Sei sulla pagina 1di 441

Certificacin Administrador de una Plataforma Windows 2008

Mdulo 7: Configuracin y soporte de infraestructuras de red en Windows 2008.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Contenido
Mdulo 7: Configuracin y soporte de infraestructuras de red en Windows 2008.
Unidad 1: Instalando y configurando servidores Unidad 2: Configuracin y resolucin de problemas en DNS Unidad 3: Configuracin y administracin de Wins Unidad 4: Configuracin y resolucin de problemas con DHCP Unidad 5: Configuracin y resolucin de problemas con TCP/IP V6 Unidad 6: Configuracin y resolucin de problemas con Acceso a redes Unidad 7: Instalando, configurando y soporte con el rol de servicio NPS Unidad 8: Configurando Proteccin de Acceso a red (NAP) Unidad 9: Configuracin de IPSec Unidad 10: Monitorizacin y resolucin de problemas con IPSec Unidad 11: Configuracin y administracin de Sistema de archivos distribuidos DFS
.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 12: Configurando y administrando tecnologas de almacenamiento Unidad 13: Asegurando disponibilidad de contenido y recursos de red

Unidad 14: Configuracin de SSC

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 1. Instalacin de Windows Server 2008


Objetivos
Al trmino de sta unidad el alumno estar en capacidad de: Instalar Sistemas Operativos basados En Windows Server 2008 Distinguir las diferencias entre una instalacin Completa de Windows 2008 y una Server Core Entender los Beneficios de la instalacin Server Core Conocer las herramientas de configuracin del Servidor tales como, Tareas de configuracin inicial y Administrador de Servidor

Introduccin
La instalacin de Windows Server 2008 ha cambiado con respecto a las anteriores versiones de Windows Server, las opciones disponibles varan desde una instalacin simple basado en DVD, a la utilizacin de responder a los archivos creados con Windows System Image Manager (SIM) y la automatizacin de implementacin mediante el Kit de instalacin automatizada de Windows (WAIK) Como ya se vio en el Mdulo 2. El proceso de instalacin ya no incluye la parte de modo texto de la instalacin y es completamente basada en una interfaz Grfica; Otra diferencia es que un solo DVD de 32-bit o 64-bit incluye todas las ediciones (Estandard, Enterprise y Datacenter), Sin embargo, la versin que se instala depende de la clave de instalacin que puede utilizarse durante el proceso de instalacin. Microsoft ha cambiado la manera de los administradores gestionar el entorno de servidor. El sistema operativo se instala en forma segura, y los administradores pueden elegir entre cuatro mtodos para configurar el servidor de acuerdo a la funcionalidad que ellos desean: Tareas de configuracin inicial: se abre y permite al administrador configurar el nombre del servidor, configuracin de red, actualizaciones automticas, y la configuracin de Firewall de Windows. consolas de administracin de Microsoft (MMC) para administrar el servidor El administrador de servidores para instalar y quitar funciones y caractersticas Windows PowerShell para tareas de configuracin, si lo desea.

Una nueva opcin en Windows Server 2008 es la opcin Server Core, que instala slo lo que se requiere tener en un servidor de infraestructura: AD DS, AD LDS, DHCP, DNS, archivos, impresin y / o Servicios de Streaming Media. Una interfaz grfica no est disponible con esta opcin, en su lugar, utilice la lnea de comandos o herramientas de administracin remota para configurar y administrar el entorno del servidor. Si decide instalar esta opcin, la instalacin no es compatible con la actualizacin desde versiones anteriores, por lo tanto, se debe realizar una instalacin limpia. Esta opcin es beneficiosa para muchos ambientes debido a la reduccin necesaria de gestin, la reduccin de la superficie de ataque, reducido mantenimiento necesario, y menor necesidad de espacio en disco pues Server Core slo ocupa aproximadamente el 25% del espacio en disco que una instalacin completa.

Definiciones
Ediciones de Windows Server 2008
Hay cinco ediciones disponibles de Windows Server 2008. La edicin que usted elija depender de los requerimientos de la organizacin y servicios que usted necesite hacer frente, con Windows Server 2008 ayuda a: .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Aumentar la flexibilidad de su infraestructura de servidores, ofrece a los desarrolladores una Web ms robusta y una plataforma de aplicaciones para crear aplicaciones y servicios conectados, potentes herramientas nuevas de gestin y mejoras de seguridad que ofrecen ms control de servidor y de red, y proteccin avanzada para aplicaciones y datos.

Windows Server 2008 Estndar


El Windows Server 2008 Estndar proporciona funcionalidad de servidor clave a travs de las funciones de servidor y caractersticas. Incluye las 2 opciones de instalacin tanto completa y Server Core. Esta edicin est orientada mejor a las pequeas oficinas o grupos de trabajo que no requieren la escalabilidad adicional que las versiones Enterprise y Datacenter proporcionan.

Windows Server 2008 Enterprise


Esta edicin se construye sobre la edicin estndar para proporcionar una mayor escalabilidad y disponibilidad, y aade tecnologas empresariales, como la agrupacin de conmutacin por error y Servicios AD FS (Active Directory Federation Services). Esta versin es la ms adecuada para las grandes organizaciones que requieren de agrupaciones y escalabilidad de hardware.

Windows Server 2008 Datacenter


Esta edicin ofrece la misma funcionalidad que la versin Enterprise Edition, con soporte aadido para ms memoria y procesadores, y derechos ilimitados de uso de mquina virtual. Esta versin es la mejor para entornos de gran tamao o para organizaciones que planean llevar a cabo proyectos de consolidacin de servidores.

Windows Server 2008 Web


Esta edicin est diseada especficamente para su uso como un servidor Web y aplicaciones. Esta edicin no ofrece otras funciones de servidor o la opcin de instalacin de Server Core.

Windows Server 2008 para sistemas con Itanium


Continuar ofreciendo a los clientes los ms altos niveles de rendimiento, fiabilidad y escalabilidad de la plataforma Windows, y seguir siendo la principal plataforma alternativa para los servidores UNIX basados en RISC.

Ventajas de 64-bit
Fundamentalmente, los productos de 64-bit desde servidores a aplicaciones de software usan una arquitectura que le permite duplicar el tamao de la unidad de datos que mantiene el procesador preservando al mismo tiempo la compatibilidad con la arquitectura x86 32-bit que se ha utilizado durante dcadas. Esto tiene una variedad de implicaciones, La capacidad de duplicar el tamao de la unidad de datos permite a los sistemas el uso de mucho ms memoria virtual y fsica con eficacia mientras desempea procesamiento con mayor rapidez. Para los clientes, esto puede traducirse en sistemas ms rpidos, ahorros de costes debido a la consolidacin de varios servidores ms pequeos a un sistema nico, con un mayor desempeo, los sistemas de 64-bits tambin son un requisito para la ejecucin de software de aplicacin tal como Microsoft Exchange Server 2007.

Requisitos para la Instalacin de Windows 2008


Los Requisitos de instalacin de Windows Server 2008 varan entre los diferentes tipos de instalacin: instalacin completa o la instalacin de Server Core, ya que sta requiere menos espacio en disco para la instalacin del sistema operativo, debido a que, por defecto, slo los mdulos que requieren las funciones asignadas estn instalados. Adems, la interfaz grfica de usuario no est instalada, lo que significa que la utilizacin de espacio en disco es ms ligera con la instalacin de Server Core. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Procesador: mnimo 1 gigahertz (GHz), se recomienda 2 GHz pero lo ms ptimo es 3 GHz o ms. Memoria RAM: mnimo 512MB, Recomendado 1GB, ptimo: 2GB (instalacin completa) o 1GB ms en instalacin Core; Mximo en sistemas de 32-bits 4GB (estndar) o 64 GB (Enterprise y Datacenter); Mximo en sistemas de 64-bits 32GB (Standard) 2 TB (Enterprise, Datacenter y sistemas basados en Itanium) Espacio Disco: mnimo: 8GB, Recomendado 40GB (instalacin completa) o 10GB (Servidor de instalacin Core); ptimo 80GB (instalacin completa) o 40GB (Servidor de instalacin Core) o ms.

Se debe tener en cuenta que en Servidores con ms de 16GB de RAM requerirn ms espacio en disco para paginacin, hibernacin y volcado de archivos. Unidad de DVD Pantalla Sper VGA (800 x 600) o mayor resolucin, Teclado, Ratn Microsoft o dispositivo sealado compatible

Nota: Si va a instalar una versin de 64 bits, debe asegurarse de que todos los controladores de modo ncleo son firmados digitalmente antes de la instalacin. La instalacin fallar si utiliza los controladores sin firma. Puede que tenga que incluir versiones de 64 bits de Windows Server 2008 en su infraestructura, en funcin de las necesidades de la empresa, la instalacin de una versin de 64 bits pueden ofrecer la posibilidad de escalar hacia arriba (aumento de las CPU y RAM) ms que un sistema de 32 bits, pero debe asegurarse de que los controladores de modo ncleo que va a utilizar estn firmados digitalmente. La firma digital para los Drivers garantiza la proteccin de datos personales y corporativos, porque de sta manera se evita la propagacin de programas maliciosos, las firmas digitales para el software en modo de ncleo son una forma importante de garantizar la seguridad en sistemas informticos. Las firmas digitales permiten al administrador o al usuario final que la instalacin del software est basado en Windows y determina si se trata de un editor legtimo. Tambin a travs de las firmas se permite conocer a Microsoft los editores que se estn ejecutan en el momento de un fallo ya que sta informacin se enva al usar la opcin de envo de informe de errores. Los editores de software pueden entonces utilizar la informacin que proporciona Microsoft para detectar y solucionar sus problemas de software. La poltica de firma de cdigo se aplica a todo el software en modo de ncleo en los sistemas basados en x64 que ejecutan Windows Server 2008. Sin embargo, Microsoft recomienda a los editores firmar digitalmente todo el software, incluidos los controladores de dispositivos para 32-bit (No obligatoria) y las plataformas de 64-bit. Nota: Los usuarios con privilegios de administrador no puede cargar cdigo sin firmar en modo de ncleo en los sistemas basados en x64. Esto se aplica para cualquier mdulo de software que se carga en modo de ncleo, incluyendo dispositivos, controladores y los servicios del ncleo. Un Controlador configurado para arrancar al inicio el Windows 2008 lo carga al inicio del sistema operativo, dichos controladores se identifican en el fichero de informacin (INF) del controlador, cuando se especifica el tipo de inicio como "Start = 0" o un servicio del ncleo est configurada la clave ServiceType como Driver de Ncleo o Driver del Sistema de Ficheros y el valor STARTMODE es "boot". Para deshabilitar el requisito de la firma para el proceso de arranque actual: Reinicie el equipo, y durante el inicio, presione F8. Seleccione Opciones avanzadas de arranque. Seleccione Desactivar Forzado de Firma de Driver. Inicie Windows y desinstale el controlador sin firmar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Escenarios de Instalacin ms comunes


Si usted decide actualizar un servidor existente o realizar una instalacin limpia, debe decidir cmo va a realizar las instalaciones, Hay rutas especficas de actualizacin que debe seguir, adems es posible realizar instalaciones desatendidas mediante el uso de ficheros de respuesta, generados con Windows SIM, y el AIK de Windows.

Instalaciones Limpias
En su forma ms simple, puede realizar una instalacin de Windows Server 2008 mediante la insercin del DVD del producto en la unidad de DVD, se debe inicializar el sistema con el medio de Windows 2008. Si usted est construyendo un nuevo entorno o simplemente desea instalar un nuevo servidor, una instalacin limpia puede ser la mejor opcin.

Instalaciones de Actualizacin
Si actualmente ejecuta Windows Server 2003 y se desea realizar una actualizacin a Windows Server 2008, hay ciertas rutas de actualizacin que estn disponibles dependiendo de la versin de Windows Server 2003 que se ejecuta en el servidor que est actualizando as: Windows 2003 R2 Standard, Windows 2003 SP1 Standard, Windows 2003 SP2 Standard pueden ser actualizados a Windows 2008 Standard (Completa). Windows 2003 R2 Enterprise, Windows 2003 SP1 Enterprise, Windows 2003 SP2 Enterprise pueden ser actualizados a Windows 2008 Enterprise (Completa). Windows 2003 R2 Datacenter, Windows 2003 SP1 Datacenter, Windows 2003 SP2 Datacenter pueden ser actualizados a Windows 2008 Datacenter (Completa). Nota: Microsoft no admite la actualizacin desde Windows Server 2003 para servidores con instalacin Server Core de Windows Server 2008. Antes de actualizar se recomienda que se hagan Copias de seguridad de sus servidores, debe incluir todos los datos e informacin de configuracin que es necesario para que el equipo funcione, especialmente para aquellos servidores que proporcionan la infraestructura de red, tales como DHCP, etc. Al realizar la copia de seguridad, asegrese de incluir las particiones de arranque y del sistema adems del estado del sistema. Otra forma de copia de seguridad de la informacin de configuracin es crear un grupo de respaldo para la recuperacin automtica del sistema.

Instalaciones Desatendidas
Puede automatizar el proceso de instalacin utilizando archivos de respuesta creados en Windows SIM y utilizando el AIK de Windows. Para utilizar un archivo de respuestas Windows SIM, usted necesita el Windows System Image Manager y un medio con posibilidad de escritura como un Pen Drive, CD / DVD o un disquete. Para instalar Windows desde el DVD del producto utilizando el archivo de respuesta: Encienda el equipo nuevo, e inserte el medio extrable que contiene el archivo de respuesta (Autounattend.xml) y el DVD del producto Windows. Reinicie el ordenador, el programa de instalacin (Setup.exe) se inicia automticamente y busca todos los medios extrables para un archivo de respuesta llamado Autounattend.xml. Una vez completada la instalacin, asegrese de que todas las personalizaciones del archivo de respuesta se han aplicado segn lo especificado.

Preparacin para la Instalacin de Windows 2008


Antes de instalar Windows Server 2008, debe seguir algunas pautas generales para garantizar que la instalacin sea lo ms sencilla posible y que no se produzcan errores, la mayora de estas directrices son .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

las mejores prcticas para cualquier instalacin del sistema operativo de Microsoft y por lo tanto debe ser incluido en cualquier gua usada para la construccin de la mayora de entornos. Antes de instalar Windows Server 2008, utilice las siguientes pautas para preparar la instalacin: Prueba de compatibilidad de aplicaciones. Se puede utilizar el Microsoft Application Compatibility Toolkit Aunque es una herramienta utilizada para proporcionar informacin de compatibilidad sobre las aplicaciones de red, tambin se puede utilizar para preparar la instalacin de Windows Server 2008. Desconecte el sistema de alimentacin ininterrumpida (SAI), Si tiene una conexin de SAI a su equipo de destino, desconecte el cable serie antes de ejecutar el programa de instalacin, el programa de instalacin intenta detectar automticamente los dispositivos conectados a puertos serie, y el equipo SAI puede causar problemas con el proceso de deteccin. Copias de seguridad de sus servidores, la copia de seguridad debe incluir todos los datos e informacin de configuracin que el ordenador necesita para funcionar Deshabilite el software antivirus, el antivirus puede interferir con la instalacin. por ejemplo, puede hacer la instalacin mucho ms lenta al escanear todos los archivos que se copian localmente en su ordenador. Ejecute la herramienta Windows Memory Diagnostic, se debe ejecutar esta herramienta para probar la memoria de acceso aleatorio (RAM) del ordenador. Proporcionar Controladores de los dispositivos de almacenamiento masivo, si su fabricante ha suministrado un controlador independiente, guarde el archivo en un disquete, CD, DVD, o de bus serie universal (USB) en cualquier directorio raz de los medios o en una de las siguientes carpetas: amd64 para Equipos x64, i386 para equipos de 32 bits o ia64 para equipos basados en Itanium.

Para proporcionar el controlador durante la instalacin, en la pgina de seleccin de disco, haga clic en Cargar controlador (o presione F6). Usted puede navegar para localizar el controlador. Tenga en cuenta que el Firewall de Windows est activado por defecto, las aplicaciones de servidor que deben recibir conexiones entrantes no solicitadas producirn un error hasta que se creen las reglas de firewall de entrada que les permita la comunicacin. Consulte con su proveedor de aplicaciones para determinar los puertos y protocolos necesarios para que la aplicacin se ejecute correctamente. Preparar su entorno de Active Directory con actualizaciones para Windows Server 2008, para poder agregar un controlador de dominio que ejecuta Windows Server 2008 en un entorno de Active Directory que est ejecutando Windows 2000 o Windows Server 2003, deber actualizar primero dicho entorno as:

Para preparar un bosque y un dominio si est realizando una instalacin desatendida, realice este paso antes de instalar el sistema operativo, de lo contrario, tendr que hacer esto despus de ejecutar el programa de instalacin y antes de instalar Active Directory Domain Services.

Para preparar un bosque


Inicie sesin en el maestro de esquema como miembro de los Administradores de Empresas, Administradores de esquema, y el grupo Administradores de dominio. Copiar el contenido de la carpeta Sourcesadprep desde el DVD de instalacin de Windows 2008 en el Controlador de Dominio que ejecute la funcin de maestro de esquema. Abra un smbolo del sistema, navegue a la carpeta Adprep y ejecute adprep /forestprep. Si va a instalar un controlador de dominio de slo lectura (RODC), ejecute adprep /rodcprep. Deje que la operacin finalice y que se repliquen los cambios antes de seguir el siguiente procedimiento.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para preparar un dominio


Inicie sesin en el maestro de infraestructura como miembro del grupo Administradores de dominio. Copiar el contenido de la carpeta Sourcesadprep del DVD de instalacin en el servidor con la funcin maestro de infraestructura. Abra un smbolo del sistema, navegue a la carpeta Adprep y ejecute adprep /domainprep /gpprep. Deje que la operacin finalice y que se repliquen los cambios. Una vez completados estos pasos, puede agregar controladores de dominio que ejecutan Windows Server 2008 para los dominios que se han preparado, el comando adprep extiende el esquema, actualiza los descriptores de seguridad predeterminados de los objetos seleccionados y agrega nuevos objetos de directorio requeridos por algunas aplicaciones.

Proceso de Instalacin de Windows 2008:


El proceso de instalacin de Windows Server 2008 es muy parecida a la de versiones anteriores. Sin embargo, hay diferencias que hacen que el proceso sea ms personalizable y ms fcil de lograr. Un cambio significativo es el modelo de concesin de licencias por volumen que utiliza Microsoft con el producto de servidor. El modelo de licencia para licencias por volumen es el mismo que usa los sistemas operativos Windows Vista. El proceso de instalacin de Windows Server 2008 es el siguiente:

Proporcionar idioma y las preferencias.


Especificar la clave de producto, que puede ser en forma de llave estndar, Clave de activacin mltiple (MAK), o el uso de un servidor interno de administracin de claves (KMS) para la activacin. Tambin debe especificar si se debe activar automticamente cuando el equipo est en lnea (MAK y clave de producto estndar) Si la clave no se provee, se debe especificar la edicin a instalar Acepte los trminos de la licencia, Seleccione para actualizar o instalar una copia limpia de Windows. Configurar las particiones de disco y especifique los controladores de la controladora de almacenamiento.

El programa de instalacin copia e instala Windows


Se copian y expanden los archivos Se instala las funcionalidades por omisin. Se instalan las actualizaciones, si estn disponibles. La instalacin finaliza y se reinicia el sistema. Tras una instalacin correcta, el administrador configura algunas configuraciones bsicas del sistema utilizando la herramienta tareas de configuracin inicial en el primer inicio de sesin La herramienta permite realizar configuraciones, como establecer la zona horaria, configurar las propiedades de red, cambiar el nombre del equipo y la configuracin de dominio, habilitar las actualizaciones automticas, descargar / instalar actualizaciones, agregar funciones y configurar el Firewall de Windows.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Administrando Funciones y Caractersticas del Servidor


Despus de completar la instalacin del sistema operativo, puede administrar los sistemas con cuatro herramientas diferentes. En el primer inicio de sesin, el administrador debe especificar una contrasea para la cuenta administrativa y, a continuacin se presenta la ventana de Tareas de configuracin inicial, se puede realizar gestiones administrativas posteriormente utilizando el Administrador de servidores, o usando consolas MMC de Windows, y Windows PowerShell. Administrador de servidores: Es una nueva caracterstica que Windows Server 2008 incluye diseada para guiar a los administradores a travs del proceso de instalacin de extremo a extremo, configuracin y gestin de las funciones de servidor y las caractersticas que forman parte de Windows Server 2008. Administrador de Servidor reemplaza y consolida una serie de caractersticas de Microsoft Windows Server 2003, como Administre su servidor, configure su servidor y Agregar o quitar componentes de Windows. Puede utilizar el Administrador de servidores para configurar diversas funciones y caractersticas en el equipo. En Windows Server 2008, una funcin de servidor se describe como la funcin principal del servidor, los administradores pueden optar por dedicar todo un servidor a una funcin o para instalar mltiples funciones de servidor en un solo equipo. Por ejemplo, puede instalar las funciones DHCP y DNS juntas en un servidor. Una caracterstica de servidor en general no describe la funcin principal del servidor, en su lugar, se describe como un servicio auxiliar de un servidor o que apoyo a una funcin. Por ejemplo, conmutacin por error de clsteres es una caracterstica que los administradores pueden optar por instalar despus de instalar funciones especficas, tales como servidor de ficheros, para hacer la funcin del servidor de ficheros ms redundante. La herramienta de Administrador de servidores contiene una interfaz grfica de usuario y herramientas de lnea de comandos que le permiten instalar de manera eficiente, configurar y administrar funciones y caractersticas de Windows Server 2008 adems de: Aadir y configurar nuevos roles, o quitar funciones instaladas, el asistente para agregar o quitar funciones permite agregar o configurar una o ms funciones, o eliminar los instalados actualmente, cada funcin puede incluir uno o ms funciones de servicios, o elementos opcionalmente instalables de dicha funcin. Por ejemplo, puede seleccionar la funcin Servicios de Terminal Server y, a continuacin seleccione el servicio de puerta de enlace de TS. Seguir el asistente a travs de las pginas y seleccione las opciones de configuracin que mejor se adapte a sus necesidades. Despus de haber instalado TS Gateway, puede eliminarlo mediante el Asistente para quitar la funcin. Agregar nuevas caractersticas o eliminar caractersticas instaladas. Visualizacin del estado de las funciones instaladas y realizar tareas de gestin relacionadas, la consola Administrador de servidores (Server Manager) proporciona una vista consolidada del servidor, que incluye la informacin de configuracin del servidor, el estado de las funciones y caractersticas instaladas, y enlaces a agregar y quitar funciones de servidor, servicios y caractersticas, herramientas para la gestin de las funciones y caractersticas instaladas para que pueda acceder a todas las herramientas de gestin en un solo lugar. Utilizar la lnea de comandos para instalar las funciones y caractersticas, Servermanagercmd permite instalar y quitar funciones y caractersticas usando el smbolo del sistema o mediante el uso de scripts, tambin permite consultar la lista de funciones y caractersticas disponibles y los que estn instalados actualmente en el servidor.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Windows PowerShell
Es un nuevo shell de lnea de comandos y lenguaje de scripting que ayuda a los profesionales a lograr una mayor productividad y control de la administracin con mayor facilidad, Con Windows PowerShell no es necesario migrar scripts existentes, y se adapta idealmente para la automatizacin de las nuevas caractersticas de Windows Server 2008. Con ms de 130 herramientas de lnea de comandos, un nuevo lenguaje de secuencias de comandos para la administracin centralizada, acelera la automatizacin de tareas de administracin del sistema, mejora la capacidad de su organizacin para abordar los problemas especficos de su entorno de gestin del sistema. Windows PowerShell es fcil de adoptar, aprender, y utilizar porque no requiere experiencia en programacin, y funciona con su actual infraestructura de IT

Microsoft Management Console


Al igual que con anteriores versiones de Windows Server, el principal mtodo para administrar el entorno de servidor, es a travs de Consolas MMC. Microsoft proporciona muchas herramientas preconfiguradas en el men Herramientas administrativas, o puede optar por crear una consola personalizada que contiene slo determinados complementos que necesite para hacer una tarea en particular, puede crear estos MMC personalizada mediante la ejecucin del comando MMC.exe.

Funciones
Las funciones de servidor en Windows Server 2008 describen la funcin primaria de un servidor. Por ejemplo, una funcin de servidor podra ser como Active Directory Domain Services (AD DS) o un servidor Web. Usted puede optar por instalar uno o varias funciones en un equipo Windows Server 2008, las funciones incluidas en el Servidor de Windows 2008 Son:

Active Directory Certificate Services (AD CS)


AD CS proporciona servicios para crear y administrar certificados de clave pblica que aquellos sistemas de seguridad que empleen tecnologas de clave pblica, las organizaciones pueden usar AD CS para mejorar la seguridad mediante la unin de la identidad de una persona, dispositivo o servicio a una clave privada correspondiente, AD CS tambin incluye caractersticas que le permiten gestionar la inscripcin y revocacin de certificados en una variedad de entornos escalables. Algunos servicios que emplean Certificados digitales pueden ser: correo seguro (S/MIME), redes inalmbricas seguras, redes privadas virtuales (VPN), Internet Protocol Security (IPsec), Sistema de archivos cifrados (EFS), inicio de sesin de tarjeta inteligente, Secure Socket Layer/Transport Layer Security (SSL / TLS) y firmas digitales.

Active Directory Domain Services AD DS


Almacena informacin sobre usuarios, equipos y otros dispositivos de la red, AD DS ayuda a los administradores a gestionar esta informacin de forma segura y facilita el intercambio de recursos y la colaboracin entre usuarios. AD DS tambin es requerido para poder instalar aplicaciones habilitadas para directorio como Microsoft Exchange Server y para aplicar otras tecnologas de Windows Server.

Federacin de Servicios de Active Directory (AD FS)


AD FS proporciona tecnologas Web single sign-on (SSO) usadas para autenticar un usuario a mltiples aplicaciones Web utilizando una cuenta de usuario nico.

Active Directory Lightweight Directory Services (AD LDS)


Las organizaciones que tienen aplicaciones que requieren un directorio para almacenar datos de aplicaciones pueden usar AD LDS como almacn de datos, AD LDS se ejecuta como un servicio por lo que no requiere implementacin en un controlador de dominio, permite mltiples instancias de AD LDS .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

en forma simultnea en un nico servidor, y cada instancia se puede configurar de forma independiente para dar servicio a mltiples aplicaciones.

Active Directory Rights Management Services (AD RMS)


AD RMS es una tecnologa de proteccin de la informacin que trabaja con aplicaciones habilitadas AD RMS para ayudar a salvaguardar la informacin digital del uso no autorizado, los propietarios de contenido pueden definir exactamente cmo un destinatario puede utilizar la informacin, tales como quin puede abrir, modificar, imprimir, reenviar y / o tomar otras acciones con la informacin, se pueden crear plantillas de derechos de uso personalizado como "Confidencial - Slo lectura" que se pueden aplicar directamente a la informacin como informes financieros, especificaciones de producto, datos de clientes, y mensajes de correo electrnico.

Servidor de Aplicaciones
Proporciona una solucin completa para la gestin de hosting y de alto rendimiento de aplicaciones distribuidas de negocios, incluye Los servicios integrados, como l. NET Framework, Web Server Support, Message Queue Server, COM +, Windows Communication Foundation.

Dynamic Host Configuration Protocol (DHCP)


Permite a los servidores DHCP asignar direcciones IP o conceder configuraciones de TCP/IP a ordenadores y otros dispositivos que estn habilitados como clientes DHCP, la implementacin de servidores DHCP en la red proporciona que automticamente los ordenadores y otros dispositivos basados en IP, direcciones IP vlidas y parmetros de configuracin adicional que estos dispositivos necesitan, llamado opciones de DHCP, lo que les permite conectarse a otros recursos de red, como servidores DNS, Windows Internet Name Service (WINS), y routers.

Servidor DNS
DNS proporciona un mtodo estndar para asociar nombres con direcciones de Internet numrico, hace posible que los usuarios se refieren a equipos de la red mediante el uso fcil de recordar nombres en lugar de una larga serie de nmeros. Puede integrar los servicios de Windows DNS con los servicios de DHCP en Windows, eliminando la necesidad de agregar registros DNS como equipos se agreguen a la red.

Servidor de fax
Enva y recibe faxes, y le permite administrar los recursos de fax.

Servicios de Fichero
Proporciona tecnologas para la gestin del almacenamiento, replicacin de ficheros, la administracin distribuida de espacio de nombres, bsqueda de ficheros

Servidor de Polticas de Acceso (NPS) y Servicios de Acceso a la Red (RAS)


Ofrece una variedad de mtodos para proporcionar a los usuarios conectividad de red locales y remotas, para conectar segmentos de red, y permitir a los administradores de red gestionar el acceso de red y las polticas de cumplimiento de salud del cliente de forma centralizada. Con servicios de acceso de red puede implementar servidores VPN, servidores de acceso telefnico, routers, y acceso inalmbrico protegido 802.11, Tambin puede implementar servidores RADIUS y proxies, y el uso de Connection Manager Administration Kit (CMAK) para crear perfiles de acceso remoto que permiten a los equipos cliente conectarse a la red.

Servicios de impresin
Servicios de impresin permite la gestin de servidores de impresin e impresoras. Un servidor de impresin reduce la carga de trabajo administrativo y de gestin mediante la centralizacin de las tareas de administracin de impresoras.

Servicios de Terminal Server


.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Terminal Services proporciona tecnologas que permiten a los usuarios acceder a los programas basados en Windows que se instalan en un servidor de Terminal Server, o para acceder al escritorio de Windows, desde casi cualquier dispositivo informtico. Los usuarios pueden conectarse a un servidor de Terminal Server para ejecutar programas y utilizar sus recursos de red.

Universal Description, Discovery and Integration (UDDI)


Servicios UDDI proporciona capacidades UDDI para compartir informacin acerca de los servicios Web dentro de la intranet de una organizacin, entre socios de negocios en una extranet o en Internet.

Web Server (IIS)


Permite el intercambio de informacin en Internet, una intranet o una extranet. Se trata de una plataforma Web unificada que integra IIS 7.0, ASP.NET, Windows Communication Foundation, y Windows SharePoint Services. IIS 7.0 tambin incluye funciones de seguridad mejoradas, simplificadas de diagnstico y administracin delegada.

Windows Deployment Services


Puede utilizar Windows Deployment Services para instalar y configurar sistemas operativos Microsoft Windows de forma remota a travs de Pre-boot Execution Environment (PXE) permite el arranque desde una adaptadora de red.

Windows SharePoint Services:


Proporciona la capacidad de crear sitios Web para compartir informacin y colaboracin de documentos. Puede proporcionar recursos, tales como portales de informacin, bases de operaciones, el almacenamiento de documentos y de presencia que permiten a los usuarios localizar la informacin distribuida de forma rpida y eficiente, conectarse y trabajar con otros de manera ms productiva.

Virtualizacin de Windows
La Virtualizacin de Windows Server proporciona servicios que se pueden utilizar para crear y gestionar mquinas virtuales y sus recursos, cada mquina virtual es un sistema de computacin virtualizada que opera en un entorno de ejecucin aislados. Esto le permite ejecutar mltiples sistemas operativos simultneamente.

Caractersticas
Una caracterstica en general no describe la funcin principal del servidor, en su lugar, describe una funcin auxiliar de un servidor o apoya a una funcin principal, algunas caractersticas son:

Microsoft. NET Framework 3.0


Ofrece interfaces de programacin de aplicaciones (API) con las nuevas tecnologas para crear aplicaciones con interfaces de usuario ms atractivas, proteger la informacin de sus clientes y comunicacin segura.

Cifrado de unidad BitLocker


Ayuda a proteger los datos de prdida o robo mediante la encriptacin de todo el volumen y el control de la integridad de los componentes de inicio, los datos son descifrados slo si los componentes se han verificado correctamente y la unidad cifrada se encuentra en el equipo original, la comprobacin de la integridad requiere una compatibilidad con Trusted Platform Module (TPM).

Extensiones de servidor BITS


Servicio de transferencia inteligente en segundo plano (BITS) permiten a un servidor recibir los ficheros enviados por los clientes mediante BITS en primer o segundo plano de forma asincrnica, preservando la capacidad de respuesta de otras aplicaciones de red, y reanudar las transferencias de ficheros despus de fallos de red y reinicios de equipo.

Connection Manager Administration Kit (CMAK)


.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Genera perfiles para administrar las conexiones de usuarios remotos.

La experiencia de escritorio
Incluye caractersticas de Windows Vista, como Windows Media Player, temas de escritorio, y gestin de fotos, la experiencia de escritorio, no permite ninguna de las caractersticas de Windows Vista por defecto. En su lugar, debe habilitarse manualmente.

Group Policy Management


Hace que sea ms fcil de comprender, implementar, administrar y solucionar problemas de implementaciones de Poltica de Grupo.

Cliente de impresin en Internet


Permite utilizar HTTP para conectarse y utilizar impresoras que se encuentran en servidores de impresin Web, la impresin en Internet permite conexiones entre los usuarios y las impresoras que no estn en el mismo dominio o red.

Servidor de nombres de almacenamiento de Internet (iSNS)


iSNS proporciona servicios de localizacin para NAS de Isasi, procesa las solicitudes de registro, las solicitudes de baja en el registro y las consultas de los clientes iSNS.

LPR Port Monitor


LPR permite a los usuarios que tienen acceso a ordenadores basados en UNIX imprimir en dispositivos conectados a ellos.

Message Queue Server


Proporciona entrega de mensajes garantizada, enrutamiento eficaz, seguridad y mensajera basada en prioridades entre aplicaciones, se ha adaptado en la entrega de mensajes entre las aplicaciones que se ejecutan en diferentes sistemas operativos, uso de diferentes infraestructuras de red, se encuentran temporalmente fuera de lnea, o que se ejecutan en momentos distintos.

Microsoft Multipath I/O (MPIO)


Brinda apoyo para el uso de varias rutas de datos a un dispositivo de almacenamiento en Microsoft Windows.

Peer Name Resolution Protocol (PNRP)


Permite a las aplicaciones PNRP inscribir y resolver los nombres de su equipo, para que otros equipos se pueden comunicar con estas aplicaciones.

qWave (Windows Audio Video experience)


Es una plataforma de red para aplicaciones de audio y video (AV) mejora el rendimiento y la fiabilidad de la red, garantizando la calidad de servicio para aplicaciones AV.

Asistencia remota
Permite (a personal de soporte) ofrecer asistencia a los usuarios ya que permite ver y compartir el control de escritorio del usuario con el fin de solucionar problemas.

Herramientas de administracin remota


Permite la administracin remota de Windows Server 2003 y Windows Server 2008 desde un equipo que ejecuta Windows Server 2008, permitir ejecutar algunas de las herramientas de gestin para las funciones, servicios de funcin y caractersticas en un equipo remoto.

Extrable Storage Manager (RSM)


Administra medios extrables y opera catlogos automatizados de dispositivos de medios extrables.

RPC sobre http


.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Es un proxy usado por los objetos que reciben llamadas de procedimiento remoto (RPC) a travs Hypertext Transfer Protocol (HTTP). Este poder permite a los clientes descubrir objetos incluso si los objetos se mueven entre los servidores o si existen en reas restringidas de la red (generalmente por razones de seguridad).

Servicios Network File System (NFS)


Es un protocolo que acta como un sistema de ficheros distribuido, lo que permite a un ordenador acceder a archivos en una red tan fcilmente como si estuvieran en sus discos duros locales, sta caracterstica est disponible para su instalacin en versiones de 64-bits de Windows Server 2008 solamente. En otras versiones de Windows Server 2008, Servicios para NFS est disponible como una Funcin de Servicio dentro de la funcin Servicios de Fichero.

SMTP Server
Protocolo compatible con la transferencia de mensajes de correo electrnico.

Administrador de almacenamiento para redes SAN


Le ayuda a crear y gestionar los nmeros de unidades lgicas (LUN) en subsistemas de unidad de disco Fibre Channel y iSCSI que admiten Servicio de disco virtual (VDS) en la red SAN.

TCP/IP simple
Admite los siguientes servicios TCP / IP: generador de caracteres, horario diurno, descartar, eco y cita del da, proporciona compatibilidad con versiones anteriores y no deben ser instalados a menos que sea necesario.

Servicios Simple Network Management Protocolo (SNMP)


Es el protocolo estndar de Internet para el intercambio de informacin de gestin entre la consola de administracin de aplicaciones - como HP Openview, Novell NMS, IBM NetView o Sun Net Manager - y dispositivos de red, la gestin de dispositivos pueden incluir hosts, enrutadores, puentes y concentradores.

Subsistema para aplicaciones basadas en UNIX


Permite ejecutar programas basados en UNIX, y compilar y ejecutar aplicaciones personalizadas basadas en UNIX en el entorno Windows.

Cliente Telnet
Utiliza el protocolo Telnet para conectarse a un servidor Telnet remoto y ejecutar aplicaciones en el servidor.

Servidor Telnet
Permite a los usuarios remotos, incluidos los que ejecutan sistemas operativos basados en UNIX, realizar tareas de administracin de lnea de comandos y ejecutar programas utilizando un cliente telnet.

Cliente Trivial File Transfer Protocolo (TFTP)


Se utiliza para leer archivos desde o escribir archivos en un servidor remoto de TFTP. TFTP se utiliza principalmente por medio de dispositivos o sistemas incrustados que recuperan informacin de firmware, configuracin o una imagen del sistema durante el proceso de arranque de un servidor TFTP.

Conmutacin por error de clsteres


Permite que mltiples hosts trabajen juntos para proporcionar alta disponibilidad de servicios y aplicaciones, se utiliza con frecuencia para servicios de ficheros e impresin, bases de datos y aplicaciones de correo.

Network Load Balancing (NLB)

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Distribuye el trfico entre varios servidores, utilizando el protocolo TCP / IP en red, NLB es til sobre todo para asegurar que las aplicaciones sin estado, como un servidor Web que ejecuta IIS, sean escalables mediante la adicin de servidores adicionales a medida que aumenta la carga.

Copia de seguridad de Windows Server


Windows Server Backup permite realizar copias de seguridad y recuperar el sistema operativo, aplicaciones y datos, se puede programar copias de seguridad para ejecutar una vez al da o ms a menudo, y puede proteger todo el servidor o volmenes especficos.

Administrador de recursos del sistema de Windows (WSRM)


Es una herramienta del sistema operativo Windows Server que puede controlar la forma en que la CPU y los recursos de memoria son asignados, gestionar la asignacin de recursos mejora el rendimiento del sistema y reduce el riesgo de que las aplicaciones, servicios o procesos interfieran entre s para reducir la eficiencia del servidor y la respuesta del sistema.

Windows Internet Naming Service (WINS)


Proporciona una base de datos distribuida para registrar y consultar las asignaciones dinmicas de nombres NetBIOS para equipos y grupos que se usen en la red, WINS hace mapas de nombres NetBIOS a direcciones IP y resuelve los problemas derivados de la resolucin de nombres NetBIOS en entornos enrutados.

Servicio de LAN inalmbrica (WLAN)


Configura e inicia el servicio WLAN AutoConfig, sin importar si el equipo tiene adaptadores inalmbricos. WLAN AutoConfig enumera los adaptadores inalmbricos, y gestiona tanto las conexiones inalmbricas y los perfiles mviles que contienen la configuracin necesaria para que un cliente inalmbrico pueda conectarse a una red inalmbrica.

Windows Internal Database


Es un almacn de datos relacional que puede ser utilizado slo por las funciones de Windows como los servicios UDDI, Active Directory Rights Management Services, Windows SharePoint Services, Windows Server Update Services y Windows System Resource Manager.

Windows PowerShell
Es un shell de lnea de comandos y lenguaje de scripting que ayuda a los profesionales a lograr una mayor productividad, proporciona un nuevo lenguaje de secuencias de comandos de administracin centralizada.

Activacin de Servicios de procesos de Windows (WAS)


Generaliza el modelo de proceso de IIS, eliminando la dependencia de HTTP. Todas las caractersticas de IIS que anteriormente estaban disponibles slo para las solicitudes HTTP ya estn disponibles para aplicaciones de Windows Communication Foundation (WCF), utilizando protocolos no HTTP. IIS 7.0 tambin usa WAS para la activacin basada en mensajes a travs de HTTP.

Disco de recuperacin de Windows


Le permite crear un disco de recuperacin que puede ayudarle a recuperarse de Windows de un error grave, puede utilizar un disco de recuperacin para acceder a las opciones de recuperacin del sistema, si no encuentra el disco de instalacin de Windows o no puede acceder a las herramientas de recuperacin que proporciona el fabricante del equipo.

Generalidades de la Opcin de Instalacin Server Core


Una nueva opcin en Windows Server 2008 es la opcin Server Core, que instala slo lo que se requiere tener en un servidor de infraestructura como AD DS, AD LDS, DHCP, DNS, archivos, impresin y/o Servicios de Streaming Media, La interfaz grfica no est disponible con esta opcin, en su lugar se utiliza .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

la lnea de comandos o herramientas de administracin remota para configurar y administrar el entorno del servidor. La instalacin no es compatible con la actualizacin desde versiones anteriores, por lo tanto siempre debe realizar una instalacin limpia.

Beneficios de una instalacin Server Core


En Windows Server 2008, los administradores pueden optar por instalar un entorno mnimo que evita la sobrecarga adicional, aunque esta opcin limita las funciones que el servidor pueda realizar, se puede mejorar la seguridad y reducir la administracin, ste tipo de instalacin se denomina instalacin Server Core.

Server Core brinda los siguientes beneficios


Mantenimiento reducido: Debido a que una instalacin de Server Core instala slo lo necesario para las funciones de servidor, se requiere menos mantenimiento que en una instalacin completa de Windows Server 2008. Reduccin de la superficie de ataque: Debido a que los componentes de instalacin son mnimos, hay menos aplicaciones que se ejecutan en el servidor, lo que disminuye la superficie de ataque. Reduccin de la gestin: debido a que menos aplicaciones y servicios estn instalados en un servidor que ejecuta una instalacin Server Core, hay menos que gestionar. Menos espacio en disco necesario. Una instalacin de Server Core slo requiere alrededor de 1 gigabyte (GB) de espacio en disco para instalar, y aproximadamente 2 GB para las operaciones despus de la instalacin.

Usted puede reducir el esfuerzo administrativo y ayudar a limitar los riesgos de seguridad al optar por utilizar la opcin de instalacin Server Core en un servidor.

Roles Soportados en Server Core:


Server Core proporcionan un entorno para ejecutar las funciones de servidor siguientes: AD DS AD LDS Servidor DHCP Servidor DNS Servicios de archivo Servidor de impresin Streaming Media Services Windows Server Virtualization (Hyper-V)

Requisitos previos para la instalacin de una funcin de servidor en un servidor ejecutando una instalacin Server Core:
Un equipo en el que ha instalado y configurado una instalacin Server Core de Windows Server 2008. Una cuenta de usuario y contrasea de administrador del servidor que ejecuta la instalacin de Server Core. Si va a instalar y configurar un servidor de impresin, otro equipo que ejecuta Windows Vista o Windows Server 2008 en el que se puede ejecutar la Consola de administracin de impresin para configurar el servidor de impresin remota. Si va a instalar y configurar un servidor DHCP, la informacin necesaria para configurar un mbito DHCP, debe configurar el servidor que ejecuta la instalacin de Server Core para utilizar una direccin IP esttica. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Si va a instalar y configurar un servidor DNS, la informacin necesaria para configurar una zona DNS. Si va a instalar y configurar un entorno de Active Directory, la informacin necesaria para unirse a un dominio existente o para crear un nuevo dominio, si planea promover el servidor que ejecuta la instalacin de Server Core para ser un controlador de dominio en un dominio de Active Directory, un administrador de dominio nombre de usuario y contrasea.

Caractersticas Soportadas por la Instalacin Server Core


Despus de la instalacin de Server Core es completa y el servidor est configurado, puede instalar una o ms caractersticas opcionales. La instalacin de Server Core de Windows Server 2008 es compatible con las caractersticas opcionales siguientes: Copias de Seguridad BitLocker Drive Encryption Conmutacin por error de clsteres (Excepto en Versiones estndar) Multipath I/O NLB Medios de almacenamiento extrables SNMP Subsistema para aplicaciones basadas en UNIX Cliente Telnet WINS

Administracin de una instalacin Server Core:


Debido a que no hay interfaz grfica de usuario disponible se requiere que los administradores tengan experiencia en el uso de un smbolo del sistema o tcnicas de scripting para la administracin local del servidor, como alternativa, puede administrar la instalacin de Server Core, con complementos de MMC de otro equipo que ejecute Windows Server 2008, para ello, seleccione el equipo que ejecuta una instalacin Server Core como un equipo remoto para administrar. La opcin de instalacin Server Core no es una plataforma de aplicaciones, y no puede ejecutar o desarrollar aplicaciones de servidor en una instalacin Server Core, slo se puede utilizar para ejecutar las funciones de servidor mencionadas anteriormente. Mtodos de administracin y mantenimiento: Los cuatro mtodos principales para la administracin y el mantenimiento de una instalacin de Server Core son: Localmente y de forma remota utilizando un smbolo del sistema: Mediante el uso de las herramientas de lnea de comandos de Windows en un smbolo del sistema, puede administrar servidores que ejecuten una instalacin Server Core. De forma remota mediante Terminal Server: Mediante el uso de otro equipo que ejecuta Windows, puede administrar de forma remota utilizando el cliente de Terminal Server para conectarse a un servidor que ejecuta una instalacin Server Core. El intrprete de comandos en la sesin de Terminal Server ser el smbolo del sistema. Para habilitar Servicios de Terminal Server en la instalacin de Server Core, escriba lo siguiente en una ventana de comandos en el servidor:

Cscript C:\Windows\System32\Scregedit.wsf /ar 0 Esto permite que el Escritorio remoto para el modo de administracin acepte conexiones. De forma remota utilizando Windows Shell Remoto: Mediante el uso de otro equipo que ejecuta Windows Vista o Windows Server 2008, puede utilizar Windows Shell remoto para ejecutar herramientas de lnea de comandos y scripts en un servidor con una instalacin Server Core. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para utilizar Shell Remoto de Windows, usted debe habilitar en la instalacin Server Core. Para ello, escriba lo siguiente en una ventana de comandos en el servidor: WinRM quickconfig

Para conectarse al servidor de Server Core con comando Shell, en un equipo diferente utilizar la herramienta Winrs. La siguiente es la sintaxis de ejemplo: Winrs -r: nombreDeServidor dir c:\windows (Donde nombreDeServidor es el nombre del servidor que ejecuta una instalacin Server Core.) De forma remota utilizando un complemento de MMC: Mediante el uso de un complemento de MMC de un equipo que ejecuta Windows Vista o Windows Server 2008, puede conectarse a un servidor que ejecuta Server Core de la misma manera que se conecta a cualquier equipo que ejecuta Windows, la administracin se realiza del mismo modo que la administracin de cualquier otro servidor.

Consideraciones Firewall para las herramientas de administracin remota


El comando winrm quickconfig o la versin abreviada, winrm qc, realiza las siguientes operaciones: Inicia el servicio WinRM y establece el tipo de inicio del servicio en Automtico. Configura una escucha para los puertos que envan y reciben mensajes de protocolo WSManagement usando HTTP o HTTPS en cualquier direccin IP. Define excepciones del firewall para el servicio WinRM y abre los puertos para HTTP y HTTPS.

Para habilitar los puertos necesarios para la administracin remota mediante consolas de MMC: Para habilitar la administracin remota del firewall, en el smbolo del sistema, escriba: Netsh firewall set service RemoteAdmin enable Estos puertos incluyen: TCP 445 TCP RPC dinmico TCP RPC Endpoint Mapper Puertos necesarios para conectividad Servicios de Terminal TCP 3389

Resumen
Se puede concluir que el proceso de instalacin ha sido mejorado ya que siempre usa una interfaz grfica para la instalacin gracias a Windows PE, que ya no se necesitan conocer los parmetros especficos de configuracin del servidor durante la instalacin porque ste paso se har en las tareas de configuracin inicial posterior a la instalacin, esto se traduce en instalaciones ms rpidas y menos complejas. Tambin concluimos que tomar la decisin de instalar un servidor en Modo Server Core nos ayuda a mejorar la seguridad para servidores que deben estar ubicados remotamente y no cuentan con protecciones especficas de un Centro de Proceso de Datos (CPD), pero debemos tener en cuenta que la seguridad aumenta pero perdemos la consola grfica y la posibilidad de implementar otros servicios que no son compatibles en sta versin. Otro aspecto de Windows Server 2008 es que ahora podemos gestionar el servidor desde una nica consola, haciendo que los administradores no perdamos tiempo buscando otras herramientas para gestionar el servidor, tambin podemos decir que la instalacin del sistema ya no instala componentes innecesarios sino que a medida que los necesitemos los podemos agregar como una funcin o una .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

caracterstica y siempre al instalarlos podemos estar tranquilos porque si se necesitan componentes adicionales para la funcin que queremos el proceso de instalacin lo informar. Los procesos de instalacin y desinstalacin siempre se ejecutan en contextos seguros que hacen que el sistema no pierda estabilidad.

Recuerde:
Existen algunas modificaciones al soporte de hardware que Windows 2008 como por ejemplo Windows 2008 slo se pueden instalar en Equipos de tipo ACPI (Sistema por el cual los equipos controlan su consumo elctrico por software) Ya no se especifica un fichero HAL (Capa de abstraccin de hardware) personalizado para el hardware. El Firewall de Windows est activo por defecto e impedir las conexiones hacia el Servidor, no es una buena prctica desactivarlo porque junto con l tambin se desactivan otros componentes como IPSEC, considere mejor abrir los puertos necesarios para establecer comunicacin hacia el servidor. Si se utiliza la versin de 64 bits tenga en cuenta de usar hardware que tenga controladores firmados por que ahora es un requisito obligatorio debido a que nos protege de ataques a nivel de ncleo. No es posible actualizar una versin de Windows existente a modo instalacin Server Core, ste modo de instalacin siempre se hace en modo limpio.

Videos
Ver Vdeo: Instalacin de Servidores Windows 2008, en el Mdulo 7. Unidad 1, en la plataforma e-learning. Ver Vdeo: Instalacin desatendida de Servidores Windows 2008, en el Mdulo 7. Unidad 1, en la plataforma e-learning.

Laboratorios Laboratorio 1. Instalacin de Windows 2008


1. Iniciar la instalacin desde el Medio de Windows 2008, iniciar el sistema operativo Windows PE.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

2. Seleccionar: El Idioma, la configuracin regional y Distribucin del teclado (debe estar de acuerdo a nuestro teclado fsico)

3. Pinchar en Instalar ahora.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

4. Seleccionamos el sistema operativo a instalar de acuerdo a nuestra licencia, podemos encontrar varias ediciones de Windows Server 2008 seleccionar la forma de instalacin completa o la Server Core.

5. Aceptar los trminos de licencia.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

6. Seleccionar el tipo de Instalacin

7. Seleccionar la unidad de disco donde se instalar el sistema operativo y pinchar en SIGUIENTE.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

El proceso de instalacin copia ficheros, los expande, instala caractersticas, actualizaciones y finaliza la instalacin.

Despus de 2 reinicios Windows 2008 inicializa el Sistema.

La contrasea del Administrador debe cambiarse la primera vez.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Al crear la contrasea podemos entonces acceder al sistema.

El sistema notifica la aceptacin de la nueva clave e informa que se ha cambiado.

Se prepara la configuracin del escritorio del Administrador.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

El servidor detecta las redes y nos preguntar la ubicacin de dicha red (Hogar, Trabajo o Pblica).

Aparece entonces la Consola de Tareas de Configuracin Inicial desde la que se puede fijar las opciones de configuracin especfica para ste servidor y modificar los valores predeterminados: La opcin 1 Proporcionar informacin del equipo: zona horaria, nombre de equipo aleatorio, configuraciones IP V4 y V6 en forma dinmica y en un grupo de trabajo llamado WORKGROUP. La opcin 2 Actualizar ste servidor: Activar y configurar las actualizaciones automticas de Windows.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

La opcin 3 Personalizar este servidor: podemos agregar Funciones, Caractersticas, Activar el acceso al servidor usando escritorio remoto y configurar el firewall de Windows.

Se ejecuta la consola Administrador del Servidor.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Laboratorio 2. Agregar un rol (Directorio Activo) o una caracterstica.


1. Seleccionar el Nodo Funciones o caractersticas (depende de lo que se necesite activar) y pinchar en agregar funciones o agregar caractersticas

2. El asistente gua el proceso

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

3. Seleccionar una de las 17 Funciones (en ste caso AD DS) o de las 35 Caractersticas

4. Se muestran links con informacin de la funcin a instalar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

5. Pinchar en Instalar, para activar los ficheros binarios que el servicio utilizar

6. Se muestran barras de progreso de la instalacin.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

7. Al finalizar la instalacin de la Funcin o caracterstica nos dar informacin sobre los pasos adicionales.

8. La consola tambin muestra un resumen de las funciones y caractersticas instalas en el Servidor.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Laboratorio 3. Configuracin de una instalacin Server Core


1. Esta forma de instalar el Windows 2008 se decide desde las primeras opciones del inicio de instalacin del Windows Server 2008

2. Windows pedir inicio de sesin una vez la instalacin finaliza.

3. Pinchar en Otro Usuario.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

4. Haciendo uso de la cuenta predeterminada de Administrador intentamos iniciar sesin dejando la contrasea en blanco (opcin predeterminada)

5. Por seguridad no se permite la contrasea en blanco, solicita el cambio de la contrasea la primera vez que se efecta el inicio de sesin.

6. Para realizar el cambio debemos usar una contrasea compleja en los campos solicitados.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

7. Server Core no incluye interfaz grfica entonces en los siguientes pasos configuran el Servidor usando comandos del smbolo del sistema, comando SET muestra la configuracin actual.

8. Con el comando Netdom Renamecomputer asignamos el nombre al servidor que si tiene xito pedir un reinicio.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

9. Para reiniciar el servidor usamos el comando Shutdown r t 0.

10. Una vez reiniciado el sistema, asignar las configuraciones IP usando el comando NETSH (asignar IP, mscara y gateway).

11. Comando Netsh para agregar IP del Servidor DNS.

12. Para confirmar los cambios usar IPCONFIG.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

13. Ahora para unir el servidor como miembro de un Dominio usamos el comando Netdom Join.

14. Si la unin al dominio tiene xito entonces se debe reiniciar, es posible hacer CTRL+ALT+SUPR y en la esquina Inferior Derecha desplegar las opciones de Apagado o Reinicio.

15. De sta manera el sistema pedir la razn por la que Se apaga o se reinicia.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

16. De nuevo volvemos a entrar en el sistema y ahora debemos tener en cuenta que Windows Server 2008 por defecto Activa el Firewall de Windows, para ver el estado de firewall en una instalacin de Windows 2008 Server Core usamos el comando Netsh firewall show state.

17. Para abrir algunos puertos a travs del firewall usamos el comando netsh firewal add portopening (Tipo de transporte) y nombre de la regla predeterminada, en el ejemplo se abren los puertos TCP y UDP para el DNS (53) para prcticas posteriores, los puertos NetBIOS y permitir Administracin remota (135, 137, 138, 139, 445).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

18. Para verificar los cambios: Netsh firewall show config.

19. Para ver las Funciones o Caractersticas instaladas en Server Core se utiliza el comando OCLIST.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

20. Para instalar una Funcin o caracterstica usamos el comando OCSETUP y el nombre de la funcin (El nombre debe ser escrito como aparece en la lista obtenida con el comando OCLIST, distingue maysculas y minsculas). En ste ejemplo se instala un Servidor DNS Core.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 2. Configuracin y Solucin De Problemas DNS


Objetivos
Al trmino de sta unidad el alumno estar en capacidad de: Conocer la importancia de DNS en la infraestructura de redes Entender cmo se produce el proceso de resolucin de nombres FQDN con DNS Crear y configurar bases de datos de Zona DNS Como lograr una solucin DNS que sea Tolerante a fallos o con carga balanceada Conocer herramientas que se pueden utilizar con DNS para solucionar problemas.

Introduccin
La funcin de servidor DNS es un componente crtico de una infraestructura de dominios de Windows Server 2008 por que los clientes suelen utilizar los nombres para acceder a recursos en Internet como en la intranet, tambin DNS es la base para resolver nombres en los Dominios de Directorio Activo de Windows Server 2008. Las Zonas DNS son un concepto importante en la infraestructura de DNS, ya que permiten a los dominios DNS estar separados lgicamente y gestionados en forma separada, tambin sirven como la base de almacenamiento de informacin de registros utilizados en un espacio de nombres concreto. Las transferencias de zona DNS es la manera que utiliza la infraestructura DNS para mover la informacin de zona DNS de un servidor a otro proporcionando un sistema completamente tolerante a fallos o lograr distribuir mltiples servidores que sean ms cercanos a los clientes. Es muy importante que un administrador sepa cmo resolver problemas en DNS debido a que son la parte fundamental de un dominio basado en Directorio Activo y por ello debemos estar lo suficientemente aptos para identificar y solucionar los problemas ms comunes que puedan surgir, por ello le recomendamos que use las herramientas que el propio servicio proporciona.

Definiciones
Instalacin de la Funcin Servidor DNS
DNS es un servicio de resolucin de nombres que resuelve los nombres de los equipos a nmeros, DNS es una base de datos jerrquica distribuida lo que significa que la base de datos est separada lgicamente, permitiendo que muchos servidores diferentes alojen la base de datos mundial de nombres DNS. DNS es un servicio mundial que le permite escribir un nombre de dominio (por ejemplo, mcitp.com), que el equipo resuelve en una direccin IP, el beneficio es que las direcciones IPv4 pueden ser largas y difciles de recordar (por ejemplo, 194.224.52.4), mientras que un nombre de dominio normalmente es ms fcil de recordar. Originalmente, haba un fichero de Internet que contena una lista de todos los nombres de dominio y sus correspondientes direcciones IP, sta lista se convirti rpidamente en un fichero que gastaba mucho tiempo para administrar y distribuir. DNS fue desarrollado para resolver los problemas asociados con el uso de un solo archivo, con la adopcin del IPv6, DNS ser an ms crtico porque las direcciones IPv6 (por ejemplo, 2001:DB8:10:0:e38c:384f:3764:b59c) son ms complejas que las direcciones IPv4. DNS es responsable de resolver los recursos en un dominio de servicios de directorio (AD DS), es necesario instalar la funcin de DNS para instalar Directorio Activo, DNS proporciona informacin a los .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

clientes de estaciones de trabajo para que puedan iniciar sesin en la red, resuelve los recursos en el dominio, tales como servidores, estaciones de trabajo, impresoras y carpetas compartidas, si el Servidor DNS est configurado incorrectamente puede ser la fuente de muchos problemas de Directorio Activo.

Espacios de Nombres DNS


Facilita a un cliente DNS localizar un ordenador, est organizado jerrquicamente o en capas para distribuir informacin a travs de muchos servidores.

Raz de dominio
El dominio raz se representa por un "." Que no se escribe en un navegador Web por lo general debido a que el "." se da por supuesto; hay 13 servidores de dominio raz en todo el mundo.

Dominio de Nivel Superior


Este es el primer nivel del espacio de nombres DNS algunos ejemplos de dominios de primer nivel en Internet son: com, net, org, biz, gov, tambin hay un dominio de nivel superior para cada pas. Por ejemplo, Canad es. ca y el Reino Unido. Co.uk. El organismo que regula estos dominios se llama la Corporacin de Asignacin de Nombres y Nmeros (ICANN). Nota: Para ver una lista actualizada de los dominios de nivel superior, consulte la Internet Assigned Numbers Authority (IANA) sitio Web en http://www.iana.org/popular.htm. Dominio de segundo nivel: el nombre de dominio de segundo nivel es la porcin del nombre de dominio que aparece antes del dominio de primer nivel. Un ejemplo de un nombre de dominio de segundo nivel es "Microsoft" en el dominio www.microsoft.com. Las organizaciones registran los nombres de dominio de segundo nivel que tienen bajo su control. Cualquier persona puede registrar un nombre de dominio de segundo nivel a travs de un servicio de registro de Internet. Muchos dominios de segundo nivel tienen reglas especiales acerca de quin o qu puede registrar un nombre de dominio. Por ejemplo, las organizaciones sin fines de lucro pueden utilizar. Org.

Subdominio
El subdominio est en la lista antes del segundo nivel y dominios de nivel superior. Un ejemplo de un subdominio Soporte en el dominio www.support.microsoft.com. Los subdominios se definen en el servidor DNS de la organizacin que tiene el servidor DNS de segundo nivel.

Nombre de dominio completo (FQDN)


Es el nombre DNS explcito que incluye el nombre de cada dominio en el espacio de nombres DNS. Por ejemplo, si el equipo ha sido llamado Servidor1 en el dominio ventas.test.mcitp.com, el FQDN de ese equipo es servidor1.ventas.test.mcitp.com. DNS puede usar caracteres Alfa numricos pero hay algunas excepciones como el guin bajo (_) ya que est reservado.

Mejoras DNS en Windows Server 2008


El propsito de WINS en una infraestructura de red es resolver los nombres NetBIOS a direcciones IP para una comunicacin efectiva entre los sistemas y aplicaciones que an hacen uso de nombres nicos, las versiones anteriores de los sistemas operativos de Microsoft, y algunas aplicaciones antiguas, siguen utilizando este tipo de resolucin, al igual que el personal de una organizacin a favor de asignar a los recursos, tales como servidores Web internos, por lo tanto, WINS est disponible y se puede utilizar, pero se eliminar en un futuro, para prever los casos anteriores de resolucin con nombres nicos un nuevo tipo de Domain Name System (DNS) estar disponible.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Las nuevas caractersticas de DNS 2008 incluyen


Carga de Zonas en segundo plano
Almacenes de Zonas DNS de gran tamao que sirven a servicios como Directorio Activo (AD DS) son capaces de responder a las consultas de los clientes con mayor rapidez al reiniciar, porque ahora carga los datos de zona en segundo plano.

Soporte IP versin 6 (IPv6)


El servicio Servidor DNS admite ahora las direcciones ms largas de acuerdo a la especificacin de IPv6, a travs de un registro de host IPv6 que se conoce como registro "AAAA".

Soporte para los controladores de dominio de slo lectura (RODCs)


La funcin del servidor DNS en Windows Server 2008 proporciona las zonas primarias de slo lectura en RODCs se trata de una nueva funcin que permite a los controladores de dominio y servidores DNS ser desplegados en sitios remotos que carecen de seguridad fsica, un RODC no puede escribir informacin en las bases de datos del Directorio Activo y los servidores DNS. Nota: Cuando un controlador de dominio se utiliza como un RODC, una copia de slo lectura de la zona de dominio DNS y la zona de la empresa DNS se replica en el RODC. Una zona DNS en un RODC no puede ser modificada.

Nombres nicos Globales


El servicio DNS Server en Windows Server 2008 proporciona un tipo de zona nueva, llamada zona GlobalNames, que se puede utilizar para mantener los nombres de etiqueta nica a travs de un bosque entero. Esto elimina la necesidad de utilizar el NetBIOS basado en Windows Internet Name Service (WINS).

Consideraciones para Instalar la funcin servidor DNS:


La funcin de servidor DNS es fundamental en la configuracin de Directorio Activo y la infraestructura de red de Windows, al planificar la instalacin de DNS, hay varias consideraciones que deben ser revisados:

Capacidad del Servidor


Debemos conocer la cantidad de zonas que se configurarn en el servidor, calcular la cantidad de registros DNS que contendr cada zona, debemos conocer el nmero de clientes DNS que usarn el servidor.

Ubicacin del Servidor


Es necesario determinar donde se instalarn los servidores si en una ubicacin central o en las sucursales.

Disponibilidad del Servicio DNS


Como se mencion DNS tiene un papel fundamental por lo tanto se debe asignar la funcin de DNS en ms de un servidor para mantener una alta disponibilidad del servicio, si se usa el Directorio Activo para replicar la informacin de zona de DNS entonces el segundo Servidor DNS debe ser debe ser tambin un controlador de dominio. Se recomienda que el servidor DNS use una direccin IP esttica, ya que los clientes se configuran con las direcciones IP de los servidores DNS, Si estos cambios sus direcciones IP entonces ocasionar problemas en la bsqueda de nombres DNS para que sean resueltos en una direccin IP.

El Servidor DNS puede almacenar la base de datos DNS de dos maneras diferentes
En un archivo de texto almacenado en el Servidor DNS que contiene todas las entradas de nombres DNS, se puede editar con un editor de texto, se recomienda usar las Consola MMC del DNS para modificar la informacin del fichero. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

El servidor DNS almacena las entradas de DNS en la base de datos de Directorio Activo, sta base de datos se puede replicar en otros controladores de dominio incluso si no ejecutan la funcin de Servidor DNS, la replicacin se produce de forma transparente en segundo plano, no se puede utilizar un editor de texto para editar los datos de DNS que se almacena en el Directorio Activo. La utilidad de lnea de comandos para configurar un servidor DNS es Dnscmd.exe se puede utilizar esta herramienta de lnea de comandos como alternativa a la configuracin de la funcin de DNS con la interfaz grfica de usuario (GUI).

Configuracin de la Funcin Servidor DNS


Componentes DNS
La Solucin DNS incluye componentes tales como los servidores DNS, servidores DNS en Internet, y los clientes DNS.

Servidores DNS
Un servidor DNS responde a las solicitudes DNS recursivas e iterativas, tambin puede albergar una o ms zonas de un dominio en particular, las zonas contienen registros de recursos diferentes tambin activan un almacenamiento en cach de las consultas comunes para ahorrar tiempo en las bsquedas.

Servidores DNS en Internet


Los servidores DNS en Internet se pueden acceder pblicamente estn encargados de contener las zonas pblicas, los servidores raz y los dominios de nivel superior comunes, como. COM,. NET,. EDU.

Cliente DNS
El cliente DNS genera y enva consultas iterativas o recursivas al servidor DNS, un cliente DNS puede ser cualquier equipo que realice una bsqueda DNS que requiere la interaccin con el servidor DNS, los servidores DNS tambin puede emitir solicitudes de clientes DNS a otros servidores DNS.

Registros de Recursos DNS


El archivo de zona DNS almacena registros de recursos que especifican un tipo de recurso y la direccin IP para localizar el recurso, el registro de recursos ms comn es el registro A que se encarga de unir un nombre de host (estacin, servidor, dispositivo de red) con una direccin IP. Los registros de recursos ayudan a encontrar recursos de un dominio determinado por ejemplo, cuando un servidor de Exchange tiene que encontrar el servidor responsable de entregar el correo de otro dominio, solicitar el registro intercambio de correo (MX) para ese dominio, el registro MX apunta a un registro "A" de host que ejecuta el protocolo SMTP de correo. Los registros de recursos tambin pueden contener atributos personalizados, por ejemplo los registros MX, tienen un atributo de preferencia, lo cual es til si una organizacin tiene varios servidores de correo ya que indicar el servidor SMTP preferido para recibir el correo. Los registros SRV tambin contienen informacin sobre en qu puerto est escuchando el servicio y el protocolo que debe seguir para comunicarse con el servicio.

Algunos Tipos de Registros son


SOA
Inicio de autoridad identifica el servidor de nombres primario para una zona DNS.

A
Registro host define un nombre de host a una direccin IP

CNAME
Nombre cannico es un tipo de registro de alias .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

MX
Intercambio de correo, se utiliza para especificar un servidor de correo electrnico para un dominio particular.

PTR
Puntero, se utiliza para hacer un mapa de una direccin IP a un nombre de dominio, se almacenan en Zonas de bsqueda inversa.

SRV
Servicio de localizacin, identifica un servicio que est disponible en el dominio, Directorio Activo utiliza ampliamente estos registros.

NS
Servidor de nombres, identifica todos los servidores de nombres (DNS) en un dominio.

AAAA
En IPv6 es el registro de host.

Sugerencias de Raz
Son la lista de los 13 servidores de Internet que la Internet Assigned Numbers Authority (IANA) mantiene y que el servidor DNS utiliza si no se puede resolver una consulta DNS con un reenviador DNS o su propio cach. Las sugerencias de raz son los ms altos en la jerarqua de servidores DNS y puede proporcionar la informacin necesaria para que un servidor DNS realice una consulta iterativa a la capa inmediatamente inferior del espacio de nombres DNS. Las sugerencias de raz se instalan al instalar la funcin de DNS, se copian desde el archivo Cache.dns que los archivos de configuracin incluyen en la funcin DNS. Tambin se puede aadir sugerencias de raz a un servidor DNS para ayudar en operaciones de bsqueda de dominios no contiguos dentro de un bosque. Cuando un servidor DNS se comunica con un servidor de sugerencias de raz, se utiliza slo una consulta iterativa, si selecciona la opcin No usar recursividad para este dominio, el servidor no ser capaz de realizar consultas sobre las sugerencias de raz.

Consultas DNS
Una consulta DNS es el mtodo que se utiliza para solicitar la resolucin de nombres en el que se enva una consulta a un servidor DNS, hay dos tipos de consultas DNS: De autoridad y no autoritarias. Es importante sealar que los servidores DNS tambin pueden actuar como clientes DNS y enviar consultas DNS a otros servidores DNS. Un servidor DNS puede tener autoridad o no en el espacio de nombres de la consulta, un Servidor DNS tiene autoridad en un espacio de nombres cuando contiene una base de datos de Zona primaria o secundaria en un espacio de nombres DSN Los dos tipos de consultas son las siguientes:

Una consulta Autoritativa


Es aquella en la que el servidor puede devolver una respuesta que sabe es correcta porque la consulta incluye un espacio de nombres en la que el servidor tiene autoridad, es decir contiene una base de datos de Zona DNS que coincide con el espacio de nombres de la consulta. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Consultas No Autoritativas
Son todas aquellas que el servidor DNS obtiene desde su cach o usando otros servidores DNS como reenviadores o sugerencias de raz, la respuesta puede no ser exacta debido a que slo el servidor DNS autorizado para el dominio dado puede emitir esa informacin. Si el servidor DNS est autorizado para el espacio de nombres de la consulta, el servidor DNS verifica la zona y realice una de las siguientes: Devuelve la direccin IP solicitada. Devuelve una respuesta autoritativa negativa (No, ese nombre no existe). Si el servidor DNS local no tiene autoridad para espacio de nombres de la consulta, el servidor DNS realice una de las siguientes: Compruebe su cach y devuelve una respuesta de cach. Si no puede resolver la consulta con su propia informacin entonces puede reenviar la consulta a otro servidor especfico llamado Reenviador. Utilice las direcciones conocidas de mltiples servidores raz para encontrar un servidor DNS con autoridad para que resuelva la consulta, ste proceso se llama sugerencias de raz.

Consultas Recursivas
Puede tener dos resultados posibles: devuelve la direccin IP del host solicitado o el servidor DNS no puede resolver una direccin IP. Por razones de seguridad, a veces es necesario deshabilitar las consultas recursivas en un servidor DNS, de este modo, el servidor DNS en cuestin no intentar presentar sus peticiones a otro servidor DNS, esto puede ser til si no deseamos que un servidor DNS en particular se comunique fuera de su red local.

Consultas Iterativas
Proporcionan un mecanismo para acceder a la informacin de nombres de dominio que reside en todo el sistema DNS, y permitir a los servidores de forma rpida y eficiente resolver los nombres a travs de muchos servidores. Cuando un servidor DNS recibe una solicitud que no puede responder utilizando su informacin local o de sus bsquedas en cach, se hace la misma peticin a otro servidor DNS mediante una consulta iterativa. Cuando un servidor DNS recibe una consulta iterativa, puede responder con la direccin IP del nombre de dominio (si se conoce), o remitiendo la solicitud a los servidores DNS que son responsables para el dominio se consulta.

Servidores DNS Reenviadores:


Es un Servidor que enva consultas DNS de nombres DNS a servidores DNS externos fuera de esa red, es posible establecer reenvos condicionales que consiste en reenviar las consultas de acuerdo a los nombres de dominio especfico a Servidores DNS especficos que se suponen tienen autoridad en el espacio de nombres de la consulta reenviada. El uso de Servidores DNS de reenvo permite resolver consultas que no se pueden resolver localmente o si la resolucin de nombres es para los nombres de fuera de su red, como los nombres en Internet, y mejora la eficacia de la resolucin de nombres para los equipos de su red. Una recomendacin muy importante es usar servidores DNS de reenvo para resolucin de nombres de Internet por que mejora el rendimiento, simplificar la solucin de problemas, y es una prctica recomendada de seguridad, se puede aislar el servidor DNS de reenvo en una zona desmilitarizada (DMZ), que garantiza que ningn servidor en la red se est comunicando directamente a Internet. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Reenvo Condicional:
Un reenviador condicional es un servidor DNS en una red que enva las consultas DNS segn el nombre de la consulta de dominio DNS. Por ejemplo, puede configurar un servidor DNS que transmita todas las consultas que recibe por los nombres que terminan con test.com a la direccin IP de un servidor DNS especfico o a las direcciones IP de varios servidores DNS, esto puede ser til cuando tiene varios espacios de nombres DNS en un bosque. En Windows Server 2008, la configuracin de los reenviadores condicionales se ha trasladado a un nodo en la configuracin DNS de la consola, as mismo es posible replicar esta informacin a otros servidores DNS a travs de la integracin de Directorio Activo, se recomienda el reenvo condicional si se tienen varios espacios de nombres internos.

Cach DNS:
Aumenta el rendimiento del DNS al disminuir el tiempo necesario para proporcionar bsquedas de DNS, cuando un servidor DNS resuelve un nombre DNS correctamente, se agrega el nombre a su cach, con el tiempo, esto crea una cach de nombres de dominio y sus correspondientes direcciones IP de los dominios ms comunes que utiliza la organizacin o accesos. El tiempo predeterminado para almacenar los datos en la cach de DNS es una hora. Un servidor de slo cach no almacena datos de zonas DNS, slo responde a las bsquedas de los clientes DNS, ste es el tipo ideal de servidor DNS para utilizarse como reenviador.

Configuracin de Zonas DNS


Zonas DNS son un concepto importante en la infraestructura de DNS, ya que permite que los dominios DNS puedan estar separados lgicamente y gestionados. Una zona DNS aloja la totalidad o una parte de un dominio y sus subdominios y almacena los registros de los recursos vinculados a dicho Dominio o espacio de nombres. Los datos de una Zona se pueden replicar en ms de un servidor, lo cual permite redundancia porque la informacin necesaria para encontrar recursos en la zona existe ahora en dos servidores. El nivel de tolerancia a fallo determina la necesidad de crear nuevos servidores que alberguen la informacin de zona, si se tiene una zona que contiene registros de recursos crticos, es probable que esta zona debe tener un mayor nivel de redundancia que una zona en la que los dispositivos definidos no sean crticos.

Tipos de Zonas DNS


Zona principal Cuando una zona que alberga un servidor DNS es una zona primaria, el servidor DNS es la fuente principal de informacin sobre esta zona y almacena la copia maestra de datos de la zona en un archivo local o en el Directorio Activo (AD DS), si el servidor DNS almacena la zona en un archivo, el archivo de zona se llama nombre-de-zona.dns y se encuentra en la carpeta %windir%\System32 Dns\ en el servidor. Cuando la zona no se almacena en Directorio Activo, slo el servidor DNS tiene una copia modificable de la base de datos. Zona secundaria Cuando una zona que alberga un servidor DNS es una zona secundaria, el servidor DNS es una fuente secundaria para la informacin de la zona, la zona en este servidor se debe obtener de otro servidor DNS remoto que tambin alberga la zona este servidor DNS debe tener acceso a la red con el servidor DNS remoto para recibir informacin actualizada de la zona. Debido a que una zona secundaria es una .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

copia de una zona principal que otro host almacena, no se puede almacenar en AD DS, la zona secundaria puede ser til si va a replicar los datos de una Zona desde un servidor No Windows. Zona de Rutas Internas Solucionan varios problemas con los grandes espacios de nombres DNS y con varios rboles de bosque, un bosque de mltiples rboles es un bosque de Directorio Activo que contiene mltiples nombres de dominio diferentes. La zona de Rutas internas es una copia de una zona que contiene slo los registros de recursos necesarios para identificar los servidores DNS autorizados en dicha zona (Registro SOA y NS), el objetivo de sta zona es resolver distintos espacios de nombres DNS independientes. Puede ser necesaria cuando se requiere una fusin corporativa y necesitamos que los servidores DNS para dos espacios de nombres DNS independientes resuelvan los nombres de los clientes, las zonas de rutas internas utiliza la direccin IP de uno o ms servidores maestros que utilizar para mantenerse actualizada. Es posible confundir la zona de ruta interna con los reenvios condicionales porque ambas caractersticas DNS permitir a un servidor DNS responder a una consulta con una referencia mediante el envo de la consulta a un servidor DNS diferente, sin embargo, estos valores tienen propsitos muy diferentes: El reenviador condicional configura el servidor DNS para que transmita una consulta que recibe a un servidor DNS en funcin del nombre DNS que contiene la consulta, mientras que la zona de ruta interna, mantiene el servidor DNS al tanto de todos los servidores DNS con autoridad en un espacio de nombres de un dominio principal como de los dominios hijos (subdominios). Zonas Integradas en Directorio Activo La zona DNS se almacena dentro de la base de datos del servicio de directorio activo para tomar ventaja del modelo de replicacin con varios maestros para replicar la zona primaria lo cual permite editar datos de la zona en ms de un servidor DNS. Windows Server 2008 introduce un nuevo concepto llamado controlador de dominio de slo lectura (RODC), es posible que todos los datos de una zona DNS integrada en directorio activo se repliquen en todos los controladores de dominio, incluso si la funcin DNS no est instalado en el controlador de dominio por tanto si el servidor es un controlador de dominio de slo lectura, la zona en dicho servidor no podr escribir ni modificar datos. Zonas de Bsqueda Directa e Inversa La zona de bsqueda directa resuelve nombres de host a direcciones IP, y puede contener registros de recursos comunes: A, CNAME, SRV, MX, SOA y NS. Zona de bsqueda inversa resuelve una direccin IP a un nombre de dominio contiene registros SOA, NS, y PTR. Una zona inversa funciona de la misma manera como una zona de bsqueda directa pero en ste caso la consulta resolver una direccin IP a un nombre de host.

Delegacin de Zona DNS


DNS es un sistema jerrquico, y la delegacin de zona DNS permite separar 2 dominios contiguos para que cada uno tenga una base de datos separada en un servidor DNS separado y con posibilidad de administracin separada. La delegacin de zona apunta al siguiente nivel jerrquico hacia abajo e identifica los servidores de nombres responsables en el dominio de menor nivel. Al decidir si se debe dividir el espacio de nombres DNS para hacer zonas adicionales, considere las siguientes razones para utilizar las zonas adicionales: Se debe delegar la gestin de una parte del espacio de nombres DNS a otro lugar de la organizacin o departamento. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Se necesita dividir una zona de gran tamao en pequeas zonas para que pueda distribuirse la cargas de trfico entre varios servidores, lo que mejora el rendimiento de resolucin de nombres DNS y crea un entorno ms tolerante a fallos DNS. Es necesario ampliar el espacio de nombres agregando ms subdominios para dar cabida a la apertura de una nueva sucursal o un nuevo sitio.

Configuracin de Transferencia de Zona


Las transferencias de zona DNS es la forma de mover la informacin de una Zona DNS de un servidor a otro Las transferencia de zona sincroniza las zonas primaria y secundaria del servidor DNS, es importante que las zonas DNS se mantengan actualizadas constantemente, cualquier discrepancias entre las zonas primaria y secundarias pueden causar interrupciones del servicio y nombres de host que se resuelven de forma incorrecta. Una transferencia de zona completa se produce cuando se copia toda la zona de un servidor DNS a otro, la transferencia de zona completa se conoce como una transferencia de toda la zona (AXFR). Una transferencia de zona incremental se produce cuando hay una actualizacin del servidor DNS y slo los registros de recursos que se han cambiado se replican en el otro servidor. Se trata de una transferencia de zona incremental (IXFR). Servidores Windows tambin pueden realizar transferencias rpidas, lo que quiere decir que utiliza la compresin y enva varios registros de recursos en cada transmisin. No todas las implementaciones del servidor DNS soportan transferencias incrementales y rpidas, si se integra el Servidor de Windows 2008 en la infraestructura DNS de otros fabricantes es necesario asegurarse que las caractersticas que se pueden necesitar estn soportados. Zonas integradas en Directorio Activo replican usando la replicacin de mltiples maestros, permitiendo que cualquier controlador de dominio estndar que tambin tiene la funcin de DNS puede actualizar la informacin de zona DNS, que posteriormente replicar en todos los servidores DNS que alojan la zona DNS.

Notificaciones DNS
Permite notificar a los servidores secundarios cuando se producen cambios en la zona, esta notificacin es til en entornos donde es necesario mantener los servidores DNS replicados en un espacio de tiempo mnimo y donde la precisin de datos es importante.

Seguridad en las Transferencias de Zona:


La informacin de la Zona proporciona datos de la organizacin, por lo que debe tomar precauciones para asegurarse de que est seguro del acceso malintencionado y que no se puede sobrescribir con datos incorrectos (conocido como envenenamiento DNS). Una forma en que puede proteger la infraestructura de DNS es el de asegurar las transferencias de zona y el uso de actualizaciones dinmicas seguras. En la Pestaa Transferencias de zona en el cuadro de dilogo Propiedades de la zona, se puede especificar la lista de servidores DNS autorizados, tambin puede utilizar estas opciones para no permitir la transferencia de zona, de forma predeterminada, las transferencias de zona estn desactivadas. Si bien la opcin permite especificar los servidores que pueden solicitar los datos de zona, proporciona un nivel de seguridad ya que limita los destinatarios de los datos, pero no garantiza la seguridad de los datos mientras se est transmitiendo, si la informacin de la zona es altamente confidencial, es recomendable replicar los datos de zona a travs de una red privada virtual (VPN) o que se implemente Internet Protocolo Security (IPsec) para garantizar seguridad en la transmisin de los datos.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Mantenimiento y Solucin de problemas DNS


Es importante mantener la infraestructura DNS libre de problemas o por lo menos debemos conocer las herramientas que podemos utilizar para poder identificar y solucionar dichos inconvenientes. TTL, Caducidad y Borrado: ayudan a gestionar los registros DNS en un fichero de zona, ya que los registros pueden modificarse con el tiempo, se debe tener una forma para gestionar los recursos DNS que se actualizan o que ya no son vlidos debido a que los hosts que los registros representan ya no existen en la red. Time to Live (TTL): Indica el tiempo que un registro DNS se considera vlido, el TTL puede variar dependiendo del tipo de registro de recursos DNS. La Caducidad se produce cuando los registros creados en el servidor DNS llegan a su vencimiento y se eliminan, esto mantiene la base de datos de la zona con informacin exacta. Borrado: Realiza sobre el servidor DNS la eliminacin de registros obsoletos que ya han alcanzado el tiempo mximo de la caducidad, ste proceso tambin puede ser ejecutado por un administrador manualmente para limpiar la base de datos de informacin de registros obsoletos. Bases de datos DNS con un gran nmero de registros de recursos obsoletos que con el tiempo pueden utilizar mucho espacio de disco del servidor y provocar innecesariamente que el tiempo necesario para la transferencia de zona sea muy largo. Las zonas cargadas en los servidores DNS con registros de recursos obsoletos pueden utilizar informacin obsoleta para responder a consultas de los clientes, que puede causar que los equipos de cliente experimenten problemas de resolucin de nombres en la red. La acumulacin de los registros de recursos obsoletos en el servidor DNS puede degradar su rendimiento y capacidad de respuesta. En algunos casos, la presencia de un registro de recursos obsoletos en una zona puede impedir a otro host que utilice un nombre de dominio DNS. Marcas de tiempo: se basa en la fecha y hora actual configurada en el servidor, para cualquier registros de recursos que se agrega dinmicamente a las zonas primarias, las marcas de tiempo se registran en las zonas donde se habilita la caducidad y borrado. Para los registros de recursos que se agregan de forma manual, se utiliza un valor de sello de tiempo de cero para indicar que el proceso de caducidad no afecte a estos registros y que puedan permanecer sin limitaciones en los datos de la zona a menos que se cambie la marca de tiempo o se elimine. La Caducidad de los registros de recursos en los datos de las bases locales, se basan en un perodo de refresco de tiempo especfico en cualquier zona de tipo primario. La eliminacin de registros obsoletos que van ms all del perodo de actualizacin especificado. Cuando un servidor DNS realiza una operacin de borrado, se determina que los registros de recursos han caducado al punto de convertirse en obsoletos y procede a eliminarlos de los datos de la zona.

Los problemas ocasionados por no mantener los registros controlados pueden incluir:

Para resolver estos problemas, el servicio Servidor DNS tiene las siguientes caractersticas:

Por defecto, Caducidad y Borrado no est activo, se debe habilitar solo cuando se comprenda perfectamente su utilizacin de lo contrario podra eliminar registros que se deben mantener en la base de datos ocasionando problemas de resolucin de nombres.

Comprobacin de la Configuracin del Servidor DNS


En la Pestaa Supervisin del servidor DNS, puede configurar una prueba que permite que el servidor DNS determine si puede resolver consultas simples y realizar consultas recursivas para garantizar que el servidor puede comunicarse con los servidores de nivel superior, stas pruebas se pueden programar de .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

forma peridica, estas pruebas bsicas proporcionan un buen punto de partida para la solucin de problemas del servicio de DNS.

Herramientas para Identificar problemas DNS:


Pueden ocurrir problemas cuando no se configure el servidor DNS, las zonas y los recursos correctamente, cuando los registros de recursos estn causando problemas, a veces puede ser ms difcil identificar el problema, porque los problemas de configuracin no son siempre evidentes. Los problemas que posiblemente podemos encontrar son: Faltan registros: Pude que se hubieran eliminado prematuramente provocando que los hosts no puedan encontrar a otros. Registros incompletos: Si los registros existentes no tienen la informacin completa puede ocasionar que los clientes que soliciten el recurso obtengan informacin invlida, por ejemplo un Registro de Servicio que no contenga la direccin de puerto. Registros configurados incorrectamente: Registro que apuntan a una direccin IP no vlida o con informacin errnea en su configuracin tambin causar problemas cuando los clientes DNS tratar de encontrar los recursos.

Las herramientas utilizadas para solucionar estos y otros problemas de configuracin son: Nslookup Se utiliza para consultar informacin DNS, la herramienta es muy flexible y puede proporcionar mucha informacin valiosa sobre el estado del servidor DNS, se puede usar para buscar los registros de recursos y validar su configuracin, tambin puede probar las transferencias de zona, las opciones de seguridad, y la resolucin de registros MX. Dnscmd Permite administrar el servicio DNS con esta interfaz de lnea de comandos, es til en secuencias de comandos de archivos por lotes para ayudar a automatizar las tareas rutinarias de administracin de DNS o para realizar instalaciones desatendidas simples de nuevos servidores DNS. Ipconfig Utilice este comando para ver y modificar los detalles de configuracin IP en el equipo que utiliza, incluye opciones adicionales de lnea de comandos que sirven para solucionar problemas y dar soporte a los clientes DNS, es posible ver la cach local del cliente DNS mediante el comando ipconfig /displaydns, borrar la cach local utilizando el comando ipconfig /flushdns. DNSLint Se usa para diagnosticar problemas de DNS, es una utilidad de lnea de comandos para diagnosticar problemas de configuracin de DNS de forma rpida y tambin puede generar un informe en formato HTML con respecto al estado del dominio que est probando. Supervisin DNS Usando El Visor de Eventos y el Fichero de registro de depuracin: El servidor DNS tiene su propia categora en el registro de eventos, como con cualquier otro registro de eventos del visor de sucesos, debe revisar peridicamente el registro de sucesos. Algunas veces puede ser necesario obtener ms informacin sobre problemas del servidor DNS adicional al visor de sucesos, el Servidor DNS incluye la posibilidad de activar un fichero de registro para depurar informacin sobre los distintos tipos de paquetes y su actividad sobre el servidor DNS, dentro de las opciones es posible registrar: Direccin de paquetes tanto de envo como de recepcin Contenido de los paquetes: Consultas, Actualizaciones dinmicas y Notificaciones Protocolo de transporte: UDP y TCP. Tipo de paquete: Solicitudes y Respuestas Habilitar el filtrado basado en direcciones IP: Permite el registro de los paquetes enviados desde determinadas direcciones IP a un servidor DNS, o desde un servidor DNS a direcciones IP .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

especficas. Nombre de archivo y tamao lmite mximo: establece el tamao mximo de archivo para el archivo de registro del servidor DNS. Cuando el servidor DNS del archivo de registro alcanza su tamao mximo especificado, el servidor DNS sobrescribe la informacin ms antigua con informacin nueva (Si no se especifica un tamao mximo de archivo de registro, el servidor DNS del archivo de registro puede consumir una gran cantidad de espacio de disco duro). Por defecto, todas las opciones de registro de depuracin estn desactivadas, recuerde que el registro de depuracin puede hacer uso de los recursos muy intensivo provocando bajo rendimiento y consuno de espacio en disco duro, por lo tanto si se activa se debera hacer slo como una medida temporal, el fichero Dns.log contiene la actividad del registro de depuracin y en forma predeterminada, se encuentra en WindowsSystem32Dns.

Resumen
Podemos decir que DNS es uno de los servicios ms crticos en la infraestructura de red porque permite que los clientes encuentren los recursos usando los nombres en lugar de las direcciones IP numricas, incluso los administradores algunas veces usan las direcciones IP en versin 4 para acceder a ciertos equipos pero se debe tener en cuenta que con la inclusin de IPv6 las direcciones son de 128 bits hexadecimal lo que hace ms difcil recordar y utilizar, por tanto se hace ms necesario el uso de DNS y que su funcionamiento sea ptimo. Por sta misma razn no podemos descargar la responsabilidad de la resolucin a un nico servidor porque si hay un fallo, la red dejara de responder, para ello DNS ofrece una forma de replicar datos de las Zonas DNS hacia otros servidores usando la Transferencia de Zona, una alternativa a la gestin de la topologa de replicacin es incluir la zona en el Directorio Activo y entonces la replicacin DNS se hara de acuerdo a la replicacin del Servicio de Directorio. Saber cmo funcionan las herramientas de solucin de problemas como NSlookup, DNSlint y DNScmd ayudar mucho cuando nos enfrentemos a problemas en red provocados por una mala resolucin de nombres.

Recuerde
Las consultas realizadas a un servidor DNS siguen el siguiente orden para poder ser resueltas: El Servidor DNS comprueba su cach Si el nombre FQDN de la consulta coincide con una base de datos de Zona creada en el Servidor DNS que recibe la consulta quiere decir que tiene Autoridad en ese espacio de nombres, por lo tanto el servidor responder con la informacin que contenga en las zonas, la respuesta entonces se dar al cliente informando la direccin IP sino encuentra la informacin devolver una respuesta negativa al cliente. Si la consulta enviado no coincide con ninguna zona en el servidor, entonces se evaluar si existen configuraciones de Servidores DNS de reenvo, que pueden ser condicionales (segn un nombre de dominio que coincide con la consulta) o un servidor DNS reenviador que puede acceder a Internet directamente y obtener la resolucin desde Internet. Si no hay servidores DNS de reenvo el Servidor DNS utilizar las consultas Iterativas empezando por los servidores Sugerencias de raz configurados hasta encontrar el servidor DNS que tenga autoridad en el espacio de nombres de la consulta recibida. Cuando el servidor recibe la respuesta, almacena la informacin en su cach para que consultas posteriores buscando el mismo host, no tenga que volver a hacer todo el proceso sino que responder de los datos almacenados en la cach

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Precisamente la cach puede ser causa de respuestas equivocadas a los clientes, por ello se debe tener en cuenta como borrar la informacin de cach usando la consola mmc del DNS o usando el comando DNSCMD En un entorno replicado la frecuencia que controla la replicacin tambin debe ser tenida en cuenta cuando queramos resolver un problema, porque es posible que si la replicacin no ocurre con la frecuencia que nosotros esperamos los registros no se actualicen adecuadamente, tenga en cuenta ste aspecto y vigile la replicacin entre servidores DNS. El trfico DNS usa los protocolos TCP y UDOP 53 tenga en cuenta en abrir stos puertos en firewalls donde sea necesario. Cuando se cree una infraestructura DNS en un entorno de Dominio adems de la Zona de bsqueda directa, se recomienda usar zonas de bsqueda inversa debido a que algunas aplicaciones se beneficiaran de esto tipo de resolucin. Una forma rpida de resolver nombres en 2 espacios de nombres de Dominio en una organizacin es crear las Zonas de Rutas internas porque con ellas se implican procesos de resolucin usando reenviadores pero con la diferencia que la zona de rutas internas se mantendr actualizada (usando la replicacin DNS) con informacin de los servidores DNS que tengan autoridad en dicho espacio de nombres en un momento dado. Siempre que sea posible en Zonas que sirven para la resolucin de Dominios internos como Directorio Activo intgrelas en la base de datos del Directorio por que como beneficios podemos obtener: ms seguridad, sistema tolerante a fallo y administracin y despliegue simplificado.

Ver Vdeo: DNS, en el Mdulo 7. Unidad 2, en la plataforma e-learning.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Laboratorios Laboratorio 1 Instalacin DNS


1. Es posible Instalar DNS desde la consola Administrador del Servidor

2. Ahora en una instalacin Server Core Para instalar una Funcin o caracterstica usamos el comando OCSETUP y el nombre de la funcin (El nombre debe ser escrito como aparece en la lista obtenida con el comando OCLIST, distingue maysculas y minsculas). En ste ejemplo se instala un Servidor DNS Core.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

3. Una vez instalado el Servidor DNS en Server Core es necesario abrir los puertos de administracin en el firewall como se mostr en el captulo anterior y despus usando una consola MMc de DNS agregarlo para administrarlo remotamente, en ste caso hemos instalado DNS en 2 Servidores (DC2008 y Core2008). 4. Desde DC2008 abro la consola de administracin de DNS y agrego el Servidor DNS Core para administrarlo.

5. Sobre DNS hacer clic derecho y seleccionar la opcin Conectar con el Servidor DNS.

6. Escribimos el nombre del servidor que queremos administrar y Aceptar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Ahora tenemos en la misma Consola los 2 Servidores DNS.

Laboratorio 2 Configuracin de DNS


1. La funcin de un servidor DNS es empezar a resolver los nombres que un cliente le solicite, en ste caso los servidores se acaban de instalar y ya pueden empezar a resolver nombres (Servidores DNS de Cach) para ello se apoyan en otros servidores como las sugerencias de raz (Servidores DNS raz en Internet) para que un servidor empiece a usar las sugerencias de raz debe tener la posibilidad de acceder a Internet. 2. Si hacemos clic derecho sobre el servidor y luego Propiedades.

3. Luego seleccionar la pestaa Sugerencias de raz, podemos ver la informacin de stos servidores (tambin se puede ver sta informacin editando el fichero Cache.dns en el servidor DNS, ste fichero se instala al activar la funcin DNS) .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

4. Otro aspecto para la resolucin de nombres es usar antes que las sugerencias de raz a otros servidores llamados Servidores DNS de reenvo (pueden resolver consultas en nombre de otro servidor DNS que posiblemente por seguridad no pueda acceder directamente a Internet, como es el caso de un Servidor DNS que sirve a la resolucin de nombres de una red interna con Directorio Activo). Para configurar un Servidor DNS de Reenvo, sobre las propiedades del Servidor DNS usamos la ficha Reenviadores:

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

5. Luego pinchar en Editar para agregar el Servidor de Reenvo (un servidor DNS de cara a Internet) y Aceptar.

6. Existe tambin la posibilidad de hacer un Reenvo Condicional, es una solucin para resolver nombres DNS separados internos en una organizacin, con ste reenvo un administrador debe conocer cul es la direccin IP del servidor DNS que tiene autoridad en el espacio de nombres que se quiere reenviar, para hacer un reenvo condicional en la consola, bajo el nombre del servidor encontramos el nodo reenviadores condicionales, hacer clic derecho y seleccionar Nuevo reenviador condicional.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

7. A continuacin se escribe el nombre del domino que queremos resolver en el reenviador y la direccin IP del servidor o servidores DNS que tienen autoridad en ese espacio de nombres y luego Aceptar.

8. Todos los servidores DNS cuando reciben una consulta, intentarn resolverla empezando por buscar la informacin desde la cach del Servidor DNS, esta cach se va creando a medida que el servidor va obteniendo respuestas desde los dems servidores DNS, para ver el cach en la consola DNS tenemos que activar la vista Avanzada en el Men Ver (Debes seleccionar primero el nombre del servidor para que se active la opcin).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

9. A continuacin aparece un nuevo Nodo llamado Bsquedas en Cach donde se puede observar todos los dominios resueltos por el Servidor DNS y que al ser consultados nuevamente, la respuesta se devolver desde ste cach dando como resultado ms rapidez y menos trfico necesario (optimiza ancho de banda).

10. Si se detecta que la respuesta que un Servidor DNS devuelve a una consulta de cliente es equivocada y la fuente de ese dato est en la cach, entonces debemos borrar la cach del servidor DNS para forzarlo a que vuelva a consultar los servidores DNS y responda correctamente.

11. Para borrar la cach se puede borrar slo la entrada equivocada o todo el cach, haciendo clic derecho y Eliminar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Laboratorio 3 Configuracin de Zonas


1. Otra funcin que un servidor DNS puede hacer es albergar bases de datos que contiene informacin de recursos en un espacio de nombres, esto hace que el servidor tenga autoridad en dicho espacio de nombres, stas zonas pueden ser de 2 clases, de bsqueda directa (Resuelve consultas de nombres FQDN para que sean resueltas a una direccin IP) y de bsqueda inversa (permite resolver una consulta de una direccin IP a un nombre FQDN). 2. Para crear una zona nueva, en la consola MMC sobre el nombre del Servidor DNS hacer clic derecho y seleccionar Zona nueva.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

3. A continuacin un asistente nos guiar en el proceso, escoger Siguiente.

4. Seleccionar el tipo de zona (Principal, Secundaria o de rutas internas) en ste caso vamos a crear una Zona Principal, la base de datos puede ser almacenada como un fichero o como objeto dentro de la base de datos del Directorio activo (Slo se activa si el servidor DNS adems es un controlador de Dominio), en ste caso aunque el servidor DNS es un DC no integraremos la informacin en el Directorio Activo (Desmarcar la opcin "Almacenar la zona en Active Directory".

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

5. El siguiente paso es seleccionar que tipo de bsqueda deseamos activar en la zona, en ste caso seleccionamos que sea de bsqueda directa (Resolucin de Nombres a IP).

6. El asistente nos pide el Nombre de la zona, ste nombre debe reflejar el espacio de nombres FQDN en el que el Servidor DNS tendr autoridad para responder a consultas en dicho espacio de nombres.

7. Como la Zona no se integrar en Directorio Activo entonces debemos crear un fichero donde se almacenar los datos de la zona (Registros de recursos), El fichero siempre tendr como nombre la siguiente nomenclatura EspaciodeNombres_FQDN.DNS (Los ficheros de Zona en Microsoft llevan extensin DNS) Tambin si la zona ya tiene informacin creada en un fichero existente (Fichero .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Copiado desde otro Servidor DNS o por un proceso de Migracin) se puede indicar el fichero en sta opcin.

8. El ltimo paso de la creacin de la Zona es configurar las Actualizaciones Dinmicas que Permite que el host cree informacin dinmicamente en la base de datos de zona con sus registros A (Nombre e IP del host en zonas de bsqueda directa) y PTR (IP y Nombre FQDN en zonas de bsqueda inversa), se muestran 3 opciones. 9. Actualizaciones Slo Seguras: Si la zona se integra en Directorio Activo esta opcin se activar, su objetivo es aumentar la seguridad (Slo estn autorizados a escribir informacin de registros en la zona los equipos que pertenecen al Dominio y cuya identidad es comprobada) en la creacin de registros de la zona, generalmente se usa en Zonas que resuelven un Dominio de Directorio activo. 10. La segunda opcin Permite la Actualizacin Dinmica en la zona: Los clientes crean sus registros Ay PTR pero sin seguridad (No se Identifican al crear los registros). 11. La tercera opcin es NO permitir la actualizacin dinmica, lo que significa que el administrador debe crear los registros manualmente en la zona (sta es la opcin predeterminada).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

12. Al Finalizar, la zona ser creada en el servidor.

13. Al crear una Zona Inversa el proceso es similar slo que el Nombre de la zona debe llevar el Identificador de la Red IP a la inversa y termina con in-addr.arpa.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

14. El Servidor DNS de Windows 2008 soporta IPv4 e IPv6.

15. El nombre de Zona para mayor comodidad y evitar confusin el asistente permite dar el ID. de Red de forma normal y ste crea la zona con la nomenclatura DNS necesaria.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

16. Al igual que la zona de bsqueda directa se puede determinar el uso de las actualizaciones dinmicas (en ste caso de registros PTR).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

17. Al finalizar la Zona ser creada.

Laboratorio 4. Configuracin de Transferencias de Zona


1. Cuando un Servidor DNS almacena una Zona para un Espacio de Nombres, el servidor tiene Autoridad en ese espacio de nombres para resolver las consultas a clientes o a otros servidores DNS, pero si ste servidor tuviera un fallo, el espacio de nombres se quedara sin posibilidad de resolucin, por ello es importante asignar a otros servidores tambin autoridad para responder a consultas en dicho espacio de nombres dando como resultado Tolerancia a fallo o disponibilidad y balanceo de carga. 2. Para conseguir sta solucin se debe agregar otro servidor DNS que almacene tambin la zona (como Zona Secundaria) y se mantenga en constante replicacin para garantizar que la base de datos se actualice (Depende de la frecuencia de replicacin las bases de datos estarn ms o menos idnticas). 3. En DNS a ste proceso se le conoce como transferencia de Zona. 4. El primer paso que debemos hacer antes de transferir la Zona Primaria de un servidor DNS es preparar la Zona para ser replicada, en las propiedades de la zona.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

5. Seleccionar la pestaa Transferencias de zona, desde aqu se puede decidir a qu otros servidores se les permitir copiar los datos de la zona, al permitir la transferencia de zona hay 3 opciones: 6. La primera opcin es a cualquier servidor (No es una opcin muy adecuada por seguridad, porque cualquier servidor conocido o desconocido puede obtener los datos de la zona) La segunda opcin determina que los servidores a los que se les permite la transferencia son a aquellos que estn definidos en la pestaa "Servidores de Nombres" de las propiedades de la zona (Opcin predeterminada) la tercera opcin define a los servidores DNS por direccin IP (Se agregan pinchando en el botn Editar) y luego Aplicar.

7. Otro valor a definir es la Notificacin (Opcional), con ste parmetro el Servidor DNS Principal notifica a los servidores DNS Secundarios, cada vez que se producen modificaciones en la base de datos de la zona. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

8. Si no se definen las notificaciones los servidores Secundarios actualizarn la zona despus de transcurrido el intervalo de tiempo que un administrador decida. 9. La notificacin hace que las actualizaciones se repliquen inmediatamente sin esperar el intervalo de tiempo definido para la replicacin. 10. Pinchar en Notificacin y configurar los servidores a los que se notificar (Servidores definidos en la pestaa Servidores de nombres de las propiedades de la zona o por direccin IP) luego dar Aceptar.

11. Otras configuraciones que se deben definir es el Intervalo de tiempo en el que los Servidores Secundarios deben solicitar el envo de actualizaciones al servidor Principal (por defecto 15 Minutos) los intervalos de reintento (10 minutos) y el tiempo mximo que un servidor secundario puede responder a consultas clientes sin haber replicado del primario (1 Da). 12. El TTL mnimo es la cantidad de tiempo que una respuesta ser almacenada en la cach del cliente o de los servidores DNS cuando se resuelve un registro de dicha zona (El tiempo predeterminado para todos los registros en la zona es de 1 hora). 13. El nmero de serie representa las modificaciones realizadas en la base de datos (Aumenta en 1 cada vez que lo hace) sirve como valor de referencia para los servidores DNS que reciben una copia de la base ya que los nmeros de serie en todos debe ser igual (las bases son idnticas).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

14. Una vez Preparada la Zona Primaria para su transferencia, sobre un servidor DNS adicional se crea la Zona Secundaria as: Se lanza el asistente para crear zonas.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

15. Seleccionar Zona Secundaria.

16. El nombre de Zona debe ser igual al nombre de la zona primaria, si cambia en algn carcter, DNS entender que no es el mismo espacio de nombres donde los 2 servidores DNS tendrn Autoridad.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

17. A continuacin pregunta por el Servidor DNS Maestro (Servidor Desde donde se copiar la base de datos, puede ser Primario u otro secundario).

18. Al finalizar el asistente el Servidor DNS Secundario solicitar al Servidor DNS Maestro los datos de la zona.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

19. La vista de la zona en el servidor Secundario con los registros replicados, No olvidar que el servidor DNS con una Zona Secundaria slo puede leer la informacin pero no permite crear nuevos registros.

Laboratorio 5. Supervisin del DNS


1. Para supervisar un Servidor DNS podemos usar herramientas incorporadas por el mismo Servicio 2. En las propiedades del Servidor.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

3. Seleccionar la pestaa Supervisin.

4. Seleccionar el tipo de prueba, consulta nica o una consulta recursiva, luego pinchar en el botn Probar ahora, el resultado ser mostrado en la ventana de prueba.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

5. Tambin se puede programar para que se siga haciendo pruebas de acuerdo a un intervalo de tiempo (Si sospecha que el servicio deja de responder en algn momento, esta supervisin podra ayudarle a saber en qu momento se produce). 6. Por ejemplo si se detiene el Servicio DNS y volvemos hacer el test veremos el fallo.

7. Otra herramienta que ayuda a la solucin de problemas es NSLOOKUP, con ella podemos conocer informacin de la zona en un espacio de nombres, se trata de una herramienta que lanza consultas al servidor DNS de distintos tipos de registro, en el ejemplo al ejecutar el comando vemos la direccin IP del Servidor DNs al que se lanzarn las consultas (en ste caso se escoge la direccin IPv6 ::1 que equivale en direccin IPv4 a 127.0.0.1 es decir localhost). 8. Luego se configura el tipo de registro (SOA Inicio de Autoridad) que deseamos testear. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

9. Y luego preguntamos por el nombre del dominio a saber (mcitp.local y nuevazona.com).

10. Otra herramienta que podemos usar es DNSLINT pero sta no viene incorporada en el sistema operativo, es necesario descargarla de la web de Microsoft http://support.microsoft.com/kb/321045. Cuando se descargue a continuacin se instala.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

11. Seleccionar una carpeta y descomprimir (UNZIP).

12. Una vez descomprimida ir a la carpeta en el smbolo del sistema y ejecutar dnslint /s (IP del Servidor DNS) /d (Dominio que queremos consultar) el comando crea un informe en html con informacin de la zona consultada.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

13. Para analizar estadsticas de utilizacin del servidor DNS la herramienta de sistema Confiabilidad y Rendimiento nos muestra informacin recopilada por los contadores de rendimiento. 14. En la consola Administre el Servidor buscar el monitor de rendimiento, pinchar en el Signo + Verde.

15. Buscar el Objeto DNS y Agregar los contadores (por ejemplo agregar el contador Total Query Received /Sec (Consultas recibidas por segundo) y Aceptar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

16. El monitor empieza a recoger informacin de consultas.

17. Podemos simular consultas desde las propiedades del servidor en la pestaa Supervisin y hacer consultas Simples y recursivas mltiples veces.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

18. Al volver al monitor de supervisin vemos la grfica con alguna informacin de estadsticas (mximo, mnimo y promedio).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 3. Configuracin y Administracin de WINS


Objetivos
Al terminar sta unidad el alumno estar en capacidad de: Entender que son los Nombres NetBIOS y la relacin con WINS Comprender cuales son las circunstancias en las que WINS debe mantenerse en la red. Saber los motivos por los que WINS entrar en desuso Establecer sistemas WINS tolerantes a fallos y distribuidos a travs de la replicacin WINS. Conocer los 2 mtodos de replicacin por insercin y extraccin y comprender en que situaciones usar cada uno de ellos. Implementar la Zona GlobalNames en DNS como posible solucin para prescindir del Servicio WINS cuando sea posible.

Introduccin
El propsito de WINS en una infraestructura de red es resolver los nombres NetBIOS a direcciones IP para una comunicacin efectiva entre los sistemas y aplicaciones que an hacen uso de nombres nico, las versiones anteriores de los sistemas operativos de Microsoft, y algunas aplicaciones antiguas, siguen utilizando este tipo de resolucin, al igual que usuarios de la red siguen usando los nombres nicos para acceder a recursos tales como servidores Web internos; por lo tanto, WINS est disponible y se puede utilizar, pero se eliminar en versiones futuras que se liberarn, al quitar WINS encontramos que sta funcionalidad puede ser adoptada por DNS que aprovecha las ventajas del DNS como la replicacin. Para que WINS funcione eficazmente en un entorno de Microsoft, los clientes y servidores deben tener sus nombres registrados en el servicio WINS, puede haber casos en que la base de datos WINS tenga entradas incorrectas produciendo problemas con la resolucin de nombres NetBIOS. Aunque WINS es dinmico, tanto para la creacin y eliminacin de sus registros, a veces pueden surgir problemas con los registros, y un administrador debe tener acceso a la base de datos de forma manual para corregir el problema. Para administrar el WINS los administradores pueden utilizar la consola de administracin de Microsoft WINS (MMC) para ver los registros creados en la base de datos y ver informacin incorrecta que pueda ser eliminada. Tambin una de las tareas administrativas en WINS consiste en hacer copias de seguridad de la base de WINS peridicamente para ayudar en la recuperacin de desastres cuando los datos parezcan corruptos, esta copia de seguridad es automtica y se ejecuta cada 24 horas en el servidor WINS, sin embargo, el administrador debe especificar la ubicacin donde se almacenar la copia de seguridad de base de datos WINS. Con el tiempo, la base de datos puede llegar a ser menos eficaz debido a un uso ineficiente del espacio. Por lo tanto, la compactacin de la base de datos WINS de forma regular es necesaria, en funcin del nmero de clientes y su utilizacin. De forma predeterminada, un servidor WINS slo contiene informacin acerca de sus propios clientes, para asegurar que la resolucin de nombres NetBIOS sea eficaz se debe crear mltiples Servidores WINS que pueden tener clientes distintos, por tanto la forma de unificar las bases de datos WINS es usando la replicacin WINS. La replicacin de datos WINS garantiza que un nombre registrado con un servidor WINS se replica en todos los servidores WINS en la red dando como resultado que un cliente WINS puede resolver un nombre NetBIOS en la red, independientemente del servidor WINS en la que se registr el nombre. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para ayudar a los clientes a migrar a DNS y permitir que todos los esquemas de nombres sean resueltos, la funcin del servidor DNS en Windows Server 2008 es compatible con una zona especial llamada GlobalNames (GNZ). GNZ est diseado para permitir la resolucin de nombres nicos globalmente usando nombres nicos usando el DNS; GNZ est destinado a ayudar en el retiro de WINS, Sin embargo, no es un reemplazo para WINS porque GNZ no soporta la resolucin de nombres nicos de forma dinmica.

Definiciones
Generalidades Del Servicio WINS
El propsito de WINS en una infraestructura de red es resolver los nombres NetBIOS a direcciones IP para que la comunicacin sea efectiva entre los sistemas y aplicaciones que an hacen uso de nombres nicos, el uso de WINS reduce el trfico de difusin NetBIOS y permiten a los clientes resolver los nombres NetBIOS de los equipos aunque estn en distintos segmentos de red. Hay varias razones por las que WINS sigue siendo necesario en la mayora de las redes, como son: Versiones anteriores de sistemas operativos de Microsoft que usan WINS preferiblemente para la resolucin de nombres. Debido a la existencia de aplicaciones, basadas en nombres NetBIOS. Se necesita mantener registros dinmicos de nombres nicos Los usuarios deben usar las funciones de entorno de red o Mis sitios de red desde el Navegador. No es posible usar la infraestructura DNS de Windows Server 2008.

La instalacin del Servicio en Windows Server 2008 se realiza a travs de la consola Administrador de Servidor, previamente se recomienda que el servidor tenga direcciones IP estticas debido a que los clientes usarn dichas IP cuando hagan uso del servidor WINS, es importante tener en cuenta que WINS y NETBIOS slo se soporta sobre IPv4 y no sobre IPv6 La necesidad de utilizar el servicio WINS radica en el uso que los clientes hagan del esquema de nombres nicos NETBIOS, como se mencion antes, funciones incluidas en sistemas operativos Microsoft y utilizadas durante mucho tiempo y que han sido muy populares son el uso del entorno de red y mis sitios de red, si usted utiliza estas aplicaciones, es posible que sea necesario utilizar WINS para ayudar a poblar las listas de recursos de red que presentan estas aplicaciones al usuario; la forma de exploracin que usan stas funciones es a travs de NetBIOS cuyo mecanismo genera y mantiene estas listas, cuando los usuarios ejecutan estas aplicaciones les permite abrir y guardar datos a travs de la red local, o seleccione un equipo al que desea conectarse, como un servidor o estacin de trabajo de una lista de recursos de red, entonces NetBIOS debe rellenar esas listas e inherentemente deberamos usar WINS para ayudar a mejorar el rendimiento de la red y localizar la informacin ms fcil.

Componentes de WINS
Servidor WINS Equipo que procesa las solicitudes de registro de nombres e IP de los clientes, responde a las consultas de nombres NetBIOS que los clientes realizan devolviendo la direccin IP de un nombre consultado claro est, si el nombre figura en la base de datos del servidor. Base de datos WINS Almacena datos de nombres e IP registradas por los clientes. Clientes WINS Son ordenadores configurados para consultar un servidor WINS directamente, los clientes WINS registran dinmicamente sus nombres NetBIOS con un servidor WINS. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Agente Proxy WINS Es un equipo que escucha solicitudes de consulta de nombres en una subred de clientes NO WINS y las enva directamente a un servidor WINS.

Proceso de Registro y Liberacin de Nombres con WINS


El proceso de registro de nombres de un cliente WINS le hace posible al cliente solicitar la aprobacin para la utilizacin de un nombre NetBIOS en los servicios que el cliente pone a su disposicin en la red, esta solicitud puede ser para un nombre nico (exclusiva) o para el nombre de un grupo (compartido). La liberacin del Nombre es el proceso en el que el cliente WINS solicitar una baja en el registro de nombres NetBIOS de la base de datos WINS. El propsito del registro de nombre de WINS es que cada cliente al iniciar debe conocer si su nombre nico no est en uso en la red ya que si existe se producira un conflicto que impedira que sus componentes o servicios puedan empezar a funcionar correctamente, pensemos lo que pasara si en una red existieran 2 equipos con el nombre Servidor1 encendidos simultneamente, si quisiramos contactar a alguno de ellos usando nombre el protocolo no podra saber a cul de los 2 no estamos refiriendo, como ya se mencion NetBIOS plantea un esquema de nombres nicos por tanto es necesario garantizar que dicho nombre asignado al equipo es nico en la red. El proceso que se realiza es el siguiente: El equipo cliente WINS enva una solicitud de registro de nombre directamente al servidor WINS y lo transmite en la red local. El servidor WINS busca en su base de datos para ver si el nombre existe y est activo, si el nombre no existe o no est activo, el servidor WINS lo acepta como un nuevo registro y enva una respuesta positiva al cliente WINS. Si la entrada de base de datos existente y est activo y tiene una direccin IP que es diferente a la direccin de la solicitud de registro de IP, el servidor WINS debe determinar si el nombre y la direccin IP en la entrada de la base de datos todava estn en uso, esto se comprueba mediante el envo por parte del servidor WINS de una consulta de nombre para el equipo cliente que tiene la direccin IP en cuestin, si el servidor WINS recibe una respuesta positiva por parte del nombre de la consulta la direccin IP antigua, entonces rechaza el nuevo registro mediante el envo de una respuesta negativa al registro de nombres para el cliente que originalmente solicit el registro del nombre.

Si la direccin antigua no responde a la solicitud de consulta de nombre, el servidor asume que no hay equipo con ese nombre y la direccin IP y acepta el registro de nombre de nuevo.

Renovacin de Nombre
Debido a que los registros de nombres WINS son temporales, los clientes deben renovar sus registros peridicamente, cuando un equipo cliente se registra por primera vez con un servidor WINS, el servidor WINS devuelve un mensaje con un perodo de vida (TTL) que indica cuando el registro del cliente caduca o necesita ser renovado. Si la renovacin no se produce en ese momento, el registro del nombre se caduca y finalmente la entrada de nombre se elimina de la base de datos WINS, las entradas esttica WINS no caducan y por tanto no necesitan ser renovados en la base de datos del servidor WINS. El intervalo de tiempo por defecto para la renovacin es de seis das, el cliente intentar renovar sus registros cuando haya transcurrido el 50% del valor del TTL, Si el servidor WINS no renueva el nombre, el cliente WINS lo intenta renovar de nuevo cada 10 minutos durante 1 hora si pasada la hora no consigue renovar entonces lo intentar con un Servidor WINS Secundario.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Proceso de Liberacin de Nombre


Este proceso elimina los nombres registrados de la base de datos WINS cuando el cliente WINS se apaga o cuando uno de sus servicios se detiene, cuando un nombre es liberado queda disponible para que sea registrado por otro equipo. Si el servidor WINS encuentra el nombre en la base de datos, y si la direccin IP del ordenador que solicita la liberacin de nombre coincide con la direccin IP registrada en la base de datos, el nombre se marca como liberado, a continuacin el servidor WINS devuelve un mensaje de confirmacin de liberacin al cliente WINS. Si la direccin IP del cliente que solicita la liberacin de nombre no coincide con la direccin IP que est registrada en la base de datos, el servidor WINS enva una respuesta negativa al cliente. Si un equipo cliente cierra mal y si, como resultado, el registro del nombre no se libera, el nombre permanecer en la base de datos hasta que expire y el proceso de depuracin lo elimine o hasta que el administrador lo elimine manualmente. El comando nbtstat puede obligar a un cliente liberar y renovar sus registros de nombres con un servidor WINS escribiendo en el smbolo del sistema nbtstat RR, El modificador RR debe ser en maysculas.

Manejo de Rfagas
Es la opcin que permite a un servidor WINS controlar un nmero elevado de peticiones simultneas de registro de nombres, haciendo que el servidor WINS responda al cliente de manera positiva e inmediata a los clientes WINS sin llegar a aceptar la solicitud de registro de nombres. El control de rfagas se inicia cada vez que el nmero de solicitudes de registro de un cliente WINS sobrepasa el lmite establecido en la cola de rfagas establecido en el servidor WINS, si el umbral de cola de rfaga es superado, el servidor WINS responde a las solicitudes adicionales de cliente de inmediato con una respuesta positiva pero con un intervalo de renovacin muy breve (cinco minutos por defecto), que ayuda a regular la carga que supone el proceso de registro de clientes y le permite distribuir el procesamiento de las solicitudes en el tiempo. Como el tiempo de refresco es reducido hace que el cliente este obligado a renovar su registro en poco tiempo, momento en que el servidor WINS puede ser capaz de manejar correctamente la solicitud y escriba la informacin en su base de datos. El umbral del manejo de rfagas es un parmetro configurable. El umbral se puede ajustar a la baja (300), mediano (500), alta (1.000), o un valor personalizado (50 a 5.000). Nota: Cada cliente WINS puede registrar mltiples nombres NetBIOS nicos (1 por cada servicio por ejemplo mensajero, estacin de trabajo y servidor). Por lo tanto, si 400 clientes WINS registran simultneamente despus de un corte de luz, entonces las solicitudes de registros podran llegar a ser 1.200 en una sola rfaga, es recomendable configurar el valor de control de rfagas de acuerdo a su entorno de red.

Proceso de Resolucin de Nombres con WINS:


Para que los clientes puedan a empezar a usar el servidor WINS es necesario configurarlos con la direccin IP del servidor WINS, esto se puede hacer manualmente utilizando las propiedades del protocolo TCP/IP o de forma dinmica a travs de un servidor DHCP. Es posible configurar los clientes WINS con una lista de varios servidores WINS pero el cliente usar slo el servidor WINS que est en primer lugar en la lista de Servidores WINS del protocolo TCP/IP, si el primer servidor WINS no responde despus de 3 intentos, entonces los clientes WINS contactarn los dems servidores WINS hasta que reciba una respuesta o se agote la lista de servidores WINS que puede usar. Si un servidor WINS resuelve el nombre NetBIOS, la direccin IP se devuelve al cliente, despus de que el cliente recibe la respuesta, el cliente utiliza esta direccin para establecer una conexin con el recurso deseado; si ningn servidor WINS resuelve el nombre NetBIOS, el proceso contina en el cliente segn el .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

tipo de nodo que use, habitualmente suele ser un nodo H lo cual intentar resolver el nombre usando una Difusin o comprobando el fichero LMHOSTS.

Tipos de Nodos NetBIOS


Un tipo de nodo NetBIOS es un ajuste configurable que determina el mtodo que utiliza un equipo para resolver un nombre NetBIOS a una direccin IP, el tipo de nodo NetBIOS permite a un administrador controlar los mtodos de resolucin de nombres NetBIOS que los clientes pueden implementar y el orden en que van a utilizar esos mtodos. Los tipos de Nodos son: Nodo-B (Difusin): el cliente slo usa las difusiones NetBIOS para el registro y resolucin de nombres, el problema es que en una red grande, las difusiones aumentan la carga de red, y los dispositivos de enrutamiento no dejan que las difusiones sean transmitidas a otras redes, por lo que slo los ordenadores en la red local puede responder a dichas solicitudes de difusin. Nodo-P (punto a punto): Los clientes utilizan un servidor WINS para resolver nombres NetBIOS, requiere que configure todos los equipos con la direccin IP de un servidor WINS, por tanto los equipos pueden resolver los nombres NetBIOS a travs de enrutadores, pero si el servidor de nombres NetBIOS no funciona, los ordenadores no podrn resolver los nombres NetBIOS, los nodos-P reduce el trfico de difusin en una red. Nodo-M (mixto): Este tipo de nodo combina Nodo-B y Nodo-P, los clientes intentarn resolver los nombres primero por difusin pero si la difusin no resuelve el nombre correctamente, el cliente deber contactar con un servidor WINS para resolver el nombre, sta solucin puede ser implementada en organizaciones con sucursales que no tengan servidores WINS localmente. Al utilizar el tipo de nodo M, los clientes primero tratarn de resolver los nombres de los equipos locales usando difusiones y usarn WINS para resolver los nombres de los equipos remotos. Nodo-H (hbrido): Este tipo de nodo combina Nodo-P y Nodo-B, los clientes intentarn resolver los nombres NetBIOS mediante el uso de un servidor WINS primero y si el servidor WINS no resuelve el nombre, el cliente intentar resolver el nombre utilizando una difusin de NetBIOS.

Todos los sistemas operativos desde Windows 2000 en adelante son por defecto Nodo-B pero si se configura la direccin IP de un servidor WINS entonces asume el mtodo de resolucin Nodo-H, sin embargo el tipo de nodo puede ser configurado usando DHCP o manualmente agregando el valor REG_DWORD denominado NodeType en el Registro bajo la clave HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters los valores vlidos son 1 para Nodo-B, 2 para Nodo-P, 4 para Nodo-M y 8 para Nodo-H. Para saber el tipo de nodo que usa el ordenador se debe ejecutar ipconfig /all en el smbolo del sistema.

Administracin del Servidor WINS


Para que WINS funcione eficazmente en un entorno de Microsoft, los clientes y servidores deben tener sus nombres registrados en el servicio WINS, puede haber casos en los que entradas incorrectas en la base de datos del servidor WINS creen problemas con la resolucin de nombres NetBIOS.

Registros de Clientes
La base de datos WINS se compone de registros de clientes, un registro de cliente contiene informacin detallada de cada servicio dependiente de NetBIOS que se ejecuta en un cliente WINS. La informacin en la base de datos es mostrada en forma organizada de acuerdo a la siguiente informacin: Nombre Registrado Es el nombre NetBIOS registrado, que puede ser un nombre nico o puede representar un grupo, un grupo de Internet o un equipo multitarjeta. Tipo .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Es el nombre del servicio que usa NetBIOS acompaado por un identificador de tipo Direccin IP

hexadecimal.

La direccin IP que corresponde al nombre NetBIOS registrados que aloja el servicio NetBIOS. Estado Es el estado del registro en la base de datos, puede ser activo, liberado o desechado (marcado para eliminacin de bases de datos). Esttica Indica si la entrada de registro es esttica (creada por un administrador manualmente). Propietario Identifica el servidor WINS donde se crea la entrada de registro, debido a la replicacin, los registros pueden haber sido creados en otros servidores WINS y agregados a la base de datos. Versin Un nmero hexadecimal nico que el servidor WINS asigna durante el registro del nombre, se utiliza en el proceso de replicacin de extraccin ya que sirve al Partner de rplica para encontrar nuevos registros. Caducidad El lmite mximo de tiempo que un registro se mantiene en la base de datos.

Eliminacin de Registros Automtica


Es el proceso de supresin y eliminacin de registros obsoletos en la base de WINS incluyendo los registros replicados desde otros servidores WINS, se encarga de mantener la base de datos con informacin correcta mediante el examen de cada registro en el servidor propietario WINS, comparando las marcas de tiempo del registro con la hora actual, luego cambia el estado de los registros que han caducado (pasar de Activo a liberado). El proceso de compactacin se produce de forma automtica segn intervalos definidos y que guardan una relacin entre la configuracin de los intervalos de renovacin y la extincin, en las propiedades del servidor podemos encontrar los siguientes parmetros de intervalos: Renovacin Frecuencia con la que un cliente WINS renueva su registro de nombre con el servidor WINS, el valor por defecto es de seis das. Extincin Es el intervalo desde el momento que se crea el registro en la base de datos y el momento que se marca como extinguido, el valor por defecto es de cuatro das. Tiempo de espera de Extincin Es un intervalo entre el momento en que una entrada se marca como extinguida y el momento que la entrada es retirada de la base de datos WINS. El valor predeterminado es el mismo que el intervalo de renovacin y no puede ser inferior a 24 horas. Verificacin Es el tiempo tras el cual el servidor WINS verificar que los nombres que se replican desde otros servidores WINS siguen en activo, el valor mnimo es de 24 das.

Eliminacin de Registros
Puede recuperar espacio no utilizado por la eliminacin de registros obsoletos en la base de datos WINS para ello desde la consola MMC de WINS al realizar la eliminacin de un registro se muestran las siguientes 2 opciones: .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Eliminacin Simple Se elimina el registro de la base de datos de un slo servidor. Eliminacin desechados Es la eliminacin de los registros que estn marcados para su eliminacin (desechados) de la base de datos WINS slo despus de que se han replicado en las bases de datos de los servidores WINS.

Copia de Seguridad y Restauracin de la Base de datos WINS


Si no se puede reparar el dao de la base de datos despus de un fallo del sistema, ataque de virus, falta de energa elctrica, u otro desastre, puede restaurar la base de datos desde una copia de seguridad. La consola de administracin WINS proporciona las herramientas de copia de seguridad de la base de datos WINS, se debe especificar un directorio de copia de seguridad de la base de datos y WINS realizar copias de seguridad de base de datos completa cada 24 horas de forma predeterminada. Por otro lado un administrador tambin puede realizar una copia de seguridad o restauracin manualmente a travs de la consola MMC. Si se detecta la necesidad de restaurar la base de datos se debe realizar el siguiente proceso: Detener el servicio WINS Eliminar la base de datos WINS existente en la carpeta Windows\System32\Wins\Wins.mdb en el Servidor WINS. Restaurar la base de datos WINS usando la consola MMC o replique la informacin desde otro servidor WINS si existe.

Compactacin de la base de datos WINS:


Recuperar espacio no utilizado en una base de datos WINS ayuda a mantener un buen rendimiento, a medida que se eliminen registros obsoletos, el tamao de la base de datos WINS se mantendr igual aunque realmente el tamao interno de la base sea menor, el servidor no es capaz de recuperar el espacio de forma automtica (reducir el fichero de la base), la compactacin de la base de datos WINS permite recuperar espacio en disco reduciendo el tamao del fichero de la base a lo que realmente ocupan sus datos internamente. El servicio WINS puede realizar una compactacin dinmica mientras este en lnea como un proceso en segundo plano evitando as la necesidad de hacer la compactacin fuera de lnea (El servicio WINS debe estar detenido), sin embargo la compactacin dinmica no recupera espacio en disco de la base de datos de WINS mientras que la compactacin fuera de lnea si lo hace y por ello se recomienda que se haga con alguna frecuencia. (Redes con 1000 o ms clientes por lo menos 1 vez al mes). La compactacin fuera de lnea se realiza usando una utilidad llamada Jetpack.exe as: Detener el servicio WINS En el smbolo del sistema, ir a la carpeta %systemroot%System32Wins y luego ejecutar el siguiente comando: Jetpack.exe Wins.mdb temp.mdb Iniciar el servicio WINS.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Configuracin de la Replicacin WINS


De forma predeterminada, un servidor WINS slo contiene informacin acerca de sus propios clientes pero para asegurar en forma eficaz la resolucin de nombres NetBIOS es necesario construir un entorno con mltiples servidores WINS, cada servidor WINS tiene que contener todos los registros de los clientes, independientemente del servidor WINS que los registr. La replicacin WINS es el proceso que se produce entre dos servidores WINS para mantener la informacin consistente a travs de mltiples servidores WINS, La replicacin de datos WINS garantiza que un nombre registrado con un servidor WINS se replique en todos los servidores WINS de la red, Como resultado, un cliente WINS puede resolver un nombre NetBIOS en la red, independientemente del servidor WINS en la que se registr el nombre. La replicacin WINS puede usar distintas formas de la siguiente manera:

Replicacin por Insercin


Es el proceso de copiar los datos actualizados de WINS de un servidor WINS a otros servidores WINS siempre que llegue a un umbral determinado de cambios; se debe configurar un asociado de replicacin como asociado de Insercin si los enlaces de comunicacin que interconecta los servidores son rpidos, fiables y permanentes. La replicacin de insercin mantiene un alto nivel de sincronizacin, aunque el trfico de replicacin generalmente aumenta como resultado, por lo tanto sta forma de replicacin como se produce siempre que el umbral de cambios se alcanza, independientemente de la actividad de red actual puede causar que la red WAN sea utilizada en momentos de pico no deseados.

Replicacin de Extraccin
Es el proceso de copia de actualizacin de datos WINS desde un servidor WINS a otro servidor WINS en un intervalo de tiempo especfico configurable. El asociado de replicacin por extraccin se debe utilizar cuando se usen vnculos lentos entre los servidores WINS, esta forma de replicacin limita la frecuencia de trfico de replicacin a travs del vnculo. Por ejemplo, puede programar la replicacin se produzca en horas no pico para evitar la replicacin en los perodos de tiempo con mucho trfico. Es importante tener en cuenta en este modelo de replicacin que una frecuencia de replicacin lenta hace que las bases de datos WINS estn cada vez menos sincronizada produciendo que algunos intentos de resolucin de nombres puedan fallar. Replicacin Insercin Extraccin: la replicacin entre los servidores WINS se efecta de acuerdo a las 2 circunstancias mencionadas anteriormente (por cantidad de modificaciones en la base de datos y por intervalos de tiempos definidos). Si se usa sta manera de replicacin se asegura que la base de datos WINS mantiene sincronizado con independencia de cmo se producen mltiples cambios, en efecto, la replicacin se produce cuando el umbral de cambios llegue, o cuando el perodo de tiempo mximo se supere. Esta es la opcin de configuracin de asociados de replicacin WINS por defecto, sta configuracin es el mtodo ms simple y ms efectivo de asegurar que las bases de datos en estos servidores son casi idnticas en un momento dado.

Comprobacin de Consistencia de la Base de datos WINS


La comprobacin de la coherencia de base de datos WINS ayuda a mantener la integridad de la base de datos entre los servidores WINS en una red grande. Cuando se inicia la comprobacin de coherencia en la consola WINS, los registros se verifican en funcin de cada propietario indicado en la base de datos actual del servidor, incluyendo los otros servidores WINS asociados de replicacin indirectos (configurados no directamente). .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

El servidor WINS compara todas sus entradas con las entradas en los servidores WINS para comprobar que su base de datos contiene las entradas correctas, todos los registros extrados de bases de datos remotas se comparan con los registros de la base de datos local mediante el uso de los controles de coherencia siguientes: Si el registro en la base de datos local es idntico al registro extrado de la base de datos propietario, se actualizan las marcas de tiempo de los registros desde la base de datos del WINS propietario. Si el registro en la base de datos local tiene una versin inferior de identificacin que el registro extrado de la base de datos del WINS propietario, entonces el registro se replica hacia la base de datos local y el registro con la versin ms baja se marca para su eliminacin. Es posible configurar el servidor WINS para comprobar la coherencia de base de datos de forma automtica a una hora predeterminada, o puede invocar el proceso manualmente.

Migracin desde WINS a DNS


Hoy en da, numerosos clientes de Microsoft implementan WINS en su entorno como servicio de resolucin de nombres alternativo al DNS, es un servicio que utiliza NetBIOS sobre TCP/IP (NetBT), WINS y NetBT no son compatibles con protocolos IPv6, entonces para ayudar a los clientes a migrar hacia DNS como servicio de resolucin de nombres, la funcin del servidor DNS en Windows Server 2008 es compatible con una zona especial llamada GlobalNames (GNZ) diseada para permitir la resolucin nombres nicos globales. GNZ se plantea como una solucin para ayudar en el retiro de WINS sin embargo no se considera como un reemplazo del servicio WINS porque la zona GNZ no est destinada a soportar la resolucin de nombres nicos en forma dinmica como se registran en WINS sin intervencin de un administrador

Resolucin de Nombres para un Nombre nico:


De forma predeterminada, los clientes DNS agregan sufijos que obtienen de varias fuentes para resolver un nombre nico, los sufijos son utilizados en el siguiente orden: El sufijo DNS principal: equivale al dominio al que el equipo cliente est unido. Una Directiva de Grupo (GPO) configura una lista de sufijos de bsqueda (La bsqueda de sufijos se detiene aqu). Si no hay una directiva de grupo: El equipo utiliza los sufijos de bsquedas configurados en las propiedades DNS especficas de la conexin para cada adaptador o si en Windows Vista IPv6 puede usar servidores DHCPv6, y existe una lista de sufijos de bsqueda configurada para un adaptador, los sufijos en la lista se aaden en orden.

Si el nombre no se puede resolver con DNS mediante el uso de distintos sufijos, la consulta pasa a WINS (Se debe tener en cuenta que debido a la naturaleza jerrquica de los nombres de dominio, no hay garanta de que un nombre sea nico a travs de mltiples dominios y/o bosques, a pesar que un nombre sea nico en un dominio dado, hay un lmite de tiempo de 12 segundos de espera para la consulta, independientemente de cmo muchos sufijos estn configuradas para un cliente DNS, el tiempo de espera har que la consulta sea enviada a WINS, si est disponible). Zona GlobalNames La Zona GlobalNames no es un tipo de zona nueva, pero su nombre reservado lo distingue, el nombre GlobalNames indica al servicio Servidor DNS que se ejecuta en Windows Server 2008 que la zona se va a utilizar para la resolucin de un solo nombre. Para implementar sta zona se recomienda el uso de servicios de Zonas integradas en Directorio Activo (AD DS) que se distribuye a nivel global, puede contener registros DNS para asignar un nombre nico a un nombre de dominio completo (FQDN) utilizando un registro de recursos de nombre cannico (CNAME) el DNS permite entonces el uso del FQDN para resolver el nombre a una direccin IP. El proceso de resolucin de la zona GlobalNames es el siguiente: .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Un usuario escribe en http://servidor1 en la barra de direcciones del navegador en un equipo que est unido al dominio soporte.mcitp.com. El navegador llama al getaddrinfo () para resolver el nombre Servidor1 Getaddrinfo () invoca el cliente DNS para resolver el nombre. El cliente DNS enva las consultas siguientes: (basado en la lista de sufijos de bsqueda): Servidor1.soporte.mcitp.com (error) Servidor1.test.mcitp.com (error) Servidor1.desarrollo.mcitp.com (error) Si las consultas FQDN fallan, el servidor DNS busca en la zona de GlobalNames, si est configurada, y trata de resolver el nombre nico.

En forma predeterminada las consultas enviadas al servidor DNS las intentar resolver primero con los ficheros de Zona DNS en los espacios de nombre y luego pasar a la Zona Globalnames, pero ste comportamiento se puede cambiar para que primero revise la zona GNZ y luego los ficheros de Zona FQDN, para hacerlo se debe lanzar el siguiente comando desde el smbolo del sistema: Dnscmd <servidor> /Config /GlobalNamesQueryOrder (0 1) 0 especifica que GNZ se consulta primero, y 1 primero los ficheros de zona FQDN. La zona GlobalNames slo puede ser creada en Servidores DNS Windows 2008.

Requisitos Para Implementar GNZ

Para implementar la Zona Globalnames se debe realizar de la siguiente manera:


El Servidor DNS debe ser un Servidor Windows 2008 Crear una nueva Zona llamada GlobalNames integrada en Directorio Activo (El servidor debe ser DNS DC) y configurar el mbito de replicacin para que sea en Todos los Servidores DNS del bosque. Crear registros CNAME en la zona GlobalNames que tengan un nombre nico y que apunten a los registros de host A (FQDN) existentes en los mltiples ficheros de zonas DNS del servidor. Desactivar las Actualizaciones dinmicas en la zona GlobalNames (Los clientes no registran dinmicamente sus nombres en sta zona). Activar el Soporte de la Zona GlobalNames en todos los servidores DNS que contengan la Zona GNZ, para hacerlo se debe lanzar el siguiente comando desde el smbolo del sistema: DNScmd /config /EnableGlobalNamesSupport 1

Resumen:
Es importante entender que los nombres NetBIOS nicos usados por aos en las redes Microsoft no permiten escalabilidad mientras que el modelo de nombres de dominio o nombres completos FQDN si lo ofrece, es por ello que se sugiere la supresin de los nombres nicos pero tambin es importante decir que usar nombres nicos es ms cmodo que los nombres completos (Las consultas DNS deben ser completas, no por nombres nicos) por sta razn resolver mltiples nombres FQDN requiere soluciones como Reenviadores condicionales o zonas de rutas internas, adems hay que configurar a los clientes DNS con mltiples sufijos de bsquedas para que sean capaces de consultar nombres nicos de hosts que pertenecen a distintos espacios de nombres. Por todas estas razones WINS sigue siendo un servicio utilizado ya que resuelve los nombres independientemente a que espacio de nombres pertenece el host por qu no lo usa. Otra ventaja que aporta WINS es que es un servicio que activa el registro dinmico en la base de datos WINS, creando la informacin en forma rpida, sin carga administrativa. La zona GlobalNames ser una posibilidad de eliminacin del WINS ya que aporta caractersticas que no son posibles en el modo de funcionamiento normal de DNS como es permitir la resolucin de nombres nicos sin que el cliente tenga un sufijo de bsqueda DNS definido.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

GNZ (GlobalNames Zone) necesita que el administrador genere entradas de registro DNS de tipo CNAME que estn asociados a los nombres de host que tengan registros A en las zonas DNS en un espacio de nombres. Esto supone una carga administrativa que con WINS al ser dinmico no se tiene. En resumen debemos evaluar varias situaciones, y preguntarnos se deben mantener los nombres NetBIOS activos por alguna razn especial? Si los nombres NetBIOS no son necesarios en que situaciones necesita una organizacin resolver nombres nicos de dominio? Cuntos espacios de nombres se tienen en la organizacin? Es posible agregar Sufijos de bsqueda a los clientes? Es posible usar DNS para resolver nombres nicos con la zona GlobalNames (requiere que los servidores DNS sean Windows 2008)?

Recuerde:
WINS debe ser substituido por DNS porque en versiones futuras no ser incluido, sin embargo si necesita registros dinmicos de nombres nicos la zona GlobalNames no es la mejor opcin Establecer una replicacin WINS depende de la calidad de los enlaces de comunicacin que interconecte los servidores WINS, si es muy baja se sugiere usar Replicacin por Extraccin, si son rpidos se puede usar replicacin por Insercin y si se desea que las bases sean lo ms idnticas posibles se sugiere replicacin Insercin y Extraccin simultneamente. Configurar los clientes con mltiples servidores WINs para mejorar la disponibilidad del servicio.

Ver Vdeo: Wins, en el Mdulo 7. Unidad 3. Configuracin y Administracin de


WINS, en la plataforma e-learning.

Laboratorios Laboratorio 1. Instalacin y configuracin de WINS


1. WINS es un servicio que se encuentra en Windows 2008 como una caracterstica no como una funcin por tanto para instalar usamos la consola Administre el Servidor y luego en caractersticas buscar Servidor WINS.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

2. Una vez instalado en las herramientas administrativas encontramos WINS para acceder a la herramienta de administracin.

3. Para instalar el WINS en Windows 2008 con instalacin Server Core ejecutamos en el smbolo del sistema ocsetup WINS-SC.

4. Desde la consola WINS en un servidor remoto podemos agregar el Server Core para administrarlo.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

5. Ahora podemos ver los 2 servidores instalados.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

6. En las propiedades del servidor es posible configurar el Control de rfagas.

7. El valor seleccionado determinar la cantidad de solicitudes de registro que el Servidor WINS aceptar en un instante sin que el cliente deba volverse a registrar en el ejemplo usamos un valor personalizado de 1500 solicitudes.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

8. Para configurar un cliente WINS debemos cambiar la configuracin en las propiedades TCP/IP de las adaptadoras de red, luego en Opciones Avanzadas, pestaa WINS.

9. Configurar el Server Core como cliente WINS.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

10. Para ver las bases de datos del Servidor WINS, en la consola sobre el nodo Registros Activos hacer clic derecho y seleccionar Mostrar Registros.

11. Se abre una nueva ventana que permite filtrar la informacin para buscar en la base segn criterios (por nombre, IP, por servidor WINS (Propietario) por tipo de servicio NETBIOS (Cdigos hexadecimales NetBIOS asociados a los servicios).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

12. Si queremos ver toda la informacin de la base pinchar en BUSCAR.

13. Como vemos todos los registros son Dinmicos (creados por los equipos automticamente) sin embargo podemos agregar entradas estticas con informacin de clientes no WINS, sobre el Nodo Registros Activos hacer clic derecho y seleccionar Asignacin esttica nueva.

14. Rellenamos los datos y aceptar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

15. En la base de datos veremos que la entrada esttica crea 3 registros de nombre de mquina con los servicios estacin de trabajo, Mensajero y servidor de ficheros, como se ve en la columna caducidad los registros estticos no tienen una fecha de vencimiento por tanto garantiza que no sern eliminados a menos que un administrador lo haga manualmente.

16. Cuando un registro en la base de datos alcanza una fecha de caducidad, entonces el registro se considera obsoleto, WINS limpia los registros obsoletos en forma automtica (Intervalo de tiempo de espera de Extincin) para conocer dichos intervalos. En las propiedades del Servidor, pestaa intervalos vemos que por defecto los tiempos son de 40 minutos, si pinchamos en Restaurar predeterminados entonces se establecen los valores ms comunes en WINS.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Laboratorio 2. Replicacin WINS


1. Para garantizar que el Servicio WINS sea Tolerante a fallo, tenga disponibilidad y balanceo de carga es posible instalar mltiples servidores WINS en una empresa y luego mantener sincronizadas sus bases de datos. En ste ejemplo hemos instalado 2 servidores WINS y cada uno de ellos posee informacin distinta en sus bases de datos, para unificar las bases y mantenerlas en sincronizacin debemos agregar a cada Servidor WINS como Asociado de rplica de tipo Insercin (La base se replica cuando alcance el nmero de modificaciones configuradas, recomendada para enlaces rpidos) o de Tipo extraccin (La rplica se produce al alcanzar u tiempo definido se recomienda para enlaces lentos) o las 2 formas de replicar con el mismo asociado Insercin / Extraccin. En la consola de administracin WINS en el nodo asociados de replicacin hacer clic derecho y luego seleccionar la opcin Nuevo asociado de replicacin.

2. Escribimos la direccin IP o el nombre del servidor WINS con el que se har la replicacin y aceptar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

3. El Servidor es agregado como Asociado por Insercin / Extraccin en forma predeterminada, pero esto se puede cambiar o definir los umbrales especficos para que se produzca la rplica. Hacer clic derecho sobre el asociado de replicacin y luego Propiedades

4. En las opciones avanzadas podemos ver los parmetros y modificar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

5. Los asociados de replicacin siempre se configuran para replicar la base en un solo sentido, en ste caso el Servidor DC2008 replicar informacin del servidor core2008 pero no al contrario, por tanto se debe configurar ahora en el servidor core2008 a dc2008 como asociado de replicacin y entonces la comunicacin y la sincronizacin ser en doble sentido.

6. Para comprobar si la rplica ha tenido lugar en cualquiera de los 2 servidores en el nodo de Registros Activos mostramos la base de datos, en la columna Propietario podemos ver las direcciones IP de los 2 servidores y la base con toda la informacin de registros de las 2 bases de datos, sino aparece an podemos forzar la replicacin, haciendo clic derecho sobre el asociado de rplica e Iniciar las rplicas necesarias.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

7. Volvemos a consultar la base de datos, observar la columna propietarios (se puede saber cules son los registros replicados desde otros servidores).

Laboratorio 3. Migracin WINS a DNS


1. Debido a que WINS no ser soportado en versiones futuras debemos soportar la resolucin de nombres en DNS pero como ya se vio, DNS presenta una estructura de nombres jerrquicos (FQDN) y seguramente en las empresas se requiera seguir trabajando con nombres nicos cuya resolucin se encarga WINS. 2. En DNS de Windows 2008 es posible configurar la zona GlobalNames como una posible alternativa para eliminar WINS de la infraestructura de red y basar toda la resolucin en DNS. 3. En el Servidor DNS crear una zona de bsqueda directa con nombre GlobalNames

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

4. Se recomienda que la zona se integre en el Directorio Activo para mejorar aspectos de replicacin y modificacin en cualquier servidor DNS

5. Al integrar la zona en el dominio debemos establecer el alcance de la replicacin de la zona es recomendable que sea replicada a todos los servidores DNS del bosque.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

6. En nombre escribir GlobalNames

7. Las actualizaciones dinmicas no son permitidas para sta zona, por tanto la funcin de un administrador es generar los registros CNAME (alias) de los nombres FQDN de los hosts que hagan parte de cualquier Espacio de nombres.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

8. Al finalizar la zona ser creada

9. Slo los registros SOA y NS se muestran.

10. Para Activar el uso de la /enableglobalnamessupport 1

Zona

GlobalNames

usar

el

comando

DNSCMD

/config

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

11. Ahora debemos crear registros CNAME de los hosts FQDN a resolver: En la zona hacer clic derecho y Alias nuevo (CNAME).

12. En el ejemplo creamos un alias WEB1 del servidor CORE2008.MCITP.LOCAL.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

13. El registro se ver en la Zona GlobalNames

14. Ahora probamos si haciendo uso de un nombre nico responde usando el Servidor DNS.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 4. Configuracin y Solucin de problemas DHCP


Objetivos
Al finalizar sta Unidad el alumno estar en capacidad de: Entender el proceso de instalacin del servicio DHCP dentro de la nueva herramienta de administrar el servidor Comprender lo que implica la autorizacin de los servidores DHCP Crear los distintos tipos de mbitos necesarios para configurar los clientes en forma dinmica Reconocer las necesidades de tener un sistema tolerante a fallo y que evite interrupciones en el funcionamiento de la red, aplicando la regla 80/20 Solucionar problemas de rendimiento en los servidores DHCP usando herramientas incorporadas Analizar los distintos aspectos de seguridad que involucran las concesiones de direccionamiento IP en una red.

Introduccin
DHCP juega un papel importante en la infraestructura de red de Windows 2008 ya que es el principal medio para la distribucin y configuracin del protocolo TCP/IP en una red, este servicio incluye aspectos importantes para muchos otros servicios tales como WDS (Servicio de Despliegue de Windows) y NAP (Proteccin de Acceso a Redes). DHCP es un servicio que utiliza una base de datos local donde almacena todos los aspectos de configuracin de direccionamiento IP junto a otras opciones, debemos entonces intentar mantener esta base de datos libre de error protegida y con posibilidades de buscar tolerancias a fallos asignando otras bases de datos en nuevos servidores DHCP. Desde el punto de vista administrativo cuando un servidor DHCP falla representa un nivel muy alto de interrupciones dentro una organizacin. Las tareas administrativas que se tienen que desarrollar cuando instalamos un servicio DHCP comienzan desde la toma de las copias de seguridad, restauraciones cuando sean necesarias, identificacin de problemas por asignacin de configuraciones equivocadas, vigilar el correcto rendimiento y funcionamiento de este servicio.

Definiciones
Generalidades de la Funcin Servidor DHCP
El protocolo DHCP simplifica la configuracin de IP de los clientes de un entorno de red, sin la utilizacin de DHCP cada vez que se agrega un cliente a una red se debe configurar con informacin sobre la red en la que se est instalando, incluyendo la direccin IP, la mscara de la red y la puerta de enlace predeterminada para el acceso a otros redes manualmente, ahora, cuando se necesita para controlar muchos ordenadores en una red, ste proceso requerir mucho tiempo provocando demasiada carga a los administradores. Con la funcin de servidor DHCP, se asegura que todos los clientes tienen la misma informacin de configuracin, se elimina el error humano durante la configuracin, si hay cambios en la informacin de configuracin de la red se puede actualizar utilizando la funcin de servidor DHCP sin tener que cambiar la informacin directamente en cada equipo. DHCP tambin es un servicio importante para los usuarios mviles que suelen cambiar de redes porque de sta manera se autoconfiguran rpidamente evitando que un administrador tenga que dar .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

informacin compleja de configuracin de red a usuarios no tcnicos, y a su vez los usuarios no tienen por qu saber configuraciones de redes. Caractersticas de DHCP en Windows Server 2008: Soporte para IPv6 La configuracin con estado y sin estado DHCPv6 es compatible con la configuracin de los clientes en un entorno IPv6, configuracin con estado se produce cuando el servidor DHCPv6 asigna la direccin IP al cliente, junto con otros datos DHCP; Configuracin sin estado se produce cuando la direccin IPv6 es auto asignada por el cliente y el servidor DHCPv6 slo asigna los datos de DHCP. Network Access Protection (NAP) Con DHCP ayuda a aislar los equipos potencialmente inseguros (No cumplen con las expectativas de seguridad deseada en una organizacin) de la red corporativa, NAP es parte de un conjunto de herramientas nuevas que controla el acceso a recursos de red; DHCP NAP permite a los administradores asegurar que los clientes DHCP cumplen con las polticas de seguridad interna. Puede instalar DHCP como una funcin en Windows Server 2008 con instalacin Server Core, la administracin del servidor DHCP Core, puede hacerse a travs de interfaz de lnea de comandos o usando una consola DHCP instalada desde otros servidor.

Asignacin de Direcciones IP con DHCP


DHCP asigna direcciones IP en forma dinmica, a esto se le conoce como concesin, al cual un administrador puede definir un lmite de tiempo para que el equipo cliente mantenga dicha concesin, por defecto l tiempo de la concesin es 8 horas. DHCP utiliza difusiones IP para iniciar las comunicaciones, por lo tanto, los servidores DHCP estn limitados slo a una comunicacin dentro de su subred IP, esto significa que en muchas redes, hay un servidor DHCP para cada subred IP, en consecuencia si hay un gran nmero de subredes, puede ser muy costoso implementar servidores para cada subred, un nico servidor DHCP puede dar servicio a mltiples subredes pequeas pero para que el servidor DHCP responda a las solicitudes de los clientes, DHCP debe ser capaz de recibir las peticiones lo cual puede ser posible configurando un agente de retransmisin DHCP. El agente de retransmisin DHCP (instalado en la subred de los clientes que requieren direcciones IP) permite que los paquetes DHCP de difusin sean enviados a otra subred IP a travs de un router. Otra alternativa es retransmitir paquetes DHCP en otras subredes utilizando un router que es compatible con RFC 1531.

Proceso de la Concesin DHCP


El proceso de generacin de la concesin del protocolo DHCP incluye cuatro pasos que permiten a un cliente obtener una direccin IP: El cliente crea un paquete de difusin DHCP llamado paquete DHCPDISCOVER, ste paquete se transmite a todos los equipos de la subred, el nico equipo que responde es el equipo que tiene la funcin de servidor DHCP o un agente de servidor DHCP que reenviar el mensaje al servidor DHCP con el que est configurado. Cualquier servidor DHCP en la subred responder emitiendo un paquete DHCPOFFER, este paquete provee al cliente con una direccin potencial. El cliente recibe el paquete DHCPOFFER, es posible que el cliente reciba ofrecimientos de direcciones IP de varios servidores y por lo general elige el servidor que responda ms rpido a su DHCPDISCOVER, normalmente es el servidor DHCP ms cercano al cliente, el cliente entonces .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

emite un DHCPREQUEST que contiene un identificador de servidor que informa a los servidores DHCP que reciben la difusin por cual servidor ha optado por aceptar el DHCPOFFER. Los servidores DHCP reciben el DHCPREQUEST, los servidores cuyo DHCPREQUEST no fue aceptado usan el paquete como notificacin que el cliente ha rechazado la oferta del servidor; el servidor elegido almacena la informacin de direccin IP del cliente en la base de datos DHCP y responde con un mensaje DHCPACK. Si por alguna razn el servidor DHCP no puede proporcionar la direccin que ofreci en el DHCPOFFER inicial, el servidor DHCP enva un mensaje DHCPNAK.

Renovacin de la Concesin DHCP


Cuando la concesin DHCP alcance el 50 por ciento del tiempo, el cliente intentar renovar la concesin, ste es un proceso automtico que ocurre en segundo plano, un cliente DHCP puede tener la misma direccin IP durante un largo periodo de tiempo si operan de manera continua en una red sin que se apague. Para renovar la concesin de direccin IP, el cliente emite un mensaje DHCPREQUEST, el servidor que concedi la direccin IP origen enva un mensaje DHCPACK de vuelta al cliente con los parmetros nuevos que hubiesen cambiado desde que se gener la concesin inicial.

Autorizacin del Servidor DHCP


Como ya se ha mencionado el servicio DHCP se encarga de configurar el protocolo IP a los clientes de una red, ste proceso ocurre antes que se produzca la autenticacin del usuario o de equipo, como la comunicacin est basada en la difusin si el servidor DHCP est configurado incorrectamente ocasiona que los clientes reciban informacin errnea y en consecuencia se tendrn problemas de comunicaciones, una manera de prevenir que alguien active un servidor DHCP y empiece a conceder configuraciones IP a los clientes de una manera equivocada, el servidor DHCP debe estar autorizado en Directorio Activo antes de que empiece a conceder las direcciones IP. Un servidor DHCP puede proporcionar configuraciones IP a clientes que pertenezcan a distintos Dominios, es por ello que la autorizacin debe ser realizada por un usuario que tenga privilegios de ser un Administrador de Empresa. Si el Servidor DHCP no forma parte del Dominio y ste detecta un servidor DHCP autorizado en el dominio entonces el servicio se desactiva y no concede direcciones IP a los clientes. Servidores DHCP falsos como por ejemplo dispositivos de red con un servidor DHCP activo como los enrutadores pero en ste caso stos dispositivos no son capaces de detectar servidores DHCP Autorizados y en consecuencia pueden emitir concesiones IP a los clientes de una red.

Configuracin de mbitos y opciones DHCP


Los administradores deben configurar los mbitos DHCP despus que la funcin DHCP este instalada en el servidor, el mbito DHCP es el mtodo por el cual se configuran las opciones para un grupo de direcciones IP, se basa en una subred IP y puede tener configuraciones especficas segn tipos de hardware o segn tipo de usuarios. Un mbito DHCP es un rango de direcciones IP que estn disponibles para ser concedidas a los clientes y generalmente est limitado a las direcciones IP en una subred determinada de acuerdo a la mscara de subred por ejemplo si usamos un mbito con una mscara de 24 bits (Direcciones IP Clase C) entonces el mximo de direcciones IP que podemos conceder ser de 254 direcciones.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Propiedades del mbito


General: en sta pestaa se configuran 3 parmetros, el primero es el rango de IP del mbito, se puede modificar posteriormente a la creacin para agregar o quitar IPs al mbito; el segundo configura la duracin de la concesin, tambin puede ser modificado para aumentar o disminuir el tiempo; y el tercer aspecto es la descripcin del mbito (opcional). DNS: Permite configurar el servidor DHCP para que actualice los registros DNS de los clientes a los que le concede direcciones IP con los nombres de hosts y sus respectivas IP. NAP: Configura el servidor DHCP para ser utilizado en una infraestructura de Proteccin de acceso a redes (NAP) Avanzada: Configura el tipo de solicitudes IP dinmicas que el mbito servir (DHCP / BOOTP)

Para crear los mbitos se puede hacer usando la consola de administracin DHCP instalada cuando se agrega la funcin servidor DHCP o usando el comando NETSH (si se desea incluir en ejecuciones de script o para administrar un DHCP en instalacin Server Core).

Supermbitos y mbitos Multicast


Un supermbito es un conjunto de mbitos que se agrupan en un conjunto administrativo, permite a los clientes recibir una direccin IP de mltiples subredes lgicas, incluso cuando estn en la misma subred fsica. Un supermbito es til si un mbito ha agotado las direcciones y no es posible agregar direcciones adicionales en la subred, pero es posible crear un nuevo mbito de una subred nueva pero que conceder sus IPs en la misma subred fsica sin embargo se debe tener en cuenta que los clientes estarn en una red separada lgicamente, esto se conoce como multineting; para que la solucin funcione se debe configurar los enrutadores para que reconozcan la nueva subred local y as garantizar las comunicaciones en la red fsica. Otra utilidad del supermbito es cuando queremos migrar los clientes poco a poco a un nuevo sistema de direccionamiento IP, al tener la posibilidad que los 2 mbitos coexistan durante un tiempo se puede mover los clientes a la nueva subred de una forma transparente, una vez todos los clientes renueven la direccin IP entonces se puede eliminar el mbito antiguo. Los mbitos Multicast: Un mbito de multidifusin es una coleccin de direcciones de multidifusin de la clase D que comprende desde la direccin IP 224.0.0.0 a 239.255.255.255, estas direcciones se utilizan cuando las aplicaciones necesitan comunicarse de manera eficiente con numerosos clientes de forma simultnea, esto se produce cuando mltiples hosts escuchan el trfico de una misma direccin IP. El mbito multidifusin se conoce comnmente como mbito de aplicacin MADCAP, las aplicaciones responden al llamado de stos mbitos sin necesidad de soportar Interfaces de programacin MADCAP. Las aplicaciones reservan una direccin IP multicast desde el mbito para entregar datos o contenidos.

Opciones de DHCP
Los servidores DHCP pueden configurar datos adicionales a la direccin IP, proporcionando informacin sobre los recursos de red, como servidores DNS y la puerta de enlace predeterminada. Las opciones de DHCP se pueden generar a nivel de servidor, de mbito, de reserva, segn tipo de usuario y por proveedor. Un cdigo identifica la opcin en DHCP y estn definidos en RFC generados por IETF, los ms comunes son: 1 Mscara de subred 3 Puerta de enlace 6 servidores DNS .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

15 nombres de dominio DNS 44 Servidores WINS / NBNS (NetBIOS Name Servers) 46 Tipo de Nodo WINS / NetBT (NetBIOS Type) 47 ID de mbito NetBIOS 51 tiempo de concesin 58 Renovacin (T1) valor de Tiempo de Renovacin 59 Revinculacin (T2) valor del tiempo de revinculacin 31 Realizar descubrimiento de enrutador 33 rutas estticas 43 informacin especfica del proveedor 249 rutas estticas sin clase.

Niveles de Clases de las Opciones DHCP


Las opciones de DHCP se puede aplicar en diferentes niveles tales como a nivel de servidor y a nivel de mbito, pero es posible que estas opciones se deban aplicar segn tipos de equipos o de grupos de usuarios especficos. Opciones de nivel de clase se necesitan para configurar un dispositivo que pertenece a una clase determinada de una manera especfica, dicha clase es un grupo lgicamente definido, basndose en atributos del dispositivo en IP como pueden ser datos especficos del fabricante o puede ser definida por el usuario.

Las opciones de nivel de clase incluyen:


Clase por Proveedor: La funcin Servidor DHCP ofrece opciones especiales basadas en la clase de proveedor, un ejemplo es deshabilitar NetBIOS sobre TCP/IP para los clientes que pertenezcan a la clase de proveedor correspondiente a Windows 2000 o Windows XP. Clase Usuario: Puede especificar opciones de clase para el usuario que cumple algunas caractersticas como por ejemplo usuarios de una ubicacin fsica concreta, las clases de usuario se establecen en la estacin de trabajo cliente utilizando el comando ipconfig /setclassid.

Orden de Aplicacin de las Opciones


Si ha configurado las opciones de DHCP en mltiples niveles (servidor, el alcance, la clase y los niveles de reserva), las opciones de DHCP se aplica a los equipos cliente en el siguiente orden: A nivel de servidor A Nivel de mbito A Nivel Clase A Nivel de Reserva.

Reservas DHCP
Una reserva DHCP se produce cuando una direccin IP dentro de un mbito se reserva para su uso con un cliente DHCP concreto, a veces se hace necesario establecer servidores e impresoras con una direccin IP fija asegurndonos que las direcciones IP no sean asignadas a otros dispositivos, tambin asegura que los dispositivos con las reservas tengan la direccin IP incluso si el mbito agota las direcciones, permite centralizar la administracin de direcciones IP fijas. La configuracin de una reserva DHCP permite asignar opciones, estos ajustes anulan todas las dems opciones de DHCP que se configure en los niveles superiores. Para configurar una reserva, se debe saber cul es la MAC del dispositivo, esto indica al servidor DHCP que el dispositivo debe tener una reserva, para conocer la direccin MAC utilice el comando ipconfig /all.

Disponibilidad DHCP
.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Al configurar mbitos y opciones DHCP considere una cantidad de direcciones IP para asignar y otro tanto ms para que sean usadas en soluciones de tolerancia a fallos, se recomienda tener ms de un servidor DHCP en la red para que en el caso que un servidor falle, un servidor de respaldo DHCP estar en su lugar para seguir concediendo direcciones IP. La cantidad de direcciones IP que un mbito debe tener siempre debera ser como mnimo un 20% ms de la totalidad de clientes que recibirn direcciones IP desde el Servidor DHCP, cuando se planee usar ms de un Ser DHCP, la configuracin correcta es repartir las direcciones IP de la subred en ambos servidores usando la regla 80/20 (Un Servidor define un mbito con el 80% de las direcciones IP, mientras que el segundo servidor define un mbito con el 20% de las direcciones IP restantes. Esto mejora la disponibilidad del servicio DHCP si uno de los servidores falla.

Administracin de la base de Datos DHCP


La base de datos DHCP almacena informacin sobre las concesiones de direcciones IP, como una de las tareas del administrador se recomienda hacer copia de seguridad a sta base de datos y en caso de algn problema con los datos poder utilizar la copia. Algunas de las gestiones siguientes afectan la base de datos de DHCP: Crecimiento de la Base de datos DHCP: La base de datos DHCP de tipo Microsoft Jet necesita ser compactado en forma regular. Copia de seguridad y restauracin: Es importante mantener respaldada la informacin de la base de datos DHCP ya que si la base de datos del servidor DHCP se corrompe o se pierde, podra dar lugar a importantes problemas de configuracin de IP. Coherencia de la base de datos DHCP: La base de datos tiene que ser coherente, si los datos de las direcciones IP concedidas en la base de datos DHCP no coinciden con la informacin del cliente, pueden generar problemas de direcciones IP Duplicadas. Mover la base de datos DHCP: Si la base de datos es muy grande, puede que tenga que moverla a una particin o a un volumen ms grande con mejores resultados.

Las posibles causas por las que una base de datos DHCP aumenta su tamao pueden ser: Ms clientes, Servidores, Subredes (nuevos) conectados en Red.

La base de datos DHCP


Es un fichero de datos que almacena la informacin de configuracin DHCP y los datos de las concesiones dadas a los clientes, de forma predeterminada, los archivos de base de datos DHCP se guardan en la carpeta %systemroot%\System32\Dhcp. Los ficheros que encontramos en sta ubicacin son: Dhcp.mdb: Es el fichero de la base de datos del Servidor DHCP. Dhcp.tmp: Es un fichero temporal que la base de datos DHCP utiliza como fichero de intercambio durante las operaciones de mantenimiento de ndices de base de datos. J50.log y J50#####.log: es un registro de todas las transacciones ejecutadas en la base de datos, ste fichero se utiliza para recuperar los datos cuando sea necesario. J50.chk: Es un fichero de controles.

La base de datos del servidor DHCP es dinmica, en ella se registran todas las actualizaciones de los clientes DHCP cuando se les asigna o liberan sus parmetros TCP/IP, pero sta base no ofrece la posibilidad de ser distribuida como la base de datos del WINS por lo que no se puede replicar a otros servidores DHCP. El Servicio DHCP est configurado para hacer copias de seguridad automticas cada 60 minutos por defecto, se puede cambiar este valor, cambiando el valor de BackupInterval en la clave del Registro:HKLMSYSTEMCurrentControlSetServicesDHCPServerParameters.

Copia de Seguridad y Restauracin de la base de datos DHCP:


La copia puede ser Manual o configurarla para que suceda automticamente (por defecto se ejecuta cada 60 Minutos). La ruta predeterminada de copia de seguridad para el DHCP es la siguiente: .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

%systemroot%System32DhcpBackup. Como recomendacin se puede modificar esta ruta para que apunte a otro volumen. La copia Manual se realiza si es necesario hacer la copia en un momento dado, se puede ejecutar la opcin de copia de seguridad en la consola DHCP y requiere permisos administrativos bien sea por ser Administrador Local del Servidor o por pertenecer al grupo de administradores de DHCP. Al realizar una copia de seguridad toda la base de datos DHCP se guarda, esto incluye todos los mbitos, supermbitos y mbitos de multidifusin, Reservas, Concesiones, Opciones de Servidor, las opciones adicionales creadas por un administrador, opciones de bsqueda y opciones de clase, todas las claves del Registro y otras opciones de configuracin (por ejemplo, la configuracin de registro de auditora y los ajustes de ubicacin de la carpeta) que se almacenan en la siguiente subclave de Registro: HKLMSYSTEMCurrentControlSetServicesDHCPServerParameters

Proceso de restauracin
Si se tiene que restaurar la base de datos, es posible hacerlo desde la funcin Restaurar en el servidor DHCP de la consola, se debe introducir la ubicacin de la copia de seguridad despus el servicio DHCP se detiene y la base de datos ser restaurada, para restaurar la base de datos, el usuario debe tener permisos administrativos o debe ser miembro del grupo de administradores de DHCP.

Reconciliacin de la base de Datos DHCP


Reconciliar mbitos puede solucionar las inconsistencias, como por ejemplo si falta informacin o es incorrecta en las bases de datos DHCP. DHCP almacena la informacin de los mbitos en 2 formas: Concesiones de Direccin IP con informacin detallada en la base de datos DHCP y una informacin de direcciones IP resumida que almacena en el registro del servidor. Cuando se ejecuta la conciliacin, se comparan las 2 fuentes de informacin (detallada y resumen) para encontrar incoherencias, si hay discrepancias el proceso o bien restaura las direcciones IP con el dueo de la concesin o hace una reserva temporal de dichas direcciones, stas reservas son vlidas para el tiempo de concesin asignado al mbito, cuando el tiempo vence la concesin termina y las direcciones IP quedan libres.

Migrar una base DHCP


En el caso de tener que mover la funcin de servidor DHCP a otro servidor, es recomendable mover la base de datos al nuevo servidor tambin, esto asegura que las concesiones dadas a los clientes se mantienen y reduce la probabilidad de problemas de configuracin de cliente, para hacerlo se debe: Se hace una copia de seguridad de la Base de datos en el servidor antiguo. A continuacin, se detiene el servicio DHCP en el antiguo servidor DHCP. Se copia la base de datos DHCP en el nuevo servidor. Se restaura utilizando el procedimiento normal para restaurar la base de datos DHCP. Tambin puede utilizar el comando netsh dhcp para realizar copia de seguridad de la base de datos a una ubicacin remota mediante secuencias de comandos:

Desde el smbolo del sistema ejecute: NETSH DHCP export c:\Micarpeta\DHCP (Copia de seguridad) y para restaurar usar el comando: Netsh DHCP import "c:\Micarpeta\DHCP"

Supervisin y Solucin de Problemas DHCP


DHCP es un servicio importante en entornos de red actuales, si el servicio DHCP no funciona correctamente, o si hay una situacin que est causando problemas con el servidor DHCP, es importante saber qu problema est ocurriendo y cmo se puede localizar. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Generalidades de la Supervisin DHCP


DHCP es un protocolo dinmico, los cambios en el entorno de red por lo general generan cambios en el servidor DHCP para dar cabida al nuevo entorno, estos cambios pueden ser ms clientes en la red que pueden causar una mayor carga de trfico en el servidor DHCP, o porque el servidor DHCP agota su grupo de direcciones. Supervisar estas operaciones permite hacer frente a nuevas necesidades que van surgiendo en forma preactiva, dando como resultado cortes mnimos y tiempos de inactividad reducidos. Se pueden usar 3 herramientas para conocer la informacin de estado del Servidor DHCP: Estadsticas DHCP, visor de sucesos DHCP y datos de rendimiento de DHCP.

Problemas Comunes DHCP


Conflictos IP: La misma direccin IP se ofrece a dos clientes diferentes, puede producirse si un administrador elimina una concesin, sin embargo el cliente cree que su concesin todava es vlida, si el servidor DHCP no comprueba la direccin IP, la asignar a otra mquina causando un conflicto de direcciones. Esto tambin puede ocurrir si dos servidores DHCP se solapan entre si sus mbitos. El cliente no obtiene una direccin DHCP: y se autoconfigura con una direccin de APIPA, si slo es un cliente puede deberse a mala configuracin de la adaptadora de red. Direccin obtenida de un mbito incorrecto: Le provocara al cliente que experimente problemas de comunicacin, a menudo esto se produce porque el cliente est conectado a la red equivocada. Base de datos DHCP sufre daos: los datos pueden ser ilegibles o se ha producido un fallo de hardware. El Servidor DHCP agota las direcciones IP del mbito: no se aceptan nuevas solicitudes de cliente.

Estadsticas DHCP
Proporcionan informacin sobre la actividad y el uso de DHCP, pueden servir para determinar rpidamente si hay un problema con el servicio de DHCP o con los clientes de la red DHCP, un ejemplo en que las estadsticas pueden ser tiles es si el administrador observa una cantidad excesiva de paquetes confirmacin negativa (NACK) que puede indicar que el servidor no est proporcionando los datos correctos a los clientes. Las estadsticas mostradas en la consola pueden ser sobre todo el Servidor o por mbito.

Ficheros de Auditoria DHCP


El registro de auditora proporciona un registro de traza sobre la actividad del servidor DHCP, se suele utilizar este registro para hacer seguimiento de solicitudes de concesiones, concesiones y denegaciones, los ficheros de registro se almacenan por defecto en la carpeta Windows\system32\dhcp. Se pueden configurar los ficheros de estadsticas en las propiedades del servidor, los ficheros se generan por cada da de la semana y los nombres que utilizan hacen alusin al da en que se generan como por ejemplo DhcpSrvLog-Mon.log. Los datos que componen un registro de auditora DHCP son: Cdigo de identificacin: Es un identificador por cada evento que sucede en el servidor Fecha: momento en que se registr esta entrada en el servidor DHCP. Hora: Hora en el que se registr esta entrada en el servidor DHCP. Descripcin: Una descripcin de este evento. Direccin IP: La direccin IP del cliente DHCP. Nombre del host: El nombre de host del cliente DHCP. Direccin MAC: Direccin MAC utilizado por el hardware del adaptador de red del cliente. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Supervisin de Rendimiento DHCP


Despus de instalar el servicio DHCP se generaran contadores de rendimiento de los que el servidor DHCP podr disponer para supervisar el rendimiento y verificar los niveles de carga. Habitualmente el servidor DHCP no debe tener una gran carga de trabajo, sin embargo si se observan longitudes de cola bastante altas se deben comprobar que el servidor no tenga cuellos de botella que provocan ese estado de lentitud.

Seguridad en DHCP
El protocolo DHCP no tiene un mtodo incorporado para la autenticacin de usuarios lo que significa que si no se toman precauciones las concesiones podran ser dadas a dispositivos y usuarios que tienen intenciones maliciosas. Las razones para asegurar DHCP son: Evitar que un usuario no autorizado obtenga una concesin: DHCP puede ser difcil asegurarlo en si, por que el protocolo est diseado para trabajar antes que informacin necesaria de autenticacin tenga lugar con un controlador de dominio; las precauciones bsicas que podramos tomar para limitar el acceso no autorizado incluyen: asegurarnos de reducir el acceso fsico ya que si un usuario se conecta a la red a travs de una conexin activa podr obtener una direccin IP, por lo tanto se sugiere que desconecte los puntos de red libres de la infraestructura de swith; active el registro de auditora en todos los servidores DHCP esto le proveer una vista de la actividad y poder hacer un seguimiento de direcciones IP obtenidas por usuarios maliciosos, tambin puede exigir autenticacin a los usuarios a travs de tecnologas como 802.1X y finalmente puede implementar NAP para validar las configuraciones de cumplimiento de seguridad en los clientes de la red. Restringir servidores DHCP no Microsoft que no estn autorizados para conceder direcciones IP: Muchos dispositivos de red tienen implementaciones de servidores DHCP, en muchos casos podemos encontrar que es posible que estos servidores DHCP no se comprueben en el directorio activo y por tanto estarn habilitados para conceder informacin a los clientes que puede ser incorrecta, para eliminar los servidores DHCP no autorizados debe localizarlos y desactivarles la comunicacin en red fsicamente o desactivarles el servicio DHCP. Se puede utilizar servidores DHCP no autorizados con una utilidad llamada DHCPLOC.EXE lo que sirve para encontrar servidores DHCP activos en una red. Restringir la administracin del DHCP: el grupo incorporado administradores DHCP es un grupo local creado por el servicio para restringir y conceder acceso al servidor DHCP y poderlo administrar, existen dos grupos agregados: administradores DHCP (para gestionar el servicio de servidor DHCP) y el grupo usuarios SHCP (pueden tener acceso de solo lectura a la consola de administracin.)

Resumen
Podemos concluir que DHCP ayuda a los administradores a hacer ms ligera la carga administrativa que supone el hecho de configurar los equipos de una red con el protocolo TCP/IP en forma controlada y eficiente, este servicio permite a los administradores realizar cambios de infraestructura y en consecuencia esperar a que los clientes actualicen su informacin en forma automtica, sin embargo debemos conocer que la debilidad de DHCP est en la perdida de la base de datos del servicio, lo cual nos provoca problemas bastante graves en una red, para evitarlo considere siempre utilizar al menos dos servidores DHCP cuyos mbitos estn relacionados entre s, distribuyendo la totalidad de las direcciones IP entre ellos pero evite solapar las direcciones IP en distintos mbitos. Realizar copias de seguridad constantemente y vigilar el rendimiento del servidor permitirn que su red se mantenga estable y libre de errores por falta del servicio DHCP. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Es necesario entender que en una red adoptamos este servicio y no controlamos los puntos de conexin a la red podemos sufrir ataques que nos degradaran la fiabilidad de nuestra red.

Recuerde
El DHCP de Windows necesita ser autorizado por un usuario administrador de empresa para que el servicio pueda empezar a conceder direcciones IP. Si se utiliza un DHCP para conceder configuracin IP a mltiples subredes considere implementar agentes de retransmisin DHCP. Cuando un cliente DHCP no consiga contactar el servidor DHCP como resultado veremos que el cliente adopta una direccin IP del rango de APIPA (169.254.0.0) Considere implementar mltiples servidores DHCP para conseguir tolerancia a fallo aplicando la regla 80/20 en los mbitos del DHCP. Si necesita asignar direccionamiento IP fijo a ciertos dispositivos de red, puede implementar reservas. Cuando las direcciones IP en un servidor DHCP empiecen a escasear por que el rango IP est en sus lmites intente ampliar el rango IP, y si no es posible reduzca el tiempo mximo de la concesin y as liberar direcciones IP ms rpido.

Ver Vdeo: DHCP, en el Mdulo 7. Unidad 4, Configuracin y Resolucin de


problemas con DHCP en la plataforma e-learning.

Laboratorios Laboratorio 1. Instalacin y autorizacin de DHCP


1. Para instalar un servidor DHCP usamos la consola Administrar el Servidor DHCP. Servidor y agregamos la funcin

2. El asistente de instalacin del Servicio DHCP nos permite configurar el Servicio durante la instalacin, el primer paso es habilitar en las adaptadoras de red la posibilidad de recibir y enviar paquetes de .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

DHCP (Enlazar), en escenarios donde un servidor contenga mltiples tarjetas de red y no todas se usan para recibir solicitudes de clientes DHCP entonces podemos desvincular algunas adaptadoras de red para que no sean usadas por DHCP.

3. A continuacin nos pide informacin acerca del servicio DNS, detecta sta informacin de acuerdo a lo configurado en las propiedades de red del Servidor DHCP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

4. A continuacin seleccionar la informacin del Servicio WINS si es usado en la infraestructura de red.

5. Incluso podemos crear los mbitos que el servidor DHCP usar sin embargo no lo crearemos en ste caso ahora, se har ms adelante.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

6. El siguiente paso nos permite decidir la funcin que tendr el Servidor DHCPv6 en la infraestructura IPv6, configuracin Sin estado en IPv6 significa que los clientes se autoconfigurarn una direccin IPv6 y el servidor DCHP slo se usar para configurar las opciones adicionales (Sufijo y Servidores DNS, etc) en la siguiente unidad veremos cmo se configura IPv6. 7. En ste caso dejar Activado el modo sin estado que ser utilizado ms adelante.

8. Al Activar el Modo sin estado, el asistente pregunta la configuracin de opciones DNS para IPv6, en ste paso pinchar en siguiente, en el siguiente captulo se configurarn.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

9. El asistente incluso permite Autorizar el servidor DHCP en Directorio Activo, seleccionamos omitir ste paso en el asistente (se har ms adelante).

10. Pinchar en Instalar si la configuracin seleccionada es correcta, espere hasta que la instalacin finalice correctamente.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

11. El Servidor aunque ste instalado no empezar a emitir direcciones IP hasta que sea autorizado, como vemos el servicio se muestra con una flecha roja abajo (Desactivado).

12. La autorizacin del servidor DHCP necesita que el servidor sea registrado en Directorio Activo por un Administrador de Empresa (ste grupo slo existe en el domino raz de bosque y por defecto el nico usuario en el grupo es la cuenta incorporada Administrador del Dominio raz del bosque) 13. Para registrar el servidor abrir la consola DHCP desde herramientas administrativas y a continuacin hacer clic derecho sobre el servidor (si el usuario con el que se ha iniciado sesin es administrador de empresa) y seleccionar la opcin Autorizar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

14. Si Autorizar no aparece posiblemente no tienes los derechos suficientes para realizar sta accin, otra forma de autorizar es hacer clic derecho sobre la opcin DHCP de la consola de administracin y seleccionar la opcin Administrar Servidores Autorizados.

15. En la ventana pinchar en el botn Autorizar.

16. Escribir el nombre o la direccin IP del Servidor DHCP y aceptar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

17. Se pedir confirmacin antes de autorizar el servidor, Aceptar

18. El servidor ahora debe listarse en la ventana con los servidores DHCP Autorizados, Pinchar en Cerrar.

19. Cuando el servidor sea Autorizado podemos ver el estado con flecha verde arriba (Activo para emitir direcciones IP).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Laboratorio 2. Creacin y configuracin de mbitos DHCP


1. Despus de instalar y autorizar un servidor DHCP debemos crear los mbitos que contendrn la informacin necesaria para configurar los clientes DHCP. 2. Para crear un mbito, sobre el nodo IPv4 hacer clic derecho y seleccionar mbito nuevo.

3. DHCP ejecuta un asistente para la creacin, siguiente.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

4. Escribir un nombre y una descripcin para el mbito.

5. A continuacin definimos un rango de direcciones IP que sern otorgadas por el Servidor DHCP a los clientes que lo soliciten, es importante tener en cuenta lo aprendido en el Mdulo 6 para configurar correctamente el Identificador de Red, la mscara de subred (determinan la cantidad mxima de direcciones IP a usar en un esquema de direcciones IP) en ste caso usamos la red 192.168.100 (Red Clase C) con una mscara de 24 bits lo cual deja como posibilidad emitir hasta 254 direcciones, sin embargo en el ejemplo slo se usarn algunas direcciones IP de las 254 para que sean usadas por DHCP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

6. Es posible que dentro del rango de direcciones IP configurado en la red existan direcciones IP que ya han sido dadas a dispositivos como direccionamiento IP fijo, entonces esas direcciones debemos excluirlas para que el DHCP no las conceda y evitar as un conflicto, en el ejemplo excluimos un rango de 6 IP.

7. La duracin de la concesin por defecto es 8 das.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

8. Ahora el asistente continuar con las opciones del DHCP, en ste punto seleccionar que las configuraremos posteriormente.

9. El asistente recuerda que debes configurar las opciones y activar el mbito para que los clientes reciban la configuracin IP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

10. El mbito ser mostrado en la consola, para activarlo hacer clic derecho en l y seleccionar la opcin activar.

11. La flecha roja abajo sobre el mbito desaparece.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

12. Para comprobar si el servidor DHCP emite direcciones IP del mbito configurado, usaremos un cliente Windows Vista como cliente DHCP, para configurar un cliente DHCP ir al panel de control

13. Entrar en el Centro de Redes y recursos compartidos.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

14. Administrar conexiones de red.

15. Seleccionamos el adaptador de red y luego Propiedades

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

16. Se pide elevacin de privilegios, pinchar en Continuar, luego seleccionar Protocolo TCP/IP versin 4 y luego propiedades.

17. Por defecto un Cliente Windows Vista es un Cliente DHCP por que obtiene IP y DNS automticamente, pinchar en Aceptar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

18. Para ver si el Servidor DHCP ha otorgado configuracin IP al cliente, salir al smbolo del sistema y ejecutar comandos IPCONFIG /all (ver configuracin). Observe que el cliente tiene una IP en el rango 192.168.100 y le ha sido asignada la primera direccin del rango (50), note tambin la direccin IP del Servidor DNS, el sufijo de bsqueda, WINS y del Servidor DHCP que asigna la IP y la duracin de la concesin. Tambin podemos ver que sin embargo no ha recibido configuracin de puerta de enlace (Gateway) que define la direccin IP de un enrutador que le permitira conectarse con otras redes.

19. Para poder asignar el parmetro de Puerta de enlace en el servidor podemos agregar sta opcin, para ello sobre el mbito creado buscar el nodo Opciones de mbito, hacer clic derecho y seleccionar configurar opciones, note que en las opciones existentes hay algunos parmetros como Sufijo DNS (015), Servidores DNS (06), Servidores WINS (044) que fueron creados durante el proceso de instalacin del Servicio DHCP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

20. Para agregar la puerta de enlace agregamos la opcin Enrutador (03) y escribir la direccin IP del Enrutador y Aceptar.

21. La opcin de mbito ser mostrada junto a las opciones de Servidor creadas durante la instalacin del servicio.

22. Para que ste cambio surta efecto en el cliente debemos esperar a que el cliente cumpla el 50% de la concesin y se actualice o podemos forzar la actualizacin en los clientes usando el comando IPCONFIG /Release (Liberar) y luego IPCONFIG /Renew (Renovar). Esta operacin requiere elevacin de privilegios en Windows Vista, por tanto el smbolo de sistema debe ser abierto como Administrador.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

23. Sobre el icono del smbolo del sistema clic derecho y Ejecutar como Administrador.

24. Pinchar en el botn continuar en el escritorio seguro.

25. Ahora en el smbolo ejecutar IPCONFIG /Release (libera la direccin IP)

26. Ahora ejecutar el comando IPCONFIG /Renew, notar que el valor de la puerta de enlace se ha actualizado.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 5. Configuracin y Resolucin de Problemas con TCP/IP V6


Objetivos
Al terminar esta unidad estar en capacidad de: Entender el nuevo esquema de direcciones IPv6. Diferenciar los tipos de Direcciones IPv6 Unicast (globales, locales de vnculo, locales de sitio) Describir los Tipos de Nodo y las implementaciones de IPv6 Conocer la importancia de una infraestructura DNS en el direccionamiento IPv6 Establecer el inicio de un proceso de migracin IPv4 a IPv6 usando tecnologas de tnel como ISATAP.

Introduccin
Despus de muchos aos conviviendo con los entornos de red con el protocolo TCP/IP (versin 4) vemos la necesidad de aumentar las prestaciones de las redes actuales por distintos motivos tales como ampliacin del espacio de direcciones, ms seguridad, facilidad en el manejo de direcciones, mejor rendimiento, estas y muchas ms ventajas se incorporan en la nueva versin del protocolo TCP/IP (versin 6) que ya viene integrado en los sistemas operativos Windows Vista y Windows Server 2008; IPv6 es una tecnologa fundamental que nos permitir soportar el crecimiento de usuarios y dispositivos que utilizan los servicios de Internet. IPv6 fue diseado para subsanar todos aquellos inconvenientes conocidos en IPv4 pero tambin es muy importante reconocer que el cambio es drstico y que la implementacin de un entorno slo IPv6 se tardar muchos aos, es por ello que nuestra funcin debe ser empezar a implementar sta infraestructura e ir probando nuestros entornos para ver que comportamiento tienen con ella, por ello todos los procesos de migracin empiezan verificando los tipos de Nodo que componen cada una de nuestras redes, esto nos permite conocer si es posible implementarles IPv6. Tambin es necesario para poder implementarlo conocer cmo funciona, como se configura y que implicaciones de administracin conlleva ya que para empezar un proceso de migracin podemos usar tecnologas de tnel que nos permitir mantener un entorno de red en IPv4 pero adems podemos a empezar a ver el comportamiento de una red con IPv6 en los hosts; Una transicin exitosa a IPv6 exige la convivencia provisional de los nodos IPv6 en entornos IPv4; mientras tanto no debemos dejar de lado IPv4 porque sta de momento seguir siendo el estndar IP para la mayora de las aplicaciones y servicios de Internet en la actualidad.

Definiciones
Generalidades de IPV6
IPv6 es una tecnologa que ayudar fundamental a asegurar que Internet puede soportar la creciente base de usuarios y el nmero de dispositivos habilitados para IP cada vez mayor, el Protocolo actual de Internet versin 4 (IPv4) ha servido de base a Internet desde hace casi 30 aos, por lo que su robustez, escalabilidad y un conjunto de caractersticas ms limitadas ahora se enfrentan a la creciente necesidad de nuevas direcciones IP, debido en gran parte al rpido crecimiento de nuevos dispositivos para redes. IPv6 lentamente se est volviendo ms comn, si bien la adopcin puede ser lenta, es importante entender cmo esta tecnologa afectar a las redes actuales y la manera de integrar IPv6 en las redes. Espacio de direcciones ms grande .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Un espacio de direcciones de 32 bits permite 4.294.967.296 de direcciones posibles, el nuevo espacio de direcciones es de 128-bit que permite 340 undecillones de direcciones IP posibles. Direccionamiento y enrutamiento de la infraestructura de Red en forma Jerrquica: El espacio de direcciones IPv6 ha sido diseado para ser ms eficiente para los enrutadores, lo que significa que aunque hay muchas ms direcciones, los enrutadores pueden procesar los datos de forma mucho ms eficiente debido a la optimizacin de la direccin. Configuracin de direcciones IP Sin estado y con estado IPv6 tiene la capacidad de la auto-configuracin sin el uso del protocolo DHCP, los hosts pueden encontrar la informacin en el enrutador para que puedan acceder a Internet (configuracin de direcciones sin estado). Una configuracin de direcciones con estado es cuando se utiliza el protocolo DHCP v6, sta configuracin cuenta con dos niveles de configuracin: una en la que DHCP proporciona toda la informacin de direccionamiento IP (Direccin, Subred, Opciones) y la segunda donde slo proporciona slo la informacin de subred. Seguridad integrada IPv6 tiene un extra de seguridad IP incorporado, mientras que en IPv4 es una extensin del protocolo (es opcional), esto facilita la configuracin de las conexiones de red en forma segura. En IPv4 modificar la IP de origen, de destino o los puertos de la comunicacin puede invalidar los datos de IPsec, ste es uno de los problemas cuando los hosts de IPv4 deben atravesar dispositivos NAT (Traduccin de direcciones). IPv6 vuelve a restaurar las comunicaciones punto a punto porque NAT fue concebido para prolongar la vida de direcciones IP pblicas IPv4. Establecimiento de prioridades en la entrega de paquetes IPv6 contiene un campo en el paquete que permite a los dispositivos de red determinar que el paquete debe ser procesado en un valor determinado. Esto permite la priorizacin de trfico, la cual consiste en darle mayor prevalencia a la transferencia de datos que pertenezcan a un protocolo especfico, se puede definir la prioridad en funcin del tiempo de entrega de paquetes que se necesite. Deteccin de vecinos IPv6 detecta mejor otros dispositivos y hosts en su red local, utiliza esta propiedad para crear redes entre 2 equipos a travs del cual se puede compartir la informacin. Extensibilidad IPv6 ha sido diseado de manera que se puede ampliar con menos limitaciones que IPv4.

Diferencias Entre IPv4 e IPv6


Desde la creacin de protocolo en 1970, IPv4 ofreca un nivel de escalabilidad bastante alto para su poca pero debido a los continuos cambios de tecnologa y la forma de asignacin de IP que no prevea un crecimiento explosivo de servidores en Internet, el espacio de direcciones se consumi hacia 1992 y por tanto se hizo evidente la necesidad de un reemplazo. Con IPv6, es an ms difcil de concebir que el espacio de direcciones IPv6 se vaya a consumir pronto porque el espacio de direcciones de 128 bits puede generar 655,570,793,348,866,943,898,599 (6,5 '1023) direcciones por cada metro cuadrado de superficie de la Tierra. Sin embargo el propsito de ste nmero de direcciones IP posibles no es para interconectar todas estas IP sino ms bien, el tamao relativamente grande de la direccin IPv6 ha sido diseado para que pueda ser dividido en dominios de enrutamiento jerrquicos que reflejen la topologa de Internet de hoy en da, el uso de 128 bits permite mltiples niveles de jerarqua y la flexibilidad en el diseo de enrutamiento que carece actualmente IPv4. Algunas diferencias entre IPv4 e IPv6 son: Direccionamiento: IPv4 (4 Bytes) e IPv6 (16 Bytes). .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Soporte IPsec: IPv4 (opcional) en IPv6 (Obligatorio). Priorizacin de paquetes: en IPv4 No hay identificacin calidad de servicio (QoS) se consigue manipulando la prioridad en los enrutadores, mientras que en IPv6 las etiquetas de QoS se generan en los encabezados de IPv6 utilizando el campo Etiqueta de Flujo. La fragmentacin de paquetes: IPv4 se fragmenta tanto en hosts como en enrutadores mientras que en IPv6 slo se fragmenta en los hosts. Suma de Comprobacin (Checksum) en el Encabezado: IPv4 lo incluye, IPv6 No. Opciones de encabezado: IPv4 incluye todas las opciones, IPv6 mueve las opciones a cabeceras de extensin. IPv4 usa ARP para vincular direcciones IP a direcciones MAC usando difusiones mientras que IPv6 lo hace por Multicast mediante el uso de paquetes de Mensajes de Solicitud de Vecinos. IGMP de Ipv4 tambin es reemplazado por otro paquete Multicast Mensajes MLD. EL protocolo ICMP para descubrimiento de enrutadores que es opcional y que sirve en IPv4 para determinar la direccin IP del mejor enrutador para usarlo como puerta de enlace, se sustituye por Mensajes de solicitud de enrutador y anuncios de enrutados en ICMPv6 y son de carcter obligatorio. Direcciones usadas en difusiones que envan trfico a todos los equipos de la red en IPv4 no existen en IPv6 en su lugar, utiliza una direccin Multicast de mbito enlace local a todos los nodos. IPv4 se debe configurar manualmente o mediante DHCP, IPv6 no requiere configuracin manual o DHCP. Ipv4 usa registros A en DNS para los mapas de nombres de host y las direcciones IPv4; Ipv6 usa registro de host (AAAA) en DNS que une un nombre de host a una direccin IPv6. Las zonas de bsqueda inversa usan registros de puntero (PTR) en una zona de DNS IPv4 llamada IN-ADDR.ARPA y en una zona DNS IPv6 llamada IP6.ARPA. El tamao de paquete en IPv4 es 576-bytes (posiblemente fragmentado), IPv6 soporta un tamao de paquete de 1280 bytes (sin fragmentacin).

Algunas equivalencias de IPv4 en IPv6 Direccionamiento IP basado en clases no aplica en IPv6. Las direcciones de multicast (224 al 239) equivalen a direcciones IPv6 multicast (ff00::/8). Direcciones de difusin no se aplican en IPv6. Una direccin no especificada 0.0.0.0 en IPv6 es :: Direcciones de prueba 127.0.0.1 en IPv6 es ::1 Las direcciones IP pblicas equivalen a las direcciones unicast globales en IPv6. Los rangos de direcciones IP privadas (10.0.0.0, 172.16.0.0 y 192.168.0.0) corresponden a direcciones de sitio local IPv6 (FEC0::/10). Direcciones configuradas automticamente (169.254.0.0) equivalen a direcciones locales de vnculo IPv6 (FE80::/64) La representacin de texto para la direccin IP en versin 4 es notacin decimal con puntos mientras que en IPv6 la representacin del texto es formato hexadecimal con 2 puntos y acepta supresin de ceros a la izquierda y la compresin de ceros. Representacin de bits de red: IPv4 usa la mscara de subred en notacin decimal con puntos o un prefijo de longitud de mscara. En IPv6 slo se usan prefijos de longitud.

Tecnologas Microsoft que usan implementaciones IPv6


Microsoft, puede utilizar IPv6 en todas las implementaciones sin afectar a las comunicaciones IPv4, para Windows XP SP2 y Windows Server 2003 Microsoft emplea una solucin de doble pila (cada protocolo IP tiene su propia implementacin TCP y UDP, por tanto emplea ms cdigo, ms memoria y es ms complejo cuando se instalan los 2 protocolos) ofrece calidad en produccin y se puede instalar y desinstalar como un protocolo separado.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Windows Vista y Windows Server 2008 usan una implementacin de doble capa lo que significa que slo usa una implementacin TCP y UDP para los 2 direccionamientos IP, es conocido como TCP/IP NG (Next Generation). Las ventajas de la doble capa es que como los 2 protocolos comparten un transporte comn simplifica tareas de mantenimiento (reduce controladores y libreras). Los 2 protocolos se activan por defecto y como resultado el rendimiento es mucho mayor.

Espacio de Direcciones IPv6


Como ya mencionamos la caracterstica que ms distingue a IPv6 es el incremento de direccionamiento IP; en IPv4 las direcciones IP se expresan en cuatro grupos de nmeros decimales, como por ejemplo 192.168.1.1 (cada grupo de nmeros representa un octeto binario). El tamao de una direccin en IPv6 es de 128 bits, cuatro veces ms grande que una direccin IPv4, las direcciones IPv6 se expresan tambin, como direcciones hexadecimales en su formato de lectura. Ejemplo: 2001:DB8:0:2F3B:2AA:FF:FE28:9C5A. Como apreciamos la IPv6 es poco intuitiva para los usuarios finales, por ello se debe suponer que los usuarios se basarn en los nombres DNS para acceder a los recursos de los hosts. Para convertir una direccin IPv6 el cual es de longitud de 128 bits binarios, divida los 128 bits en 8 grupos de 16 bits, a continuacin convierta cada uno de esos 8 grupos de 16 bits en 4 dgitos hexadecimales. El siguiente ejemplo es una sola direccin IPv6 en forma binaria, como es larga la escribimos en 3 lneas pero es una sola IP: 00100000000000010000110110111000000000000000000000101111001110110000001010101010000000001111 111111111110001010001001110001011010 La direccin de 128-bits se divide en los grupos de 16-bit: 0010000000000001 0000110110111000 0000000000000000 0000000011111111 1111111000101000 1001110001011010
[0010] [2] [0000] [0] [0000] [0] [0010] [2] [0000] [0] [0000] [0] [1111] [F] [1001] [9] [0000] [0] [1101] [D] [0000] [0] [1111] [F] [0010] [2] [0000] [0] [1110] [E] [1100] [c]

0010111100111011

0000001010101010

Cada divisin la subdividimos en grupos de cuatro bits. Y convertimos a hexadecimal as:


[0000] [0] [1011] [b] [0000] [0] [0011] [3] [1010] [A] [1111] [F] [0010] [2] [0101] [5] [0001] [1] [1000] [8] [0000] [0] [1011] [B] [1010] [A] [1111] [F] [1000] [8] [1010] [A]

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Ahora cada bloque de 16-bits expresados con cuatro caracteres hexadecimales delimitados con dos puntos: 2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A Es posible seguir simplificando la representacin de la IPv6 eliminando los ceros iniciales dentro de cada bloque de 16-bit: 2001:DB8:0:2F3B:2AA:FF:FE28:9C5A La compresin de ceros simplifica la notacin IPv6 an ms, el ordenador reconoce "::" y la sustituye con el nmero de ceros necesarios para realizar la adecuada direccin IPv6. En el ejemplo podemos expresar la direccin utilizando la compresin de ceros: 2001:DB8::2F3B:2AA:FF:FE28:9C5A Para determinar el nmero de bits 0 que estn representados por la "::", se cuenta el nmero de bloques en la direccin comprimida, luego restar ese nmero de ocho, y luego multiplicar el resultado por 16; en el ejemplo anterior, hay siete bloques, Resto 7 de 8, luego multiplicamos el resultado (1) por 16, por lo tanto hay 16 bits o 16 ceros en la direccin donde se encuentra el doble dos puntos. En una direccin IP slo se puede usar una sola vez los 2 :: o de lo contrario no se puede determinar el nmero de bits 0 que est representando.

Prefijos IPv6
Al igual que el espacio de direcciones IPv4, el espacio de direcciones IPv6 se divide para asignar porciones del espacio de direcciones disponibles para varias funciones; los bits de orden superior (los bits que estn en el principio de la direccin IPv6 de 128 bits) definen las reas o porciones en las que se divide el espacio de direcciones de forma esttica y sus valores fijos se conocen como un formato de prefijo. IANA (Internet Assigned Numbers Authority) gestiona IPv6 y es el organismo que se ha encargado de precisar sta divisin del espacio de direcciones IPv6 y de establecer los formatos de prefijos, de la siguiente manera: Reservado 00000000 1/256 Reservado para NSAP 0000001 1/128 Direcciones Unicast Globales 001 (empiezan con 2 o 3) 1/8 Direcciones Unicast de Vnculo Local 1111111010 (Empiezan con FE8) 1/1024 Direcciones Unicast de Sitio Local 1111111011 (Empiezan con FEC0) 1/1024 Direcciones Multicast 11111111 (Empiezan por FF) 1/256 El resto de espacio de direcciones IPv6 no est asignado.

El conjunto actual de direcciones unicast que se puede utilizar con los nodos IPv6 consta de direcciones globales y locales de vnculo y representan slo el 15% del espacio de direcciones IPv6 completo. Los prefijos IPv6 son la parte de la direccin que indica los bits que tienen un valor fijo o que son los bits del prefijo de subred; para las subredes IPv6, enrutadores y rangos de direcciones son expresados de la misma forma que CIDR (Classless Inter-domain Routing) en IPv4, el prefijo se escribe en connotacin Direccin/longitud-de-Prefijo, Ejemplos: 31DA:db8::/48 31DA:DB8:0:10::/64 Aunque la connotacin en IPv4 y en IPv6 parezca igual no tienen el mismo significado, ya que en IPv4 denota la cantidad de bits usados para la red (con valor 1) en la mscara de subred, pero para IPv6 sta connotacin indica una longitud de prefijo porque IPv6 no usa Mscaras de subred.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Tipos de Direcciones Unicast (Unidifusin) en IPv6:


Una direccin de unidifusin identifica una interfaz nica dentro del conjunto de tipos de direcciones unicast, dentro de una topologa de red enrutada los paquetes dirigidos a una direccin unicast sern entregados a una nica interfaz, veamos algunos tipos de direcciones unicast usadas en un host IPv6: Direcciones unicast globales: Equivalen a las direcciones IPv4 pblicas (Slo para uso hacia y desde Internet), son enrutables y se les puede acceder globalmente en la parte Internet de IPv6, los 128 bits de una direccin IPv6 Global se dividen en: Porcin fija: Los 3 primeros bits (establecida por IANA empiezan con 001), por esta razn usan el prefijo 20000::/3 El prefijo de Enrutamiento Global: Usa los 45 bits siguientes para identificar el sitio de una organizacin especfica en forma individual, por tanto cada sitio de una organizacin tendr un prefijo de 48 bits asignado, una vez el asignamiento se produzca, entonces los enrutadores en Internet de IPv6 empezarn a reenviar el trfico que coincida con el prefijo de 48 bits al enrutador de la organizacin. ID de subred: Usa los siguientes 16 bits, y se utiliza dentro del sitio de una organizacin individual para que pueda generar hasta 65536 subredes o mltiples niveles de direccionamiento Jerrquico e infraestructura de enrutamiento eficiente. ID de Interfaz: Identifica una interfaz de un host dentro de una subred especfica dentro de un sitio, el tamao para la identificacin de la interfaz es de 64 bits. Direcciones Unicast de uso Local: Se dividen en 2 tipos: De Vnculo local: Se utilizan para las comunicaciones entre hosts vecinos conectados y para procesos de descubrimiento de vecinos, sta direccin unicast le permite a un host IPv6 solicitar informacin de configuracin de IPv6 a enrutadores IPv6 y servidores DHCP v6; sta direccin equivale a una direccin de APIPA (Direccionamiento IP automtico) de IPv4. Una direccin unicast de vnculo local empieza con FE80 (Prefijo FE80::/64) y continua con la ID de la interfaz de 64 bits, sta direccin esta imitada slo a comunicaciones dentro de un segmento de red, no se utilizan para enrutamiento. De Sitio Local: Se utilizan entre nodos que se comunican con otros nodos en el mismo Sitio, son equivalentes al espacio de direcciones privadas en IPv4 (Rangos 10.0.0.0 172.16.0.0 y 192.168.0.0), se utilizan para comunicaciones dentro de un sitio (Red de una organizacin o parte de la red de una organizacin que tiene una ubicacin geogrfica definida); A diferencia de las Direcciones de vnculo local stas direcciones no se autoconfiguran automticamente por tanto deben ser asignadas a travs del proceso de configuracin de direcciones sin estado o con estado.

De bucle: equivalente a 127.0.0.1 es ::1 Direcciones unicast locales nicas: Las direcciones de Sitio local IPv6 proveen direcciones privadas como alternativa al uso de direcciones unicast globales para el trfico en una intranet, sin embargo el prefijo de una direccin de sitio local puede estar duplicado porque ste puede ser utilizado en mltiples sitios dentro de una organizacin; la ambigedad de las direcciones de sitio local agrega ms complejidad y dificultad para Enrutadores y las aplicaciones. Los primeros 7 bits fijos (1111110) genera el prefijo FC00::/7 en todas las direcciones unicast locales nicas, el bit 8 es un indicador (Indicador L de LOCAL) si se activa en 1 indica una direccin local, 0 no se ha definido an, entonces una direccin local nica que tenga el identificador L en 1 usar el prefijo FD00::/8 Direcciones IPv6 asignadas a Hosts y a Enrutadores: Un host IPv6, incluyendo aquellos con una nica interfaz, tpicamente posee mltiples direcciones IPv6, de forma predeterminada, las direcciones locales de vnculo se configuran automticamente para cada interfaz en cada host o enrutador IPv6 (para comunicarse con hosts vecinos y descubrir otras .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

configuraciones en routers o DHCP en IPv6), pero para poder comunicarse con nodos que no sean vecinos el host tambin debe estar configurado con direcciones unicast locales de sitio o globales, el host obtendr las direcciones adicionales, utilizando un mecanismo de anuncios de enrutador o por configuracin manual (se puede usar el comando netsh interface ipv6 para configurar manualmente las direcciones IPv6) En resumen un hosts IPv6 puede configurar los siguientes tipos de direcciones: Direcciones Unicast: Una direccin local de vnculo para cada interfaz, una direccin local de sitio para cada interfaz, una o ms direcciones globales para cada interfaz, la direccin de bucle invertido para la interfaz de bucle invertido. Direcciones de Multicast (para escuchar el trfico de multidifusin): De interfaz local a todas las direcciones de los nodos (FF01::1); De vnculo local a todas las direcciones de los nodos (FF02::1); La direccin multicast de solicitudes de nodo en cada direccin unicast de cada interfaz; La direccin de multidifusin para cada grupo al que se ha unido cada interfaz. Adems, los enrutadores IPv6 tambin tienen las siguientes direcciones: Direcciones Multicast: De interfaz local a todas las direcciones de los enrutadores (FF01::2); de enlace local a todas las direcciones de enrutadores (FF02::2); de Sitio local a todas las direcciones de los Enrutadores (FF05::2). Direcciones Anycast: Una direccin Anycast (Cualquier enrutador siguiente ms prximo) de Enrutamiento de Subred por cada subred, otras direcciones Anycast opcionales.

IDs de Zona
A diferencia de las direcciones globales, las direcciones de uso local (de vnculo local y de sitio local) pueden volver a ser utilizadas en cada enlace por lo que stas direcciones presentan ambigedad debido a esta capacidad de reutilizar la direccin, por lo tanto es necesario que ste tipo de direcciones tengan un identificador que nos permita saber qu direccin est configurada sobre cual vnculo, o donde est localizada, o dentro de cual sitio la direccin est asignada o localizada. Este identificador es el ID de Zona o ID de mbito, se identifica en una direccin IPv6 de uso local as: direccin_IPv6%ID_Zona Los valores de ID de Zona se definen en relacin al host que enva, por lo tanto, distintos hosts pueden determinar valores de ID de Zona diferentes para la misma zona fsica. Ejemplo: un host A puede utilizar 3 para representar el ID de zona para una IP atada a un vnculo y Host B puede utilizar 4 para representar el mismo vnculo (segmento de red). Para ver informacin de direcciones IPv6 con ID de Zona use el comando IPCONFIG Los Id de Zona se definen segn lo siguiente: Para direcciones de vnculo local el ID de Zona suele ser el ndice de interfaz (nmero entero a partir de 1 y que se asigna a las interfaces IPv6 tales como las interfaces de red, las de tnel y las de loopback) para la interfaz en la que se ha asignado la direccin, para obtener la lista de ndices y ver las interfaces asociadas usar el comando Netsh interface ipv6 show interface. Para direcciones de Sitio local el ID de zona es el Identificador de sitio (nmero entero asignado a un sitio de una organizacin); si la organizacin no reutiliza los prefijos de direcciones de sitio local entonces el Sitio ID se configura como 1 por defecto. Para saber los ID de Site usar el comando:

Netsh interface ipv6 show address level=verbose.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Autoconfiguracin de direcciones IPv6


Un host puede pasar por varios estados cuando inicia un proceso de autoconfiguracin, existen mltiples formas para asignar una direccin IP y su informacin, de acuerdo a como este configurado el enrutador un cliente puede utilizar configuracin sin estado (Sin el Servicio DHCP) o con estado (involucra un servidor DHCP) para asignar la direccin IP y otra informacin de red o simplemente asignar informacin de red (Servidores DNS, Sufijos DNS). Los estados por los que pasa un host autoconfigurado son: Tentativo: es el estado mientras verifica si la direccin IP es nica para evitar direcciones IP duplicadas, en ste estado el host no puede recibir trfico unicast en sta direccin, sin embargo si puede usar protocolos multicast como mensajes de advertencia de vecinos enviados en respuestas a mensajes de solicitudes de vecinos lo cual permite que le host valide si la IP es nica. Vlido: La direccin ha sido verificada como nica, y puede enviar y recibir trfico unicast, ste estado cubre otros 2 estados (Preferido y Desaprobado). El tiempo de vida vlido contenido en un paquete multicast de advertencia de enrutador determina el tiempo que la direccin permanece en estado tentativo y vlido, el tiempo de vida vlido debe ser igual o superior al tiempo de vida preferido. Una direccin I vlida es o preferida o desaprobada. Preferida: Permite a un nodo enviar y recibir trfico unicast desde y hacia l. Desaprobada: La direccin es vlida, pero su uso esta desaprobado para nuevas comunicaciones, sesiones de comunicacin existentes pueden continuar utilizando una direccin desaprobada para enviar y recibir trfico unicast hacia y desde l. Invlida: La direccin ya no permite al nodo enviar o recibir trfico unicast, una direccin entra en el estado invlido despus que el tiempo de vida expira. Sin estado: La configuracin de la direccin se basa en la recepcin de mensajes de anuncios de un enrutador con informacin de 2 indicadores (O= Other stateful y M=Managed Address configuration) en ste caso los 2 indicadores se envan con valor 0 y con uno o ms opciones de configuracin de prefijos. Con estado: La configuracin se basa en la utilizacin de un protocolo de configuracin de direcciones con estado como DHCPv6 para obtener direcciones y otras opciones de configuracin (esta comunicacin se hace utilizando la direccin IPv6 de vnculo local que el host se auto asign en lugar de paquetes de difusin como se hace en IPv4). El host utiliza la configuracin de direcciones con estado cuando recibe mensajes de anuncios de un enrutador sin opciones de prefijo y los indicadores O y/o M estn configurados a 1. El host tambin usa ste mecanismo de autoconfiguracin si no hay enrutadores presentes en el vnculo local.

Tipos de configuracin automtica:

Esta forma de configurar los hosts IPv6 le permite a una organizacin controlar como las direcciones IP son asignadas o porque quizs una organizacin quiera implementar otros servicios que dependan de DHCP como NAP o simplemente si tenemos que configurar ms opciones del protocolo IPv6. Ambos: Se basa en la recepcin de mensajes de anuncios de un enrutador con informacin de opciones de prefijo y los indicadores M o O configurados en 1.

Coexistencia con IPv6


Ipv6 apareci con la idea de sustituir a IPv4 pero tambin se debe reconocer que IPv4 est demasiado extendido e implementado a nivel mundial por lo que sta transicin ser lenta y tardar mucho aos, es por ello que junto al protocolo IPv6 tambin se desarrollaron tcnicas que permiten convivir a IPv4 con IPv6 y as ofrecer a las organizaciones la posibilidad de ir implementando IPv6 sin quitar de lleno IPv4. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

El primer paso fue introducir en los sistemas operativos los 2 protocolos para permitir usar IPv4, los 2 para que se puedan establecer comunicaciones en cualquiera de los 2 entornos o usar slo IPv6. Segn el sistema operativo conviene saber qu tipo de nodo es y su implicacin en los procesos de transicin a IPv6, segn ste aspecto los tipos de Nodos pueden ser: Nodo slo IPv4: implementa slo IPv4 (y slo tiene las direcciones IPv4) y no es compatible con IPv6. La mayora de hosts y routers instalados hoy en da son nodos slo IPv4. Nodo slo IPv6: implementa slo IPv6 (y slo tiene las direcciones IPv6) y no es compatible con IPv4. Este nodo es capaz de comunicarse slo con nodos IPv6 actualmente no es muy comn pero se prev que empiecen a aparecer en dispositivos como telfonos mviles y PDA. Nodo IPv6/IPv4: Es un nodo que implementa ambos protocolos Nodo IPv4: Implementa IPv4 y puede ser slo IPv4 o IPv6/IPv4 Nodo IPv6: Implementa IPv6 y puede ser slo IPv6 o IPv6/IPv4.

Para que la coexistencia se de, la mayora de nodos (IPv4 IPv6) pueden comunicarse bajo una infraestructura IPv4, una infraestructura IPv6 o una infraestructura combinada, la migracin se alcanza completamente cuando todos los nodos IPv4 son convertidos a nodos slo IPv6, pero realmente se logra la migracin cuando a efectos prcticos cuando los nodos slo IPv4 se conviertan en nodos IPv6/IPv4. Los mecanismos que ofrece Microsoft para que empiece a darse la coexistencia son los siguientes: Arquitectura de capa dual: Windows Vista / 2008 contiene las 2 capas pero con una sola capa de transporte, es el mejor tipo de nodo para coexistir porque tiene menos ficheros que mantener y no necesita instalacin del protocolo por separado, los 2 protocolos estn activos por defecto y puede generar paquetes Pv4, IPv6 o encapsular IPv6 con encabezados IPv4. Arquitectura de doble Pila: Windows XP / 2003 contiene las 2 capas de IP con implementaciones de transporte separadas, el driver del protocolo IPv6 tcpip6.sys puede usar la arquitectura de doble pila. Infraestructura DNS: Es muy importante por la dificultad de usar las connotaciones numricas en IP, haciendo indispensable el uso de nombres para acceder a los recursos (Registros A y AAAA). Como hemos visto un host puede activar mltiples direcciones IPv6 (Global, de vnculo local, de sitio local), en consecuencia es posible que un servidor DNS contenga entradas de registro mltiples para un host, entonces cuando un host consulta a DNS obtendr todas las direcciones IP registradas a continuacin debe decidir cul de ellas utilizar para comunicarse basndose en reglas de seleccin de direcciones (configurables en el host, se pueden ver con el comando Netsh interface ipv6 show prefixpolicies). Tneles IPv6 sobre IPv4: Es una tecnologa de encapsulamiento de paquetes IPv6 con encabezados IPv4, para que los paquetes sean enviados dentro de una infraestructura IPv4. El encabezado IP se reconoce como versin 41, y en las direcciones IP de origen y destino del tnel se usan las direcciones IPv4. No se debe confundir el tnel IPv6 sobre IPv4 con los tneles de Acceso remoto (PPTP o L2TP) ya que no sirven para establecer seguridad, ni se establece una conexin inicial.

Tecnologas de Tnel IPv6


Una transicin exitosa a IPv6 exige la convivencia provisional de los nodos IPv6 en IPv4 que es el entorno predominantemente a da de hoy, para soportar esta convivencia se desarrollaron procesos de encapsulamiento (Tnel) automtico bajo infraestructuras enrutadas de IPv4. Los tneles pueden usar distintas formas a saber: Enrutador a enrutador. Host-a-Enrutador o Enrutador-a-Host Host-a-Host

As mismo los tneles pueden ser del siguiente tipo: .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Configurados: Son creados manualmente, usualmente para comunicacin Enrutador-Enrutador. Automticos: No requieren intervencin manual y se determinan por el uso de rutas, las direcciones usadas son IPv6 atadas a interfaces de tnel lgicas.

Las tecnologas de tnel que podemos usar son: 6to4: es una tecnologa de tnel automtico y asignacin de direcciones que se utiliza para comunicaciones unicast entre sitios y hosts IPv6 a travs de Internet IPv4, 6to4 trata Internet IPv4 entero como un nico vnculo; una direccin 6to4 WWXX:YYZZ es una representacin hexadecimal de una IPv4 pblica w.x.y.z Enrutador 6to4 : Activa el reenvo Ipv6 sobre las interfaces privadas y las de tnel 6to4, conecta la interfaz privada a una nica subred interna y usa direcciones IPv4 privadas del rango 192.168.0.0/24, luego se anuncia un prefijo de subred de 64 bits IPv6 a la subred privada, derivando en direcciones IPv6 como 2002:WWXX:YYZZ:Indice-Interfaz::/64 (el ndice de interfaz es el de la interfaz privada) ; ahora el enrutador enva notificaciones que indican que el ICS (Internet Connection Sharing) est activado y se configura como el enrutador predeterminado. Uso de 6to4: Dentro de un sitio el enrutador notifica el prefijo de subred 2002:WWXX:YYZZ:ID_Subred::/64 para que los hosts autoconfiguren direcciones 6to4. los enrutadores IPv6 dentro del sitio entregan trfico entre los hosts 6to4; los hosts en la subred individual son configurados automticamente con una ruta de su red de 64 bits para entrega directa a sus vecinos y una ruta predeterminada con una direccin de siguiente salto del enrutador de notificacin, trafico IPv6 que no coincide con ninguno de los prefijos de su red que el sitio usa es reenviado a un enrutador 6to4 en el sitio, este enrutador tiene una ruta 2002::/16 que reenva el trfico a otros sitios 6to4 y una ruta predeterminada (::/0) que reenva trfico a un reenviador 6to4. ISATAP (Intra Site Automatic Tunnel Addressing Protocol): es una tecnologa de tnel automtico y asignamiento de direcciones ISATAP usado para proveer conectividad unicast IPv6 entre hosts IPv6/IPv4 en una intranet IPv4, no requiere configuracin manual y genera las direcciones ISATAP usando mecanismos de autoconfiguracin, ste mtodo de tnel se utiliza dentro de un sitio (Intrasite) y est activo por defecto. Enrutador ISATAP: Permite la comunicacin entre los clientes IPv6 en una subred IPv4 o que se comuniquen con otros hosts IPv6 puros o en una red mixta. Uso de ISATAP: se puede iniciar de mltiples formas, lo primero que se debe hacer es permitir que un host IPv4 pueda identificar el enrutador ISATAP y para ello debe poder resolver el nombre ISATAP en una direccin IPv4 (usando DNS, WINS, ficheros hosts) o ejecutando el comando:

Netsh interface IPv6 ISATAP set router (IP o nombre del Enrutador ISATAP) Una vez el Enrutador es resuelto, el host se comunica con ste usando IPv4, entonces el router le proveer informacin de configuracin ISATAP como el Prefijo de red y si ste ser el enrutador predeterminado. Teredo: le permite establecer un tnel a travs de la red IPv4 cuando los clientes estn detrs de un NAT IPv4, fue creado por que muchos enrutadores usan NAT para definir un espacio de direcciones privado para redes corporativas, se trata de una tecnologa de transicin para conectividad IPv6; si IPv6 nativo, ISATAP, o conectividad 6to4 est activa entre los nodos no use Teredo. Los componentes Teredo son: El cliente Teredo: este nodo soporta IPv6/IPv4 una interfaz del tnel teredo a travs del cual los paquetes son encapsulados a otro cliente teredo en Internet IPv6 a travs de un reenviador teredo. Servidor Teredo: este nodo IPv6/IPv4 conecta a Internet en IPv4 e IPv6, la funcin del servidor Teredo es ayudar en la configuracin inicial del cliente teredo y facilita la comunicacin inicial entre el cliente teredo en diferentes sitios o entre clientes teredo y hosts solo IPV6 a Internet IPv6. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Reenviador Teredo: este enrutador IPV6/IPv4 puede reenviar paquetes entre clientes teredo en Internet IPv4 y hosts solo IPv6, en Internet IPv6. Reenviador de Host Especifico Teredo: Este nodo IPv6/IPv4 sirve como interfaz con y conecta a Internet IPv4 e IPv6 adicionalmente comunica directamente con clientes teredo sobre Internet IPv4 sin necesidad de un reenviador Teredo intermedio; la conectividad a Internet IPv4 puede ser a travs de una direccin IPv4 publica o a travs de una direccin IPv4 privada y una vecindad NAT; la conectividad a Internet IPv6 puede ser a travs de una conexin directa a Internet IPv6 o a travs de una tecnologa de transicin IPv6, como por ejemplo 6to4.

PortProxy: Puedes usar el servicio PortProxy como un servicio de puerta de enlace a nivel de aplicacin para nodos o aplicaciones que no soportan IPv6, facilitando la comunicacin entre nodos o aplicaciones que no pueden comunicar usando un tipo de direccin comn IPv4 o IPv6 y puerto TCP, el principal propsito del servicio es permitir la comunicacin de nodos IPv6 con aplicaciones TCP IPv4. PortProxy puede traspasar solo datos TCP y soporta solo protocolos de capa de aplicacin que no incorporen direcciones o informacin de puerto dentro de los datos de la aplicacin; no podr cambiar informacin de direccionamiento en la capa de aplicacin por tanto no ofrece flexibilidad, se recomienda entonces utilizar otras tecnologas de tnel para evitar estos problemas.

Transicin desde IPv4 to IPv6


La migracin desde IPv4 a IPv6 se espera que tome un tiempo considerable, esto se tuvo en cuenta cuando se dise IPv6 como resultado el plan de transicin para IPv6 es un proceso de mltiples pasos que permiten la coexistencia; para alcanzar el objetivo de un entorno IPv6 puro, le recomendamos las siguientes guas: Actualice las aplicaciones para que sean independientes de IPv6 o IPv4; las aplicaciones deben usar las nuevas interfaces de aplicaciones para que la resolucin de nombres, creacin de socket y otras funciones sean independientes del uso de IPv4 o IPv6. Actualice la infraestructura de DNS para soportar direcciones IPv6 y registros PTR, DNS entonces debe permitir la creacin de registros AAAA y registros PTR en el dominio inverso IP6.ARPA, adicionalmente debera permitir actualizacin dinmica para registrar los nombres y las direcciones IPv6 automticamente. Actualice los hosts a nodos IPv6 / IPv4 para usar doble capa o doble pila, tambin deben soportar resolucin DNS para que las consultas contengan direcciones IPv4 e IPv6; despliegue ISATAP para asegurar que los hosts IPv6/IPv4 se puedan comunicar bajo una intranet solo IPv4. Actualice la infraestructura de enrutamiento a enrutamiento nativo IPv6, esto se consigue actualizando los enrutadores para que soporten enrutamiento nativo IPv6 y protocolos de enrutamiento IPv6. Convierta los nodos IPv6/IPv4 a nodos solo IPv6, este debera ser un objetivo a largo trmino por q esto tomara aos para que todos los dispositivos de la red, actual solo IPv4 se actualice a solo IPv6. aquellos nodos solo IPv4 que no se puedan actualizar a IPv6/IPv4 o solo IPv6 se debe emplear puertas de traslacin como sea apropiado para que nodos solo IPv4 comuniquen con nodos solo IPv6.

Solucin de problemas IPv6


Las herramientas y tcnicas que se pueden usar para identificar un problema sobre las distintas capas de la pila de protocolo TCP/IP que use la capa Internet IPv6 dependen del problema que podamos tener. Los mtodos que podemos usar para solucionar problemas deben ser: Verificar conectividad IPv6: Realice las siguientes tareas, verifique la configuracin (Ejecutar comandos Ipconfig para ver la configuracin de los dos protocolos o NETSH) verifique el enrutamiento (Comprobar polticas IPSEC, configuracin de firewalls, comprobacin de enrutadores para filtrar puertos, vea la tabla de enrutamiento) verifique la fiabilidad del .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

enrutador (Use PATHPING para resolver la ruta tomada por los paquetes, este mtodo detecta cuellos de botella o configuracin del Hardware de red errneo) Verifique la resolucin de nombres DNS para direcciones IPv6: si la conexin usando las direcciones IPv6 funciona pero usando los nombres de host no, entonces el problema es la resolucin de nombres. Suele ser un problema con la configuracin del cliente DNS o registros DNS, verifique las siguientes tares para ayudarle a resolver las siguientes tareas: Ver la configuracin DNS (IPCONFIG /all) consulte el cach del cliente DNS o elimnelo (IPCONFIG /displaydns e IPCONFIG /flushdns) pruebe resolver el nombre DNS con un ping, use la herramienta NSLOOKUP para ver las respuestas del servidor DNS. Verifique secciones TCP basadas en IPv6: si la resolucin de nombre est funcionando pero no se puede establecer conexin TCP con un host de destino se debe comprobar filtrado de paquetes y el establecimiento de conexin TCP.

Resumen:
Podemos decir que TCP/IP en la versin 6 ha incrementado el espacio de direcciones de una forma muy amplia que proveer en aos a los mltiples dispositivos y usuarios que requieran hacer uso de Internet, ser posible establecer comunicaciones de host a host sin pasar por sistemas de traduccin de direcciones (NAT) haciendo posible establecer tcnicas de seguridad como IPSEC, el protocolo ser ms eficiente debido a que el control de calidad en la entrega de paquetes est incorporado en el encabezado IP, tambin como hemos visto es un protocolo que no necesita intervencin administrativa para configurarse a menos que la infraestructura requiera el uso del DHCP, el cambio en el funcionamiento del protocolo ser muy difcil entenderlo en ste momento pero se espera que a medida que se vaya extendiendo seamos capaces de manejarlo y configurarlo debidamente. Tambin se deduce que el sistema de resolucin de nombres de Dominio basados en DNS es una parte fundamental para el buen desempeo de ste protocolo por que al hacer que los dispositivos sean autoconfigurados ya no podemos saber las direcciones IP que se auto asignan y por otro lado es muy difcil aprendernos las direcciones de los equipos en formato hexadecimal de los 128 bits que usa la direccin IP, es por ello que se debe empezar a usar los nombres de los hosts en lugar de las direcciones IP y DNS con el uso de registros AAAA y PTR garantizan el buen funcionamiento de la red No olvidemos que se tienen herramientas muy importantes de Tnel que nos permiten convivir con los 2 esquemas de direccionamiento mientras aprendemos mucho ms sobre el comportamiento de las redes IPv6. Recuerde: Las direcciones IPv6 tienen distintos tipos de uso as: De vnculo local (como las de APIPA en IPv4) sirven para permitir la conexin dentro del mismo segmento de red, son importantes porque a travs de ellas se descubre informacin adicional en IPv6 desde enrutadores y otros nodos. Globales (En IPv4 son las direcciones pblicas) se usan exclusivamente para acceso de hosts IPv6 en Internet. Sitio Local (En IPv4 son las Direcciones IP Privadas) se usan para permitir la comunicacin entre delegaciones fsicas o segmentos de red separados dentro de una organizacin. ARP y Broadcast es eliminado en IPv6 para ello usa mulltitudes de paquetes Multicast (mejora el uso de ancho de banda en una red). Los principales beneficios de IPv6 son la Ampliacin del direccionamiento IP ya que la versin 4 est saturada, Direccionamiento de IPv6 y enrutamiento controlado en forma jerrquica por los dispositivos de enrutamiento y mejor seguridad integrada en el propio protocolo. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para configurar la direccin IPv6 en un cliente podemos realizarlo a travs del enrutador IPv6 publicando un Prefijo de red, esto ya es suficiente para que el host tome esa red y se auto asigne una direccin, otra forma es usando DHCP o direccionamiento IP esttico o fijado en forma manual. La nica direccin que se auto genera en el equipo sin la intervencin de un administrador u otro dispositivo es la de Vnculo local. Las tcnicas de tnel IPv6 nos permiten hacer convivir el direccionamiento IPv4 con Nodos IPv6. Existen 3 tcnicas de Tnel, ISATAP usado slo para redes dentro de una organizacin, 6to4 usado para intercambiar informacin con hosts IPv6 en Internet y Teredo que nos permite intercambiar informacin con hosts IPv6 en Internet pero pasando por dispositivos que activan NAT. Si no es posible el establecimiento de Tnel en los hosts porque son Nodos slo IPV4 la recomendacin es usar Portproxy que es un Gateway que es capaz de pasar datos de una red a otra en todas las capas de la OSI.

Ver Vdeo: Configuracin y Resolucin de problemas con TCP-IP V6, en el Mdulo 7. Unidad 5, en la plataforma e-learning.

Laboratorios Laboratorio 1 Configuracin de IPv6

1.

La configuracin de red de un cliente IPv6 son asignadas dinmicamente usando una direccin IPv6 de vnculo local o la direccin es provista des de un enrutador configurado para soportar IPv6, en ste ejercicio veremos cmo configurar un Enrutador para configurar dinmicamente una Direccin IPv6 Global En primer lugar usaremos un servidor de Windows 2008 con 2 adaptadoras de red configuradas en segmentos de red separados

2.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

3.

Veamos la configuracin del TCP/IP antes de comenzar, hacer un IPCONFIG y observamos que el enrutador tiene direcciones en IPv4 de acuerdo a los segmentos adecuados, pero en IPv6, si est habilitado, observamos una direccin IPv6 de vnculo local autoconfigurada (empieza con fe80) en cada una de las tarjetas de red.

4.

A continuacin activaremos en la adaptadora que conecta la red interna el enrutamiento (Forwarding) y activaremos el protocolo de envo de notificaciones de prefijos de red en IPv6 (Advertise). El comando que se utiliza para sta funcin es NETSH INTERFACE IPV6 SET INTERFACE Nombre de la adaptadora interna del enrutador forwarding=ENABLED advertise=ENABLED

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

5.

El siguiente paso es agregar el Prefijo IPv6 que queremos permitir activar en los clientes, para ellos usamos el comando NETSH INTERFACE IPV6 ADD ROUTE (Prefijo IPv6, en este caso activaremos una IPv6 Global nica) Nombre de la adaptadora de red sobre la que se agrega la ruta PUBLISH=YES.

6.

A continuacin volvemos a hacer IPCONFIG para ver la informacin de direccionamiento IPv6, observamos que sobre la adaptadora de la red privada se genera automticamente una direccin IPv6 en el prefijo configurado en el paso anterior.

7.

Ahora los equipos de la red interna que tengan activo IPv6 a travs de la direccin IPv6 de vnculo local enviarn mensajes de solicitud de enrutador que sern respondidas por el enrutador que hemos configurado. Veamos la configuracin de red IPv6 de un cliente Windows Vista que est en el mismo segmento de Red de la Red Privada Observemos que Windows Vista genera 2 direcciones IP en el mismo prefijo de red (2001:DB8::/64) una de ellas la configura como direccin Temporal (en este caso es una medida de seguridad porque una direccin IPv6 toma como ID de Interfaz la direccin MAC de la tarjeta de red, .

8. 9.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

entonces para evitar cualquier rastreo hasta el equipo en direcciones IPv6 Globales, el sistema genera 2 direcciones IP la real y otra que se va cambiando con el tiempo, sta es la usada para conectarse a Internet). 10. Adems tambin notamos que la direccin Ipv6 de vnculo local (FE80) sigue estando activa sobre el adaptador.

Laboratorio 2. Configuracin de un cliente IPv6 desde un servidor DHCPv6 (Estado Completo)


1. El primer paso es configurar el modo sin estado en el servidor DHCP, Recordar que durante la instalacin del DHCP (visto en el mdulo anterior) en una de las ventanas de instalacin de la Funcin Servidor DHCP habilitamos el Modo Sin estado (permite usar el DHCP para configurar los clientes IPv6)

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

2.

Sobre el Servidor DHCP configuramos las opciones y el rango de direcciones IPv6 a conceder, observamos que hay algunas opciones ya establecidas esto es debido al proceso de instalacin de la funcin DHCP.

3.

Para crea un mbito en DHCPv6 sobre Ipv6 clic derecho y seleccionar mbito nuevo

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

4.

Se iniciar un asistente para la creacin del mbito.

5.

Asignamos un nombre para el mbito.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

6.

A continuacin establecemos le prefijo de red en IPv6 que queremos conceder a los clientes. (La preferencia corresponde a la prevalencia de uso cuando un equipo tenga mltiples IPv6).

7.

A continuacin se agregaran exclusiones si es necesario, no sern concedidas por DHCP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

8.

A continuacin se seleccionan los tiempos de duracin para la concesin de la direccin IPv6 tanto para la direccin no temporal como para la temporal.

9.

Marcamos la opcin de activar el mbito y finalizar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

10.

Si se quiere es posible modificar las opciones como sea necesario para que los clientes adems de configurar la IP obtengan informacin de opciones como los servidores DNS y el sufijo de bsqueda DNS a utilizar. Para crear la opcin del Servidor DNS, asignamos una IP esttica al Servidor DNS para luego agregar la opcin Para asignar una IPv6 en forma esttica en el Servidor DNS abrir el centro de redes y recursos compartidos, en la conexin clic derecho propiedades.

11. 12.

13.

Ahora sobre el protocolo TCP/IPv6 en propiedades.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

14.

Usar una direccin IPv6 con una longitud de prefijo, puerta de enlace y Servidor DNS (::1 equivale a loopback) y aceptar.

15.

Comprobamos la direccin IPv6 usando el comando IPCONFIG.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

16.

Ahora si podemos agregar la opcin de mbito Servidor DNS.

17.

Seleccionamos la opcin 00023 y agregamos la direccin IPv6 del Servidor DNS dada estticamente en el paso anterior

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

18.

A continuacin veremos la nueva opcin configurada en el mbito.

19.

Para que los clientes reciban la direccin IP desde el Servidor DHCP es necesario configurar el enrutador para que lo informe a los clientes a travs de los anuncios para ello debemos configurar los identificadores: M (Managedaddress en 0= La IP ser autoasignada desde el Enrutador y 1= LA IP ser entregada desde el DHCP) (Otherstateful en 0= El cliente no recibir opciones desde el DHCP y 1= Puede recibir otros valores de configuracin adems de la direccin IP) En este caso sobre el enrutador en la adaptadora de cara a los clientes IPv6 se activan M=1 y O=1

20. 21. 22.

23.

Adems se publica el Prefijo de red para que usen a ste Enrutador con sta interfaz como enrutador preferido para ste Prefijo

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

24.

Los clientes deben estar ya recibiendo direcciones IPv6 del mbito configurado, podemos verlo en el nodo Concesiones de direcciones.

25. 26.

Otro aspecto a controlar es la generacin de Registros en DNS tanto en Zonas de bsqueda directa como inversa. Para soportar IPv6 en DNS vemos cmo se registran las direcciones Ipv6 en la zona de bsqueda directa. Observamos el tipo de registro AAAA para IPv6.

27.

Para crear una Zona de bsqueda Inversa en DNS sobre Zonas de bsqueda inversa escoger Zona Nueva.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

28.

En el asistente de la creacin de zona seleccionamos Zona Principal.

29.

A continuacin seleccionamos Zona de bsqueda Inversa para IPv6.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

30.

Agregamos el Prefijo IPv6 sobre la que se espera los clientes generen los registros.

31.

Escribir un nombre de fichero DNS.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

32.

Permitir la actualizacin dinmica para que los clientes puedan generar los registros dinmicamente en la zona.

33.

Al final del asistente pinchar en Finalizar para crear la zona.

34.

Ahora en un cliente configurado con IPv6 ejecutar:

IPCONFIG /REGISTERDNS para generar los registros A, AAAA, PTR en las zonas de bsqueda respectivas .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

35.

Sobre las zonas de bsqueda directa vemos los registros DNS AAAA (VistaCli1)

36.

Y en la Zona de bsqueda inversa IPv6 observamos los registros PTR del mismo cliente.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Laboratorio 3. Configuracin de un Enrutador ISATAP


1. ISATAP es una de las tecnologas que nos permite empezar un proceso de migracin de una infraestructura IPv4 a IPv6 de tal manera que los clientes IPv4 puedan comunicarse con clientes IPv6 y viceversa en una infraestructura IPv4. El primer paso que haremos es activar un enrutamiento normal entre las 2 redes en IPv4, para este propsito usamos un servidor de Windows 2008 con las 2 adaptadoras de red configuradas en las 2 redes IPv4 (En ste caso el mismo que usamos en el ejercicio1, con una adaptadora de red llamada Red Privada tiene direccionamiento IPv4 en el Segmento 192.168.100.0 y la segunda adaptadora llamada conexin a Internet configurada con direccionamiento IPv4 en el segmento 172.16.0.0)

2.

3.

Ahora activamos el enrutamiento entre las adaptadoras de red modificando la clave de registro:

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ Y modificar la clave IPEnableRouter con un valor 1 4. Ejecutar el comando REGEDT32 y buscar la clave mencionada para modificar el valor

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

5. 6.

Reiniciamos el Servidor que hace la funcin de Enrutador para que la clave de registro tenga efecto. Para ste ejercicio activaremos 2 Clientes Windows Vista (VistaCli1 en la Red 192.168.100.0 y Windows VistaCli2 en la red 172.160.0.0) de momento configuraremos en los 2 direccionamiento IPv4 para comprobar que el enrutamiento funcione adecuadamente. Sobre el cliente VistaCli2 configuramos una direccin IPv4 esttica en el segmento de red 172.16.0.0 y usando como puerta de enlace la direccin IP del enrutador configurado en el paso anterior en el mismo rango En el centro de redes y recursos compartidos, seleccionar la opcin Administrar conexiones de red y sobre la adaptadora de red hacer clic derecho y seleccionar propiedades, a continuacin desmarcar el Protocolo de Internet versin 6 (TCP/IPv4) para desactivarlo.

7.

8.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

9.

Ahora en IPv4 asignar una direccin esttica en el rango 172.16.0.0 y usando como puerta de enlace la IP del enrutador en ste segmento y aceptar.

10. 11. 12.

Antes de desactivar el protocolo IPv4 en el cliente vista de la red Privada comprobamos si hay comunicacin entre los 2 equipos clientes vista a travs del enrutador. La prueba la haremos con un ping, por tanto debemos permitir el trfico ICMP en el Firewall de Windows de cada equipo (Clientes Vista). Para hacerlo entrar en el Firewall con seguridad avanzada ejecutando el comando WF.MSC

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

13.

Pinchar en continuar para elevar los privilegios, en el nodo Reglas de entrada hacemos clic derecho y seleccionar Nueva Regla.

14.

En el asistente seleccionar la opcin Personalizada y siguiente.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

15.

Seleccionar Todos los Programas, siguiente.

16.

En tipo de protocolo seleccionar el protocolo ICMPv4 y luego pinchar en personalizar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

17.

Sobre el Tipo especfico de ICMP marcar Peticin eco y Aceptar y luego Siguiente.

18.

Como direccin IP local y remota seleccionar Cualquier direccin IP en ambos casos y dar siguiente.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

19.

En la accin seleccionar Permitir la conexin y luego siguiente:

20.

Aplicar la regla en los 3 perfiles del firewall luego dar siguiente:

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

21.

Asignar un nombre a la regla y luego finalizar

22.

La regla debe mostrarse activa y en verde en la consola del firewall.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

23. 24.

Realizamos el proceso de crear la regla en el otro equipo con Windows Vista Cuando este creada la regla podemos probar el ping entre los 2 clientes vista desde un extreme de red a otro si obtenemos respuestas entonces el enrutamiento funciona adecuadamente (tener precaucin en que los clientes estn configurados correctamente con las puertas de enlace correspondiente Probamos en los 2 sentidos la comunicacin, primero desde el VistaCli2 hacia el VistaCli1.

25. 26.

27. 28. 29.

Como vemos el enrutamiento IPv4 est funcionando entre las 2 redes. El Cliente que quedar solo con IPv6 le entregaremos la configuracin a travs del enrutador, (procedimiento del Ejercicio1) pero recordamos el procedimiento en la siguiente grfica En el Enrutador Activar la adaptadora de Red privada con Anuncios, enrutamiento y el prefijo de configuracin de la red IPv6.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

30.

Sobre el Cliente Windows Vista (VistaCli1) de la red Privada desactivamos el protocolo IPv4, en el centro de redes y recursos compartidos, entrar en la configuracin de la tarjeta de red y desmarcar el Protocolo TCP/IP Versin 4 para Desactivarlo.

31.

Verificamos la configuracin usando el comando IPCONFIG, observamos que el cliente No tiene configuracin IPv4, no tiene adaptadoras de Tnel y la configuracin IPv6 ha sido obtenida desde el enrutador (direcciones 2001:db8:0:1::/64)

32.

En este escenario tenemos un Nodo IPv4 en una red separada de la red del Nodo IPv6, en estas condiciones no puede haber comunicacin entre ellos. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

33. 34.

Configuraremos un enrutador ISATAP para activar la posibilidad de comunicacin entre los 2 nodos. En el Enrutador vamos a Activar ISATAP, para ello usaremos una adaptadora de tnel incluida en los sistemas operativos a partir de Windows Vista en adelante, estas adaptadoras de tnel las vemos con los nombres de Conexin de rea local* (nmero) generalmente estas desconectadas (Service pack 1 en adelante), para saber los nombres de las adaptadoras de tnel usamos el comando IPCONFIG, observamos que en el ejemplo existe una adaptadora de tnel por cada adaptadora fsica de red.

35. 36.

Activar el Router ISATAP con el comando: netsh interface ipv6 set router (direccin IP en versin 4 del enrutador). Al hacer esto las adaptadoras de tnel se iniciarn (Como el sistema crea un adaptador de tnel por cada interfaz fsica conectada, por tanto debemos asegurarnos cul es la interfaz de tnel que est configurada de cara a los equipos IPV4), observamos que las adaptadoras de tnel toman una direccin FE80:5EFE:Direccin IPv4 de la tarjeta de red a la que corresponden, en ste ejemplo la adaptadora de tnel que corresponde a la red 172.16.0.0 es la que se llama Conexin de rea local*

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

37.

A continuacin agregaremos el comando para que la adaptadora de tnel ISATAP pueda realizar enrutamiento y generar anuncios para configurar los clientes.

38.

Ahora agregamos el prefijo de red IPv6 para que los clientes ISATAP configuren una direccin IPv6 ISATAP en ste prefijo de red.

39.

Reiniciar el servidor RAS y entrar nuevamente para ver la configuracin en las adaptadoras de tnel para ISATAP, observamos que se ha agregado una direccin IPv6 en el sufijo que agregamos en el paso anterior seguido de un valor constante 5EFE y a continuacin la direccin IPv4 en connotacin decimal (2001:DB8:0:10:0:5EFE:172.16.0.253). .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

40. 41.

Ahora veamos el cliente Vista en la Red IPv4, como no tenemos publicado el Enrutador ISATAP en DNS entonces lo configuramos en forma manual en el cliente usando nuevamente el comando: Netsh interface ipv6 isatap set router 172.16.0.253 (Es importante tener privilegios administrativos para ejecutar el comando, por tanto abrir el smbolo del sistema como Administrador), observamos como el cliente IPv4 activa la adaptadora de tnel y configura una direccin IPv6 en el rango del prefijo agregado en el Enrutador.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

42.

A continuacin tomamos nota de la direccin IP en el cliente Windows Vista de la red privada (VistaCli1).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

43.

Hacemos un ping en IPv6 desde el cliente IPv4, observamos que hay respuestas correctas entre los 2 equipos.

44.

La fase final de una migracin de IPv4 a IPv6 consistir en hacer que todos los clientes usan slo IPv6 y puedan intercambiar informacin sin necesidad de usar adaptadoras de tnel.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 6. Configuracin y Solucin de Problemas con Acceso a Redes


Objetivos
Al finalizar sta unidad el alumno estar en capacidad de: Conocer el proceso de instalacin y configuracin de un Servidor de acceso remoto. Diferenciar los conceptos de Autenticacin y Autorizacin. Comprender la funcin de cada uno de los componentes que intervienen en una infraestructura de acceso remoto. Conocer los protocolos de Autenticacin y cifrado implementados en las conexiones de acceso remoto. Diferenciar los beneficios que suministran los distintos protocolos de VPN en el acceso remoto. Establecer un sistema de autorizacin de acceso remoto implementando mltiples directivas de red. Elaborar una directiva de red y determinar su orden de ejecucin en un servidor de acceso remoto.

Introduccin
El mundo actual cada vez necesita ms de la movilidad de las personas para el desarrollo de su trabajo por lo tanto se necesitan soluciones para que estos usuarios puedan acceder a los recursos internos de una organizacin pero sin poner en riesgo la seguridad de la misma, por ello se hace necesario implementar una infraestructura que garantice un acceso fcil pero seguro protegiendo las credenciales de autenticacin y el transporte de la informacin de una manera cifrada. Windows Server 2008 incluye Directivas de red y Servicios de Acceso que ofrecen soluciones para la conectividad en mltiples tipos de escenarios (depende las necesidades de la organizacin), tales como: NAP que adems de los procesos habituales de autenticacin y autorizacin determina el estado de seguridad en los equipos utilizados por los usuarios, dicho estado debe estar de acuerdo a unas directivas exigidas por una organizacin; Mejora la seguridad en las redes inalmbricas o cableadas con la incorporacin del protocolo 802.1X; Implementa el soporte para permitir la conexin de clientes de acceso remoto usando VPN (cada vez ms utilizadas por que permiten que el usuario utilice vnculos de comunicacin inseguros como Internet que estn disponibles en cualquier parte del mundo y su coste es inferior al de una llamada, adems de tener un mejor ancho de banda que un MODEM), o con sistemas de conexin por marcacin, comportndose como un enrutador para tales dispositivos; otra funcionalidad que aporta es el control de autenticaciones y autorizaciones de los usuarios usando el protocolo RADIUS lo cual hace posible que los servidores VPN que habitualmente estn en las redes desprotegidas no tengan que encargarse de la funcin de autenticar y autorizar la conexin. Las directivas de red es otro punto importante en la configuracin de acceso remoto porque a travs de ellas podemos determinar que usuarios se pueden conectar y en qu circunstancias, una directiva se compone de Condiciones que debe cumplir el que intente la conexin y restricciones que se aplicarn si el usuario puede conectar. Toda sta infraestructura permite a los administradores implementar soluciones de acceso con varios esquemas de seguridad dependiendo de los clientes, los sistemas operativos y los requisitos de una organizacin.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Definiciones
Configuracin de acceso a redes
En las redes actuales cada vez se hace ms normal la posibilidad que los usuarios de una organizacin pueden acceder a los recursos desde ubicaciones externas a la red interna como por ejemplo desde la casa, hoteles aeropuertos, zonas wifi gratuitas, todas incluyen un factor comn, la movilidad, pero lo que hoy da hace posible esta forma de trabajo es la evolucin que han tenido las comunicaciones soportando anchos de banda bastante buenos como para dar fluidez a la transferencia de datos desde la ubicacin remota hacia la red interna y viceversa, en la mayora de los casos las conexiones se realizan a travs de enlaces pblicos como es el caso de Internet por que ofrece cobertura mundial, los costes suelen ser baratos, buen ancho de banda, etc. El problema que afrontan las organizaciones cuando se quiere implementar estas soluciones es el nivel de seguridad necesario que debemos establecer para protegernos de accesos indebidos que nos produzcan ataques a nuestra red interna. Microsoft Windows Server 2008 ofrece una infraestructura, de servicios y protocolos que permiten que una organizacin implemente accesos remotos con una seguridad ptima y que estn relacionados entre s, a saber: RAS, RADIUS y NAP. Componentes de una infraestructura de Acceso Remoto Windows 2008 implementa mltiples componentes para mantener y gestionar la infraestructura de acceso remoto de una manera segura y ptima entre ellos mencionamos: Servidor de VPN: Activa la posibilidad de conexiones cliente basadas en protocolos L2TP y PPTP usando una red pblica como Internet. Directorio Activo: Activa un sistema centralizado de almacenamiento de Identidades de seguridad (Usuarios) y contra el que se verificarn las credenciales de los usuarios que intentan una conexin de acceso remoto. Protocolo de configuracin dinmica de host (DHCP): Se encarga de asignar informacin de configuracin IP para los clientes que se conecten va acceso remoto y que les permitir a los clientes acceder a la red interna local (LAN). Servidor de Polticas de proteccin de acceso a redes (NAP): Establece directivas de cumplimiento de salud que establecen requisitos que los equipos que usan los usuarios de acceso remoto deben cumplir antes de permitrsele el acceso. Autoridad de Registro de Cumplimiento de Salud (HRA): Se encarga de emitir los certificados digitales de salud a los equipos que cumplen con las directivas de salud. Servidores de Actualizacin: Son equipos que cargan los servicios necesarios para que aquellos clientes que no pueden cumplir con las directivas de cumplimiento de salud, encuentren en ellos la informacin necesaria que deben aplicar para que pasen a un estado de cumplimiento, esto servidores se encuentran en una red limitada donde pueden ser accedidos por los clientes que no cumplen.

Funcin de Servidor de Polticas de red y servicios de acceso remoto


Activar la funcin de Servicios de acceso remoto y Servidor de directivas de red (NPS), instalar el soporte necesario para desempear las siguientes funciones: NAP: Es una tecnologa de creacin de polticas de salud cliente, forzado y actualizacin, que est incluida en el sistema operativo Windows vista/2008; los administradores pueden utilizar NAP para establecer y automatizar directivas que puedan incluir requerimientos de configuraciones de seguridad y muchas ms opciones; si las maquinas cliente no cumplen con la directiva establecida un administrador puede restringir el acceso a la red interna hasta que la configuracin del equipo ser actualizada y empiece a cumplir con la directiva, depende de cmo se escoja la instalacin de NAP los .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

clientes que no cumplen se pueden actualizar automticamente, de esta manera los usuarios podrn obtener acceso a la red de forma rpida sin intervencin manual o reconfiguracin de sus ordenadores. Acceso Seguro Cableado e Inalmbrico: Cuando se instalan puntos de acceso inalmbricos con protocolo 802.1X se activa un acceso inalmbrico seguro, el dispositivo proveer a los usuarios inalmbricos un mtodo de autenticacin basado en contrasea segura que es fcil implementar; as mismo el protocolo puede ser utilizado en dispositivos como Switches para permitir acceso seguro en una red cableada, asegurando la red por que los usuarios de la intranet son autenticados antes que puedan conectarse a la red u obtener una direccin IP usando DHCP. Soluciones de Acceso Remoto: Permite que usuarios con VPN y acceso por marcacin accedan a la red, tambin podemos interconectar delegaciones a la red con soluciones VPN, desplegando enrutadores por software en los entornos de red y compartiendo las conexiones de Internet a la red interna. Administracin de Polticas de Red Centralizadas con Servidores RADIUS: En lugar de configurar directivas de acceso en red, en cada uno de los servidores de acceso en red como por ejemplo puntos de acceso inalmbricos, switches de autenticacin 802.1X, servidores VPN y servidores por marcacin, se pueden crear las directivas en una nica ubicacin que especifique todo los aspectos de solicitudes de conexin de red, incluyendo a quien se le permite conectar, cuando pueden conectar, cual es el nivel de seguridad que ellos deben usar, entre muchos parmetros ms.

Servicio de enrutamiento y acceso remoto (RRAS)


Permite desplegar servicios de acceso remoto por VPN y conexiones por marcacin, activa mltiples protocolos de red local a red local, de red local a red de rea extensa (WAN), VPN, y servicios de enrutamiento NAT (Network Address Translation). El servicio involucra dos tecnologas durante el proceso de instalacin de la funcin a saber: Servicio de Acceso Remoto: Activa conexiones VPN con protocolo de comunicacin PPTP y L2TP con IPSEC, para permitir a los usuarios acceso remoto a la red de su organizacin, con el servicio de acceso remoto tambin podemos establecer comunicaciones de sitio a sitio estableciendo una conexin VPN entre dos servidores en distintas ubicaciones, cada servidor activa los servicios de enrutamiento de acceso remoto para enviar datos seguros y privados, dichas conexiones entre los dos servidores pueden estar conectados siempre (persistente) o se establece en el momento que un cliente necesite transferir datos a la otra red (marcacin por demanda). Otra manera de conectar usuarios remotos hacia la red interna, es utilizando dispositivos de marcado tradicional (MODEM) que tambin estn soportados en la infraestructuras de acceso remoto, para recibir llamadas, autenticar y autorizar la llamada y transferir datos entre el cliente y la red. Enrutamiento: Activa un enrutador de software y abre una plataforma de enrutamiento hacia Internet, o dentro de una organizacin en entornos de red local y WAN, junto al enrutamiento el servicio activa NAT, permitiendo compartir una conexin a Internet con equipos en la red privada y trasladar trfico entre las direcciones pblicas y la red privada, con el uso de NAT los equipos aumentan alguna medida de proteccin por que el enrutador que configura el NAT no reenva trfico desde Internet a la red privada a menos que el cliente de la red privada lo solicite, o se permita el trafico explcitamente.

Autenticacin y Autorizacin en Red:


La distincin entre autenticacin y autorizacin es importante para entender por qu los intentos de conexin se aceptan o se rechazan: La autenticacin es la verificacin de credenciales de los intentos de conexin, este proceso consiste en el envo de las credenciales del cliente de acceso remoto al servidor de acceso remoto ya sea en texto plano o de forma cifrada mediante el uso de un protocolo de autenticacin. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

La autorizacin es la verificacin de que el intento de conexin est permitido. La autorizacin se produce despus de una autenticacin correcta. Para que un intento de conexin sea aceptado, el intento de conexin debe ser autenticado y autorizado, es posible que un intento de conexin sea autenticado usando credenciales vlidas, pero no autorizado y por tanto el intento de conexin ser rechazado. Si configura un servidor de acceso remoto para la autenticacin de Windows, las caractersticas de seguridad de Windows Server 2008 sern las encargadas de comprobar las credenciales de autenticacin, mientras que la autorizacin de la conexin ser comprobada de acuerdo a las opciones configuradas en la pestaa Marcacin de las propiedades de la cuenta del usuario y en las polticas de acceso remoto almacenadas localmente en el servidor RRAS; Si el intento de conexin es a la vez autenticado y autorizado, el intento de conexin es aceptado. Si se configura un servidor de acceso remoto para usar la autenticacin RADIUS, las credenciales del intento de la conexin se reenviaran al servidor RADIUS para que ste verifique los procesos de autenticacin y autorizacin, si el intento de conexin es a la vez autenticado y autorizado, el servidor RADIUS enva un mensaje de aceptacin nuevamente al servidor de acceso remoto permitiendo al servidor RRAS aceptar la conexin, pero si el intento de conexin no es autenticado o no es autorizado, el servidor RADIUS enva un mensaje de rechazo al servidor de acceso remoto y el intento de conexin se rechaza. Si el servidor RADIUS es un equipo que ejecuta Windows Server 2008 con la funcin Servicio de Polticas de red (NPS) instalado, entonces el servidor NPS realiza la autenticacin a travs de las caractersticas de autenticacin seleccionadas, y realiza la autorizacin basndose en las propiedades de marcacin de la cuenta de usuario y en las polticas de acceso remoto que se almacenan en el servidor NPS.

Mtodos de Autenticacin
La autenticacin de los clientes de acceso remoto es una cuestin importante de seguridad, los mtodos de autenticacin utilizan un protocolo de autenticacin que se negocia durante el proceso de establecimiento de la conexin, los protocolos de autenticacin disponibles son: PAP (Password Authentication Protocol): usa contraseas en texto claro y es el protocolo de autenticacin menos seguro, se emplea como mtodo de autenticacin si el cliente de acceso remoto y el servidor de acceso remoto no pueden negociar una forma de validacin ms segura. PAP se incluye en Windows Server 2008 para permitir que clientes con sistemas operativos 32 bits se conecten a otros sistemas de acceso remoto antiguos que no soporten un nivel de autenticacin ms seguro, o al contrario, clientes con sistemas operativos Microsoft que no soportan protocolos que no soportan nivel de seguridad ms altos se puedan conectar a servidores de acceso remoto ejecutndose en entornos de 32 bits. CHAP (Protocolo de autenticacin por desafo mutuo): es un protocolo de autenticacin desaforespuesta que usa el esquema estndar de la industria Message Digest 5 (MD5) para generar un resumen (Hash) para cifrar la respuesta. Distintos fabricantes de servidores que proveen acceso a la red y clientes utilizan CHAP. Un servidor RAS admite CHAP para que los clientes de acceso remoto que requieren CHAP puedan autenticar. Debido a que CHAP requiere el uso de una contrasea cifrada de forma reversible, se recomienda el uso de otro protocolo de autenticacin, como MS-CHAP versin 2. MSCHAPv2 (Protocolo Microsoft de autenticacin por desafo mutuo versin 2): es un protocolo de autenticacin de un solo sentido con contrasea cifrada, el proceso de autenticacin mutua funciona en un proceso de 4 pasos de la siguiente manera: En el primer paso el Servidor RAS o NPS (El que autentica las credenciales) enva un desafo al cliente de acceso remoto que consta de un identificador de sesin y una cadena de desafo arbitraria.

Entonces el cliente ejecuta el segundo paso que consiste en enviar una respuesta que contiene el nombre del usuario, Una cadena par de desafo aleatoria, un cifrado unidireccional de la cadena de desafo recibida, la cadena par de desafo, el identificador de sesin y la contrasea de usuario.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

El servidor que autentica (RAS NPS) verifica la respuesta del cliente y devuelve una respuesta que contiene: un indicador que acepta o rechaza la conexin, una respuesta autenticada basada en la cadena de desafo enviada, la cadena par de desafo, la respuesta cifrada del cliente y la contrasea de usuario. En el ltimo paso el cliente de acceso remoto comprueba la respuesta de autenticacin y, si es correcta, utiliza la conexin pero si la respuesta de autenticacin no es correcta, el cliente de acceso remoto termina la conexin. EAP (Protocolo de Autenticacin Extensible): Es un mecanismo de autenticacin arbitrario, el cliente RAS y el servidor que autentica (RAS NPS) negocian el esquema de autenticacin exacto que se utilizar, RAS incluye por defecto soporte para EAP-TLS, pero se pueden agregar otros mtodos EAP; la caracterstica de ste mtodo es que utiliza una conversacin abierta entre las 2 partes (Cliente / Servidor) en la que el Servidor pide respuestas al cliente, cada pregunta debe ser respondida por el cliente consiguiendo superar mltiples niveles de autenticacin, una vez el cliente supera todas las preguntas satisfactoriamente entonces le cliente es autenticado. Un ejemplo puede ser cuando un cliente utiliza una tarjeta inteligente para autenticarse, el servidor que autentica preguntar al cliente por el nombre, el PIN y un token. EAP-TLS es un tipo de EAP que se utiliza en entornos de seguridad basados en certificados, si est utilizando tarjetas inteligentes para la autenticacin de acceso remoto, debe utilizar el mtodo de autenticacin EAP-TLS. El intercambio de mensajes EAP-TLS proporciona autenticacin mutua, negociacin del mtodo de cifrado, y la determinacin de claves cifradas entre el cliente de acceso remoto y el servidor que autentica, EAP-TLS proporciona el mtodo ms fuerte de autenticacin. EAP-TLS slo se admite en los servidores que ejecutan Enrutamiento y acceso remoto, que estn configurados para utilizar la autenticacin de Windows o RADIUS, y que son miembros de un dominio, por tanto un servidor RAS que se ejecuta como un servidor independiente o un miembro de un grupo de trabajo no es compatible con EAP-TLS. EAP-RADIUS no es un tipo de EAP, pero se encarga de pasar los mensajes EAP de cualquier tipo de EAP por un servidor que autentica hacia un servidor RADIUS para que se realice la autenticacin. Por ejemplo, para un servidor RAS configurado para la autenticacin RADIUS, los mensajes EAP enviados entre el cliente RAS y el servidor RAS se encapsulan en formato de mensajes RADIUS entre el servidor RAS (Cliente RADIUS) y el servidor RADIUS. EAP-RADIUS se utiliza en entornos en los que RADIUS es el proveedor de autenticacin la ventaja de utilizar EAP-RADIUS es que no es necesario instalar los tipos de EAP en cada servidor de acceso remoto, sino nicamente en el servidor RADIUS. En un uso tpico de EAP-RADIUS, el servidor RAS debe estar configurado para utilizar EAP y utilizar un servidor NPS (RADIUS) para la autenticacin, cuando una conexin se establece, el cliente RAS negocia el uso de EAP con el servidor RAS, entonces el cliente enva un mensaje EAP al servidor RAS, a continuacin RAS encapsula el mensaje EAP como un mensaje de RADIUS y lo enva a un servidor configurado con NPS. El servidor NPS procesa el mensaje EAP y enva un mensaje EAP-RADIUS encapsulado de nuevo al servidor de acceso remoto, el servidor RAS reenva el mensaje EAP al cliente RAS. En esta configuracin, el servidor RAS es slo un puente por que el procesamiento de EAP ocurre ente el Cliente RAS y el Servidor NPS pero es muy importante que el servidor Ras soporte EAP antes de activar el servidor NPS. PEAP (Protocolo de autenticacin extensible protegido): se trata de un protocolo nuevo en la familia de protocolos de Autenticacin Extensible (EAP); PEAP utiliza TLS (Transport Level Security) para crear un canal cifrado entre un cliente de autenticacin PEAP, como un equipo inalmbrico, y un Servidor que autentique (RAS o NPS), PEAP en realidad no es un mtodo de autenticacin, pero proporciona seguridad adicional para otros protocolos de autenticacin EAP, como por ejemplo EAP-MSCHAPv2, que puede operar a travs del canal cifrado TLS que PEAP proporciona. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

En el protocolo 802.11 PEAP es un mtodo de autenticacin para los equipos cliente inalmbricos, pero no es compatible con VPN u otros clientes de acceso remoto. Al implementar PEAP obtendremos los siguientes beneficios: Proteccin en los mtodos de autenticacin EAP usando TLS (evita ataques de denegacin de servicio) Permite la fragmentacin y reensamblaje de mensajes en protocolos EAP que no lo permita. Activa la posibilidad para que Clientes de redes inalmbricas autentique al NPS (Autenticacin mutua) Es una medida de proteccin contra las instalaciones de Puntos de Acceso inalmbricos no autorizados, es posible por que el cliente EAP autentica el certificado que el servidor NPS emite, adicionalmente el secreto maestro TLS que se crea en el cliente RAS y en el servidor NAP no se comparte con el punto de acceso por lo que no podr descifrar los mensajes que PEAP protege.

Reconexin rpida PEAP, reduce el tiempo de espera entre la solicitud de la autenticacin de un cliente y la respuesta del NPS dando como ventaja la posibilidad que un cliente se mueva y cambie de Puntos de Acceso sin tener que volver a autenticar. Tarjetas Inteligentes: Es uno de los mtodos ms fuertes en la autenticacin de acceso remoto para lograrlo se debe implementar a travs de EAP con el tipo EAP Tarjeta Inteligente u otro certificado (TLS), los requerimientos para poderlo implementar son: Un servidor RAS Instalar un certificado de Equipo en el RAS Configurar el mtodo de autenticacin EAP llamado Tarjeta Inteligente u otro certificado (TLS) en las directivas de red Activar la autenticacin de tarjeta inteligente en la conexin por marcacin o VPN del cliente de acceso remoto. La funcin que desempea DHCP en los servicios RAS Cuando se instala un servidor DHCP para servir informacin de configuracin del protocolo TCP/IP a los clientes de acceso remoto se comporta de una manera distinta al mtodo tradicional de concesin de direcciones IP dentro de la red local por que la concesin de la direccin no se hace directamente entre el cliente y el servidor DHCP sino que se usa en todo momento el servidor RAS. Cuando Ras est configurado para que los clientes reciban las direcciones IP desde un servidor DHCP, entonces el Servidor RAS buscar el servidor DHCP y reservar un rango de 10 IP, auto asignndose 1 de ellas a su adaptadora virtual de servidor RAS (por donde establecer comunicacin con los clientes RAS) y quedar con las otras 9 disponibles para ir asignndolas a los clientes en la medida que ellos conectan, entonces cuando los clientes desconecten la conexin con el servidor RAS la direccin IP queda libre para ser otorgada a otro cliente que se conecte (No se concede el tiempo configurado en el DHCP para la duracin de la concesin). Si en llegado momento el Servidor RAS asigna todas las direcciones IP entonces volver a reservar otro bloque de 10 IP desde el Servidor DHCP. Cuando el servidor RAS detiene los servicios entonces libera las direcciones IP en el servidor DHCP. Cuando la direccin IP es proporcionada al cliente RAS, el cliente no es consciente que la direccin IP se ha obtenido a travs de este proceso intermedio entre el servidor DHCP y servidor RAS, el Servidor RAS se encarga de mantener la concesin de la direccin IP en nombre del cliente, por lo tanto, la nica informacin que el cliente recibe del servidor DHCP es la concesin de la direccin IP. Un servidor RAS cuando asigna direcciones IP usando un DHCP realiza los siguientes pasos: La direccin IP es concedida desde un cach de direcciones de un mbito del DHCP en el Servidor RAS El remoto y enrutamiento obtiene servidor de acceso y renueva su conjunto de direcciones en cach con el servidor DHCP. El Servidor RAS obtiene y renueva el conjunto de direcciones IP en cach con DHCP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Si el servidor DHCP proporciona parmetros adicionales y otra informacin de configuracin provista a travs de las opciones de DHCP junto a la direccin IP, esta informacin se enva al cliente RAS para que sean utilizadas en las propiedades TCP/IP a travs del Servidor RAS. El DHCP en Windows 2008 contempla opciones predefinidas de clase usuario llamada Clase de enrutamiento y acceso remoto predeterminada, utilizada para asignar opciones slo a clientes que se conectan a travs de Servidores RAS.

Configuracin de Acceso VPN


Las VPN son conexiones punto a punto a travs de una red privada o pblica, como Internet, el cliente VPN utiliza protocolos de tnel TCP/IP, para realizar una llamada virtual a un puerto virtual servidor VPN. Normalmente es el usuario el que inicia una conexin VPN hacia un Servidor VPN a travs de Internet, a continuacin el Servidor VPN responde a sta llamada, autentica las credenciales del usuario que se est intentando conectar y se encarga de intercambiar los datos entre e cliente y la red privada de una organizacin. Una VPN encapsula los datos con un encabezado que proporciona informacin de enrutamiento que permite a los datos ser transferidos en forma cifrada (Confidencialidad) desde Internet hasta el punto final de la conexin. Las VPN pueden ser utilizadas de 2 maneras: VPN de Cliente Remoto: Son las que permiten que un usuario con un ordenador desde cualquier parte en Internet pueda acceder a los recursos internos de una empresa. VPN de sitio a sitio: permiten que una organizacin pueda enrutar el trfico de datos entre oficinas separadas usando enlaces pblicos, manteniendo dichas comunicaciones aseguradas. Una VPN de sta forma funciona como si fuera un enlace WAN dedicado por qu interconecta 2 redes privadas entre s, cada enrutador puede establecer una llamada como si se tratase de un cliente y el servidor del otro extremo en ste caso debe Autenticar y autorizar la conexin, una vez autorizado se hace la transferencia de los datos usando la VPN, en ste modelo de VPN Site to Site, los clientes que generan los datos no establecen la VPN por lo que el Tnel slo se establece entre los enrutadores protegiendo los paquetes slo en el tramo de red pblico.

Caractersticas de la VPN: Los protocolos usados para establecer VPN (PPTP, L2TP y SSTP) aportan las siguientes caractersticas: Encapsulacin: Los datos privados se encapsulan con un encabezado que contiene informacin de enrutamiento que le permite atravesar la red hasta el final. Autenticacin: La autenticacin puede tomar 3 formas: De Usuario usando PPP (protocolo punto a punto): se utiliza para establecer la VPN, el servidor VPN usa sta informacin para comprobar que usuario es y si tiene autorizacin para conectarse mediante acceso remoto, es posible activar autenticacin mutua. De Equipo usando IKE (Internet Key Exchange): Se utiliza para establecer una asociacin de seguridad IPSEC mediante el cual se intercambian certificados de equipo o palabras previas compartidas, en ste caso la autenticacin es mutua a nivel de equipo, es muy recomendable el uso de certificados digitales para elevar los niveles de seguridad, ste mtodo se utiliza en conexiones VPN L2TP/IPSEC Autenticacin de datos en origen (integridad de datos): la integridad de datos garantiza que los datos recibidos dentro de una conexin VPN son generados por el equipo al otro lado de la conexin y que no han sido modificados durante su trnsito, la forma de asegurar ste hecho es haciendo que los datos contengan una informacin de resumen de comprobacin (cheksum) cifrada conocido como el hash usando una firma digital que debe ser conocida entre las 2 partes (origen y destino), se implementa en VPN L2TP/IPSEC. Cifrado de Datos: Para asegurar los datos que se transfieren a travs de un enlace inseguro como Internet, el equipo que enva cifra los datos y el receptor los descifra, ste proceso depende del uso de una llave de cifrado comn, un dato cifrado debe ser inteligible si es interceptado (A menos que se tenga la llave para descifrarlo). La longitud de la clave que se utilice para realizar los procesos de cifrado y descifrado deben ser lo suficientemente fuertes (a mayor longitud mayor seguridad) pero .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

tenga en cuenta que a mayor longitud de clave tambin se exige mayor capacidad computacional (Mejor desempeo de CPU en funcin de tiempo). Certificados Digitales en las VPN: Cuando se establece una conexin VPN se debe garantizar la seguridad porque estamos usando un medio inseguro como Internet, los protocolos PPTP y L2TP ayudan a cumplir con ste objetivo, sin embargo L2TP tiene mayores ventajas sobre PPTP por que incorpora IPSEC lo que le permite cifrar y autenticar los datos. La autenticacin en L2TP tambin es ms fuerte que en PPTP por que permite autenticar tanto el usuario como el equipo y aporta cifrado al paquete de autenticacin del usuario. Aunque como vemos L2TP es ms seguro, PPTP tambin tiene otras ventajas como por ejemplo aportar compatibilidad con sistemas operativos Microsoft antiguos, adems L2TP necesita IPSEC para trabajar y se recomienda el uso de certificados digitales emitidos por una CA (Autoridad de certificados) mientras que PPTP usa un sistema de cifrado propio de Microsoft llamado MPPE (Microsoft Point to Point Encription) que no utiliza certificados digitales. Protocolos de Tnel usados por la VPN: Un tnel permite la encapsulacin de un paquete creado por un protocolo dentro de otro creado por otro protocolo, en las VPN los protocolos PPTP, L2TP y SSTP pueden encapsular paquetes de tipo PPP que a su vez fue diseado para encapsular paquetes IP usando conexiones por marcacin. PPTP: Cifra y encapsula datos para ser transferidos en enlaces inseguros tipo Internet, PPTP usa GRE (Generic Routing Encapsulation) como protocolo de encapsulamiento de paquetes PPP dndoles proteccin mediante el cifrado y haciendo compresin sobre ellos. El mecanismo de cifrado se realiza usando el protocolo MPPE que usa llaves de cifrado generadas por MS-CHAPV2 o EAP-TLS. L2TP: Permite cifrar el trfico bajo un medio que soporte entrega de datagramas punto a punto, es el resultado de la combinacin PPTP y L2F (Level 2 Forwarding); A diferencia de PPTP, L2TP no usa MPPE para cifrar ya que involucra a IPSEC para sta finalidad, ambas partes Cliente (XP/Vista) y el Servidor (2003/2008) deben soportar IPSEC. L2TP encapsula en 2 capas, la primera encapsula el paquete PPP en un encabezado UDP y la segunda capa envuelve el mensaje L2TP resultante con un encabezado IPSEC ESP (Encription Security Payload) y un paquete adicional de autenticacin (Trailer) para dar integridad y autenticacin y genera un encabezado IP final con la direccin IP origen y destino que corresponde con el cliente y el servidor en la conexin VPN. El cifrado L2TP se realiza con protocolos DES (Data Encryption Standard) o 3DES con llaves generadas a partir de la negociacin IKE. SSTP: es el protocolo de tnel ms reciente que utiliza el protocolo HTTP seguro a travs del puerto TCP 443 con la comodidad de transferir datos a travs de firewalls y proxies que pueden bloquear el trfico PPTP y L2TP/IPSec; SSTP proporciona un mecanismo para encapsular trfico PPP a travs de la capa de sockets seguros (SSL) del canal del protocolo HTTPS. Se debe usar PPP para soportar mtodos de autenticacin fuerte, como EAP-TLS, SSL proporciona seguridad a nivel de transporte con una mayor negociacin de claves, cifrado y comprobacin de integridad, cuando un cliente intenta establecer una conexin VPN basada en SSTP, SSTP primero establece una capa bidireccional HTTPS con el servidor SSTP a continuacin sobre esta capa de HTTPS, los datos fluyen junto a los protocolos de encapsulacin y cifrado (usa puerto TCP 443 y canales SSL de HTTPS) Usar PPTP si la organizacin tiene una gran variedad de clientes Microsoft antiguos y nuevos, PPTP no requiere una PKI, PPTP ofrece cifrado pero no integridad de datos (no puede saber si el dato ha sido modificado en trnsito o si el dato fue enviado por el usuario autorizado). Usar L2TP slo si los sistemas son Windows 2000 en adelante, si se decide usar con certificados digitales se debe instalar una PKI que emita los certificados de equipo necesarios para la conexin VPN L2TP activa la autenticacin de Equipo (en la capa IPSEC) y de Usuario (en la capa PPP) .

Entre los factores a tener en cuenta y que pueden determinar cul protocolo VPN se debe usar estn:

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Se puede usar SSTP slo si los clientes son Windows Vista SP1 en adelante Los 3 tipos de tneles ofrecen trabajo con PPP y por tanto son comunes en esquemas de autenticacin, NAP, IPv4 e IPv6. Al instalar un servidor VPN un administrador debe tener en cuenta los siguientes aspectos: Determine qu interfaz de red se conecta a Internet y que interfaz de red se conecta a su red privada. Determinar si los clientes remotos recibirn direcciones IP de un servidor DHCP en su red privada o desde el servidor VPN de acceso remoto que est configurando. Determine si desea solicitudes de conexin de los clientes VPN para ser autenticados por un servidor RADIUS o por el servidor VPN de acceso remoto que est configurando. Determinar si los clientes VPN pueden enviar mensajes DHCP al servidor DHCP en la red privada. Si el servidor DHCP se encuentra en la misma subred que el servidor VPN, los mensajes DHCP podrn acceder al servidor DHCP despus que la conexin VPN se establece, pero si el servidor DHCP est en una subred distinta a la del servidor VPN entonces se debe configurar un agente de retransmisin DHCP. Compruebe que todos los usuarios tienen cuentas de usuario configuradas para acceso remoto, bien sea en la base local del Servidor VPN o en un servicio de Directorio Activo. Configurar filtros de paquetes estticos, para proteger mejor la red. Configurar servicios y puertos. Ajustar los niveles de registro para los protocolos de enrutamiento. Configurar el nmero de puertos VPN. Agregar o eliminar puertos VPN. Generar perfiles de conexin usando la herramienta CMAK (Connection Manager Administration Kit). Instalar servicios de Certificados PKI (AD CS) para Aumentar la seguridad de acceso remoto. Proteger a los usuarios remotos y la red privada mediante la aplicacin de uso de mtodos de autenticacin seguros y mayores niveles de cifrado de datos.

Despus de Instalar el Servidor de VPN un administrador puede realizar las siguientes tareas:

Directivas de Red
Son conjuntos de condiciones, restricciones y ajustes que le permiten saber al servidor RAS / NPS quin est autorizado para conectarse a la red y las circunstancias en que pueden, o no pueden conectarse, al implementar NAP, la directiva de salud se agrega a la configuracin de la directiva de red para que NPS haga los controles de salud del cliente durante el proceso de autorizacin, las directivas de red se pueden ver como reglas con un conjunto de condiciones y ajustes, NPS compara las condiciones de la regla con las propiedades de las solicitudes de conexin y si se produce una coincidencia entre la regla y la solicitud de conexin, la configuracin que se define en la regla se aplica a la conexin. Al definir mltiples directivas de red en un Servidor NPS, se establece un orden por el que el Servidor NPS comprobar cada solicitud de conexin contra las reglas empezando por la primera regla de la lista, luego el segundo, y as sucesivamente, hasta que se encuentra una coincidencia. Cada directiva de red tiene un estado de configuracin de la directiva que puede estar activada o desactivada, si se deshabilita una directiva de red, NPS no la tendr en cuenta en el momento de autorizar las solicitudes de conexin. Cada directiva de Red tiene 4 categoras de propiedades: General: en esta pestaa podemos especificar si la directiva est habilitada, si la poltica concede o niega el acceso, el mtodo de conexin de red, el tipo de servidor RAS necesario para las solicitudes de conexin, si se ignora las propiedades de la pestaa marcacin en las propiedades del usuario en el dominio (NPS solo usar la Directiva de red para determinar si se debe autorizar la conexin). .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Condiciones: son las condiciones que la solicitud de conexin debe tener para que coincida con la directiva de red; Si las condiciones configuradas en la directiva coincide con la solicitud de conexin, NPS aplica la configuracin de directiva de red a la conexin. Restricciones: son parmetros adicionales de la directiva de red que se aplicarn a la conexin que coincida con la directiva, por tanto como resultado si la solicitud de conexin no coincide con las restricciones, NPS rechazar la solicitud de conexin Ajustes: Son propiedades de configuracin que NPS aplica, si todas las condiciones de la directiva se cumplen.

Al crear directivas de red, NPS ejecutar un asistente para crearla paso a paso, una vez creada se puede editar para su modificacin.

Proceso de creacin y configuracin de una directiva de red:


Las directivas de redes junto a las propiedades de marcacin de la cuenta de usuario determinan si se autoriza una conexin de acceso a la red. Al configurar una directiva de red, el servidor de acceso remoto activa un asistente para guiarlo en el procedimiento. Los valores especificados como el mtodo de conexin de red se utiliza para configurar el tipo de poltica con las conexiones automticamente, adems en la pgina de permisos de acceso se deben seleccionar acceso concedido para permitir establecer la conexin o denegado si quieres evitar el acceso inclusive se puede sobrescribir las configuraciones determinadas en las propiedades del usuario. Al ver las propiedades de una directiva se pueden observar cuatro pestaas con la siguiente informacin: Pestaa Informacin General: Contiene el nombre de la directiva su estado, el permiso de acceso, el mtodo de la conexin de red (RAS, ETHERNET, TERMINAL SERVICES, PUNTO DE ACCESO INALMBRICO, AUTORIDADES REGISTRO DE SALUD, SERVIDOR HCAP, SERVIDOR DHCP) Pestaa Condiciones: Se debe establecer por lo menos una condicin, las condiciones estn agrupadas para encontrarlas de una forma apropiadas, los grupos de condiciones son: Grupos, HCAP, Restricciones de da y hora, NAP, Propiedades de conexin, Propiedades de clientes RADIUS, Puerta de enlace. Pestaa Restricciones: Son parmetros de la polticas de red adicionales que difieren de las condiciones porque cuando una condicin no coincide con una solicitud, el servidor NPS continua evaluando otras directivas de red, para buscar una coincidencia, pero con las restricciones cuando una conexin no coincide con ellas NPS no evala polticas de red adicionales dando como resultado un rechazo en la conexin. Las restricciones que podemos configurar son: Mtodos de autenticacin, Tiempo mximo de inactividad en la conexin, Tiempo mximo de la conexin identificacin de estacin de llamada, Restricciones de hora y da, y tipo de puerto de acceso remoto. Pestaa Configuracin: Si todas las condiciones y las restricciones se cumplen entonces el servidor NPS aplica la configuracin, los grupos disponibles son: Atributos RADIUS, NAP, y RRAS (Multienlace y control de ancho de banda, filtros IP, Cifrado y Configuracin de IP)

Procesamiento de Polticas de Red


Cuando NPS ejecuta autorizacin de una solicitud de conexin, compara la solicitud con cada directiva de red, en el orden de la lista de directivas, iniciando con la primer poltica y movindose hacia abajo en la lista, si NPS encuentra una directiva cuyas condiciones coinciden con la solicitud de conexin entonces NPS usa la directiva coincidente y las propiedades de conexin de la cuenta de usuario para determinar la autorizacin. Si la cuenta del usuario tiene concedido el permiso en las propiedades en la cuenta o se concede el acceso a travs de una directiva de red, la conexin es autorizada NPS aplica las configuraciones.

Kit de Administracin de Conexiones (CMAK)


CMAK permite a los administradores personalizar las opciones de conexin de los usuarios remotos, mediante la creacin de conexiones predefinidas a servidores remotos y redes. El asistente de CMAK .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

crea un archivo ejecutable, que puede distribuir de muchas formas o incluido durante actividades despliegue como parte de la imagen del sistema operativo. CMAK es un componente opcional que no est instalado de forma predeterminada. Debe instalar CMAK para crear perfiles de conexin que los usuarios pueden instalar para acceder a redes remotas. Proceso de Configuracin de un perfil con CMAK: El asistente para crear perfiles de conexin con CMAK incluye muchas variables que garantizan en el cliente una forma de acceso controlada y libre de error lo cual beneficiara a los administradores por que se reducirn las llamadas de soporte, entre las muchas opciones que podemos configurar estn: Sistema Operativo en el que se va a crear la conexin, especificar el nombre de la conexin, agregar entradas de libretas telefnica (si se trata de una conexin por marcacin) Especificar tablas de enrutamiento, configuraciones que soporten las conexiones VPN, configurar el PROXY de Internet Explorer, personalizar los iconos e imgenes de la conexin entre otras. Para distribuir los perfiles de conexin creados a los usuarios CMAK crea un nico fichero ejecutable (EXE) que puede distribuir a los usuarios a travs de algunos mtodos como: Incluirlo en una imagen para nuevos equipos, entregar el perfil de la conexin en medios extrables para que sean instalados manualmente, o distribuir el perfil con herramientas de distribucin de software automatizada.

Solucin de Problemas de Acceso Remoto


Solucionar un problema en el servicio de acceso remoto puede ser una labor que consuma mucho tiempo, y no ser identificada fcilmente, le proponemos seguir una metodologa paso a paso para identificar y resolver el problema de forma rpida. Las herramientas disponibles siguen siendo las mismas que podemos utilizar para resolver problemas de TCP/IP como son: Ipconfig, Ping, PathPing, Tracert, Nbtstat, Comandos Route entre otros. Ficheros de Registros de Autenticacin y Control de Cuenta: Es posible configurar registros en la autenticacin paramensajes de aceptacin o rechazo de la conexin, por defecto se almacena en la carpeta Windows\System32\logfiles con formato IAS, un administrador puede cambiar la frecuencia de creacin de los ficheros de registro, el tamao mximo posible (para no utilizar demasiado espacio en disco) incluso la ubicacin de los mismos, otra alternativa es utilizar bases de datos SQL para registrar los eventos si se trata de mltiples servidores. El servidor de acceso remoto en sus propiedades tambin muestra una pestaa de inicio de sesin en la que los administradores pueden decidir el nivel de registro de eventos por parte del servidor de acceso remoto en el visor de eventos en el visor de sistema. Adems el servicio de acceso remoto tiene la posibilidad de activar opciones de seguimiento para solucionar problemas de red complejos. Se pueden activar usando el comando: NETSH RAS SET TRACING COMPONET ENABLED/DISABLED En el comando anterior Componet se refiere a una lista de componentes de servicio encontrada en la clave de registro HKLM\software\microsoft\tracing

Resumen
Se puede concluir que es posible permitir el acceso a clientes de una organizacin desde sitios o ubicaciones distintas a las de la organizacin, en muchas casos usando conexiones a Internet, sin embargo los administradores debemos vigilar la manera ms segura de implementar sta solucin teniendo en cuenta muchas variables, tales como a qu usuarios se les permite el acceso?, si se les permite, qu condiciones deben cumplir en el momento de establecer la conexin?, tambin es importante conocer los protocolos de conexin que podemos implementar ya que stos nos darn .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

mltiples niveles y opciones de seguridad en la autenticacin y en el envo de informacin hacia nuestra red. Para implementar una infraestructura de acceso remoto segura deberamos diferenciar cada una de las partes que intervienen en ella por ejemplo instalar el servidor de VPN para que se encargue de negociar la conexin, instalar un Servidor DHCP para que asigne la configuracin de IP y las opciones necesarias, se recomienda utilizar servidores RADIUS que evitar tener los servidores VPN unidos al dominio en la red interna y por tanto evitamos tambin tener que abrir puertos innecesarios desde una red desprotegida a las redes internas, adems con el uso de las directivas de red se flexibiliza el acceso pero se mantiene configuraciones de restricciones que se deben cumplir en la conexin, as mismo si se quiere dar ms seguridad es posible vigilar el entorno dependiendo de los ordenadores que se usen para el acceso a la red usando servicios de NAP y finalmente para garantizar en todo momento mayor seguridad conviene establecer una infraestructura de llave pblica (PKI) dado que gracias a los certificados digitales se implementan protocolos de autenticacin y de cifrado ms seguros como IPSEC y la autenticacin basada en tarjetas inteligentes.

Recuerde
Para signar las direcciones IP a los clientes es posible usar DHCP pero si este no se encuentra en la red del servidor RAS entonces se hace necesaria la instalacin de un agente de retransmisin DHCP Si no se desea abrir puertos para la implementacin de VPN PPTP o L2TP entonces es posible abrir slo el puerto https para implementar la solucin usando el puerto TCP 443 La autorizacin de acceso de un usuario a travs de RAS se puede decidir en las propiedades de la cuenta del usuario en la pestaa Marcacin, sin embargo aunque sta opcin permita el acceso, es posible desde el servidor RAS usando las directivas de red ignorar sta opcin y hacer que la directiva sea la que determine si el usuario puede tener autorizacin de acceso a la red. Cuando se activan opciones de registro en ficheros, un servidor de directivas de red (NPS) puede dejar de responder si por alguna razn no puede generar registros. Se recomienda desactivar los protocolos que no se utilicen Siempre es mejor tener un sistema de autenticacin basado en RADIUS por seguridad. El sistema de acceso ms seguro es utilizar L2TP con certificados digitales ya que incorpora IPSEC y la autenticacin que est basada en Tarjetas inteligentes.

Ver Vdeo: RRAS, en el Mdulo 7. Unidad 6, en la plataforma e-learning.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Laboratorio. Instalacin de la funcin Servidor de Acceso Remoto como servidor de VPN


1. Para realizar la instalacin de un servidor VPN se debe instalar la funcin desde la consola Administrador de Servidor; usaremos un Servidor de Windows 2008 configurado con 2 Adaptadoras de red, una conectada a la Red Interna y la otra conectada a la Red Pblica (Internet), en ste caso vamos a usar un servidor en modo independiente (es una buena prctica de seguridad) por tanto la autenticacin que el servidor puede realizar slo lo podr hacer con usuarios de su base de datos local, si queremos autenticar usuarios de Dominio (Sin agregar el Servidor de VPN al dominio) la solucin es hacerlo a travs de la autenticacin RADIUS (se ver en la siguiente unidad) 2. Desde el Administrador del Servidor en Funciones instalar la funcin Servicios de acceso y directivas de redes

3. En sta funcin se mostrarn varias Funciones de Servicio, pero para el Servidor RRAS (Enrutamiento y acceso Remoto) seleccionar las 2

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

4. Cuando la funcin est instalada, se debe empezar el proceso de configuracin del servicio de RRAS, en ste caso ser configurado como Servidor de VPN, desde las Herramientas administrativas pinchar en Enrutamiento y acceso remoto.

5. Como el Servicio no est configurado se mostrar una flecha roja hacia abajo, sobre el nombre del servidor hacer clic derecho y seleccionar la opcin Configurar y habilitar enrutamiento y acceso remoto

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

6. Se lanza un asistente que nos gua en el proceso, pinchar Siguiente

7. El Servicio de Acceso Remoto propone mltiples funciones, entre ellas la de Servidor de conexiones por marcacin y VPN, la seleccionamos y luego siguiente.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

8. A continuacin seleccionar VPN como forma de acceso remoto, siguiente

9. A continuacin se debe seleccionar la Adaptadora de red que recibir las solicitudes de conexin VPN, aqu se debe seleccionar la adaptadora que conecta a Internet (Se recomienda Renombrar las adaptadoras de red para identificarlas en la configuracin de RRAS mucho ms fcil), dejar marcada la opcin de Habilitar Seguridad, esto crear filtros que slo permiten acceso en los protocolos necesarios de clientes VPN (PPT, L2TP, SSTP).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

10. Ahora debemos indicar la forma en que los clientes que intenten una conexin VPN recibirn la configuracin IP, desde un rango esttico configurado en el servidor RAS o desde un DHCP, para el ejemplo usar un rango de direcciones estticos de RAS.

11. A continuacin debemos definir el rango de IP a conceder, pinchar en Nuevo y definir las direcciones IP de inicio y de fin (la cantidad de IP deben ser de acuerdo al nmero de clientes que se conectarn simultneamente y una direccin IP adicional para el mismo Servidor RAS)

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

12. El siguiente paso especifica cmo se realizar el proceso de autenticacin de los usuarios, por ahora no usaremos RADIUS ya que lo veremos en la siguiente unidad, por tanto el propio servidor RAS debe hacer la autenticacin y autorizacin.

13. El pinchar en Finalizar el Servicio quedar configurado

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

14. El asistente muestra un mensaje recordando de la necesidad de instalar un Agente de retransmisin DHCP en caso de usar un Servidor DHCP para configurar los clientes VPN.

15. El Servicio de acceso remoto se configura y se inicia.

16. Ahora se muestra una flecha verde arriba en el nombre del servidor

17. A continuacin configuraremos los puertos necesarios para que los clientes VPN puedan conectar, para hacerlo, sobre el nodo Puertos hacer clic derecho y seleccionar Propiedades

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

18. Observamos que por cada protocolo de acceso VPN se configuran por defecto 128 puertos, vamos a modificarlo para usar 10 de cada uno de ellos 19. Por ejemplo seleccionar PPTP y luego Configurar

20. Cambiamos el valor de 128 a 10 y aceptar (repetir para L2TP y SSTP)

21. Tener en cuenta la advertencia que nos hace el servicio y pinchar en SI

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

22. El siguiente paso a configurar son las directivas de red que se encargarn de Autorizar a los usuarios en el intento de la conexin. 23. Para ver las directivas de red hacer clic derecho sobre el nodo Directivas y registro de acceso remoto y seleccionar Iniciar NPS

24. Se abrir una nueva consola que me permite ver las directivas predeterminadas que por defecto son 2 y definen un permiso de acceso negado, tambin es posible crear nuevas directivas de red.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

25. Para crear una nueva directiva sobre el nodo Directivas de Red hacer clic derecho y luego seleccionar Nuevo.

26. Se lanza un asistente para guiar el proceso de creacin de la directiva, asignar un nombre para la directiva y luego seleccionar el tipo de servidor para que sea de Acceso remoto (VPN y marcacin)

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

27. A continuacin debemos definir las condiciones que se deben cumplir para que se evalu el intento de conexin, al pinchar en agregar aparece una lista con todas las opciones que un cliente debera cumplir por ejemplo agregar como tipo de conexin debe ser PVN (PPTP o L2TP) y definir que slo pueden acceder usuarios de un grupo de Windows (por ejemplo Administradores).

28. Todas las condiciones son de tipo AND es decir se deben cumplir todas las condiciones, en ste caso la conexin debe ser VPN y el usuario debe pertenecer al grupo Administradores local del Servidor de Acceso remoto

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

29. A continuacin debemos decidir la autorizacin a los intentos de conexin que cumplan con las condiciones anteriores, en este caso (Permitir), otra manera de autorizar la conexin es definiendo las propiedades de marcacin del usuario.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

30. A continuacin se seleccionan los mtodos de autenticacin necesarios, dejamos seleccionados los predeterminados

31. El siguiente paso consiste en agregar restricciones adicionales cuando el usuario tenga autorizacin de acceso, estas restricciones son causa de desconexin tambin, por ejemplo se pueden determinar restricciones de da y hora.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

32. En el ltimo paso se pueden definir opciones adicionales tales como Filtros, niveles de cifrado exigidos entre otros

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

33. Al Finalizar veremos el resumen de todas las opciones seleccionadas, pulsar Finalizar para crear la Directiva

34. La directiva aparecer en la lista en el orden preferente aunque luego las directivas se pueden modificar de orden.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

35. Otros valores de configuracin importantes en los servicios de acceso remoto es activar los ficheros de registro. 36. Sobre el Servidor Ras clic derecho y seleccionar Propiedades

37. Y en la pestaa Inicio de sesin marcar Registrar todo y Aceptar

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

38. Para realizar una prueba de conexin usaremos un cliente Windows Vista (VistaCli2), se crear una conexin VPN, desde el Centro de Redes y recursos compartidos, seleccionar Configurar una conexin o red

39. En el asistente, escogemos la opcin Conectarse a un rea de trabajo

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

40. Seleccionar la forma de conexin (para VPN usar mi conexin a Internet)

41. Configurar la conexin a Internet ms adelante

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

42. Escribir la Direccin IP de conexin del Servidor VPN (correspondera a la direccin IP pblica que un cliente puede alcanzar desde Internet) y darle un nombre a la conexin

43. Escribir las credenciales del usuario con el que queremos establecer la conexin

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

44. Una vez creada la conexin seleccionar la opcin Conectarse a una red

45. La conexin ser mostrada en la lista, seleccionarla y pinchar en Conectar

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

46. Nuevamente aparecern las credenciales, confirmarlas y conectar

47. El proceso de conexin autentica al usuario, registra la conexin y finalmente se conecta si no hay inconvenientes con la autenticacin o con la autorizacin.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

48. Windows Vista nos pregunta la ubicacin de red para asignarle un perfil de firewall, en ste caso puede ser una ubicacin de Trabajo

49. Windows Vista confirma la ubicacin de la red, pinchar en Cerrar

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

50. En el centro de redes y recursos compartidos veremos la conexin establecida, si pinchamos en Ver Estado

51. En el Estado de la conexin ver la pestaa Detalles, podemos confirmar que la conexin ha sido establecida con PPTP, en la autenticacin se us MS-CHAPv2, para cifrado usa MPPE 128 y las direcciones IP del cliente (concedida del rango configurado en el Servidor RAS) y la direccin IP del Servidor Ras (La primera IP del rango)

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

52. Sobre el servidor se ver que tambin se detecta una nueva red y pide la ubicacin para dicha red, se refiere a una Interfaz de conexin RAS Servidor que se genera en el momento que el primer cliente conecta en el servidor RAS

53. En el visor de eventos del servidor RAS bajo el nodo de registros de Windows, Registros del Sistema se vern registros de Origen RemoteAccess.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

54. Podemos confirmar que el evento 20274 registra el acceso del usuario Administrador, el nmero de puerto usado y la direccin IP concedida

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 7. Instalacin, Configuracin y Solucin de problemas de la function de Servicio NPS (Network Policy Service)
Introduccin
En este mdulo se explica cmo instalar, configurar y solucionar problemas de la Red de Polticas de funcin de servidor de servicio. Red Policy Server (NPS) es la implementacin de Microsoft de una autenticacin remota telefnica de Servicio de usuario (RADIUS) y proxy en Windows Server 2008. NPS es el sustituto de Internet Authentication Service (IAS) de Windows Server 2003. NPS le permite configurar y administrar las polticas de red central, con las siguientes caractersticas: servidor RADIUS, proxy RADIUS y el servidor de la poltica del PAN Cuando los usuarios intentan conectarse a su red a travs de servidores de acceso a la red - tambin llamados clientes RADIUS - como los puntos de acceso inalmbrico, autenticacin 802.1X conmutadores, servidores de acceso telefnico, VPN y servidores, fuentes de energa nuclear autentica y autoriza la solicitud de conexin antes de autorizar o negar el acceso. Puesto que la autenticacin es el proceso de verificacin de la identidad del usuario o el ordenador intenta conectarse a la red, fuentes de energa nuclear debe recibir un documento de identidad del usuario o el ordenador en forma de credenciales. Algunos mtodos de autenticacin implementar el uso de credenciales basadas en contraseas. Por ejemplo, Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP) requiere que los usuarios escribir un nombre de usuario y contrasea. El servidor de acceso a la red pasa estas credenciales para el servidor de fuentes de energa nuclear, que verifica las credenciales a las cuentas de usuario de base de datos. Otros mtodos de autenticacin de implementar el uso de credenciales basadas en certificados para el usuario, el equipo cliente, el servidor NPS, o alguna combinacin. mtodos de autenticacin basados en certificados proporcionar seguridad fuerte y se recomiendan sobre los mtodos de autenticacin basados en contraseas. Usted puede controlar mediante la configuracin de fuentes de energa nuclear y el uso de registro de eventos y la autenticacin de usuarios y pide a la contabilidad. El registro de eventos le permite registrar eventos NPS en el sistema y registros de sucesos. Puede utilizar el registro de solicitud de anlisis de la conexin y la facturacin. La informacin que recogen los archivos de registro es til para solucionar los intentos de conexin y de investigacin de seguridad. Al implementar NPS, puede especificar el tipo requerido de mtodo de autenticacin para el acceso a la red.

Definiciones
Instalacin y configuracin del Servidor de Polticas de red (NPS):
El Servidor de polticas de red NPS es la implementacin Microsoft de un servidor RADIUS (Remote Authentication Dial-in User Service) este servicio reemplaza el IAS (Internet Authentication Service) de Windows 2003, NPS tiene como finalidad configurar y administrar directivas de red en forma centralizada que determinarn los procesos de autenticacin y autorizacin para los clientes de acceso remoto, el servicio presenta 3 caractersticas: Servidor RADIUS: Centraliza todas las polticas de acceso remoto y se encarga de autenticar y autorizar las solicitudes de acceso remoto de clientes a travs de VPN, conexiones por marcacin, accesos inalmbricos y autenticacin en Switch (redes cableadas). .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

RADIUS sirve como punto central de la gestin de las directivas de acceso remoto para los servidores RAS (Clientes RADIUS) de cualquier versin de servidor de Windows o para dispositivos que soporten autenticacin RADIUS en entornos heterogneos. Si el Servidor NPS est unido a un Dominio utiliza la base de datos del Directorio para autenticar y autorizar el acceso al usuario. Al configurar NPS como RADIUS se establece una comunicacin de tipo Cliente / Servidor donde el papel de los clientes esta soportado en los servidores de acceso remoto RAS y dispositivos que permitan reenviar credenciales de autenticacin a un servidor RADIUS Servidor de Directivas NAP (Network Access Protection): El servidor NPS configurado como NAP se encargar de evaluar los estados de cumplimiento de salud (SoH) que los clientes compatibles con NAP envan al intentar conectar en la red, NPS acta como RADIUS cuando se configura como NAP ya que se encarga de autenticar y autorizar las conexiones. Sistemas operativos como Windows Vista y Windows 2008 incluyen NAP, el objetivo principal de NAP consiste en ayudar a proteger la red privada al asegurarse que los equipos desde donde se intenta hacer la conexin estn configurados de acuerdo a las directivas de cumplimiento de salud en red antes que puedan conectar a los recursos de la red privada.

NAP continuar vigilando al cliente inclusive si en el momento de la conexin cumpli con todas las opciones requeridas y posteriormente no entonces lo marcar como un cliente que no cumple con las directivas lo que impedira su acceso a la red, NAP tambin permite que los clientes puedan auto solucionar los problemas de incompatibilidad por las que ellos entran en un estado de restriccin. RADIUS Proxy: NPS puede tambin comportarse como un RADIUS Proxy permitiendo a travs de las directivas de solicitud de conexin que las autenticaciones sean reenviadas a otros servidores RADIUS que se encargarn de autenticar y autorizar el intento de conexin. Esta opcin se hace necesario en configuraciones donde un proveedor de acceso es externo, se debe integrar acceso inalmbrico, soluciones de acceso remoto en mltiples dominios, autenticar accesos a recursos en una extranet a socios de negocios, etc.

Es posible combinar las 3 configuraciones en una infraestructura de acceso remoto. Para administrar el NAP Microsoft pone a disposicin de los administradores una consola grfica MMC o los comandos NETSH. Por ejemplo Netsh nps show config (muestra y/o salva la configuracin del NPS a un fichero).

Configuracin de Clientes y Servidores RADIUS


Cuando se usa el Servicio NPS debemos tener en cuenta los distintos componentes que forman la infraestructura: Clientes RADIUS: Un servidor de acceso remoto cumple la funcin de permitir el acceso a una red interna, pero cuando se integra con un servidor RADIUS para reenviar las solicitudes de conexin que RADIUS autenticar y autorizar, entonces el Servidor de acceso remoto tambin toma la funcin de ser un cliente RADIUS. Es importante no confundir el cliente RADIUS (Servidor RAS, puntos de acceso inalmbrico, Dispositivos Switch Ethernet, RADIUS proxy) con el Cliente de acceso remoto (cliente VPN). RADIUS PROXY: Enruta mensajes RADIUS entre Clientes RADIUS y los Servidores RADIUS que autenticarn y autorizarn los accesos, NPS como Proxy tambin graba informacin de registro.

Se implementa en escenarios donde, el Servidor NPS se utiliza como un servicio externo de (VPN, Marcacin, etc) y debe reenviar las solicitudes de acceso a los RADIUS del cliente para que compruebe las identidades en la base de datos de usuarios del cliente. Si los usuarios que estn intentando conectar no son usuarios del Dominio al que el NPS est unido o con los que tenga alguna relacin de confianza, NPS usa el nombre del dominio para identificar el Servidor RADIUS al que debe enviar la solicitud de conexin en el dominio o bosque correcto. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

NPS soporta autenticacin entre bosques pero si los dominios estn formados por sistemas operativos Windows 2003 y se utiliza la autenticacin EAP-TLS usando certificados digitales, entonces se debe enviar la solicitud a su Servidor RADIUS en el bosque especfico de la cuenta. Si se debe realizar autenticacin y autorizacin de bases de datos que no son Windows como Novell o SQL. Si es necesario balancear la carga para un gran nmero de solicitudes de acceso reenviando a varios RADIUS.

Directivas de Solicitud de Conexin


Estas directivas permiten a los administradores designar un Servidor RADIUS para que autentique y autorice la peticin de la conexin que recibir desde los clientes RADIUS, por defecto existe una poltica de conexin que define que todas las solicitudes sern procesadas localmente. Si es necesario reenviar la solicitud a un Servidor RADIUS Proxy, se debe crear un grupo de servidores RADIUS remotos y agregar una directiva de conexin que especifique condiciones y configuraciones para que se produzca el reenvo. Si el Servidor slo debe reenviar las solicitudes de conexin a otros RADIUS y no procesar las peticiones localmente, se debe eliminar la directiva por defecto; pero si reenviar y a la vez procesara solicitudes localmente se deben crear directivas de solicitud de conexin adicionales, teniendo precaucin en dejar la directiva predeterminada en el ltimo lugar de la lista Los puertos usados para trfico de datos en el Servidor RADIUS son 1812, 1645 (Autenticacin) 1813 y 1646 (control de cuentas) para IPv4 e IPv6 en todas las adaptadoras de red. Los factores por los que se pueden reenviar las solicitudes a otros servidores RADIUS se deben activar dentro de la Directiva de solicitud de conexin tales como (Da y hora, nombre del dominio en la solicitud de conexin, el tipo de conexin solicitada, direccin IP del cliente RADIUS). Adems debe incluir condiciones (son atributos RADIUS que se comparan con la solicitud de conexin) y configuraciones que consisten en propiedades aplicadas a los mensajes entrantes RADIUS como Autenticacin, control de cuentas, atributos RADIUS). Si el Servicio RRAS y NPS estn instalados en el mismo servidor y el RAS est configurado para la autenticacin basada en Windows es posible que las solicitudes de conexin sean remitidas a un servidor RADIUS si en la directiva de solicitud de conexin predeterminada est configurada para enviar las.

Mtodos de Autenticacin NPS:


Como ya se mencion una de las funciones que ejerce un servidor NPS es Autenticar las solicitudes de conexin que los clientes RADIUS le envan antes de autorizar el acceso de los clientes de acceso remoto, por esto el Servidor cuenta con varios mtodos de autenticacin donde cada uno de ellos ventajas y desventajas en trminos de seguridad, facilidad de utilizacin y Soporte; se conocen 2 maneras de autenticar en un servidor NPS usando contraseas y usando certificados digitales, el mtodo que se seleccione depende de los clientes de acceso remoto, del servidor de acceso remoto (Cliente RADIUS) y del Servidor NPS. Es posible configurar mltiples mtodos en un mismo Servidor NPS lo que permite que un cliente negocie la autenticacin ms fuerte primero y luego empiece a bajar la seguridad hasta encontrar la autenticacin ms dbil as el primer mtodo ser EAP, luego MS-CHAPv2, luego MS-CHAP, CHAP, SPAP y PAP; Si se escoge EAP como protocolo de autenticacin entonces la negociacin ocurre entre el cliente RAS y el Servidor NPS. Mtodos de autenticacin basados en contrasea: No son mtodos que proveen una seguridad muy fuerte, ste mtodo exige a los protocolos de autenticacin que el cliente enve la contrasea de la cuenta del usuario y/o del equipo, el protocolo ms fuerte es MS-CHAPv2 (descrito en la unidad anterior), luego MS-CHAP (Versin 1, es ms dbil que la versin 2), luego .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

CHAP que usa contrasea reversible (no es recomendable) y PAP que enva la informacin en texto plano por lo que es el ms dbil y es el menos recomendable de todos los protocolos. Otra forma de acceso es el mtodo NO autenticado (No exige credenciales al usuario y permite el acceso sin autenticacin) No debera utilizarse salvo en casos donde el cliente no use ninguno de los mtodos anteriores para la autenticacin. Mtodos de autenticacin con certificados digitales: es la forma ms fuerte en seguridad y por tanto el mtodo ms recomendable especialmente para accesos inalmbricos, un certificado digital es un documento que una autoridad de certificados (CA) emite, los certificados pueden tener mltiples propsitos pero con NPS el propsito necesario debe ser para autenticacin de acceso en red, usar los certificados digitales para establecer la autenticacin eleva la seguridad y por tanto elimina la necesidad de usar los mtodos de autenticacin basados en contrasea.

El Servidor NPS usa EAP-TLS y PEAP (usando PEAP-TLS y PEAP-MS-CHAPv2) como protocolos de acceso basados en certificados. Se recomienda usar certificados digitales para establecer el sistema de autenticacin ms fuerte, activando en VPN L2TP/IPSEC, en PPTP aunque no usa certificados se puede activar certificados para la autenticacin de equipo con EAP-TLS, en clientes inalmbricos usar PEAP con EAP-TLS y tarjetas inteligentes o certificados digitales para autenticacin. Windows Server 2008 incorpora el Servicio (AD CS) que activa la infraestructura de llave pblica (PKI) donde el Servidor que instala esta funcin ser el Servidor encargado de emitir certificados (CA) para los distintos servidores y clientes con el propsito de elevar la seguridad en la autenticacin y el transporte de datos. Usar EAP-TLS activa la autenticacin mutua pero cada una de las partes cliente / Servidor debe tener un certificado de autenticacin cliente (Cliente RAS) o un certificado de Autenticacin servidor (NPS) segn corresponda; stos propsitos de certificados son incorporados en la PKI de Windows Server 2008 (AD CS) a travs de plantillas de certificados que pueden ser ampliamente modificables. Para activar los distintos mtodos de autenticacin basados en certificado es necesario emitir los siguientes tipos de certificados: Certificado de la CA raz almacenado en el almacn Certificados de CA raz de Confianza de la cuenta de equipo y de usuario: Es necesario si se utiliza EAP-TLS, PEAP-TLS y PEAP-MS-CHAPv2 Certificado de Equipo en el almacn de certificados del equipo local del cliente: es necesario para EAP-TLS y PEAP-TLS a menos que se usen Tarjetas inteligentes (Si es el mtodo de autenticacin de usuario, la autenticacin de equipo no se usa). No se utiliza para MS-CHAPv2. Certificado de Servidor en el almacn de certificados local del Servidor NPS: Es necesario para la autenticacin EAP-TLS, PEAP-TLS y PEAP-MS-CHAPv2. Certificado de usuario en una tarjeta inteligente: No se usa para EAP-TLS o PEAP-TLS o PEAP-MSCHAPv2. La autenticacin IEEE 802.1X permite autenticado a dispositivos inalmbricos y redes cableadas Ethernet, activa el soporte para EAP seguro como EAP-TLS Con certificados digitales o tarjetas inteligentes. Si se activa la opcin Validar el certificado del servidor en el cliente entonces el cliente autentica el servidor usando este certificado; La autenticacin del equipo y del usuario se realiza usando certificados instalados en los almacenes del cliente o usando tarjeta inteligente activando la autenticacin mutua. Con los clientes inalmbricos se puede usar PEAP-MS-CHAPv2 (mtodo de autenticacin de usuario basado en contrasea que usa TLS con el certificado del Servidor), durante la autenticacin PEAP-MSCHAPv2 el servidor NPS suple un certificado para validar la identidad al cliente (Si la opcin Validar el certificado del Servidor esta activada) la autenticacin de la mquina y el usuario se establece con contraseas evitando as la tarea de desplegar certificados a dispositivos inalmbricos.

Supervisin y Solucin de problemas en NPS


.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para una correcta supervisin del Servidor NPS es recomendable configurar informacin de registro de todas las autenticaciones de usuario y solicitudes de cuentas para que sean grabadas en un fichero de texto o una base de datos SQL y en el visor de eventos del sistema operativo, a travs de los cuales es posible conocer informacin de conexiones cliente con propsitos de facturacin o para resolver problemas relacionados con la seguridad. Se recomienda almacenar los ficheros de registro en particiones distintas a la del sistema, la ubicacin por defecto para estos ficheros es Windows\system32\logfiles se puede cambiar el tipo de informacin a registrar, la frecuencia de creacin de los ficheros y el formato del fichero. As mismo es posible grabar eventos en el Visor de eventos de Windows, sobre las propiedades del Servidor NPS en la pestaa General se puede seleccionar cada opcin requerida como solicitudes de conexin fallidas, solicitudes de conexin correctas y luego Aceptar. Otro aspecto que podemos registrar en el visor de eventos son eventos de canales seguros (Schannel), por defecto no est habilitado y su objetivo es grabar eventos generados por protocolos de seguridad de Internet como SSL y TLS; para activar la posibilidad del registro de ste tipo de eventos se debe modificar la siguiente clave de registro: HKLMSystemcurrentcontrolsetcontrolsecurityprovidersschanneleventlogging de 1 a 3.

Ver Vdeo: NPS, en el Mdulo 7. Unidad 7, en la plataforma e-learning.

Laboratorio. Instalacin de la Funcin Servidor de Directivas de Red (NPS)


1. En el Servidor que ejercer la funcin NPS abrir la consola Administrador del Servidor y en Funciones seleccionar agregar Funcin, de la lista marcar Servicios de Acceso y Directivas de Redes

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

2. Luego seleccionar Servidor de directivas de Redes

3. Esperar a que termine la instalacin correctamente

4. En las herramientas administrativas seleccionar Servidor de Directivas de redes .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

5. A continuacin en la consola el primer paso consiste en Autorizar el servicio en Directorio Activo, ste paso es necesario para permitirle al servidor NPS conectarse al Directorio para comprobar los procesos de autenticacin de los clientes

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

6. El proceso de autorizacin consiste en agregar la cuenta del equipo con la funcin RAS NPS en el grupo Servidores RAS e IAS.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

7. Cuando el Servidor NPS est autorizado sobre el nodo NPS (local) en el panel de detalles se muestran opciones para configurar el Servidor como RADIUS o como NAP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

8. En ste caso seleccionar Servidor RADIUS para conexiones VPN y a continuacin hace clic en Configurar VPN o acceso telefnico

9. Desde aqu se activa un asistente y el primer paso consiste en determinar el tipo de conexin y el nombre de la directiva de Red que ser creada.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

10. El siguiente paso consiste en crear los clientes RADIUS (Servidores de VPN) en ste caso usaremos el Servidor RAS instalado en la unidad anterior, al cual se le asignar una clave compartida.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

11. El siguiente paso es configurar los mtodos de conexin, en ste caso seleccionar MS-CHAP v2.

12. A continuacin podemos especificar los grupos de usuarios que pueden establecer conexiones VPN, en ste caso se usa un grupo global de seguridad creado en el dominio con el Nombre Grupo Comerciales.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

13. Se pueden establecer filtros de trfico de red, en ste paso no configuramos nada.

14. El siguiente aspecto determina las capacidades de cifrado de datos mnimas exigidas a los clientes usando MPPE (Microsoft Point to Point Encription).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

15. Se puede agregar el nombre del Dominio de Directorio Activo

16. Si todas las opciones son correctas entonces Finalizar

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

17. El siguiente paso consiste en configurar el cliente RADIUS o Servidor RAS (VPN). Desde las propiedades del Servidor

18. En la pestaa Seguridad cambiar la Autenticacin de Windows por Autenticacin RADIUS y el proveedor de cuentas de Contabilidad de Windows a Administracin de Cuentas RADIUS, cuando se cambien las opciones para usar RADIUS se activarn los botones de Configurar

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

19. Al agregar el Servidor RADIUS (Servidor NPS) debemos indicar la direccin IP, el secreto compartido que debe ser igual al que se gener en el servidor NPS al crear la cuenta del cliente RADIUS y los puertos a utilizar, a saber 1812 y 1813.

20. Cuando el Servidor RAS este configurado para usar RADIUS entonces se debe reiniciar el Servicio

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

21. Cuando el Servidor RAS reinicie los servicios entonces podemos hacer una prueba con un cliente VPN. 22. Para que el cliente pueda establecer conexin se debe tener en el servidor RADIUS creados los Clientes RADIUS.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

23. Una directiva de Red para determinar si la conexin puede o no establecerse

24. Y por ltimo podemos configurar un registro de los accesos de los clientes, para ello en la consola NPS en el nodo Cuentas se puede configurar un Archivo local o el registro en una base de datos SQL, en nuestro caso ser en un fichero local, hacer clic para configurarlo

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

25. Seleccionar los tipos de solicitudes que sern registradas

26. Luego la ubicacin, el formato, la periodicidad, etc.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

27. Otro aspecto a tener en cuenta es que en la directiva de acceso a la red creada se especific que solo los miembros del grupo comerciales podan acceder a travs de accesos remotos VPN, para la prueba debemos crear un usuario y agregarlo a dicho grupo del dominio

28. A continuacin sobre el cliente podemos establecer la conexin VPN que tenamos creada de la unidad anterior

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

29. Al conectar debemos proveer las credenciales del usuario aadido al grupo comerciales para garantizar que el acceso VPN ser establecido

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

30. Al comprobar en el Servidor RAS podemos ver que en la lista de clientes VPN el cliente aparece en la lista

31. Ahora en el servidor NPS (RADIUS) comprobamos el Fichero de registro para saber si fue autenticado por el RADIUS, en la carpeta C:\Windows\System32\logfiles podemos ver que se ha generado un fichero llamado IN1006 (Depende de la configuracin)

32. Al abrir el fichero podemos comprobar lneas de registro que se generaron por el acceso del cliente VPN.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 8. Configuracin de Proteccin de Acceso a Redes (NAP)


Introduccin
Network Access Protection (NAP) garantiza el cumplimiento de las polticas de cumplimiento especficas para los sistemas de acceso a la red. NAP ayuda a los administradores lograr y mantener una poltica de cumplimiento especfica. Este mdulo proporciona informacin acerca de cmo funciona NAP, y cmo configurar, supervisar y solucionar problemas del NAP NAP es una plataforma de sistema de forzado de polticas de cumplimiento basado en Windows Server 2008, Windows Vista, y Windows XP SP3. Esta plataforma le permite proteger mejor los equipos de la red interna a travs del forzado del cumplimiento con requerimientos de salud del sistema. NAP permite crear polticas de cumplimiento personalizadas para validar la salud del ordenador antes de permitir su acceso o comunicacin, As como actualizar automticamente ordenadores compatibles para garantizar el cumplimiento continuo y limitar el acceso de los equipos que no cumplen a una red restringida hasta que empiecen a cumplir. El diseo del PAN permite a los administradores configurar para satisfacer sus necesidades de red. Por lo tanto, la actual configuracin del PAN variar de acuerdo a las preferencias del administrador y los requisitos. Sin embargo, la operacin subyacente del PAN sigue siendo la misma. Cuando un cliente intenta acceder o comunicarse en la red, debe presentar su estado de salud del sistema o la prueba del cumplimiento de la salud. Si un cliente no puede demostrar que cumple con los requisitos del sistema de salud (por ejemplo, que tiene el sistema operativo ms reciente y las actualizaciones de antivirus), su acceso a, o la comunicacin en la red puede limitarse a una red restringida que contiene los recursos del servidor, hasta las cuestiones de cumplimiento con la salud se solucionen. Despus de instaladas las actualizaciones, el cliente solicita acceso a la red o los intentos de la comunicacin de nuevo. Si cumple, el cliente obtiene acceso ilimitado a la red o la comunicacin es permitida.

Definiciones
Generalidades de Proteccin de acceso a redes:
NAP (Proteccin de acceso a redes) es una infraestructura de servicios que garantiza que un cliente de acceso a la red tenga las configuraciones necesarias que las directivas de cumplimiento especficas que un administrador de red exige a dichos equipos; NAP para Windows Server 2008, Windows Vista y Windows XP SP3 proporciona los componentes y una interfaz de programacin de aplicaciones (API) que ayuda a los administradores a garantizar el cumplimiento de requisitos de las directivas de cumplimiento para acceso a la red o la comunicacin, NAP permite a los desarrolladores y administradores crear soluciones para la validacin de equipos que se conectan a sus redes, as como proporcionar las actualizaciones necesarias o el acceso a recursos necesarios para que un cliente NAP pueda cumplir con los requisitos de acuerdo a la directiva porque si no los cumple ste equipo entonces tendr acceso y comunicaciones limitadas. Es posible integrar caractersticas de la ejecucin del NAP con software de otros fabricantes o con programas desarrollados a medida dando como resultado un control de los ordenadores para que cumplan con las opciones establecidas en stos programas desarrollados y siempre teniendo en cuenta que si no cumplen puedan actualizarse automticamente y as poder cumplir en forma correcta. NAP no protege a una red de usuarios malintencionados, por el contrario, ayuda a los administradores a mantener la salud de los ordenadores de su red automticamente, lo que a su vez ayuda a mantener la integridad global de la red.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Por ejemplo, si un equipo tiene todo el software y opciones de configuracin que la poltica de salud requiere, el equipo es compatible y tendr acceso a la red en forma ilimitada pero NAP no impide que un usuario autorizado con un ordenador compatible ejecute en la Red un programa malicioso o tenga un comportamiento inapropiado. NAP tiene tres aspectos importantes y distintos: Validacin del estado de Cumplimiento: Cuando un equipo intenta conectarse a la red, el estado de salud del equipo se valida con los requisitos de las directivas de cumplimiento que define el administrador, los administradores tambin pueden definir qu hacer si un equipo no es compatible. Con NAP es posible configurar un entorno de slo supervisin, lo que permite que todos los equipos evalen su estado de salud y luego registrar el estado de cumplimiento de cada equipo para un anlisis posterior. Pero si se configura un entorno de acceso limitado, los equipos que cumplan con las directivas de salud se les conceden acceso a la red en forma ilimitada, pero los equipos que no cumplan con los requisitos de la directiva de cumplimiento tendrn acceso limitado en una red restringida. Directivas de Cumplimiento de salud: Los administradores pueden ayudar a garantizar el cumplimiento de los requisitos de salud mediante la eleccin de actualizar automticamente equipos que no cumplen con actualizaciones de software ausentes o cambios de configuracin a travs de software de gestin, tales como Microsoft System Center Configuration Manager (SCCM). En un entorno de solo supervisin los ordenadores tendrn acceso a la red antes que sean actualizados con las actualizaciones necesarias o los cambios de configuracin.

En un entorno de acceso limitado, los equipos que no cumplen las normas tienen un acceso limitado hasta que las actualizaciones y cambios de configuracin se apliquen. En ambos entornos, los equipos que sean compatibles con el NAP pueden llegar a cumplir con las directivas de salud en forma automtica mientras que los equipos que no son compatibles con NAP los administradores pueden definir excepciones. Acceso Limitado: Los administradores pueden proteger sus redes al limitar el acceso de los equipos que no cumplen, segn lo definido por el administrador; es posible permitir acceso limitado a la red una cantidad especfica de tiempo o que el equipo que no cumple las normas pueden tener acceso a una red restringida que contiene los recursos que le permite actualizar su estado de cumplimiento de salud, el tiempo que el equipo estar en la red restringida ser el necesario hasta que cumpla con el estado de salud solicitado. Los administradores tambin pueden configurar excepciones para que los equipos que no son compatibles con el NAP no tengan acceso a la red limitado.

Escenarios NAP
NAP puede ser una solucin para las siguientes situaciones: Verificar el estado de salud de equipos porttiles mviles: la portabilidad y la flexibilidad son dos ventajas principales de los equipos porttiles, pero estas caractersticas tambin presentan una amenaza para la salud. Los porttiles de la empresa con frecuencia salen y entran a la red de la empresa, pero mientras que estn fuera de la empresa, no pueden recibir las actualizaciones ms recientes o cambios de configuracin, adems, la exposicin sin proteccin a las redes, como Internet, pueden infectar a los ordenadores porttiles; usando NAP permite a los administradores de red comprobar el estado de salud de cualquier ordenador porttil cuando se vuelve a conectar a la red de la empresa, ya sea a travs de una red privada virtual (VPN) o fsicamente cuando se conecten a la red interna. Verificar el estado de salud de los equipos de escritorio: Aunque los ordenadores de escritorio no suelen salir de las instalaciones, tambin pueden presentar una amenaza a una red; para reducir esta amenaza, los administradores deben mantener estos equipos con las actualizaciones ms recientes y el software necesarios, de lo contrario, estos equipos estn en riesgo de infeccin de sitios Web, correo electrnico, ficheros de carpetas compartidas, y otros recursos de acceso .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

pblico; NAP permite a los administradores de red automatizar los controles del estado de salud para verificar el cumplimiento de cada equipo de escritorio con los requisitos de las directivas de salud. Los administradores pueden comprobar los ficheros de registro para determinar qu equipos no cumplen, adems, el uso de software de gestin permite a los administradores generar informes automticos y actualizar automticamente los equipos que no cumplen las directivas, cuando los administradores cambian las directivas de salud, los ordenadores se pueden configurar automticamente con las actualizaciones ms recientes. Verificar el estado de salud de ordenadores porttiles Visitantes: En ocasiones una organizacin tiene que permitir a usuarios externos como consultores, socios comerciales y clientes conectarse a sus redes privadas, los equipos porttiles que estos visitantes pondrn en su organizacin pueden no cumplir con los requisitos del sistema de salud y pueden presentar riesgos para la red, NAP permite a los administradores determinar que las ordenadores porttiles de visitantes que no son compatibles tengan acceso limitado slo a una red restringida, es posible que los administradores no quieran proporcionar actualizaciones o cambios de configuracin en los porttiles de visita y permitir acceso a Internet para dichos equipos, pero no de los dems equipos de la organizacin que tienen un acceso limitado. Verificar el estado de salud de los ordenadores domsticos no administrado: equipos no administrados (equipos de casa) que no son miembros activos del Directorio Activo, se pueden conectar a la red de la empresa a travs de VPN, estos equipos proporcionan un reto adicional para los administradores, porque no pueden acceder a estos ordenadores fsicamente, la falta de acceso fsico hace que controlar el cumplimiento de los requisitos de salud, tales como el uso de software antivirus, sea ms difcil, sin embargo, NAP permite a los administradores de red comprobar el estado de salud de un ordenador de casa cada vez que realiza una conexin VPN a la red de la empresa y limitar su acceso a una red restringida hasta que se cumpla con los requisitos del sistema de salud.

Mtodos de forzado NAP


Los componentes de la infraestructura NAP conocida como clientes de ejecucin (EC Enforcement Client) y servidores de aplicacin (ES Enforcement Servers) requieren la validacin de estado de salud y hacen respetar el acceso de red limitada a equipos que no cumplen, Windows Vista, Windows XP SP3 y Windows Server 2008 incluyen el soporte NAP para los siguientes tipos de forzados NAP: IPSec, IEEE 802.1X, VPN, DHCP, y Puerta de enlace de Terminal Server. Estos Tipos de Forzados se pueden usar en forma separada o en conjunto para limitar el acceso a clientes NAP que no cumplan; NPS de Windows 2008 acta como Servidor de polticas de salud (NAP) para todos estos mtodos de forzado. Forzado IPSec: con ste mtodo un equipo debe cumplir con las directivas de salud para poder iniciar la comunicacin con otros ordenadores que tambin cumplan, debido a que el forzado IPSec se est proveyendo de IPsec, este puede definir las necesidades de comunicaciones protegidas con equipos compatibles por direccin IP o por nmero de puerto TCP o UDP. IPsec restringe la comunicacin a los ordenadores compatibles despus que han conectado correctamente y obtenido una configuracin de direccin IP vlida, ste mtodo de cumplimiento es la forma ms fuerte de acceso de red. Los componentes del forzado IPsec constan de una Autoridad de Registro de la Salud (HRA) con Windows Server 2008 y un EC (Cliente NAP) de IPsec en Windows Vista, Windows XP SP3 y Windows Server 2008, el Servicio HRA obtiene certificados X.509 para los clientes NAP cuando se demuestre que cumplen con la directiva de salud, dichos certificados de salud a continuacin, se utilizan para autenticar los clientes NAP cuando inician las comunicaciones IPsec protegidas con otros clientes NAP en una intranet. Forzado 802.1X: con este mtodo de forzado un ordenador debe cumplir para obtener acceso a la red ilimitada a travs de una conexin autenticada de red 802.1X, como a un conmutador .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Ethernet (switch) o una autenticacin IEEE 802,11 de un punto de acceso inalmbrico (AP). Para los equipos que no cumplen, se limita el acceso a la red a travs de un perfil de acceso restringido en el que el dispositivo Ethernet o el punto de acceso inalmbrico sita la conexin, el perfil de acceso restringido puede especificar filtros de paquetes IP o un ID de red de LAN virtual (VLAN) que corresponde a la red restringida. El mtodo 802.1X refuerza los requerimientos de las polticas de salud cada vez que un equipo intenta una conexin de red 802.1X autenticada, 802.1X tambin vigila activamente el estado de salud del cliente NAP conectado y se aplica el perfil de acceso restringido a la conexin si el cliente se convierte en un equipo que no cumple las directivas. Los componentes de 802.1X constan de un servidor NPS de Windows Server 2008 y un EC EAP Host en Windows Vista, Windows XP SP3 y Windows Server 2008. Forzado VPN: con este mtodo de forzado un equipo debe cumplir para obtener acceso a la red ilimitada a travs de una conexin VPN de acceso remoto, para los equipos que no cumplen las directivas, el acceso a la red se limita a travs de un conjunto de filtros de paquetes IP que el servidor VPN aplica a la conexin VPN. El forzado VPN refuerza los requerimientos de las directivas de salud cada vez que un ordenador intenta obtener una conexin VPN.

El forzado VPN tambin vigila activamente el estado de salud del cliente NAP y aplica los filtros de red restringida de paquetes IP para la conexin VPN si el cliente se convierte en un equipo que no cumple las directivas. Los componentes del forzado VPN constan de un servidor NPS en Windows Server 2008 y un Cliente NAP (CE VPN) que forma parte del cliente de acceso remoto en Windows Vista, Windows XP SP3 y Windows Server 2008. Forzado DHCP: con este mtodo de forzado un equipo debe cumplir para obtener un acceso ilimitado de acuerdo a la configuracin de direccin IPv4 de un servidor DHCP; para los equipos que no cumplen el acceso a la red est limitado por una configuracin de direcciones IPv4 que slo le permite acceso a la red restringida.

DHCP hace cumplir los requisitos de las directivas de salud cada vez que un cliente DHCP intenta solicitar o renovar una configuracin de direccin IP; con el forzado DHCP tambin se controla el estado de salud del cliente NAP constantemente por lo que renueva la configuracin de la direccin IPv4 para el acceso nicamente a la red limitada cuando el cliente se convierte en un equipo que no cumple con las directivas. Los componentes del forzado DHCP constan de un Servidor DHCP (ES DHCP) que forma parte del servicio DHCP Server en Windows Server 2008 y un Cliente NAP (CE de DHCP) que forma parte del servicio de cliente DHCP en Windows Vista, Windows XP SP3 y Windows Server 2008. Este mtodo de forzado se considera el ms dbil de todos debido a que depende de la configuracin en el cliente si se produce obteniendo IP desde un Servidor DHCP, pro un usuario con privilegios suficientes puede modificar la opcin de obtencin de IP por DHCP y asignar la IP en forma Manual evitando as el sistema de forzado. Terminal Services Gateway (TSG): Se pueden configurar servidores Gateway de Terminal Server 2008 y clientes de Servicios de Terminal Server para usar NAP, de sta manera se mejora la seguridad.

Componentes en una Infraestructura NAP

Clientes NAP: equipos que soportan la plataforma NAP para el acceso a la red o la comunicacin de acuerdo a la validacin de su estado de cumplimiento de salud. Puntos de forzado NAP: equipos o dispositivos de acceso a la red que utilizan NAP o que se pueden utilizar con NAP para exigir la evaluacin del estado de salud de un cliente NAP y .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

dependiendo de ello el cliente tendr acceso a la red en forma ilimitada o slo tendr acceso a una red restringida limitndole su comunicacin a otros equipos de la red; los puntos de forzado NAP usan un Servidor de Directivas de Red (NPS) que acta como un servidor de directivas de cumplimiento de salud NAP a travs de las cuales el servidor evala el estado de salud de los clientes NAP, determina si puede acceder a la red o se le restringe a una red aislada en la que podr encontrar servidores de actualizacin que le permitirn al cliente cambiar su estado de salud y empezar a cumplir con la directiva permitiendo al cliente salir de la red aislada y empezar a tener comunicacin con los dems equipos de la red. Los puntos de forzado que utiliza NAP son: HRA (Health Registration Authority): este es un equipo que ejecuta Windows Server 2008 e Internet Information Services (IIS), y que obtiene los certificados de cumplimiento desde una autoridad de certificados (CA) para entregrselos a los equipos que cumplen con la directiva. Servidor VPN: este es un equipo que ejecuta Windows Server 2008, con el servicio de enrutamiento y acceso remoto, y que permite realizar accesos a la red interna a travs de conexiones VPN de acceso remoto. Servidor DHCP: este es un equipo que ejecuta Windows Server 2008 y el servicio Servidor DHCP, y que proporciona direccionamiento IPv4 y su configuracin en forma automtica a los clientes DHCP de una red interna. Dispositivos de acceso a la red: son dispositivos como switch Ethernet o puntos de acceso inalmbricos que soportan la autenticacin IEEE 802.1X. Servidores de Directivas de cumplimiento (NAP): Son los equipos que ejecutan Windows Server 2008 y el servicio NAP, contienen directivas con requerimientos de salud y proporciona validacin de estado de salud NAP; NPS es el servicio en Windows 2008 que reemplaza a IAS (Servicio de autenticacin Internet equivalente al servidor RADIUS) de Windows 2003; NPS tambin acta como un servidor RADIUS (autenticacin, autorizacin y contabilidad AAA), cuando acta como un servidor AAA o Servidor de directivas de cumplimiento NAP, NPS se debe ejecutar en un servidor separado para centralizar las configuraciones de acceso a la red y las directivas de salud, as mismo el servicio NPS se debe instalar en todos los equipos usados como punto de forzado y que no contengan el cliente RADIUS incorporado como por ejemplo HRA o DHCP, adems NPS en ste caso sobre el punto de forzado se debe configurar como un servidor RADIUS Proxy para que pueda intercambiar mensajes RADIUS con el servidor de directivas de cumplimiento de salud NAP AD DS: El servicio de Directorio Activo almacena las credenciales de las cuentas, propiedades, y la configuracin de Directivas de grupo, aunque no es necesario para la validacin de estado de salud, el Directorio Activo es necesario para las comunicaciones IPsec protegidas, las conexiones autenticadas por 802.1X y conexiones VPN de acceso remoto. Red restringida: esta es una red independiente lgica o fsica que contiene:

Servidores de Actualizacin: son los equipos que contienen los recursos de actualizacin de salud que los clientes NAP pueden acceder para solucionar su estado de no cumplimiento como ejemplo podemos incluir a los servidores de distribucin de firmas de Antivirus y servidores WSUS (Servidores de actualizaciones de Windows). Clientes NAP con acceso limitado: son los equipos puestos en la red restringida cuando no cumplen con los requisitos de las directivas de cumplimiento de salud.

Tipos de comunicacin entre los componentes NAP


Los componentes NAP pueden establecer las siguientes comunicaciones: Entre un cliente NAP y un Servidor HRA: El cliente NAP usa HTTP o HTTPS para enviar su estado actual del estado de salud del sistema al HRA y solicitar un certificado de salud, el servidor HRA utiliza HTTP o HTTPS para enviar instrucciones de reparacin (si el cliente NAP no cumplen con las directivas) o un certificado de salud para el cliente NAP. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Entre un cliente NAP y un dispositivo de acceso a la red 802.1X (Switch Ethernet o un punto de acceso inalmbrico): El cliente NAP, en calidad de un cliente 802.1X, utiliza el Protocolo de autenticacin extensible protegido (PEAP) a travs de mensajes enviados a travs EAP sobre LAN (EAPOL) para realizar la autenticacin de la conexin 802.1X y para indicar su estado actual del sistema de salud al servidor de directivas de salud NAP, de acuerdo a ste estado el cliente NAP quedar aislado en una red restringida o se le permitir acceso a la red ilimitada, los mensajes PEAP entre el cliente NAP y el servidor NAP se realizan a travs del dispositivo 802.1X. Entre un cliente NAP y un servidor VPN: El cliente NAP acta como cliente VPN, utiliza mensajes PPP (protocolo punto a punto) para establecer una conexin VPN de acceso remoto y mensajes PEAP a travs de la conexin PPP para indicar su estado actual del sistema de salud en el servidor de directivas de salud NAP, los mensajes PEAP entre el cliente VPN y el servidor NAP se realizan a travs del servidor VPN. Entre un cliente NAP y un servidor DHCP: el cliente NAP, en calidad de cliente DHCP, utiliza los mensajes DHCP para obtener una configuracin de direcciones IPv4 vlida y para indicar su estado actual de salud del sistema; el servidor DHCP utiliza los mensajes de DHCP para asignar ya sea una configuracin de la direccin IPv4 de la red restringida e indicar las instrucciones de reparacin (si el cliente DHCP no cumplen las normas), o una configuracin de direcciones IPv4 para el acceso ilimitado (si el cliente DHCP es compatible). Entre un cliente y un servidor de actualizacin NAP: mientras que el cliente NAP tiene acceso a la red interna en forma ilimitada puede acceder a los servidores de actualizacin para garantizar que su estado se mantenga en un estado compatible con las directivas de salud del sistema (Antivirus, WSUS, etc). Si el cliente NAP tiene acceso limitado, puede comunicarse con los servidores de actualizacin para solucionar su estado de salud y llegar a ser compatible basndose en las instrucciones de las directivas de salud del NAP. Entre un servidor HRA y un servidor NAP: el HRA enva mensajes RADIUS al servidor de directivas NAP con el estado de salud del sistema del cliente NAP, a continuacin el servidor NAP enva mensajes RADIUS para indicar que: el cliente NAP tiene acceso ilimitado por que cumple con la directiva, entonces el servidor HRA basado en sta respuesta obtiene un certificado de salud y lo enva al cliente NAP; El servidor NAP indica que el cliente no cumple con la directiva y slo tendr acceso a una red restringida hasta que realice configuraciones necesarias para solucionar ste estado, entonces el servidor HRA basado en sta respuesta no emite certificado al cliente NAP. El servidor HRA no incorpora un cliente RADIUS por ello se debe instalar el servicio NPS y configurarlo como RADIUS Proxy para poder intercambiar mensajes RADIUS entre el HRA y el NAP. Entre un dispositivo 802.1X y un servidor NAP: el dispositivo de acceso de red 802.1X usa mensajes RADIUS para transferir mensajes PEAP enviados por un cliente NAP 802.1X, el servidor NAP de acuerdo a la directiva enva mensajes RADIUS al dispositivo para permitir acceso ilimitado al cliente o restringirlo en una red aislada usando filtros o identificadores VLAN; el dispositivo tambin sirve como intermediario en la comunicacin de mensajes PEAP entre el cliente y el servidor NAP. Entre un servidor VPN y un servidor NAP: el servidor VPN enva mensajes RADIUS para transferir mensajes PEAP enviados por un cliente NAP basado en VPN, el servidor NAP de acuerdo a la directiva enva mensajes RADIUS al servidor VPN para indicarle que se permite acceso ilimitado al cliente VPN o se le restringe en una red aislada usando para ello un conjunto de filtros en la conexin VPN; el servidor VPN tambin es el intermediario de la mensajera PEAP desde el cliente al servidor NAP. Entre un servidor DHCP y un servidor NAP: el servidor DHCP enva al NAP mensajes RADIUS que contienen el estado de salud del sistema del cliente DHCP; el Servidor NAP enva mensajes RADIUS al DHCP para informarle si el cliente puede tener acceso ilimitado o debe quedar en una red aislada. Debido a que el servicio DHCP Server en Windows Server 2008 no tiene incorporado en el cliente RADIUS, un servidor DHCP debe utilizar el servicio NPS como un RADIUS Proxy para intercambiar mensajes RADIUS con el Servidor NAP. Entre un servidor NAP y un servidor de requerimiento de salud: Cuando se realiza la validacin de acceso de red para un cliente NAP el servidor NAP podra tener que contactar con un servidor de requerimientos de salud para obtener informacin sobre los requisitos actualizados de salud .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

que el sistema del cliente NAP debe tener. Por ejemplo, el servidor NAP debera contactar con un servidor de antivirus para comprobar el archivo de firmas ms recientes o comunicarse con un servidor de actualizacin de software para obtener la fecha de la ltima actualizacin del sistema operativo.

Componentes de un Cliente NAP


El cliente NAP est compuesto por las siguientes capas: La Capa NAP-EC: define un tipo de conexin o de comunicacin cada NAP-EC est vinculado con un punto de forzado NAP-ES, se encarga de solicitar un nivel de acceso a la red, pasar el estado de salud del sistema al punto de forzado NAP que est concediendo el acceso e indica el estado de acceso a la red limitada o ilimitada a otros componentes del cliente NAP, segn el tipo de conexin el NAP-EC puede ser: IPsec NAP-EC: Obtiene el SSoH (System Statement of Health) desde el agente NAP y lo enva al servidor HRA junto con la solicitud de un certificado de salud, tambin se comunica con el almacn que guarda los certificados digitales de salud, asegura que el certificado de salud sea utilizado para las comunicaciones protegidas IPSec, verifica el firewall para que el trfico IPSec protegido sea permitido a travs del firewall. Host EAP NAP-EC: Obtiene el SSoH del Agente NAP y lo enva como un mensaje PEAP para conexiones autenticadas 802.1X VPN NAP-EC: El servicio de administracin de conexiones de acceso remoto obtiene el SSoH del Agente NAP y lo enva como un mensaje PEAP en una conexin VPN. DHCP NAP-EC: El servicio Cliente DHCP usa mensajes DHCP para intercambiar los mensajes de salud del sistema e informacin de acceso a la red limitada, obtiene el SSoH desde el Agente NAP, luego fracciona el SSoH y pone cada fraccin como una opcin dentro de un paquete DHCP (DHCPDiscover, DHCPrequest, DHCPinform excepto DHCPDecline y DHCPRelease).

La Capa de Agentes de salud de Sistema (SHA): Son componentes que mantienen e informan uno o mltiples elementos de salud del sistema informndolo al agente NAP publicando su estado en un SoH que contiene informacin que el Servidor NAP puede usar para comprobar que el cliente est en el estado de salud requerido, los SHA coinciden con SHV (System Health Validator) en el lado del servidor que se encargan de devolver una respuesta (SoHR) al cliente NAP el cual recibe a travs del NAP-EC y el agente NAP hasta llegar al SHA informndole que debe hacer si el SHA no est en un estado de salud requerido por ejemplo el SoHR instruye al SHV para pedir la ltima versin de de firma del Antivirus desde un servidor de Antivirus al que le incluye el nombre y la IP del servidor. El SHA puede usar componentes de salud del sistema instalados localmente que ayudan a solucionar el estado de salud de sistema al conectarse a servidores de actualizacin por ejemplo un servidor WSUS. El Agente NAP: mantiene la informacin de estado de salud actualizada del cliente NAP y facilita la comunicacin entre el NAP-EC y los SHA, se encarga de los siguientes servicios: Coleccionar los SoH de cada SHA y almacenarlos en cach hasta que el SHA lo actualice nuevamente. Almacena los SSoH y los entrega a los NAP-EC cuando stos lo solicitan Pasa las notificaciones a los SHA cuando el estado de acceso a la red limitada cambia Pasa los SoHR al apropiado SHA

Interfaces de programacin SHA: Conjunto de llamadas de funcin que permite a los SHA registrarse con el Agente NAP para indicar su estado de salud, responde a las consultas del agente NAP respecto al estado de salud, se usan por el agente NAP para pasar informacin a los SHA para solucionar el estado de salud, las SHA API permiten a fabricantes de terceros desarrollar SHA adicionales. NAP-EC API: Conjunto de funciones que permite a los NAP-EC registrarse con el NAP-EC para requerir el estado de salud, pasa informacin de solucin de salud al agente NAP, tambin permite que software de terceros creen e instalen NAP-EC adicionales. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Componentes de Servidor NAP


Los puntos de forzado NAP tienen una capa de componentes NAP-ES que est definido por un tipo de conexin o comunicacin como por ejemplo DCHP NAP-ES el VPN NAP-ES, los componentes NAP-ES coinciden con el componente NAP-EC, si un fabricante crea un NAP-EC debe entonces tener un NAP-ES relacionado. El NAP-Es se encarga de obtener los SSoH del NAP-EC y enviarlos a un servidor de directivas de salud NAP como atributos de mensajes RADIUS. El Servidor de directivas NAP tiene los siguientes componentes: Servicio NPS: un Servidor de Windows 2008 provee este servicio, lo cual se encarga de recibir los mensajes RADIUS, extrae los SSoH y pasarlos al componente de administracin NAP. Servidor Administracin NAP: Permite la comunicacin entre el servicio NPS y los SHVs. Capa de validador de salud del sistema (SHV): cada SHV est definido para uno mltiples tipo de elementos de salud del sistema, Windows 2008 incluye el validador de salud de Windows (WSHV) que puede determinar el estado de la firma de Antivirus, Firewall, Actualizaciones de Windows SHV API: conjunto de llamadas de funcin que permite a un SHV registrarse con el componente de administracin NAP, recibe los SoH del componente de administracin NAP y le enva los SoHR .

En resumen una infraestructura NAP est compuesta por los siguientes: Los 3 componentes Cliente NAP (Capa SHA, Agente NAP, capa NAP-EC) Los 4 componentes NAP del lado servidor (Capa SHV, el servidor de administracin NAP, el servicio NPS, y una capa NAP ES sobre los puntos de forzado NAP basado en Windows) Servidores de requerimientos de salud Servidores de actualizacin.

Funcionamiento NAP
La configuracin de los componentes de la plataforma NAP pueden variar segn las necesidades de la red, pero en general sigue el mismo comportamiento, el cliente al intentar acceder comunicarse en la red debe presentar su estado de salud del sistema y si no lo puede hacer entonces su acceso comunicacin se restringe a una red donde podr encontrar servidores de actualizacin sobre los que el cliente podr solucionar los inconvenientes de salud que le causaron quedar aislado, despus de cambiar su estado de salud, el cliente volver a solicitar su acceso a la red a la comunicacin, y si el estado de salud es vlido entonces tendr acceso en forma ilimitada a todos los recursos de la red. En cualquier mtodo de forzado NAP el proceso de acceso a la red se basa en el estado de salud del sistema, por tanto se necesita que la infraestructura tenga la siguiente funcionalidad: Validacin de directivas de salud: Determina si el equipo cumple no cumple con los requerimientos de la directiva de salud. Limitacin de acceso en red: Para los equipos que no cumplen Solucin Automtica: Provee las actualizaciones necesarias para que un equipo que no cumple empiece a cumplir Cumplimiento permanente: Actualizacin automtica de clientes que cumplen para que permanezcan en este estado incluso cuando los requerimientos de la directiva de salud cambien.

Como se mencion antes aunque el objetivo de NAP es el mismo, vara dependiendo de los mtodos de acceso a la red comunicacin que el cliente utilice, de acuerdo a e esto veamos cmo funcionan los mtodos de forzado NAP:

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Forzado NAP con IPSEC: limita la comunicacin usando clientes NAP protegidos con IPsec y rechazando los intentos de conexin de clientes que no pueden negociar IPsec usando los certificados de salud, ste mtodo permite ser utilizado por todos los equipos en el dominio, por un conjunto de equipos de una red, por equipos especficos, por puertos TCP UDP especficos en un ordenador especfico. IPsec divide la red fsica en 3 redes lgicas, un equipo puede ser cliente de slo una red lgica en un momento dado, las redes estan definidas en funcin de cuales equipos tienen certificados de salud y cuales requieren autenticacin IPsec con certificados de salud para las comunicaciones entrantes, las redes lgicas son las siguientes:

Red Segura: formada por equipos que tienen certificados de salud que les sirve para requerir autenticacin IPsec para las conexiones entrantes desde otros equipos, los equipos del dominio pueden hacer parte de sta red. Un equipo en esta red puede comunicarse con cualquier equipo de las 3 redes lgicas, aceptan comunicaciones desde equipos en la red segura y en la red lmite pero no desde la red restringida. Red lmite: Son equipos con certificados de salud pero no requieren autenticacin IPsec por lo que se les puede acceder desde todos los equipos de la red fsica. Un equipo en esta red puede comunicarse con otros equipos en la red segura y lmite (con autenticacin IPsec) y con la red restringida (Sin autenticacin), los equipos que encontramos en sta red pueden ser Servidores HRA, servidores de actualizacin lo que permite que clientes que no cumplen puedan solucionar su estado de incompatibilidad y obtener certificados de salud, a su vez equipos que cumplen deben acceder a sta red en caso que la directiva de salud cambie y les permite continuar en ese estado siempre y cuando cumpla los requisitos. Un equipo es miembro de las redes segura y lmite de acuerdo a perodo de validez del certificado de salud (Se configura en el servidor HRA y generalmente es un valor en horas en lugar de aos). Red restringida: formada por equipos sin certificados de salud lo cual incluye a clientes NAP que no cumplen, equipos invitados en la red, equipos que no son compatibles con NAP. Los equipos de sta red pueden comunicarse con la red lmite pero no con los de la red segura (excepto si se configuran excepciones en la directiva IPsec del equipo seguro), y ellos aceptarn comunicaciones con equipos de las 3 redes lgicas. Forzado NAP con 802.1X: instruye a un dispositivo que soporta 802.1X para usar un perfil de acceso limitado a travs de un conjunto de filtros de paquetes IP un identificador de VLAN y cuyo objetivo es limitar el trfico de un equipo que no cumpla para que slo pueda alcanzar recursos en la red restringida. Si se usan filtros el dispositivo los aplica al trfico IP intercambiado con el cliente 802.1X y silenciosamente descarta todos los paquetes que no correspondan a un filtro de paquetes configurado. Si se usa VLAN ID el dispositivo lo aplica a todos los paquetes intercambiados con el cliente aislndolo slo a los equipos disponibles en la VLAN; el forzado 802.1X supervisa en forma activa el estado de salud del cliente NAP conectado y aplica el perfil de acceso restringido a la conexin si el cliente es detectado como cliente que no cumple. Forzado NAP VPN: este forzado usa un conjunto de filtros de paquete IP de acceso remoto para limitar el trfico del cliente VPN para que este slo pueda alcanzar los recursos de la red restringida, el servidor VPN aplica los filtros IP al trfico IP que recibe del cliente VPN y silenciosamente descarta todos los paquetes que no corresponden al filtro de paquetes configurado, como en los mtodos anteriores el forzado NAP con VPN supervisa activamente el estado de salud de los clientes NAP y aplica el filtrado de paquetes a la red restringida a la conexin VPN si el cliente empieza a no cumplir. Forzado NAP DHCP: la configuracin de direccionamiento IP limita el acceso a la red para un cliente DHCP usando la tabla de enrutamiento IPv4, el forzado DHCP configura la opcin de un enrutador a 0.0.0.0 para que el cliente que no cumple no tenga una puerta de enlace predeterminada, adems configura la mscara 255.255.255.255 desactivando el enrutamiento en la subred. Para permitir que un cliente que no cumple acceda a los servidores de actualizacin en la red restringida el DHCP asigna la opcin DHCP Enrutamiento esttico sin estado que contiene rutas de hosts a los equipos de la red restringida como DNS y servidores de actualizacin. El resultado final del acceso a red limitado es una configuracin de tablas de .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

enrutamiento que permiten conectividad slo a direcciones de destino especficas correspondientes a la red restringida, de sta forma cuando una aplicacin intenta enviar un paquete a una direccin IPv4 distinta a las que han sido dadas en la opcin rutas estticas sin clase, el protocolo TCP/IP devolver un error de enrutamiento (Se debe tener en cuenta que este mtodo de forzado es para IPv4 y no limita a IPv6 si se configura una direccin IPv4 Manual se cambian las entradas en la tabla de enrutamiento se puede tener acceso a la red ilimitada).

Configuracin de NAP
Un cliente NAP es un equipo que carga componentes NAP y que comprueba su estado de salud envindolo a travs de un SoH al servidor NPS, el SoH es un paquete con el estado de salud del cliente creado por los SHA (agentes de estado de salud) y enviados a los SHV (Validadores de salud del sistema) en el Servidor NPS. Los validadores del sistema: SHAs y SHVs se encargar de hacer el seguimiento del estado de salud y validarlo, los sistemas operativos desde Windows XP SP3 incluyen un SHA llamado Windows Security Health Validator (WSHV) que supervisa las configuraciones del centro de seguridad de Windows, los SHV reciben un SoH desde el componente servidor de administracin NAP y compara la informacin de estado de salud en el SoH con el estado de salud del sistema requerido. El SHV devuelve una respuesta SHR al servidor de administracin NAP con la informacin sobre como el SHA correspondiente en el cliente NAP puede mantener los requerimientos del estado de salud actual. Directivas de cumplimiento de salud: Constan de uno ms SHV y otras configuraciones que permiten definir la configuracin necesaria de salud del sistema en los clientes NAP cuando intenten conectarse a la red, el SoH generado por el cliente y comparado por el servidor NPS con los requerimientos de la directiva de cumplimiento, si no la cumple entonces NPS toma una de las siguientes acciones: Rechaza la solicitud de conexin Asigna el cliente NAP en una red restringida. Permite conectarse a la red a pesar que este no cumple con la directiva

Se pueden definir directivas de cumplimiento de salud de cliente agregando uno ms SHV a la directiva, despus se agrega a una directiva de red con condiciones de directivas de salud para forzar el NAP en el momento que el cliente intente acceder a la red. Grupos de Servidores de Actualizacin: Es una lista de servidores en la red restringida que proveen recursos que tren los equipos clientes NAP que no cumplen a un estado de cumplimiento con la directiva de salud definida. Configuracin del Cliente NAP: para que un cliente NAP funcione adecuadamente se deben seguir 3 pasos bsicos: El validador de seguridad de Windows (WSHV) requiere que el centro de seguridad este habilitado, para asegurar ste requerimiento es posible usar una directiva de grupo la directiva local del equipo localizada en la siguiente ruta: Configuracin_Equipoplantillas_administrativascomponentes_de_Windowscentro de seguridad y en la directiva Activar Centro de Seguridad (Slo equipos del Dominio) seleccionar Habilitar y aceptar. El servicio Agente de proteccin de acceso a redes debe estar habilitado e iniciado Se debe configurar el cliente NAP de acuerdo al sistema de forzado necesario, para ello se utiliza el comando NAPCLCFG.MSC luego seleccionar el mtodo de forzado que se debe implementar y Activarlo desactivarlo.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Solucin de Problemas NAP


Al implementar una solucin NAP es importante supervisar los distintos componentes con el fin de solucionar posibles problemas, NAP pone a disposicin de los administradores ficheros de registros que ayudan en stas tareas de soporte pero no estn activos en forma predeterminada. Es posible usar 2 herramientas para activar y configurar ficheros de registro en NAP: Usando la consola de administracin del cliente NAP (NAPCLCFG.MSC) sobre las propiedades del equipo local se puede activar desactivar el fichero de seguimiento NAP y luego seleccionar el nivel de detalle que se quiere en el fichero, bsico, avanzado o depuracin. Usando el comando NETSH en el smbolo del sistema as: netsh nap client set tracing state=enable level=advanced o Basic o verbose

En ambos casos el fichero de registro NAP se generar en la carpeta %systemroot%tracingnap.

Ver Vdeo: NAP, en el Mdulo 7. Unidad 8, en la plataforma e-learning. Laboratorios

Laboratorio 1. Configuracin NAP para Clientes DHCP


1. Como se mencion en la unidad anterior el Servicio Servidor de Directivas de Red (NPS) tambin cumple la funcin de ser un servidor de proteccin de acceso a redes (NAP); como ya se haba instalado ste servicio en la prctica anterior, continuaremos con las configuraciones para ser Servidor NAP, para ello desplegamos el rbol de nodos de la consola Servidor de Directivas de Redes y en proteccin de acceso a redes configuramos el validador de mantenimiento de seguridad de Windows haciendo sobre este clic derecho y luego seleccionar propiedades.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

2. Luego en la ventana de las propiedades hacer clic en el botn Configurar.

3. Desmarcar todas las opciones excepto la de Firewall (Ser el requisito necesario para saber si el cliente puede no cumplir con la directiva de acceso a la red).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

4. Otra opcin a configurar es el Grupo de servidores de actualizacin (ayudara a los clientes que no cumplen para salir de ese estado), para crear el grupo se hace clic derecho y seleccionar la opcin Nuevo.

5. Debemos asignar un nombre al grupo y luego agregar los servidores miembros del grupo y que sern servidores de actualizacin.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

6. En nuestro caso podemos agregar al servidor Core instalado en los primeras unidades de ste mdulo.

7. El siguiente paso consiste en crear las directivas de mantenimiento para los clientes NAP, hacer clic sobre Directivas de mantenimiento y seleccionar Nuevo.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

8. Podemos configurar tantas directivas como posibilidades de validacin tengamos , primero crearemos una directiva para aquellos clientes que superen todas las comprobaciones de los validadores.

9. Luego crearemos otra directiva para los clientes que NO superen alguna comprobacin.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

10. El resultado final ser que tenemos 2 Directivas de Cumplimiento, que luego sern incluidas como condiciones de acceso en las directivas de Red.

11. Ahora en las directivas de red desactivamos todas las directivas que tengamos (Predeterminadas como creadas de prcticas anteriores).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

12. Se desactivan todas las directivas de red para poder crear nuevas directivas con requisitos NAP.

13. Para crear una nueva Directiva de Red se hace clic derecho y seleccionar nuevo, se deben crear 2 Directivas de red la cual tendrn como Condicin la Directiva de cumplimiento.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

14. Asignamos un nombre a la directiva y siguiente, en ste caso ser para los clientes que cumplen la directiva NAP y a los que se les dar acceso a la red sin restricciones.

15. El asistente ahora muestra la pgina de condiciones la cual est vaca

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

16. Se deben agregar las Directivas de Mantenimiento creadas anteriormente en ste caso para los clientes que se detecten que cumplen con la directiva

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

17. Una vez dadas las condiciones la siguiente pgina define los permisos de acceso al cual dejamos en Concedido.

18. Luego seleccionamos los mtodos de autenticacin, como en ste caso usaremos DHCP para el uso de NAP no se involucra ninguna autenticacin pero si debemos solicitar la comprobacin de mantenimiento en el equipo.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

19. No se configurarn restricciones.

20. En la pgina de Opciones en el rea de Cumplimiento NAP podemos definir si se restringe o no la red, en ste caso si el cliente cumple tendr acceso Ilimitado.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

21. Cuando se tengan los parmetros adecuados de la Directiva entonces Finalizamos.

22. A continuacin se debe crear por lo menos una Directiva de Red ms para definir que los clientes que no cumplan con el NAP tendrn acceso restringido a la red, volvemos a crear una nueva directiva y seguimos el asistente. Asignar el nombre a la directiva, en ste caso Acceso Restringido a equipos que No cumplen.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

23. En las condiciones agregamos la Directiva de cumplimiento definida para los clientes que NO cumplen.

24. El permiso que se asigna debe ser Concedido ya que si lo denegamos el cliente no podr conectar y ni si quiera podr estar en la red restringida

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

25. Seleccionar la comprobacin de mantenimiento en el equipo y desmarcar los dems protocolos de autenticacin.

26. No se configuran restricciones.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Y en la pgina de Opciones en la seccin de Cumplimiento NAP podemos permitir Acceso limitado con Autocorreccin activada.

27. Si se hace clic en el botn Configurar podemos incluir el grupo de servidores de actualizacin creado previamente, permitiendo acceso a estos desde clientes que NO cumplan.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

28. Si los valores son correctos entonces Finalizar.

29. El resultado final sern 2 Directivas de Red configuradas para acceso de clientes que dependen de su estado de cumplimiento.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

30. Ahora debemos configurar el Servidor DHCP, debido a que en sta prctica el Servidor DHCP est separado del Servidor NAP y debemos activar la mensajera RADIUS entre los NAP-ES y el Servidor NAP es necesario instalar el Servicio NPS en el Servidor DHCP

31. Desde el Administrador de Servidor agregamos la Funcin Servicios de Acceso y directivas de redes

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

32. Seleccionar slo la funcin de servicio Servidor de Directivas de redes.

33. Clic en Cerrar cuando la instalacin finalice.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

34. Una vez instalado el Servicio procedemos a configurar el NPS instalado en el Servidor DHCP como un Servidor RADIUS Proxy, el primer paso ser registrar el Servicio en Directorio Activo.

35. Sobre Grupos de servidores Remotos RADIUS creamos un nuevo Grupo

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

36. Asignamos un Nombre y luego en Agregar.

37. Escribimos la Direccin IP del Servidor NAP

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

38. Confirmamos la Contrasea de acceso y los puertos que se usarn para la comunicacin.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

39. Una vez agregado el Servidor NAP al grupo

Debemos Seleccionar las Directivas de Solicitud de Conexin, en la que encontramos la directiva predeterminada llamada Usar autenticacin de Windows para todos los usuarios, hacer clic derecho y propiedades.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

En la pestaa Configuracin, bajo el reenvo de solicitudes de conexin, cambiar la opcin a Reenviar las solicitudes al grupo creado anteriormente donde est el Servidor NAP.

40. Esta directiva permite que todas las solicitudes NAP en viadas al DHCP sean trasladadas a mensajes RADIUS enviados al servidor NAP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

41. Nuevamente sobre el Servidor NAP se debe crear la cuenta del Cliente RADIUS (Servidor DHCP) para poder recibir las solicitudes reenviadas

42. Agregar la Direccin IP del Servidor DHCP con una clave secreta que coincida con la asignada en el paso anterior cuando se cre el Grupo de Servidores RADIUS Proxy, es importante marcar que el Cliente RADIUS es compatible con NAP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

43. Una vez creado le cliente lo veremos en la lista tal como se muestra en la grfica.

44. Nuevamente sobre el Servidor DHCP activamos en las propiedades del mbito la Compatibilidad con NAP

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

45. Como vemos el Servicio DHCP de Windows 2008 se integra con NAP a travs de la pestaa Proteccin de acceso a redes, activamos el soporte NAP para el mbito con el perfil predeterminado

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

46. El siguiente paso ser definir las opciones DHCP en el mbito por las que los clientes NAP recibirn informacin adecuada dependiendo de su estado de cumplimiento, si cumple recibe las opciones DHCP adecuadas para la red Ilimitada, pero si no cumple recibe las opciones DHCP usadas en la red restringida

47. Al configurar las opciones avanzadas de mbito aparece en la Clase Usuario opciones para NAP en las que se asignar informacin Restringida

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

48. En ste caso se agregan Servidores DNS y Sufijos DNS diferentes a los clientes que NO cumplen

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

49. Una vez configuradas todas las opciones necesarias comprobaremos el Cliente

50. Para configurar el Cliente NAP debemos realizar 3 cosas, la primera consiste en abrir una consola MMC nueva

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

51. Agregar el complemento de Edicin de Directivas de Grupo

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

52. En ste caso usamos la Directiva local del equipo pero es posible hacer esto usando una GPO en el Dominio.

53. Buscamos la Directiva Activar el Centro de Seguridad y la Activamos.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

54. La segunda configuracin consiste en abrir la consola de configuracin del cliente NAP (NAPCLCFG.MSC).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

55. Con sta consola podemos activar los mecanismos NAP-EC que se usarn para la comprobacin de cumplimiento NAP, en este caso usaremos DHCP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

56. El tercer aspecto a configurar es Activar el Servicio de Cliente NAP para que sea Automtico

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

57. El servicio Agente de Proteccin de acceso a redes debe estar habilitado e iniciado.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

58. El ltimo paso ser hacer que el cliente sea un cliente DHCP y reiniciamos el equipo cliente.

59. Cuando iniciemos la sesin podemos abrir un Smbolo del sistema y ejecutar el Comando IPCONFIG /ALL para conocer el estado de cuarentena del cliente NAP, en ste caso observamos que el cliente NO est restringido y que las opciones DHCP asignadas son las adecuadas para un cliente que Cumple con las comprobaciones del validador

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

60. Ahora, si volvemos al servidor NAP y reconfiguramos el Validados de Windows para exigir un software de Antivirus.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

61. Comprobamos en el cliente que efectos ha tenido, para refrescar el estado de cumplimiento ejecutamos IPCONFIG /RELEASE y nuevamente IPCONFIG /RENEW.

62. Vemos que el cliente NO cumple con los requisitos de la red y por tanto al volver a hacer IPCONFIG /ALL el estado de cuarentena es Restringido y las opciones DHCP son las adecuadas para el cliente que NO cumple ya que no tiene Antivirus instalado.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Laboratorio 2. Configuracin NAP para clientes VPN


1. Para usar NAP con Clientes VPN es necesario activar PEAP y para ello usaremos un certificado Digital, entonces el primer paso consiste en instalar una Autoridad de Certificados CA de Empresa Raz sobre el Controlador de Dominio, esta servir para prcticas posteriores. 2. Usaremos el Servidor instalado como Controlador de Domino, DNS y DHCP, abrir la consola Administrador del servidor y agregar funcin

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

3. Seleccionamos de la lista la funcin Servicios de Certificate Server de Active Directry

4. A continuacin el asistente nos guiar paso a paso, en ste caso aceptaremos los predeterminados, activamos Entidad de certificacin

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

5. De Empresa

6. CA Raz

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

7. Crear las claves Privadas.

8. Usar la Criptografa predeterminada

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

9. Asignar un nombre a la CA

10. Aceptar el perodo de validez de 5 aos de la CA

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

11. Una vez instalado el Servicio en herramientas administrativas, hacer clic en Certification Authority.

12. En la consola de la CA sobre el Nodo de Plantillas de certificado hacer clic derecho y seleccionar Administrar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

13. En la consola de Plantillas de certificados buscar la plantilla Equipo y abrir las Propiedades.

14. En la pestaa Seguridad permitir Inscribirse al grupo de usuarios autentificados y Aceptar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

15. Despus de configurar la plantilla de Equipo en la CA, debemos solicitar un certificado de Equipo para el servidor NAP que ser utilizado para la autenticacin PEAP del lado del servidor; Antes de solicitar el certificado se debe hacer un reinicio del servidor NAP para que pueda encontrar la nueva CA instalada en el paso anterior, a continuacin sobre el servidor NAP abrimos una consola MMC y agregamos el complemento Certificados para la cuenta del Equipo local.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

16. Una vez agregado el almacn de certificados del equipo a continuacin sobre el contenedor Personal hacer clic derecho y seleccionar Solicitar un nuevo certificado.

17. Se activar un asistente.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

18. Seleccionar el certificado para Equipo y hacer clic en Inscribir.

19. Se ver que el certificado es emitido e instalado en el equipo NAP

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

20. Si la solicitud es correcta el nuevo certificado se muestra en el almacn Personal de la cuenta del equipo.

21. Nuevamente configuramos el Servidor NAP para ser usado por clientes VPN, el primer paso ser configurar el validador de Windows para slo exigir el Firewall activado.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

22. El siguiente paso es comprobar las directivas de mantenimiento creadas con anterioridad en el laboratorio 1 de sta Unidad.

23. A continuacin se deben crear las 2 Directivas de Red necesarias para el acceso a la red, tambin haban sido creadas anteriormente, salvo que debemos hacer un cambio en la directiva de acceso restringido para los clientes que NO cumplen, por ello hacer clic derecho en la directiva de red para clientes que NO cumplen y seleccionar las Propiedades.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

24. En la Pestaa configuracin de la directiva en la seccin de enrutamiento y acceso remoto seleccionar filtros IP para determinar el trfico de entrada y de salida entre los clientes que no Cumplan y los servidores de actualizacin. 25. Hacer clic en Filtros de entrada

26. Agregar el filtro hacia la red de destino formada por un nico Host.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

27. Despus de agregar los filtros necesarios se debe seleccionar la opcin Permitir slo el trfico de la lista

28. Ahora en los filtros de salida agregamos el siguiente filtro

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

29. Despus de crear los Filtros se debe crear una directiva de solicitud de conexin para activar el PEAP para uso con NAP, para esto desactivar todas las directivas existentes (predeterminadas y creadas en prcticas anteriores)

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

30. Crear una nueva directiva de solicitud de conexin, el proceso ser guiado por un asistente

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

31. El primer paso consiste en asignar un nombre a la directiva y luego determinar que el tipo de servidor de acceso a la red es para Servidor de Acceso remoto (VPN-Marcacin).

32. En las Condiciones pinchar en agregar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

33. Seleccionar la condicin Tipo de Tnel.

34. Y seleccionar PPT y L2TP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

35. Sobre el reenvo de autenticaciones dejar la opcin autenticar solicitudes en ste servidor.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

36. Sobre mtodos de autenticacin marcar la opcin Invalidar la configuracin de autenticacin de la directiva de red, luego en Tipos de EAP pinchar en el botn Agregar.

37. Seleccionar EAP Protegido y contrasea segura (EAP-MSCHAP v2)

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

38. Sobre EAP Protegido (PEAP) hacer clic en el botn editar

39. Seleccionar Habilitar comprobaciones de cuarentena.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

40. No configuramos nada en Opciones.

41. Si todas las opciones son correctas Finalizar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

42. Debido a que el Servidor RAS (Servidor de VPN) es distinto al servidor NAP se debe agregar como cliente RADIUS en la consola NPS del Servidor NAP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

43. Como ya habamos agregado el servidor en una prctica anterior, lo deberamos tener en la lista de Clientes RADIUS pero debemos asegurarnos que el servidor este seleccionado como que el cliente RADIUS es compatible con NAP

44. Ahora se configura el Servidor RAS para usar el Servidor NAP, como se vio en la unidad anterior, el servidor de acceso remoto usar el RADIUS para la autenticacin.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

45. Ahora configuramos el Cliente VPN para que use NAP, recordamos los 3 aspectos a revisar en un cliente NAP, primero habilitar la directiva local Activar el centro de seguridad

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

46. Segundo en la consola del cliente NAP habilitar el cliente de cumplimiento de cuarentena para el acceso remoto

47. Y por ltimo Habilitar e iniciar el servicio agente de proteccin de acceso a redes

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

48. A continuacin sobre la conexin VPN se debe activar el protocolo PEAP, para ello seleccionamos las propiedades de la conexin VPN y en seguridad seleccionar la opcin Avanzada

49. Luego Usar el protocolo de autenticacin extensible EAP con EAP protegido (PEAP)

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

50. A continuacin hacer clic en el botn propiedades, y seleccionar como mtodo de autenticacin (EAP-MSCHAP v2) y habilitar comprobaciones de cuarentena, desmarcar la opcin Habilitar reconexin rpida

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

51. Una vez configuradas las opciones de autenticacin en el cliente debemos asegurarnos de tener el certificado de la CA raz que emiti el certificado de Equipo para el Servidor NPS ya que se utiliza en el proceso de comunicacin segura entre el cliente y el servidor NAP. El certificado de la CA raz debe estar instalado en el cliente porque de lo contrario el certificado del Servidor NAP no tendr validez para el cliente provocando un error en el momento de la conexin de la VPN que se describe en la siguiente grfica (Error 0X80420400)

52. Se debe exportar el certificado de la CA para que el cliente pueda confiar en el certificado de la CA que se emiti para uso de autenticacin PEAP, entonces sobre el servidor NAP en la consola de Certificados para el equipo, sobre el nodo de Entidades de certificacin Raz de confianza, certificados debemos tener un Certificado con el nombre de la CA instalada al principio de ste laboratorio, sobre el certificado hacer clic derecho y Exportar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

53. El Asistente para exportar el certificado se inicia

54. Seleccionar el formato de exportacin si DER binario es escogido se generar un fichero de tipo CER.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

55. Luego debemos dar una ubicacin donde crear el fichero con el certificado exportado.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

56. Cuando la exportacin del certificado termine correctamente debemos tomar el fichero generado e importarlo en el equipo cliente que se conectar con la VPN

57. El asistente para Importar el Certificado se inicia debemos asegurarnos de almacenarlo en el mismo almacn desde el que se export.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

58. Cuando la importacin del Certificado de la CA raz termine correctamente entonces ya podemos intentar la conexin VPN

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

59. Durante el proceso de conexin se abrir la ventana de validacin del certificado de equipo del Servidor NAP, hacer clic en Aceptar para establecer la conexin.

60. Como se observa en los detalles de la conexin VPN el protocolo usado para autenticacin es EAP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

61. Una vez conectado hacemos un IPCONFIG /ALL y vemos que el cliente aparece Sin restriccin lo que quiere decir que cumple con la directiva de mantenimiento NAP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

62. A continuacin Desconectar la VPN.

63. Sobre el Servidor NAP reconfiguramos el validador de Windows para requerir un antivirus en el cliente NAP

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

64. Ahora en el cliente volvemos a establecer la conexin VPN.

65. Nuevamente vemos que la conexin se ha establecido correctamente porque est permitida en la directiva de red

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

66. Sin embargo vemos un mensaje en el rea de notificacin que informa que el equipo no cumple con los requisitos de la red

67. Si se lanza el comando IPCONFIG /ALL nuevamente se puede ver que el estado del cliente es restringido sobre el que aplica los filtros configurados para permitir trfico slo hacia y desde las direcciones IP configuradas (Servidores de Actualizacin)

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 9. Configuracion de Ipsec


Introduccin
Seguridad del protocolo Internet (IPSec) es un marco de normas abiertas para proteger las comunicaciones a travs de redes IP a travs de los servicios de seguridad criptogrfica. IPsec admite la autenticacin a nivel de red de pares, autenticacin de datos de origen, integridad de datos, confidencialidad de los datos (encriptacin) y proteccin contra la reproduccin. La implementacin de Microsoft IPSec est basado en estndares que el Grupo de Internet Engineering Task Force (IETF) IPsec de trabajo desarrollado. Los sistemas operativos siguientes admiten IPsec: Windows Vista , Windows Server 2008, Windows Server 2003, Microsoft Windows XP y Windows 2000 sistemas operativos. Adems, se integra con el servicio de directorio Active Directory . Puede asignar polticas IPSec a travs de Directiva de grupo, que le permite configurar las opciones de IPsec en el dominio, sitio o unidad organizativa (OU) nivel.

Definiciones
Generalidades de IPsec
IPsec es un conjunto de protocolos que ayudan a proteger los datos que se transmiten en la red usando servicios de seguridad y certificados digitales con claves pblicas y privadas; el uso de IPsec incrementa la seguridad porque su diseo permite a un administrador configurarlo ms fcil y no en cada programa en forma individual. Normalmente se utiliza IPsec para lograr la confidencialidad, integridad y autenticacin en el transporte de datos a travs de canales de comunicacin inseguros como enlaces pblicos de Internet, a pesar de ste propsito en muchas ocasiones su implementacin se utilizan para aumentar la seguridad en las redes privadas, esto es debido a que las organizaciones no siempre pueden estar seguras si las deficiencias en sus propias redes privadas son susceptibles de ataques por cualquier vulnerabilidad. Si se implementa adecuadamente IPsec proveer un canal privado para intercambiar datos vulnerables sin importar su naturaleza (correo, FTP, cadenas de datos, registros en una aplicacin cualquier tipo de dato basado en TCP/IP). IPSec ofrece las siguientes ventajas: Autenticacin mutua antes y durante las comunicaciones. Fuerza a las 2 partes a identificarse durante el proceso de comunicacin. Activa confidencialidad a travs del cifrado de trfico IP y autenticacin digital de paquetes. Modo ESP (encapsulating security payload): cifra los datos con uno de mltiples algoritmos disponibles (DES, 3DES, AES) Modo AH (Authentication Header): Firma el trfico pero no lo cifra.

IPsec usa 2 modos de intercambio de informacin:

IPsec tiene 2 objetivos:

Brinda Integridad al trfico IP rechazando paquetes modificados: los 2 modos ESP y AH comprueban la integridad del trfico IP, si un paquete ha sido modificado la firma digital no coincidir y el paquete ser descartado. ESP en modo tnel cifra las direcciones origen y destino como parte de la comunicacin, en ste modo se agrega un nuevo encabezado al paquete donde se especifican las direcciones IP de los 2 puntos extremos en la comunicacin. Brinda proteccin a ataques de reproduccin de paquetes: ESP y AH usan nmeros de secuencias para que cualquier dato que sea capturado para despus reproducirlo usar nmeros fuera de secuencia, el usar nmero en secuencia asegura que un atacante no pueda .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

reutilizar dato capturados para establecer una sesin u obtener informacin ilegalmente, los nmeros de secuencia tambin protege contra intentos de interceptar mensajes y usarlos para acceder a los recursos ilegalmente tiempo despus. Usos de IPsec: Filtrado de paquetes: IPSec proporciona una funcionalidad limitada de firewall en equipos de cara a Internet permitiendo o bloqueando el trfico entrante o saliente, para ello IPsec se aplica junto al componente NAT/Firewall de enrutamiento y acceso remoto, tambin se puede utilizar IPsec con conexin a Internet con firewall (ICF), que proporciona filtrado con estado. Sin embargo, para garantizar un adecuado intercambio de claves IKE (Internet Key Exchange) en las asociaciones de seguridad IPsec (SA), se debe configurar ICF para permitir el protocolo UDP 500. Asegurar el trfico host a host en rutas especficas: se puede utilizar IPsec para proporcionar proteccin para el trfico entre servidores u otras direcciones IP estticas o subredes. Por ejemplo, IPsec puede proteger el trfico entre los controladores de dominio en sitios diferentes, o entre los servidores Web y servidores de base de datos. Proteger el trfico a servidores: es posible requerir la proteccin de IPsec para todos los equipos cliente que acceden a un servidor, adems, puede establecer restricciones para definir que equipos pueden conectarse a un servidor que ejecuta Windows Server 2008. L2TP/IPSec para conexiones VPN: se puede utilizar la combinacin de L2TP e IPsec (L2TP/IPsec) para todos los escenarios de VPN, este escenario no requiere la configuracin e implementacin de directivas IPsec. Tnel de sitio a sitio (puerta de enlace a puerta de enlace): se puede usar IPsec en modo tnel para interconectar 2 enrutadores de 2 sitios distantes, cuando se requiere interoperabilidad con enrutadores de otros fabricantes que no soporten conexiones L2TP PPTP Forzado de redes lgicas (servidor / Dominio aislado): en una red basada en Microsoft Windows, puede aislar recursos de servidor y de dominio lgicamente para limitar el acceso a los equipos autenticados y autorizados. Por ejemplo, puede crear una red lgica dentro de la red fsica existente donde los equipos comparten requisitos comunes para comunicaciones seguras, para establecer la conectividad, cada equipo en esta red aislada lgicamente debe proporcionar credenciales de autenticacin a otros equipos; este aislamiento evita que los ordenadores no autorizados y los programas tengan acceso inadecuado a los recursos, las solicitudes de equipos que no forman parte de la red aislada se ignoran, este escenario puede ayudar a proteger servidores especficos de alto valor y de datos, y proteger los equipos administrados de equipos no administrados.

Una red puede tener dos tipos de aislamiento: Aislamiento de Servidor: para aislar un servidor se configuran servidores especficos para requerir una directiva IPsec para aceptar comunicaciones autenticadas desde otros equipos, por ejemplo, se puede configurar el servidor de base de datos para aceptar conexiones desde el servidor de aplicaciones Web solamente. Dominio aislado: para aislar un dominio, se utiliza la pertenencia al dominio de Directorio Activo para garantizar que los equipos que son miembros de un dominio slo aceptan comunicaciones autenticadas y aseguradas desde otros equipos del dominio, la red aislada consta slo de equipos del dominio, y el aislamiento de dominio utiliza la directiva IPsec para proteger el trfico enviado entre los miembros del dominio, incluyendo todos los equipos cliente y servidor. Debido a que IPsec depende de las direcciones IP para establecer conexiones seguras, no se puede especificar las direcciones IP dinmicas en consecuencia se deberan usar IPs estticas, en algunos escenarios que necesiten DHCP como clientes remotos el diseo de IPsec puede ser ms complejo.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Existen algunos casos donde no se recomienda el uso de IPsec: debido a reducciones de rendimiento en el procesamiento de los equipos. incrementos en el consumo de ancho de banda de la red. tambin se debe tener en cuenta que IPsec necesita el uso de directivas IPsec que aumentan la administracin y la hace ms compleja. IPsec puede ocasionar problemas de compatibilidad con las aplicaciones Usando la consola MMC de Firewall de Windows con seguridad avanzada: permite configurar tanto la configuracin del firewall como las configuraciones de seguridad (IPSec) sobre una interfaz de red, as mismo tambin se puede ver la directiva que se aplica actualmente, las reglas, y otra informacin en el nodo Monitor. Usando el complemento administrativo directiva de seguridad IP en una consola MMC: Permite configurar directivas IPsec que apliquen a equipos ejecutando versiones anteriores y actuales de Windows, se recomienda su uso en entornos donde se tengan equipos de distintas versiones de Windows, ste complemento no sirve para configurar el firewall de Windows con seguridad avanzada. Usando comandos Netsh: este comando permite la configuracin del firewall de Windows con seguridad avanzada a travs del contexto netsh advfirewall; tambin es posible usar el comando netsh ipsec para configurar reglas de seguridad en la conexin.

Herramientas usadas para Configurar IPsec:

Reglas de seguridad de conexin: Una regla de seguridad de conexin fuerza la autenticacin entre 2 equipos antes que ellos puedan establecer una comunicacin y transmitir informacin segura, el firewall de Windows con seguridad avanzada usa IPsec para forzar estas reglas, dentro de las reglas de seguridad de conexin existen distintos tipos configurables: De aislamiento: Asla un equipo restringiendo las conexiones basndose en las credenciales como miembros del dominio o estados de cumplimiento de salud, las reglas de aislamiento permiten implementar una estrategia de aislamiento para servidores o dominios. Al crear este tipo de reglas se lanza un asistente que mostrar las siguientes pginas:

Requerimientos: se debe escoger alguno de los siguientes mtodos de autenticacin: Solicita autenticacin para conexiones entrantes y salientes; Requiere autenticacin para conexiones entrantes y solicita autenticacin para conexiones salientes; Requiere autenticacin para conexiones entrantes y salientes. Mtodo: de acuerdo al requerimiento de autenticacin se puede seleccionar los siguientes mtodos para hacerlo: Predeterminado; Equipo y Usuario (usando Kerberos) usa el protocolo de autenticacin Kerberos v.5 para restringir conexiones a equipos y usuarios unidos al dominio, slo es compatible con Windows Vista en adelante; Equipo (usando Kerberos) usa la autenticacin Kerberos v5 para restringir las conexiones a equipos unidos al dominio, es compatible con equipos ejecutando Windows 2000 superior; Certificado de Equipo Restringe las conexiones a mquinas que tengan un certificado de una autoridad de certificados (CA) especfica, es compatible con equipos con cualquier versin de Windows, con ste mtodo en equipos con Windows Vista posteriores se puede especificar que slo los certificados de cumplimiento de salud emitidos por una infraestructura NAP usando directivas de cumplimiento sean aceptados y avanzado que permite designar mltiples mtodos de autenticacin. Perfil: Escoger los perfiles a los que la regla aplicar (Dominio, pblico y privado) Nombre: Un nombre para la regla y descripcin (opcional) De exencin de Autenticacin: Permite designar conexiones que no requieren autenticacin basndose en direcciones IP especficas, un rango de direcciones IP, una subred o un grupo .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

predefinido como las puertas de enlace, al crear la regla el asistente preguntar las siguientes opciones: Equipos Exentos de autenticacin (por IP, subset, grupos predefinidos); Perfil al que aplicar la regla (dominio, pblico y privado); Nombre de la regla y descripcin (opcional) Regla de Servidor a Servidor: Protege las conexiones entre equipos especficos (usualmente servidores), al crear sta regla el asistente preguntar las siguientes opciones: Equipos en los 2 extremos (de acuerdo a direccin IP o por tipo de conexin); Requisitos para definir la forma para que la autenticacin ocurra (igual a la regla de aislamiento); Mtodo de autenticacin que puede incluir certificados digitales, claves previamente compartidas o mtodos personalizados; Perfil al que aplica la regla (Dominio, pblico y privado) y el Nombre de la regla con la descripcin. Regla de Tnel: Protege la comunicacin entre 2 puertas de enlace y usualmente usando conexiones pblicas como Internet, al crear la regla el asistente preguntar las siguientes opciones: Extremos del tnel identificados por direccin IP o rangos de IP; mtodos de autenticacin (certificados, claves compartidas, etc.); Perfiles a los que aplicar la regla (Dominio, pblico y privado) y Nombre de la regla con descripcin. Regla personalizada: Se usa para autenticar conexiones entre 2 puntos extremos cuando no se puedan configurar usando las reglas anteriores, el asistente pedir los siguientes parmetros: puntos extremos, requisitos, mtodo de autenticacin, perfil al que aplica la regla y nombre de la regla.

Es importante tener en cuenta que las reglas de firewall y las reglas de conexin de seguridad estn relacionadas entre s pero cumplen 2 objetivos distintos, las reglas de firewall permiten que el trfico fluya entre las adaptadoras del firewall pero no aseguran el trfico, para asegurar el trfico con IPsec se deben crear las reglas de conexin. De igual manera si se crea una regla de conexin de seguridad, esta no permite el trfico a travs del firewall, para ello se debe crear una regla de firewall si el comportamiento predeterminado del firewall est activo (Bloquea todo el trfico) en consecuencia si no hay una regla de firewall la regla de conexin no se aplicar a los programas o servicios.

Configuracin de Reglas de Conexin de Seguridad:


Como ya hemos mencionado se pueden utilizar las reglas de seguridad de conexin para configurar IPSec para conexiones especficas entre un equipo y otros, el firewall de Windows con seguridad avanzada utiliza la regla para evaluar el trfico de red, y bloquea o permite los mensajes basndose en los criterios establecidos en la regla; en algunas circunstancias, el firewall de Windows con seguridad avanzada bloquear la comunicacin de acuerdo a la direccin o si no se puede autenticar entre s. Al crear stas reglas el asistente permitir definir los parmetros acordes a las necesidades que los administradores tengan, y pueden ser de aislamiento (restringe las comunicaciones de acuerdo a la autenticacin); de exencin de autenticacin (hace excepciones para solicitar autenticacin, generalmente deberamos incluir los servidores de infraestructura como controladores de dominio del directorio activo, DHCP, DNS etc.); de servidor a servidor (autentica las comunicaciones entre 2 puntos extremos); de Tnel (autentica la conexin entre 2 puntos extremos que usan un enlace inseguro como Internet, generalmente entre gateways) y personalizadas por si las reglas anteriores no permiten la configuracin deseada. Al seleccionar el tipo de regla el asistente a continuacin preguntar por otras opciones que se deben determinar as: Puntos Finales en la conexin: se refiere a un host grupo de hosts que forman un punto de la conexin, las posibilidades pueden ser dadas por IP, rango de IP, subredes equipos predefinidos como servidores WINS, DHCP, puerta de enlace predeterminada, DNS, o la subred local (todos los equipos excepto en las interfaces con IP pblicas) tambin se incluyen todas las formas de conexin (LAN e inalmbricas). De acuerdo a los puntos de conexin que intervienen en ella IPsec puede funcionar de las siguientes maneras: .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Modo Tnel: donde protege un paquete entero IP y lo trata como una carga adicional AH ESP, en ste modo de trabajo el paquete entero se encapsula con un encabezado AH o ESP y un encabezado IP adicional, las direcciones IP del nuevo encabezado son los puntos extremos del tnel y las direcciones del encabezado encapsulado son las direcciones origen y destino finales; ESP cifrar el paquete pero el nuevo encabezado no se cifra para facilitar el enrutamiento, ESP no garantiza la autenticidad de los datos en el encabezado. Modos ESP: funciona de 2 modos dependiendo de la funcionalidad y la capacidad del hosts: Modo Transporte: el dato es cifrado pero el encabezado no se cambia, se usa entre 2 hosts que tengan soporte para usar IPsec directamente. Modo Tnel: el paquete original se cifra y se envuelve dentro de un nuevo paquete que se transmite entre 2 enrutadores con soporte IPsec, el modo tnel permite el intercambio de informacin entre 2 equipos que no soportan IPsec usando los gateways con IPsec para que aseguren el trfico entre 2 puntos bajo una red insegura.

Requisitos de autenticacin: define como se debe establecer la autenticacin en las conexiones entrantes o salientes y si falla la autenticacin la conexin se rechazar, existen 3 maneras de determinar cmo se debe autenticar: Solicitar autenticacin para conexiones entrantes y salientes: con esta opcin todo el trfico ser autenticada y se permitir incluso si hay un fallo, se usan en entornos con seguridad baja entornos donde se pueden conectar pero no son compatibles con los tipos de autenticacin del firewall de Windows con seguridad avanzada Requiere autenticacin para conexiones entrantes y solicita autenticacin para conexiones salientes: en ste caso el trfico entrante debe ser autenticado o de lo contrario ser bloqueado, el trfico saliente puede ser autenticado pero permitido si falla, esta opcin se puede usar en entornos donde los equipos son compatibles con el firewall avanzado de Windows Requiere autenticacin para conexiones entrantes y salientes: Todo el trfico ser autenticado o ser bloqueado, esta opcin se usa en entornos de seguridad alta y todos los equipos son compatibles con la autenticacin del firewall con seguridad avanzada de Windows.

Mtodos de Autenticacin: configura el mtodo de credenciales utilizadas en la autenticacin, y pueden ser. Predeterminada: es el mtodo configurado en la pestaa configuracin IPsec de las propiedades del firewall de Windows con seguridad avanzada. Equipo y Usuario (Kerberos v5): se usan ambas autenticaciones para establecer la conexin usando Kerberos, slo se usa si las 2 partes son equipos y usuarios miembros del dominio. Equipo (Kerberos v5): slo el equipo se autenticar usando Kerberos, slo se aplica si los 2 equipos hacen parte del dominio. Usuario (Kerberos v5): usa la autenticacin de usuario con Kerberos, slo si el usuario es miembro del dominio. Certificado de equipo: usa un certificado digital para autenticar, se debe tener una CA para hacerlo. Slo aceptar certificados de salud: usa un certificado vlido de salud para autenticar, el certificado de salud declara que un equipo tiene todo el software y otras actualizaciones que el acceso a red requiere, estos certificados se distribuyen dentro de un proceso NAP. Avanzadas: se puede configurar cualquier mtodo disponible, estableciendo un orden desde el ms seguro a los ms inseguros.

Perfiles de uso del Firewall: el perfil de firewall es una forma de agrupacin de configuraciones (reglas de firewall y reglas de conexin) que se aplican a un equipo dependiendo de donde est conectado, el firewall avanzado posee 3 tipos de perfiles pero slo se aplica un perfil en un momento dado: Perfil Dominio: Se aplica cuando el equipo est conectado a la red en la que reside una cuenta de equipo existente en el dominio.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Perfil Privado: Se aplica cuando el equipo est conectado a una red en la cual la cuenta del equipo de dominio no reside, como por ejemplo la red de la casa esta configuracin es ms restrictiva que la de Dominio. Perfil pblico: aplica cuando un equipo est conectado a un dominio a travs de una red pblica, es el ms restrictivo.

Forzado NAP con IPSec:


El forzado NAP para las directivas IPsec para Firewall de Windows es implementado con un servidor de certificados de salud, un servidor de autoridad de registro de la salud (HRA), un equipo que ejecuta Servidor de Directivas de red (NPS) y un cliente de cumplimiento NAP de IPsec; El servidor de certificados de salud emite certificados X.509 a los clientes NAP cuando son detectados como clientes que cumplen con las directivas de salud, estos certificados son utilizados para autenticar los clientes NAP cuando inicien una comunicacin IPsec con otro cliente NAP en la red interna. Como ya se mencion en la unidad anterior el forzado IPsec divide la red fsica en 3 redes lgicas y los clientes slo pertenecen a una red en un momento dado, las redes lgicas se definen en funcin de que equipos tienen certificados de salud y cuales equipos requieren autenticacin IPsec con certificados de salud para intentos de conexin entrante, dichas 3 redes lgicas son: Red Segura: Todos los equipos tienen certificados de salud y requieren autenticacin IPsec en las comunicaciones entrantes. Red Lmite: los equipos tienen certificados de salud pero no requieren autenticacin IPsec en las comunicaciones entrantes. Red Restringida: los equipos no tienen certificados de salud incluye a los clientes NAP que no cumplen, equipos invitados equipos con sistemas operativos no compatibles con NAP. En el Servidor NPS configurar las directivas de conexin, de red y de cumplimiento NAP (puede usar el asistente). Activar el cliente de forzado NAP con IPsec y el servicio NAP en todos los equipos clientes compatibles con NAP. Instalar HRA en el servidor NPS o en otro remoto. Instalar y configurar el servicio AD CS (servicios de certificados) y configurar las plantillas de certificados. Configurar las directivas de grupo necesarias para el despliegue automtico de los certificados. Configurar el validador de Windows (WSHV) instalar los agentes NAP segn la infraestructura NAP.

Requerimientos para Implementar el Forzado NAP IPsec:

Ver Vdeo: IPSEC, en el Mdulo 7. Unidad 9, en la plataforma e-learning.

Laboratorio: Configuraciones previas para establecer NAP con IPsec


En este laboratorio implementaremos un sistema de proteccin de acceso a la red usando IPsec, para ello debemos usar algunos componentes adicionales como una autoridad de certificados (CA) para emitir certificados de Salud que sern emitidos a los equipos que cumplan con la directiva de mantenimiento NAP a travs de otro componente NAP que es el Servidor de Autoridad de Registro de .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

mantenimiento (HRA); adems configuraremos algunos Grupos de seguridad a los que se les aplicarn configuraciones incluidas en Directivas de grupo para que implementen IPSEC al contrario para exceptuarlos de directivas IPSEC y que puedan seguir teniendo comunicacin independientemente al estado de salud del equipo como es el caso del servidor HRA. 1. El primer paso consistir en configurar la autoridad de Certificados instalada en el segundo laboratorio de la unidad anterior, en el Servidor que tiene la funcin de Controlador de Domino, DNS, DHCP, CA abrir la consola Certification Authority desde las herramientas administrativas. 2. Creamos un grupo global.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

3. Hacemos miembro del grupo a SRVNPS

4. Creamos otro grupo Global para los equipos cliente

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

5. En la entidad emisora de certificados CA, activamos las plantillas de certificados necesarias

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

6. En el proceso de duplicacin de la plantilla. Le asignamos el nombre de Autenticacin de salud del sistema

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Activar el Autoenroll

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Antes de configurar el servidor NAP y HRA es necesario reiniciarlo para que obtenga un certificado de Autenticacin de salud de sistema a travs de la directiva de grupo configurada para el grupo Equipos exencin IPsec NAP. Una vez reiniciado comprobamos los certificados instalados en la mquina deben existir 2, uno que fue emitido como Equipo en el laboratorio 2 de la unidad anterior que se us para el protocolo PEAP, en ste caso se utilizar para activar SSL en el sitio Web que usar el servicio HRA (escucha las solicitudes de los clientes NAP a travs del protocolo http y en ste caso lo aseguraremos con ste certificado) Y el segundo certificado es emitido para la autenticacin IPsec con clientes que cumplan no cumplan con NAP como se ve ste certificado se emiti al Servidor que servir como HRA independiente a su estado de cumplimiento de salud NAP. Esto es necesario porque ste servidor se ubica en la Red lgica Lmite (Boundary) es decir que ser accedido tanto por clientes NAP que exigen autenticacin IPsec como con clientes NAP que no cumplen.

A continuacin agregaremos los servicios HRA con una Autoridad de Certificados Independiente Subordinada, desde la consola Administrador del Servidor agregaremos estas funciones, debido a que en el servidor ya tenemos instalado el Servidor de Directivas de Red (NPS) entonces debemos agregar el Servidor HRA como una funcin de servicio adicional. En la consola de Administre el Servidor hacer clic en servicios de acceso y directivas de redes y luego hacer clic en Agregar servicios de Funcin.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Al seleccionar la funcin autoridad de registro de mantenimiento se nos mostrarn otros componentes requeridos para el funcionamiento de esta funcin, en ste caso los servicios de IIS debido a que como dijimos anteriormente HRA hace uso del protocolo http para establecer comunicacin con los clientes NAP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

A continuacin se deben dar permisos a la cuenta de equipo que hace la funcin de HRA sobre la Autoridad de certificados para poder solicitar, emitir, mantener certificados pero en ste caso la CA y HRA estn en la misma mquina entonces se debe conceder permiso a la cuenta Servicio de Red.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Desde el Administrador del Servidor configuramos el Servidor HRA, si no aparece se debe cerrar y abrir la consola Administre el Servidor

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

A continuacin se configurar el Servidor NAP, en ste caso lo configuraremos usando el asistente del servidor NAP.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Como el Servidor HRA est instalado en el propio Servidor NAP no es necesario agregarlo como cliente RADIUS.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

A continuacin es posible configurar el Cliente NAP usando una GPO. Ejecutar en el Controlador de Dominio la consola GPMC.MSC y crear una nueva GPO llamada Configuracin Cliente NAP

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

A continuacin agregamos al cliente Windows Vista 1 como miembro del grupo Equipos Cliente NAP

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Reiniciamos el cliente1 y verificamos que la GPO de cliente NAP se ha aplicado correctamente

Ahora configuramos el Cliente Windows Vista 2, debemos tener en cuenta que ste cliente est fuera del Dominio por tanto debemos hacer las configuraciones del cliente NAP en forma manual con las configuraciones iguales a las de la GPO configurada anteriormente.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

El siguiente paso es configurar el firewall para permitir el PING (ICMP v4) en los equipos clientes y luego hacer una prueba de ping entre los 2

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

A continuacin configuraremos los clientes 1 y 2 para que sean miembros del Dominio y sean parte de la red interna, para ello reconfiguramos el Cliente Windows Vista 2 con direcciones IP de la Red interna

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 10: Supervisin y Solucin de problemas con IPsec


Supervisin de la actividad IPsec
Supervisar la actividad de IPsec le permitir conocer lo siguiente: Ver la informacin de la directiva IPsec asignada Ver detalles sobre la directiva IPsec activa y las estadsticas IPsec. Comprobar que la auditora de seguridad est habilitada Ver eventos relacionados con el IPsec Activar registros de auditoras para eventos de intercambio de claves (IKE) y ver dichos eventos. Ver informacin IPsec y otras redes. Cambiar la configuracin IPsec para la resolucin de problemas.

Herramientas de Supervisin
Se puede utilizar el complemento administrativo de la consola MMC llamado Monitor de seguridad IP para ver y supervisar estadsticas y directivas aplicadas a los equipos, se puede usar en equipos con Windows XP en adelante. La herramienta nos permite ver detalles sobre la directiva IPsec activa que se aplica desde el dominio o localmente, ver informacin de modo rpido y modo principal y las asociaciones de seguridad (SA), tambin permite la bsqueda de filtros especficos de un tipo de trfico especfico. Es posible supervisar equipos remotamente desde una nica consola, pero es necesario modificar el registro del equipo remoto para que acepte la conexin de la consola para hacerlo configure la clave de registro EnableRemoteMgmt con valor 1 por defecto tiene un valor 0 la clave se encuentra en la siguiente ruta: HKLM\system\currentcontrolset\services\policyagent Usando la consola tambin se puede conocer la directiva que ha sido aplicada al equipo con informacin como ubicacin, cuando fue modificada, etc. Tambin podemos obtener esta informacin con el comando: Netsh ipsec static show gpoassignedpolicy Modo Principal IKE: es la asociacin de seguridad (SA) inicial que est establecida entre 2 equipos, esta negocia un conjunto de protocolos de proteccin criptogrfica entre los 2 hosts, esta SA permite que el intercambio de llaves del modo rpido ocurra en un entorno protegido, el modo principal tambin es conocido como SA ISAKMP que se encarga de establecer un entorno seguro para el intercambio de claves posteriores requeridas en IPsec. Modo Rpido IKE: depende del establecimiento correcto del modo principal IE, tambin se conoce a ste modo como Fase 2 IKE, se encarga de establecer claves basadas en la informacin que una directiva especifique, tambin establece SAs para crear canales seguros para intercambiar datos de una aplicacin IP especificados en una directiva. IPsecmon: es un comando de solucin de problemas IPsec para Windows 2000 pero no provee el mismo nivel de estadsticas que el monitor de seguridad IP. Nodo de Supervisin en el Firewall de Windows con seguridad avanzada: lista todas las reglas de conexin de seguridad activas con informacin detallada de las configuraciones, dentro de la informacin que podemos conocer se incluye: Autenticacin, intercambio de claves, integridad de datos, cifrado, Asociaciones de seguridad usadas para proteger la comunicacin desde el equipo q enva al receptor. A diferencia del firewall de Windows que depende del panel de control, el firewall con seguridad avanzada es un complemento administrativo de una consola .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

MMC lo cual permite configurar el firewall localmente como remotamente y tambin usando Directivas de grupo. Con la consola de Firewall con seguridad avanzada es posible ver la informacin de las directivas de seguridad creadas en las reglas de conexin de seguridad pero no se pueden ver las directivas creadas desde la herramienta MMC llamada Directivas de seguridad IP porque stas opciones slo se pueden usar a partir de Windows Vista en adelante, para sistemas anteriores a Windows Vista se debe utilizar el monitor se seguridad IP para ver las SAs y las conexiones. La carpeta de conexiones de seguridad lista todas las reglas de conexin de seguridad activas con informacin detallada de sus configuraciones tales como autenticacin, intercambio de claves, integridad de los datos, o el cifrado que se utilizan en las asociaciones de seguridad (SA, define la seguridad usada para para proteger la comunicacin desude un origen aun destino). Este nodo del firewall de seguridad avanzada muestra todas las SA del modo principal y el modo rpido con informacin detallada sobre sus configuraciones y los puntos finales que intervienen. El Modo Principal provee datos estadsticos del total de SA creadas, as como tambin de paquetes invlidos. El modo rpido provee informacin ms detallada sobre las conexiones, si se tienen problemas con una conexin IPsec, ste modo puede darnos alguna informacin sobre el problema. Netsh: con el comando nos permite activar un seguimiento detallado de las negociaciones IKE en modo principal y en modo rpido, aunque muchos eventos se escriben al visor de sucesos, si la informacin no es suficiente el comando siguiente activa un log de traza:

netsh ipsec dynamic set config ikelogging 1 el fichero de registro IKE se generar en la carpeta: %systemroot%\debug\oakley.log

Solucin de problemas IPsec


El proceso de solucin de problemas IPsec incluye los siguientes pasos: Comprobar la configuracin de red IP: una causa probable de un fallo IPsec es que un servicio de los que depende tenga un fallo, dentro de ello podemos incluir conectividad en red con controladores de dominio, servidores DNS, etc. Para ello se recomienda detener el agente de directivas IPsec y probar conectividad y disponibilidad del servicio a travs de comandos ping, net view, Telnet, etc. Comprobar las configuraciones del firewall apropiadas tanto local como externo: comprobar las reglas de firewall en la consola MMC del Firewall con seguridad avanzada para determinar si hay bloqueos o errores de configuracin (recuerde que las reglas especificadas en las directivas de seguridad IP no se ven en sta consola). Comprobar las directivas IPSec y directivas de grupo: para comprobarlo tanto en clientes como en servidores se puede utilizar la resultante de directivas (RSOP) y ver la directiva aplicada, se debe asegurar que el equipo est dentro del alcance de la directiva de grupo (GPO) que ha sido aplicada y con las configuraciones apropiadas. Asegurar la compatibilidad de la directiva: Tanto los clientes como los servidores deben tener una directiva la directiva de seguridad aplicada teniendo en cuenta que las directivas funcionen correctamente en conjunto. Comprobar la configuracin del firewall: para que IPsec funcione adecuadamente el puerto UDP 500 no debe estar bloqueado y todos los dispositivos involucrados deben soportar IPsec. Activar el fichero de registro IKE: Si se necesita obtener ms informacin es posible activar el fichero Oakley.log que se almacena en la carpeta %Systemroot%\debug

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Solucin de problemas IKE


Para solucionar problemas con el protocolo de intercambio de llaves IKE se debe entender lo siguiente: Solucin de problemas de conectividad relacionados con IPsec e IKE: estos protocolos pueden requerir soporte de caractersticas de red especficas como por ejemplo soporte para fragmentacin de paquetes, para resolver problemas se debe ejecutar una traza de red entre los 2 hosts, se recomienda utilizar el ESP-null porque si no los paquetes sern ilegibles. Solucin de problemas de firewall y puertos: Un problema comn que implica los cortafuegos y filtrado de puertos sobre los enrutadores es cuando el puerto UDP 500 est bloqueado, otro problema comn es cuando los paquetes de IPsec estan negados, cualquiera de los 2 casos mencionados ocasionar que IPsec falle. Ver el fichero oakley.log para problemas potenciales: Este fichero contiene informacin de bajo nivel que requiere conocimiento en profundidad del proceso de negociacin de IPsec, para ver el log se debe activar el registro de auditora IKE, una vez activo el fichero oakley.log ser creado en la carpeta %systemroot%\Debug si se ven mltiples ficheros, el fichero actual ser llamado Oakley.log y contendr los eventos IPsec, despus de 50000 lneas el fichero se copia como oakley.bak y un nuevo fichero se crea, si el servicio IPsec se reinicia se crearn 2 nuevos ficheros, oakley.log.sav y el oakley.log.bak.sav. Al solucionar problemas IKE es importante sincronizar la configuracin de hora entre los 2 equipos, esto asegura que las operaciones sensibles por hora sean seguidas, si es necesario activar el registro en los 2 equipos para poder tener un mejor entendimiento del problema. Identificacin de problemas de intercambio de Modo Principal: Si la red bloquea la iniciacin del modo principal IKE y no alcanza la direccin IP de destino, no se podr negociar la comunicacin IPsec asegurada, si el que inicia no est configurado para Fall back to clear el fallo ser notificado con el evento 547 en el visor de eventos de seguridad, pero si se configur la opcin fal a travs de una directiva de seguridad el evneto ser con el registro 541 que indica que ha sido completado pero sin cifrado, cuando ste mensaje aparece indica una SA suave con un SPI en cero y todos los algoritmos sern mostrados como ninguno.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 11. Configuracin y Administracin DFS (Sistema de Ficheros Distribuidos)

Objetivos
Conocer los mecanismos de replicacin y distribucin de ficheros en una estructura DFS, facilitando a los usuarios de una organizacin acceder a mltiples carpetas compartidas en diferentes servidores en una misma estructura o rbol de ficheros. Ver otra forma de tolerancia a fallos para acceder a servidores de ficheros de manera distribuida.

Definiciones
Muchas de las empresas de hoy enfrentan el reto de mantener un gran nmero de servidores y usuarios que a menudo se distribuyen geogrficamente en ubicaciones dispersas, en estas situaciones, los administradores deben encontrar la manera para que los usuarios pueden localizar los ficheros ms recientes lo ms rpido posible. La administracin de mltiples sitios de datos a menudo presenta retos adicionales, como limitar el trfico de red en conexiones WAN lentas, garantizar la disponibilidad de los ficheros cuando se presenten fallas en el servidor, y copias de seguridad de servidores de archivos que se encuentran en las sucursales ms pequeas. El Sistema de archivos distribuido (DFS) ofrece una solucin que se puede utilizar para hacer frente a estos desafos, garantizando el acceso tolerante a fallos y replicacin WAN de ficheros localizados por toda la empresa.

Generalidades de DFS
Los administradores que administran los servidores de archivos en una empresa requieren acceso eficiente a los recursos y disponibilidad de los ficheros. El DFS en Windows Server 2008 proporciona dos tecnologas para hacer frente a estos retos: Replicacin DFS y espacios de nombres DFS. Las tecnologas de DFS proporcionan una forma simplificada de acceder a los ficheros que se encuentran dispersos geogrficamente por toda una organizacin, ofrece replicacin de ficheros entre 2 servidores a travs de la WAN de una forma controlada, las tecnologas DFS incluyen: Espacios de nombres DFS: (DFS-N) permite a los administradores agrupar carpetas compartidas localizadas sobre distintos servidores dentro de uno ms espacios de nombres estructurados lgicamente; cada espacio de nombres se muestra a los usuarios como una nica carpeta compartida .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

con una serie de subcarpetas, las subcarpetas tpicamente apuntan a carpetas compartidas que estn localizadas sobre varios servidores en mltiples sitios geogrficos a lo largo de una organizacin. Replicacin DFS: (DFS-R) es un motor de replicacin de mltiples maestros usado para replicar ficheros entre servidores con ambos tipos de conexin LAN y WAN, DFS soporta programacin de la replicacin, control de ancho de banda y usa compresin diferencial remota (RDC) para actualizar solo las porciones de ficheros que han cambiado desde la ltima replicacin; DFS-R se puede usar en conjunto con los espacios de nombres DFS pueden ser utilizados para la replicacin en modo independiente. Compresin Remota Diferencial: (RDC) Identifica y sincroniza los cambios de datos sobre una fuente remota y usa tcnicas de compresin para reducir los datos que se envan a travs de la red, en lugar de transferir similar datos redundantes repetidamente, RDC cuidadosamente identifica cambios conocidos como Deltas dentro y a travs de los ficheros y transmite slo estos cambios para alcanzar ahorros de ancho de banda significantes, RDC detecta la insercin de los datos, remocin reorganizacin dentro de los ficheros, permitiendo la replicacin slo los bloques de ficheros cambiados cuando el fichero se actualiza. RDC tambin puede copiar cualquier fichero similar desde un cliente servidor a otro usando una caracterstica conocida como Compresin Diferencial remota de fichero cruzado. RDC es ms recomendable en entornos WAN donde los costos de la transmisin de los datos sopesan los costos de CPU en reconocer las diferencias entre los ficheros.

Cmo funcionan los espacios de nombres y al replicacin DFS


Aunque los espacios de nombres DFS y la Replicacin DFS son tecnologas diferentes, pueden ser utilizados juntos para proporcionar una alta disponibilidad y redundancia de datos de la siguiente manera: El usuario accede a la carpeta en el espacio de nombres configurado: Cuando esto ocurre el equipo cliente contacta al servidor que contiene la raz del espacio de nombres, el host servidor puede ser un servidor independiente que almacena un espacio de nombres independiente una configuracin basada en Dominio que se almacena en el servicio de Directorio Activo (AD DS) y luego replicado a varias ubicaciones para dar la tolerancia a fallo, El servidor de espacio de nombres devuelve al equipo cliente una referencia que contiene una lista de servidores que contienen las carpetas compartidas llamadas Destinos y asociadas con la carpeta que est siendo accedida. El equipo cliente accede al primer servidor en la referencia: el cliente almacena en cach la informacin de la referencia y luego contacta al primer servidor en la referencia que suele ser el servidor localizado en la misma ubicacin o sitio del cliente, a menos que el servidor no est en su misma ubicacin entonces un administrador puede configurar la prioridad de los destinos.

Escenarios DFS
Muchos escenarios pueden beneficiarse de los servicios DFS:

Compartir ficheros a travs de sucursales


Las organizaciones grandes que tienen muchas oficinas sucursales con frecuencia tienen que compartir ficheros o colaborar entre dichas ubicaciones; DFS-R puede ayudar a replicar ficheros entre sucursales o de una sucursal a un sitio central, tener los ficheros en mltiples sucursales tambin beneficia a los usuarios que viajan de una sucursal a otra a que los cambios que hacen los usuarios a sus ficheros en una sucursal se replican de nuevo a su propia sucursal. Este escenario se recomienda slo si los usuarios pueden tolerar algunas incoherencias archivo como los cambios se replican a travs de los servidores de sucursal. Tambin tenga en cuenta que DFS-R slo se reproduce un archivo despus de que se cierre. Por lo tanto, DFS-R no se recomienda para reproducir archivos de base de datos o los archivos que se mantienen abiertos durante largos perodos de tiempo. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Recopilacin de datos
Tecnologas DFS puede recopilar archivos desde una sucursal y replicar a un sitio central, permitiendo as que los archivos que se utilizarn para una serie de propsitos especficos. Los datos crticos se pueden replicar en un sitio central el uso de DFS-R y, a continuacin una copia de seguridad en el sitio concentrador utilizando procedimientos estndar de copia de seguridad. Esto aumenta la sucursal de recuperacin de datos si un servidor falla, porque los archivos estarn disponibles en dos lugares separados, adems de copia de seguridad. Adems, las compaas pueden reducir los costos mediante la eliminacin de las sucursales de hardware de copia de seguridad y tecnologa de la informacin en el sitio (IT) experiencia personal. De datos replicadas tambin se puede utilizar para hacer la sucursal recursos compartidos de archivos tolerante a fallas. Si el servidor de sucursal no, los clientes de la sucursal pueden tener acceso a los datos replicados en el sitio concentrador.

Distribucin de datos
Usted puede utilizar DFS-N y DFS-R para publicar y reproducir los documentos, software y otros datos de lnea de negocio en toda la organizacin. DFS-N y objetivos carpeta puede aumentar la disponibilidad de datos y distribucin de carga del cliente a travs de servidores de archivo.

Tipos de Espacios de Nombres DFS


Podemos crear espacios de nombre basados en dominio o espacios de nombre independientes con las siguientes caractersticas

Espacios de nombres basados en dominio


Este tipo de espacio de nombre podemos usarlo cuando se requiere alta disponibilidad y cuando se requiere ocultar el nombre de los servidores y su ruta a los usuarios. En este tipo de espacio de nombres los nombres se basan en \\nombrededominio\Espaciodenombres La informacin est distribuida entre mltiples servidores

Espacios de nombres independientes


Este tipo de espacios de nombres se emplea cuando no existe un directorio activo implementado en la organizacin, o cuando no se renen los requerimientos para un modo Windows 2008, espacios de nombres basados en dominio, y se requieren ms de 5000 carpetas DFS dado que un DFS independiente soporta estructuras de 50000 carpetas En este tipo de espacio de nombres los nombres se basan en \\nombreservidor\espaciodenombres La disponibilidad o tolerancia a fallos se basa en una solucin de clster.

Carpetas y Carpetas de destino


Carpetas
Las carpetas son el elemento base de un espacio de nombres, tienen siempre por lo menos una carpeta destino

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Carpetas Destino
Las carpetas destino incluyen siempre carpetas que apuntan a: Carpetas compartidas (Rutas UNC)

\\servidor\compartida Carpetas dentro de carpetas compartidas \\servidor\compratida\carpeta Rutas a otros espacios de nombres \\nombrededominio\nombreraiz

Requerimientos para un servidor de espacio de nombres


Para implementar un servidor de espacios de nombres se requiere de controlador de dominio o servidor miembro, sistemas operativos Windows 2003 o Windows 2008. DFS Independiente El volumen del disco que aloje el espacio de nombres debe estar formateado en NTFS. Puede ser un servidor miembro o un controlador de dominio. Puede basarse en un servidor de ficheros en clster.

DFS Basado en un espacio de nombres basados en dominio El volumen del disco que aloje el espacio de nombres debe estar formateado en NTFS. Deben pertenecer al mismo dominio si es el espacio de nombres est basado en dominio. No puede basarse en clster si el espacio de nombres est basado en dominio.

Instalacin de un servidor de espacios de nombres


En el administrador de servidores seleccione agregar funciones.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Seleccione servicios de archivo, si ya est marcado y aparece en gris, debe cerrar el asistente y buscar la funcin en funciones y con el botn derecho seleccionar adicionar servicios a la funcin.

Marque la casilla de sistema de archivos distribuido (DFS) y las dos opciones de Espacios de nombres DFS y replicacin.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Asgnele un nombre al espacio de nombres.

Seleccione la opcin de espacio de nombres de dominio y asegrese de marcar habilitar el modo Windows 2008.

Finalice el proceso de instalacin

Configuracin de un espacio de nombres DFS


La configuracin de un espacio de nombres DFS consiste de varias tareas que incluyen la creacin de una estructura de espacios de nombre, crear carpetas dentro del espacio de nombres y adicionar carpetas destino. Posteriormente se pueden realizar tareas adicionales de administracin, tal como definir el orden de replicacin de las carpetas.

Implementar un espacio de nombres para publicar contenido


Los pasos para crear un espacio de nombres son: .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Crear un espacio de nombres Crear carpetas en el espacio de nombres Adicionar carpetas de destino Configurar el mtodo de ordenar para destinos en referencias Configurar las prioridades para sobrescribir el orden de referencia Habilitar la gestin de errores Replicar carpetas destino usando DFS-R

Requerimientos de seguridad
Para administrar un espacio de nombres, el administrador debe ser miembro de un grupo administrativo o tener los permisos delegados para realizar esta accin. Los permisos son los siguientes: Crear un espacio de nombres basado en dominio debe pertenecer al grupo Administradores del dominio Adicionar un servidor al espacio de nombres a un espacio de nombres basados en nombres de dominio debe pertenecer al grupo administradores del dominio Administrar un espacio de nombres basados en dominio debe ser miembro del grupos local administradores sobre cada uno de los servidores Crear un espacio de nombres independiente debe ser miembro del grupo local administradores de cada uno de los servidores Administrar un espacio de nombres independiente debe ser miembro del grupo local administradores sobre el servidor de espacio de nombres Implementar la replicacin DFS debe ser miembro del grupo administradores del dominio

Crear un espacio de nombres


En herramientas administrativas seleccione administracin DFS

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Mostrar la consola DFS

Para crear un espacio de nombres pinche con el botn derecho del ratn sobre espacios de nombres en el panel izquierdo

Seleccione nuevo espacio de nombres y adicione el servidor2008

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Asgnele el nombre manuales al nuevo espacio de nombres

Seleccione editar configuracin y asgnele permisos de lectura y escritura, puede cambiar la ruta y el disco en el cual se crear el rbol

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Seleccione espacio de nombres basado en Dominio y asegures de marcar habilitar el modo Windows 2008

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Crear una carpeta


Una vez creado el espacio de nombres, podemos crear las carpetas en la consola de administracin DFS en el panel izquierdo bajo el espacio de nombres pinche con el botn derecho del ratn y marque nueva carpeta.

Previamente a la creacin de las carpetas debemos saber los servidores y las carpetas compartidas que queremos publicar en el espacio de nombres DFS.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Note que tanto el servidor2008 como curso2 tienen carpetas compartidas, en este caso presentaciones en curso2 y Hojas de clculo en Servidor2008 Seleccionamos y publicamos en el rbol DFS los dos recursos compartidos.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

De esta manera los usuarios al conectarse al espacio de nombres podrn acceder a los recursos compartidos desde un nico punto.

Observe, que el usuario aun podr acceder a los recursos compartidos contra los servidores originales, no obstante el objetivo es crear un solo punto de acceso y de replicacin entre mltiples servidores

Delegar permisos Incrementa disponibilidad de un espacio de nombres


Para los clientes que se conectan a un espacio de nombres DFS, deben ser capaces de conectarse a un servidor de espacios de nombre, esto significa que debemos asegurarnos que el servidor siempre est disponible. Para incrementar la disponibilidad tanto para servidores de espacios de nombres basados en nombres de dominio o independientes vara. Los servidores de espacios de nombres basados en dominio, se les pueden adicionar servidores adicionales para alojarlos, mientras que los basados en servidor independiente estn limitados a un nico servidor En un espacio de nombres basados en dominios podemos incrementar la disponibilidad adicionan servidores adicionales de espacios de nombres Es espacios de nombre independientes podemos incrementar disponibilidad creando los recursos compartidos en un clster Las carpetas destino se les puede incrementar disponibilidad adicionando mltiples destinos

Opciones para optimizar un espacio de nombres


Los espacios de nombres tienen un nmero de opciones de configuracin los cuales permiten configurar rendimiento y disponibilidad Renombrar o mover carpetas Deshabilitar referencias a carpetas Especificar cache de las referencias Configurar grupos de espacios de nombres

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Configurar Replicacin DFS


Para una configuracin efectiva de la replicacin DFS (DFS-R), debemos tener bien claro la terminologa asociada con estas caractersticas.

DFS-R usa un algoritmo de compresin RDC (Remote Differential Compression) DFS-R detecta los cambios en el volumen monitorizando el nmero de secuencia (USN) y replica los cambios una vez el fichero es cerrado DFS-R usa una carpeta temporal para almacenar el archivo antes de enviarlos o recibirlos DFS-R usa un protocolo VVEP (Version Vector Eschange protocol) para determinar los archivos que se deben sincronizar Cuando se realizan cambios en un fichero, nicamente los cambios son replicados, no el archivo completo DFS-R aplica el ltimo en escribir gana para resolver los conflictos en ficheros para todos los ficheros que son actualizados simultneamente desde mltiples servidores y primera versin gana cuando el conflicto se da en el nombre del fichero DFS-R se auto protege permitiendo recuperar automticamente desde el USN, o desde la base de datos de replicacin DFS-R se base en Windows Managment instrucmentatios (WMI) para crear interfaces para obtener configuracin e informacin de monitorizacin desde el servicio DFS

Grupos de replicacin y carpetas de replicacin


Grupo de replicacin:
Son un grupo de servidores, conocidos como miembros que participan en la replicacin de una o ms carpetas replicadas Pueden ser configurados para mltiples propsitos o coleccin de datos

Carpeta Replicada:
Una carpeta que se mantiene replicada en cada uno de los miembros del grupo de replicacin

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Requerimientos para replicacin DFS


Para configurar DFS-R se deben cumplir con los siguientes requerimientos Asegurarse que el esquema del directorio activo ha sido actualizado y se incluyen los nuevos objetos de replicacin DFS Los servidores que participan en la replicacin DFDS deben ejecutarse en Windows 2003 R2 o Windows 2008 Los servidores en el grupo de replicacin deben ejecutarse en el mismo bosque Sobre servidores en clster, las carpetas deben estar ubicadas en el almacenamiento local de un nodo El antivirus debe ser compatible con DFS

Escalabilidad para replicacin DFS


Se deben tener en cuenta las siguientes caractersticas para implementar DFS-R Cada servidor puede ser miembro de mximo 256 grupos de replicacin Cada grupo de replicacin puede contener mximo 256 carpetas replicadas Cada servidor como mximo soporte 256 conexiones entre entrantes y salientes Sobre cada uno de los servidores, el nmero de grupos multiplicado por el nmero de carpetas replicas multiplicado por el nmero de conexiones simultaneas activas no debe superior 1024 Un grupo de replicacin puede contener como mximo 256 miembros Un volumen puede contener mximo 8 millones de ficheros replicados y un servidor puede contener como mximo 1TB de ficheros replicados El tamao mximo de un fichero para ser replicado es de 68 GB

Grupo de replicacin multipropsito


Los grupos de replicacin multipropsito son usados para replicar datos entre dos o ms servidores que comparten o publican datos Para crear un grupo de replicacin mediante el asistente se siguen estos pasos: Tipo de grupo de replicacin a crear Definir el nombre y el dominio Definir los miembros del grupo de replicacin Definir el tipo de topologa de replicacin o Hablar y escuchar o Malla completa o Sin topologa Determinar la programacin y ancho de bando a emplear Determinar el servidor primario Seleccionar la carpeta a replicar Especificar la ruta local sobre los dems miembros

Cuando se ha creado el grupo de replicacin se pueden modificar las carpetas o la topologa. Se pueden delegar permisos para administrar el grupo

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Proceso de replicacin
Cuando se configura la replicacin, se debe determinar el miembro primario, el cual tiene el fichero ms actualizado. Este servidor es considerado como autoritativo y es el encargado de resolver conflictos. El proceso inicial de replicacin se resume en: La replicacin no se inicia inmediatamente La replicacin inicial siempre ocurre entre el primario y sus partners Cuando se reciben ficheros desde el servidor primario durante la replicacin inicia, los miembros que reciben esos ficheros no estn presente sobre el miembro primario, son movidos a DFSPrivate\PreExisting DFS usar el hash para determinar si los ficheros son idnticos Despus de inicializar la replicacin de la carpeta, el miembro primario es removido

Reportes de diagnstico y tareas de propagacin


Para mantener y resolver problemas con DFS-R se pueden generar reportes de diagnstico y pruebas de rendimiento. Para ello podemos emplear el asistente de reportes para realizar reportes de salud, verificar la propagacin y crear un reporte de propagacin.

Ver Vdeo: DFS, en el Mdulo 7. Unidad 11, en la plataforma e-learning.

Laboratorios

Laboratorio 1: Instalar DFS


1. 2. 3. 4. 5. 6. Inicie el Servidor2008.ceticsa.curso Inicie sesin como Administrador Abra el administrador de servidores Seleccione agregar funciones Servicios de archivo (si ya est instalada esta funcin seleccione agregar servicios a la funcin) Marque las opciones de sistema de archivos distribuido (DFS) incluyendo Espacios de nombres DFS y replicacin DFS .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

7. 8. 9. 10. 11. 12. 13. 14. 15.

Marque crear ms tarde el espacio de nombres Confirme la instalacin Cuando finalice cierre el administrador de servidores Inicie el servidor curso2.ceticsa.curso Inicie sesin como Administrador Abra el administrador de servidores Seleccione agregar funciones Servicios de archivo (si ya est instalada esta funcin seleccione agregar servicios a la funcin) Marque las opciones de sistema de archivos distribuido (DFS) incluyendo Espacios de nombres DFS y replicacin DFS 16. Marque crear ms tarde el espacio de nombres 17. Confirme la instalacin 18. Cuando finalice cierre el administrador de servidores

Laboratorio 2: Crear un espacio de nombre DFS


1. Inicie el servidor servidor2008.ceticsa.curso como administrador 2. Seleccione en herramientas administrativas la consola de administracin de usuarios y equipos del directorio activo 3. Seleccione el dominio ceticsa.curso 4. Con el botn derecho del ratn cambie el nivel funcional del dominio a Windows 2008 5. Confirme 6. Cierre la consola 7. En herramientas administrativas seleccione administracin de DFS 8. En el panel izquierdo seleccione espacios de nombres con el botn derecho y seleccione nuevo espacio de nombres 9. Escriba en el servidor servidor2008 pulse en siguiente 10. En el nombre del espacio de nombres escribo Documentos, pulse siguiente 11. En el tipo de espacio de nombres seleccione espacio de nombres basados en dominio 12. Cierre el asistente despus de crear el espacio de nombres 13. En el panel izquierdo pinche en el + y verifique el espacio de nombres creado, ruta y el servidor

Laboratorio 3: Adicionar un servidor adicional para el espacio de nombres


1. 2. 3. 4. 5. 6. En herramientas administrativas seleccione administracin de DFS En el panel izquierdo seleccione el espacio de nombres documentos En el panel central seleccione servidores de espacios de nombres En el panel izquierdo seleccione agregar servidor de espacio de nombres Seleccione el servidor curso2.ceticsa.curso Cuando le pregunte marque el inicio automtico del servicio en el servidor curso2

Laboratorio 4: Crear carpetas compartidas


1. 2. 3. 4. 5. 6. En el servidor Servidor2008.ceticsa.curso abra el explorador de ficheros Cree una carpeta formularios Comparta la carpeta con acceso al grupo todos En el Servidor curso2.ceticsa.curso abra el explorador de ficheros Cree una carpeta presentaciones Comparta la carpeta con acceso al grupo todos

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Laboratorio 5: Configurar carpetas de destino y replicacin


1. En el servidor Servidor2008.ceticsa.curso abra el administrador DFS, expanda el espacio de nombres documentos, seleccione nueva carpeta 2. Escriba Formularios y en destinos de carpetas seleccione agregar 3. Busque en el Servidor2008 el recurso compartido formularios 4. Repita la anterior accin para crear la carpeta de presentaciones 5. Adicione destinos a las carpetas, primero a formularios en el servidor curso2, indquele la ruta en la cual crear el recurso compartido en ese servidor, al finalizar le propondr crear un grupo de replicacin, pulse en siguiente, seleccione el Servidor2008.ceticsa.curso como servidor principal, marque en topologa malla completa 6. Haga la misma accin para la carpeta presentaciones

Laboratorio 6: Verificar la funcionalidad DFS


1. 2. 3. 4. 5. 6. En el servidor Servidor2008.ceticsa.curso En inicio escriba \\ceticsa.curso\documentos Pinche en presentaciones Cree un fichero de texto en la carpeta Espere unos minutos y comprobar que el fichero estar en los dos destinos Repita esta accin sobre la carpeta formularios

Laboratorio 7: Reportes de diagnstico para carpetas replicadas


1. En el servidor Servidor2008.ceticsa.curso abra el administrador DFS 2. En el panel izquierdo seleccione replicacin y seleccione presentaciones con el botn derecho del ratn seleccione crear informe de mantenimiento 3. Seleccione siguiente dejando las rutas propuestas 4. Deje todos los miembros 5. Finalizar y verificar el informe creado

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 12: Configurando y Administrando Tecnologas de Almacenamiento


Objetivos

Aprender a gestionar la capacidad y almacenamiento Desplegar plantillas de cuotas Conocer y desplegar informes de capacidad y almacenamiento.

Introduccin
En la actualidad, el problema de almacenamiento y la gestin de capacidades de recursos se han incrementado en todas las organizaciones. Miles de aplicaciones ocupan mucho espacio y la mala gestin de archivos por parte de los usuarios, producen que las necesidades de escalabilidad de almacenamiento de las empresas se hayan incrementado notablemente. Gracias a Windows Server 2008 y las herramientas de administracin de recursos en los servidores de archivos, puede realizar una administracin de la gestin de la capacidad y almacenamiento de una manera fiable y controlada.

Informacin General sobre almacenamiento en Windows 2008


En esta seccin se entendern los conceptos comunes sobre la gestin y capacidad de archivos, cuales son los factores importantes a tratar sobre el almacenamiento y direccionamiento y se conocer a fondo el administrador de recursos de Windows 2008

Consideraciones generales sobre la gestin de capacidad.


En toda organizacin, deber considerar varios puntos a la hora de querer implementar almacenamiento y sistemas de gestin. A continuacin se muestran algunos de ellos que definiran la capacidad de gestin: Determinacin de la capacidad de almacenamiento existentes y las tendencias de uso en toda la organizacin. Determinar si el uso eficaz apoya las metas de la organizacin Definir y aplicar polticas de almacenamiento Ajustar las polticas de almacenamiento segn necesidades, y como cambian las necesidades de organizacin y a su vez las polticas aplicadas.

La capacidad de gestin es el proceso de planificacin, anlisis, dimensionamiento y optimizacin de mtodos para satisfacer las necesidades de una organizacin en continuo aumento en la demanda de almacenamiento de datos. Tambin, la capacidad de gestin es un intento de controlar el uso incorrecto de almacenamiento corporativo. Prcticamente en todas las organizaciones los usuarios tienden a almacenar grandes archivos multimedia personales, que pueden ocupar espacio innecesario, tales como MP3, fotos digitales, videos u otros archivos poco aprovechables para su trabajo diario y para la organizacin. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Comience este tema pidiendo a los alumnos por sus aportaciones y experiencias dentro de sus organizaciones sobre los retos que se enfrentan con la capacidad de gestin. A medida que introducen cada uno de estos puntos, puede involucrar a los estudiantes en una discusin de cmo lo han hecho, o no, frente a estos desafos.

Consideraciones generales sobre el almacenamiento.


La capacidad y el almacenamiento, lgicamente trabajan paralelamente en toda organizacin. En cuanto las consideraciones actuales sobre el almacenamiento en organizaciones deben saber: Las organizaciones experimentan un crecimiento de las necesidades de almacenamiento de un 60 a un 100 por ciento al ao Los datos crticos deben estar disponibles permanentemente Las organizaciones deben cumplir con los ltimos requisitos de polticas de calidad. El nmero de aplicaciones de almacenamiento se ha incrementado.

En muchas organizaciones existen diferentes sistemas de informacin que deben estar protegidos y con una disponibilidad permanente. Datos crticos como por ejemplo los datos de administracin o incluso a una intranet privada donde se pueden consultar datos de la misma u otras organizaciones debe estar siempre disponible. Adems, las organizaciones deberan cumplir con los estndares de seguridad en cuanto al almacenamiento, teniendo en cuanto que las implementaciones de nuevos sistemas de informacin como por ejemplo SharePoint o Exchange 2007 necesitan de gran almacenamiento y un sistema de seguridad adicional.

Capacidad de direccionamiento y desafos de la administracin de almacenamiento.


Para resolver los problemas de la capacidad de gestin y almacenamiento debe considerar una serie de puntos a seguir: Analizar la forma de almacenamiento que se utiliza. Existen diferentes tecnologas de almacenamiento. Usted deber realizar un estudio de lo que actualmente tiene en la organizacin y realizar proposiciones de futuras adquisiciones. Windows 2008 incluye soporte para tecnologas SAN con el administrador de almacenamiento SAN que le ayudarn a implementar este tipo de almacenamiento. Definir las polticas de gestin de los recursos de almacenamiento. Las polticas de gestin, le permitirn realizar seguimientos sobre los accesos, establecer permisos y aplicar configuraciones de seguridad a recursos de almacenamiento. Las polticas pueden establecerse por medio de las cuotas de almacenamiento por usuario. Implementar polticas para frenar el crecimiento de almacenamiento. Las polticas de almacenamiento pueden controlar el acceso indebido y la creacin de archivos innecesarios. Las polticas que se crean son filtros de archivos, de este modo las polticas pueden impedir, que por ejemplo se creen o copien archivos MP3 en unidades de red o recursos de almacenamiento donde no deberan existir. Adquirir herramientas para implementar polticas. En el mercado cada da existen ms herramientas para la gestin de capacidad y almacenamiento. En Windows 2008, se presenta el nuevo administrador de recursos de sistema que le ayudar en todo momento a administrar tanto la capacidad de gestin como la capacidad de almacenamiento de los recursos.

Administrador de recursos del servidor de archivos (FSRM)


El Administrador de recursos del servidor de archivos es un conjunto de herramientas que permite a los administradores entender, controlar y administrar la cantidad y el tipo de datos almacenados en los servidores. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Los administradores pueden utilizarlo para Asignar cuotas a carpetas y volmenes Realizar un filtrado activo de los archivos Generar informes de almacenamiento exhaustivos.

Este conjunto de instrumentos avanzados no slo permite al administrador supervisar los recursos de almacenamiento existentes, sino que adems le ayudan a planear e implementar futuros cambios de directivas. En resumen, el administrador de recursos del servidor de archivos (FSRM) es una funcin que se instala desde las funciones de servidor en Windows 2008, que le ayudar a: Administrar la capacidad: monitorizando el uso y los niveles de utilizacin Administrar polticas: Restringiendo y acotando archivos (Filtro de archivos) Administrar quotas: Cantidad de espacio utilizado en carpetas, volmenes y recursos compartidos Realizar informes: Informes exhaustivos sobre cada uno de los componentes.

Administracin de almacenamiento utilizando el Administrador de recursos de archivo


En esta seccin se mostrarn las funciones del administrador de recursos (FSRM) y comprobaremos las configuraciones y opciones que contiene la consola del administrador.

Funciones FSRM
Como hemos comentado anteriormente, bsicamente las funciones principales del FSRM son: Crear cuotas para limitar el espacio permitido para un volumen o una carpeta y generar notificaciones de correo electrnico y otro tipo cuando se alcancen o superen los lmites de dichas cuotas. Generar y aplicar automticamente cuotas a todas las subcarpetas existentes y nuevas en un volumen o una carpeta. Crear filtros de archivos para controlar los tipos de archivos que los usuarios pueden guardar y enviar notificaciones cuando los usuarios intenten guardar archivos bloqueados. Definir plantillas de cuota y de filtrado de archivos que puedan aplicarse fcilmente a nuevos volmenes o carpetas y que puedan reutilizarse en toda una organizacin. Programar informes de almacenamiento peridicos que ayuden a identificar tendencias en el uso de disco o generar informes de almacenamiento instantneamente a peticin.

Instalacin de FSRM
Para poder disponer del administrador de recursos de servidor de archivos, es necesario instalar varios roles y caractersticas de Windows 2008. Debe realizar los siguientes pasos: 1) Instalar el rol de Servidor de archivos desde el administrador de servidor en el apartado roles. Con este rol, permitir compartir los recursos del servidor para que los usuarios puedan tener acceso. 2) En el proceso de instalacin, deber instalar Servicios de funcin en el que deber seleccionar Administrador de recursos del servidor de archivos 3) Seleccionar o no, la unidad que supervisar y listo. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Componentes de la consola de FSRM


Una vez instalado el servicio de archivos y el servicio de funcin de servidor FSRM, al abrir la consola de administracin, aparecen los tres componentes descritos anteriormente. Administrador de Quotas o Quotas o Plantillas de cuotas Administrador de filtros de archivos o Filtros de archivos o Plantillas de Filtros de archivos o Grupos de archivos Administrador de informes de almacenamiento

Las opciones de configuracin


Las opciones generales del Administrador de recursos del servidor de archivos pueden establecerse en el cuadro de dilogo Opciones del Administrador de recursos del servidor de archivos. Estas opciones se utilizarn en todos los nodos y algunas se pueden modificar al configurar acciones concretas. Las opciones de configuracin son Configurar notificaciones de correo electrnico. Puede configurar esta opcin al crear cuotas y filtros de archivos. Esta opcin puede enviar notificaciones por correo electrnico a los usuarios cuando su lmite de cuota se aproxima o despus de que han tratado de guardar los archivos bloqueados. Si desea notificar sistemticamente ciertos eventos de cuota y eventos de filtrado de archivos, puede configurar uno o ms destinatarios predeterminados. Para enviar estas notificaciones, debe especificar el Simple Mail Transfer Protocol (SMTP) que se utilizar para la transmisin de los mensajes de correo electrnico.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Configurar informes de almacenamiento. Estos parmetros por defecto se utilizan para los informes de incidentes que se generan cuando se produce un evento de filtrado de archivos. Tambin se utilizan para la programacin y los informes a la carta, pero se puede cambiar los parmetros por defecto en la definicin de las propiedades especficas de cada informe. Configurar repositorios de informes. Esta opcin ofrece la posibilidad de especificar la ubicacin donde se guardarn los informes de almacenamiento. La ruta por defecto se ha definido en% SystemDrive% \ StorageReports, pero se puede cambiar la ruta segn las necesidades. Configurar la auditora de filtro de archivos. Esta opcin permite registrar la actividad de filtrado de archivos en una base de datos de auditora.

Configuracin de la administracin de cuotas


En esta seccin se explicaran que son las cuotas en FSRM y cul es la diferencia entre las cuotas FSRM y las cuotas de disco. Tambin se revisarn las plantillas de cuotas y como crear y administrar una cuota.

Gestin de Cuotas
La gestin de una cuota no es ms que poder limitar el espacio de almacenamiento a travs de una cuota dura o blanda y generar notificaciones cuando los lmites se acercan o exceden. Por ejemplo, una cuota dura sera una cuota establecida en un recurso que no puede excederse de 500MB. Si el usuario o grupos de usuarios acceden a este recurso y crean nuevos archivos sobrepasando esta cuota de 500MB puede configurar las distintas acciones a realizar: Enviar notificaciones de cuota va e-mail. Puede configurar una cuota que indique a los administradores y usuarios que han sobrepasado el lmite de almacenamiento y que deben borrar o actualizar contenido. Registrar el evento. Se registran los errores o el acceso de cuota cuando se sobre pasa un lmite. Ejecutar un comando o script. Puede ejecutar un comando o un script cuando un usuario o grupos de usuarios excedan o se acerquen a las cuotas establecidas en recursos. Dependiendo de la gravedad, puede ejecutar un script para aumentar el tamao de recurso compartido, enviar un mensaje a la red o realizar tareas de compresin de archivos. Generar reporte. Cuando se crean cuotas de recursos se configuran los reportes de avisos sobre esos recursos.

Diferencia entre cuota de disco y cuota FSRM


Existe una clara distincin entre la conocida cuota de disco de permisos NTFS implementadas desde Windows 2000 y la cuota establecida por el administrador FSRM. A continuacin se muestra una tabla con todas las caractersticas y su diferencia: Caracterstica Seguimiento de cuota Clculo de uso de cuota Mecanismos de notificacin Cuota NTFS Por usuario o por volumen Tamao lgico del archivos Logs de Eventos Cuota FSRM Por carpeta, recurso o por volumen Espacio actual de disco Logs de eventos, notificaciones e-mail, informes personalizados, ejecucin de comandos o scripts

Plantillas de cuota
Una plantilla de cuota define el lmite de espacio, el tipo de cuota (mxima o de advertencia) y, opcionalmente, el conjunto de notificaciones que se generarn automticamente cuando el uso de cuotas alcance los niveles de umbrales definidos. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Si basa las cuotas en una plantilla, puede actualizar automticamente todas las cuotas basadas en una plantilla determinada mediante la edicin de dicha plantilla.
Crear una plantilla de cuota

Es aconsejable realizar plantillas de cuotas ya que como comentbamos, es posible administrarlas centralmente actualizando las plantillas en lugar de repetir los cambios en cada una de las cuotas. Para crear una plantilla de cuota. 1) 2) 3) 4) 5) 6) En el administrador de cuotas haga clic en Plantillas de cuota Botn derecho en Plantillas de cuota Crear plantilla de cuota Si desea copiar la configuracin de una plantilla existente, seleccinela y haga clic en Copiar. Escriba Nombre de plantilla Escriba un nombre descriptivo en el cuadro de texto Etiqueta En lmite de espacio a. Elija el nmero y unidad para especificar el lmite de espacio b. Seleccione Cuota mxima o Cuota de advertencia 7) Configuracin de umbrales de notificacin opcionales. Puede configurarlo ahora o ms adelante, despus haga clic en Aceptar

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Editar propiedades de la plantilla de cuota Al realizar cambios en una plantilla de cuota, tiene la opcin de extender dichos cambios a las cuotas creadas a partir de la plantilla de cuota original. Puede elegir entre modificar slo las cuotas que coinciden con la plantilla original o modificar todas las que se derivan de la plantilla original, con independencia de las modificaciones que se hayan realizado en ellas desde que se crearon. Para editar una plantilla de cuota 1) 2) 3) 4) En plantillas de cuota, seleccione la plantilla que desea modificar Botn derecho Propiedades en la plantilla de cuota Editar las propiedades de la plantilla Realice los cambios necesarios. Puede incluso copiar la configuracin de otra cuota. Cuando haya terminado de editar las propiedades de la plantilla, haga clic en Aceptar. Se abrir un cuadro de dilogo Actualizar cuotas derivadas de la plantilla 5) Selecciones tipo de actualizacin: a. Aplicar plantilla slo a las cuotas derivadas que coinciden con la plantilla original b. Aplicar plantilla a todas las cuotas derivadas c. No aplicar la plantilla a las cuotas derivadas 6) Haga clic en aceptar.

Monitorizacin de cuotas
Despus de configurar y aplicar cuotas a los recursos compartidos de archivos o volmenes, es importante entender la manera de supervisar el uso de disco para responder eficazmente a las necesidades actuales de su organizacin en cuanto al almacenamiento se refiere. Visualizacin de la informacin de cuota. Para ver la informacin de cuota en FSRM: 1) En el rbol de la consola, haga clic en gestin de cuotas y, a continuacin, haga clic en cuotas. 2) En el panel de resultados, puede determinar rpidamente el lmite de cuota, el porcentaje del lmite que se utiliza, y si la cuota es dura o blanda (mxima o de advertencia). 3) Para ver informacin adicional, seleccione la cuota y compruebe el espacio de descripcin. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Configurando filtros de archivos


En esta seccin se explicarn los conceptos de filtros de archivos, grupos de filtros, las excepciones y las plantillas de filtros.

Filtros de archivos.
El filtro de archivos es una poltica de archivos que permitir o denegar la creacin de archivos tipo. Por ejemplo, como comentbamos anteriormente, puede crear un filtro de archivo para que los usuarios no guarden archivos MP3 en los recursos compartidos.

Consola de administracin de filtrado.


En el nodo Administracin del filtrado de archivos del complemento MMC del Administrador de recursos del servidor de archivos, puede realizar las siguientes tareas: Crear filtros de archivos para controlar los tipos de archivos que los usuarios pueden guardar y generar notificaciones cuando los usuarios intenten guardar archivos no autorizados. Definir plantillas de filtrado de archivos que puedan aplicarse a nuevos volmenes o carpetas y que pueden utilizarse en toda una organizacin. Crear excepciones de filtrado de archivos que amplen la flexibilidad de las reglas de filtrado de archivos.

Crear filtros de archivos.


Al crear un nuevo filtro de archivos, tiene la opcin de guardar una plantilla de filtro de archivos basada en las propiedades personalizadas de filtro de archivos que defina. Para crear un filtro de archivo con propiedades personalizadas 1) En Administracin del filtrado de archivos, haga clic en el nodo Filtros de archivos. 2) Botn derecho Filtros de archivos Crear filtro de archivos 3) En Ruta de acceso al filtro de archivos, escriba el nombre de la carpeta a la que se aplicar el filtro de archivos o bsquela. 4) En el apartado de Cmo desea configurar las propiedades del filtro de archivos? haga clic en Definir propiedades personalizadas del filtro de archivos 5) Puede utilizar una plantilla existente. Para ello, deber seleccionarla y hacer clic sobre Copiar 6) En Propiedades del filtro de archivos, modifique o defina los siguientes valores de la ficha Configuracin: .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

7) 8) 9) 10)

a. En Tipo de filtrado i. Filtrado Activo ii. Filtrado Pasivo En Grupos de archivos, seleccione cada grupo de archivos que desea incluir en el filtro de archivos. Tambin puede configurar el Administrador de recursos del servidor de archivos para generar una o varias notificaciones mediante el establecimiento de las opciones de las fichas Mensaje de correo electrnico, Registro de eventos, Comando e Informe. Termine de completar los datos en el asistente Haga clic en aceptar.

Grupos de archivos.
Los grupos de archivos se usan para definir un espacio de nombres para un filtro de archivos, una excepcin al filtro de archivos o un informe de almacenamiento Archivos por grupo de archivos. Constan de un conjunto de patrones de nombre de archivo, que se agrupan segn las siguientes opciones: Archivos incluidos: archivos que pertenecen al grupo Archivos excluidos: archivos que no pertenecen al grupo

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Crear una excepcin a un filtro de archivos.


Una excepcin a un filtro de archivos es un tipo especial de filtro de archivos que reemplaza a todo el filtrado de archivos que normalmente se aplicara a una carpeta y a todas sus carpetas en una ruta de excepcin designada. Es decir, crea una excepcin a las reglas que se derivan de la carpeta principal. Para crear una excepcin a un filtro de archivos 1) En Administracin del filtrado de archivos, haga clic en el nodo Filtros de archivos. 2) Haga clic con el botn secundario en Filtros de archivos y haga clic en Crear excepcin al filtro de archivos. 3) En Ruta de acceso de excepcin, escriba o seleccione la ruta de acceso a la que se aplicar la excepcin. La excepcin se aplicar a la carpeta seleccionada y a todas sus subcarpetas. 4) Para especificar qu archivos se excluirn del filtrado de archivos: a. En Grupos de archivos, seleccione cada grupo de archivos que desea excluir del filtrado de archivos. b. Para crear un nuevo grupo de archivos, haga clic en Crear. 5) Haga clic en Aceptar para terminar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Gestin de informes de almacenamiento


En esta seccin se conocern los informes de almacenamiento, cuales son las tareas de creacin de informes y la creacin de informes bajo demanda.

Informes de almacenamiento.
Los informes de almacenamiento no es otra cosa que los informes de uso de los recursos a los que se le implementa una cuota. El informe que se realiza es exhaustivo e incluye informacin sobre: Archivos de gran tamao Archivos por propietario Archivos del Grupo Archivo Archivos duplicados Archivos menos usados recientemente Archivos ms usados recientemente Cuota de uso Auditora de filtrado de archivos

Tareas de informes.
Puede programar dependiendo de las necesidades de su departamento u organizacin tareas de creacin de informes. La tarea de creacin de informes, implica: Los volmenes y las carpetas de las que se informarn El tipo de informe que se generar Parmetros de configuracin. Frecuencia de generacin de informes Formatos de guardado de informes.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Crear una tarea programa de informes.


La tarea de informes especifica los informes que se generarn y los parmetros que se emplearn, los volmenes y carpetas sobre los que se emitirn informes, la frecuencia con la que se generarn y los formatos de archivo en los que se guardarn. Los informes programados se guardan en una ubicacin predeterminada que se puede especificar en el cuadro de dilogo Opciones del Administrador de recursos del servidor de archivos. Para programar una tarea de informes 1) Haga clic en el nodo Administracin de informes de almacenamiento. 2) Haga clic con el botn secundario en Administracin de informes de almacenamiento y despus en Programar una nueva tarea de informes 3) Para seleccionar volmenes o carpetas en los que generar informes: a. En mbito, haga clic en Agregar. b. Busque el volumen o la carpeta donde desea generar los informes, seleccinelo y haga clic en Aceptar para agregar la ruta a la lista. 4) Para especificar qu informes se deben generar: a. En Datos del informe, seleccione todos los informes que desee incluir. 5) Para editar los parmetros de un informe: a. Haga clic en la etiqueta del informe y despus en Editar parmetros. b. En el cuadro de dilogo Parmetros de informes, edite los parmetros si es necesario y haga clic en Aceptar. 6) Para especificar los formatos con los que guardar los informes: a. En Formatos de informes seleccione uno o ms formatos para los informes programados. De manera predeterminada, los informes se generan en un formato DHTML (HTML dinmico). Tambin puede seleccionar los formatos HTML, XML, CSV y texto. 7) Los informes se guardan en la ubicacin predeterminada para los informes programados. 8) Para enviar copias de los informes a los administradores mediante correo electrnico: a. En la ficha Entrega, active la casilla Enviar informes a los siguientes administradores y escriba los nombres de las cuentas administrativas que recibirn los informes. 9) Para programar los informes: a. En la ficha Programacin, haga clic en Crear programacin 10) Para especificar una frecuencia de generacin de informes, seleccione un intervalo en la lista desplegable Programar tarea. 11) Para guardar la programacin, haga clic en Aceptar. 12) Para guardar la tarea de informes, haga clic en Aceptar.

Informes bajo demanda. En cualquier momento puede realizar un informe sobre un recurso del servidor. En ocasiones, se presentan problemas de almacenamiento o capacidad en los que un informe detallado, puede ayudarle a identificar y resolver los problemas lo antes posible. Para realizar un informe bajo demanda: 1) Desde el administrador de informes botn derecho Crear informe ahora 2) En el asistente, seleccione en el mbito Agregar Seleccione el recurso al que quiere realizar el informe. 3) Seleccione los datos de informe que quiera mostrar. Por ejemplo Archivos duplicados 4) Por defecto, el archivo de salida le dejamos como DHTML .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

5) En la pestaa Entrega marque la casilla y escriba la direccin o grupo de distribucin del administrador 6) Aceptar y ver el asistente a. Generar automticamente y ver ahora b. Generar en segundo plano y mandar por correo electrnico 7) Seleccionamos la primera opcin y aceptar 8) Esperamos a que se genere el informe 9) Visualizamos el informe y listo.

Ver Vdeo: Configurando y Administrando tecnologas de almacenamiento, en el Mdulo 7. Unidad 12, en la plataforma e-learning.

Laboratorios: Configurando y administrando tecnologas de almacenamiento.


Ejercicio 1 Instalacin de FSRM 1) Abra el administrador de Servidor 2) En funciones Agregar funcin 3) Seleccione Servicios de Archivo Siguiente 4) Lea la introduccin a Servicios de Archivo Siguiente 5) Seleccione los servicios de funcin que desea instalar para los servicios de archivo Seleccione Administrador de recursos del servidor de archivos Siguiente 6) Configure la supervisin de uso de almacenamiento de los volmenes NTFS detectados o instalados en el equipo. Seleccione un volumen y siguiente. 7) Seleccione la ubicacin donde se guardarn los informes 8) Puede configurar Recibir informes por correo electrnico configurando una direccin de correo y el servidor SMTP 9) Revise la instalacin e Instalar 10) Compruebe que se ha instalado correctamente el servicio .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

11) Reinicie el equipo 12) Inicie sesin en el servidor 13) Vaya a la consola de FSRM desde Inicio Herramientas administrativas Administrador de recursos de archivo 14) Haga una vista rpida de la consola de administracin. Ejercicio 2. Crear una plantilla de cuota Para crear una plantilla de cuota. 1) En el administrador de cuotas haga clic en Plantillas de cuota 2) Botn derecho en Plantillas de cuota Crear plantilla de cuota 3) Si desea copiar la configuracin de una plantilla existente, seleccinela y haga clic en Copiar. 4) Escriba Nombre de plantilla 5) Escriba un nombre descriptivo en el cuadro de texto Etiqueta 6) En lmite de espacio a. Elija el nmero y unidad para especificar el lmite de espacio b. Seleccione Cuota mxima o Cuota de advertencia 7) Configuracin de umbrales de notificacin opcionales. Puede configurarlo ahora o ms adelante, despus haga clic en Aceptar Ejercicio 3. Crear filtro de archivos Para crear un filtro de archivo con propiedades personalizadas: 1) En Administracin del filtrado de archivos, haga clic en el nodo Filtros de archivos. 2) Botn derecho Filtros de archivos Crear filtro de archivos 3) En Ruta de acceso al filtro de archivos, escriba el nombre de la carpeta a la que se aplicar el filtro de archivos o bsquela. 4) En el apartado de Cmo desea configurar las propiedades del filtro de archivos? haga clic en Definir propiedades personalizadas del filtro de archivos 5) Puede utilizar una plantilla existente. Para ello, deber seleccionarla y hacer clic sobre Copiar 6) En Propiedades del filtro de archivos, modifique o defina los siguientes valores de la ficha Configuracin: a. En Tipo de filtrado i. Filtrado Activo ii. Filtrado Pasivo 7) En Grupos de archivos, seleccione cada grupo de archivos que desea incluir en el filtro de archivos. 8) Tambin puede configurar el Administrador de recursos del servidor de archivos para generar una o varias notificaciones mediante el establecimiento de las opciones de las fichas Mensaje de correo electrnico, Registro de eventos, Comando e Informe. 9) Termine de completar los datos en el asistente 10) Haga clic en aceptar.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 13: Asegurando disponibilidad de contenido y recursos de red


Objetivos

Aprender a realizar copias de seguridad Desplegar instantneas de recursos compartidos Conocer los mtodos de disponibilidad de servicios y servidores

Introduccin
Las copias de seguridad siguen siendo servicios crticos que los administradores y operadores de copia deben mantener y actualizar peridicamente. Con Windows 2008, ahora hacer copias de seguridad es ms rpido y eficaz ya que basan la tecnologa en VHD. Las instantneas de recursos compartidos pueden proporcionar versiones anteriores de documentos que garantizarn una recuperacin ms rpida frente a desastres. La disponibilidad de servicios y servidores tambin son temas de seguridad en cuanto al servicio.

Realizar copias de seguridad de datos


En esta seccin se conocern las nuevas caractersticas de copia de seguridad de Windows 2008 e informacin general sobre las copias de seguridad. Tambin se abordarn temas de optimizacin de copias de seguridad, tiempos de ejecucin y procesos de restauracin.

Servidor de copias de Windows 2008 (Windows Server Backup)


Windows Server Backup es una caracterstica de Windows Server 2008 que proporciona un conjunto de asistentes y otras herramientas para que pueda realizar copias de seguridad y tareas de recuperacin para los servidores que ejecutan Windows Server 2008. Esta caracterstica ha sido rediseada e introduce las nuevas tecnologas. La funcin de copia de seguridad anterior (Ntbackup.exe) que estaba disponible con las versiones anteriores de Windows se ha eliminado.

Funcin de Copias de seguridad de Windows Server


La funcin de seguridad de Windows Server en Windows Server 2008 consiste en un complemento de MMC y herramientas de lnea de comandos que proporcionan una solucin completa para la copia de seguridad del da a da y las necesidades de recuperacin. Puede usar cuatro asistentes que le guiarn a travs de copias de seguridad y recuperaciones. Puede utilizar Windows Server Backup para realizar copias de seguridad de un servidor completo (todos los volmenes), los volmenes seleccionados, o el estado del sistema. En cuanto a la recuperacin, puede recuperar volmenes, carpetas, archivos, aplicaciones determinadas, y el estado del sistema. Y, en caso de desastres como errores de disco duro, puede realizar una recuperacin del sistema utilizando una copia de seguridad completa del servidor.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Puede utilizar las copias de seguridad de Windows Server para crear y administrar copias de seguridad para un equipo local o un equipo remoto. Adems, puede programar copias de seguridad para que se ejecuten automticamente.

Nuevas caractersticas de Windows Server Backup.


A continuacin se resumen algunas de las nuevas caractersticas de copia de seguridad de Windows incluidas con Windows 2008. Tecnologa de rpido backup. Las copias de seguridad se realizan de forma ms rpidas. Restauracin simplificada. Ahora es ms fcil restaurar archivos o aplicaciones desde las copias de seguridad. Restauracin simplificada del sistema operativo. Puede recuperar el sistema operativo a partir de una copia de seguridad de Windows Programacin mejorada. Las tareas de copia de seguridad programadas han mejorado el rendimiento de ejecucin. Proteccin ante desastres. Administracin remota. Es posible administrar de forma remota un servidor de copias de seguridad por medio de una consola mmc o por comandos. Administracin automtica del uso de disco. Soporte de lneas de comandos. Una serie de herramientas que podr utilizar para realizar copias de seguridad locales y remotas desde lneas de comandos. Soporte para grabadores DVD. Ahora tambin puede realizar copias sobre DVDs. No se pueden realizar copias sobre cintas, aunque Windows Server Backups, sigue soportando estas tecnologas.

Consideraciones de instalacin de la caracterstica de Windows Server Backup.


Windows Server Backup est disponible en todas las ediciones de Windows Server 2008 (de 32 bits y 64 bits). Sin embargo, el complemento de Windows Server Backups no est disponible para la opcin de instalacin Server Core de Windows Server 2008. Para ejecutar copias de seguridad para equipos con una instalacin Server Core, es necesario utilizar la lnea de comandos o administrar las copias de seguridad de forma remota desde otro equipo. Adems, Windows PowerShell no est disponible para la opcin de instalacin Server Core, por lo que los cmdlets de Windows PowerShell para Windows Server de copia de seguridad tampoco estn disponibles en este tipo de instalacin. La caracterstica de Copia de seguridad de Windows Server es compatible con discos duros externos e internos, unidades de medios pticos y unidades de medios extrables. Ya no se puede hacer copia de seguridad en cinta, sin embargo, el apoyo de los controladores de almacenamiento en cinta todava se incluyen en Windows Server 2008

Instalacin de copias de seguridad de Windows Server


Copias de seguridad de Windows Server , es una caracterstica que por defecto no viene instalada. Para poder trabajar con copias de seguridad de Windows Server, deber realizar la instalacin a travs del administrador de servidor. Para aadir la caracterstica de copia de seguridad a su servidor: 1) 2) 3) 4) Abra el administrador de servidor Sitese en Caractersticas Agregar caractersticas De la lista de caractersticas seleccione Caractersticas de Copia de seguridad de Windows Server a. Seleccione Copias de seguridad de Windows Server b. Seleccione Herramientas de lneas de comandos .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

5) Siguiente e Instalar 6) Revisar el resumen de instalacin y finalizar.

Usuarios que pueden realizar copias de seguridad


Por defecto, pueden realizar tareas de copia de seguridad y restauracin de archivos y sistemas, aquellos usuarios que sean miembros de: Administradores Operadores de servidores Operadores de copia

Es aconsejable crear grupos personalizados con propiedades de copia para aumentar la seguridad. Dependiendo de las polticas de la empresa en cuanto a seguridad de grupos, usuarios y datos, sera aconsejable crear un grupo especfico para realizar copias sin la necesidad de utilizar los grupos creados por defecto en el sistema para realizar acciones administrativas. Tambin, es importante, y dependiendo de la organizacin, acotar al mnimo el nmero de usuarios o grupos que tendrn este tipo de permisos, tanto de copia como de restauracin. Se pueden de esta manera evitar perdida de datos o robos corporativos. Por ejemplo puede darse el caso en el que un usuario con demasiados permisos y afectado por la ingeniera social decida realizar un backup sobre bases de datos, llevrsela e implementarla en otro servidor con fines fraudulentos. De igual manera podra ocurrir con un controlador de dominio. No asigne permisos dems a usuarios estndar que no lo necesiten, por organizacin y por seguridad ante todo.

Estado de sistema
La utilidad Copia de seguridad ayuda a proteger los datos de prdidas accidentales en el caso de que se produzca un error en el hardware o los medios de almacenamiento del sistema. Hay que diferenciar la copia de seguridad de archivos y la copia de seguridad del estado del sistema. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

El estado de sistema es una opcin configurada por defecto para poder realizar copia de archivos necesarios del sistema en caso de recuperacin por algn tipo de desastre. A continuacin se muestra una tabla con los componentes que se incluyen en una copia del estado de sistema.

Componentes Registro Base de datos Registro de clases COM+ Archivos de inicio, incluidos los arhivos de sistema Base de datos de Servicios de Certificate Server Servicio de directorio de Active directory Directorio SYSVOL Informacin del Servicio de Clster Server Metadirectorio IIS Archivos de sistema bajo proteccin de archivos de Windows

Cuando se incluyen en la copia Siempre Simpere Siempre Si es un servidor de Servicios de Certificate Server Si es un dominio Si es un controlador de dominio Si se encuentra en un clster Si est instalado Siempre

Los datos de Estado del sistema contienen la mayora de los elementos de la configuracin de un sistema, pero puede que no incluyan toda la informacin necesaria para recuperar el sistema tras producirse un error. Por lo tanto, se recomienda realizar copia de seguridad de todos los volmenes de inicio y sistema, incluido el Estado del sistema, al hacer copia de seguridad del sistema. Windows server Backup incluye en lneas de comando la aplicacin wbsadmin.exe para poder realizar copias de seguridad. Para poder realizar una copia del estado de sistema bajo lneas de comando por ejemplo en la unidad E:\, habra que poner en una consola cmd:

Wbadmin start systemstatebackup backuptarget:E: -quiet Optimizacin del rendimiento de copia de seguridad.
Copia de seguridad de Windows Server utiliza Volume Shadow Copy Service (VSS) y la tecnologa a nivel de bloque de copia de seguridad para recuperar el sistema operativo, los archivos y carpetas, y volmenes. Despus de crear la primera copia de seguridad completa, puede configurar Windows Server Backup para realizar la ejecucin automtica de copias de seguridad incrementales y guardar slo los datos que han cambiado desde la ltima copia de seguridad. Incluso si decide realizar siempre copias de seguridad completas, la copia de seguridad tardar menos tiempo del que se haca en versiones anteriores de Windows. A nivel de bloque es mucho ms eficiente que las versiones anteriores de archivos utilizando la tecnologa de nivel. Ahora la Copia de seguridad utiliza la tecnologa de disco duro virtual (VHD) para realizar copias de seguridad a nivel de bloque. Para cambiar esta configuracin: 1) Abra copias de seguridad de Windows desde Inicio Herramientas administrativas 2) En el men de acciones haga clic sobre Configurar opciones de rendimiento 3) Seleccione una de las tres opciones que pueden configurarse: a. Hacer siempre copia de seguridad completa b. Hacer siempre copia de seguridad incremetal c. Personalizar 4) Haga clic sobre Aceptar

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Programacin de Backup.
Las copias de seguridad de Windows Server ahora son mucho ms flexibles, intuitivas y fciles de administrar. De forma fcil y sencilla podr saber qu, cuando y donde realizar una copia de seguridad de forma programada. Gracias a la programacin de las copias de seguridad de Windows Server puede realizar copias de seguridad programadas de forma automtica. Para realizar una programacin de backup: 1) 2) 3) 4) 5) 6) 7) 8) 9) Abra copias de seguridad de Windows desde inicio Herramientas administrativas En el men acciones hacer clic sobre Hacer copia de seguridad programada En el asistente de copias de seguridad programada Siguiente Seleccione los elementos a realizar copia Seleccione el da y la hora de realizacin de la copia Seleccione la ubicacin de destino de la copia Aada una etiqueta a la copia de seguridad Confirme los datos Finalizar

Restauracin de datos
Con Copias de seguridad de Windows Server 2008 tambin puede realizar restauracin de datos. Restaurar datos significa volver a escribir los datos que se han perdido o que por algn motivo se han corrompido y no son legales o funcionan correctamente, como por ejemplo, una base de datos. Como recordatorio, el servicio de copias de seguridad de Windows server es una caracterstica de Windows 2008 que no viene instalada por defecto y que se debe instalar con propiedades administrativas para poder realizar la copia y la restauracin de datos. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Una vez que haya una copia de seguridad de datos, puede utilizar la opcin de recuperar en el panel Acciones de la herramienta Windows Server Backup para recuperar los volmenes, las carpetas y archivos en el servidor local o en un servidor diferente al que se conecta de forma remota. Cuando se utiliza la herramienta Recuperar, se lanza un asistente, que le permite elegir la fecha de copia de seguridad que desea restaurar los datos. El disco duro virtual (VHD) se monta y el asistente muestra una vista de rbol de directorios de los objetos disponibles en la copia de seguridad para la restauracin. Debe elegir lo que desea restaurar y especificar las opciones de restauracin. Puede optar por conservar una copia, sobrescribir o no recuperar algunos archivos y carpetas. Tambin debe especificar si se debe dejar el valor por defecto al restaurar la configuracin de seguridad, o desactivar la casilla de verificacin para establecer permisos por defecto en los objetos restaurados.

Configuracin de instantneas
En esta seccin se conocer la nueva caracterstica de copia llamadas instantneas, como se pueden configurar y como se pueden recuperar datos desde ellas.

Qu son las instantneas?


Una instantnea es una caracterstica de Windows Server 2008 que proporciona una copia en un punto en el tiempo, de archivos en unidades compartidas de red. Con las instantneas de carpetas compartidas, puede ver el contenido de las carpetas de red tal como existan en varios puntos en el tiempo. Escenarios para la utilizacin de instantneas: Recuperar los archivos que fueron borrados accidentalmente. Recuperar archivos que fueron sobrescritos accidentalmente. Permitir mltiples versiones de archivos

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

No hay que olvidar que una instantnea es una captura en un momento de tiempo. No debe prescindir de las copias de seguridad de Windows Server.

Programacin de instantneas
Recuperar un archivo perdido en una organizacin puede tener un coste elevado, tanto en tiempo como en personal. Puede realizar copias instantneas a diversas horas del da para poder recuperar archivos originales diarios si algn usuario ha borrado o corrompido la informacin. Por ejemplo, puede configurar una instantnea a las 7:00 de la maana antes de que empiece la actividad de la oficina y otra a las 15.00. En el caso de que se necesite restaurar alguna copia de seguridad, puede ahorrar mucho tiempo revisando esta instantnea con la informacin de cambio del da. Si habilita las instantneas de carpetas compartidas en un volumen con los valores predeterminado, las tareas se programarn de modo que creen instantneas a las 7:00 de la maana y a medioda. El rea de almacenamiento predeterminado se encontrar en el mismo volumen y su tamao ser del 10% del espacio disponible. Las instantneas de carpetas compartidas slo se pueden habilitar de manera individual para cada volumen; es decir, no se pueden seleccionar carpetas y archivos compartidos especficos en un volumen para que se copien o no se copien. Para habilitar y configurar las instantneas de carpetas compartidas 1) Abra Administracin de equipos. 2) En el rbol de la consola, haga clic con el botn secundario en Carpetas compartidas, haga clic en Todas las tareas y, a continuacin, en Configurar instantneas. 3) Haga clic en el volumen en el que desee habilitar las instantneas de carpetas compartidas y, a continuacin, haga clic en Habilitar. 4) Para realizar cambios en la programacin y en el rea de almacenamiento predeterminados, haga clic en Configuracin.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Comportamiento de los clientes.


Instantneas para carpetas compartidas es un componente de las tecnologas de almacenamiento inteligente de archivos de Microsoft Windows Server 2003/2008. Permite evitar la prdida de datos mediante la creacin y el almacenamiento de instantneas de archivos y carpetas de la red a intervalos de tiempo predeterminados. Para ver estas instantneas de un equipo que ejecuta una versin de Windows anterior a Windows Server 2003, debe instalar el cliente de instantneas. Puede descargar el cliente para versiones anteriores a Windows vista aqu:

http://technet.microsoft.com/es-es/windowsserver/bb405951 Restaurar instantneas (versiones anteriores)


Antes de realizar ninguna restauracin sobre versiones anteriores debe saber que si recupera una versin anterior sobrescribirla la existente. Si no desea borrarla o sobrescribirla, deber copiar el contenido de la versin y guardarla en otra ubicacin. Para restaurar una versin anterior: 1) Localice el archivo o carpeta en cuestin 2) Botn derecho pestaa versiones anteriores 3) Compruebe que existe alguna versin anterior del archivo. Si existe, seleccione la que desee y haga clic en abrir para comprobar que es el archivo que desea restaurar. 4) Si es el archivo o carpeta que desea restaurar, haga clic en Restaurar 5) Lea el aviso y haga clic en Aceptar .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Proporcionar disponibilidad de servicios y servidores


En esta seccin se comprobaran los sistemas que se pueden implementar para crear disponibilidad de servicios y servidores como el balanceo de carga y el cluster de conmutacin por error.

Caractersticas del balanceo de carga. (NLB)


Network Load Balancing (NLB) es una caracterstica opcional de Windows Server 2008 que realiza el balanceo de carga de trfico de red entre mltiples servidores en un clster de NLB. NLB utiliza un algoritmo de distribucin para equilibrar la carga de trfico de red entre los distintos nodos o servidores , contribuyendo as a mejorar la escalabilidad y la disponibilidad de servicios crticos basados en IP, como por ejemplo, Internet, Servicios de VPNs, Servicios de Terminal Server o granjas de servidores Proxys. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

NLB est incluido en todas las versiones de Windows Server 2008, y en resumen, proporciona escalabilidad y disponibilidad del servicio.

Configuracin de un Clster NLB


Para configurar un clster NLB hay que atender a tres parmetros fundamentales. Parmetros de host: o Direccin IP. Direccin IPv4/IPv6 o Mascara de Subred o Prioridad. Puede configurar el nodo prioritario. o Estado del host inicial. Puede configurar el estado del host inicial de entre: Iniciado Detenido Suspendido Parmetros del clster: o Direccin IP. Direccin IP Virtual del Clster NLB. o Mscara de subred. Mascara de Subred del Clster NLB o Nombre completo de Internet. Nombre descriptivo o Modo de operacin del clster. Unicast Multicast

Reglas de puerto: las reglas de puerto se configuran para gestionar las peticiones hacia ciertas IPs o rangos de direcciones, configurando: o El modo de filtrado o Afinidad o El peso de la carga o La prioridad en la gestin. Para abrir el administrador de equilibrio de carga: 1) Inicio Todos los programas Herramientas administrativas Administrador de equilibrio de carga. -

Clster por conmutacin por error.


Un clster es un grupo de equipos independientes que trabajan juntos para aumentar la disponibilidad de aplicaciones y servicios. Los servidores en clster o nodos, estn conectados por cables fsicos, as como por el software de gestin. Si uno de los nodos del clster falla, otro nodo comienza a prestar servicio. Se trata de un proceso conocido como conmutacin por error. Con grupos de conmutacin por error, los usuarios experimentan un mnimo de interrupciones en el servicio. En Windows Server 2008, las mejoras de clsteres conmutacin por error estn destinadas a simplificar grupos, hacindolos ms seguros y mejorar la estabilidad del clster. La configuracin del clster y la gestin son ms fciles. La seguridad y redes en los clsteres se han mejorado, al igual que la forma en que se comunica con el clster de conmutacin de almacenamiento. Las principales mejoras de Clsteres de conmutacin por error son: .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Validacin de clster. Ahora es ms fcil comprobar que un clster se crea y valida correctamente. Nuevas propiedades de almacenamiento. Puede aumentar el rendimiento del almacenamiento con el soporte para SAN o DAS. Nueva configuracin de la red. Aparecen nuevas opciones de configuracin para el qurum ya que no tiene que ser un punto de fallo nico.

Requisitos de Hardware para la Conmutacin por error


Para poder implementar Conmutacin por error, se deben considerar los siguientes requisitos hardware. Servidores. Servidores preferiblemente de nueva generacin que garanticen un rendimiento ptimo para la aplicacin que se requiera implementar Los adaptadores de red y el cable. Actualmente las conexiones son de 10/100/1000. Es muy aconsejable que las conexiones y adaptadores de red rindan a la mayor velocidad posible, como por ejemplo 10 Gb. El cable utilizado para un mejor rendimiento UTP-Cat. 6 Controladores de dispositivos o adaptadores adecuados para el almacenamiento. Controladores de disco para crear los sistemas RAID de seguridad adicional Almacenamiento. Discos duros con grandes capacidades para poder soportar y almacenar los datos de aplicaciones.

Microsoft admite una solucin de clster de conmutacin por error slo si todos los componentes de hardware estn marcados como "Certified for Windows Server 2008." Adems, la configuracin completa de servidores, redes y almacenamiento, deben pasar todas las pruebas en el Asistente para validar una configuracin, que forma parte del complemento de Administracin de clster de conmutacin por error.

Ver Vdeo: Asegurando la disponibilidad de contenido y recursos de red,


en el Mdulo 7. Unidad 13, en la plataforma e-learning.

Laboratorio
Ejercicio 1. Instalacin de Windows Server Backup
1) 2) 3) 4) Abra el administrador de servidor Sitese en Caractersticas Agregar caractersticas De la lista de caractersticas seleccione Caractersticas de Copia de seguridad de Windows Server a) Seleccione Copias de seguridad de Windows Server b) Seleccione Herramientas de lneas de comandos 5) Siguiente e Instalar 6) Revisar el resumen de instalacin y finalizar.

Ejercicio 2. Configuracin de instantneas


Para habilitar y configurar las instantneas de carpetas compartidas: 1) Abra Administracin de equipos. 2) En el rbol de la consola, haga clic con el botn secundario en Carpetas compartidas, haga clic en Todas las tareas y, a continuacin, en Configurar instantneas. 3) Haga clic en el volumen en el que desee habilitar las instantneas de carpetas compartidas y, a continuacin, haga clic en Habilitar. 4) Para realizar cambios en la programacin y en el rea de almacenamiento predeterminados, haga clic en Configuracin. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Ejercicio 3 Crear un clster NLB


1) Abra el Administrador de carga de red desde inicio Herramientas administrativas 2) Sobre Clsteres de equilibrio de carga de red Botn Derecho Nuevo 3) Seleccione el primer host que formar parte del clster y la interfaz para configurar el nuevo clster 4) Seleccione la prioridad y el estado inicial del servidor Siguiente 5) Configurar una IP para el clster y siguiente 6) Configure las reglas de puerto, por defecto todo abierto y Finalizar 7) Desde el administrador de equilibrio de carga comprueba que el clster se ha creado y que las mquinas que lo comportan funcionan correctamente.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Unidad 14: Configuracin de SSC


Objetivos

Aprender a asegurar un servidor Desplegar plantillas de seguridad de servidor Conocer Windows Server Update Services Aprender

Introduccin
En toda organizacin, se deben planear infraestructuras de seguridad para proteger los servidores. El seguimiento de logs de eventos por medio de auditoras podr ahorrar a los administradores de red tiempo y proporcionar informacin para resolver problemas de seguridad. En una organizacin donde existen un nmero elevados de equipos, se pueden administrar de forma centralizada las actualizaciones de seguridad. La configuracin de actualizacin automtica, puede permitir descargar las actualizaciones desde un servidor dedicado a ello, como un Windows Server Update Services.

Asegurar una infraestructura de Windows


Cada da se presentan nuevos desafos de la seguridad. En esta seccin veremos la aplicacin de defensa en profundidad para aumentar la seguridad, prcticas bsicas de servidor de seguridad, conoceremos el asistente de configuracin de seguridad y por ltimo la configuracin del Firewall de Windows.

Desafos de la Seguridad de las infraestructuras de Windows


Para toda organizacin la seguridad a nivel general es primordial para la tranquilidad y la gestin registrada. La implementacin de herramientas y sistemas que aseguren el acceso a la red y a los recursos evitarn la prdida indebida de datos, el robo de informacin o la ingeniera social. Podemos diferenciar o separar tres puntoso consideraciones a tener en cuenta en toda organizacin que tenga o quiera implementar una red con servicios y servidores: Implementacin y gestin de configuracin segura de servidores. En las organizaciones suele resultar difcil implementar y administrar las configuraciones de seguridad generalmente para los servidores que realizan ms de una funcin. Por lo general es difcil determinar y gestionar los servicios necesarios, y qu puertos deben estar abiertos y quien necesita tener acceso a los servidores. Puede realizar la implementacin de servidor una vez realizado un estudio previo mediante el Asistente de configuracin de seguridad, directivas de grupo o por medio de plantillas de seguridad. La proteccin contra las amenazas de software malicioso y las intrusiones. Las organizaciones necesitan determinar la manera ms eficaz de garantizar que su entorno est protegido de las amenazas de software que resultan de por ejemplo, un proceso inadecuado de administracin de actualizaciones. En muchas ocasiones, las organizaciones tienden a proteger los servidores y redes perimetrales, sin pensar en la proteccin de servidores especficos o segmentos dentro de su entorno de red. Debe considerar todos los accesos donde este tipo de amenaza puede darse y aplicar sistemas o tecnologas para prevenir posibles desastres como Windows Server Update Services, NAP, IPSec o la configuracin del Firewall de Windows. La aplicacin eficaz de identificar y de control de acceso. Las organizaciones pueden requerir mtodos ms eficaces para identificar y controlar quien inicia sesin y quien accede a los .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

recursos. Puede implementar el uso de tarjetas inteligentes, sistemas de cifrados EFS, Infraestructuras de Clave Pblica (PKI), AD RMS o Servicios de Federacin.

La aplicacin de defensa en profundidad para aumentar la seguridad


Los ataques que tienen lugar a travs de la red representan el mayor nmero de incidencias registradas de software malintencionado. Normalmente, los ataques de este tipo de software comenzarn por aprovechar los puntos dbiles en las defensas del permetro de la red a fin de tener acceso a los dispositivos host dentro de la infraestructura de TI de la organizacin. Estos dispositivos podran ser clientes, servidores, enrutadores o incluso servidores de seguridad. Uno de los problemas ms difciles a los que se enfrentan las defensas antivirus en esta capa consiste en buscar el equilibrio entre los requisitos de caractersticas de los usuarios de los sistemas de TI y las limitaciones necesarias para establecer una defensa eficaz. Muchas organizaciones han adoptado un enfoque multicapa en relacin al diseo de sus redes que utiliza tanto estructuras de red interna como externa. Microsoft recomienda este mtodo porque se adapta directamente al modelo de seguridad de defensa en profundidad. Hay una tendencia creciente a dividir la red interna en zonas de seguridad para establecer un permetro en cada una de ellas. Microsoft recomienda tambin este enfoque, ya que ayuda a reducir la exposicin general a un ataque de software malintencionado que busca obtener acceso a la red interna. Las primeras defensas de la red de la organizacin se denominan defensas de la red perimetral. Se han diseado para evitar que se introduzca software malintencionado en la organizacin a partir de un ataque externo. Un ataque normal de software malintencionado se centra en copiar archivos en un equipo de destino. Por tanto, las defensas antivirus deben trabajar en combinacin con las medidas de seguridad generales de la organizacin para garantizar que el acceso a los datos de la empresa slo se permite a personal autorizado y de forma segura. En la siguiente tabla se muestran los mtodos de seguridad que pueden aplicarse a cada una de las capas: Capa Datos Aplicaciones Host Red interna Red perimetral Seguridad fsica Seguridad ACL, Encriptacin Antivirus Autenticacin, Firewall Segmentos de Red, IpSec Firewalls Personal de seguridad, Cierres

Prcticas bsicas para asegurar un servidor


Las mejores prcticas para asegurar un servidor se muestran a continuacin: Instalacin del ltimo Servicepack y actualizaciones de seguridad. Instalando las ltimas actualizaciones de seguridad y los servicepack garantizar la seguridad del sistema operativo. Utilice el Asistente para configuracin de seguridad para analizar y poner en prctica la seguridad del servidor. Con el asistente de configuracin de seguridad podr cerrar los puertos y aplicaciones innecesarios. Utilice la directiva de grupo y las plantillas de seguridad para endurecer los servidores Restringir el mbito de acceso para las cuentas de servicio. En ocasiones, una mala configuracin de las cuentas de servicios, pueden provocar fallos de seguridad en aplicaciones y accesos. Restringir quin puede iniciar una sesin local a los servidores. Debe establecer correctamente la asignacin de permisos administrativos a que usuario o grupos de usuario para poder administrar e iniciar sesin en un servidor. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Restringir el acceso fsico y de red a los servidores. Debe establecer una ubicacin para los servidores con las garantas de seguridad como un CPD y debe dar acceso nicamente a los administradores o personal de confianza. No todo el mundo debera tener acceso a esta sala o servidores.

Qu es el Asistente para configuracin de seguridad?


El Asistente para configuracin de seguridad (SCW) le gua a travs del proceso de creacin, edicin, aplicacin o reversin de una directiva de seguridad. Permite crear o modificar fcilmente una directiva de seguridad para el servidor basndose en su funcin instalada. El SCW tambin se puede usar para revertir una directiva a su configuracin anterior con fines de recuperacin. Con el SCW se puede comparar la configuracin de seguridad de un servidor con la directiva de seguridad que se desee a fin de buscar las configuraciones vulnerables del sistema. La versin del SCW de Windows Server 2008 incluye ms configuraciones de funcin de servidor y opciones de seguridad que la versin del SCW de Windows Server 2003.

Usando SCW de Windows Server 2008 puede: Deshabilitar los servicios innecesarios basados en la funcin de servidor. Quitar las reglas de firewall que no se usen y limitar las existentes. Definir directivas de auditora limitadas.

El asistente de seguridad de Windows Server 2008 incluye la herramienta de comandos scwcmd. Con esta herramienta puede: Aplicar la directiva a uno o ms servidores. Revertir directivas. Analizar y ver una directiva del SCW en varios servidores Transformar una directiva del SCW en un objeto de directiva de grupo (GPO) para implementaciones centralizadas y administracin mediante los Servicios de dominio de Active Directory (AD DS).

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Por ejemplo, si se desea crear una nueva GPO denominada TestSCW1, desde un fichero XML de SCW denominado SCW1.xml, deberamos ejecutar:

scwcmd transform /p:SCW1.xml /g:TestSCW1 Qu es el Firewall de Windows?


Firewall de Windows es una aplicacin con estado basado en host que proporciona las siguientes caractersticas: Filtros de red, tanto el trfico entrante y saliente Integra dos cortafuegos de filtrado y configuracin de la proteccin IPsec Puede ser administrado por la herramienta de Panel de control o por la consola de MMC de forma ms avanzada por medio de la seguridad avanzada del Firewall de Windows Proporciona apoyo a las GPO Est habilitado por defecto en cualquier instalacin nueva

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Uso de plantillas de seguridad para proteger los servidores


En esta seccin se explicarn que son las polticas de seguridad, como utilizar las plantillas de seguridad y que herramientas de anlisis se puede utilizar para

Poltica de seguridad.
Una poltica de seguridad es una combinacin de configuraciones de seguridad que sea aplican a un equipo o servidor. En un entorno de dominios, existen dos tipos de polticas de seguridad: Poltica de seguridad local Poltica de seguridad del Dominio Directivas de cuenta Polticas Locales Firewall de Windows con seguridad avanzada Directivas de clave pblica Directivas de restriccin de software Directivas de seguridad IP en equipo local

La poltica de seguridad local, incluye una serie de configuraciones que se aplican al equipo:

En cuanto a la poltica de seguridad del dominio, adems de las polticas locales, se incluyen: Registro de eventos Grupos restringidos Servicios del sistema Registro Sistema de archivos Polticas de Conexin local y de red inalmbrica Proteccin de acceso a la red Directivas de seguridad IP en Active Directory

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Plantillas de seguridad
Las plantillas de seguridad, son configuraciones de opciones de seguridad guardadas para implementar y administrarlas en servidores o equipos especficos como poltica de seguridad. Las plantillas de seguridad se pueden aplicar a un equipo local, importar a un objeto de directiva de grupo o utilizar para analizar la seguridad. Las plantillas de seguridad se pueden administrar por medio del complemento de MMC de plantillas de seguridad. Por defecto, Microsoft tiene predefinidas varias plantillas de seguridad que puede aplicar a equipos y servidores dependiendo de los servicios crticos e importancia en la organizacin. Estas plantillas se guardan en %SystemRoot%\Security\Templates A la hora de realizar una implementacin de plantillas de seguridad debe tener en cuenta las siguientes consideraciones: Debe crear plantillas de seguridad en funcin de cada servidor. Es posible que una plantilla para un servidor no sea compatible para otro y puedan producirse errores de rendimiento o servicio. Para implementar plantillas de seguridad a un solo servidor debe implementarlas por medio de SECEDIT. Adems con SECEDIT puede Configurar y analizar la seguridad del sistema mediante la comparacin de la configuracin actual al menos a una plantilla. Para implementar plantillas de seguridad a varios servidores, es aconsejable hacerlo por medio de GPOs. Por ejemplo, en una granja de servidores web interna que requieren de una poltica de seguridad igual puede implementarla por medio de GPOs

Herramienta de configuracin y anlisis de seguridad.


La herramienta de configuracin y anlisis de seguridad es un complemento MMC que le permite comparar los valores de configuracin aplicados a un equipo respecto a una plantilla de seguridad. Los elementos correctos se marcarn en verde mientras que los elementos que entrarn en conflicto o discreparn se mostrarn en rojo. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Para abrir la herramienta de configuracin y anlisis de seguridad 1) Abra una consola MMC desde Inicio Ejecutar MMC 2) Agregar o quitar complementos desde el men 3) En la lista de complementos, desplcese hasta Configuracin y anlisis de seguridad Agregar Aceptar. 4) Aceptar

Abrir una base de datos existente seguridad 2) Haga clic en Abrir base de datos 3) Seleccione una y haga clic en Abrir Para crear una nueva base de datos

1) Haga clic con el botn secundario en el elemento del mbito Configuracin y anlisis de

seguridad 2) Haga clic en Abrir base de datos 3) Escriba el nombre de una nueva base de datos y haga clic en Abrir 4) Seleccione una plantilla de seguridad para importar y haga clic en Abrir Para configurar el equipo

1) Haga clic con el botn secundario en el elemento del mbito Configuracin y anlisis de

1) Haga clic con el botn secundario en el elemento del mbito Configuracin y anlisis de

seguridad 2) Seleccione Configurar el equipo ahora 3) En el dilogo, escriba el nombre del archivo de registro que desea ver y haga clic en Aceptar Nota: cuando la configuracin se complete, debe realizar un anlisis para ver la informacin en su base de datos. Para analizar la seguridad de su equipo

1) Haga clic con el botn secundario en el elemento del mbito Configuracin y anlisis de
seguridad 2) Seleccione Analizar el equipo ahora 3) Escriba la ruta del archivo de registro en el dilogo y haga clic en Aceptar

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Nota: para ver el archivo de registro creado durante la configuracin o anlisis, seleccione Mostrar archivo de registro en el men de contexto de Configuracin y anlisis de seguridad.

Configuracin de un plan de auditoria


En esta seccin se hablar sobre las auditoras y como establecer las polticas de auditora y los tipos de logs que se guardarn.

Auditoria
La Auditora es el proceso por el cual se registran las actividades de usuarios y del sistema que se guardan en el registro de eventos en los registros de seguridad. Estos registros de auditora, pueden orientar al administrador sobre problemas ya que indica cuando ocurri el problema, quien fue el culpable, cuando sucedi y cul fue el resultado del error. Generalmente se suele habilitar los registros de auditora para realizar un seguimiento base sobre usuarios y procesos. La auditora puede ayudarnos a combatir contra problemas de seguridad detectando amenazas y ataques, mostrando daos producidos y sobre todo, con la informacin registrada podemos impedir nuevos daos. Entre las configuraciones ms comunes de auditora se pueden definir los tres tipos ms importantes: Acceso a objetos Administracin de cuentas de usuarios Inicio y cierre de sesin de usuarios.

Poltica de auditoria
En una poltica de auditora se definen los tipos de eventos que se registran en el registro de seguridad de cada ordenador. Los eventos se escriben en el ordenador en el que se produce el evento. Puede implementar polticas de auditora utilizando la poltica de seguridad local o mediante la configuracin de Directiva de grupo. Una poltica de auditora determina los eventos de seguridad que informar al administrador de red de posibles problemas en el equipo. Puede establecer una poltica de auditora para:

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Registrar eventos de xito o fracaso en el acceso. Minimizar el uso no autorizado de los recursos Mantener un registro de la actividad Almacenar los registros de seguridad en el registro de eventos

Tipo de eventos que se pueden auditar


Lo primero que debe configurar cuando define una poltica de auditora son los elementos u objetos a auditar. A continuacin se muestra una lista de los elementos que puede auditar: Cuenta de inicio de sesin. Una cuenta se autentica en una base de datos de seguridad. Cuando un usuario inicia sesin en el equipo local, el equipo registra la cuenta de inicio de sesin. Cuando un usuario inicia sesin en un dominio, el controlador de dominio de autenticacin registra la cuenta de inicio de sesin. Administracin de cuentas. Un administrador crea, cambia o elimina una cuenta de usuario o grupo, una cuenta de usuario se cambia el nombre o se establece o cambia una contrasea. Directorio de servicio de acceso. Un usuario accede a un objeto de Active Directory. Para registrar este tipo de acceso, debe configurar determinados objetos de Active Directory para la auditora. o Directorio de Pginas de servicio. o Directorio de servicio de replicacin. o Directorio completo de servicio de replicacin Inicio de sesin. Un usuario inicia sesin. El evento se registra en el equipo que el usuario tiene acceso, independientemente de si utiliza una cuenta local o de dominio. Acceso a objetos. Un usuario accede a un archivo, carpeta o impresora. El administrador debe configurar los archivos, carpetas o impresoras a auditar, los usuarios o grupos que son objeto de la auditora, y las acciones para las que sern auditados. Poltica de Cambio. Un cambio se realiza en las opciones de seguridad de usuario como las opciones de contrasea. Uso de privilegios. Un usuario ejerce un derecho de usuario, como cambiar la hora del sistema o tomar posesin de un archivo. Seguimiento del Procesos. Una aplicacin realiza una accin. Generalmente esta informacin es til slo para programadores que quieran seguir los detalles de ejecucin de la aplicacin Sistema. Un usuario reinicia o apaga la computadora, o se produce un evento que afecta a la seguridad de Windows.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Descripcin general de Windows Server Update Services


En esta seccin se conocern los servicios de Windows Server Updates Services como herramienta interna de seguridad, como configurar las actualizaciones, los requerimientos de servidor y como configurar las actualizaciones automticas.

Windows Server Update Services


Microsoft Windows Server Update Services 3.0 permite a los administradores de las tecnologas de la informacin implementar las ltimas actualizaciones de productos de Microsoft en equipos que ejecutan los sistemas operativos de Microsoft Windows Server 2003, Windows Server 2008, Windows Vista, Microsoft Windows XP con Service Pack 2 y Windows 2000 con Service Pack 4. Mediante WSUS, los administradores pueden administrar completamente la distribucin de las actualizaciones lanzadas al mercado a travs de Microsoft Update a los equipos de la red. El servidor WSUS permite a los administradores administrar y distribuir actualizaciones a travs de la consola de administracin de WSUS 3.0, la cual puede instalarse en cualquier equipo Windows en el dominio. Adems, un servidor WSUS puede ser el origen de actualizaciones para otros servidores WSUS dentro de la organizacin. Al menos un servidor WSUS de la red debe conectarse a Microsoft Update para obtener informacin acerca de las actualizaciones disponibles. En funcin de la seguridad y la configuracin de la red, el administrador puede determinar si los otros servidores debern conectarse directamente a Microsoft Update. Actualizaciones automticas Este componente se crea en los sistemas operativos Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP y Windows 2000 SP4. El componente Actualizaciones automticas permite que tanto el servidor como los equipos cliente reciban actualizaciones desde Microsoft Update o desde un servidor WSUS.

windowsupdate

WSUS

Funcionamiento de WSUS
El funcionamiento de los servicios de WSUS en una red se compone de cuatro procesos identificados: 1) Evaluacin. Configurar un entorno de produccin que apoyar la administracin de actualizaciones para ambos escenarios de rutina y de emergencia 2) Identificacin. Descubrir nuevas actualizaciones de una manera conveniente. Determinar si las actualizaciones son relevantes para el entorno de produccin 3) Evaluacin y planificacin. Probar las actualizaciones en un entorno que se parezca al actual, pero independiente del entorno de produccin .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

4) Implementacin. Aprobar y configurar el horario de instalacin. Revisar el proceso despus de que la implementacin se haya completado

Requisitos de Servidor para instalar WSUS


Los requisitos para poder implementar un servidor con WSUS son: Windows Server 2003 SP1 o Windows Server 2008 IIS 6.0 o posterior Windows Installer 3.1 o posterior Microsoft .NET Framework 2.0 SQL Server 2005 SP1 or posterior Microsoft Report Viewer Redistributable 2005

Para las versiones de Windows Server 2003, hay que descargarse la aplicacin desde la pgina de descargas de Microsoft. Las versiones de Windows 2008 lo integran como una funcin instalable desde el administrador del servidor Con IIS, Windows Installer, .NET 2.0 y SQL se administran el servicio de instalacin y registro de actualizaciones y equipos. Microsoft Report Viewer Redistributable se utilizar para realizar informes sobre actualizaciones descargadas, equipos con actualizaciones pendientes o un informe general sobre la configuracin.

Actualizaciones automticas.
Las actualizaciones automticas se pueden configurar de forma automtica dentro de una organizacin con Active Directory por medio de GPOs. La configuracin direccionara a los clientes a consultar al WSUS si existen actualizaciones de seguridad disponibles. Otra opcin para configurar las actualizaciones automticas sera configurando las polticas locales del equipo. Para entornos en los que no exista un directorio activo, es posible configurar un servidor WSUS por medio de la edicin del registro. Por medio de GPOs, puede modificar diferentes parmetros sobre actualizaciones automticas: .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Configurar actualizaciones automticas. Especifica si este equipo recibir actualizaciones de seguridad y otras descargas importantes a travs del servicio de actualizacin automtica de Windows. Si el servicio est habilitado, debe seleccionar una de las cuatro opciones en la configuracin de directiva de grupo: o 2 = Notificar antes de descargar actualizaciones y volver a notificar antes de instalarlas o 3 = (Opcin predeterminada) Descargar automticamente las actualizaciones y notificar cuando estn listas para instalarse o 4 = Descargar automticamente las actualizaciones e instalarlas segn la programacin especificada abajo o 5 = Permitir a los administradores locales seleccionar el modo de configuracin en el que Actualizaciones automticas debe notificar e instalar actualizaciones Habilitar destinatario del lado del cliente. Especifica el nombre o nombres de grupos de destino que deben utilizarse para recibir actualizaciones procedentes de un servicio Microsoft Update de la intranet. Si el estado se establece en Habilitado, la informacin del grupo de destino especificado se enva al servicio Microsoft Update de la intranet, que la usa para determinar qu actualizaciones se deben implementar en este equipo. Permitir la instalacin inmediata de Actualizaciones automticas. Especfica si Actualizaciones automticas debe instalar automticamente ciertas actualizaciones que no interrumpen servicios de Windows ni reinician Windows. Si el estado se establece en Habilitado, Actualizaciones automticas instalar automticamente estas actualizaciones una vez que se descarguen y estn listas para instalarse

Administracin de WSUS
En esta seccin se mostrar la consola de administrador WSUS, como se gestionan los equipos y como se administran las actualizaciones.

Consola de administracin de WSUS


La consola de administracin de WSUS se utilizar para realizar todos los procesos de administracin y seguimiento de actualizaciones de seguridad y dems software para equipos y servidores. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

A primera vista, el administrador de WSUS se divide en tres partes: 1) Men desplegable de la izquierda. Muestra el servidor WSUS y todos los componentes que engloban el servicio de WSUS como: a. Actualizaciones. Muestra todos los avisos sobre productos y actualizaciones de seguridad b. Equipos. Muestra una lista de los equipos que al menos, se conectaron una vez al servidor WSUS c. Servidor secundario. Si utiliza varios servidores WSUS puede configurar uno como principal y los otros de encadenamiento d. Sincronizaciones. Muestra un informe sobre las sincronizaciones entre el servidor y Windows Update e. Informes. Puede crear informes personalizados sobre equipos, actualizaciones y configuraciones f. Opciones. Son las opciones de configuracin generales del servidor WSUS como por ejemplo el acceso a internet, los productos que descargar y los idiomas de las actualizaciones. Tambin puede realizar limpieza de actualizaciones y registro de equipos obsoletos. 2) Cuadro Central. Muestra en pantalla lo que se selecciones del men desplegable de la izquierda 3) Panel de Accin a la derecha. Dependiendo de lo que se seleccione tanto en el men de la izquierda o en el cuadro central, le aparecern diferentes acciones que puede ejecutar

Administracin de grupos de equipos.


Para poder aadir de forma automtica a los equipos, primero debe configurar los equipos cliente para estn en contacto con el servidor WSUS. Hasta que no realice esta tarea, el servidor WSUS no reconocer los equipos cliente y no se mostrarn en la lista en la pgina de equipos. Por defecto, cualquier equipo que se ponga en contacto con el WSUS, automticamente entra a formar parte del grupo Todos los equipos o equipos sin asignar y siguen siendo asignados hasta que se asigne a otro grupo. Los equipos pueden pertenecer a ms de un grupo. Cuando cree grupos de equipos, puede hacerlo de forma jerrquica para aplicar distintas actualizaciones a distintos niveles. En resumen, para poder registrar un equipo directamente en el WSUS debe: 1) Modificar la poltica local o por GPO para que el equipo se conecte con un servidor WSUS interno. 2) Habilitar nombre de grupo en la GPO 3) Crear nuevo grupo en el servidor WSUS 4) Actualizar las polticas 5) Comprobar que el equipo se asign al grupo

Aprobacin de actualizaciones
Se puede aprobar la instalacin de actualizaciones para todos los equipos de la red de WSUS o para grupos de equipos diferentes. Despus de la aprobacin de una actualizacin, puede realizar varias acciones: Aplicar esta aprobacin a todos los grupos Fijar un plazo para la instalacin automtica. Al seleccionar esta opcin, debe establecer los tiempos y fechas especficas para instalar las actualizaciones, anulando la configuracin en los equipos cliente. Quitar una actualizacin instalada y apoyar la eliminacin.

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Ver Vdeo: Configuracin de SSC, en el Mdulo 7. Unidad 14, en la plataforma e-learning.

Laboratorio: Configuracin de SSC


Revisin de poltica de seguridad local En un servidor que no sea controlador de dominio: 1) Abra una consola MMC desde Inicio Ejecutar MMC 2) En Archivo haga clic en Agregar o quitar complementos 3) De la lista de complementos desplcese hasta Editor de directivas de grupo y dele a Agregar 4) En el asistente seleccione por defecto Equipo local 5) Aceptar 6) En la consola MMC expanda Directiva Equipo local 7) En las configuraciones de equipo Configuracin de Windows 8) Sitese y analice la configuracin de seguridad Revisin de poltica de seguridad del dominio En un servidor controlador de domino: 1) 2) 3) 4) 5) 6) Inicio Herramientas administrativas Administrador de directivas de grupo Sitese sobre el bosque Despliegue dominios Seleccione un dominio y expndalo Sitese sobre Default Domain policy Botn derecho Editar En configuracin de equipo vaya a Directivas Configuracin de Windows Configuracin de seguridad 7) Revise las configuraciones que aparecen y comprelas con la poltica local Crear una nueva poltica de seguridad En un servidor controlador de dominio 1) Inicio Herramientas administrativas Administrador de directivas de grupo 2) Sitese sobre el bosque 3) Despliegue dominios 4) Seleccione un dominio y expndalo 5) Sitese a la altura de la jerarqua donde quiere que se aplique la poltica de seguridad Botn derecho Crear un GPO en este dominio y vincularlo aqu 6) Escriba un nombre para la poltica y si depende de una GPO inicial y Aceptar 7) Una vez creada la poltica Botn derecho Editar 8) Cambie las configuraciones pertinentes 9) Realice una prueba de implementacin Gpupdate /forc en los equipos o usuarios afectados. .

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es

Instalacin de servicios WSUS En un servidor en Windows 2008 1) Abra el administrador de servidor 2) Haga clic en funciones botn derecho Agregar funcin 3) Seleccione Windows Server Update Services Siguiente 4) En el asistente para agregar funciones haga clic sobre Agregar servicios de funcin requeridos Siguiente 5) Lea la introduccin a Servidor Web y Siguiente 6) Siguiente en el resumen de configuracin de Servidor Web 7) Lea la introduccin a Windows Server Update Services y siguiente 8) Revisin de la instalacin e Instalar 9) Reinicie el servidor 10) Configure las opciones de primer uso de WSUS

Para uso exclusivo de los alumnos de CETICSA S.A: www.ceticsa.es