IPv4, una infraestructura IPv6 o una infraestructura combinada, la migracin se alcanza completamente cuando todos los nodos IPv4 son convertidos a nodos slo IPv6, pero realmente se logra la migracin cuando a efectos prcticos cuando los nodos slo IPv4 se conviertan en nodos IPv6/IPv4. Los mecanismos que ofrece Microsoft para que empiece a darse la coexistencia son los siguientes: Arquitectura de capa dual: Windows Vista / 2008 contiene las 2 capas pero con una sola capa de transporte, es el mejor tipo de nodo para coexistir porque tiene menos ficheros que mantener y no necesita instalacin del protocolo por separado, los 2 protocolos estn activos por defecto y puede generar paquetes Pv4, IPv6 o encapsular IPv6 con encabezados IPv4. Arquitectura de doble Pila: Windows XP / 2003 contiene las 2 capas de IP con implementaciones de transporte separadas, el driver del protocolo IPv6 tcpip6.sys puede usar la arquitectura de doble pila. Infraestructura DNS: Es muy importante por la dificultad de usar las connotaciones numricas en IP, haciendo indispensable el uso de nombres para acceder a los recursos (Registros A y AAAA). Como hemos visto un host puede activar mltiples direcciones IPv6 (Global, de vnculo local, de sitio local), en consecuencia es posible que un servidor DNS contenga entradas de registro mltiples para un host, entonces cuando un host consulta a DNS obtendr todas las direcciones IP registradas a continuacin debe decidir cul de ellas utilizar para comunicarse basndose en reglas de seleccin de direcciones (configurables en el host, se pueden ver con el comando Netsh interface ipv6 show prefixpolicies). Tneles IPv6 sobre IPv4: Es una tecnologa de encapsulamiento de paquetes IPv6 con encabezados IPv4, para que los paquetes sean enviados dentro de una infraestructura IPv4. El encabezado IP se reconoce como versin 41, y en las direcciones IP de origen y destino del tnel se usan las direcciones IPv4. No se debe confundir el tnel IPv6 sobre IPv4 con los tneles de Acceso remoto (PPTP o L2TP) ya que no sirven para establecer seguridad, ni se establece una conexin inicial.
Configurados: Son creados manualmente, usualmente para comunicacin Enrutador-Enrutador. Automticos: No requieren intervencin manual y se determinan por el uso de rutas, las direcciones usadas son IPv6 atadas a interfaces de tnel lgicas.
Las tecnologas de tnel que podemos usar son: 6to4: es una tecnologa de tnel automtico y asignacin de direcciones que se utiliza para comunicaciones unicast entre sitios y hosts IPv6 a travs de Internet IPv4, 6to4 trata Internet IPv4 entero como un nico vnculo; una direccin 6to4 WWXX:YYZZ es una representacin hexadecimal de una IPv4 pblica w.x.y.z Enrutador 6to4 : Activa el reenvo Ipv6 sobre las interfaces privadas y las de tnel 6to4, conecta la interfaz privada a una nica subred interna y usa direcciones IPv4 privadas del rango 192.168.0.0/24, luego se anuncia un prefijo de subred de 64 bits IPv6 a la subred privada, derivando en direcciones IPv6 como 2002:WWXX:YYZZ:Indice-Interfaz::/64 (el ndice de interfaz es el de la interfaz privada) ; ahora el enrutador enva notificaciones que indican que el ICS (Internet Connection Sharing) est activado y se configura como el enrutador predeterminado. Uso de 6to4: Dentro de un sitio el enrutador notifica el prefijo de subred 2002:WWXX:YYZZ:ID_Subred::/64 para que los hosts autoconfiguren direcciones 6to4. los enrutadores IPv6 dentro del sitio entregan trfico entre los hosts 6to4; los hosts en la subred individual son configurados automticamente con una ruta de su red de 64 bits para entrega directa a sus vecinos y una ruta predeterminada con una direccin de siguiente salto del enrutador de notificacin, trafico IPv6 que no coincide con ninguno de los prefijos de su red que el sitio usa es reenviado a un enrutador 6to4 en el sitio, este enrutador tiene una ruta 2002::/16 que reenva el trfico a otros sitios 6to4 y una ruta predeterminada (::/0) que reenva trfico a un reenviador 6to4. ISATAP (Intra Site Automatic Tunnel Addressing Protocol): es una tecnologa de tnel automtico y asignamiento de direcciones ISATAP usado para proveer conectividad unicast IPv6 entre hosts IPv6/IPv4 en una intranet IPv4, no requiere configuracin manual y genera las direcciones ISATAP usando mecanismos de autoconfiguracin, ste mtodo de tnel se utiliza dentro de un sitio (Intrasite) y est activo por defecto. Enrutador ISATAP: Permite la comunicacin entre los clientes IPv6 en una subred IPv4 o que se comuniquen con otros hosts IPv6 puros o en una red mixta. Uso de ISATAP: se puede iniciar de mltiples formas, lo primero que se debe hacer es permitir que un host IPv4 pueda identificar el enrutador ISATAP y para ello debe poder resolver el nombre ISATAP en una direccin IPv4 (usando DNS, WINS, ficheros hosts) o ejecutando el comando:
Netsh interface IPv6 ISATAP set router (IP o nombre del Enrutador ISATAP) Una vez el Enrutador es resuelto, el host se comunica con ste usando IPv4, entonces el router le proveer informacin de configuracin ISATAP como el Prefijo de red y si ste ser el enrutador predeterminado. Teredo: le permite establecer un tnel a travs de la red IPv4 cuando los clientes estn detrs de un NAT IPv4, fue creado por que muchos enrutadores usan NAT para definir un espacio de direcciones privado para redes corporativas, se trata de una tecnologa de transicin para conectividad IPv6; si IPv6 nativo, ISATAP, o conectividad 6to4 est activa entre los nodos no use Teredo. Los componentes Teredo son: El cliente Teredo: este nodo soporta IPv6/IPv4 una interfaz del tnel teredo a travs del cual los paquetes son encapsulados a otro cliente teredo en Internet IPv6 a travs de un reenviador teredo. Servidor Teredo: este nodo IPv6/IPv4 conecta a Internet en IPv4 e IPv6, la funcin del servidor Teredo es ayudar en la configuracin inicial del cliente teredo y facilita la comunicacin inicial entre el cliente teredo en diferentes sitios o entre clientes teredo y hosts solo IPV6 a Internet IPv6. .
Reenviador Teredo: este enrutador IPV6/IPv4 puede reenviar paquetes entre clientes teredo en Internet IPv4 y hosts solo IPv6, en Internet IPv6. Reenviador de Host Especifico Teredo: Este nodo IPv6/IPv4 sirve como interfaz con y conecta a Internet IPv4 e IPv6 adicionalmente comunica directamente con clientes teredo sobre Internet IPv4 sin necesidad de un reenviador Teredo intermedio; la conectividad a Internet IPv4 puede ser a travs de una direccin IPv4 publica o a travs de una direccin IPv4 privada y una vecindad NAT; la conectividad a Internet IPv6 puede ser a travs de una conexin directa a Internet IPv6 o a travs de una tecnologa de transicin IPv6, como por ejemplo 6to4.
PortProxy: Puedes usar el servicio PortProxy como un servicio de puerta de enlace a nivel de aplicacin para nodos o aplicaciones que no soportan IPv6, facilitando la comunicacin entre nodos o aplicaciones que no pueden comunicar usando un tipo de direccin comn IPv4 o IPv6 y puerto TCP, el principal propsito del servicio es permitir la comunicacin de nodos IPv6 con aplicaciones TCP IPv4. PortProxy puede traspasar solo datos TCP y soporta solo protocolos de capa de aplicacin que no incorporen direcciones o informacin de puerto dentro de los datos de la aplicacin; no podr cambiar informacin de direccionamiento en la capa de aplicacin por tanto no ofrece flexibilidad, se recomienda entonces utilizar otras tecnologas de tnel para evitar estos problemas.
enrutador (Use PATHPING para resolver la ruta tomada por los paquetes, este mtodo detecta cuellos de botella o configuracin del Hardware de red errneo) Verifique la resolucin de nombres DNS para direcciones IPv6: si la conexin usando las direcciones IPv6 funciona pero usando los nombres de host no, entonces el problema es la resolucin de nombres. Suele ser un problema con la configuracin del cliente DNS o registros DNS, verifique las siguientes tares para ayudarle a resolver las siguientes tareas: Ver la configuracin DNS (IPCONFIG /all) consulte el cach del cliente DNS o elimnelo (IPCONFIG /displaydns e IPCONFIG /flushdns) pruebe resolver el nombre DNS con un ping, use la herramienta NSLOOKUP para ver las respuestas del servidor DNS. Verifique secciones TCP basadas en IPv6: si la resolucin de nombre est funcionando pero no se puede establecer conexin TCP con un host de destino se debe comprobar filtrado de paquetes y el establecimiento de conexin TCP.
Resumen:
Podemos decir que TCP/IP en la versin 6 ha incrementado el espacio de direcciones de una forma muy amplia que proveer en aos a los mltiples dispositivos y usuarios que requieran hacer uso de Internet, ser posible establecer comunicaciones de host a host sin pasar por sistemas de traduccin de direcciones (NAT) haciendo posible establecer tcnicas de seguridad como IPSEC, el protocolo ser ms eficiente debido a que el control de calidad en la entrega de paquetes est incorporado en el encabezado IP, tambin como hemos visto es un protocolo que no necesita intervencin administrativa para configurarse a menos que la infraestructura requiera el uso del DHCP, el cambio en el funcionamiento del protocolo ser muy difcil entenderlo en ste momento pero se espera que a medida que se vaya extendiendo seamos capaces de manejarlo y configurarlo debidamente. Tambin se deduce que el sistema de resolucin de nombres de Dominio basados en DNS es una parte fundamental para el buen desempeo de ste protocolo por que al hacer que los dispositivos sean autoconfigurados ya no podemos saber las direcciones IP que se auto asignan y por otro lado es muy difcil aprendernos las direcciones de los equipos en formato hexadecimal de los 128 bits que usa la direccin IP, es por ello que se debe empezar a usar los nombres de los hosts en lugar de las direcciones IP y DNS con el uso de registros AAAA y PTR garantizan el buen funcionamiento de la red No olvidemos que se tienen herramientas muy importantes de Tnel que nos permiten convivir con los 2 esquemas de direccionamiento mientras aprendemos mucho ms sobre el comportamiento de las redes IPv6. Recuerde: Las direcciones IPv6 tienen distintos tipos de uso as: De vnculo local (como las de APIPA en IPv4) sirven para permitir la conexin dentro del mismo segmento de red, son importantes porque a travs de ellas se descubre informacin adicional en IPv6 desde enrutadores y otros nodos. Globales (En IPv4 son las direcciones pblicas) se usan exclusivamente para acceso de hosts IPv6 en Internet. Sitio Local (En IPv4 son las Direcciones IP Privadas) se usan para permitir la comunicacin entre delegaciones fsicas o segmentos de red separados dentro de una organizacin. ARP y Broadcast es eliminado en IPv6 para ello usa mulltitudes de paquetes Multicast (mejora el uso de ancho de banda en una red). Los principales beneficios de IPv6 son la Ampliacin del direccionamiento IP ya que la versin 4 est saturada, Direccionamiento de IPv6 y enrutamiento controlado en forma jerrquica por los dispositivos de enrutamiento y mejor seguridad integrada en el propio protocolo. .
Para configurar la direccin IPv6 en un cliente podemos realizarlo a travs del enrutador IPv6 publicando un Prefijo de red, esto ya es suficiente para que el host tome esa red y se auto asigne una direccin, otra forma es usando DHCP o direccionamiento IP esttico o fijado en forma manual. La nica direccin que se auto genera en el equipo sin la intervencin de un administrador u otro dispositivo es la de Vnculo local. Las tcnicas de tnel IPv6 nos permiten hacer convivir el direccionamiento IPv4 con Nodos IPv6. Existen 3 tcnicas de Tnel, ISATAP usado slo para redes dentro de una organizacin, 6to4 usado para intercambiar informacin con hosts IPv6 en Internet y Teredo que nos permite intercambiar informacin con hosts IPv6 en Internet pero pasando por dispositivos que activan NAT. Si no es posible el establecimiento de Tnel en los hosts porque son Nodos slo IPV4 la recomendacin es usar Portproxy que es un Gateway que es capaz de pasar datos de una red a otra en todas las capas de la OSI.
Ver Vdeo: Configuracin y Resolucin de problemas con TCP-IP V6, en el Mdulo 7. Unidad 5, en la plataforma e-learning.
1.
La configuracin de red de un cliente IPv6 son asignadas dinmicamente usando una direccin IPv6 de vnculo local o la direccin es provista des de un enrutador configurado para soportar IPv6, en ste ejercicio veremos cmo configurar un Enrutador para configurar dinmicamente una Direccin IPv6 Global En primer lugar usaremos un servidor de Windows 2008 con 2 adaptadoras de red configuradas en segmentos de red separados
2.
3.
Veamos la configuracin del TCP/IP antes de comenzar, hacer un IPCONFIG y observamos que el enrutador tiene direcciones en IPv4 de acuerdo a los segmentos adecuados, pero en IPv6, si est habilitado, observamos una direccin IPv6 de vnculo local autoconfigurada (empieza con fe80) en cada una de las tarjetas de red.
4.
A continuacin activaremos en la adaptadora que conecta la red interna el enrutamiento (Forwarding) y activaremos el protocolo de envo de notificaciones de prefijos de red en IPv6 (Advertise). El comando que se utiliza para sta funcin es NETSH INTERFACE IPV6 SET INTERFACE Nombre de la adaptadora interna del enrutador forwarding=ENABLED advertise=ENABLED
5.
El siguiente paso es agregar el Prefijo IPv6 que queremos permitir activar en los clientes, para ellos usamos el comando NETSH INTERFACE IPV6 ADD ROUTE (Prefijo IPv6, en este caso activaremos una IPv6 Global nica) Nombre de la adaptadora de red sobre la que se agrega la ruta PUBLISH=YES.
6.
A continuacin volvemos a hacer IPCONFIG para ver la informacin de direccionamiento IPv6, observamos que sobre la adaptadora de la red privada se genera automticamente una direccin IPv6 en el prefijo configurado en el paso anterior.
7.
Ahora los equipos de la red interna que tengan activo IPv6 a travs de la direccin IPv6 de vnculo local enviarn mensajes de solicitud de enrutador que sern respondidas por el enrutador que hemos configurado. Veamos la configuracin de red IPv6 de un cliente Windows Vista que est en el mismo segmento de Red de la Red Privada Observemos que Windows Vista genera 2 direcciones IP en el mismo prefijo de red (2001:DB8::/64) una de ellas la configura como direccin Temporal (en este caso es una medida de seguridad porque una direccin IPv6 toma como ID de Interfaz la direccin MAC de la tarjeta de red, .
8. 9.
entonces para evitar cualquier rastreo hasta el equipo en direcciones IPv6 Globales, el sistema genera 2 direcciones IP la real y otra que se va cambiando con el tiempo, sta es la usada para conectarse a Internet). 10. Adems tambin notamos que la direccin Ipv6 de vnculo local (FE80) sigue estando activa sobre el adaptador.
2.
Sobre el Servidor DHCP configuramos las opciones y el rango de direcciones IPv6 a conceder, observamos que hay algunas opciones ya establecidas esto es debido al proceso de instalacin de la funcin DHCP.
3.
Para crea un mbito en DHCPv6 sobre Ipv6 clic derecho y seleccionar mbito nuevo
4.
5.
6.
A continuacin establecemos le prefijo de red en IPv6 que queremos conceder a los clientes. (La preferencia corresponde a la prevalencia de uso cuando un equipo tenga mltiples IPv6).
7.
8.
A continuacin se seleccionan los tiempos de duracin para la concesin de la direccin IPv6 tanto para la direccin no temporal como para la temporal.
9.
10.
Si se quiere es posible modificar las opciones como sea necesario para que los clientes adems de configurar la IP obtengan informacin de opciones como los servidores DNS y el sufijo de bsqueda DNS a utilizar. Para crear la opcin del Servidor DNS, asignamos una IP esttica al Servidor DNS para luego agregar la opcin Para asignar una IPv6 en forma esttica en el Servidor DNS abrir el centro de redes y recursos compartidos, en la conexin clic derecho propiedades.
11. 12.
13.
14.
Usar una direccin IPv6 con una longitud de prefijo, puerta de enlace y Servidor DNS (::1 equivale a loopback) y aceptar.
15.
16.
17.
Seleccionamos la opcin 00023 y agregamos la direccin IPv6 del Servidor DNS dada estticamente en el paso anterior
18.
19.
Para que los clientes reciban la direccin IP desde el Servidor DHCP es necesario configurar el enrutador para que lo informe a los clientes a travs de los anuncios para ello debemos configurar los identificadores: M (Managedaddress en 0= La IP ser autoasignada desde el Enrutador y 1= LA IP ser entregada desde el DHCP) (Otherstateful en 0= El cliente no recibir opciones desde el DHCP y 1= Puede recibir otros valores de configuracin adems de la direccin IP) En este caso sobre el enrutador en la adaptadora de cara a los clientes IPv6 se activan M=1 y O=1
23.
Adems se publica el Prefijo de red para que usen a ste Enrutador con sta interfaz como enrutador preferido para ste Prefijo
24.
Los clientes deben estar ya recibiendo direcciones IPv6 del mbito configurado, podemos verlo en el nodo Concesiones de direcciones.
25. 26.
Otro aspecto a controlar es la generacin de Registros en DNS tanto en Zonas de bsqueda directa como inversa. Para soportar IPv6 en DNS vemos cmo se registran las direcciones Ipv6 en la zona de bsqueda directa. Observamos el tipo de registro AAAA para IPv6.
27.
Para crear una Zona de bsqueda Inversa en DNS sobre Zonas de bsqueda inversa escoger Zona Nueva.
28.
29.
30.
Agregamos el Prefijo IPv6 sobre la que se espera los clientes generen los registros.
31.
32.
Permitir la actualizacin dinmica para que los clientes puedan generar los registros dinmicamente en la zona.
33.
34.
IPCONFIG /REGISTERDNS para generar los registros A, AAAA, PTR en las zonas de bsqueda respectivas .
35.
Sobre las zonas de bsqueda directa vemos los registros DNS AAAA (VistaCli1)
36.
Y en la Zona de bsqueda inversa IPv6 observamos los registros PTR del mismo cliente.
2.
3.
Ahora activamos el enrutamiento entre las adaptadoras de red modificando la clave de registro:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ Y modificar la clave IPEnableRouter con un valor 1 4. Ejecutar el comando REGEDT32 y buscar la clave mencionada para modificar el valor
5. 6.
Reiniciamos el Servidor que hace la funcin de Enrutador para que la clave de registro tenga efecto. Para ste ejercicio activaremos 2 Clientes Windows Vista (VistaCli1 en la Red 192.168.100.0 y Windows VistaCli2 en la red 172.160.0.0) de momento configuraremos en los 2 direccionamiento IPv4 para comprobar que el enrutamiento funcione adecuadamente. Sobre el cliente VistaCli2 configuramos una direccin IPv4 esttica en el segmento de red 172.16.0.0 y usando como puerta de enlace la direccin IP del enrutador configurado en el paso anterior en el mismo rango En el centro de redes y recursos compartidos, seleccionar la opcin Administrar conexiones de red y sobre la adaptadora de red hacer clic derecho y seleccionar propiedades, a continuacin desmarcar el Protocolo de Internet versin 6 (TCP/IPv4) para desactivarlo.
7.
8.
9.
Ahora en IPv4 asignar una direccin esttica en el rango 172.16.0.0 y usando como puerta de enlace la IP del enrutador en ste segmento y aceptar.
Antes de desactivar el protocolo IPv4 en el cliente vista de la red Privada comprobamos si hay comunicacin entre los 2 equipos clientes vista a travs del enrutador. La prueba la haremos con un ping, por tanto debemos permitir el trfico ICMP en el Firewall de Windows de cada equipo (Clientes Vista). Para hacerlo entrar en el Firewall con seguridad avanzada ejecutando el comando WF.MSC
13.
Pinchar en continuar para elevar los privilegios, en el nodo Reglas de entrada hacemos clic derecho y seleccionar Nueva Regla.
14.
15.
16.
17.
Sobre el Tipo especfico de ICMP marcar Peticin eco y Aceptar y luego Siguiente.
18.
Como direccin IP local y remota seleccionar Cualquier direccin IP en ambos casos y dar siguiente.
19.
20.
21.
22.
23. 24.
Realizamos el proceso de crear la regla en el otro equipo con Windows Vista Cuando este creada la regla podemos probar el ping entre los 2 clientes vista desde un extreme de red a otro si obtenemos respuestas entonces el enrutamiento funciona adecuadamente (tener precaucin en que los clientes estn configurados correctamente con las puertas de enlace correspondiente Probamos en los 2 sentidos la comunicacin, primero desde el VistaCli2 hacia el VistaCli1.
25. 26.
Como vemos el enrutamiento IPv4 est funcionando entre las 2 redes. El Cliente que quedar solo con IPv6 le entregaremos la configuracin a travs del enrutador, (procedimiento del Ejercicio1) pero recordamos el procedimiento en la siguiente grfica En el Enrutador Activar la adaptadora de Red privada con Anuncios, enrutamiento y el prefijo de configuracin de la red IPv6.
30.
Sobre el Cliente Windows Vista (VistaCli1) de la red Privada desactivamos el protocolo IPv4, en el centro de redes y recursos compartidos, entrar en la configuracin de la tarjeta de red y desmarcar el Protocolo TCP/IP Versin 4 para Desactivarlo.
31.
Verificamos la configuracin usando el comando IPCONFIG, observamos que el cliente No tiene configuracin IPv4, no tiene adaptadoras de Tnel y la configuracin IPv6 ha sido obtenida desde el enrutador (direcciones 2001:db8:0:1::/64)
32.
En este escenario tenemos un Nodo IPv4 en una red separada de la red del Nodo IPv6, en estas condiciones no puede haber comunicacin entre ellos. .
33. 34.
Configuraremos un enrutador ISATAP para activar la posibilidad de comunicacin entre los 2 nodos. En el Enrutador vamos a Activar ISATAP, para ello usaremos una adaptadora de tnel incluida en los sistemas operativos a partir de Windows Vista en adelante, estas adaptadoras de tnel las vemos con los nombres de Conexin de rea local* (nmero) generalmente estas desconectadas (Service pack 1 en adelante), para saber los nombres de las adaptadoras de tnel usamos el comando IPCONFIG, observamos que en el ejemplo existe una adaptadora de tnel por cada adaptadora fsica de red.
35. 36.
Activar el Router ISATAP con el comando: netsh interface ipv6 set router (direccin IP en versin 4 del enrutador). Al hacer esto las adaptadoras de tnel se iniciarn (Como el sistema crea un adaptador de tnel por cada interfaz fsica conectada, por tanto debemos asegurarnos cul es la interfaz de tnel que est configurada de cara a los equipos IPV4), observamos que las adaptadoras de tnel toman una direccin FE80:5EFE:Direccin IPv4 de la tarjeta de red a la que corresponden, en ste ejemplo la adaptadora de tnel que corresponde a la red 172.16.0.0 es la que se llama Conexin de rea local*
37.
A continuacin agregaremos el comando para que la adaptadora de tnel ISATAP pueda realizar enrutamiento y generar anuncios para configurar los clientes.
38.
Ahora agregamos el prefijo de red IPv6 para que los clientes ISATAP configuren una direccin IPv6 ISATAP en ste prefijo de red.
39.
Reiniciar el servidor RAS y entrar nuevamente para ver la configuracin en las adaptadoras de tnel para ISATAP, observamos que se ha agregado una direccin IPv6 en el sufijo que agregamos en el paso anterior seguido de un valor constante 5EFE y a continuacin la direccin IPv4 en connotacin decimal (2001:DB8:0:10:0:5EFE:172.16.0.253). .
40. 41.
Ahora veamos el cliente Vista en la Red IPv4, como no tenemos publicado el Enrutador ISATAP en DNS entonces lo configuramos en forma manual en el cliente usando nuevamente el comando: Netsh interface ipv6 isatap set router 172.16.0.253 (Es importante tener privilegios administrativos para ejecutar el comando, por tanto abrir el smbolo del sistema como Administrador), observamos como el cliente IPv4 activa la adaptadora de tnel y configura una direccin IPv6 en el rango del prefijo agregado en el Enrutador.
42.
A continuacin tomamos nota de la direccin IP en el cliente Windows Vista de la red privada (VistaCli1).
43.
Hacemos un ping en IPv6 desde el cliente IPv4, observamos que hay respuestas correctas entre los 2 equipos.
44.
La fase final de una migracin de IPv4 a IPv6 consistir en hacer que todos los clientes usan slo IPv6 y puedan intercambiar informacin sin necesidad de usar adaptadoras de tnel.
Introduccin
El mundo actual cada vez necesita ms de la movilidad de las personas para el desarrollo de su trabajo por lo tanto se necesitan soluciones para que estos usuarios puedan acceder a los recursos internos de una organizacin pero sin poner en riesgo la seguridad de la misma, por ello se hace necesario implementar una infraestructura que garantice un acceso fcil pero seguro protegiendo las credenciales de autenticacin y el transporte de la informacin de una manera cifrada. Windows Server 2008 incluye Directivas de red y Servicios de Acceso que ofrecen soluciones para la conectividad en mltiples tipos de escenarios (depende las necesidades de la organizacin), tales como: NAP que adems de los procesos habituales de autenticacin y autorizacin determina el estado de seguridad en los equipos utilizados por los usuarios, dicho estado debe estar de acuerdo a unas directivas exigidas por una organizacin; Mejora la seguridad en las redes inalmbricas o cableadas con la incorporacin del protocolo 802.1X; Implementa el soporte para permitir la conexin de clientes de acceso remoto usando VPN (cada vez ms utilizadas por que permiten que el usuario utilice vnculos de comunicacin inseguros como Internet que estn disponibles en cualquier parte del mundo y su coste es inferior al de una llamada, adems de tener un mejor ancho de banda que un MODEM), o con sistemas de conexin por marcacin, comportndose como un enrutador para tales dispositivos; otra funcionalidad que aporta es el control de autenticaciones y autorizaciones de los usuarios usando el protocolo RADIUS lo cual hace posible que los servidores VPN que habitualmente estn en las redes desprotegidas no tengan que encargarse de la funcin de autenticar y autorizar la conexin. Las directivas de red es otro punto importante en la configuracin de acceso remoto porque a travs de ellas podemos determinar que usuarios se pueden conectar y en qu circunstancias, una directiva se compone de Condiciones que debe cumplir el que intente la conexin y restricciones que se aplicarn si el usuario puede conectar. Toda sta infraestructura permite a los administradores implementar soluciones de acceso con varios esquemas de seguridad dependiendo de los clientes, los sistemas operativos y los requisitos de una organizacin.
Definiciones
Configuracin de acceso a redes
En las redes actuales cada vez se hace ms normal la posibilidad que los usuarios de una organizacin pueden acceder a los recursos desde ubicaciones externas a la red interna como por ejemplo desde la casa, hoteles aeropuertos, zonas wifi gratuitas, todas incluyen un factor comn, la movilidad, pero lo que hoy da hace posible esta forma de trabajo es la evolucin que han tenido las comunicaciones soportando anchos de banda bastante buenos como para dar fluidez a la transferencia de datos desde la ubicacin remota hacia la red interna y viceversa, en la mayora de los casos las conexiones se realizan a travs de enlaces pblicos como es el caso de Internet por que ofrece cobertura mundial, los costes suelen ser baratos, buen ancho de banda, etc. El problema que afrontan las organizaciones cuando se quiere implementar estas soluciones es el nivel de seguridad necesario que debemos establecer para protegernos de accesos indebidos que nos produzcan ataques a nuestra red interna. Microsoft Windows Server 2008 ofrece una infraestructura, de servicios y protocolos que permiten que una organizacin implemente accesos remotos con una seguridad ptima y que estn relacionados entre s, a saber: RAS, RADIUS y NAP. Componentes de una infraestructura de Acceso Remoto Windows 2008 implementa mltiples componentes para mantener y gestionar la infraestructura de acceso remoto de una manera segura y ptima entre ellos mencionamos: Servidor de VPN: Activa la posibilidad de conexiones cliente basadas en protocolos L2TP y PPTP usando una red pblica como Internet. Directorio Activo: Activa un sistema centralizado de almacenamiento de Identidades de seguridad (Usuarios) y contra el que se verificarn las credenciales de los usuarios que intentan una conexin de acceso remoto. Protocolo de configuracin dinmica de host (DHCP): Se encarga de asignar informacin de configuracin IP para los clientes que se conecten va acceso remoto y que les permitir a los clientes acceder a la red interna local (LAN). Servidor de Polticas de proteccin de acceso a redes (NAP): Establece directivas de cumplimiento de salud que establecen requisitos que los equipos que usan los usuarios de acceso remoto deben cumplir antes de permitrsele el acceso. Autoridad de Registro de Cumplimiento de Salud (HRA): Se encarga de emitir los certificados digitales de salud a los equipos que cumplen con las directivas de salud. Servidores de Actualizacin: Son equipos que cargan los servicios necesarios para que aquellos clientes que no pueden cumplir con las directivas de cumplimiento de salud, encuentren en ellos la informacin necesaria que deben aplicar para que pasen a un estado de cumplimiento, esto servidores se encuentran en una red limitada donde pueden ser accedidos por los clientes que no cumplen.
clientes que no cumplen se pueden actualizar automticamente, de esta manera los usuarios podrn obtener acceso a la red de forma rpida sin intervencin manual o reconfiguracin de sus ordenadores. Acceso Seguro Cableado e Inalmbrico: Cuando se instalan puntos de acceso inalmbricos con protocolo 802.1X se activa un acceso inalmbrico seguro, el dispositivo proveer a los usuarios inalmbricos un mtodo de autenticacin basado en contrasea segura que es fcil implementar; as mismo el protocolo puede ser utilizado en dispositivos como Switches para permitir acceso seguro en una red cableada, asegurando la red por que los usuarios de la intranet son autenticados antes que puedan conectarse a la red u obtener una direccin IP usando DHCP. Soluciones de Acceso Remoto: Permite que usuarios con VPN y acceso por marcacin accedan a la red, tambin podemos interconectar delegaciones a la red con soluciones VPN, desplegando enrutadores por software en los entornos de red y compartiendo las conexiones de Internet a la red interna. Administracin de Polticas de Red Centralizadas con Servidores RADIUS: En lugar de configurar directivas de acceso en red, en cada uno de los servidores de acceso en red como por ejemplo puntos de acceso inalmbricos, switches de autenticacin 802.1X, servidores VPN y servidores por marcacin, se pueden crear las directivas en una nica ubicacin que especifique todo los aspectos de solicitudes de conexin de red, incluyendo a quien se le permite conectar, cuando pueden conectar, cual es el nivel de seguridad que ellos deben usar, entre muchos parmetros ms.
La autorizacin es la verificacin de que el intento de conexin est permitido. La autorizacin se produce despus de una autenticacin correcta. Para que un intento de conexin sea aceptado, el intento de conexin debe ser autenticado y autorizado, es posible que un intento de conexin sea autenticado usando credenciales vlidas, pero no autorizado y por tanto el intento de conexin ser rechazado. Si configura un servidor de acceso remoto para la autenticacin de Windows, las caractersticas de seguridad de Windows Server 2008 sern las encargadas de comprobar las credenciales de autenticacin, mientras que la autorizacin de la conexin ser comprobada de acuerdo a las opciones configuradas en la pestaa Marcacin de las propiedades de la cuenta del usuario y en las polticas de acceso remoto almacenadas localmente en el servidor RRAS; Si el intento de conexin es a la vez autenticado y autorizado, el intento de conexin es aceptado. Si se configura un servidor de acceso remoto para usar la autenticacin RADIUS, las credenciales del intento de la conexin se reenviaran al servidor RADIUS para que ste verifique los procesos de autenticacin y autorizacin, si el intento de conexin es a la vez autenticado y autorizado, el servidor RADIUS enva un mensaje de aceptacin nuevamente al servidor de acceso remoto permitiendo al servidor RRAS aceptar la conexin, pero si el intento de conexin no es autenticado o no es autorizado, el servidor RADIUS enva un mensaje de rechazo al servidor de acceso remoto y el intento de conexin se rechaza. Si el servidor RADIUS es un equipo que ejecuta Windows Server 2008 con la funcin Servicio de Polticas de red (NPS) instalado, entonces el servidor NPS realiza la autenticacin a travs de las caractersticas de autenticacin seleccionadas, y realiza la autorizacin basndose en las propiedades de marcacin de la cuenta de usuario y en las polticas de acceso remoto que se almacenan en el servidor NPS.
Mtodos de Autenticacin
La autenticacin de los clientes de acceso remoto es una cuestin importante de seguridad, los mtodos de autenticacin utilizan un protocolo de autenticacin que se negocia durante el proceso de establecimiento de la conexin, los protocolos de autenticacin disponibles son: PAP (Password Authentication Protocol): usa contraseas en texto claro y es el protocolo de autenticacin menos seguro, se emplea como mtodo de autenticacin si el cliente de acceso remoto y el servidor de acceso remoto no pueden negociar una forma de validacin ms segura. PAP se incluye en Windows Server 2008 para permitir que clientes con sistemas operativos 32 bits se conecten a otros sistemas de acceso remoto antiguos que no soporten un nivel de autenticacin ms seguro, o al contrario, clientes con sistemas operativos Microsoft que no soportan protocolos que no soportan nivel de seguridad ms altos se puedan conectar a servidores de acceso remoto ejecutndose en entornos de 32 bits. CHAP (Protocolo de autenticacin por desafo mutuo): es un protocolo de autenticacin desaforespuesta que usa el esquema estndar de la industria Message Digest 5 (MD5) para generar un resumen (Hash) para cifrar la respuesta. Distintos fabricantes de servidores que proveen acceso a la red y clientes utilizan CHAP. Un servidor RAS admite CHAP para que los clientes de acceso remoto que requieren CHAP puedan autenticar. Debido a que CHAP requiere el uso de una contrasea cifrada de forma reversible, se recomienda el uso de otro protocolo de autenticacin, como MS-CHAP versin 2. MSCHAPv2 (Protocolo Microsoft de autenticacin por desafo mutuo versin 2): es un protocolo de autenticacin de un solo sentido con contrasea cifrada, el proceso de autenticacin mutua funciona en un proceso de 4 pasos de la siguiente manera: En el primer paso el Servidor RAS o NPS (El que autentica las credenciales) enva un desafo al cliente de acceso remoto que consta de un identificador de sesin y una cadena de desafo arbitraria.
Entonces el cliente ejecuta el segundo paso que consiste en enviar una respuesta que contiene el nombre del usuario, Una cadena par de desafo aleatoria, un cifrado unidireccional de la cadena de desafo recibida, la cadena par de desafo, el identificador de sesin y la contrasea de usuario.
El servidor que autentica (RAS NPS) verifica la respuesta del cliente y devuelve una respuesta que contiene: un indicador que acepta o rechaza la conexin, una respuesta autenticada basada en la cadena de desafo enviada, la cadena par de desafo, la respuesta cifrada del cliente y la contrasea de usuario. En el ltimo paso el cliente de acceso remoto comprueba la respuesta de autenticacin y, si es correcta, utiliza la conexin pero si la respuesta de autenticacin no es correcta, el cliente de acceso remoto termina la conexin. EAP (Protocolo de Autenticacin Extensible): Es un mecanismo de autenticacin arbitrario, el cliente RAS y el servidor que autentica (RAS NPS) negocian el esquema de autenticacin exacto que se utilizar, RAS incluye por defecto soporte para EAP-TLS, pero se pueden agregar otros mtodos EAP; la caracterstica de ste mtodo es que utiliza una conversacin abierta entre las 2 partes (Cliente / Servidor) en la que el Servidor pide respuestas al cliente, cada pregunta debe ser respondida por el cliente consiguiendo superar mltiples niveles de autenticacin, una vez el cliente supera todas las preguntas satisfactoriamente entonces le cliente es autenticado. Un ejemplo puede ser cuando un cliente utiliza una tarjeta inteligente para autenticarse, el servidor que autentica preguntar al cliente por el nombre, el PIN y un token. EAP-TLS es un tipo de EAP que se utiliza en entornos de seguridad basados en certificados, si est utilizando tarjetas inteligentes para la autenticacin de acceso remoto, debe utilizar el mtodo de autenticacin EAP-TLS. El intercambio de mensajes EAP-TLS proporciona autenticacin mutua, negociacin del mtodo de cifrado, y la determinacin de claves cifradas entre el cliente de acceso remoto y el servidor que autentica, EAP-TLS proporciona el mtodo ms fuerte de autenticacin. EAP-TLS slo se admite en los servidores que ejecutan Enrutamiento y acceso remoto, que estn configurados para utilizar la autenticacin de Windows o RADIUS, y que son miembros de un dominio, por tanto un servidor RAS que se ejecuta como un servidor independiente o un miembro de un grupo de trabajo no es compatible con EAP-TLS. EAP-RADIUS no es un tipo de EAP, pero se encarga de pasar los mensajes EAP de cualquier tipo de EAP por un servidor que autentica hacia un servidor RADIUS para que se realice la autenticacin. Por ejemplo, para un servidor RAS configurado para la autenticacin RADIUS, los mensajes EAP enviados entre el cliente RAS y el servidor RAS se encapsulan en formato de mensajes RADIUS entre el servidor RAS (Cliente RADIUS) y el servidor RADIUS. EAP-RADIUS se utiliza en entornos en los que RADIUS es el proveedor de autenticacin la ventaja de utilizar EAP-RADIUS es que no es necesario instalar los tipos de EAP en cada servidor de acceso remoto, sino nicamente en el servidor RADIUS. En un uso tpico de EAP-RADIUS, el servidor RAS debe estar configurado para utilizar EAP y utilizar un servidor NPS (RADIUS) para la autenticacin, cuando una conexin se establece, el cliente RAS negocia el uso de EAP con el servidor RAS, entonces el cliente enva un mensaje EAP al servidor RAS, a continuacin RAS encapsula el mensaje EAP como un mensaje de RADIUS y lo enva a un servidor configurado con NPS. El servidor NPS procesa el mensaje EAP y enva un mensaje EAP-RADIUS encapsulado de nuevo al servidor de acceso remoto, el servidor RAS reenva el mensaje EAP al cliente RAS. En esta configuracin, el servidor RAS es slo un puente por que el procesamiento de EAP ocurre ente el Cliente RAS y el Servidor NPS pero es muy importante que el servidor Ras soporte EAP antes de activar el servidor NPS. PEAP (Protocolo de autenticacin extensible protegido): se trata de un protocolo nuevo en la familia de protocolos de Autenticacin Extensible (EAP); PEAP utiliza TLS (Transport Level Security) para crear un canal cifrado entre un cliente de autenticacin PEAP, como un equipo inalmbrico, y un Servidor que autentique (RAS o NPS), PEAP en realidad no es un mtodo de autenticacin, pero proporciona seguridad adicional para otros protocolos de autenticacin EAP, como por ejemplo EAP-MSCHAPv2, que puede operar a travs del canal cifrado TLS que PEAP proporciona. .
En el protocolo 802.11 PEAP es un mtodo de autenticacin para los equipos cliente inalmbricos, pero no es compatible con VPN u otros clientes de acceso remoto. Al implementar PEAP obtendremos los siguientes beneficios: Proteccin en los mtodos de autenticacin EAP usando TLS (evita ataques de denegacin de servicio) Permite la fragmentacin y reensamblaje de mensajes en protocolos EAP que no lo permita. Activa la posibilidad para que Clientes de redes inalmbricas autentique al NPS (Autenticacin mutua) Es una medida de proteccin contra las instalaciones de Puntos de Acceso inalmbricos no autorizados, es posible por que el cliente EAP autentica el certificado que el servidor NPS emite, adicionalmente el secreto maestro TLS que se crea en el cliente RAS y en el servidor NAP no se comparte con el punto de acceso por lo que no podr descifrar los mensajes que PEAP protege.
Reconexin rpida PEAP, reduce el tiempo de espera entre la solicitud de la autenticacin de un cliente y la respuesta del NPS dando como ventaja la posibilidad que un cliente se mueva y cambie de Puntos de Acceso sin tener que volver a autenticar. Tarjetas Inteligentes: Es uno de los mtodos ms fuertes en la autenticacin de acceso remoto para lograrlo se debe implementar a travs de EAP con el tipo EAP Tarjeta Inteligente u otro certificado (TLS), los requerimientos para poderlo implementar son: Un servidor RAS Instalar un certificado de Equipo en el RAS Configurar el mtodo de autenticacin EAP llamado Tarjeta Inteligente u otro certificado (TLS) en las directivas de red Activar la autenticacin de tarjeta inteligente en la conexin por marcacin o VPN del cliente de acceso remoto. La funcin que desempea DHCP en los servicios RAS Cuando se instala un servidor DHCP para servir informacin de configuracin del protocolo TCP/IP a los clientes de acceso remoto se comporta de una manera distinta al mtodo tradicional de concesin de direcciones IP dentro de la red local por que la concesin de la direccin no se hace directamente entre el cliente y el servidor DHCP sino que se usa en todo momento el servidor RAS. Cuando Ras est configurado para que los clientes reciban las direcciones IP desde un servidor DHCP, entonces el Servidor RAS buscar el servidor DHCP y reservar un rango de 10 IP, auto asignndose 1 de ellas a su adaptadora virtual de servidor RAS (por donde establecer comunicacin con los clientes RAS) y quedar con las otras 9 disponibles para ir asignndolas a los clientes en la medida que ellos conectan, entonces cuando los clientes desconecten la conexin con el servidor RAS la direccin IP queda libre para ser otorgada a otro cliente que se conecte (No se concede el tiempo configurado en el DHCP para la duracin de la concesin). Si en llegado momento el Servidor RAS asigna todas las direcciones IP entonces volver a reservar otro bloque de 10 IP desde el Servidor DHCP. Cuando el servidor RAS detiene los servicios entonces libera las direcciones IP en el servidor DHCP. Cuando la direccin IP es proporcionada al cliente RAS, el cliente no es consciente que la direccin IP se ha obtenido a travs de este proceso intermedio entre el servidor DHCP y servidor RAS, el Servidor RAS se encarga de mantener la concesin de la direccin IP en nombre del cliente, por lo tanto, la nica informacin que el cliente recibe del servidor DHCP es la concesin de la direccin IP. Un servidor RAS cuando asigna direcciones IP usando un DHCP realiza los siguientes pasos: La direccin IP es concedida desde un cach de direcciones de un mbito del DHCP en el Servidor RAS El remoto y enrutamiento obtiene servidor de acceso y renueva su conjunto de direcciones en cach con el servidor DHCP. El Servidor RAS obtiene y renueva el conjunto de direcciones IP en cach con DHCP.
Si el servidor DHCP proporciona parmetros adicionales y otra informacin de configuracin provista a travs de las opciones de DHCP junto a la direccin IP, esta informacin se enva al cliente RAS para que sean utilizadas en las propiedades TCP/IP a travs del Servidor RAS. El DHCP en Windows 2008 contempla opciones predefinidas de clase usuario llamada Clase de enrutamiento y acceso remoto predeterminada, utilizada para asignar opciones slo a clientes que se conectan a travs de Servidores RAS.
Caractersticas de la VPN: Los protocolos usados para establecer VPN (PPTP, L2TP y SSTP) aportan las siguientes caractersticas: Encapsulacin: Los datos privados se encapsulan con un encabezado que contiene informacin de enrutamiento que le permite atravesar la red hasta el final. Autenticacin: La autenticacin puede tomar 3 formas: De Usuario usando PPP (protocolo punto a punto): se utiliza para establecer la VPN, el servidor VPN usa sta informacin para comprobar que usuario es y si tiene autorizacin para conectarse mediante acceso remoto, es posible activar autenticacin mutua. De Equipo usando IKE (Internet Key Exchange): Se utiliza para establecer una asociacin de seguridad IPSEC mediante el cual se intercambian certificados de equipo o palabras previas compartidas, en ste caso la autenticacin es mutua a nivel de equipo, es muy recomendable el uso de certificados digitales para elevar los niveles de seguridad, ste mtodo se utiliza en conexiones VPN L2TP/IPSEC Autenticacin de datos en origen (integridad de datos): la integridad de datos garantiza que los datos recibidos dentro de una conexin VPN son generados por el equipo al otro lado de la conexin y que no han sido modificados durante su trnsito, la forma de asegurar ste hecho es haciendo que los datos contengan una informacin de resumen de comprobacin (cheksum) cifrada conocido como el hash usando una firma digital que debe ser conocida entre las 2 partes (origen y destino), se implementa en VPN L2TP/IPSEC. Cifrado de Datos: Para asegurar los datos que se transfieren a travs de un enlace inseguro como Internet, el equipo que enva cifra los datos y el receptor los descifra, ste proceso depende del uso de una llave de cifrado comn, un dato cifrado debe ser inteligible si es interceptado (A menos que se tenga la llave para descifrarlo). La longitud de la clave que se utilice para realizar los procesos de cifrado y descifrado deben ser lo suficientemente fuertes (a mayor longitud mayor seguridad) pero .
tenga en cuenta que a mayor longitud de clave tambin se exige mayor capacidad computacional (Mejor desempeo de CPU en funcin de tiempo). Certificados Digitales en las VPN: Cuando se establece una conexin VPN se debe garantizar la seguridad porque estamos usando un medio inseguro como Internet, los protocolos PPTP y L2TP ayudan a cumplir con ste objetivo, sin embargo L2TP tiene mayores ventajas sobre PPTP por que incorpora IPSEC lo que le permite cifrar y autenticar los datos. La autenticacin en L2TP tambin es ms fuerte que en PPTP por que permite autenticar tanto el usuario como el equipo y aporta cifrado al paquete de autenticacin del usuario. Aunque como vemos L2TP es ms seguro, PPTP tambin tiene otras ventajas como por ejemplo aportar compatibilidad con sistemas operativos Microsoft antiguos, adems L2TP necesita IPSEC para trabajar y se recomienda el uso de certificados digitales emitidos por una CA (Autoridad de certificados) mientras que PPTP usa un sistema de cifrado propio de Microsoft llamado MPPE (Microsoft Point to Point Encription) que no utiliza certificados digitales. Protocolos de Tnel usados por la VPN: Un tnel permite la encapsulacin de un paquete creado por un protocolo dentro de otro creado por otro protocolo, en las VPN los protocolos PPTP, L2TP y SSTP pueden encapsular paquetes de tipo PPP que a su vez fue diseado para encapsular paquetes IP usando conexiones por marcacin. PPTP: Cifra y encapsula datos para ser transferidos en enlaces inseguros tipo Internet, PPTP usa GRE (Generic Routing Encapsulation) como protocolo de encapsulamiento de paquetes PPP dndoles proteccin mediante el cifrado y haciendo compresin sobre ellos. El mecanismo de cifrado se realiza usando el protocolo MPPE que usa llaves de cifrado generadas por MS-CHAPV2 o EAP-TLS. L2TP: Permite cifrar el trfico bajo un medio que soporte entrega de datagramas punto a punto, es el resultado de la combinacin PPTP y L2F (Level 2 Forwarding); A diferencia de PPTP, L2TP no usa MPPE para cifrar ya que involucra a IPSEC para sta finalidad, ambas partes Cliente (XP/Vista) y el Servidor (2003/2008) deben soportar IPSEC. L2TP encapsula en 2 capas, la primera encapsula el paquete PPP en un encabezado UDP y la segunda capa envuelve el mensaje L2TP resultante con un encabezado IPSEC ESP (Encription Security Payload) y un paquete adicional de autenticacin (Trailer) para dar integridad y autenticacin y genera un encabezado IP final con la direccin IP origen y destino que corresponde con el cliente y el servidor en la conexin VPN. El cifrado L2TP se realiza con protocolos DES (Data Encryption Standard) o 3DES con llaves generadas a partir de la negociacin IKE. SSTP: es el protocolo de tnel ms reciente que utiliza el protocolo HTTP seguro a travs del puerto TCP 443 con la comodidad de transferir datos a travs de firewalls y proxies que pueden bloquear el trfico PPTP y L2TP/IPSec; SSTP proporciona un mecanismo para encapsular trfico PPP a travs de la capa de sockets seguros (SSL) del canal del protocolo HTTPS. Se debe usar PPP para soportar mtodos de autenticacin fuerte, como EAP-TLS, SSL proporciona seguridad a nivel de transporte con una mayor negociacin de claves, cifrado y comprobacin de integridad, cuando un cliente intenta establecer una conexin VPN basada en SSTP, SSTP primero establece una capa bidireccional HTTPS con el servidor SSTP a continuacin sobre esta capa de HTTPS, los datos fluyen junto a los protocolos de encapsulacin y cifrado (usa puerto TCP 443 y canales SSL de HTTPS) Usar PPTP si la organizacin tiene una gran variedad de clientes Microsoft antiguos y nuevos, PPTP no requiere una PKI, PPTP ofrece cifrado pero no integridad de datos (no puede saber si el dato ha sido modificado en trnsito o si el dato fue enviado por el usuario autorizado). Usar L2TP slo si los sistemas son Windows 2000 en adelante, si se decide usar con certificados digitales se debe instalar una PKI que emita los certificados de equipo necesarios para la conexin VPN L2TP activa la autenticacin de Equipo (en la capa IPSEC) y de Usuario (en la capa PPP) .
Entre los factores a tener en cuenta y que pueden determinar cul protocolo VPN se debe usar estn:
Se puede usar SSTP slo si los clientes son Windows Vista SP1 en adelante Los 3 tipos de tneles ofrecen trabajo con PPP y por tanto son comunes en esquemas de autenticacin, NAP, IPv4 e IPv6. Al instalar un servidor VPN un administrador debe tener en cuenta los siguientes aspectos: Determine qu interfaz de red se conecta a Internet y que interfaz de red se conecta a su red privada. Determinar si los clientes remotos recibirn direcciones IP de un servidor DHCP en su red privada o desde el servidor VPN de acceso remoto que est configurando. Determine si desea solicitudes de conexin de los clientes VPN para ser autenticados por un servidor RADIUS o por el servidor VPN de acceso remoto que est configurando. Determinar si los clientes VPN pueden enviar mensajes DHCP al servidor DHCP en la red privada. Si el servidor DHCP se encuentra en la misma subred que el servidor VPN, los mensajes DHCP podrn acceder al servidor DHCP despus que la conexin VPN se establece, pero si el servidor DHCP est en una subred distinta a la del servidor VPN entonces se debe configurar un agente de retransmisin DHCP. Compruebe que todos los usuarios tienen cuentas de usuario configuradas para acceso remoto, bien sea en la base local del Servidor VPN o en un servicio de Directorio Activo. Configurar filtros de paquetes estticos, para proteger mejor la red. Configurar servicios y puertos. Ajustar los niveles de registro para los protocolos de enrutamiento. Configurar el nmero de puertos VPN. Agregar o eliminar puertos VPN. Generar perfiles de conexin usando la herramienta CMAK (Connection Manager Administration Kit). Instalar servicios de Certificados PKI (AD CS) para Aumentar la seguridad de acceso remoto. Proteger a los usuarios remotos y la red privada mediante la aplicacin de uso de mtodos de autenticacin seguros y mayores niveles de cifrado de datos.
Despus de Instalar el Servidor de VPN un administrador puede realizar las siguientes tareas:
Directivas de Red
Son conjuntos de condiciones, restricciones y ajustes que le permiten saber al servidor RAS / NPS quin est autorizado para conectarse a la red y las circunstancias en que pueden, o no pueden conectarse, al implementar NAP, la directiva de salud se agrega a la configuracin de la directiva de red para que NPS haga los controles de salud del cliente durante el proceso de autorizacin, las directivas de red se pueden ver como reglas con un conjunto de condiciones y ajustes, NPS compara las condiciones de la regla con las propiedades de las solicitudes de conexin y si se produce una coincidencia entre la regla y la solicitud de conexin, la configuracin que se define en la regla se aplica a la conexin. Al definir mltiples directivas de red en un Servidor NPS, se establece un orden por el que el Servidor NPS comprobar cada solicitud de conexin contra las reglas empezando por la primera regla de la lista, luego el segundo, y as sucesivamente, hasta que se encuentra una coincidencia. Cada directiva de red tiene un estado de configuracin de la directiva que puede estar activada o desactivada, si se deshabilita una directiva de red, NPS no la tendr en cuenta en el momento de autorizar las solicitudes de conexin. Cada directiva de Red tiene 4 categoras de propiedades: General: en esta pestaa podemos especificar si la directiva est habilitada, si la poltica concede o niega el acceso, el mtodo de conexin de red, el tipo de servidor RAS necesario para las solicitudes de conexin, si se ignora las propiedades de la pestaa marcacin en las propiedades del usuario en el dominio (NPS solo usar la Directiva de red para determinar si se debe autorizar la conexin). .
Condiciones: son las condiciones que la solicitud de conexin debe tener para que coincida con la directiva de red; Si las condiciones configuradas en la directiva coincide con la solicitud de conexin, NPS aplica la configuracin de directiva de red a la conexin. Restricciones: son parmetros adicionales de la directiva de red que se aplicarn a la conexin que coincida con la directiva, por tanto como resultado si la solicitud de conexin no coincide con las restricciones, NPS rechazar la solicitud de conexin Ajustes: Son propiedades de configuracin que NPS aplica, si todas las condiciones de la directiva se cumplen.
Al crear directivas de red, NPS ejecutar un asistente para crearla paso a paso, una vez creada se puede editar para su modificacin.
crea un archivo ejecutable, que puede distribuir de muchas formas o incluido durante actividades despliegue como parte de la imagen del sistema operativo. CMAK es un componente opcional que no est instalado de forma predeterminada. Debe instalar CMAK para crear perfiles de conexin que los usuarios pueden instalar para acceder a redes remotas. Proceso de Configuracin de un perfil con CMAK: El asistente para crear perfiles de conexin con CMAK incluye muchas variables que garantizan en el cliente una forma de acceso controlada y libre de error lo cual beneficiara a los administradores por que se reducirn las llamadas de soporte, entre las muchas opciones que podemos configurar estn: Sistema Operativo en el que se va a crear la conexin, especificar el nombre de la conexin, agregar entradas de libretas telefnica (si se trata de una conexin por marcacin) Especificar tablas de enrutamiento, configuraciones que soporten las conexiones VPN, configurar el PROXY de Internet Explorer, personalizar los iconos e imgenes de la conexin entre otras. Para distribuir los perfiles de conexin creados a los usuarios CMAK crea un nico fichero ejecutable (EXE) que puede distribuir a los usuarios a travs de algunos mtodos como: Incluirlo en una imagen para nuevos equipos, entregar el perfil de la conexin en medios extrables para que sean instalados manualmente, o distribuir el perfil con herramientas de distribucin de software automatizada.
Resumen
Se puede concluir que es posible permitir el acceso a clientes de una organizacin desde sitios o ubicaciones distintas a las de la organizacin, en muchas casos usando conexiones a Internet, sin embargo los administradores debemos vigilar la manera ms segura de implementar sta solucin teniendo en cuenta muchas variables, tales como a qu usuarios se les permite el acceso?, si se les permite, qu condiciones deben cumplir en el momento de establecer la conexin?, tambin es importante conocer los protocolos de conexin que podemos implementar ya que stos nos darn .
mltiples niveles y opciones de seguridad en la autenticacin y en el envo de informacin hacia nuestra red. Para implementar una infraestructura de acceso remoto segura deberamos diferenciar cada una de las partes que intervienen en ella por ejemplo instalar el servidor de VPN para que se encargue de negociar la conexin, instalar un Servidor DHCP para que asigne la configuracin de IP y las opciones necesarias, se recomienda utilizar servidores RADIUS que evitar tener los servidores VPN unidos al dominio en la red interna y por tanto evitamos tambin tener que abrir puertos innecesarios desde una red desprotegida a las redes internas, adems con el uso de las directivas de red se flexibiliza el acceso pero se mantiene configuraciones de restricciones que se deben cumplir en la conexin, as mismo si se quiere dar ms seguridad es posible vigilar el entorno dependiendo de los ordenadores que se usen para el acceso a la red usando servicios de NAP y finalmente para garantizar en todo momento mayor seguridad conviene establecer una infraestructura de llave pblica (PKI) dado que gracias a los certificados digitales se implementan protocolos de autenticacin y de cifrado ms seguros como IPSEC y la autenticacin basada en tarjetas inteligentes.
Recuerde
Para signar las direcciones IP a los clientes es posible usar DHCP pero si este no se encuentra en la red del servidor RAS entonces se hace necesaria la instalacin de un agente de retransmisin DHCP Si no se desea abrir puertos para la implementacin de VPN PPTP o L2TP entonces es posible abrir slo el puerto https para implementar la solucin usando el puerto TCP 443 La autorizacin de acceso de un usuario a travs de RAS se puede decidir en las propiedades de la cuenta del usuario en la pestaa Marcacin, sin embargo aunque sta opcin permita el acceso, es posible desde el servidor RAS usando las directivas de red ignorar sta opcin y hacer que la directiva sea la que determine si el usuario puede tener autorizacin de acceso a la red. Cuando se activan opciones de registro en ficheros, un servidor de directivas de red (NPS) puede dejar de responder si por alguna razn no puede generar registros. Se recomienda desactivar los protocolos que no se utilicen Siempre es mejor tener un sistema de autenticacin basado en RADIUS por seguridad. El sistema de acceso ms seguro es utilizar L2TP con certificados digitales ya que incorpora IPSEC y la autenticacin que est basada en Tarjetas inteligentes.
3. En sta funcin se mostrarn varias Funciones de Servicio, pero para el Servidor RRAS (Enrutamiento y acceso Remoto) seleccionar las 2
4. Cuando la funcin est instalada, se debe empezar el proceso de configuracin del servicio de RRAS, en ste caso ser configurado como Servidor de VPN, desde las Herramientas administrativas pinchar en Enrutamiento y acceso remoto.
5. Como el Servicio no est configurado se mostrar una flecha roja hacia abajo, sobre el nombre del servidor hacer clic derecho y seleccionar la opcin Configurar y habilitar enrutamiento y acceso remoto
7. El Servicio de Acceso Remoto propone mltiples funciones, entre ellas la de Servidor de conexiones por marcacin y VPN, la seleccionamos y luego siguiente.
9. A continuacin se debe seleccionar la Adaptadora de red que recibir las solicitudes de conexin VPN, aqu se debe seleccionar la adaptadora que conecta a Internet (Se recomienda Renombrar las adaptadoras de red para identificarlas en la configuracin de RRAS mucho ms fcil), dejar marcada la opcin de Habilitar Seguridad, esto crear filtros que slo permiten acceso en los protocolos necesarios de clientes VPN (PPT, L2TP, SSTP).
10. Ahora debemos indicar la forma en que los clientes que intenten una conexin VPN recibirn la configuracin IP, desde un rango esttico configurado en el servidor RAS o desde un DHCP, para el ejemplo usar un rango de direcciones estticos de RAS.
11. A continuacin debemos definir el rango de IP a conceder, pinchar en Nuevo y definir las direcciones IP de inicio y de fin (la cantidad de IP deben ser de acuerdo al nmero de clientes que se conectarn simultneamente y una direccin IP adicional para el mismo Servidor RAS)
12. El siguiente paso especifica cmo se realizar el proceso de autenticacin de los usuarios, por ahora no usaremos RADIUS ya que lo veremos en la siguiente unidad, por tanto el propio servidor RAS debe hacer la autenticacin y autorizacin.
14. El asistente muestra un mensaje recordando de la necesidad de instalar un Agente de retransmisin DHCP en caso de usar un Servidor DHCP para configurar los clientes VPN.
16. Ahora se muestra una flecha verde arriba en el nombre del servidor
17. A continuacin configuraremos los puertos necesarios para que los clientes VPN puedan conectar, para hacerlo, sobre el nodo Puertos hacer clic derecho y seleccionar Propiedades
18. Observamos que por cada protocolo de acceso VPN se configuran por defecto 128 puertos, vamos a modificarlo para usar 10 de cada uno de ellos 19. Por ejemplo seleccionar PPTP y luego Configurar
22. El siguiente paso a configurar son las directivas de red que se encargarn de Autorizar a los usuarios en el intento de la conexin. 23. Para ver las directivas de red hacer clic derecho sobre el nodo Directivas y registro de acceso remoto y seleccionar Iniciar NPS
24. Se abrir una nueva consola que me permite ver las directivas predeterminadas que por defecto son 2 y definen un permiso de acceso negado, tambin es posible crear nuevas directivas de red.
25. Para crear una nueva directiva sobre el nodo Directivas de Red hacer clic derecho y luego seleccionar Nuevo.
26. Se lanza un asistente para guiar el proceso de creacin de la directiva, asignar un nombre para la directiva y luego seleccionar el tipo de servidor para que sea de Acceso remoto (VPN y marcacin)
27. A continuacin debemos definir las condiciones que se deben cumplir para que se evalu el intento de conexin, al pinchar en agregar aparece una lista con todas las opciones que un cliente debera cumplir por ejemplo agregar como tipo de conexin debe ser PVN (PPTP o L2TP) y definir que slo pueden acceder usuarios de un grupo de Windows (por ejemplo Administradores).
28. Todas las condiciones son de tipo AND es decir se deben cumplir todas las condiciones, en ste caso la conexin debe ser VPN y el usuario debe pertenecer al grupo Administradores local del Servidor de Acceso remoto
29. A continuacin debemos decidir la autorizacin a los intentos de conexin que cumplan con las condiciones anteriores, en este caso (Permitir), otra manera de autorizar la conexin es definiendo las propiedades de marcacin del usuario.
30. A continuacin se seleccionan los mtodos de autenticacin necesarios, dejamos seleccionados los predeterminados
31. El siguiente paso consiste en agregar restricciones adicionales cuando el usuario tenga autorizacin de acceso, estas restricciones son causa de desconexin tambin, por ejemplo se pueden determinar restricciones de da y hora.
32. En el ltimo paso se pueden definir opciones adicionales tales como Filtros, niveles de cifrado exigidos entre otros
33. Al Finalizar veremos el resumen de todas las opciones seleccionadas, pulsar Finalizar para crear la Directiva
34. La directiva aparecer en la lista en el orden preferente aunque luego las directivas se pueden modificar de orden.
35. Otros valores de configuracin importantes en los servicios de acceso remoto es activar los ficheros de registro. 36. Sobre el Servidor Ras clic derecho y seleccionar Propiedades
38. Para realizar una prueba de conexin usaremos un cliente Windows Vista (VistaCli2), se crear una conexin VPN, desde el Centro de Redes y recursos compartidos, seleccionar Configurar una conexin o red
42. Escribir la Direccin IP de conexin del Servidor VPN (correspondera a la direccin IP pblica que un cliente puede alcanzar desde Internet) y darle un nombre a la conexin
43. Escribir las credenciales del usuario con el que queremos establecer la conexin
44. Una vez creada la conexin seleccionar la opcin Conectarse a una red
47. El proceso de conexin autentica al usuario, registra la conexin y finalmente se conecta si no hay inconvenientes con la autenticacin o con la autorizacin.
48. Windows Vista nos pregunta la ubicacin de red para asignarle un perfil de firewall, en ste caso puede ser una ubicacin de Trabajo
50. En el centro de redes y recursos compartidos veremos la conexin establecida, si pinchamos en Ver Estado
51. En el Estado de la conexin ver la pestaa Detalles, podemos confirmar que la conexin ha sido establecida con PPTP, en la autenticacin se us MS-CHAPv2, para cifrado usa MPPE 128 y las direcciones IP del cliente (concedida del rango configurado en el Servidor RAS) y la direccin IP del Servidor Ras (La primera IP del rango)
52. Sobre el servidor se ver que tambin se detecta una nueva red y pide la ubicacin para dicha red, se refiere a una Interfaz de conexin RAS Servidor que se genera en el momento que el primer cliente conecta en el servidor RAS
53. En el visor de eventos del servidor RAS bajo el nodo de registros de Windows, Registros del Sistema se vern registros de Origen RemoteAccess.
54. Podemos confirmar que el evento 20274 registra el acceso del usuario Administrador, el nmero de puerto usado y la direccin IP concedida
Unidad 7. Instalacin, Configuracin y Solucin de problemas de la function de Servicio NPS (Network Policy Service)
Introduccin
En este mdulo se explica cmo instalar, configurar y solucionar problemas de la Red de Polticas de funcin de servidor de servicio. Red Policy Server (NPS) es la implementacin de Microsoft de una autenticacin remota telefnica de Servicio de usuario (RADIUS) y proxy en Windows Server 2008. NPS es el sustituto de Internet Authentication Service (IAS) de Windows Server 2003. NPS le permite configurar y administrar las polticas de red central, con las siguientes caractersticas: servidor RADIUS, proxy RADIUS y el servidor de la poltica del PAN Cuando los usuarios intentan conectarse a su red a travs de servidores de acceso a la red - tambin llamados clientes RADIUS - como los puntos de acceso inalmbrico, autenticacin 802.1X conmutadores, servidores de acceso telefnico, VPN y servidores, fuentes de energa nuclear autentica y autoriza la solicitud de conexin antes de autorizar o negar el acceso. Puesto que la autenticacin es el proceso de verificacin de la identidad del usuario o el ordenador intenta conectarse a la red, fuentes de energa nuclear debe recibir un documento de identidad del usuario o el ordenador en forma de credenciales. Algunos mtodos de autenticacin implementar el uso de credenciales basadas en contraseas. Por ejemplo, Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP) requiere que los usuarios escribir un nombre de usuario y contrasea. El servidor de acceso a la red pasa estas credenciales para el servidor de fuentes de energa nuclear, que verifica las credenciales a las cuentas de usuario de base de datos. Otros mtodos de autenticacin de implementar el uso de credenciales basadas en certificados para el usuario, el equipo cliente, el servidor NPS, o alguna combinacin. mtodos de autenticacin basados en certificados proporcionar seguridad fuerte y se recomiendan sobre los mtodos de autenticacin basados en contraseas. Usted puede controlar mediante la configuracin de fuentes de energa nuclear y el uso de registro de eventos y la autenticacin de usuarios y pide a la contabilidad. El registro de eventos le permite registrar eventos NPS en el sistema y registros de sucesos. Puede utilizar el registro de solicitud de anlisis de la conexin y la facturacin. La informacin que recogen los archivos de registro es til para solucionar los intentos de conexin y de investigacin de seguridad. Al implementar NPS, puede especificar el tipo requerido de mtodo de autenticacin para el acceso a la red.
Definiciones
Instalacin y configuracin del Servidor de Polticas de red (NPS):
El Servidor de polticas de red NPS es la implementacin Microsoft de un servidor RADIUS (Remote Authentication Dial-in User Service) este servicio reemplaza el IAS (Internet Authentication Service) de Windows 2003, NPS tiene como finalidad configurar y administrar directivas de red en forma centralizada que determinarn los procesos de autenticacin y autorizacin para los clientes de acceso remoto, el servicio presenta 3 caractersticas: Servidor RADIUS: Centraliza todas las polticas de acceso remoto y se encarga de autenticar y autorizar las solicitudes de acceso remoto de clientes a travs de VPN, conexiones por marcacin, accesos inalmbricos y autenticacin en Switch (redes cableadas). .
RADIUS sirve como punto central de la gestin de las directivas de acceso remoto para los servidores RAS (Clientes RADIUS) de cualquier versin de servidor de Windows o para dispositivos que soporten autenticacin RADIUS en entornos heterogneos. Si el Servidor NPS est unido a un Dominio utiliza la base de datos del Directorio para autenticar y autorizar el acceso al usuario. Al configurar NPS como RADIUS se establece una comunicacin de tipo Cliente / Servidor donde el papel de los clientes esta soportado en los servidores de acceso remoto RAS y dispositivos que permitan reenviar credenciales de autenticacin a un servidor RADIUS Servidor de Directivas NAP (Network Access Protection): El servidor NPS configurado como NAP se encargar de evaluar los estados de cumplimiento de salud (SoH) que los clientes compatibles con NAP envan al intentar conectar en la red, NPS acta como RADIUS cuando se configura como NAP ya que se encarga de autenticar y autorizar las conexiones. Sistemas operativos como Windows Vista y Windows 2008 incluyen NAP, el objetivo principal de NAP consiste en ayudar a proteger la red privada al asegurarse que los equipos desde donde se intenta hacer la conexin estn configurados de acuerdo a las directivas de cumplimiento de salud en red antes que puedan conectar a los recursos de la red privada.
NAP continuar vigilando al cliente inclusive si en el momento de la conexin cumpli con todas las opciones requeridas y posteriormente no entonces lo marcar como un cliente que no cumple con las directivas lo que impedira su acceso a la red, NAP tambin permite que los clientes puedan auto solucionar los problemas de incompatibilidad por las que ellos entran en un estado de restriccin. RADIUS Proxy: NPS puede tambin comportarse como un RADIUS Proxy permitiendo a travs de las directivas de solicitud de conexin que las autenticaciones sean reenviadas a otros servidores RADIUS que se encargarn de autenticar y autorizar el intento de conexin. Esta opcin se hace necesario en configuraciones donde un proveedor de acceso es externo, se debe integrar acceso inalmbrico, soluciones de acceso remoto en mltiples dominios, autenticar accesos a recursos en una extranet a socios de negocios, etc.
Es posible combinar las 3 configuraciones en una infraestructura de acceso remoto. Para administrar el NAP Microsoft pone a disposicin de los administradores una consola grfica MMC o los comandos NETSH. Por ejemplo Netsh nps show config (muestra y/o salva la configuracin del NPS a un fichero).
Se implementa en escenarios donde, el Servidor NPS se utiliza como un servicio externo de (VPN, Marcacin, etc) y debe reenviar las solicitudes de acceso a los RADIUS del cliente para que compruebe las identidades en la base de datos de usuarios del cliente. Si los usuarios que estn intentando conectar no son usuarios del Dominio al que el NPS est unido o con los que tenga alguna relacin de confianza, NPS usa el nombre del dominio para identificar el Servidor RADIUS al que debe enviar la solicitud de conexin en el dominio o bosque correcto. .
NPS soporta autenticacin entre bosques pero si los dominios estn formados por sistemas operativos Windows 2003 y se utiliza la autenticacin EAP-TLS usando certificados digitales, entonces se debe enviar la solicitud a su Servidor RADIUS en el bosque especfico de la cuenta. Si se debe realizar autenticacin y autorizacin de bases de datos que no son Windows como Novell o SQL. Si es necesario balancear la carga para un gran nmero de solicitudes de acceso reenviando a varios RADIUS.
CHAP que usa contrasea reversible (no es recomendable) y PAP que enva la informacin en texto plano por lo que es el ms dbil y es el menos recomendable de todos los protocolos. Otra forma de acceso es el mtodo NO autenticado (No exige credenciales al usuario y permite el acceso sin autenticacin) No debera utilizarse salvo en casos donde el cliente no use ninguno de los mtodos anteriores para la autenticacin. Mtodos de autenticacin con certificados digitales: es la forma ms fuerte en seguridad y por tanto el mtodo ms recomendable especialmente para accesos inalmbricos, un certificado digital es un documento que una autoridad de certificados (CA) emite, los certificados pueden tener mltiples propsitos pero con NPS el propsito necesario debe ser para autenticacin de acceso en red, usar los certificados digitales para establecer la autenticacin eleva la seguridad y por tanto elimina la necesidad de usar los mtodos de autenticacin basados en contrasea.
El Servidor NPS usa EAP-TLS y PEAP (usando PEAP-TLS y PEAP-MS-CHAPv2) como protocolos de acceso basados en certificados. Se recomienda usar certificados digitales para establecer el sistema de autenticacin ms fuerte, activando en VPN L2TP/IPSEC, en PPTP aunque no usa certificados se puede activar certificados para la autenticacin de equipo con EAP-TLS, en clientes inalmbricos usar PEAP con EAP-TLS y tarjetas inteligentes o certificados digitales para autenticacin. Windows Server 2008 incorpora el Servicio (AD CS) que activa la infraestructura de llave pblica (PKI) donde el Servidor que instala esta funcin ser el Servidor encargado de emitir certificados (CA) para los distintos servidores y clientes con el propsito de elevar la seguridad en la autenticacin y el transporte de datos. Usar EAP-TLS activa la autenticacin mutua pero cada una de las partes cliente / Servidor debe tener un certificado de autenticacin cliente (Cliente RAS) o un certificado de Autenticacin servidor (NPS) segn corresponda; stos propsitos de certificados son incorporados en la PKI de Windows Server 2008 (AD CS) a travs de plantillas de certificados que pueden ser ampliamente modificables. Para activar los distintos mtodos de autenticacin basados en certificado es necesario emitir los siguientes tipos de certificados: Certificado de la CA raz almacenado en el almacn Certificados de CA raz de Confianza de la cuenta de equipo y de usuario: Es necesario si se utiliza EAP-TLS, PEAP-TLS y PEAP-MS-CHAPv2 Certificado de Equipo en el almacn de certificados del equipo local del cliente: es necesario para EAP-TLS y PEAP-TLS a menos que se usen Tarjetas inteligentes (Si es el mtodo de autenticacin de usuario, la autenticacin de equipo no se usa). No se utiliza para MS-CHAPv2. Certificado de Servidor en el almacn de certificados local del Servidor NPS: Es necesario para la autenticacin EAP-TLS, PEAP-TLS y PEAP-MS-CHAPv2. Certificado de usuario en una tarjeta inteligente: No se usa para EAP-TLS o PEAP-TLS o PEAP-MSCHAPv2. La autenticacin IEEE 802.1X permite autenticado a dispositivos inalmbricos y redes cableadas Ethernet, activa el soporte para EAP seguro como EAP-TLS Con certificados digitales o tarjetas inteligentes. Si se activa la opcin Validar el certificado del servidor en el cliente entonces el cliente autentica el servidor usando este certificado; La autenticacin del equipo y del usuario se realiza usando certificados instalados en los almacenes del cliente o usando tarjeta inteligente activando la autenticacin mutua. Con los clientes inalmbricos se puede usar PEAP-MS-CHAPv2 (mtodo de autenticacin de usuario basado en contrasea que usa TLS con el certificado del Servidor), durante la autenticacin PEAP-MSCHAPv2 el servidor NPS suple un certificado para validar la identidad al cliente (Si la opcin Validar el certificado del Servidor esta activada) la autenticacin de la mquina y el usuario se establece con contraseas evitando as la tarea de desplegar certificados a dispositivos inalmbricos.
Para una correcta supervisin del Servidor NPS es recomendable configurar informacin de registro de todas las autenticaciones de usuario y solicitudes de cuentas para que sean grabadas en un fichero de texto o una base de datos SQL y en el visor de eventos del sistema operativo, a travs de los cuales es posible conocer informacin de conexiones cliente con propsitos de facturacin o para resolver problemas relacionados con la seguridad. Se recomienda almacenar los ficheros de registro en particiones distintas a la del sistema, la ubicacin por defecto para estos ficheros es Windows\system32\logfiles se puede cambiar el tipo de informacin a registrar, la frecuencia de creacin de los ficheros y el formato del fichero. As mismo es posible grabar eventos en el Visor de eventos de Windows, sobre las propiedades del Servidor NPS en la pestaa General se puede seleccionar cada opcin requerida como solicitudes de conexin fallidas, solicitudes de conexin correctas y luego Aceptar. Otro aspecto que podemos registrar en el visor de eventos son eventos de canales seguros (Schannel), por defecto no est habilitado y su objetivo es grabar eventos generados por protocolos de seguridad de Internet como SSL y TLS; para activar la posibilidad del registro de ste tipo de eventos se debe modificar la siguiente clave de registro: HKLMSystemcurrentcontrolsetcontrolsecurityprovidersschanneleventlogging de 1 a 3.
5. A continuacin en la consola el primer paso consiste en Autorizar el servicio en Directorio Activo, ste paso es necesario para permitirle al servidor NPS conectarse al Directorio para comprobar los procesos de autenticacin de los clientes
6. El proceso de autorizacin consiste en agregar la cuenta del equipo con la funcin RAS NPS en el grupo Servidores RAS e IAS.
7. Cuando el Servidor NPS est autorizado sobre el nodo NPS (local) en el panel de detalles se muestran opciones para configurar el Servidor como RADIUS o como NAP.
8. En ste caso seleccionar Servidor RADIUS para conexiones VPN y a continuacin hace clic en Configurar VPN o acceso telefnico
9. Desde aqu se activa un asistente y el primer paso consiste en determinar el tipo de conexin y el nombre de la directiva de Red que ser creada.
10. El siguiente paso consiste en crear los clientes RADIUS (Servidores de VPN) en ste caso usaremos el Servidor RAS instalado en la unidad anterior, al cual se le asignar una clave compartida.
11. El siguiente paso es configurar los mtodos de conexin, en ste caso seleccionar MS-CHAP v2.
12. A continuacin podemos especificar los grupos de usuarios que pueden establecer conexiones VPN, en ste caso se usa un grupo global de seguridad creado en el dominio con el Nombre Grupo Comerciales.
13. Se pueden establecer filtros de trfico de red, en ste paso no configuramos nada.
14. El siguiente aspecto determina las capacidades de cifrado de datos mnimas exigidas a los clientes usando MPPE (Microsoft Point to Point Encription).
17. El siguiente paso consiste en configurar el cliente RADIUS o Servidor RAS (VPN). Desde las propiedades del Servidor
18. En la pestaa Seguridad cambiar la Autenticacin de Windows por Autenticacin RADIUS y el proveedor de cuentas de Contabilidad de Windows a Administracin de Cuentas RADIUS, cuando se cambien las opciones para usar RADIUS se activarn los botones de Configurar
19. Al agregar el Servidor RADIUS (Servidor NPS) debemos indicar la direccin IP, el secreto compartido que debe ser igual al que se gener en el servidor NPS al crear la cuenta del cliente RADIUS y los puertos a utilizar, a saber 1812 y 1813.
20. Cuando el Servidor RAS este configurado para usar RADIUS entonces se debe reiniciar el Servicio
21. Cuando el Servidor RAS reinicie los servicios entonces podemos hacer una prueba con un cliente VPN. 22. Para que el cliente pueda establecer conexin se debe tener en el servidor RADIUS creados los Clientes RADIUS.
24. Y por ltimo podemos configurar un registro de los accesos de los clientes, para ello en la consola NPS en el nodo Cuentas se puede configurar un Archivo local o el registro en una base de datos SQL, en nuestro caso ser en un fichero local, hacer clic para configurarlo
27. Otro aspecto a tener en cuenta es que en la directiva de acceso a la red creada se especific que solo los miembros del grupo comerciales podan acceder a travs de accesos remotos VPN, para la prueba debemos crear un usuario y agregarlo a dicho grupo del dominio
28. A continuacin sobre el cliente podemos establecer la conexin VPN que tenamos creada de la unidad anterior
29. Al conectar debemos proveer las credenciales del usuario aadido al grupo comerciales para garantizar que el acceso VPN ser establecido
30. Al comprobar en el Servidor RAS podemos ver que en la lista de clientes VPN el cliente aparece en la lista
31. Ahora en el servidor NPS (RADIUS) comprobamos el Fichero de registro para saber si fue autenticado por el RADIUS, en la carpeta C:\Windows\System32\logfiles podemos ver que se ha generado un fichero llamado IN1006 (Depende de la configuracin)
32. Al abrir el fichero podemos comprobar lneas de registro que se generaron por el acceso del cliente VPN.
Definiciones
Generalidades de Proteccin de acceso a redes:
NAP (Proteccin de acceso a redes) es una infraestructura de servicios que garantiza que un cliente de acceso a la red tenga las configuraciones necesarias que las directivas de cumplimiento especficas que un administrador de red exige a dichos equipos; NAP para Windows Server 2008, Windows Vista y Windows XP SP3 proporciona los componentes y una interfaz de programacin de aplicaciones (API) que ayuda a los administradores a garantizar el cumplimiento de requisitos de las directivas de cumplimiento para acceso a la red o la comunicacin, NAP permite a los desarrolladores y administradores crear soluciones para la validacin de equipos que se conectan a sus redes, as como proporcionar las actualizaciones necesarias o el acceso a recursos necesarios para que un cliente NAP pueda cumplir con los requisitos de acuerdo a la directiva porque si no los cumple ste equipo entonces tendr acceso y comunicaciones limitadas. Es posible integrar caractersticas de la ejecucin del NAP con software de otros fabricantes o con programas desarrollados a medida dando como resultado un control de los ordenadores para que cumplan con las opciones establecidas en stos programas desarrollados y siempre teniendo en cuenta que si no cumplen puedan actualizarse automticamente y as poder cumplir en forma correcta. NAP no protege a una red de usuarios malintencionados, por el contrario, ayuda a los administradores a mantener la salud de los ordenadores de su red automticamente, lo que a su vez ayuda a mantener la integridad global de la red.
Por ejemplo, si un equipo tiene todo el software y opciones de configuracin que la poltica de salud requiere, el equipo es compatible y tendr acceso a la red en forma ilimitada pero NAP no impide que un usuario autorizado con un ordenador compatible ejecute en la Red un programa malicioso o tenga un comportamiento inapropiado. NAP tiene tres aspectos importantes y distintos: Validacin del estado de Cumplimiento: Cuando un equipo intenta conectarse a la red, el estado de salud del equipo se valida con los requisitos de las directivas de cumplimiento que define el administrador, los administradores tambin pueden definir qu hacer si un equipo no es compatible. Con NAP es posible configurar un entorno de slo supervisin, lo que permite que todos los equipos evalen su estado de salud y luego registrar el estado de cumplimiento de cada equipo para un anlisis posterior. Pero si se configura un entorno de acceso limitado, los equipos que cumplan con las directivas de salud se les conceden acceso a la red en forma ilimitada, pero los equipos que no cumplan con los requisitos de la directiva de cumplimiento tendrn acceso limitado en una red restringida. Directivas de Cumplimiento de salud: Los administradores pueden ayudar a garantizar el cumplimiento de los requisitos de salud mediante la eleccin de actualizar automticamente equipos que no cumplen con actualizaciones de software ausentes o cambios de configuracin a travs de software de gestin, tales como Microsoft System Center Configuration Manager (SCCM). En un entorno de solo supervisin los ordenadores tendrn acceso a la red antes que sean actualizados con las actualizaciones necesarias o los cambios de configuracin.
En un entorno de acceso limitado, los equipos que no cumplen las normas tienen un acceso limitado hasta que las actualizaciones y cambios de configuracin se apliquen. En ambos entornos, los equipos que sean compatibles con el NAP pueden llegar a cumplir con las directivas de salud en forma automtica mientras que los equipos que no son compatibles con NAP los administradores pueden definir excepciones. Acceso Limitado: Los administradores pueden proteger sus redes al limitar el acceso de los equipos que no cumplen, segn lo definido por el administrador; es posible permitir acceso limitado a la red una cantidad especfica de tiempo o que el equipo que no cumple las normas pueden tener acceso a una red restringida que contiene los recursos que le permite actualizar su estado de cumplimiento de salud, el tiempo que el equipo estar en la red restringida ser el necesario hasta que cumpla con el estado de salud solicitado. Los administradores tambin pueden configurar excepciones para que los equipos que no son compatibles con el NAP no tengan acceso a la red limitado.
Escenarios NAP
NAP puede ser una solucin para las siguientes situaciones: Verificar el estado de salud de equipos porttiles mviles: la portabilidad y la flexibilidad son dos ventajas principales de los equipos porttiles, pero estas caractersticas tambin presentan una amenaza para la salud. Los porttiles de la empresa con frecuencia salen y entran a la red de la empresa, pero mientras que estn fuera de la empresa, no pueden recibir las actualizaciones ms recientes o cambios de configuracin, adems, la exposicin sin proteccin a las redes, como Internet, pueden infectar a los ordenadores porttiles; usando NAP permite a los administradores de red comprobar el estado de salud de cualquier ordenador porttil cuando se vuelve a conectar a la red de la empresa, ya sea a travs de una red privada virtual (VPN) o fsicamente cuando se conecten a la red interna. Verificar el estado de salud de los equipos de escritorio: Aunque los ordenadores de escritorio no suelen salir de las instalaciones, tambin pueden presentar una amenaza a una red; para reducir esta amenaza, los administradores deben mantener estos equipos con las actualizaciones ms recientes y el software necesarios, de lo contrario, estos equipos estn en riesgo de infeccin de sitios Web, correo electrnico, ficheros de carpetas compartidas, y otros recursos de acceso .
pblico; NAP permite a los administradores de red automatizar los controles del estado de salud para verificar el cumplimiento de cada equipo de escritorio con los requisitos de las directivas de salud. Los administradores pueden comprobar los ficheros de registro para determinar qu equipos no cumplen, adems, el uso de software de gestin permite a los administradores generar informes automticos y actualizar automticamente los equipos que no cumplen las directivas, cuando los administradores cambian las directivas de salud, los ordenadores se pueden configurar automticamente con las actualizaciones ms recientes. Verificar el estado de salud de ordenadores porttiles Visitantes: En ocasiones una organizacin tiene que permitir a usuarios externos como consultores, socios comerciales y clientes conectarse a sus redes privadas, los equipos porttiles que estos visitantes pondrn en su organizacin pueden no cumplir con los requisitos del sistema de salud y pueden presentar riesgos para la red, NAP permite a los administradores determinar que las ordenadores porttiles de visitantes que no son compatibles tengan acceso limitado slo a una red restringida, es posible que los administradores no quieran proporcionar actualizaciones o cambios de configuracin en los porttiles de visita y permitir acceso a Internet para dichos equipos, pero no de los dems equipos de la organizacin que tienen un acceso limitado. Verificar el estado de salud de los ordenadores domsticos no administrado: equipos no administrados (equipos de casa) que no son miembros activos del Directorio Activo, se pueden conectar a la red de la empresa a travs de VPN, estos equipos proporcionan un reto adicional para los administradores, porque no pueden acceder a estos ordenadores fsicamente, la falta de acceso fsico hace que controlar el cumplimiento de los requisitos de salud, tales como el uso de software antivirus, sea ms difcil, sin embargo, NAP permite a los administradores de red comprobar el estado de salud de un ordenador de casa cada vez que realiza una conexin VPN a la red de la empresa y limitar su acceso a una red restringida hasta que se cumpla con los requisitos del sistema de salud.
Ethernet (switch) o una autenticacin IEEE 802,11 de un punto de acceso inalmbrico (AP). Para los equipos que no cumplen, se limita el acceso a la red a travs de un perfil de acceso restringido en el que el dispositivo Ethernet o el punto de acceso inalmbrico sita la conexin, el perfil de acceso restringido puede especificar filtros de paquetes IP o un ID de red de LAN virtual (VLAN) que corresponde a la red restringida. El mtodo 802.1X refuerza los requerimientos de las polticas de salud cada vez que un equipo intenta una conexin de red 802.1X autenticada, 802.1X tambin vigila activamente el estado de salud del cliente NAP conectado y se aplica el perfil de acceso restringido a la conexin si el cliente se convierte en un equipo que no cumple las directivas. Los componentes de 802.1X constan de un servidor NPS de Windows Server 2008 y un EC EAP Host en Windows Vista, Windows XP SP3 y Windows Server 2008. Forzado VPN: con este mtodo de forzado un equipo debe cumplir para obtener acceso a la red ilimitada a travs de una conexin VPN de acceso remoto, para los equipos que no cumplen las directivas, el acceso a la red se limita a travs de un conjunto de filtros de paquetes IP que el servidor VPN aplica a la conexin VPN. El forzado VPN refuerza los requerimientos de las directivas de salud cada vez que un ordenador intenta obtener una conexin VPN.
El forzado VPN tambin vigila activamente el estado de salud del cliente NAP y aplica los filtros de red restringida de paquetes IP para la conexin VPN si el cliente se convierte en un equipo que no cumple las directivas. Los componentes del forzado VPN constan de un servidor NPS en Windows Server 2008 y un Cliente NAP (CE VPN) que forma parte del cliente de acceso remoto en Windows Vista, Windows XP SP3 y Windows Server 2008. Forzado DHCP: con este mtodo de forzado un equipo debe cumplir para obtener un acceso ilimitado de acuerdo a la configuracin de direccin IPv4 de un servidor DHCP; para los equipos que no cumplen el acceso a la red est limitado por una configuracin de direcciones IPv4 que slo le permite acceso a la red restringida.
DHCP hace cumplir los requisitos de las directivas de salud cada vez que un cliente DHCP intenta solicitar o renovar una configuracin de direccin IP; con el forzado DHCP tambin se controla el estado de salud del cliente NAP constantemente por lo que renueva la configuracin de la direccin IPv4 para el acceso nicamente a la red limitada cuando el cliente se convierte en un equipo que no cumple con las directivas. Los componentes del forzado DHCP constan de un Servidor DHCP (ES DHCP) que forma parte del servicio DHCP Server en Windows Server 2008 y un Cliente NAP (CE de DHCP) que forma parte del servicio de cliente DHCP en Windows Vista, Windows XP SP3 y Windows Server 2008. Este mtodo de forzado se considera el ms dbil de todos debido a que depende de la configuracin en el cliente si se produce obteniendo IP desde un Servidor DHCP, pro un usuario con privilegios suficientes puede modificar la opcin de obtencin de IP por DHCP y asignar la IP en forma Manual evitando as el sistema de forzado. Terminal Services Gateway (TSG): Se pueden configurar servidores Gateway de Terminal Server 2008 y clientes de Servicios de Terminal Server para usar NAP, de sta manera se mejora la seguridad.
Clientes NAP: equipos que soportan la plataforma NAP para el acceso a la red o la comunicacin de acuerdo a la validacin de su estado de cumplimiento de salud. Puntos de forzado NAP: equipos o dispositivos de acceso a la red que utilizan NAP o que se pueden utilizar con NAP para exigir la evaluacin del estado de salud de un cliente NAP y .
dependiendo de ello el cliente tendr acceso a la red en forma ilimitada o slo tendr acceso a una red restringida limitndole su comunicacin a otros equipos de la red; los puntos de forzado NAP usan un Servidor de Directivas de Red (NPS) que acta como un servidor de directivas de cumplimiento de salud NAP a travs de las cuales el servidor evala el estado de salud de los clientes NAP, determina si puede acceder a la red o se le restringe a una red aislada en la que podr encontrar servidores de actualizacin que le permitirn al cliente cambiar su estado de salud y empezar a cumplir con la directiva permitiendo al cliente salir de la red aislada y empezar a tener comunicacin con los dems equipos de la red. Los puntos de forzado que utiliza NAP son: HRA (Health Registration Authority): este es un equipo que ejecuta Windows Server 2008 e Internet Information Services (IIS), y que obtiene los certificados de cumplimiento desde una autoridad de certificados (CA) para entregrselos a los equipos que cumplen con la directiva. Servidor VPN: este es un equipo que ejecuta Windows Server 2008, con el servicio de enrutamiento y acceso remoto, y que permite realizar accesos a la red interna a travs de conexiones VPN de acceso remoto. Servidor DHCP: este es un equipo que ejecuta Windows Server 2008 y el servicio Servidor DHCP, y que proporciona direccionamiento IPv4 y su configuracin en forma automtica a los clientes DHCP de una red interna. Dispositivos de acceso a la red: son dispositivos como switch Ethernet o puntos de acceso inalmbricos que soportan la autenticacin IEEE 802.1X. Servidores de Directivas de cumplimiento (NAP): Son los equipos que ejecutan Windows Server 2008 y el servicio NAP, contienen directivas con requerimientos de salud y proporciona validacin de estado de salud NAP; NPS es el servicio en Windows 2008 que reemplaza a IAS (Servicio de autenticacin Internet equivalente al servidor RADIUS) de Windows 2003; NPS tambin acta como un servidor RADIUS (autenticacin, autorizacin y contabilidad AAA), cuando acta como un servidor AAA o Servidor de directivas de cumplimiento NAP, NPS se debe ejecutar en un servidor separado para centralizar las configuraciones de acceso a la red y las directivas de salud, as mismo el servicio NPS se debe instalar en todos los equipos usados como punto de forzado y que no contengan el cliente RADIUS incorporado como por ejemplo HRA o DHCP, adems NPS en ste caso sobre el punto de forzado se debe configurar como un servidor RADIUS Proxy para que pueda intercambiar mensajes RADIUS con el servidor de directivas de cumplimiento de salud NAP AD DS: El servicio de Directorio Activo almacena las credenciales de las cuentas, propiedades, y la configuracin de Directivas de grupo, aunque no es necesario para la validacin de estado de salud, el Directorio Activo es necesario para las comunicaciones IPsec protegidas, las conexiones autenticadas por 802.1X y conexiones VPN de acceso remoto. Red restringida: esta es una red independiente lgica o fsica que contiene:
Servidores de Actualizacin: son los equipos que contienen los recursos de actualizacin de salud que los clientes NAP pueden acceder para solucionar su estado de no cumplimiento como ejemplo podemos incluir a los servidores de distribucin de firmas de Antivirus y servidores WSUS (Servidores de actualizaciones de Windows). Clientes NAP con acceso limitado: son los equipos puestos en la red restringida cuando no cumplen con los requisitos de las directivas de cumplimiento de salud.
Entre un cliente NAP y un dispositivo de acceso a la red 802.1X (Switch Ethernet o un punto de acceso inalmbrico): El cliente NAP, en calidad de un cliente 802.1X, utiliza el Protocolo de autenticacin extensible protegido (PEAP) a travs de mensajes enviados a travs EAP sobre LAN (EAPOL) para realizar la autenticacin de la conexin 802.1X y para indicar su estado actual del sistema de salud al servidor de directivas de salud NAP, de acuerdo a ste estado el cliente NAP quedar aislado en una red restringida o se le permitir acceso a la red ilimitada, los mensajes PEAP entre el cliente NAP y el servidor NAP se realizan a travs del dispositivo 802.1X. Entre un cliente NAP y un servidor VPN: El cliente NAP acta como cliente VPN, utiliza mensajes PPP (protocolo punto a punto) para establecer una conexin VPN de acceso remoto y mensajes PEAP a travs de la conexin PPP para indicar su estado actual del sistema de salud en el servidor de directivas de salud NAP, los mensajes PEAP entre el cliente VPN y el servidor NAP se realizan a travs del servidor VPN. Entre un cliente NAP y un servidor DHCP: el cliente NAP, en calidad de cliente DHCP, utiliza los mensajes DHCP para obtener una configuracin de direcciones IPv4 vlida y para indicar su estado actual de salud del sistema; el servidor DHCP utiliza los mensajes de DHCP para asignar ya sea una configuracin de la direccin IPv4 de la red restringida e indicar las instrucciones de reparacin (si el cliente DHCP no cumplen las normas), o una configuracin de direcciones IPv4 para el acceso ilimitado (si el cliente DHCP es compatible). Entre un cliente y un servidor de actualizacin NAP: mientras que el cliente NAP tiene acceso a la red interna en forma ilimitada puede acceder a los servidores de actualizacin para garantizar que su estado se mantenga en un estado compatible con las directivas de salud del sistema (Antivirus, WSUS, etc). Si el cliente NAP tiene acceso limitado, puede comunicarse con los servidores de actualizacin para solucionar su estado de salud y llegar a ser compatible basndose en las instrucciones de las directivas de salud del NAP. Entre un servidor HRA y un servidor NAP: el HRA enva mensajes RADIUS al servidor de directivas NAP con el estado de salud del sistema del cliente NAP, a continuacin el servidor NAP enva mensajes RADIUS para indicar que: el cliente NAP tiene acceso ilimitado por que cumple con la directiva, entonces el servidor HRA basado en sta respuesta obtiene un certificado de salud y lo enva al cliente NAP; El servidor NAP indica que el cliente no cumple con la directiva y slo tendr acceso a una red restringida hasta que realice configuraciones necesarias para solucionar ste estado, entonces el servidor HRA basado en sta respuesta no emite certificado al cliente NAP. El servidor HRA no incorpora un cliente RADIUS por ello se debe instalar el servicio NPS y configurarlo como RADIUS Proxy para poder intercambiar mensajes RADIUS entre el HRA y el NAP. Entre un dispositivo 802.1X y un servidor NAP: el dispositivo de acceso de red 802.1X usa mensajes RADIUS para transferir mensajes PEAP enviados por un cliente NAP 802.1X, el servidor NAP de acuerdo a la directiva enva mensajes RADIUS al dispositivo para permitir acceso ilimitado al cliente o restringirlo en una red aislada usando filtros o identificadores VLAN; el dispositivo tambin sirve como intermediario en la comunicacin de mensajes PEAP entre el cliente y el servidor NAP. Entre un servidor VPN y un servidor NAP: el servidor VPN enva mensajes RADIUS para transferir mensajes PEAP enviados por un cliente NAP basado en VPN, el servidor NAP de acuerdo a la directiva enva mensajes RADIUS al servidor VPN para indicarle que se permite acceso ilimitado al cliente VPN o se le restringe en una red aislada usando para ello un conjunto de filtros en la conexin VPN; el servidor VPN tambin es el intermediario de la mensajera PEAP desde el cliente al servidor NAP. Entre un servidor DHCP y un servidor NAP: el servidor DHCP enva al NAP mensajes RADIUS que contienen el estado de salud del sistema del cliente DHCP; el Servidor NAP enva mensajes RADIUS al DHCP para informarle si el cliente puede tener acceso ilimitado o debe quedar en una red aislada. Debido a que el servicio DHCP Server en Windows Server 2008 no tiene incorporado en el cliente RADIUS, un servidor DHCP debe utilizar el servicio NPS como un RADIUS Proxy para intercambiar mensajes RADIUS con el Servidor NAP. Entre un servidor NAP y un servidor de requerimiento de salud: Cuando se realiza la validacin de acceso de red para un cliente NAP el servidor NAP podra tener que contactar con un servidor de requerimientos de salud para obtener informacin sobre los requisitos actualizados de salud .
que el sistema del cliente NAP debe tener. Por ejemplo, el servidor NAP debera contactar con un servidor de antivirus para comprobar el archivo de firmas ms recientes o comunicarse con un servidor de actualizacin de software para obtener la fecha de la ltima actualizacin del sistema operativo.
La Capa de Agentes de salud de Sistema (SHA): Son componentes que mantienen e informan uno o mltiples elementos de salud del sistema informndolo al agente NAP publicando su estado en un SoH que contiene informacin que el Servidor NAP puede usar para comprobar que el cliente est en el estado de salud requerido, los SHA coinciden con SHV (System Health Validator) en el lado del servidor que se encargan de devolver una respuesta (SoHR) al cliente NAP el cual recibe a travs del NAP-EC y el agente NAP hasta llegar al SHA informndole que debe hacer si el SHA no est en un estado de salud requerido por ejemplo el SoHR instruye al SHV para pedir la ltima versin de de firma del Antivirus desde un servidor de Antivirus al que le incluye el nombre y la IP del servidor. El SHA puede usar componentes de salud del sistema instalados localmente que ayudan a solucionar el estado de salud de sistema al conectarse a servidores de actualizacin por ejemplo un servidor WSUS. El Agente NAP: mantiene la informacin de estado de salud actualizada del cliente NAP y facilita la comunicacin entre el NAP-EC y los SHA, se encarga de los siguientes servicios: Coleccionar los SoH de cada SHA y almacenarlos en cach hasta que el SHA lo actualice nuevamente. Almacena los SSoH y los entrega a los NAP-EC cuando stos lo solicitan Pasa las notificaciones a los SHA cuando el estado de acceso a la red limitada cambia Pasa los SoHR al apropiado SHA
Interfaces de programacin SHA: Conjunto de llamadas de funcin que permite a los SHA registrarse con el Agente NAP para indicar su estado de salud, responde a las consultas del agente NAP respecto al estado de salud, se usan por el agente NAP para pasar informacin a los SHA para solucionar el estado de salud, las SHA API permiten a fabricantes de terceros desarrollar SHA adicionales. NAP-EC API: Conjunto de funciones que permite a los NAP-EC registrarse con el NAP-EC para requerir el estado de salud, pasa informacin de solucin de salud al agente NAP, tambin permite que software de terceros creen e instalen NAP-EC adicionales. .
En resumen una infraestructura NAP est compuesta por los siguientes: Los 3 componentes Cliente NAP (Capa SHA, Agente NAP, capa NAP-EC) Los 4 componentes NAP del lado servidor (Capa SHV, el servidor de administracin NAP, el servicio NPS, y una capa NAP ES sobre los puntos de forzado NAP basado en Windows) Servidores de requerimientos de salud Servidores de actualizacin.
Funcionamiento NAP
La configuracin de los componentes de la plataforma NAP pueden variar segn las necesidades de la red, pero en general sigue el mismo comportamiento, el cliente al intentar acceder comunicarse en la red debe presentar su estado de salud del sistema y si no lo puede hacer entonces su acceso comunicacin se restringe a una red donde podr encontrar servidores de actualizacin sobre los que el cliente podr solucionar los inconvenientes de salud que le causaron quedar aislado, despus de cambiar su estado de salud, el cliente volver a solicitar su acceso a la red a la comunicacin, y si el estado de salud es vlido entonces tendr acceso en forma ilimitada a todos los recursos de la red. En cualquier mtodo de forzado NAP el proceso de acceso a la red se basa en el estado de salud del sistema, por tanto se necesita que la infraestructura tenga la siguiente funcionalidad: Validacin de directivas de salud: Determina si el equipo cumple no cumple con los requerimientos de la directiva de salud. Limitacin de acceso en red: Para los equipos que no cumplen Solucin Automtica: Provee las actualizaciones necesarias para que un equipo que no cumple empiece a cumplir Cumplimiento permanente: Actualizacin automtica de clientes que cumplen para que permanezcan en este estado incluso cuando los requerimientos de la directiva de salud cambien.
Como se mencion antes aunque el objetivo de NAP es el mismo, vara dependiendo de los mtodos de acceso a la red comunicacin que el cliente utilice, de acuerdo a e esto veamos cmo funcionan los mtodos de forzado NAP:
Forzado NAP con IPSEC: limita la comunicacin usando clientes NAP protegidos con IPsec y rechazando los intentos de conexin de clientes que no pueden negociar IPsec usando los certificados de salud, ste mtodo permite ser utilizado por todos los equipos en el dominio, por un conjunto de equipos de una red, por equipos especficos, por puertos TCP UDP especficos en un ordenador especfico. IPsec divide la red fsica en 3 redes lgicas, un equipo puede ser cliente de slo una red lgica en un momento dado, las redes estan definidas en funcin de cuales equipos tienen certificados de salud y cuales requieren autenticacin IPsec con certificados de salud para las comunicaciones entrantes, las redes lgicas son las siguientes:
Red Segura: formada por equipos que tienen certificados de salud que les sirve para requerir autenticacin IPsec para las conexiones entrantes desde otros equipos, los equipos del dominio pueden hacer parte de sta red. Un equipo en esta red puede comunicarse con cualquier equipo de las 3 redes lgicas, aceptan comunicaciones desde equipos en la red segura y en la red lmite pero no desde la red restringida. Red lmite: Son equipos con certificados de salud pero no requieren autenticacin IPsec por lo que se les puede acceder desde todos los equipos de la red fsica. Un equipo en esta red puede comunicarse con otros equipos en la red segura y lmite (con autenticacin IPsec) y con la red restringida (Sin autenticacin), los equipos que encontramos en sta red pueden ser Servidores HRA, servidores de actualizacin lo que permite que clientes que no cumplen puedan solucionar su estado de incompatibilidad y obtener certificados de salud, a su vez equipos que cumplen deben acceder a sta red en caso que la directiva de salud cambie y les permite continuar en ese estado siempre y cuando cumpla los requisitos. Un equipo es miembro de las redes segura y lmite de acuerdo a perodo de validez del certificado de salud (Se configura en el servidor HRA y generalmente es un valor en horas en lugar de aos). Red restringida: formada por equipos sin certificados de salud lo cual incluye a clientes NAP que no cumplen, equipos invitados en la red, equipos que no son compatibles con NAP. Los equipos de sta red pueden comunicarse con la red lmite pero no con los de la red segura (excepto si se configuran excepciones en la directiva IPsec del equipo seguro), y ellos aceptarn comunicaciones con equipos de las 3 redes lgicas. Forzado NAP con 802.1X: instruye a un dispositivo que soporta 802.1X para usar un perfil de acceso limitado a travs de un conjunto de filtros de paquetes IP un identificador de VLAN y cuyo objetivo es limitar el trfico de un equipo que no cumpla para que slo pueda alcanzar recursos en la red restringida. Si se usan filtros el dispositivo los aplica al trfico IP intercambiado con el cliente 802.1X y silenciosamente descarta todos los paquetes que no correspondan a un filtro de paquetes configurado. Si se usa VLAN ID el dispositivo lo aplica a todos los paquetes intercambiados con el cliente aislndolo slo a los equipos disponibles en la VLAN; el forzado 802.1X supervisa en forma activa el estado de salud del cliente NAP conectado y aplica el perfil de acceso restringido a la conexin si el cliente es detectado como cliente que no cumple. Forzado NAP VPN: este forzado usa un conjunto de filtros de paquete IP de acceso remoto para limitar el trfico del cliente VPN para que este slo pueda alcanzar los recursos de la red restringida, el servidor VPN aplica los filtros IP al trfico IP que recibe del cliente VPN y silenciosamente descarta todos los paquetes que no corresponden al filtro de paquetes configurado, como en los mtodos anteriores el forzado NAP con VPN supervisa activamente el estado de salud de los clientes NAP y aplica el filtrado de paquetes a la red restringida a la conexin VPN si el cliente empieza a no cumplir. Forzado NAP DHCP: la configuracin de direccionamiento IP limita el acceso a la red para un cliente DHCP usando la tabla de enrutamiento IPv4, el forzado DHCP configura la opcin de un enrutador a 0.0.0.0 para que el cliente que no cumple no tenga una puerta de enlace predeterminada, adems configura la mscara 255.255.255.255 desactivando el enrutamiento en la subred. Para permitir que un cliente que no cumple acceda a los servidores de actualizacin en la red restringida el DHCP asigna la opcin DHCP Enrutamiento esttico sin estado que contiene rutas de hosts a los equipos de la red restringida como DNS y servidores de actualizacin. El resultado final del acceso a red limitado es una configuracin de tablas de .
enrutamiento que permiten conectividad slo a direcciones de destino especficas correspondientes a la red restringida, de sta forma cuando una aplicacin intenta enviar un paquete a una direccin IPv4 distinta a las que han sido dadas en la opcin rutas estticas sin clase, el protocolo TCP/IP devolver un error de enrutamiento (Se debe tener en cuenta que este mtodo de forzado es para IPv4 y no limita a IPv6 si se configura una direccin IPv4 Manual se cambian las entradas en la tabla de enrutamiento se puede tener acceso a la red ilimitada).
Configuracin de NAP
Un cliente NAP es un equipo que carga componentes NAP y que comprueba su estado de salud envindolo a travs de un SoH al servidor NPS, el SoH es un paquete con el estado de salud del cliente creado por los SHA (agentes de estado de salud) y enviados a los SHV (Validadores de salud del sistema) en el Servidor NPS. Los validadores del sistema: SHAs y SHVs se encargar de hacer el seguimiento del estado de salud y validarlo, los sistemas operativos desde Windows XP SP3 incluyen un SHA llamado Windows Security Health Validator (WSHV) que supervisa las configuraciones del centro de seguridad de Windows, los SHV reciben un SoH desde el componente servidor de administracin NAP y compara la informacin de estado de salud en el SoH con el estado de salud del sistema requerido. El SHV devuelve una respuesta SHR al servidor de administracin NAP con la informacin sobre como el SHA correspondiente en el cliente NAP puede mantener los requerimientos del estado de salud actual. Directivas de cumplimiento de salud: Constan de uno ms SHV y otras configuraciones que permiten definir la configuracin necesaria de salud del sistema en los clientes NAP cuando intenten conectarse a la red, el SoH generado por el cliente y comparado por el servidor NPS con los requerimientos de la directiva de cumplimiento, si no la cumple entonces NPS toma una de las siguientes acciones: Rechaza la solicitud de conexin Asigna el cliente NAP en una red restringida. Permite conectarse a la red a pesar que este no cumple con la directiva
Se pueden definir directivas de cumplimiento de salud de cliente agregando uno ms SHV a la directiva, despus se agrega a una directiva de red con condiciones de directivas de salud para forzar el NAP en el momento que el cliente intente acceder a la red. Grupos de Servidores de Actualizacin: Es una lista de servidores en la red restringida que proveen recursos que tren los equipos clientes NAP que no cumplen a un estado de cumplimiento con la directiva de salud definida. Configuracin del Cliente NAP: para que un cliente NAP funcione adecuadamente se deben seguir 3 pasos bsicos: El validador de seguridad de Windows (WSHV) requiere que el centro de seguridad este habilitado, para asegurar ste requerimiento es posible usar una directiva de grupo la directiva local del equipo localizada en la siguiente ruta: Configuracin_Equipoplantillas_administrativascomponentes_de_Windowscentro de seguridad y en la directiva Activar Centro de Seguridad (Slo equipos del Dominio) seleccionar Habilitar y aceptar. El servicio Agente de proteccin de acceso a redes debe estar habilitado e iniciado Se debe configurar el cliente NAP de acuerdo al sistema de forzado necesario, para ello se utiliza el comando NAPCLCFG.MSC luego seleccionar el mtodo de forzado que se debe implementar y Activarlo desactivarlo.
3. Desmarcar todas las opciones excepto la de Firewall (Ser el requisito necesario para saber si el cliente puede no cumplir con la directiva de acceso a la red).
4. Otra opcin a configurar es el Grupo de servidores de actualizacin (ayudara a los clientes que no cumplen para salir de ese estado), para crear el grupo se hace clic derecho y seleccionar la opcin Nuevo.
5. Debemos asignar un nombre al grupo y luego agregar los servidores miembros del grupo y que sern servidores de actualizacin.
6. En nuestro caso podemos agregar al servidor Core instalado en los primeras unidades de ste mdulo.
7. El siguiente paso consiste en crear las directivas de mantenimiento para los clientes NAP, hacer clic sobre Directivas de mantenimiento y seleccionar Nuevo.
8. Podemos configurar tantas directivas como posibilidades de validacin tengamos , primero crearemos una directiva para aquellos clientes que superen todas las comprobaciones de los validadores.
9. Luego crearemos otra directiva para los clientes que NO superen alguna comprobacin.
10. El resultado final ser que tenemos 2 Directivas de Cumplimiento, que luego sern incluidas como condiciones de acceso en las directivas de Red.
11. Ahora en las directivas de red desactivamos todas las directivas que tengamos (Predeterminadas como creadas de prcticas anteriores).
12. Se desactivan todas las directivas de red para poder crear nuevas directivas con requisitos NAP.
13. Para crear una nueva Directiva de Red se hace clic derecho y seleccionar nuevo, se deben crear 2 Directivas de red la cual tendrn como Condicin la Directiva de cumplimiento.
14. Asignamos un nombre a la directiva y siguiente, en ste caso ser para los clientes que cumplen la directiva NAP y a los que se les dar acceso a la red sin restricciones.
16. Se deben agregar las Directivas de Mantenimiento creadas anteriormente en ste caso para los clientes que se detecten que cumplen con la directiva
17. Una vez dadas las condiciones la siguiente pgina define los permisos de acceso al cual dejamos en Concedido.
18. Luego seleccionamos los mtodos de autenticacin, como en ste caso usaremos DHCP para el uso de NAP no se involucra ninguna autenticacin pero si debemos solicitar la comprobacin de mantenimiento en el equipo.
20. En la pgina de Opciones en el rea de Cumplimiento NAP podemos definir si se restringe o no la red, en ste caso si el cliente cumple tendr acceso Ilimitado.
22. A continuacin se debe crear por lo menos una Directiva de Red ms para definir que los clientes que no cumplan con el NAP tendrn acceso restringido a la red, volvemos a crear una nueva directiva y seguimos el asistente. Asignar el nombre a la directiva, en ste caso Acceso Restringido a equipos que No cumplen.
23. En las condiciones agregamos la Directiva de cumplimiento definida para los clientes que NO cumplen.
24. El permiso que se asigna debe ser Concedido ya que si lo denegamos el cliente no podr conectar y ni si quiera podr estar en la red restringida
25. Seleccionar la comprobacin de mantenimiento en el equipo y desmarcar los dems protocolos de autenticacin.
Y en la pgina de Opciones en la seccin de Cumplimiento NAP podemos permitir Acceso limitado con Autocorreccin activada.
27. Si se hace clic en el botn Configurar podemos incluir el grupo de servidores de actualizacin creado previamente, permitiendo acceso a estos desde clientes que NO cumplan.
29. El resultado final sern 2 Directivas de Red configuradas para acceso de clientes que dependen de su estado de cumplimiento.
30. Ahora debemos configurar el Servidor DHCP, debido a que en sta prctica el Servidor DHCP est separado del Servidor NAP y debemos activar la mensajera RADIUS entre los NAP-ES y el Servidor NAP es necesario instalar el Servicio NPS en el Servidor DHCP
31. Desde el Administrador de Servidor agregamos la Funcin Servicios de Acceso y directivas de redes
34. Una vez instalado el Servicio procedemos a configurar el NPS instalado en el Servidor DHCP como un Servidor RADIUS Proxy, el primer paso ser registrar el Servicio en Directorio Activo.
38. Confirmamos la Contrasea de acceso y los puertos que se usarn para la comunicacin.
Debemos Seleccionar las Directivas de Solicitud de Conexin, en la que encontramos la directiva predeterminada llamada Usar autenticacin de Windows para todos los usuarios, hacer clic derecho y propiedades.
En la pestaa Configuracin, bajo el reenvo de solicitudes de conexin, cambiar la opcin a Reenviar las solicitudes al grupo creado anteriormente donde est el Servidor NAP.
40. Esta directiva permite que todas las solicitudes NAP en viadas al DHCP sean trasladadas a mensajes RADIUS enviados al servidor NAP.
41. Nuevamente sobre el Servidor NAP se debe crear la cuenta del Cliente RADIUS (Servidor DHCP) para poder recibir las solicitudes reenviadas
42. Agregar la Direccin IP del Servidor DHCP con una clave secreta que coincida con la asignada en el paso anterior cuando se cre el Grupo de Servidores RADIUS Proxy, es importante marcar que el Cliente RADIUS es compatible con NAP.
43. Una vez creado le cliente lo veremos en la lista tal como se muestra en la grfica.
44. Nuevamente sobre el Servidor DHCP activamos en las propiedades del mbito la Compatibilidad con NAP
45. Como vemos el Servicio DHCP de Windows 2008 se integra con NAP a travs de la pestaa Proteccin de acceso a redes, activamos el soporte NAP para el mbito con el perfil predeterminado
46. El siguiente paso ser definir las opciones DHCP en el mbito por las que los clientes NAP recibirn informacin adecuada dependiendo de su estado de cumplimiento, si cumple recibe las opciones DHCP adecuadas para la red Ilimitada, pero si no cumple recibe las opciones DHCP usadas en la red restringida
47. Al configurar las opciones avanzadas de mbito aparece en la Clase Usuario opciones para NAP en las que se asignar informacin Restringida
48. En ste caso se agregan Servidores DNS y Sufijos DNS diferentes a los clientes que NO cumplen
49. Una vez configuradas todas las opciones necesarias comprobaremos el Cliente
50. Para configurar el Cliente NAP debemos realizar 3 cosas, la primera consiste en abrir una consola MMC nueva
52. En ste caso usamos la Directiva local del equipo pero es posible hacer esto usando una GPO en el Dominio.
54. La segunda configuracin consiste en abrir la consola de configuracin del cliente NAP (NAPCLCFG.MSC).
55. Con sta consola podemos activar los mecanismos NAP-EC que se usarn para la comprobacin de cumplimiento NAP, en este caso usaremos DHCP.
56. El tercer aspecto a configurar es Activar el Servicio de Cliente NAP para que sea Automtico
57. El servicio Agente de Proteccin de acceso a redes debe estar habilitado e iniciado.
58. El ltimo paso ser hacer que el cliente sea un cliente DHCP y reiniciamos el equipo cliente.
59. Cuando iniciemos la sesin podemos abrir un Smbolo del sistema y ejecutar el Comando IPCONFIG /ALL para conocer el estado de cuarentena del cliente NAP, en ste caso observamos que el cliente NO est restringido y que las opciones DHCP asignadas son las adecuadas para un cliente que Cumple con las comprobaciones del validador
60. Ahora, si volvemos al servidor NAP y reconfiguramos el Validados de Windows para exigir un software de Antivirus.
61. Comprobamos en el cliente que efectos ha tenido, para refrescar el estado de cumplimiento ejecutamos IPCONFIG /RELEASE y nuevamente IPCONFIG /RENEW.
62. Vemos que el cliente NO cumple con los requisitos de la red y por tanto al volver a hacer IPCONFIG /ALL el estado de cuarentena es Restringido y las opciones DHCP son las adecuadas para el cliente que NO cumple ya que no tiene Antivirus instalado.
4. A continuacin el asistente nos guiar paso a paso, en ste caso aceptaremos los predeterminados, activamos Entidad de certificacin
5. De Empresa
6. CA Raz
9. Asignar un nombre a la CA
11. Una vez instalado el Servicio en herramientas administrativas, hacer clic en Certification Authority.
12. En la consola de la CA sobre el Nodo de Plantillas de certificado hacer clic derecho y seleccionar Administrar.
13. En la consola de Plantillas de certificados buscar la plantilla Equipo y abrir las Propiedades.
15. Despus de configurar la plantilla de Equipo en la CA, debemos solicitar un certificado de Equipo para el servidor NAP que ser utilizado para la autenticacin PEAP del lado del servidor; Antes de solicitar el certificado se debe hacer un reinicio del servidor NAP para que pueda encontrar la nueva CA instalada en el paso anterior, a continuacin sobre el servidor NAP abrimos una consola MMC y agregamos el complemento Certificados para la cuenta del Equipo local.
16. Una vez agregado el almacn de certificados del equipo a continuacin sobre el contenedor Personal hacer clic derecho y seleccionar Solicitar un nuevo certificado.
20. Si la solicitud es correcta el nuevo certificado se muestra en el almacn Personal de la cuenta del equipo.
21. Nuevamente configuramos el Servidor NAP para ser usado por clientes VPN, el primer paso ser configurar el validador de Windows para slo exigir el Firewall activado.
22. El siguiente paso es comprobar las directivas de mantenimiento creadas con anterioridad en el laboratorio 1 de sta Unidad.
23. A continuacin se deben crear las 2 Directivas de Red necesarias para el acceso a la red, tambin haban sido creadas anteriormente, salvo que debemos hacer un cambio en la directiva de acceso restringido para los clientes que NO cumplen, por ello hacer clic derecho en la directiva de red para clientes que NO cumplen y seleccionar las Propiedades.
24. En la Pestaa configuracin de la directiva en la seccin de enrutamiento y acceso remoto seleccionar filtros IP para determinar el trfico de entrada y de salida entre los clientes que no Cumplan y los servidores de actualizacin. 25. Hacer clic en Filtros de entrada
26. Agregar el filtro hacia la red de destino formada por un nico Host.
27. Despus de agregar los filtros necesarios se debe seleccionar la opcin Permitir slo el trfico de la lista
29. Despus de crear los Filtros se debe crear una directiva de solicitud de conexin para activar el PEAP para uso con NAP, para esto desactivar todas las directivas existentes (predeterminadas y creadas en prcticas anteriores)
30. Crear una nueva directiva de solicitud de conexin, el proceso ser guiado por un asistente
31. El primer paso consiste en asignar un nombre a la directiva y luego determinar que el tipo de servidor de acceso a la red es para Servidor de Acceso remoto (VPN-Marcacin).
35. Sobre el reenvo de autenticaciones dejar la opcin autenticar solicitudes en ste servidor.
36. Sobre mtodos de autenticacin marcar la opcin Invalidar la configuracin de autenticacin de la directiva de red, luego en Tipos de EAP pinchar en el botn Agregar.
42. Debido a que el Servidor RAS (Servidor de VPN) es distinto al servidor NAP se debe agregar como cliente RADIUS en la consola NPS del Servidor NAP.
43. Como ya habamos agregado el servidor en una prctica anterior, lo deberamos tener en la lista de Clientes RADIUS pero debemos asegurarnos que el servidor este seleccionado como que el cliente RADIUS es compatible con NAP
44. Ahora se configura el Servidor RAS para usar el Servidor NAP, como se vio en la unidad anterior, el servidor de acceso remoto usar el RADIUS para la autenticacin.
45. Ahora configuramos el Cliente VPN para que use NAP, recordamos los 3 aspectos a revisar en un cliente NAP, primero habilitar la directiva local Activar el centro de seguridad
46. Segundo en la consola del cliente NAP habilitar el cliente de cumplimiento de cuarentena para el acceso remoto
47. Y por ltimo Habilitar e iniciar el servicio agente de proteccin de acceso a redes
48. A continuacin sobre la conexin VPN se debe activar el protocolo PEAP, para ello seleccionamos las propiedades de la conexin VPN y en seguridad seleccionar la opcin Avanzada
49. Luego Usar el protocolo de autenticacin extensible EAP con EAP protegido (PEAP)
50. A continuacin hacer clic en el botn propiedades, y seleccionar como mtodo de autenticacin (EAP-MSCHAP v2) y habilitar comprobaciones de cuarentena, desmarcar la opcin Habilitar reconexin rpida
51. Una vez configuradas las opciones de autenticacin en el cliente debemos asegurarnos de tener el certificado de la CA raz que emiti el certificado de Equipo para el Servidor NPS ya que se utiliza en el proceso de comunicacin segura entre el cliente y el servidor NAP. El certificado de la CA raz debe estar instalado en el cliente porque de lo contrario el certificado del Servidor NAP no tendr validez para el cliente provocando un error en el momento de la conexin de la VPN que se describe en la siguiente grfica (Error 0X80420400)
52. Se debe exportar el certificado de la CA para que el cliente pueda confiar en el certificado de la CA que se emiti para uso de autenticacin PEAP, entonces sobre el servidor NAP en la consola de Certificados para el equipo, sobre el nodo de Entidades de certificacin Raz de confianza, certificados debemos tener un Certificado con el nombre de la CA instalada al principio de ste laboratorio, sobre el certificado hacer clic derecho y Exportar.
54. Seleccionar el formato de exportacin si DER binario es escogido se generar un fichero de tipo CER.
55. Luego debemos dar una ubicacin donde crear el fichero con el certificado exportado.
56. Cuando la exportacin del certificado termine correctamente debemos tomar el fichero generado e importarlo en el equipo cliente que se conectar con la VPN
57. El asistente para Importar el Certificado se inicia debemos asegurarnos de almacenarlo en el mismo almacn desde el que se export.
58. Cuando la importacin del Certificado de la CA raz termine correctamente entonces ya podemos intentar la conexin VPN
59. Durante el proceso de conexin se abrir la ventana de validacin del certificado de equipo del Servidor NAP, hacer clic en Aceptar para establecer la conexin.
60. Como se observa en los detalles de la conexin VPN el protocolo usado para autenticacin es EAP.
61. Una vez conectado hacemos un IPCONFIG /ALL y vemos que el cliente aparece Sin restriccin lo que quiere decir que cumple con la directiva de mantenimiento NAP.
63. Sobre el Servidor NAP reconfiguramos el validador de Windows para requerir un antivirus en el cliente NAP
65. Nuevamente vemos que la conexin se ha establecido correctamente porque est permitida en la directiva de red
66. Sin embargo vemos un mensaje en el rea de notificacin que informa que el equipo no cumple con los requisitos de la red
67. Si se lanza el comando IPCONFIG /ALL nuevamente se puede ver que el estado del cliente es restringido sobre el que aplica los filtros configurados para permitir trfico slo hacia y desde las direcciones IP configuradas (Servidores de Actualizacin)
Definiciones
Generalidades de IPsec
IPsec es un conjunto de protocolos que ayudan a proteger los datos que se transmiten en la red usando servicios de seguridad y certificados digitales con claves pblicas y privadas; el uso de IPsec incrementa la seguridad porque su diseo permite a un administrador configurarlo ms fcil y no en cada programa en forma individual. Normalmente se utiliza IPsec para lograr la confidencialidad, integridad y autenticacin en el transporte de datos a travs de canales de comunicacin inseguros como enlaces pblicos de Internet, a pesar de ste propsito en muchas ocasiones su implementacin se utilizan para aumentar la seguridad en las redes privadas, esto es debido a que las organizaciones no siempre pueden estar seguras si las deficiencias en sus propias redes privadas son susceptibles de ataques por cualquier vulnerabilidad. Si se implementa adecuadamente IPsec proveer un canal privado para intercambiar datos vulnerables sin importar su naturaleza (correo, FTP, cadenas de datos, registros en una aplicacin cualquier tipo de dato basado en TCP/IP). IPSec ofrece las siguientes ventajas: Autenticacin mutua antes y durante las comunicaciones. Fuerza a las 2 partes a identificarse durante el proceso de comunicacin. Activa confidencialidad a travs del cifrado de trfico IP y autenticacin digital de paquetes. Modo ESP (encapsulating security payload): cifra los datos con uno de mltiples algoritmos disponibles (DES, 3DES, AES) Modo AH (Authentication Header): Firma el trfico pero no lo cifra.
Brinda Integridad al trfico IP rechazando paquetes modificados: los 2 modos ESP y AH comprueban la integridad del trfico IP, si un paquete ha sido modificado la firma digital no coincidir y el paquete ser descartado. ESP en modo tnel cifra las direcciones origen y destino como parte de la comunicacin, en ste modo se agrega un nuevo encabezado al paquete donde se especifican las direcciones IP de los 2 puntos extremos en la comunicacin. Brinda proteccin a ataques de reproduccin de paquetes: ESP y AH usan nmeros de secuencias para que cualquier dato que sea capturado para despus reproducirlo usar nmeros fuera de secuencia, el usar nmero en secuencia asegura que un atacante no pueda .
reutilizar dato capturados para establecer una sesin u obtener informacin ilegalmente, los nmeros de secuencia tambin protege contra intentos de interceptar mensajes y usarlos para acceder a los recursos ilegalmente tiempo despus. Usos de IPsec: Filtrado de paquetes: IPSec proporciona una funcionalidad limitada de firewall en equipos de cara a Internet permitiendo o bloqueando el trfico entrante o saliente, para ello IPsec se aplica junto al componente NAT/Firewall de enrutamiento y acceso remoto, tambin se puede utilizar IPsec con conexin a Internet con firewall (ICF), que proporciona filtrado con estado. Sin embargo, para garantizar un adecuado intercambio de claves IKE (Internet Key Exchange) en las asociaciones de seguridad IPsec (SA), se debe configurar ICF para permitir el protocolo UDP 500. Asegurar el trfico host a host en rutas especficas: se puede utilizar IPsec para proporcionar proteccin para el trfico entre servidores u otras direcciones IP estticas o subredes. Por ejemplo, IPsec puede proteger el trfico entre los controladores de dominio en sitios diferentes, o entre los servidores Web y servidores de base de datos. Proteger el trfico a servidores: es posible requerir la proteccin de IPsec para todos los equipos cliente que acceden a un servidor, adems, puede establecer restricciones para definir que equipos pueden conectarse a un servidor que ejecuta Windows Server 2008. L2TP/IPSec para conexiones VPN: se puede utilizar la combinacin de L2TP e IPsec (L2TP/IPsec) para todos los escenarios de VPN, este escenario no requiere la configuracin e implementacin de directivas IPsec. Tnel de sitio a sitio (puerta de enlace a puerta de enlace): se puede usar IPsec en modo tnel para interconectar 2 enrutadores de 2 sitios distantes, cuando se requiere interoperabilidad con enrutadores de otros fabricantes que no soporten conexiones L2TP PPTP Forzado de redes lgicas (servidor / Dominio aislado): en una red basada en Microsoft Windows, puede aislar recursos de servidor y de dominio lgicamente para limitar el acceso a los equipos autenticados y autorizados. Por ejemplo, puede crear una red lgica dentro de la red fsica existente donde los equipos comparten requisitos comunes para comunicaciones seguras, para establecer la conectividad, cada equipo en esta red aislada lgicamente debe proporcionar credenciales de autenticacin a otros equipos; este aislamiento evita que los ordenadores no autorizados y los programas tengan acceso inadecuado a los recursos, las solicitudes de equipos que no forman parte de la red aislada se ignoran, este escenario puede ayudar a proteger servidores especficos de alto valor y de datos, y proteger los equipos administrados de equipos no administrados.
Una red puede tener dos tipos de aislamiento: Aislamiento de Servidor: para aislar un servidor se configuran servidores especficos para requerir una directiva IPsec para aceptar comunicaciones autenticadas desde otros equipos, por ejemplo, se puede configurar el servidor de base de datos para aceptar conexiones desde el servidor de aplicaciones Web solamente. Dominio aislado: para aislar un dominio, se utiliza la pertenencia al dominio de Directorio Activo para garantizar que los equipos que son miembros de un dominio slo aceptan comunicaciones autenticadas y aseguradas desde otros equipos del dominio, la red aislada consta slo de equipos del dominio, y el aislamiento de dominio utiliza la directiva IPsec para proteger el trfico enviado entre los miembros del dominio, incluyendo todos los equipos cliente y servidor. Debido a que IPsec depende de las direcciones IP para establecer conexiones seguras, no se puede especificar las direcciones IP dinmicas en consecuencia se deberan usar IPs estticas, en algunos escenarios que necesiten DHCP como clientes remotos el diseo de IPsec puede ser ms complejo.
Existen algunos casos donde no se recomienda el uso de IPsec: debido a reducciones de rendimiento en el procesamiento de los equipos. incrementos en el consumo de ancho de banda de la red. tambin se debe tener en cuenta que IPsec necesita el uso de directivas IPsec que aumentan la administracin y la hace ms compleja. IPsec puede ocasionar problemas de compatibilidad con las aplicaciones Usando la consola MMC de Firewall de Windows con seguridad avanzada: permite configurar tanto la configuracin del firewall como las configuraciones de seguridad (IPSec) sobre una interfaz de red, as mismo tambin se puede ver la directiva que se aplica actualmente, las reglas, y otra informacin en el nodo Monitor. Usando el complemento administrativo directiva de seguridad IP en una consola MMC: Permite configurar directivas IPsec que apliquen a equipos ejecutando versiones anteriores y actuales de Windows, se recomienda su uso en entornos donde se tengan equipos de distintas versiones de Windows, ste complemento no sirve para configurar el firewall de Windows con seguridad avanzada. Usando comandos Netsh: este comando permite la configuracin del firewall de Windows con seguridad avanzada a travs del contexto netsh advfirewall; tambin es posible usar el comando netsh ipsec para configurar reglas de seguridad en la conexin.
Reglas de seguridad de conexin: Una regla de seguridad de conexin fuerza la autenticacin entre 2 equipos antes que ellos puedan establecer una comunicacin y transmitir informacin segura, el firewall de Windows con seguridad avanzada usa IPsec para forzar estas reglas, dentro de las reglas de seguridad de conexin existen distintos tipos configurables: De aislamiento: Asla un equipo restringiendo las conexiones basndose en las credenciales como miembros del dominio o estados de cumplimiento de salud, las reglas de aislamiento permiten implementar una estrategia de aislamiento para servidores o dominios. Al crear este tipo de reglas se lanza un asistente que mostrar las siguientes pginas:
Requerimientos: se debe escoger alguno de los siguientes mtodos de autenticacin: Solicita autenticacin para conexiones entrantes y salientes; Requiere autenticacin para conexiones entrantes y solicita autenticacin para conexiones salientes; Requiere autenticacin para conexiones entrantes y salientes. Mtodo: de acuerdo al requerimiento de autenticacin se puede seleccionar los siguientes mtodos para hacerlo: Predeterminado; Equipo y Usuario (usando Kerberos) usa el protocolo de autenticacin Kerberos v.5 para restringir conexiones a equipos y usuarios unidos al dominio, slo es compatible con Windows Vista en adelante; Equipo (usando Kerberos) usa la autenticacin Kerberos v5 para restringir las conexiones a equipos unidos al dominio, es compatible con equipos ejecutando Windows 2000 superior; Certificado de Equipo Restringe las conexiones a mquinas que tengan un certificado de una autoridad de certificados (CA) especfica, es compatible con equipos con cualquier versin de Windows, con ste mtodo en equipos con Windows Vista posteriores se puede especificar que slo los certificados de cumplimiento de salud emitidos por una infraestructura NAP usando directivas de cumplimiento sean aceptados y avanzado que permite designar mltiples mtodos de autenticacin. Perfil: Escoger los perfiles a los que la regla aplicar (Dominio, pblico y privado) Nombre: Un nombre para la regla y descripcin (opcional) De exencin de Autenticacin: Permite designar conexiones que no requieren autenticacin basndose en direcciones IP especficas, un rango de direcciones IP, una subred o un grupo .
predefinido como las puertas de enlace, al crear la regla el asistente preguntar las siguientes opciones: Equipos Exentos de autenticacin (por IP, subset, grupos predefinidos); Perfil al que aplicar la regla (dominio, pblico y privado); Nombre de la regla y descripcin (opcional) Regla de Servidor a Servidor: Protege las conexiones entre equipos especficos (usualmente servidores), al crear sta regla el asistente preguntar las siguientes opciones: Equipos en los 2 extremos (de acuerdo a direccin IP o por tipo de conexin); Requisitos para definir la forma para que la autenticacin ocurra (igual a la regla de aislamiento); Mtodo de autenticacin que puede incluir certificados digitales, claves previamente compartidas o mtodos personalizados; Perfil al que aplica la regla (Dominio, pblico y privado) y el Nombre de la regla con la descripcin. Regla de Tnel: Protege la comunicacin entre 2 puertas de enlace y usualmente usando conexiones pblicas como Internet, al crear la regla el asistente preguntar las siguientes opciones: Extremos del tnel identificados por direccin IP o rangos de IP; mtodos de autenticacin (certificados, claves compartidas, etc.); Perfiles a los que aplicar la regla (Dominio, pblico y privado) y Nombre de la regla con descripcin. Regla personalizada: Se usa para autenticar conexiones entre 2 puntos extremos cuando no se puedan configurar usando las reglas anteriores, el asistente pedir los siguientes parmetros: puntos extremos, requisitos, mtodo de autenticacin, perfil al que aplica la regla y nombre de la regla.
Es importante tener en cuenta que las reglas de firewall y las reglas de conexin de seguridad estn relacionadas entre s pero cumplen 2 objetivos distintos, las reglas de firewall permiten que el trfico fluya entre las adaptadoras del firewall pero no aseguran el trfico, para asegurar el trfico con IPsec se deben crear las reglas de conexin. De igual manera si se crea una regla de conexin de seguridad, esta no permite el trfico a travs del firewall, para ello se debe crear una regla de firewall si el comportamiento predeterminado del firewall est activo (Bloquea todo el trfico) en consecuencia si no hay una regla de firewall la regla de conexin no se aplicar a los programas o servicios.
Modo Tnel: donde protege un paquete entero IP y lo trata como una carga adicional AH ESP, en ste modo de trabajo el paquete entero se encapsula con un encabezado AH o ESP y un encabezado IP adicional, las direcciones IP del nuevo encabezado son los puntos extremos del tnel y las direcciones del encabezado encapsulado son las direcciones origen y destino finales; ESP cifrar el paquete pero el nuevo encabezado no se cifra para facilitar el enrutamiento, ESP no garantiza la autenticidad de los datos en el encabezado. Modos ESP: funciona de 2 modos dependiendo de la funcionalidad y la capacidad del hosts: Modo Transporte: el dato es cifrado pero el encabezado no se cambia, se usa entre 2 hosts que tengan soporte para usar IPsec directamente. Modo Tnel: el paquete original se cifra y se envuelve dentro de un nuevo paquete que se transmite entre 2 enrutadores con soporte IPsec, el modo tnel permite el intercambio de informacin entre 2 equipos que no soportan IPsec usando los gateways con IPsec para que aseguren el trfico entre 2 puntos bajo una red insegura.
Requisitos de autenticacin: define como se debe establecer la autenticacin en las conexiones entrantes o salientes y si falla la autenticacin la conexin se rechazar, existen 3 maneras de determinar cmo se debe autenticar: Solicitar autenticacin para conexiones entrantes y salientes: con esta opcin todo el trfico ser autenticada y se permitir incluso si hay un fallo, se usan en entornos con seguridad baja entornos donde se pueden conectar pero no son compatibles con los tipos de autenticacin del firewall de Windows con seguridad avanzada Requiere autenticacin para conexiones entrantes y solicita autenticacin para conexiones salientes: en ste caso el trfico entrante debe ser autenticado o de lo contrario ser bloqueado, el trfico saliente puede ser autenticado pero permitido si falla, esta opcin se puede usar en entornos donde los equipos son compatibles con el firewall avanzado de Windows Requiere autenticacin para conexiones entrantes y salientes: Todo el trfico ser autenticado o ser bloqueado, esta opcin se usa en entornos de seguridad alta y todos los equipos son compatibles con la autenticacin del firewall con seguridad avanzada de Windows.
Mtodos de Autenticacin: configura el mtodo de credenciales utilizadas en la autenticacin, y pueden ser. Predeterminada: es el mtodo configurado en la pestaa configuracin IPsec de las propiedades del firewall de Windows con seguridad avanzada. Equipo y Usuario (Kerberos v5): se usan ambas autenticaciones para establecer la conexin usando Kerberos, slo se usa si las 2 partes son equipos y usuarios miembros del dominio. Equipo (Kerberos v5): slo el equipo se autenticar usando Kerberos, slo se aplica si los 2 equipos hacen parte del dominio. Usuario (Kerberos v5): usa la autenticacin de usuario con Kerberos, slo si el usuario es miembro del dominio. Certificado de equipo: usa un certificado digital para autenticar, se debe tener una CA para hacerlo. Slo aceptar certificados de salud: usa un certificado vlido de salud para autenticar, el certificado de salud declara que un equipo tiene todo el software y otras actualizaciones que el acceso a red requiere, estos certificados se distribuyen dentro de un proceso NAP. Avanzadas: se puede configurar cualquier mtodo disponible, estableciendo un orden desde el ms seguro a los ms inseguros.
Perfiles de uso del Firewall: el perfil de firewall es una forma de agrupacin de configuraciones (reglas de firewall y reglas de conexin) que se aplican a un equipo dependiendo de donde est conectado, el firewall avanzado posee 3 tipos de perfiles pero slo se aplica un perfil en un momento dado: Perfil Dominio: Se aplica cuando el equipo est conectado a la red en la que reside una cuenta de equipo existente en el dominio.
Perfil Privado: Se aplica cuando el equipo est conectado a una red en la cual la cuenta del equipo de dominio no reside, como por ejemplo la red de la casa esta configuracin es ms restrictiva que la de Dominio. Perfil pblico: aplica cuando un equipo est conectado a un dominio a travs de una red pblica, es el ms restrictivo.
mantenimiento (HRA); adems configuraremos algunos Grupos de seguridad a los que se les aplicarn configuraciones incluidas en Directivas de grupo para que implementen IPSEC al contrario para exceptuarlos de directivas IPSEC y que puedan seguir teniendo comunicacin independientemente al estado de salud del equipo como es el caso del servidor HRA. 1. El primer paso consistir en configurar la autoridad de Certificados instalada en el segundo laboratorio de la unidad anterior, en el Servidor que tiene la funcin de Controlador de Domino, DNS, DHCP, CA abrir la consola Certification Authority desde las herramientas administrativas. 2. Creamos un grupo global.
Activar el Autoenroll
Antes de configurar el servidor NAP y HRA es necesario reiniciarlo para que obtenga un certificado de Autenticacin de salud de sistema a travs de la directiva de grupo configurada para el grupo Equipos exencin IPsec NAP. Una vez reiniciado comprobamos los certificados instalados en la mquina deben existir 2, uno que fue emitido como Equipo en el laboratorio 2 de la unidad anterior que se us para el protocolo PEAP, en ste caso se utilizar para activar SSL en el sitio Web que usar el servicio HRA (escucha las solicitudes de los clientes NAP a travs del protocolo http y en ste caso lo aseguraremos con ste certificado) Y el segundo certificado es emitido para la autenticacin IPsec con clientes que cumplan no cumplan con NAP como se ve ste certificado se emiti al Servidor que servir como HRA independiente a su estado de cumplimiento de salud NAP. Esto es necesario porque ste servidor se ubica en la Red lgica Lmite (Boundary) es decir que ser accedido tanto por clientes NAP que exigen autenticacin IPsec como con clientes NAP que no cumplen.
A continuacin agregaremos los servicios HRA con una Autoridad de Certificados Independiente Subordinada, desde la consola Administrador del Servidor agregaremos estas funciones, debido a que en el servidor ya tenemos instalado el Servidor de Directivas de Red (NPS) entonces debemos agregar el Servidor HRA como una funcin de servicio adicional. En la consola de Administre el Servidor hacer clic en servicios de acceso y directivas de redes y luego hacer clic en Agregar servicios de Funcin.
Al seleccionar la funcin autoridad de registro de mantenimiento se nos mostrarn otros componentes requeridos para el funcionamiento de esta funcin, en ste caso los servicios de IIS debido a que como dijimos anteriormente HRA hace uso del protocolo http para establecer comunicacin con los clientes NAP.
A continuacin se deben dar permisos a la cuenta de equipo que hace la funcin de HRA sobre la Autoridad de certificados para poder solicitar, emitir, mantener certificados pero en ste caso la CA y HRA estn en la misma mquina entonces se debe conceder permiso a la cuenta Servicio de Red.
Desde el Administrador del Servidor configuramos el Servidor HRA, si no aparece se debe cerrar y abrir la consola Administre el Servidor
A continuacin se configurar el Servidor NAP, en ste caso lo configuraremos usando el asistente del servidor NAP.
Como el Servidor HRA est instalado en el propio Servidor NAP no es necesario agregarlo como cliente RADIUS.
A continuacin es posible configurar el Cliente NAP usando una GPO. Ejecutar en el Controlador de Dominio la consola GPMC.MSC y crear una nueva GPO llamada Configuracin Cliente NAP
A continuacin agregamos al cliente Windows Vista 1 como miembro del grupo Equipos Cliente NAP
Ahora configuramos el Cliente Windows Vista 2, debemos tener en cuenta que ste cliente est fuera del Dominio por tanto debemos hacer las configuraciones del cliente NAP en forma manual con las configuraciones iguales a las de la GPO configurada anteriormente.
El siguiente paso es configurar el firewall para permitir el PING (ICMP v4) en los equipos clientes y luego hacer una prueba de ping entre los 2
A continuacin configuraremos los clientes 1 y 2 para que sean miembros del Dominio y sean parte de la red interna, para ello reconfiguramos el Cliente Windows Vista 2 con direcciones IP de la Red interna
Herramientas de Supervisin
Se puede utilizar el complemento administrativo de la consola MMC llamado Monitor de seguridad IP para ver y supervisar estadsticas y directivas aplicadas a los equipos, se puede usar en equipos con Windows XP en adelante. La herramienta nos permite ver detalles sobre la directiva IPsec activa que se aplica desde el dominio o localmente, ver informacin de modo rpido y modo principal y las asociaciones de seguridad (SA), tambin permite la bsqueda de filtros especficos de un tipo de trfico especfico. Es posible supervisar equipos remotamente desde una nica consola, pero es necesario modificar el registro del equipo remoto para que acepte la conexin de la consola para hacerlo configure la clave de registro EnableRemoteMgmt con valor 1 por defecto tiene un valor 0 la clave se encuentra en la siguiente ruta: HKLM\system\currentcontrolset\services\policyagent Usando la consola tambin se puede conocer la directiva que ha sido aplicada al equipo con informacin como ubicacin, cuando fue modificada, etc. Tambin podemos obtener esta informacin con el comando: Netsh ipsec static show gpoassignedpolicy Modo Principal IKE: es la asociacin de seguridad (SA) inicial que est establecida entre 2 equipos, esta negocia un conjunto de protocolos de proteccin criptogrfica entre los 2 hosts, esta SA permite que el intercambio de llaves del modo rpido ocurra en un entorno protegido, el modo principal tambin es conocido como SA ISAKMP que se encarga de establecer un entorno seguro para el intercambio de claves posteriores requeridas en IPsec. Modo Rpido IKE: depende del establecimiento correcto del modo principal IE, tambin se conoce a ste modo como Fase 2 IKE, se encarga de establecer claves basadas en la informacin que una directiva especifique, tambin establece SAs para crear canales seguros para intercambiar datos de una aplicacin IP especificados en una directiva. IPsecmon: es un comando de solucin de problemas IPsec para Windows 2000 pero no provee el mismo nivel de estadsticas que el monitor de seguridad IP. Nodo de Supervisin en el Firewall de Windows con seguridad avanzada: lista todas las reglas de conexin de seguridad activas con informacin detallada de las configuraciones, dentro de la informacin que podemos conocer se incluye: Autenticacin, intercambio de claves, integridad de datos, cifrado, Asociaciones de seguridad usadas para proteger la comunicacin desde el equipo q enva al receptor. A diferencia del firewall de Windows que depende del panel de control, el firewall con seguridad avanzada es un complemento administrativo de una consola .
MMC lo cual permite configurar el firewall localmente como remotamente y tambin usando Directivas de grupo. Con la consola de Firewall con seguridad avanzada es posible ver la informacin de las directivas de seguridad creadas en las reglas de conexin de seguridad pero no se pueden ver las directivas creadas desde la herramienta MMC llamada Directivas de seguridad IP porque stas opciones slo se pueden usar a partir de Windows Vista en adelante, para sistemas anteriores a Windows Vista se debe utilizar el monitor se seguridad IP para ver las SAs y las conexiones. La carpeta de conexiones de seguridad lista todas las reglas de conexin de seguridad activas con informacin detallada de sus configuraciones tales como autenticacin, intercambio de claves, integridad de los datos, o el cifrado que se utilizan en las asociaciones de seguridad (SA, define la seguridad usada para para proteger la comunicacin desude un origen aun destino). Este nodo del firewall de seguridad avanzada muestra todas las SA del modo principal y el modo rpido con informacin detallada sobre sus configuraciones y los puntos finales que intervienen. El Modo Principal provee datos estadsticos del total de SA creadas, as como tambin de paquetes invlidos. El modo rpido provee informacin ms detallada sobre las conexiones, si se tienen problemas con una conexin IPsec, ste modo puede darnos alguna informacin sobre el problema. Netsh: con el comando nos permite activar un seguimiento detallado de las negociaciones IKE en modo principal y en modo rpido, aunque muchos eventos se escriben al visor de sucesos, si la informacin no es suficiente el comando siguiente activa un log de traza:
netsh ipsec dynamic set config ikelogging 1 el fichero de registro IKE se generar en la carpeta: %systemroot%\debug\oakley.log
Objetivos
Conocer los mecanismos de replicacin y distribucin de ficheros en una estructura DFS, facilitando a los usuarios de una organizacin acceder a mltiples carpetas compartidas en diferentes servidores en una misma estructura o rbol de ficheros. Ver otra forma de tolerancia a fallos para acceder a servidores de ficheros de manera distribuida.
Definiciones
Muchas de las empresas de hoy enfrentan el reto de mantener un gran nmero de servidores y usuarios que a menudo se distribuyen geogrficamente en ubicaciones dispersas, en estas situaciones, los administradores deben encontrar la manera para que los usuarios pueden localizar los ficheros ms recientes lo ms rpido posible. La administracin de mltiples sitios de datos a menudo presenta retos adicionales, como limitar el trfico de red en conexiones WAN lentas, garantizar la disponibilidad de los ficheros cuando se presenten fallas en el servidor, y copias de seguridad de servidores de archivos que se encuentran en las sucursales ms pequeas. El Sistema de archivos distribuido (DFS) ofrece una solucin que se puede utilizar para hacer frente a estos desafos, garantizando el acceso tolerante a fallos y replicacin WAN de ficheros localizados por toda la empresa.
Generalidades de DFS
Los administradores que administran los servidores de archivos en una empresa requieren acceso eficiente a los recursos y disponibilidad de los ficheros. El DFS en Windows Server 2008 proporciona dos tecnologas para hacer frente a estos retos: Replicacin DFS y espacios de nombres DFS. Las tecnologas de DFS proporcionan una forma simplificada de acceder a los ficheros que se encuentran dispersos geogrficamente por toda una organizacin, ofrece replicacin de ficheros entre 2 servidores a travs de la WAN de una forma controlada, las tecnologas DFS incluyen: Espacios de nombres DFS: (DFS-N) permite a los administradores agrupar carpetas compartidas localizadas sobre distintos servidores dentro de uno ms espacios de nombres estructurados lgicamente; cada espacio de nombres se muestra a los usuarios como una nica carpeta compartida .
con una serie de subcarpetas, las subcarpetas tpicamente apuntan a carpetas compartidas que estn localizadas sobre varios servidores en mltiples sitios geogrficos a lo largo de una organizacin. Replicacin DFS: (DFS-R) es un motor de replicacin de mltiples maestros usado para replicar ficheros entre servidores con ambos tipos de conexin LAN y WAN, DFS soporta programacin de la replicacin, control de ancho de banda y usa compresin diferencial remota (RDC) para actualizar solo las porciones de ficheros que han cambiado desde la ltima replicacin; DFS-R se puede usar en conjunto con los espacios de nombres DFS pueden ser utilizados para la replicacin en modo independiente. Compresin Remota Diferencial: (RDC) Identifica y sincroniza los cambios de datos sobre una fuente remota y usa tcnicas de compresin para reducir los datos que se envan a travs de la red, en lugar de transferir similar datos redundantes repetidamente, RDC cuidadosamente identifica cambios conocidos como Deltas dentro y a travs de los ficheros y transmite slo estos cambios para alcanzar ahorros de ancho de banda significantes, RDC detecta la insercin de los datos, remocin reorganizacin dentro de los ficheros, permitiendo la replicacin slo los bloques de ficheros cambiados cuando el fichero se actualiza. RDC tambin puede copiar cualquier fichero similar desde un cliente servidor a otro usando una caracterstica conocida como Compresin Diferencial remota de fichero cruzado. RDC es ms recomendable en entornos WAN donde los costos de la transmisin de los datos sopesan los costos de CPU en reconocer las diferencias entre los ficheros.
Escenarios DFS
Muchos escenarios pueden beneficiarse de los servicios DFS:
Recopilacin de datos
Tecnologas DFS puede recopilar archivos desde una sucursal y replicar a un sitio central, permitiendo as que los archivos que se utilizarn para una serie de propsitos especficos. Los datos crticos se pueden replicar en un sitio central el uso de DFS-R y, a continuacin una copia de seguridad en el sitio concentrador utilizando procedimientos estndar de copia de seguridad. Esto aumenta la sucursal de recuperacin de datos si un servidor falla, porque los archivos estarn disponibles en dos lugares separados, adems de copia de seguridad. Adems, las compaas pueden reducir los costos mediante la eliminacin de las sucursales de hardware de copia de seguridad y tecnologa de la informacin en el sitio (IT) experiencia personal. De datos replicadas tambin se puede utilizar para hacer la sucursal recursos compartidos de archivos tolerante a fallas. Si el servidor de sucursal no, los clientes de la sucursal pueden tener acceso a los datos replicados en el sitio concentrador.
Distribucin de datos
Usted puede utilizar DFS-N y DFS-R para publicar y reproducir los documentos, software y otros datos de lnea de negocio en toda la organizacin. DFS-N y objetivos carpeta puede aumentar la disponibilidad de datos y distribucin de carga del cliente a travs de servidores de archivo.
Carpetas Destino
Las carpetas destino incluyen siempre carpetas que apuntan a: Carpetas compartidas (Rutas UNC)
\\servidor\compartida Carpetas dentro de carpetas compartidas \\servidor\compratida\carpeta Rutas a otros espacios de nombres \\nombrededominio\nombreraiz
DFS Basado en un espacio de nombres basados en dominio El volumen del disco que aloje el espacio de nombres debe estar formateado en NTFS. Deben pertenecer al mismo dominio si es el espacio de nombres est basado en dominio. No puede basarse en clster si el espacio de nombres est basado en dominio.
Seleccione servicios de archivo, si ya est marcado y aparece en gris, debe cerrar el asistente y buscar la funcin en funciones y con el botn derecho seleccionar adicionar servicios a la funcin.
Marque la casilla de sistema de archivos distribuido (DFS) y las dos opciones de Espacios de nombres DFS y replicacin.
Seleccione la opcin de espacio de nombres de dominio y asegrese de marcar habilitar el modo Windows 2008.
Crear un espacio de nombres Crear carpetas en el espacio de nombres Adicionar carpetas de destino Configurar el mtodo de ordenar para destinos en referencias Configurar las prioridades para sobrescribir el orden de referencia Habilitar la gestin de errores Replicar carpetas destino usando DFS-R
Requerimientos de seguridad
Para administrar un espacio de nombres, el administrador debe ser miembro de un grupo administrativo o tener los permisos delegados para realizar esta accin. Los permisos son los siguientes: Crear un espacio de nombres basado en dominio debe pertenecer al grupo Administradores del dominio Adicionar un servidor al espacio de nombres a un espacio de nombres basados en nombres de dominio debe pertenecer al grupo administradores del dominio Administrar un espacio de nombres basados en dominio debe ser miembro del grupos local administradores sobre cada uno de los servidores Crear un espacio de nombres independiente debe ser miembro del grupo local administradores de cada uno de los servidores Administrar un espacio de nombres independiente debe ser miembro del grupo local administradores sobre el servidor de espacio de nombres Implementar la replicacin DFS debe ser miembro del grupo administradores del dominio
Para crear un espacio de nombres pinche con el botn derecho del ratn sobre espacios de nombres en el panel izquierdo
Seleccione editar configuracin y asgnele permisos de lectura y escritura, puede cambiar la ruta y el disco en el cual se crear el rbol
Seleccione espacio de nombres basado en Dominio y asegures de marcar habilitar el modo Windows 2008
Previamente a la creacin de las carpetas debemos saber los servidores y las carpetas compartidas que queremos publicar en el espacio de nombres DFS.
Note que tanto el servidor2008 como curso2 tienen carpetas compartidas, en este caso presentaciones en curso2 y Hojas de clculo en Servidor2008 Seleccionamos y publicamos en el rbol DFS los dos recursos compartidos.
De esta manera los usuarios al conectarse al espacio de nombres podrn acceder a los recursos compartidos desde un nico punto.
Observe, que el usuario aun podr acceder a los recursos compartidos contra los servidores originales, no obstante el objetivo es crear un solo punto de acceso y de replicacin entre mltiples servidores
DFS-R usa un algoritmo de compresin RDC (Remote Differential Compression) DFS-R detecta los cambios en el volumen monitorizando el nmero de secuencia (USN) y replica los cambios una vez el fichero es cerrado DFS-R usa una carpeta temporal para almacenar el archivo antes de enviarlos o recibirlos DFS-R usa un protocolo VVEP (Version Vector Eschange protocol) para determinar los archivos que se deben sincronizar Cuando se realizan cambios en un fichero, nicamente los cambios son replicados, no el archivo completo DFS-R aplica el ltimo en escribir gana para resolver los conflictos en ficheros para todos los ficheros que son actualizados simultneamente desde mltiples servidores y primera versin gana cuando el conflicto se da en el nombre del fichero DFS-R se auto protege permitiendo recuperar automticamente desde el USN, o desde la base de datos de replicacin DFS-R se base en Windows Managment instrucmentatios (WMI) para crear interfaces para obtener configuracin e informacin de monitorizacin desde el servicio DFS
Carpeta Replicada:
Una carpeta que se mantiene replicada en cada uno de los miembros del grupo de replicacin
Cuando se ha creado el grupo de replicacin se pueden modificar las carpetas o la topologa. Se pueden delegar permisos para administrar el grupo
Proceso de replicacin
Cuando se configura la replicacin, se debe determinar el miembro primario, el cual tiene el fichero ms actualizado. Este servidor es considerado como autoritativo y es el encargado de resolver conflictos. El proceso inicial de replicacin se resume en: La replicacin no se inicia inmediatamente La replicacin inicial siempre ocurre entre el primario y sus partners Cuando se reciben ficheros desde el servidor primario durante la replicacin inicia, los miembros que reciben esos ficheros no estn presente sobre el miembro primario, son movidos a DFSPrivate\PreExisting DFS usar el hash para determinar si los ficheros son idnticos Despus de inicializar la replicacin de la carpeta, el miembro primario es removido
Laboratorios
Marque crear ms tarde el espacio de nombres Confirme la instalacin Cuando finalice cierre el administrador de servidores Inicie el servidor curso2.ceticsa.curso Inicie sesin como Administrador Abra el administrador de servidores Seleccione agregar funciones Servicios de archivo (si ya est instalada esta funcin seleccione agregar servicios a la funcin) Marque las opciones de sistema de archivos distribuido (DFS) incluyendo Espacios de nombres DFS y replicacin DFS 16. Marque crear ms tarde el espacio de nombres 17. Confirme la instalacin 18. Cuando finalice cierre el administrador de servidores
Aprender a gestionar la capacidad y almacenamiento Desplegar plantillas de cuotas Conocer y desplegar informes de capacidad y almacenamiento.
Introduccin
En la actualidad, el problema de almacenamiento y la gestin de capacidades de recursos se han incrementado en todas las organizaciones. Miles de aplicaciones ocupan mucho espacio y la mala gestin de archivos por parte de los usuarios, producen que las necesidades de escalabilidad de almacenamiento de las empresas se hayan incrementado notablemente. Gracias a Windows Server 2008 y las herramientas de administracin de recursos en los servidores de archivos, puede realizar una administracin de la gestin de la capacidad y almacenamiento de una manera fiable y controlada.
La capacidad de gestin es el proceso de planificacin, anlisis, dimensionamiento y optimizacin de mtodos para satisfacer las necesidades de una organizacin en continuo aumento en la demanda de almacenamiento de datos. Tambin, la capacidad de gestin es un intento de controlar el uso incorrecto de almacenamiento corporativo. Prcticamente en todas las organizaciones los usuarios tienden a almacenar grandes archivos multimedia personales, que pueden ocupar espacio innecesario, tales como MP3, fotos digitales, videos u otros archivos poco aprovechables para su trabajo diario y para la organizacin. .
Comience este tema pidiendo a los alumnos por sus aportaciones y experiencias dentro de sus organizaciones sobre los retos que se enfrentan con la capacidad de gestin. A medida que introducen cada uno de estos puntos, puede involucrar a los estudiantes en una discusin de cmo lo han hecho, o no, frente a estos desafos.
En muchas organizaciones existen diferentes sistemas de informacin que deben estar protegidos y con una disponibilidad permanente. Datos crticos como por ejemplo los datos de administracin o incluso a una intranet privada donde se pueden consultar datos de la misma u otras organizaciones debe estar siempre disponible. Adems, las organizaciones deberan cumplir con los estndares de seguridad en cuanto al almacenamiento, teniendo en cuanto que las implementaciones de nuevos sistemas de informacin como por ejemplo SharePoint o Exchange 2007 necesitan de gran almacenamiento y un sistema de seguridad adicional.
Los administradores pueden utilizarlo para Asignar cuotas a carpetas y volmenes Realizar un filtrado activo de los archivos Generar informes de almacenamiento exhaustivos.
Este conjunto de instrumentos avanzados no slo permite al administrador supervisar los recursos de almacenamiento existentes, sino que adems le ayudan a planear e implementar futuros cambios de directivas. En resumen, el administrador de recursos del servidor de archivos (FSRM) es una funcin que se instala desde las funciones de servidor en Windows 2008, que le ayudar a: Administrar la capacidad: monitorizando el uso y los niveles de utilizacin Administrar polticas: Restringiendo y acotando archivos (Filtro de archivos) Administrar quotas: Cantidad de espacio utilizado en carpetas, volmenes y recursos compartidos Realizar informes: Informes exhaustivos sobre cada uno de los componentes.
Funciones FSRM
Como hemos comentado anteriormente, bsicamente las funciones principales del FSRM son: Crear cuotas para limitar el espacio permitido para un volumen o una carpeta y generar notificaciones de correo electrnico y otro tipo cuando se alcancen o superen los lmites de dichas cuotas. Generar y aplicar automticamente cuotas a todas las subcarpetas existentes y nuevas en un volumen o una carpeta. Crear filtros de archivos para controlar los tipos de archivos que los usuarios pueden guardar y enviar notificaciones cuando los usuarios intenten guardar archivos bloqueados. Definir plantillas de cuota y de filtrado de archivos que puedan aplicarse fcilmente a nuevos volmenes o carpetas y que puedan reutilizarse en toda una organizacin. Programar informes de almacenamiento peridicos que ayuden a identificar tendencias en el uso de disco o generar informes de almacenamiento instantneamente a peticin.
Instalacin de FSRM
Para poder disponer del administrador de recursos de servidor de archivos, es necesario instalar varios roles y caractersticas de Windows 2008. Debe realizar los siguientes pasos: 1) Instalar el rol de Servidor de archivos desde el administrador de servidor en el apartado roles. Con este rol, permitir compartir los recursos del servidor para que los usuarios puedan tener acceso. 2) En el proceso de instalacin, deber instalar Servicios de funcin en el que deber seleccionar Administrador de recursos del servidor de archivos 3) Seleccionar o no, la unidad que supervisar y listo. .
Configurar informes de almacenamiento. Estos parmetros por defecto se utilizan para los informes de incidentes que se generan cuando se produce un evento de filtrado de archivos. Tambin se utilizan para la programacin y los informes a la carta, pero se puede cambiar los parmetros por defecto en la definicin de las propiedades especficas de cada informe. Configurar repositorios de informes. Esta opcin ofrece la posibilidad de especificar la ubicacin donde se guardarn los informes de almacenamiento. La ruta por defecto se ha definido en% SystemDrive% \ StorageReports, pero se puede cambiar la ruta segn las necesidades. Configurar la auditora de filtro de archivos. Esta opcin permite registrar la actividad de filtrado de archivos en una base de datos de auditora.
Gestin de Cuotas
La gestin de una cuota no es ms que poder limitar el espacio de almacenamiento a travs de una cuota dura o blanda y generar notificaciones cuando los lmites se acercan o exceden. Por ejemplo, una cuota dura sera una cuota establecida en un recurso que no puede excederse de 500MB. Si el usuario o grupos de usuarios acceden a este recurso y crean nuevos archivos sobrepasando esta cuota de 500MB puede configurar las distintas acciones a realizar: Enviar notificaciones de cuota va e-mail. Puede configurar una cuota que indique a los administradores y usuarios que han sobrepasado el lmite de almacenamiento y que deben borrar o actualizar contenido. Registrar el evento. Se registran los errores o el acceso de cuota cuando se sobre pasa un lmite. Ejecutar un comando o script. Puede ejecutar un comando o un script cuando un usuario o grupos de usuarios excedan o se acerquen a las cuotas establecidas en recursos. Dependiendo de la gravedad, puede ejecutar un script para aumentar el tamao de recurso compartido, enviar un mensaje a la red o realizar tareas de compresin de archivos. Generar reporte. Cuando se crean cuotas de recursos se configuran los reportes de avisos sobre esos recursos.
Plantillas de cuota
Una plantilla de cuota define el lmite de espacio, el tipo de cuota (mxima o de advertencia) y, opcionalmente, el conjunto de notificaciones que se generarn automticamente cuando el uso de cuotas alcance los niveles de umbrales definidos. .
Si basa las cuotas en una plantilla, puede actualizar automticamente todas las cuotas basadas en una plantilla determinada mediante la edicin de dicha plantilla.
Crear una plantilla de cuota
Es aconsejable realizar plantillas de cuotas ya que como comentbamos, es posible administrarlas centralmente actualizando las plantillas en lugar de repetir los cambios en cada una de las cuotas. Para crear una plantilla de cuota. 1) 2) 3) 4) 5) 6) En el administrador de cuotas haga clic en Plantillas de cuota Botn derecho en Plantillas de cuota Crear plantilla de cuota Si desea copiar la configuracin de una plantilla existente, seleccinela y haga clic en Copiar. Escriba Nombre de plantilla Escriba un nombre descriptivo en el cuadro de texto Etiqueta En lmite de espacio a. Elija el nmero y unidad para especificar el lmite de espacio b. Seleccione Cuota mxima o Cuota de advertencia 7) Configuracin de umbrales de notificacin opcionales. Puede configurarlo ahora o ms adelante, despus haga clic en Aceptar
Editar propiedades de la plantilla de cuota Al realizar cambios en una plantilla de cuota, tiene la opcin de extender dichos cambios a las cuotas creadas a partir de la plantilla de cuota original. Puede elegir entre modificar slo las cuotas que coinciden con la plantilla original o modificar todas las que se derivan de la plantilla original, con independencia de las modificaciones que se hayan realizado en ellas desde que se crearon. Para editar una plantilla de cuota 1) 2) 3) 4) En plantillas de cuota, seleccione la plantilla que desea modificar Botn derecho Propiedades en la plantilla de cuota Editar las propiedades de la plantilla Realice los cambios necesarios. Puede incluso copiar la configuracin de otra cuota. Cuando haya terminado de editar las propiedades de la plantilla, haga clic en Aceptar. Se abrir un cuadro de dilogo Actualizar cuotas derivadas de la plantilla 5) Selecciones tipo de actualizacin: a. Aplicar plantilla slo a las cuotas derivadas que coinciden con la plantilla original b. Aplicar plantilla a todas las cuotas derivadas c. No aplicar la plantilla a las cuotas derivadas 6) Haga clic en aceptar.
Monitorizacin de cuotas
Despus de configurar y aplicar cuotas a los recursos compartidos de archivos o volmenes, es importante entender la manera de supervisar el uso de disco para responder eficazmente a las necesidades actuales de su organizacin en cuanto al almacenamiento se refiere. Visualizacin de la informacin de cuota. Para ver la informacin de cuota en FSRM: 1) En el rbol de la consola, haga clic en gestin de cuotas y, a continuacin, haga clic en cuotas. 2) En el panel de resultados, puede determinar rpidamente el lmite de cuota, el porcentaje del lmite que se utiliza, y si la cuota es dura o blanda (mxima o de advertencia). 3) Para ver informacin adicional, seleccione la cuota y compruebe el espacio de descripcin. .
Filtros de archivos.
El filtro de archivos es una poltica de archivos que permitir o denegar la creacin de archivos tipo. Por ejemplo, como comentbamos anteriormente, puede crear un filtro de archivo para que los usuarios no guarden archivos MP3 en los recursos compartidos.
7) 8) 9) 10)
a. En Tipo de filtrado i. Filtrado Activo ii. Filtrado Pasivo En Grupos de archivos, seleccione cada grupo de archivos que desea incluir en el filtro de archivos. Tambin puede configurar el Administrador de recursos del servidor de archivos para generar una o varias notificaciones mediante el establecimiento de las opciones de las fichas Mensaje de correo electrnico, Registro de eventos, Comando e Informe. Termine de completar los datos en el asistente Haga clic en aceptar.
Grupos de archivos.
Los grupos de archivos se usan para definir un espacio de nombres para un filtro de archivos, una excepcin al filtro de archivos o un informe de almacenamiento Archivos por grupo de archivos. Constan de un conjunto de patrones de nombre de archivo, que se agrupan segn las siguientes opciones: Archivos incluidos: archivos que pertenecen al grupo Archivos excluidos: archivos que no pertenecen al grupo
Informes de almacenamiento.
Los informes de almacenamiento no es otra cosa que los informes de uso de los recursos a los que se le implementa una cuota. El informe que se realiza es exhaustivo e incluye informacin sobre: Archivos de gran tamao Archivos por propietario Archivos del Grupo Archivo Archivos duplicados Archivos menos usados recientemente Archivos ms usados recientemente Cuota de uso Auditora de filtrado de archivos
Tareas de informes.
Puede programar dependiendo de las necesidades de su departamento u organizacin tareas de creacin de informes. La tarea de creacin de informes, implica: Los volmenes y las carpetas de las que se informarn El tipo de informe que se generar Parmetros de configuracin. Frecuencia de generacin de informes Formatos de guardado de informes.
Informes bajo demanda. En cualquier momento puede realizar un informe sobre un recurso del servidor. En ocasiones, se presentan problemas de almacenamiento o capacidad en los que un informe detallado, puede ayudarle a identificar y resolver los problemas lo antes posible. Para realizar un informe bajo demanda: 1) Desde el administrador de informes botn derecho Crear informe ahora 2) En el asistente, seleccione en el mbito Agregar Seleccione el recurso al que quiere realizar el informe. 3) Seleccione los datos de informe que quiera mostrar. Por ejemplo Archivos duplicados 4) Por defecto, el archivo de salida le dejamos como DHTML .
5) En la pestaa Entrega marque la casilla y escriba la direccin o grupo de distribucin del administrador 6) Aceptar y ver el asistente a. Generar automticamente y ver ahora b. Generar en segundo plano y mandar por correo electrnico 7) Seleccionamos la primera opcin y aceptar 8) Esperamos a que se genere el informe 9) Visualizamos el informe y listo.
Ver Vdeo: Configurando y Administrando tecnologas de almacenamiento, en el Mdulo 7. Unidad 12, en la plataforma e-learning.
11) Reinicie el equipo 12) Inicie sesin en el servidor 13) Vaya a la consola de FSRM desde Inicio Herramientas administrativas Administrador de recursos de archivo 14) Haga una vista rpida de la consola de administracin. Ejercicio 2. Crear una plantilla de cuota Para crear una plantilla de cuota. 1) En el administrador de cuotas haga clic en Plantillas de cuota 2) Botn derecho en Plantillas de cuota Crear plantilla de cuota 3) Si desea copiar la configuracin de una plantilla existente, seleccinela y haga clic en Copiar. 4) Escriba Nombre de plantilla 5) Escriba un nombre descriptivo en el cuadro de texto Etiqueta 6) En lmite de espacio a. Elija el nmero y unidad para especificar el lmite de espacio b. Seleccione Cuota mxima o Cuota de advertencia 7) Configuracin de umbrales de notificacin opcionales. Puede configurarlo ahora o ms adelante, despus haga clic en Aceptar Ejercicio 3. Crear filtro de archivos Para crear un filtro de archivo con propiedades personalizadas: 1) En Administracin del filtrado de archivos, haga clic en el nodo Filtros de archivos. 2) Botn derecho Filtros de archivos Crear filtro de archivos 3) En Ruta de acceso al filtro de archivos, escriba el nombre de la carpeta a la que se aplicar el filtro de archivos o bsquela. 4) En el apartado de Cmo desea configurar las propiedades del filtro de archivos? haga clic en Definir propiedades personalizadas del filtro de archivos 5) Puede utilizar una plantilla existente. Para ello, deber seleccionarla y hacer clic sobre Copiar 6) En Propiedades del filtro de archivos, modifique o defina los siguientes valores de la ficha Configuracin: a. En Tipo de filtrado i. Filtrado Activo ii. Filtrado Pasivo 7) En Grupos de archivos, seleccione cada grupo de archivos que desea incluir en el filtro de archivos. 8) Tambin puede configurar el Administrador de recursos del servidor de archivos para generar una o varias notificaciones mediante el establecimiento de las opciones de las fichas Mensaje de correo electrnico, Registro de eventos, Comando e Informe. 9) Termine de completar los datos en el asistente 10) Haga clic en aceptar.
Aprender a realizar copias de seguridad Desplegar instantneas de recursos compartidos Conocer los mtodos de disponibilidad de servicios y servidores
Introduccin
Las copias de seguridad siguen siendo servicios crticos que los administradores y operadores de copia deben mantener y actualizar peridicamente. Con Windows 2008, ahora hacer copias de seguridad es ms rpido y eficaz ya que basan la tecnologa en VHD. Las instantneas de recursos compartidos pueden proporcionar versiones anteriores de documentos que garantizarn una recuperacin ms rpida frente a desastres. La disponibilidad de servicios y servidores tambin son temas de seguridad en cuanto al servicio.
Puede utilizar las copias de seguridad de Windows Server para crear y administrar copias de seguridad para un equipo local o un equipo remoto. Adems, puede programar copias de seguridad para que se ejecuten automticamente.
Es aconsejable crear grupos personalizados con propiedades de copia para aumentar la seguridad. Dependiendo de las polticas de la empresa en cuanto a seguridad de grupos, usuarios y datos, sera aconsejable crear un grupo especfico para realizar copias sin la necesidad de utilizar los grupos creados por defecto en el sistema para realizar acciones administrativas. Tambin, es importante, y dependiendo de la organizacin, acotar al mnimo el nmero de usuarios o grupos que tendrn este tipo de permisos, tanto de copia como de restauracin. Se pueden de esta manera evitar perdida de datos o robos corporativos. Por ejemplo puede darse el caso en el que un usuario con demasiados permisos y afectado por la ingeniera social decida realizar un backup sobre bases de datos, llevrsela e implementarla en otro servidor con fines fraudulentos. De igual manera podra ocurrir con un controlador de dominio. No asigne permisos dems a usuarios estndar que no lo necesiten, por organizacin y por seguridad ante todo.
Estado de sistema
La utilidad Copia de seguridad ayuda a proteger los datos de prdidas accidentales en el caso de que se produzca un error en el hardware o los medios de almacenamiento del sistema. Hay que diferenciar la copia de seguridad de archivos y la copia de seguridad del estado del sistema. .
El estado de sistema es una opcin configurada por defecto para poder realizar copia de archivos necesarios del sistema en caso de recuperacin por algn tipo de desastre. A continuacin se muestra una tabla con los componentes que se incluyen en una copia del estado de sistema.
Componentes Registro Base de datos Registro de clases COM+ Archivos de inicio, incluidos los arhivos de sistema Base de datos de Servicios de Certificate Server Servicio de directorio de Active directory Directorio SYSVOL Informacin del Servicio de Clster Server Metadirectorio IIS Archivos de sistema bajo proteccin de archivos de Windows
Cuando se incluyen en la copia Siempre Simpere Siempre Si es un servidor de Servicios de Certificate Server Si es un dominio Si es un controlador de dominio Si se encuentra en un clster Si est instalado Siempre
Los datos de Estado del sistema contienen la mayora de los elementos de la configuracin de un sistema, pero puede que no incluyan toda la informacin necesaria para recuperar el sistema tras producirse un error. Por lo tanto, se recomienda realizar copia de seguridad de todos los volmenes de inicio y sistema, incluido el Estado del sistema, al hacer copia de seguridad del sistema. Windows server Backup incluye en lneas de comando la aplicacin wbsadmin.exe para poder realizar copias de seguridad. Para poder realizar una copia del estado de sistema bajo lneas de comando por ejemplo en la unidad E:\, habra que poner en una consola cmd:
Wbadmin start systemstatebackup backuptarget:E: -quiet Optimizacin del rendimiento de copia de seguridad.
Copia de seguridad de Windows Server utiliza Volume Shadow Copy Service (VSS) y la tecnologa a nivel de bloque de copia de seguridad para recuperar el sistema operativo, los archivos y carpetas, y volmenes. Despus de crear la primera copia de seguridad completa, puede configurar Windows Server Backup para realizar la ejecucin automtica de copias de seguridad incrementales y guardar slo los datos que han cambiado desde la ltima copia de seguridad. Incluso si decide realizar siempre copias de seguridad completas, la copia de seguridad tardar menos tiempo del que se haca en versiones anteriores de Windows. A nivel de bloque es mucho ms eficiente que las versiones anteriores de archivos utilizando la tecnologa de nivel. Ahora la Copia de seguridad utiliza la tecnologa de disco duro virtual (VHD) para realizar copias de seguridad a nivel de bloque. Para cambiar esta configuracin: 1) Abra copias de seguridad de Windows desde Inicio Herramientas administrativas 2) En el men de acciones haga clic sobre Configurar opciones de rendimiento 3) Seleccione una de las tres opciones que pueden configurarse: a. Hacer siempre copia de seguridad completa b. Hacer siempre copia de seguridad incremetal c. Personalizar 4) Haga clic sobre Aceptar
Programacin de Backup.
Las copias de seguridad de Windows Server ahora son mucho ms flexibles, intuitivas y fciles de administrar. De forma fcil y sencilla podr saber qu, cuando y donde realizar una copia de seguridad de forma programada. Gracias a la programacin de las copias de seguridad de Windows Server puede realizar copias de seguridad programadas de forma automtica. Para realizar una programacin de backup: 1) 2) 3) 4) 5) 6) 7) 8) 9) Abra copias de seguridad de Windows desde inicio Herramientas administrativas En el men acciones hacer clic sobre Hacer copia de seguridad programada En el asistente de copias de seguridad programada Siguiente Seleccione los elementos a realizar copia Seleccione el da y la hora de realizacin de la copia Seleccione la ubicacin de destino de la copia Aada una etiqueta a la copia de seguridad Confirme los datos Finalizar
Restauracin de datos
Con Copias de seguridad de Windows Server 2008 tambin puede realizar restauracin de datos. Restaurar datos significa volver a escribir los datos que se han perdido o que por algn motivo se han corrompido y no son legales o funcionan correctamente, como por ejemplo, una base de datos. Como recordatorio, el servicio de copias de seguridad de Windows server es una caracterstica de Windows 2008 que no viene instalada por defecto y que se debe instalar con propiedades administrativas para poder realizar la copia y la restauracin de datos. .
Una vez que haya una copia de seguridad de datos, puede utilizar la opcin de recuperar en el panel Acciones de la herramienta Windows Server Backup para recuperar los volmenes, las carpetas y archivos en el servidor local o en un servidor diferente al que se conecta de forma remota. Cuando se utiliza la herramienta Recuperar, se lanza un asistente, que le permite elegir la fecha de copia de seguridad que desea restaurar los datos. El disco duro virtual (VHD) se monta y el asistente muestra una vista de rbol de directorios de los objetos disponibles en la copia de seguridad para la restauracin. Debe elegir lo que desea restaurar y especificar las opciones de restauracin. Puede optar por conservar una copia, sobrescribir o no recuperar algunos archivos y carpetas. Tambin debe especificar si se debe dejar el valor por defecto al restaurar la configuracin de seguridad, o desactivar la casilla de verificacin para establecer permisos por defecto en los objetos restaurados.
Configuracin de instantneas
En esta seccin se conocer la nueva caracterstica de copia llamadas instantneas, como se pueden configurar y como se pueden recuperar datos desde ellas.
No hay que olvidar que una instantnea es una captura en un momento de tiempo. No debe prescindir de las copias de seguridad de Windows Server.
Programacin de instantneas
Recuperar un archivo perdido en una organizacin puede tener un coste elevado, tanto en tiempo como en personal. Puede realizar copias instantneas a diversas horas del da para poder recuperar archivos originales diarios si algn usuario ha borrado o corrompido la informacin. Por ejemplo, puede configurar una instantnea a las 7:00 de la maana antes de que empiece la actividad de la oficina y otra a las 15.00. En el caso de que se necesite restaurar alguna copia de seguridad, puede ahorrar mucho tiempo revisando esta instantnea con la informacin de cambio del da. Si habilita las instantneas de carpetas compartidas en un volumen con los valores predeterminado, las tareas se programarn de modo que creen instantneas a las 7:00 de la maana y a medioda. El rea de almacenamiento predeterminado se encontrar en el mismo volumen y su tamao ser del 10% del espacio disponible. Las instantneas de carpetas compartidas slo se pueden habilitar de manera individual para cada volumen; es decir, no se pueden seleccionar carpetas y archivos compartidos especficos en un volumen para que se copien o no se copien. Para habilitar y configurar las instantneas de carpetas compartidas 1) Abra Administracin de equipos. 2) En el rbol de la consola, haga clic con el botn secundario en Carpetas compartidas, haga clic en Todas las tareas y, a continuacin, en Configurar instantneas. 3) Haga clic en el volumen en el que desee habilitar las instantneas de carpetas compartidas y, a continuacin, haga clic en Habilitar. 4) Para realizar cambios en la programacin y en el rea de almacenamiento predeterminados, haga clic en Configuracin.
NLB est incluido en todas las versiones de Windows Server 2008, y en resumen, proporciona escalabilidad y disponibilidad del servicio.
Reglas de puerto: las reglas de puerto se configuran para gestionar las peticiones hacia ciertas IPs o rangos de direcciones, configurando: o El modo de filtrado o Afinidad o El peso de la carga o La prioridad en la gestin. Para abrir el administrador de equilibrio de carga: 1) Inicio Todos los programas Herramientas administrativas Administrador de equilibrio de carga. -
Validacin de clster. Ahora es ms fcil comprobar que un clster se crea y valida correctamente. Nuevas propiedades de almacenamiento. Puede aumentar el rendimiento del almacenamiento con el soporte para SAN o DAS. Nueva configuracin de la red. Aparecen nuevas opciones de configuracin para el qurum ya que no tiene que ser un punto de fallo nico.
Microsoft admite una solucin de clster de conmutacin por error slo si todos los componentes de hardware estn marcados como "Certified for Windows Server 2008." Adems, la configuracin completa de servidores, redes y almacenamiento, deben pasar todas las pruebas en el Asistente para validar una configuracin, que forma parte del complemento de Administracin de clster de conmutacin por error.
Laboratorio
Ejercicio 1. Instalacin de Windows Server Backup
1) 2) 3) 4) Abra el administrador de servidor Sitese en Caractersticas Agregar caractersticas De la lista de caractersticas seleccione Caractersticas de Copia de seguridad de Windows Server a) Seleccione Copias de seguridad de Windows Server b) Seleccione Herramientas de lneas de comandos 5) Siguiente e Instalar 6) Revisar el resumen de instalacin y finalizar.
Aprender a asegurar un servidor Desplegar plantillas de seguridad de servidor Conocer Windows Server Update Services Aprender
Introduccin
En toda organizacin, se deben planear infraestructuras de seguridad para proteger los servidores. El seguimiento de logs de eventos por medio de auditoras podr ahorrar a los administradores de red tiempo y proporcionar informacin para resolver problemas de seguridad. En una organizacin donde existen un nmero elevados de equipos, se pueden administrar de forma centralizada las actualizaciones de seguridad. La configuracin de actualizacin automtica, puede permitir descargar las actualizaciones desde un servidor dedicado a ello, como un Windows Server Update Services.
recursos. Puede implementar el uso de tarjetas inteligentes, sistemas de cifrados EFS, Infraestructuras de Clave Pblica (PKI), AD RMS o Servicios de Federacin.
Restringir el acceso fsico y de red a los servidores. Debe establecer una ubicacin para los servidores con las garantas de seguridad como un CPD y debe dar acceso nicamente a los administradores o personal de confianza. No todo el mundo debera tener acceso a esta sala o servidores.
Usando SCW de Windows Server 2008 puede: Deshabilitar los servicios innecesarios basados en la funcin de servidor. Quitar las reglas de firewall que no se usen y limitar las existentes. Definir directivas de auditora limitadas.
El asistente de seguridad de Windows Server 2008 incluye la herramienta de comandos scwcmd. Con esta herramienta puede: Aplicar la directiva a uno o ms servidores. Revertir directivas. Analizar y ver una directiva del SCW en varios servidores Transformar una directiva del SCW en un objeto de directiva de grupo (GPO) para implementaciones centralizadas y administracin mediante los Servicios de dominio de Active Directory (AD DS).
Por ejemplo, si se desea crear una nueva GPO denominada TestSCW1, desde un fichero XML de SCW denominado SCW1.xml, deberamos ejecutar:
Poltica de seguridad.
Una poltica de seguridad es una combinacin de configuraciones de seguridad que sea aplican a un equipo o servidor. En un entorno de dominios, existen dos tipos de polticas de seguridad: Poltica de seguridad local Poltica de seguridad del Dominio Directivas de cuenta Polticas Locales Firewall de Windows con seguridad avanzada Directivas de clave pblica Directivas de restriccin de software Directivas de seguridad IP en equipo local
La poltica de seguridad local, incluye una serie de configuraciones que se aplican al equipo:
En cuanto a la poltica de seguridad del dominio, adems de las polticas locales, se incluyen: Registro de eventos Grupos restringidos Servicios del sistema Registro Sistema de archivos Polticas de Conexin local y de red inalmbrica Proteccin de acceso a la red Directivas de seguridad IP en Active Directory
Plantillas de seguridad
Las plantillas de seguridad, son configuraciones de opciones de seguridad guardadas para implementar y administrarlas en servidores o equipos especficos como poltica de seguridad. Las plantillas de seguridad se pueden aplicar a un equipo local, importar a un objeto de directiva de grupo o utilizar para analizar la seguridad. Las plantillas de seguridad se pueden administrar por medio del complemento de MMC de plantillas de seguridad. Por defecto, Microsoft tiene predefinidas varias plantillas de seguridad que puede aplicar a equipos y servidores dependiendo de los servicios crticos e importancia en la organizacin. Estas plantillas se guardan en %SystemRoot%\Security\Templates A la hora de realizar una implementacin de plantillas de seguridad debe tener en cuenta las siguientes consideraciones: Debe crear plantillas de seguridad en funcin de cada servidor. Es posible que una plantilla para un servidor no sea compatible para otro y puedan producirse errores de rendimiento o servicio. Para implementar plantillas de seguridad a un solo servidor debe implementarlas por medio de SECEDIT. Adems con SECEDIT puede Configurar y analizar la seguridad del sistema mediante la comparacin de la configuracin actual al menos a una plantilla. Para implementar plantillas de seguridad a varios servidores, es aconsejable hacerlo por medio de GPOs. Por ejemplo, en una granja de servidores web interna que requieren de una poltica de seguridad igual puede implementarla por medio de GPOs
Para abrir la herramienta de configuracin y anlisis de seguridad 1) Abra una consola MMC desde Inicio Ejecutar MMC 2) Agregar o quitar complementos desde el men 3) En la lista de complementos, desplcese hasta Configuracin y anlisis de seguridad Agregar Aceptar. 4) Aceptar
Abrir una base de datos existente seguridad 2) Haga clic en Abrir base de datos 3) Seleccione una y haga clic en Abrir Para crear una nueva base de datos
1) Haga clic con el botn secundario en el elemento del mbito Configuracin y anlisis de
seguridad 2) Haga clic en Abrir base de datos 3) Escriba el nombre de una nueva base de datos y haga clic en Abrir 4) Seleccione una plantilla de seguridad para importar y haga clic en Abrir Para configurar el equipo
1) Haga clic con el botn secundario en el elemento del mbito Configuracin y anlisis de
1) Haga clic con el botn secundario en el elemento del mbito Configuracin y anlisis de
seguridad 2) Seleccione Configurar el equipo ahora 3) En el dilogo, escriba el nombre del archivo de registro que desea ver y haga clic en Aceptar Nota: cuando la configuracin se complete, debe realizar un anlisis para ver la informacin en su base de datos. Para analizar la seguridad de su equipo
1) Haga clic con el botn secundario en el elemento del mbito Configuracin y anlisis de
seguridad 2) Seleccione Analizar el equipo ahora 3) Escriba la ruta del archivo de registro en el dilogo y haga clic en Aceptar
Nota: para ver el archivo de registro creado durante la configuracin o anlisis, seleccione Mostrar archivo de registro en el men de contexto de Configuracin y anlisis de seguridad.
Auditoria
La Auditora es el proceso por el cual se registran las actividades de usuarios y del sistema que se guardan en el registro de eventos en los registros de seguridad. Estos registros de auditora, pueden orientar al administrador sobre problemas ya que indica cuando ocurri el problema, quien fue el culpable, cuando sucedi y cul fue el resultado del error. Generalmente se suele habilitar los registros de auditora para realizar un seguimiento base sobre usuarios y procesos. La auditora puede ayudarnos a combatir contra problemas de seguridad detectando amenazas y ataques, mostrando daos producidos y sobre todo, con la informacin registrada podemos impedir nuevos daos. Entre las configuraciones ms comunes de auditora se pueden definir los tres tipos ms importantes: Acceso a objetos Administracin de cuentas de usuarios Inicio y cierre de sesin de usuarios.
Poltica de auditoria
En una poltica de auditora se definen los tipos de eventos que se registran en el registro de seguridad de cada ordenador. Los eventos se escriben en el ordenador en el que se produce el evento. Puede implementar polticas de auditora utilizando la poltica de seguridad local o mediante la configuracin de Directiva de grupo. Una poltica de auditora determina los eventos de seguridad que informar al administrador de red de posibles problemas en el equipo. Puede establecer una poltica de auditora para:
Registrar eventos de xito o fracaso en el acceso. Minimizar el uso no autorizado de los recursos Mantener un registro de la actividad Almacenar los registros de seguridad en el registro de eventos
windowsupdate
WSUS
Funcionamiento de WSUS
El funcionamiento de los servicios de WSUS en una red se compone de cuatro procesos identificados: 1) Evaluacin. Configurar un entorno de produccin que apoyar la administracin de actualizaciones para ambos escenarios de rutina y de emergencia 2) Identificacin. Descubrir nuevas actualizaciones de una manera conveniente. Determinar si las actualizaciones son relevantes para el entorno de produccin 3) Evaluacin y planificacin. Probar las actualizaciones en un entorno que se parezca al actual, pero independiente del entorno de produccin .
4) Implementacin. Aprobar y configurar el horario de instalacin. Revisar el proceso despus de que la implementacin se haya completado
Para las versiones de Windows Server 2003, hay que descargarse la aplicacin desde la pgina de descargas de Microsoft. Las versiones de Windows 2008 lo integran como una funcin instalable desde el administrador del servidor Con IIS, Windows Installer, .NET 2.0 y SQL se administran el servicio de instalacin y registro de actualizaciones y equipos. Microsoft Report Viewer Redistributable se utilizar para realizar informes sobre actualizaciones descargadas, equipos con actualizaciones pendientes o un informe general sobre la configuracin.
Actualizaciones automticas.
Las actualizaciones automticas se pueden configurar de forma automtica dentro de una organizacin con Active Directory por medio de GPOs. La configuracin direccionara a los clientes a consultar al WSUS si existen actualizaciones de seguridad disponibles. Otra opcin para configurar las actualizaciones automticas sera configurando las polticas locales del equipo. Para entornos en los que no exista un directorio activo, es posible configurar un servidor WSUS por medio de la edicin del registro. Por medio de GPOs, puede modificar diferentes parmetros sobre actualizaciones automticas: .
Configurar actualizaciones automticas. Especifica si este equipo recibir actualizaciones de seguridad y otras descargas importantes a travs del servicio de actualizacin automtica de Windows. Si el servicio est habilitado, debe seleccionar una de las cuatro opciones en la configuracin de directiva de grupo: o 2 = Notificar antes de descargar actualizaciones y volver a notificar antes de instalarlas o 3 = (Opcin predeterminada) Descargar automticamente las actualizaciones y notificar cuando estn listas para instalarse o 4 = Descargar automticamente las actualizaciones e instalarlas segn la programacin especificada abajo o 5 = Permitir a los administradores locales seleccionar el modo de configuracin en el que Actualizaciones automticas debe notificar e instalar actualizaciones Habilitar destinatario del lado del cliente. Especifica el nombre o nombres de grupos de destino que deben utilizarse para recibir actualizaciones procedentes de un servicio Microsoft Update de la intranet. Si el estado se establece en Habilitado, la informacin del grupo de destino especificado se enva al servicio Microsoft Update de la intranet, que la usa para determinar qu actualizaciones se deben implementar en este equipo. Permitir la instalacin inmediata de Actualizaciones automticas. Especfica si Actualizaciones automticas debe instalar automticamente ciertas actualizaciones que no interrumpen servicios de Windows ni reinician Windows. Si el estado se establece en Habilitado, Actualizaciones automticas instalar automticamente estas actualizaciones una vez que se descarguen y estn listas para instalarse
Administracin de WSUS
En esta seccin se mostrar la consola de administrador WSUS, como se gestionan los equipos y como se administran las actualizaciones.
A primera vista, el administrador de WSUS se divide en tres partes: 1) Men desplegable de la izquierda. Muestra el servidor WSUS y todos los componentes que engloban el servicio de WSUS como: a. Actualizaciones. Muestra todos los avisos sobre productos y actualizaciones de seguridad b. Equipos. Muestra una lista de los equipos que al menos, se conectaron una vez al servidor WSUS c. Servidor secundario. Si utiliza varios servidores WSUS puede configurar uno como principal y los otros de encadenamiento d. Sincronizaciones. Muestra un informe sobre las sincronizaciones entre el servidor y Windows Update e. Informes. Puede crear informes personalizados sobre equipos, actualizaciones y configuraciones f. Opciones. Son las opciones de configuracin generales del servidor WSUS como por ejemplo el acceso a internet, los productos que descargar y los idiomas de las actualizaciones. Tambin puede realizar limpieza de actualizaciones y registro de equipos obsoletos. 2) Cuadro Central. Muestra en pantalla lo que se selecciones del men desplegable de la izquierda 3) Panel de Accin a la derecha. Dependiendo de lo que se seleccione tanto en el men de la izquierda o en el cuadro central, le aparecern diferentes acciones que puede ejecutar
Aprobacin de actualizaciones
Se puede aprobar la instalacin de actualizaciones para todos los equipos de la red de WSUS o para grupos de equipos diferentes. Despus de la aprobacin de una actualizacin, puede realizar varias acciones: Aplicar esta aprobacin a todos los grupos Fijar un plazo para la instalacin automtica. Al seleccionar esta opcin, debe establecer los tiempos y fechas especficas para instalar las actualizaciones, anulando la configuracin en los equipos cliente. Quitar una actualizacin instalada y apoyar la eliminacin.
Instalacin de servicios WSUS En un servidor en Windows 2008 1) Abra el administrador de servidor 2) Haga clic en funciones botn derecho Agregar funcin 3) Seleccione Windows Server Update Services Siguiente 4) En el asistente para agregar funciones haga clic sobre Agregar servicios de funcin requeridos Siguiente 5) Lea la introduccin a Servidor Web y Siguiente 6) Siguiente en el resumen de configuracin de Servidor Web 7) Lea la introduccin a Windows Server Update Services y siguiente 8) Revisin de la instalacin e Instalar 9) Reinicie el servidor 10) Configure las opciones de primer uso de WSUS