código: hol-win64. ► introducción ► servicios de red. necesidades de implementación en...
Post on 23-Jan-2016
227 Views
Preview:
TRANSCRIPT
Windows Server 2008 R2:Servicios de red
Ignacio Sánchez-Beato Paredesisanchezbeato@informatica64.com
Código: HOL-WIN64
Agenda
► Introducción► Servicios de Red. Necesidades de implementación en entornos Windows.► Servicio DNS. Funcionalidad y administración.
DNSsec► Servicio DHCP. Implementación, integración con Directorio Activo.
Failover DHCP► Servicio Branch Caché. ► Direct Access (Introducción).► Servicios de acceso a la red: NAS
VPN y RADIUS NAP (Introducción)
Funcionalidad DNS
►Nombres DNS DIRS. IP => AGENDA TELEFÓNICA►Dominios:
Raíz . “dot” Nivel superior net, com, org,.. Segundo nivel microsoft, terra Subdominio www, nort, east…. FQDN server1.nort.microsoft.net(.) Nombre
inequívoco►Estándares A-Z, a-z, 0-9, Guión (-)
Tipos de zona en DNS
►Zonas de resolución directaZona primariaZona secundariaZona de código Auxiliar
►Zonas de resolución inversaZona primariaZona Secundaria
Tipos de registros DNS
►SOA (Start Of Authority)Principio de autoridad de una zona DNS
►NS (Name Server)Identifican los servidores de nombres de una zona
►Host A o AAAAPara identificar un equipo
►CNAMEAlias para cualquier registro
►MXMail Exchanger – Para los servidores de correo
►PTRRegistro de resolución inversa
Administración DNS
►Configurar el valor del período de vida►Configurar la caducidad y el borrado►Probar la configuración del servidor DNS►Comprobar que un registro de recursos existe
mediante Nslookup.
Cómo funciona el valor del período de vida
Los registros de la zona se envían a otros servidores y clientes DNS como respuestas a consultasLos registros de la zona se envían a otros servidores y clientes DNS como respuestas a consultas11
Los servidores y clientes DNS que almacenan el registro en su caché lo mantienen durante el período de vida que se indica en élLos servidores y clientes DNS que almacenan el registro en su caché lo mantienen durante el período de vida que se indica en él22
Cuando el TTL caduca, el registro se quita de la cachéCuando el TTL caduca, el registro se quita de la caché33
El período de vida (TTL) es un valor de tiempo de espera expresado en segundos que se incluye con los registros DNS devueltos en las consultas DNS
El período de vida (TTL) es un valor de tiempo de espera expresado en segundos que se incluye con los registros DNS devueltos en las consultas DNS
Zona
TTL configuradoen la zona
Servidor DNS 1 Servidor DNS 1 Cliente DNSCliente DNSServidor DNS 2autorizado
Servidor DNS 2autorizado
Caché Caché Caché Caché
Registro de recursos Registro de recursos Registro de recursos Registro de recursos
Cómo configurar el valor del período de vida
DEMO:DEMO:
Ajustar el valor del período de vida para una zonaAjustar el valor del período de vida para un registro de recursos
Ajustar el valor del período de vida para una zonaAjustar el valor del período de vida para un registro de recursos
Qué son los parámetros de caducidad y borrado
Parámetro Descripción Ejemplo
Intervalo de no actualización
Período durante el que el servidor DNS no acepta intentos de actualización
7 días (valor predeterminado)
Intervalo de actualización
Período durante el que el servidor DNS acepta intentos
de actualización
7 días (valor predeterminado)
La caducidad es el proceso que determina si un registro de recursos DNS anticuado debe quitarse de la base de datos DNSLa caducidad es el proceso que determina si un registro de recursos DNS anticuado debe quitarse de la base de datos DNS
El borrado es el proceso de limpieza y eliminación de datos de nombres anticuados o extintos de la base de datos DNSEl borrado es el proceso de limpieza y eliminación de datos de nombres anticuados o extintos de la base de datos DNS
Un intento de actualización es el proceso en el que un equipo solicita una actualización de su registro DNSUn intento de actualización es el proceso en el que un equipo solicita una actualización de su registro DNS
Cómo funcionan la caducidad y el borrado
1 ene 15 ene8 ene
BorrarBorrarIntervalo de no actualización
Intervalo de no actualización
Intervalo deactualizaciónIntervalo deactualización
Marcade tiempoMarcade tiempo
CaducidadCaducidad
7 días 7 días
Cómo configurar la caducidad y el borrado
DEMO:DEMO:
Configurar los parámetros de caducidad y borrado en el servidor DNSConfigurar los parámetros de caducidad y borrado en una zona DNSHabilitar el borrado automático de los registros de recursos obsoletos en un servidor DNSIniciar inmediatamente el borrado de los registros de recursos obsoletosVer cuándo una zona puede empezar a borrar los registros obsoletosConfigurar la marca de tiempo en un registro de recursos DNS
Configurar los parámetros de caducidad y borrado en el servidor DNSConfigurar los parámetros de caducidad y borrado en una zona DNSHabilitar el borrado automático de los registros de recursos obsoletos en un servidor DNSIniciar inmediatamente el borrado de los registros de recursos obsoletosVer cuándo una zona puede empezar a borrar los registros obsoletosConfigurar la marca de tiempo en un registro de recursos DNS
Nslookup
Nslookup es una utilidad de línea de comandos que se emplea para diagnosticar la infraestructura DNSNslookup es una utilidad de línea de comandos que se emplea para diagnosticar la infraestructura DNS
Esta muerto Netbios?
WINS?
►En Windows 2008 Server Wins es una caracteristica
►Un gran problema: IPv6 doesn't no entiende de WINS/NetBIOS y vice versa
IPv6 y AAAA
►IPv6 trae registros AAAA ("quad-A") , que mapea nombres de equipo con direcciones IPv6
►Clientes DNS de Vista y 2008 registran automaticamente recursos AAAA
►Aunque las direcciones que comienzan con "FE80" no se registran en DNS
Carga de zona en segundo plano
Proceso de carga de zonas en Windows 2003
1
•Enumerar zonas
2
•Carga de sugerencias raiz
3
•Carga archivo de zonas (system32\dns\*.dns)
4
•Abre puertos RPC para consultas
5
•Carga las zonas integradas en AD
DNS no puede responder hasta
que se cargan las zonas de AD
Cambios en DNS serverSoluciones
►DNS es ahora multitarea.
►No acepta acctualizaciones hasta que se cargan todas las zonas
Post-WINS Single Label Names
►Con WINS nos podiamos refererir a un servidor con server44 en vez de server44.eastcoast.sales.bigfirm.com
►En un AD simple, todavia tenemos esta caracteristica
►Que pasa en otros entornos?
Etiquetado simple(en 2003)
►Podiamos implementar una lista de sufijos DNS via GPOs (Computer Config / Admin Templates / Network / DNS Client)
►Pero….
Que pasa si hay multiples server44s?
El cliente para la resolucion DNS tras 12 segundos y despues acude a WINS
Etiquetado simple en 2008Crear GlobalNames
►Crear una zona llamada "GlobalNames"►Todos los servidores DNS autoritativos deben ser Server 2008 ►En cada servidor que posea la zona, hay que habilitar la
resolucion global namednscmd /config /enableglobalnamessupport 1
►Añadir CNAMEs►Para asegurarnos de que "server44" siempre devuelva
server44.sales.bigfirm.com, crear este GlobalNames:server44 CNAME server44.sales.bigfirm.com
DNAME Simplificando la Migracion
Dom2003.local Dom2008.local Change
Config Files
Change Reg
Change
Code
►Poner el registro DNAME en el dominio antiguo
►Deberia apuntar al nuevo dominio
►Por ejemplo: Migrar de Dom2003.local->Dom2008.local
Editar la zona Dom2003.local
Añadir un registro “Dom2003.local. DNAME Dom2008.local.”
Efecto: la busqueda de www.Dom2003.local en el servidor DNS retornara el registro de tipo A de www.Dom2008.local
DNAME Detalles
►No GUI!
dnscmd servername /recordadd Linux.com @ DNAME Microsoft.com
DNAME
►dnscmd /zoneadd Dom2003.local /primary►dnscmd /zoneadd Dom2008.local /primary►dnscmd /recordadd Dom2008.local S2008M1 A 10.10.1.2
►dnscmd /recordadd Dom2003.local @ dname Dom2008.local
►nslookup S2008M1.Dom2003.local
DNAME
DNSsec
►¿Qué es? Es una suite de extensión de DNS
RFCs 4033, 4034, y 4035►¿Qué hace?
Añade autoridad de origenIntegridad de datosDenegación autenticada de existenciaNuevos registros:
DNSKEY (guarda la clave pública)RRSIG (Resource Record Signature)NSEC (Next Secure)DS (Delegator Signed)
DNSsec
►SeguridadSSLIPsec
►Recursos y rendimientoAumenta el uso de CPU para la validación de datosAumenta el uso de la red, mayor número de
paquetesTarda de 3 a 5 veces más en cargar una zona segura
con DNSsec que una zona no segura.Si hay zonas grandes ADI, la base de datos de AD
aumenta considerablemente
Desplegando DNSsec
►ProcedimientoFirmar una zona
Generar los pares de claves para la zonaoDnsCmd /OfflineSign /GenKey /Alg rsasha1 /Flags KSK /Length
<length> /Zone <zone name> /SSCert /FriendlyName KSK-<zone name>oDnsCmd /OfflineSign /GenKey /Alg rsasha1 /Length <length> /Zone
<zone name> /SSCert /FriendlyName ZSK-<zone name>Copia de seguridad de las claves
oDesde la consola de certificados (MS-DNSSEC)Firmar la zona
oDnsCmd /OfflineSign /SignZone /input <input zone file> /output <output zone file> /zone <zone name> /signkey /ValidTo <validtodate> /ValidFrom <validfromdate> /cert /friendlyname ksk-<zone name> /signkey /cert /friendlyname zsk-<zone name>
Si es ADI: dnscmd /ZoneExport <zone name> <input zone file>
Desplegando DNSsec
►ProcedimientoFirmar una zona
Recargar la zonaodnscmd /ZoneDelete <zone name> /fodnscmd /ZoneAdd <zone name> <zone type> /file <zone file name> /load
Si es ADIodnscmd /ZoneDelete <zone name> /dsdel /fodnscmd /ZoneAdd <zone name> <zone type> /file <zone file name> /loadodnscmd /ZoneResetType <zone name> /dsprimary
Comprobar la zonaMediante nslookupBuscar registro DNSKEY en la consola DNS
DHCP (Dynamic Host Configuration Protocol)
►Protocolo de configuración dinámica de Host►No sólo configura la IP►Integrado con DNS►Compatible con IPv6►Preparado para WDS y PXE►Ahora Failover cluster
DHCP – Instalación y configuración
►Es un rol de Windows Server 2008 R2Configurar los interfaces que responderán
peticiones de DHCPConfiguración IPv4 e IPv6Añadir ámbitos de DHCPAutorizar el servidor en un dominioConfigurar opciones de servidor
DHCP - FailOver
►Antes para poder disponer de alta disponibilidad de DHCP se tenía que usar la regla del 70-30
Un servidor con el 30% del ámbito excluidoOtro servidor con el 70% del ámbito excluido
►Ahora es posible clusterizar el servicio de DHCP
Servicios de Ficheros en Red
►Novedad: Branch CacheModelo DistribuidoModelo Hospedado
►Frente a DFS (Distributed File System)Espacio de nombresReplicación de ficheros
►DiferenciasReducción del trafico de redReducción del espacio de almacenamiento
Branch Cache
►Modelo Distribuido
Branch Cache
►Modelo Hospedado
Branch Cache - Configuración
►Configurar el servidor de Branc CacheInstalar característica de Branch CacheConfigurar los servidores de Branch Cache
mediante GPOConfiguración de equipo, Directivas, Plantillas administrativas, Red, Servidor Lanman.Habilitar publicación de HASH para BranchCache.
►Configurar el servidor de ficherosInstalar el servicio de rol Branch Cache para el
servidor de ficherosHabilitar Branch Caché para los recursos
compartidos
Branch Cache - Configuración
►Configurar los equipos para usar Branch CacheHabilitar BrachCache distribuido a través de las
GPOsConfiguración de equipo, Directivas, Plantillas administrativas, Red, BranchCache.
oActivar BrachCacheoEstablecer el modo de Branch Caché
(distribuido/hospedado)oConfigurar BranchCache para archivos de red
Habilitar reglas de firewall a través de GPOsReglas de entrada predefinidas
oBranchCache: recuperación de contenido (usa HTTP) oBranchCache: detección del mismo nivel (usa WSD)
(NAS) - Servicios de acceso a redes
►Ofrecen acceso a la red de manera local o remota►Permite definir directivas para (NPS):
AutenticaciónAutorizaciónMantenimiento de clientes
►Servicios de enrutamiento y acceso remotoVPNRouting
►Autoridad de registro de mantenimiento (HRA)►Protocolo de autenticación de credenciales de host (HCAP)
Direct Access – Novedad frente a VPN
VPN DirectAccess
DirectAccess Server(Server 2008 R2)
DirectAccess Client(Windows 7)
Internet
Native IPv6
6to4
Teredo
IP-HTTPS
Tunnel over IPv4 UDP, HTTPS, etc.
Encrypted IPsec+ESP
IPsec Gateway
Encrypted IPsec+ESP
IPsec Hardware Offload Supported
Network Access Protection (NAP)
►Redes Interconectadas►Datos Distribuidos►Trabajadores Móviles►Extranet de Negocio►Acceso Remoto►Servicio Web►Wireless►Dispositivos Móviles
Internet
Intranet
`
Remote Employees
Remote Access Gateway
Web Server
Customers
Perimeter
X Infrastructure ServersExtranet
Server
`
Network Access Protection (NAP)
Validación de PolíticasDetermina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables”
Restricciones de RedRestringe el acceso a la red a los equipos en función de su salud
RemediaciónProvee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red
Cumplimiento sobre la marchaLos cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red
Network Access ProtectionFuncionamiento
No Cumplela Política
1
RedRestringida
El cliente solicita acceso a la red y presenta su estado de salud actual
1
4Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4)
2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS)
5 Si cumple la política al cliente se le permite el acceso total a la red corporativa
MSFT NPS
3
Servidor de Políticas e.g. Patch,
AV
Cumple laPolítica
3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT
2
Cliente Windows
DHCP, VPNSwitch/Router
Fix UpServerse.g. Patch
Red Corporativa5
4
Forzado Cliente Saludable Cliente no Saludable
DHCPConfiguración IP completa. Acceso Total
Conjunto de rutas restringido
Direct Access Acceso Total VLAN Restringida
HTTPS Acceso Total VLAN Restringida
802.1X Acceso Total VLAN Restringida
IPsec
Puede comunicar con cualquier nodo en que confie
Nodos saludables rechazan la conexión de sistemas no Saludables
•Complementa la protección a nivel 2•Funciona con la infraestructura existente•Aislamiento Flexible
Protección LAN con NAP
Solicitando Acceso.
Mi estado de salud
MS NPS
Cliente Switch 802.1X
Servidores de Remediación
¿Puedo acceder? Aquí esta mi estado de Salud
¿Debe este cliente ser restringido basándonos en su estado de salud?
Actualización de políticas al servidor
NPS
Tienes acceso restringido hasta que te actualices
¿Puedo obtener Actualizaciones?
Aquí las tienes.
Según las políticas, el cliente no esta al día.Poner en cuarentena y solicitar actualización.
Red Restringida
Se permite el acceso total al Cliente
Servidores de Chequeo de Salud
Según las políticas, el cliente cumple. Permitir Acceso.
PatchStatusAV
Status
¿Preguntas?
TechNews
Contactos
►Informática 64http://www.informatica64.comi64@informatica64.com+34 91 665 99 98
►Ignacio Sánchez-Beato Paredesisanchezbeato@informatica64.com
top related