---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Module 1: Implementing Advanced Network Services ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- importate para el examen: IPAM DHCP Failover Servicio DHCP:

- Service : - Scope : Cada una de las pilas de direcciones que vamos a entregar a los clientes. Podemos tener un servidor

DHCP tantos ambitos como queramos. Para que el servidor DHCP pueda entregar direcciones IP de un ambito, Se necesita una de dos condiciones:

o Que tenga una tarjeta de red con una IP en ese ambito. Por ejemplo, para entregar IPs del ambito 192.168.10.0/24, debe tener una IP 192.168.10.X en alguna de sus tarjetas de red. Y entregara esas dirreciones solo por esa tarjeta.

o Que este haciendo uso de DHCP Relay - Opciones : GW, Mascara, DNS principal, DNS Secundario, Nombre de dominio, Servidor WINS, … Podemos

definir opciones globales (Seran las mismas para todos los ambitos) y opciones individuales para cada ambito.

- Base de datos : Es una base de datos Microsoft Jet. Guarda las direcciones IPs que se han entregado (leases). DHCP Failover

Para autorizar un DCHP en el AD DS, el usuario que lo autoriza debe ser Enterprise Admin. El Servidor DHCP y el DNS interactuan entre si mediante las actualizaciones dinamicas. Cuando a un cliente se le asigna una nueva direccion IP, debe modificarse su registro A y, si lo tiene, el PTR (Resolucion inversa, a partir de la IP devuelve el nombre). IMPORTANTE La opcion 081 indica quien hace la actualizacion dinamica del registro A DNS (por defecto lo hace el cliente si lo modificamos lo hace el DCHP)

Superscopes: Es un conjunto de ambitos que agrupamos con diferentes fines:

- Facilitar las tareas administrativas - Uno de sus usos preincipales es facilitar la transicion de rangos de IPs. Queremos cambiar en la organización

un rango de IPs por otro y en el superscope podemos tener definidos en antiguo y el nuevo. A medida que los usuarios van liberando las direcciones antiguas. Se les entrega direcciones dentro del nuevo ambito. Un caso de uso es cuando no hemos quedado sin direcciones IP en el ambito antiguo. Durante un tiempo estaremos usando los dos ambitos y habra que habilitar enrutamiento entre ellos.

- Otro caso de uso de superscopes es cuando tenemos multiples VLANs en la organización. Cada VLAN tendra asignado una subred diferente (un ambito) y todos los podemos agrupar en un superscope

IPv6: Para la asignacion dinamica de direcciones IPv6 a equipos tenemos 2 opciones:

- Stateless autoconfig: El router publica su prefijo y los equipos de esa subred se asignan direcciones IPv6 con el mismo prefijo y con los 64bits de host de forma aleatoria. Tiene el inconveniente de que no es sencillo tener informes de uso de direcciones IP. Tampoco podemos asignar a esos equipos opciones del DHCP (Sufijo DNS, Servidores DNS,…)

- Statefull: El servidor DHCP asignas las IPs y tambien las opciones de ámbito

En IPv4, contar con mas de un servidor DHCP en la red puede ocasionar problemas (conflictos de IPs) IMPORTANTE

DHCP Name Protection

Creacion de Superscope

Opciones del superscope

Muestra opciones agrupadas de todos los ambitos dentro del superscope

Las opciones de DHCP se configuran a nivel de Dominio o de ambito NO desde superscope Activar Name Protection

Tambien se puede configurar a nivel de ambito Activar opcion 081 del DHCP tiene que estar NAME PR OTECTION DESHABILITADO

Al marcar esa opcion estamos activando la opcion 081 del DCHP

Valido a partir de maqinas XP. para que sea compati ble con maquinas mas antiguas marcar este check

La prioridad entre DHCP se hace añadiendo retardo al servidor

Ambito de IPv6 si permite preferencia

Aquí vemos como en IPv6 si que nos deja elegir preferencia de ambito

DHCP Failover: Es una caracteristica que se introduce en windows server 2012 y se ha mejorado en windows server R2 Permite disponer de alta disponibilidad y toleracion a fallos en el servicio DHCP sin necesidad de montar un cluster y sin contar con un almacenamiento compartido. Podemos usar 2 servidores DHCP para que entregeuen direcciones ip de un mismo ambito. Los dos servidores tienen que estar “sincronizados” para que tengan informacion actualizada de las IPs que han sido entregadas, y no las vuelvan a entregar. Al no haber un almacenamiento compartido, cada uno guarda una copia local de la base de datos, deben estar sincronizadas. Un mismo servidor DHCP puede formar parte de varias realciones DHCP failover con multiples servidores DHCP. La relacion DHCP Failover Se configura a nivel de Scope. La relacion de DHCP Failover entre 2 DHCPs puede ser:

- Hot Standby : Un servidor DHCP esta activo entregando todas las direcciones ip del ambito y el otro esta a la espera de que el primero falle. Equivalente a un Cluster Activo-pasivo

- Load Sharing : Los dos servidor DHCP estan funcionando al mismo tiempo u balancean la carga de peticiones. Cada uno tendra aproximadamente el 50% de las IPs del ambito. Si uno se cae, el otro asume el control del 100% de las IPs.

La sincronizacion entre los DHCPs del DHCP Failover (Partners) Se controla con un par de parametros.

- MCLT (Maximun Client Lead Time): (es como entregar la ip por un tiempo de prueba) Cuando se configura por defecto entrega las IP para 1 hora, para que a los 30min vuelva a pedir la renovacion, asi si se cae el DCHP que le da la IP se cae, el secundario lo ve, se apunta en la base de datos la ip del usuario y ya le entrega la ip para 8 dias (por defecto). Con esta medida te aseguras que si hay un conflicto de IPs solo sera durante 30 minutos.

- Auto State Switchover: Solo tiene sentido cuando estamos en una relacion Hot Standby. Es el tiempo que va a esperar el DHCP pasivo en entrar en funcionamiento por que detecta que el DHCP activo no responde.

Configuracion DHCP Failover Necesitamos 2 Servidores DHCP autorizados

Ahora le decimos con quien quieres hacer la conexión failover (Partner)

La relaciones DHCP failover tienen que tener un nom bre de relacion unico Las 2 opciones de hot standby o load balance se configuran aquí tambien el Auto State Switchover

si no lo configuramos son 10 min (indica cuanto tiempo tiene que pasar hasta que considera que el otro esta caido)

Como vemos en hot standby se reserva un 5% del ambito

Nosotros lo configuramos como load balance

Y ya estaria configurado el DHCP Failover, vemos como crea una copia exacta

Para eliminar la relacion

Si miramos las estadisticas vemos como se reparten las IP

Vamos a parar el servidor dhcp del dc1 en 10 minutos deberiamos ver en las estadisticas como el otro servidor DHCP tiene el 100% de las direcciones

Configuracion Avanzada de DNS: Privilegios necesarios para gestionar servidores DNS:

- Enterprise Admins : Tienen control completo de todos los servidores DNS dentro del bosque. - Domain Admins : Tiene control completo de todos los servidores DNS del dominio. - DNS Admins : Grupo por defecto esta vacio y que se utiliza para delegar tareas de administracion de

servidores DNS sin dar privilegios de Domain Admins ni Enterprise Admins Grupo DNS Update Proxy: Se encargan de actualizar registros en el DNS de parte de los clientes Activar el Debbug en DNS Propiedades del servidor DNS

Aging and Scavenging: Elimina los resgistros que ya no son validos y que llamamos Stale Se activa a nivel de servidor primero

Temporizadores: No-refresh interval : Tiempo durante el que un cliente NO PUEDE actualizar sus registros Refresh Interval : Intervalo durante el cliente DEBE actualizar sus registros para que no se considere Stale

Si lo activamos nos la opcion de activarlo en todas las zonas integradas en DA

Si no lo activamos antes se tiene que activar a nivel de zona en las propiedades de la zona

Los Controladores de dominio siempre tienen registr o estatico = Time Stamp 0 Los servidores miembros tendran el Time Stamp por d efecto que se indica en el SOA Para ver el Time Stamp de los registros tenemos que activar la vista avanzada

Ya nos aparece el Time Stamp en todos los registros

Backup de zona integrada en directorio activo Solo se puede hacer por comandos

Si la zona no esta integrada en DA con copiar el archivo .dns con el nombre de la zona es suficiente tambien se puede utilizar el export

Netmask Ordering: Ejemplo: Tenemos un servicio web balanceado en 3 servidores de internet: www.servicio.com: 80.60.20.10 www.servicio.com: 100.20.30.40 www.servicio.com: 200.40.50.60 Un cliente consulta al DNS por la ip de www.servicio.com El cliente que consulta tiene la ip IP 80.63.24.12 asi que le da la ip mas cercana www.servicio.com: 80.60.20.10 Globalnames Zones: Es posible que en determinadas ocasiones queramos acceder a recursos y servicios usando nombres de etiquete unica (single label names). Estos nombres hacen uso del nombre del servidor en lugar de la FQDN completa. Si solo tenemos un dominio, no hay problema por que todos los miembros del dominio (clientes y servidores) usan el sufijo DNS principal. Desde cualquiera de ellos, si intentamos acceder a lon-srv1, añaden de forma automatica el sufijo para obtener la FQDN lon-srv1.adatum.com

Cuando tenemos varios dominios, es mas complicado. Si tenemos adatum.com y contoso.com, y un equipo de contoso.com quiere acceder a lon-srv1 indicando solo el nombre de la maquina, al añadir el sufijo intentaria acceder a lon-srv1.contoso.com. Si no encuentra el servidor por DNS (lon-srv1.contoso.com), lo intenta por NETBIOS, pero al ir en difusion, si hay routers por medio tampoco accederia al servidor. Una solucion era usar servidores WINS. En windows Server 2012 contamos con globalnames zones para no tener que usar servidores WINS Configuracion de GlobalNames

1- Habilitar el soporte para globalnames

2- Crear la zona Globalnames (no permite actualizaciones dinamicas) .

Importante marcar NO ACTUALIZAR DINAMICAMENTE

3- Crear registros CNAME en la zona para los nombres de etiqueta unica que queramos resolver.

DNS Cache Locking: Cuando un resolver (cliente) necesita un resultado, le envia la peticion a su servidor DNS. Si el servidor no conoce la respuesta y esta configurado de forma recursiva, empieza a consultar a los root hints y otros servidores DNS hasta encontrar las respuesta. Cuando el servidor DNS recibe la respuesta, la almacena en su cache por si otro resolver le hace la misma consulta. Estara en cache el tiempo determinado por el valor del TTL del registro SOA al que pertenece la consulta. Durante el TTL, un tercero podria intentar modificar el contenido de esa cache (DNS cache Poisoning. Para evitarlo, los DNS de windows Server 2012 incluyen el parametro dns cache locking percent. Es el tiempo donde no se permiten modificaciones en la cache. Asi se consulta

Y asi lo cambiamos Set-DNSServerCache –LockingPercent 50 DNS Socket Pool:

Para evitar ataques MiTM (Man in the Middle), Podemos aleatorizar los puertos que utiliza el servicio DNS para las respuestas. Definimos el socket pool size indicando el numero de puertos que vamos a facilitar al servicio DNS para que elija uno de forma aleatoria para las respuestas. Por defecto esta habilitado en windows server 2012 con un valor de 1000 Asi se modifica

Aquí se consulta

Vamos a exportar en xml la configuracion del DNS para modificar una opcion y despues importarla

Este es el archivo generado

lon-dc1-export.xml

Vamos a poner a 1000 como estaba por defecto editandolo con el notepad

Ahora vamos a meter el archivo modificado en una variable

Y ahora la aplicamos

Y ya vemos que lo a cambiado

Tendriamos que reiniciar el DNS y ya estaria Net Stop "DNS Server"

Net Start "DNS Server"

DNSSec: DNSSec nos permite proteger mediante cifrado y firma digital todos los registros de una zona. Proteger una zona con DNSSec se denomina “Firmar una zona”. Cada uno de los registros de la zona se firma digitalmente. Lo que buscamos aquí es mantener la integridad de los registros. El servidor cifrara los registros con una clave probada y podrán descifrarse con la clave publica correspondiente. Necesitamos algun lugar donde guardar estas claves publicas. Ese lugar es una zona que se denomina Trust Anchors (anclas de confianza). El proceso de proteger mediente DNSSec va a requerir el uso de varias claves:

- KSK (Key-Signing Key): es la clave maestra que se usa para cifrar las claves que vamos a usar para cifrar las zonas.

- ZSK (Zone-Signing Key): Clave que se usa para cifrar los registros de una zona. Cada zona tendra su ZSK Cuando firmamos una zona, en esa zona se crean varios Resource Records:

- DNSKey : Guarda la clave publica de la zona - DS (Delegation Signer) : Se utiliza cuando en una zona padre tenemos zonas hijas (delegacion de zona) y

guarda el hash de la clave publica de la zona hija. - RRSIG (Resource Record Signature) : Existe un registro RRSIG por cada registro de la zona y guarda su

firma digital. - NSEC (Next Secure) : Registro que se utiliza para indicar un Denial of Existence. Las ultimas versiones de

DNSSec usan en su lugar NSEC3, que es un hash del NSEC para proteccion adicional Configuracion DNSSec

Aquí elegimos donde se almacenan las claves (Key Master)

Aquí creamos la clave para cifrar claves

Tipos de cifrado disponibles

Nosotros vamos a usar NSEC3 de 2048 (se puede hasta 4096) Aquí nos indica cada cuanto tiempo se va a renovar la clave

Y ya tenemos la clave

Aquí creamos la clave para cifrar zonas

Ya tendriamos la clave para cifrar zonas

El check de usar Salt of Length añade parte de aleatoriedad para que sea mas complicado romper el cifrado

Aquí elegimos las replicacion de la clave entre zonas integradas en DA

Ahora ya estaria protegida la zona con DNSSec Vemos que todos los registros tienen su RRSIG que acompaña al registro solicitado En los DNSKey esta la clave publica para descifrar

Aquí vemos como firma los tipo A

Aquí vemos las anclas de confianza ()

Ahora falta la configuracion en los clientes

Ahora hay que pulsar en create

Y aparece un poco mas abajo hay que dar a aplicar.

La enlazamos al dominio o donde queramos que se aplique y ya estaria funcionando.

Ejercicio configurar el servicio DHCP para obtener alta disponibilidad y toleracia a fallos mediante un DHCP Failover hot standby. El cliente para hacer pruebas sera LON-RTR. Estables un swichtover interval de 2 minuutos para comprobar que si el primer servidor DHCP cae, el segundo entra en funcionamiento automaticamente.

IPAM (IP Addresing Management): SI ESTA INSTALADO EL ROL DHCP EN EL SERVIDOR DONDE ESTA IPAM NO FUNCIONA HAY QUE QUITAR EL ROL DHCP IPAM es un marco de gestion que sirve como alternatica a algunas funciones que ofrece System Center 2012 R2. IPAM esta diseñado para facilitar la gestion de los servidores de infraestructuras y los NPS:

- Controladores de dominio - Servidores DHCP - Servidores DNS - Servidores NPS

Su funcion principal es la monitorizacion y auditoria. Solo incluye la funcionalidad completa en el caso del DHCP, para DNS, DC y NPS praticamente se reduce a monitorizar y auditar. IPAM recopila informacion sobre los srervidores de infraestructura y nos permite obtener informes, realizar auidotrias, tracking de direcciones ip, … Por ejemplo, si necesitamos saber que equipo estuvo usando la direccion IP 192.168.10.128 hace 6 meses, cuando inicio sesion un usuario, … Puede almacenar informacion detallada de hasta 100000 usuarios durante un maximo de 3 años. Esto es muy util en caso de necesitar informes para auditorias o analisis forenses Limitaciones:

- Hasta 150 servidores DHCP con un maximo de 6000 ambitos en total. - Hasta 500 servidores DNS con un maximo de 150 zonas en total. - En windows Server 2012 solo puede usar la windows internal database (WID). En windows server 2012 R2

Podria usar una base de datos externa SQL server. - El analisis de tenddencias y la reclamacion de IPs solo esta disponible para IPv4

Novedades en Windows Server 2012 R2:

- Incluye RBAC (Role Based Access Control), Podemos tener diferentes perfiles (Roles) de acceso a IPAM para delegar tarreas de administracion.

- Integracion con SCVMM (System Center Virtual Machine Manager). Permite gestionar espacios de direcciones virtuales.

- Gestion mejorada de DHCP: DHCP Failover, Superscopes, …

Componentes de IPAM:

- IPAM Discovery : Se encarga de localizar servidores DHCP, DNS, DC y NPS en la red. En este modulo podemos definir el “ambito de descubrimiento” (todo el bosque, solo un dominio, …)

- IPAM Address Space Management : Sutituye a la consola de DHCP y añade funcionalidades nuevas como la generacion de informes de auditoria, historico de uso de direcciones IP, gestion de direcciones asignadas a VMs, analisis de tendencias, analisis de ambitos que se solapan, …

- Gestion multiple de servidores : Definicion de opciones en ambitos de multiples servidores DHCP, Gestion centralizada de ambitos, …

Estos componenetes se incluyen en el IPAM Server. Para gestionar IPAM tenemos 2 opciones:

- Powershell - Consola grafica que se denomina IPAM Client. No es una MMC independiente, sino que se integra con server

manager. Podemos tener multiples servidores IPAM en la red, pero son independientes entre si, no comparten informacion entre ellos. Esto debe hacerse de forma manual. Da muchos problemas por que realiza muchos cambios en el DA, crea 4 GPOs cambios en el squema etc Puede tardar hasta 48 horas en aplicar la GPO que es imprescindible para que funcione. Topologias de instalacion de IPAM:

- Distribuida : Un servidor IPAM en cada sitio que tengamos definido en el bosque. Tenemos que limitar muy bien el “ambito de descubrimiento” de cada servidor.

- Centralizada : Un unico servidor IPAM para todo el bosque. - Hibrida : Un servidor IPAM que monitoriza todo el bosque y usando RBAC definimos administradores IPAM

para todo el bosque. Tambien Servidores IPAM es cada uno de los sitios (controlado mediante el ambito de descubrimiento) y usando RBAC definimos administradores IPAM para cada sitio. 1 a nivel de bosque monitorizando todo y uno en cada sitio lo que tenemos es doble monitorizacion es la fusion entre Distribuida y centralizada.

Cuando definimos servidores DNS, DHCP, DC o NPS que van a ser gestionados por IPAM, decimos que estamos “provisionando” servidores. Este proceso de Server Provisioning implica varias tareas: (Todo esto lo hace el asistente)

- Crear carpetas compartidas en cada servidor que vamos a gestionar. Por ejemplo, cada servidor DHCP que queramos gestionar con IPAM debe tener compartida la carpeta C:\Windows\System32\DHCP . Estara compartida como “dhcpaudit ”

- Crear grupos de seguridad: IPAMUG (incluye a todos los servidores IPAM), DHCP Users, DHCP Administrators.

- Crear las reglas necesarias en el firewall. Este proceso de provisionamiento puede hacerse de dos formas:

- Manual (es una locura) - GPOs: Es un proceso automatico. Si el provisionamiento es automatico, una vez que ha terminado no se

puede cambiar. Si una vez configurado IPAM tenemos que añadir mas servidores tendriamos que empezar de nuevo todo el proceso de provisionamiento.

Prerequisitos:

- El servidor IPAM DEBE pertenecer al dominio - El servidor IPAM NO PUEDE SER un DC - Se recomienda que el servidor IPAM no sea al mismo tiempo servidor DHCP, DNS o NPS - Aunque no lo digan si esta en un servidor con DHCP tampoco funciona

Configuracion de IPAM Debemos tener los grupos DHCP Administrator y DHCP users Aparecen cuando completamos la instalacion del DHCP en la banderita. si no aparece en la banderita de server manager desde linea de comandos: netsh dhcp add securitygroups despues de añadir los grupos reiniciar el servidor DHCP

asi tiene que estar

Ahora instalamos IPAM en el otro servidor miembro LON-SRV1 en nuestro caso

Ahora en server manager ya vemos el cliente ipam

Empezamos con la Provision pulsando sobre el 2 en el cliente de IPAM Aquí nos avisa en el triangulito amarillo de que si provisonamos con GPO luego tendriamos que volver a hacerlo desde 0 si queremos cambiar a manual

Aquí ultimo aviso

Aquí nos indica los siguientes pasos que tenemos que hacer

IMPORTANTE ANTES DE EJECUTAR EL COMANDO, PARA QUE N O TENGAMOS QUE PONER LOS FILTROS DE SEGURIDAD EN LAS GPO. Vamos al paso 3

Añadimos nuestro dominio o los que tengamos con el boton add

Ahora ya nos aparece mas informacion en el cliente IPAM

IMPORTANTISIMO PARA EL EXAMEN aprenderse de memoria

Ahora vamos al paso 4

Nos aparecera esta barrita. A la derecha del todo aparece un boton que pone “more” lo pulsamos

Y vemos las tareas que se estan ejecutando

Esperamos a que termine

Ahora tenemos que lanzar el comando que nos indicaba antes en el servidor donde instalamos IPAM Invoke-IpamGpoProvisioning -Domain adatum.com -GpoPrefixName IPAM -IpamServerFqdn lon-srv1.adatum.com -DelegatedGpoUser Administrator

Y ahora en GPMC nos aparecen las 3 politicas de IPAM

Aun habiendo descubierto antes los servidores que crear las GPO, no nos ha añadido los servidores a los filtros de seguridad Los añadimos a mano a cada una de las 3 GPO de IPAM

Ahora un gpupdate /force para aplicar las politicas Y comprobamos con gpresult /r que se aplican

Tenemos que comprobar que en el grupo IPAMUG esta nuestro servidor IPAM como miembro

Y que pertenezca a estos grupos

Tambien comprobamos que ha compartido la carpeta del DHCP como dhcpaudit

Ahora nos vamos a la consola de IPAM y le damos el control del servidor que ha descubierto

Ahora ya estaria terminada la configuracion es posible que tarde hasta 48 horas en que se ponga en verde. Es aleatorio ya que no funciona muy bien. Podemos probar a darle boton derecho

Y mientras esta actualizando lo cambiamos a managed Si asi no funciona tendras que esperar las 48 horas de rigor Y aquí para recolectar informacion

Aquí vemos los rangos de ip de los ambitos que tenemos

Servidores que tenemos funcionando

Aquí mas datos sobre los scopes

Para crear un ambito tenemos que ir al servidor

Tenemos todas estas opciones al crear el ambito desde IPAM

Ahora para editarlo desde es desde scopes

IPAM RBAC: RBAC (Role Based Access Control) permite delegar tareas en IPAM Los pasos a seguir son

1- Elegimos un rol predefinido o creamos uno nuevo si no se adapta ninguno de los preconfigurados 2- Con un access scope definimos los servidores sobre los que vamos aplicar el rol 3- Con una access policy asignamos un usuario al rol y al access scope

IMPORTANTE PARA EL EXAMEN Roles por defecto

IPAM Administrator puede hacer todo lo que ASM y MSM administrator juntos

Para añadir nuevos roles (conjuntos de permisos) aquí creamos nuestros grupos de permisos como queramos si los que vienen por defecto no nos sirven

Aquí aparecen todos los permisos que podemos dar

Añadir access Scope sirve para agrupar servidores y despues dar permisos a usuarios en ese access scope en vez de servidor por servidor

Ahora vamos servidor por servidor indicando el access scope

Y para aplicar los roles a los ambitos de accesos usamos access policies

Indicamos el usuario

E indicamos rol y access scope

Ya tendriamos RBAC configurado

Ejercicio: dar permiso al usuario sistemas1 para administrar ambitos de los servidores de sistemas