90769238 Master Windows Server

©

.

Para uso exclusivo de los alumnos

de CETICSA S.A: www.ceticsa.es

Certificación Administrador de una Plataforma Windows 2008

Módulo 7: Configuración y soporte de infraestructuras de red en Windows 2008.

©

©

.



Módulo 7: Configuración y soporte de infraestructuras de

red en Windows 2008.

Unidad 1: Instalando y configurando servidores

Unidad 2: Configuración y resolución de problemas en DNS

Unidad 3: Configuración y administración de Wins

Unidad 4: Configuración y resolución de problemas con DHCP

Unidad 5: Configuración y resolución de problemas con TCP/IP V6

Unidad 6: Configuración y resolución de problemas con Acceso a

redes

Unidad 7: Instalando, configurando y soporte con el rol de servicio

NPS

Unidad 8: Configurando Protección de Acceso a red (NAP)

Unidad 9: Configuración de IPSec

Unidad 10: Monitorización y resolución de problemas con IPSec

Unidad 11: Configuración y administración de Sistema de archivos

distribuidos DFS

Contenido

©

.



Unidad 12: Configurando y administrando tecnologías de

almacenamiento

Unidad 13: Asegurando disponibilidad de contenido y recursos de

red

Unidad 14: Configuración de SSC

©

.



Unidad 1. Instalación de Windows Server 2008

Objetivos

Al término de ésta unidad el alumno estará en capacidad de:

Instalar Sistemas Operativos basados En Windows Server 2008

Distinguir las diferencias entre una instalación Completa de Windows 2008 y una Server Core

Entender los Beneficios de la instalación Server Core

Conocer las herramientas de configuración del Servidor tales como, Tareas de configuración

inicial y Administrador de Servidor

Introducción

La instalación de Windows Server 2008 ha cambiado con respecto a las anteriores versiones de Windows

Server, las opciones disponibles varían desde una instalación simple basado en DVD, a la utilización de

responder a los archivos creados con Windows System Image Manager (SIM) y la automatización de

implementación mediante el Kit de instalación automatizada de Windows (WAIK) Como ya se vio en el

Módulo 2.

El proceso de instalación ya no incluye la parte de modo texto de la instalación y es completamente

basada en una interfaz Gráfica; Otra diferencia es que un solo DVD de 32-bit o 64-bit incluye todas las

ediciones (Estandard, Enterprise y Datacenter), Sin embargo, la versión que se instala depende de la

clave de instalación que puede utilizarse durante el proceso de instalación.

Microsoft ha cambiado la manera de los administradores gestionar el entorno de servidor. El sistema

operativo se instala en forma segura, y los administradores pueden elegir entre cuatro métodos para

configurar el servidor de acuerdo a la funcionalidad que ellos desean:

Tareas de configuración inicial: se abre y permite al administrador configurar el nombre del

servidor, configuración de red, actualizaciones automáticas, y la configuración de Firewall de

Windows.

consolas de administración de Microsoft (MMC) para administrar el servidor

El administrador de servidores para instalar y quitar funciones y características

Windows PowerShell para tareas de configuración, si lo desea.

Una nueva opción en Windows Server 2008 es la opción Server Core, que instala sólo lo que se requiere

tener en un servidor de infraestructura: AD DS, AD LDS, DHCP, DNS, archivos, impresión y / o Servicios de

Streaming Media. Una interfaz gráfica no está disponible con esta opción, en su lugar, utilice la línea de

comandos o herramientas de administración remota para configurar y administrar el entorno del

servidor.

Si decide instalar esta opción, la instalación no es compatible con la actualización desde versiones

anteriores, por lo tanto, se debe realizar una instalación limpia.

Esta opción es beneficiosa para muchos ambientes debido a la reducción necesaria de gestión, la

reducción de la superficie de ataque, reducido mantenimiento necesario, y menor necesidad de

espacio en disco pues Server Core sólo ocupa aproximadamente el 25% del espacio en disco que una

instalación completa.

Definiciones Ediciones de Windows Server 2008

Hay cinco ediciones disponibles de Windows Server 2008. La edición que usted elija dependerá de los

requerimientos de la organización y servicios que usted necesite hacer frente, con Windows Server 2008

ayuda a:

©

.



Aumentar la flexibilidad de su infraestructura de servidores, ofrece a los desarrolladores una Web más

robusta y una plataforma de aplicaciones para crear aplicaciones y servicios conectados, potentes

herramientas nuevas de gestión y mejoras de seguridad que ofrecen más control de servidor y de red, y

protección avanzada para aplicaciones y datos.

Windows Server 2008 Estándar

El Windows Server 2008 Estándar proporciona funcionalidad de servidor clave a través de las funciones

de servidor y características. Incluye las 2 opciones de instalación tanto completa y Server Core. Esta

edición está orientada mejor a las pequeñas oficinas o grupos de trabajo que no requieren la

escalabilidad adicional que las versiones Enterprise y Datacenter proporcionan.

Windows Server 2008 Enterprise

Esta edición se construye sobre la edición estándar para proporcionar una mayor escalabilidad y

disponibilidad, y añade tecnologías empresariales, como la agrupación de conmutación por error y

Servicios AD FS (Active Directory Federation Services). Esta versión es la más adecuada para las grandes

organizaciones que requieren de agrupaciones y escalabilidad de hardware.

Windows Server 2008 Datacenter

Esta edición ofrece la misma funcionalidad que la versión Enterprise Edition, con soporte añadido para

más memoria y procesadores, y derechos ilimitados de uso de máquina virtual. Esta versión es la mejor

para entornos de gran tamaño o para organizaciones que planean llevar a cabo proyectos de

consolidación de servidores.

Windows Server 2008 Web

Esta edición está diseñada específicamente para su uso como un servidor Web y aplicaciones. Esta

edición no ofrece otras funciones de servidor o la opción de instalación de Server Core.

Windows Server 2008 para sistemas con Itanium

Continuará ofreciendo a los clientes los más altos niveles de rendimiento, fiabilidad y escalabilidad de la

plataforma Windows, y seguirá siendo la principal plataforma alternativa para los servidores UNIX

basados en RISC.

Ventajas de 64-bit

Fundamentalmente, los productos de 64-bit desde servidores a aplicaciones de software usan una

arquitectura que le permite duplicar el tamaño de la unidad de datos que mantiene el procesador

preservando al mismo tiempo la compatibilidad con la arquitectura x86 32-bit que se ha utilizado

durante décadas.

Esto tiene una variedad de implicaciones, La capacidad de duplicar el tamaño de la unidad de datos

permite a los sistemas el uso de mucho más memoria virtual y física con eficacia mientras desempeña

procesamiento con mayor rapidez.

Para los clientes, esto puede traducirse en sistemas más rápidos, ahorros de costes debido a la

consolidación de varios servidores más pequeños a un sistema único, con un mayor desempeño, los

sistemas de 64-bits también son un requisito para la ejecución de software de aplicación tal como

Microsoft Exchange Server 2007.

Requisitos para la Instalación de Windows 2008

Los Requisitos de instalación de Windows Server 2008 varían entre los diferentes tipos de instalación:

instalación completa o la instalación de Server Core, ya que ésta requiere menos espacio en disco para

la instalación del sistema operativo, debido a que, por defecto, sólo los módulos que requieren las

funciones asignadas están instalados. Además, la interfaz gráfica de usuario no está instalada, lo que

significa que la utilización de espacio en disco es más ligera con la instalación de Server Core.

©

.



Procesador: mínimo 1 gigahertz (GHz), se recomienda 2 GHz pero lo más óptimo es 3 GHz o más.

Memoria RAM: mínimo 512MB, Recomendado 1GB, Óptimo: 2GB (instalación completa) o 1GB ó

más en instalación Core; Máximo en sistemas de 32-bits 4GB (estándar) o 64 GB (Enterprise y

Datacenter); Máximo en sistemas de 64-bits 32GB (Standard) ó 2 TB (Enterprise, Datacenter y

sistemas basados en Itanium)

Espacio Disco: mínimo: 8GB, Recomendado 40GB (instalación completa) o 10GB (Servidor de

instalación Core); Óptimo 80GB (instalación completa) o 40GB (Servidor de instalación Core) o

más.

Se debe tener en cuenta que en Servidores con más de 16GB de RAM requerirán más espacio en disco

para paginación, hibernación y volcado de archivos.

Unidad de DVD

Pantalla Súper VGA (800 x 600) o mayor resolución, Teclado, Ratón Microsoft o dispositivo

señalado compatible

Nota: Si va a instalar una versión de 64 bits, debe asegurarse de que todos los controladores de modo

núcleo son firmados digitalmente antes de la instalación. La instalación fallará si utiliza los controladores

sin firma.

Puede que tenga que incluir versiones de 64 bits de Windows Server 2008 en su infraestructura, en

función de las necesidades de la empresa, la instalación de una versión de 64 bits pueden ofrecer la

posibilidad de escalar hacia arriba (aumento de las CPU y RAM) más que un sistema de 32 bits, pero

debe asegurarse de que los controladores de modo núcleo que va a utilizar están firmados

digitalmente.

La firma digital para los Drivers garantiza la protección de datos personales y corporativos, porque de

ésta manera se evita la propagación de programas maliciosos, las firmas digitales para el software en

modo de núcleo son una forma importante de garantizar la seguridad en sistemas informáticos.

Las firmas digitales permiten al administrador o al usuario final que la instalación del software está

basado en Windows y determina si se trata de un editor legítimo.

También a través de las firmas se permite conocer a Microsoft los editores que se están ejecutan en el

momento de un fallo ya que ésta información se envía al usar la opción de envío de informe de errores.

Los editores de software pueden entonces utilizar la información que proporciona Microsoft para

detectar y solucionar sus problemas de software.

La política de firma de código se aplica a todo el software en modo de núcleo en los sistemas basados

en x64 que ejecutan Windows Server 2008. Sin embargo, Microsoft recomienda a los editores firmar

digitalmente todo el software, incluidos los controladores de dispositivos para 32-bit (No obligatoria) y las

plataformas de 64-bit.

Nota: Los usuarios con privilegios de administrador no puede cargar código sin firmar en modo de

núcleo en los sistemas basados en x64. Esto se aplica para cualquier módulo de software que se carga

en modo de núcleo, incluyendo dispositivos, controladores y los servicios del núcleo.

Un Controlador configurado para arrancar al inicio el Windows 2008 lo carga al inicio del sistema

operativo, dichos controladores se identifican en el fichero de información (INF) del controlador, cuando

se especifica el tipo de inicio como "Start = 0" o un servicio del núcleo está configurada la clave

ServiceType como Driver de Núcleo o Driver del Sistema de Ficheros y el valor STARTMODE es "boot".

Para deshabilitar el requisito de la firma para el proceso de arranque actual:

Reinicie el equipo, y durante el inicio, presione F8.

Seleccione Opciones avanzadas de arranque.

Seleccione Desactivar Forzado de Firma de Driver.

Inicie Windows y desinstale el controlador sin firmar.

©

.



Escenarios de Instalación más comunes

Si usted decide actualizar un servidor existente o realizar una instalación limpia, debe decidir cómo va a

realizar las instalaciones, Hay rutas específicas de actualización que debe seguir, además es posible

realizar instalaciones desatendidas mediante el uso de ficheros de respuesta, generados con Windows

SIM, y el AIK de Windows.

Instalaciones Limpias

En su forma más simple, puede realizar una instalación de Windows Server 2008 mediante la inserción del

DVD del producto en la unidad de DVD, se debe inicializar el sistema con el medio de Windows 2008.

Si usted está construyendo un nuevo entorno o simplemente desea instalar un nuevo servidor, una

instalación limpia puede ser la mejor opción.

Instalaciones de Actualización

Si actualmente ejecuta Windows Server 2003 y se desea realizar una actualización a Windows Server

2008, hay ciertas rutas de actualización que están disponibles dependiendo de la versión de Windows

Server 2003 que se ejecuta en el servidor que está actualizando así:

Windows 2003 R2 Standard, Windows 2003 SP1 Standard, Windows 2003 SP2 Standard pueden ser

actualizados a Windows 2008 Standard (Completa).

Windows 2003 R2 Enterprise, Windows 2003 SP1 Enterprise, Windows 2003 SP2 Enterprise pueden ser

actualizados a Windows 2008 Enterprise (Completa).

Windows 2003 R2 Datacenter, Windows 2003 SP1 Datacenter, Windows 2003 SP2 Datacenter pueden ser

actualizados a Windows 2008 Datacenter (Completa).

Nota: Microsoft no admite la actualización desde Windows Server 2003 para servidores con instalación

Server Core de Windows Server 2008.

Antes de actualizar se recomienda que se hagan Copias de seguridad de sus servidores, debe incluir

todos los datos e información de configuración que es necesario para que el equipo funcione,

especialmente para aquellos servidores que proporcionan la infraestructura de red, tales como DHCP,

etc. Al realizar la copia de seguridad, asegúrese de incluir las particiones de arranque y del sistema

además del estado del sistema.

Otra forma de copia de seguridad de la información de configuración es crear un grupo de respaldo

para la recuperación automática del sistema.

Instalaciones Desatendidas

Puede automatizar el proceso de instalación utilizando archivos de respuesta creados en Windows SIM y

utilizando el AIK de Windows.

Para utilizar un archivo de respuestas Windows SIM, usted necesita el Windows System Image Manager y

un medio con posibilidad de escritura como un Pen Drive, CD / DVD o un disquete.

Para instalar Windows desde el DVD del producto utilizando el archivo de respuesta:

Encienda el equipo nuevo, e inserte el medio extraíble que contiene el archivo de respuesta

(Autounattend.xml) y el DVD del producto Windows.

Reinicie el ordenador, el programa de instalación (Setup.exe) se inicia automáticamente y busca

todos los medios extraíbles para un archivo de respuesta llamado Autounattend.xml.

Una vez completada la instalación, asegúrese de que todas las personalizaciones del archivo de

respuesta se han aplicado según lo especificado.

Preparación para la Instalación de Windows 2008

Antes de instalar Windows Server 2008, debe seguir algunas pautas generales para garantizar que la

instalación sea lo más sencilla posible y que no se produzcan errores, la mayoría de estas directrices son

©

.



las mejores prácticas para cualquier instalación del sistema operativo de Microsoft y por lo tanto debe

ser incluido en cualquier guía usada para la construcción de la mayoría de entornos.

Antes de instalar Windows Server 2008, utilice las siguientes pautas para preparar la instalación:

Prueba de compatibilidad de aplicaciones. Se puede utilizar el Microsoft Application

Compatibility Toolkit Aunque es una herramienta utilizada para proporcionar información de

compatibilidad sobre las aplicaciones de red, también se puede utilizar para preparar la

instalación de Windows Server 2008.

Desconecte el sistema de alimentación ininterrumpida (SAI), Si tiene una conexión de SAI a su

equipo de destino, desconecte el cable serie antes de ejecutar el programa de instalación, el

programa de instalación intenta detectar automáticamente los dispositivos conectados a

puertos serie, y el equipo SAI puede causar problemas con el proceso de detección.

Copias de seguridad de sus servidores, la copia de seguridad debe incluir todos los datos e

información de configuración que el ordenador necesita para funcionar

Deshabilite el software antivirus, el antivirus puede interferir con la instalación. por ejemplo,

puede hacer la instalación mucho más lenta al escanear todos los archivos que se copian

localmente en su ordenador.

Ejecute la herramienta Windows Memory Diagnostic, se debe ejecutar esta herramienta para

probar la memoria de acceso aleatorio (RAM) del ordenador.

Proporcionar Controladores de los dispositivos de almacenamiento masivo, si su fabricante ha

suministrado un controlador independiente, guarde el archivo en un disquete, CD, DVD, o de bus

serie universal (USB) en cualquier directorio raíz de los medios o en una de las siguientes carpetas:

amd64 para Equipos x64, i386 para equipos de 32 bits o ia64 para equipos basados en Itanium.

Para proporcionar el controlador durante la instalación, en la página de selección de disco, haga clic

en Cargar controlador (o presione F6). Usted puede navegar para localizar el controlador.

Tenga en cuenta que el Firewall de Windows está activado por defecto, las aplicaciones de

servidor que deben recibir conexiones entrantes no solicitadas producirán un error hasta que se

creen las reglas de firewall de entrada que les permita la comunicación. Consulte con su

proveedor de aplicaciones para determinar los puertos y protocolos necesarios para que la

aplicación se ejecute correctamente.

Preparar su entorno de Active Directory con actualizaciones para Windows Server 2008, para

poder agregar un controlador de dominio que ejecuta Windows Server 2008 en un entorno de

Active Directory que está ejecutando Windows 2000 o Windows Server 2003, deberá actualizar

primero dicho entorno así:

Para preparar un bosque y un dominio si está realizando una instalación desatendida, realice este paso

antes de instalar el sistema operativo, de lo contrario, tendrá que hacer esto después de ejecutar el

programa de instalación y antes de instalar Active Directory Domain Services.

Para preparar un bosque

Inicie sesión en el maestro de esquema como miembro de los Administradores de Empresas,

Administradores de esquema, y el grupo Administradores de dominio.

Copiar el contenido de la carpeta Sources»adprep desde el DVD de instalación de Windows 2008 en el

Controlador de Dominio que ejecute la función de maestro de esquema.

Abra un símbolo del sistema, navegue a la carpeta Adprep y ejecute

adprep /forestprep.

Si va a instalar un controlador de dominio de sólo lectura (RODC), ejecute adprep /rodcprep.

Deje que la operación finalice y que se repliquen los cambios antes de seguir el siguiente

procedimiento.

©

.



Para preparar un dominio

Inicie sesión en el maestro de infraestructura como miembro del grupo Administradores de dominio.

Copiar el contenido de la carpeta Sources»adprep» del DVD de instalación en el servidor con la función

maestro de infraestructura.

Abra un símbolo del sistema, navegue a la carpeta Adprep y ejecute

adprep /domainprep /gpprep.

Deje que la operación finalice y que se repliquen los cambios.

Una vez completados estos pasos, puede agregar controladores de dominio que ejecutan Windows

Server 2008 para los dominios que se han preparado, el comando adprep extiende el esquema,

actualiza los descriptores de seguridad predeterminados de los objetos seleccionados y agrega nuevos

objetos de directorio requeridos por algunas aplicaciones.

Proceso de Instalación de Windows 2008:

El proceso de instalación de Windows Server 2008 es muy parecida a la de versiones anteriores. Sin

embargo, hay diferencias que hacen que el proceso sea más personalizable y más fácil de lograr. Un

cambio significativo es el modelo de concesión de licencias por volumen que utiliza Microsoft con el

producto de servidor.

El modelo de licencia para licencias por volumen es el mismo que usa los sistemas operativos Windows

Vista.

El proceso de instalación de Windows Server 2008 es el siguiente:

Proporcionar idioma y las preferencias.

Especificar la clave de producto, que puede ser en forma de llave estándar, Clave de activación

múltiple (MAK), o el uso de un servidor interno de administración de claves (KMS) para la activación.

También debe especificar si se debe activar automáticamente cuando el equipo esté en línea (MAK y

clave de producto estándar)

Si la clave no se provee, se debe especificar la edición a instalar

Acepte los términos de la licencia, Seleccione para actualizar o instalar una copia limpia de Windows.

Configurar las particiones de disco y especifique los controladores de la controladora de

almacenamiento.

El programa de instalación copia e instala Windows

Se copian y expanden los archivos

Se instala las funcionalidades por omisión.

Se instalan las actualizaciones, si están disponibles.

La instalación finaliza y se reinicia el sistema.

Tras una instalación correcta, el administrador configura algunas configuraciones básicas del sistema

utilizando la herramienta tareas de configuración inicial en el primer inicio de sesión

La herramienta permite realizar configuraciones, como establecer la zona horaria, configurar las

propiedades de red, cambiar el nombre del equipo y la configuración de dominio, habilitar las

actualizaciones automáticas, descargar / instalar actualizaciones, agregar funciones y configurar el

Firewall de Windows.

©

.



Administrando Funciones y Características del Servidor

Después de completar la instalación del sistema operativo, puede administrar los sistemas con cuatro

herramientas diferentes.

En el primer inicio de sesión, el administrador debe especificar una contraseña para la cuenta

administrativa y, a continuación se presenta la ventana de Tareas de configuración inicial, se puede

realizar gestiones administrativas posteriormente utilizando el Administrador de servidores, o usando

consolas MMC de Windows, y Windows PowerShell.

Administrador de servidores: Es una nueva característica que Windows Server 2008 incluye diseñada

para guiar a los administradores a través del proceso de instalación de extremo a extremo,

configuración y gestión de las funciones de servidor y las características que forman parte de Windows

Server 2008.

Administrador de Servidor reemplaza y consolida una serie de características de Microsoft Windows

Server 2003, como Administre su servidor, configure su servidor y Agregar o quitar componentes de

Windows.

Puede utilizar el Administrador de servidores para configurar diversas funciones y características en el

equipo.

En Windows Server 2008, una función de servidor se describe como la función principal del servidor, los

administradores pueden optar por dedicar todo un servidor a una función o para instalar múltiples

funciones de servidor en un solo equipo. Por ejemplo, puede instalar las funciones DHCP y DNS juntas en

un servidor.

Una característica de servidor en general no describe la función principal del servidor, en su lugar, se

describe como un servicio auxiliar de un servidor o que apoyo a una función. Por ejemplo, conmutación

por error de clústeres es una característica que los administradores pueden optar por instalar después de

instalar funciones específicas, tales como servidor de ficheros, para hacer la función del servidor de

ficheros más redundante.

La herramienta de Administrador de servidores contiene una interfaz gráfica de usuario y herramientas

de línea de comandos que le permiten instalar de manera eficiente, configurar y administrar funciones y

características de Windows Server 2008 además de:

Añadir y configurar nuevos roles, o quitar funciones instaladas, el asistente para agregar o quitar

funciones permite agregar o configurar una o más funciones, o eliminar los instalados

actualmente, cada función puede incluir uno o más funciones de servicios, o elementos

opcionalmente instalables de dicha función. Por ejemplo, puede seleccionar la función Servicios

de Terminal Server y, a continuación seleccione el servicio de puerta de enlace de TS. Seguir el

asistente a través de las páginas y seleccione las opciones de configuración que mejor se

adapte a sus necesidades. Después de haber instalado TS Gateway, puede eliminarlo mediante

el Asistente para quitar la función.

Agregar nuevas características o eliminar características instaladas.

Visualización del estado de las funciones instaladas y realizar tareas de gestión relacionadas, la

consola Administrador de servidores (Server Manager) proporciona una vista consolidada del

servidor, que incluye la información de configuración del servidor, el estado de las funciones y

características instaladas, y enlaces a agregar y quitar funciones de servidor, servicios y

características, herramientas para la gestión de las funciones y características instaladas para

que pueda acceder a todas las herramientas de gestión en un solo lugar.

Utilizar la línea de comandos para instalar las funciones y características, Servermanagercmd

permite instalar y quitar funciones y características usando el símbolo del sistema o mediante el

uso de scripts, también permite consultar la lista de funciones y características disponibles y los

que están instalados actualmente en el servidor.

©

.



Windows PowerShell

Es un nuevo shell de línea de comandos y lenguaje de scripting que ayuda a los profesionales a lograr

una mayor productividad y control de la administración con mayor facilidad, Con Windows PowerShell

no es necesario migrar scripts existentes, y se adapta idealmente para la automatización de las nuevas

características de Windows Server 2008.

Con más de 130 herramientas de línea de comandos, un nuevo lenguaje de secuencias de comandos

para la administración centralizada, acelera la automatización de tareas de administración del sistema,

mejora la capacidad de su organización para abordar los problemas específicos de su entorno de

gestión del sistema.

Windows PowerShell es fácil de adoptar, aprender, y utilizar porque no requiere experiencia en

programación, y funciona con su actual infraestructura de IT

Microsoft Management Console

Al igual que con anteriores versiones de Windows Server, el principal método para administrar el entorno

de servidor, es a través de Consolas MMC.

Microsoft proporciona muchas herramientas preconfiguradas en el menú Herramientas administrativas,

o puede optar por crear una consola personalizada que contiene sólo determinados complementos

que necesite para hacer una tarea en particular, puede crear estos MMC personalizada mediante la

ejecución del comando MMC.exe.

Funciones

Las funciones de servidor en Windows Server 2008 describen la función primaria de un servidor. Por

ejemplo, una función de servidor podría ser como Active Directory Domain Services (AD DS) o un

servidor Web. Usted puede optar por instalar uno o varias funciones en un equipo Windows Server 2008,

las funciones incluidas en el Servidor de Windows 2008 Son:

Active Directory Certificate Services (AD CS)

AD CS proporciona servicios para crear y administrar certificados de clave pública que aquellos sistemas

de seguridad que empleen tecnologías de clave pública, las organizaciones pueden usar AD CS para

mejorar la seguridad mediante la unión de la identidad de una persona, dispositivo o servicio a una

clave privada correspondiente, AD CS también incluye características que le permiten gestionar la

inscripción y revocación de certificados en una variedad de entornos escalables. Algunos servicios que

emplean Certificados digitales pueden ser: correo seguro (S/MIME), redes inalámbricas seguras, redes

privadas virtuales (VPN), Internet Protocol Security (IPsec), Sistema de archivos cifrados (EFS), inicio de

sesión de tarjeta inteligente, Secure Socket Layer/Transport Layer Security (SSL / TLS) y firmas digitales.

Active Directory Domain Services AD DS

Almacena información sobre usuarios, equipos y otros dispositivos de la red, AD DS ayuda a los

administradores a gestionar esta información de forma segura y facilita el intercambio de recursos y la

colaboración entre usuarios. AD DS también es requerido para poder instalar aplicaciones habilitadas

para directorio como Microsoft Exchange Server y para aplicar otras tecnologías de Windows Server.

Federación de Servicios de Active Directory (AD FS)

AD FS proporciona tecnologías Web single sign-on (SSO) usadas para autenticar un usuario a múltiples

aplicaciones Web utilizando una cuenta de usuario único.

Active Directory Lightweight Directory Services (AD LDS)

Las organizaciones que tienen aplicaciones que requieren un directorio para almacenar datos de

aplicaciones pueden usar AD LDS como almacén de datos, AD LDS se ejecuta como un servicio por lo

que no requiere implementación en un controlador de dominio, permite múltiples instancias de AD LDS

©

.



en forma simultánea en un único servidor, y cada instancia se puede configurar de forma

independiente para dar servicio a múltiples aplicaciones.

Active Directory Rights Management Services (AD RMS)

AD RMS es una tecnología de protección de la información que trabaja con aplicaciones habilitadas

AD RMS para ayudar a salvaguardar la información digital del uso no autorizado, los propietarios de

contenido pueden definir exactamente cómo un destinatario puede utilizar la información, tales como

quién puede abrir, modificar, imprimir, reenviar y / o tomar otras acciones con la información, se pueden

crear plantillas de derechos de uso personalizado como "Confidencial - Sólo lectura" que se pueden

aplicar directamente a la información como informes financieros, especificaciones de producto, datos

de clientes, y mensajes de correo electrónico.

Servidor de Aplicaciones

Proporciona una solución completa para la gestión de hosting y de alto rendimiento de aplicaciones

distribuidas de negocios, incluye Los servicios integrados, como él. NET Framework, Web Server Support,

Message Queue Server, COM +, Windows Communication Foundation.

Dynamic Host Configuration Protocol (DHCP)

Permite a los servidores DHCP asignar direcciones IP o conceder configuraciones de TCP/IP a

ordenadores y otros dispositivos que están habilitados como clientes DHCP, la implementación de

servidores DHCP en la red proporciona que automáticamente los ordenadores y otros dispositivos

basados en IP, direcciones IP válidas y parámetros de configuración adicional que estos dispositivos

necesitan, llamado opciones de DHCP, lo que les permite conectarse a otros recursos de red, como

servidores DNS, Windows Internet Name Service (WINS), y routers.

Servidor DNS

DNS proporciona un método estándar para asociar nombres con direcciones de Internet numérico,

hace posible que los usuarios se refieren a equipos de la red mediante el uso fácil de recordar nombres

en lugar de una larga serie de números. Puede integrar los servicios de Windows DNS con los servicios de

DHCP en Windows, eliminando la necesidad de agregar registros DNS como equipos se agreguen a la

red.

Servidor de fax

Envía y recibe faxes, y le permite administrar los recursos de fax.

Servicios de Fichero

Proporciona tecnologías para la gestión del almacenamiento, replicación de ficheros, la administración

distribuida de espacio de nombres, búsqueda de ficheros

Servidor de Políticas de Acceso (NPS) y Servicios de Acceso a la Red (RAS)

Ofrece una variedad de métodos para proporcionar a los usuarios conectividad de red locales y

remotas, para conectar segmentos de red, y permitir a los administradores de red gestionar el acceso

de red y las políticas de cumplimiento de salud del cliente de forma centralizada. Con servicios de

acceso de red puede implementar servidores VPN, servidores de acceso telefónico, routers, y acceso

inalámbrico protegido 802.11, También puede implementar servidores RADIUS y proxies, y el uso de

Connection Manager Administration Kit (CMAK) para crear perfiles de acceso remoto que permiten a

los equipos cliente conectarse a la red.

Servicios de impresión

Servicios de impresión permite la gestión de servidores de impresión e impresoras. Un servidor de

impresión reduce la carga de trabajo administrativo y de gestión mediante la centralización de las

tareas de administración de impresoras.

Servicios de Terminal Server

©

.



Terminal Services proporciona tecnologías que permiten a los usuarios acceder a los programas basados

en Windows que se instalan en un servidor de Terminal Server, o para acceder al escritorio de Windows,

desde casi cualquier dispositivo informático. Los usuarios pueden conectarse a un servidor de Terminal

Server para ejecutar programas y utilizar sus recursos de red.

Universal Description, Discovery and Integration (UDDI)

Servicios UDDI proporciona capacidades UDDI para compartir información acerca de los servicios Web

dentro de la intranet de una organización, entre socios de negocios en una extranet o en Internet.

Web Server (IIS)

Permite el intercambio de información en Internet, una intranet o una extranet. Se trata de una

plataforma Web unificada que integra IIS 7.0, ASP.NET, Windows Communication Foundation, y Windows

SharePoint Services. IIS 7.0 también incluye funciones de seguridad mejoradas, simplificadas de

diagnóstico y administración delegada.

Windows Deployment Services

Puede utilizar Windows Deployment Services para instalar y configurar sistemas operativos Microsoft

Windows de forma remota a través de Pre-boot Execution Environment (PXE) permite el arranque desde

una adaptadora de red.

Windows SharePoint Services:

Proporciona la capacidad de crear sitios Web para compartir información y colaboración de

documentos. Puede proporcionar recursos, tales como portales de información, bases de operaciones,

el almacenamiento de documentos y de presencia que permiten a los usuarios localizar la información

distribuida de forma rápida y eficiente, conectarse y trabajar con otros de manera más productiva.

Virtualización de Windows

La Virtualización de Windows Server proporciona servicios que se pueden utilizar para crear y gestionar

máquinas virtuales y sus recursos, cada máquina virtual es un sistema de computación virtualizada que

opera en un entorno de ejecución aislados. Esto le permite ejecutar múltiples sistemas operativos

simultáneamente.

Características

Una característica en general no describe la función principal del servidor, en su lugar, describe una

función auxiliar de un servidor o apoya a una función principal, algunas características son:

Microsoft. NET Framework 3.0

Ofrece interfaces de programación de aplicaciones (API) con las nuevas tecnologías para crear

aplicaciones con interfaces de usuario más atractivas, proteger la información de sus clientes y

comunicación segura.

Cifrado de unidad BitLocker

Ayuda a proteger los datos de pérdida o robo mediante la encriptación de todo el volumen y el control

de la integridad de los componentes de inicio, los datos son descifrados sólo si los componentes se han

verificado correctamente y la unidad cifrada se encuentra en el equipo original, la comprobación de la

integridad requiere una compatibilidad con Trusted Platform Module (TPM).

Extensiones de servidor BITS

Servicio de transferencia inteligente en segundo plano (BITS) permiten a un servidor recibir los ficheros

enviados por los clientes mediante BITS en primer o segundo plano de forma asincrónica, preservando la

capacidad de respuesta de otras aplicaciones de red, y reanudar las transferencias de ficheros después

de fallos de red y reinicios de equipo.

Connection Manager Administration Kit (CMAK)

©

.



Genera perfiles para administrar las conexiones de usuarios remotos.

La experiencia de escritorio

Incluye características de Windows Vista, como Windows Media Player, temas de escritorio, y gestión de

fotos, la experiencia de escritorio, no permite ninguna de las características de Windows Vista por

defecto. En su lugar, debe habilitarse manualmente.

Group Policy Management

Hace que sea más fácil de comprender, implementar, administrar y solucionar problemas de

implementaciones de Política de Grupo.

Cliente de impresión en Internet

Permite utilizar HTTP para conectarse y utilizar impresoras que se encuentran en servidores de impresión

Web, la impresión en Internet permite conexiones entre los usuarios y las impresoras que no están en el

mismo dominio o red.

Servidor de nombres de almacenamiento de Internet (iSNS)

iSNS proporciona servicios de localización para NAS de Isasi, procesa las solicitudes de registro, las

solicitudes de baja en el registro y las consultas de los clientes iSNS.

LPR Port Monitor

LPR permite a los usuarios que tienen acceso a ordenadores basados en UNIX imprimir en dispositivos

conectados a ellos.

Message Queue Server

Proporciona entrega de mensajes garantizada, enrutamiento eficaz, seguridad y mensajería basada en

prioridades entre aplicaciones, se ha adaptado en la entrega de mensajes entre las aplicaciones que se

ejecutan en diferentes sistemas operativos, uso de diferentes infraestructuras de red, se encuentran

temporalmente fuera de línea, o que se ejecutan en momentos distintos.

Microsoft Multipath I/O (MPIO)

Brinda apoyo para el uso de varias rutas de datos a un dispositivo de almacenamiento en Microsoft

Windows.

Peer Name Resolution Protocol (PNRP)

Permite a las aplicaciones PNRP inscribir y resolver los nombres de su equipo, para que otros equipos se

pueden comunicar con estas aplicaciones.

qWave (Windows Audio Video experience)

Es una plataforma de red para aplicaciones de audio y video (AV) mejora el rendimiento y la fiabilidad

de la red, garantizando la calidad de servicio para aplicaciones AV.

Asistencia remota

Permite (a personal de soporte) ofrecer asistencia a los usuarios ya que permite ver y compartir el

control de escritorio del usuario con el fin de solucionar problemas.

Herramientas de administración remota

Permite la administración remota de Windows Server 2003 y Windows Server 2008 desde un equipo que

ejecuta Windows Server 2008, permitirá ejecutar algunas de las herramientas de gestión para las

funciones, servicios de función y características en un equipo remoto.

Extraíble Storage Manager (RSM)

Administra medios extraíbles y opera catálogos automatizados de dispositivos de medios extraíbles.

RPC sobre http

©

.



Es un proxy usado por los objetos que reciben llamadas de procedimiento remoto (RPC) a través

Hypertext Transfer Protocol (HTTP). Este poder permite a los clientes descubrir objetos incluso si los objetos

se mueven entre los servidores o si existen en áreas restringidas de la red (generalmente por razones de

seguridad).

Servicios Network File System (NFS)

Es un protocolo que actúa como un sistema de ficheros distribuido, lo que permite a un ordenador

acceder a archivos en una red tan fácilmente como si estuvieran en sus discos duros locales, ésta

característica está disponible para su instalación en versiones de 64-bits de Windows Server 2008

solamente. En otras versiones de Windows Server 2008, Servicios para NFS está disponible como una

Función de Servicio dentro de la función Servicios de Fichero.

SMTP Server

Protocolo compatible con la transferencia de mensajes de correo electrónico.

Administrador de almacenamiento para redes SAN

Le ayuda a crear y gestionar los números de unidades lógicas (LUN) en subsistemas de unidad de disco

Fibre Channel y iSCSI que admiten Servicio de disco virtual (VDS) en la red SAN.

TCP/IP simple

Admite los siguientes servicios TCP / IP: generador de caracteres, horario diurno, descartar, eco y cita del

día, proporciona compatibilidad con versiones anteriores y no deben ser instalados a menos que sea

necesario.

Servicios Simple Network Management Protocolo (SNMP)

Es el protocolo estándar de Internet para el intercambio de información de gestión entre la consola de

administración de aplicaciones - como HP Openview, Novell NMS, IBM NetView o Sun Net Manager - y

dispositivos de red, la gestión de dispositivos pueden incluir hosts, enrutadores, puentes y

concentradores.

Subsistema para aplicaciones basadas en UNIX

Permite ejecutar programas basados en UNIX, y compilar y ejecutar aplicaciones personalizadas

basadas en UNIX en el entorno Windows.

Cliente Telnet

Utiliza el protocolo Telnet para conectarse a un servidor Telnet remoto y ejecutar aplicaciones en el

servidor.

Servidor Telnet

Permite a los usuarios remotos, incluidos los que ejecutan sistemas operativos basados en UNIX, realizar

tareas de administración de línea de comandos y ejecutar programas utilizando un cliente telnet.

Cliente Trivial File Transfer Protocolo (TFTP)

Se utiliza para leer archivos desde o escribir archivos en un servidor remoto de TFTP. TFTP se utiliza

principalmente por medio de dispositivos o sistemas incrustados que recuperan información de firmware,

configuración o una imagen del sistema durante el proceso de arranque de un servidor TFTP.

Conmutación por error de clústeres

Permite que múltiples hosts trabajen juntos para proporcionar alta disponibilidad de servicios y

aplicaciones, se utiliza con frecuencia para servicios de ficheros e impresión, bases de datos y

aplicaciones de correo.

Network Load Balancing (NLB)

©

.



Distribuye el tráfico entre varios servidores, utilizando el protocolo TCP / IP en red, NLB es útil sobre todo

para asegurar que las aplicaciones sin estado, como un servidor Web que ejecuta IIS, sean escalables

mediante la adición de servidores adicionales a medida que aumenta la carga.

Copia de seguridad de Windows Server

Windows Server Backup permite realizar copias de seguridad y recuperar el sistema operativo,

aplicaciones y datos, se puede programar copias de seguridad para ejecutar una vez al día o más a

menudo, y puede proteger todo el servidor o volúmenes específicos.

Administrador de recursos del sistema de Windows (WSRM)

Es una herramienta del sistema operativo Windows Server que puede controlar la forma en que la CPU y

los recursos de memoria son asignados, gestionar la asignación de recursos mejora el rendimiento del

sistema y reduce el riesgo de que las aplicaciones, servicios o procesos interfieran entre sí para reducir la

eficiencia del servidor y la respuesta del sistema.

Windows Internet Naming Service (WINS)

Proporciona una base de datos distribuida para registrar y consultar las asignaciones dinámicas de

nombres NetBIOS para equipos y grupos que se usen en la red, WINS hace mapas de nombres NetBIOS a

direcciones IP y resuelve los problemas derivados de la resolución de nombres NetBIOS en entornos

enrutados.

Servicio de LAN inalámbrica (WLAN)

Configura e inicia el servicio WLAN AutoConfig, sin importar si el equipo tiene adaptadores inalámbricos.

WLAN AutoConfig enumera los adaptadores inalámbricos, y gestiona tanto las conexiones inalámbricas

y los perfiles móviles que contienen la configuración necesaria para que un cliente inalámbrico pueda

conectarse a una red inalámbrica.

Windows Internal Database

Es un almacén de datos relacional que puede ser utilizado sólo por las funciones de Windows como los

servicios UDDI, Active Directory Rights Management Services, Windows SharePoint Services, Windows

Server Update Services y Windows System Resource Manager.

Windows PowerShell

Es un shell de línea de comandos y lenguaje de scripting que ayuda a los profesionales a lograr una

mayor productividad, proporciona un nuevo lenguaje de secuencias de comandos de administración

centralizada.

Activación de Servicios de procesos de Windows (WAS)

Generaliza el modelo de proceso de IIS, eliminando la dependencia de HTTP. Todas las características

de IIS que anteriormente estaban disponibles sólo para las solicitudes HTTP ya están disponibles para

aplicaciones de Windows Communication Foundation (WCF), utilizando protocolos no HTTP. IIS 7.0

también usa WAS para la activación basada en mensajes a través de HTTP.

Disco de recuperación de Windows

Le permite crear un disco de recuperación que puede ayudarle a recuperarse de Windows de un error

grave, puede utilizar un disco de recuperación para acceder a las opciones de recuperación del

sistema, si no encuentra el disco de instalación de Windows o no puede acceder a las herramientas de

recuperación que proporciona el fabricante del equipo.

Generalidades de la Opción de Instalación Server Core

Una nueva opción en Windows Server 2008 es la opción Server Core, que instala sólo lo que se requiere

tener en un servidor de infraestructura como AD DS, AD LDS, DHCP, DNS, archivos, impresión y/o

Servicios de Streaming Media, La interfaz gráfica no está disponible con esta opción, en su lugar se utiliza

©

.



la línea de comandos o herramientas de administración remota para configurar y administrar el entorno

del servidor.

La instalación no es compatible con la actualización desde versiones anteriores, por lo tanto siempre

debe realizar una instalación limpia.

Beneficios de una instalación Server Core

En Windows Server 2008, los administradores pueden optar por instalar un entorno mínimo que evita la

sobrecarga adicional, aunque esta opción limita las funciones que el servidor pueda realizar, se puede

mejorar la seguridad y reducir la administración, éste tipo de instalación se denomina instalación Server

Core.

Server Core brinda los siguientes beneficios Mantenimiento reducido: Debido a que una instalación de Server Core instala sólo lo necesario

para las funciones de servidor, se requiere menos mantenimiento que en una instalación

completa de Windows Server 2008.

Reducción de la superficie de ataque: Debido a que los componentes de instalación son

mínimos, hay menos aplicaciones que se ejecutan en el servidor, lo que disminuye la superficie

de ataque.

Reducción de la gestión: debido a que menos aplicaciones y servicios están instalados en un

servidor que ejecuta una instalación Server Core, hay menos que gestionar.

Menos espacio en disco necesario. Una instalación de Server Core sólo requiere alrededor de 1

gigabyte (GB) de espacio en disco para instalar, y aproximadamente 2 GB para las operaciones

después de la instalación.

Usted puede reducir el esfuerzo administrativo y ayudar a limitar los riesgos de seguridad al optar por

utilizar la opción de instalación Server Core en un servidor.

Roles Soportados en Server Core:

Server Core proporcionan un entorno para ejecutar las funciones de servidor siguientes:

AD DS

AD LDS

Servidor DHCP

Servidor DNS

Servicios de archivo

Servidor de impresión

Streaming Media Services

Windows Server Virtualization (Hyper-V)

Requisitos previos para la instalación de una función de

servidor en un servidor ejecutando una instalación Server

Core: Un equipo en el que ha instalado y configurado una instalación Server Core de Windows Server

2008.

Una cuenta de usuario y contraseña de administrador del servidor que ejecuta la instalación de

Server Core.

Si va a instalar y configurar un servidor de impresión, otro equipo que ejecuta Windows Vista o

Windows Server 2008 en el que se puede ejecutar la Consola de administración de impresión

para configurar el servidor de impresión remota.

Si va a instalar y configurar un servidor DHCP, la información necesaria para configurar un ámbito

DHCP, debe configurar el servidor que ejecuta la instalación de Server Core para utilizar una

dirección IP estática.

©

.



Si va a instalar y configurar un servidor DNS, la información necesaria para configurar una zona

DNS.

Si va a instalar y configurar un entorno de Active Directory, la información necesaria para unirse

a un dominio existente o para crear un nuevo dominio, si planea promover el servidor que

ejecuta la instalación de Server Core para ser un controlador de dominio en un dominio de

Active Directory, un administrador de dominio nombre de usuario y contraseña.

Características Soportadas por la Instalación Server Core

Después de la instalación de Server Core es completa y el servidor está configurado, puede instalar una

o más características opcionales. La instalación de Server Core de Windows Server 2008 es compatible

con las características opcionales siguientes:

Copias de Seguridad

BitLocker Drive Encryption

Conmutación por error de clústeres (Excepto en Versiones estándar)

Multipath I/O

NLB

Medios de almacenamiento extraíbles

SNMP

Subsistema para aplicaciones basadas en UNIX

Cliente Telnet

WINS

Administración de una instalación Server Core:

Debido a que no hay interfaz gráfica de usuario disponible se requiere que los administradores tengan

experiencia en el uso de un símbolo del sistema o técnicas de scripting para la administración local del

servidor, como alternativa, puede administrar la instalación de Server Core, con complementos de MMC

de otro equipo que ejecute Windows Server 2008, para ello, seleccione el equipo que ejecuta una

instalación Server Core como un equipo remoto para administrar.

La opción de instalación Server Core no es una plataforma de aplicaciones, y no puede ejecutar o

desarrollar aplicaciones de servidor en una instalación Server Core, sólo se puede utilizar para ejecutar

las funciones de servidor mencionadas anteriormente.

Métodos de administración y mantenimiento: Los cuatro métodos principales para la administración y el

mantenimiento de una instalación de Server Core son:

Localmente y de forma remota utilizando un símbolo del sistema: Mediante el uso de las

herramientas de línea de comandos de Windows en un símbolo del sistema, puede administrar

servidores que ejecuten una instalación Server Core.

De forma remota mediante Terminal Server: Mediante el uso de otro equipo que ejecuta

Windows, puede administrar de forma remota utilizando el cliente de Terminal Server para

conectarse a un servidor que ejecuta una instalación Server Core. El intérprete de comandos en

la sesión de Terminal Server será el símbolo del sistema.

Para habilitar Servicios de Terminal Server en la instalación de Server Core, escriba lo siguiente en

una ventana de comandos en el servidor:

Cscript C:\Windows\System32\Scregedit.wsf /ar 0

Esto permite que el Escritorio remoto para el modo de administración acepte conexiones.

De forma remota utilizando Windows Shell Remoto: Mediante el uso de otro equipo que ejecuta

Windows Vista o Windows Server 2008, puede utilizar Windows Shell remoto para ejecutar

herramientas de línea de comandos y scripts en un servidor con una instalación Server Core.

©

.



Para utilizar Shell Remoto de Windows, usted debe habilitar en la instalación Server Core. Para

ello, escriba lo siguiente en una ventana de comandos en el servidor:

WinRM quickconfig

Para conectarse al servidor de Server Core con comando Shell, en un equipo diferente utilizar la

herramienta Winrs.

La siguiente es la sintaxis de ejemplo:

Winrs -r: nombreDeServidor dir c:\windows

(Donde nombreDeServidor es el nombre del servidor que ejecuta una instalación Server Core.)

De forma remota utilizando un complemento de MMC: Mediante el uso de un complemento de

MMC de un equipo que ejecuta Windows Vista o Windows Server 2008, puede conectarse a un

servidor que ejecuta Server Core de la misma manera que se conecta a cualquier equipo que

ejecuta Windows, la administración se realiza del mismo modo que la administración de

cualquier otro servidor.

Consideraciones Firewall para las herramientas de

administración remota

El comando winrm quickconfig o la versión abreviada, winrm qc, realiza las siguientes operaciones:

Inicia el servicio WinRM y establece el tipo de inicio del servicio en Automático.

Configura una escucha para los puertos que envían y reciben mensajes de protocolo WS-

Management usando HTTP o HTTPS en cualquier dirección IP.

Define excepciones del firewall para el servicio WinRM y abre los puertos para HTTP y HTTPS.

Para habilitar los puertos necesarios para la administración remota mediante consolas de MMC: Para

habilitar la administración remota del firewall, en el símbolo del sistema, escriba:

Netsh firewall set service RemoteAdmin enable

Estos puertos incluyen:

TCP 445

TCP RPC dinámico

TCP RPC Endpoint Mapper

Puertos necesarios para conectividad Servicios de Terminal

TCP 3389

Resumen

Se puede concluir que el proceso de instalación ha sido mejorado ya que siempre usa una interfaz

gráfica para la instalación gracias a Windows PE, que ya no se necesitan conocer los parámetros

específicos de configuración del servidor durante la instalación porque éste paso se hará en las tareas

de configuración inicial posterior a la instalación, esto se traduce en instalaciones más rápidas y menos

complejas.

También concluimos que tomar la decisión de instalar un servidor en Modo Server Core nos ayuda a

mejorar la seguridad para servidores que deben estar ubicados remotamente y no cuentan con

protecciones específicas de un Centro de Proceso de Datos (CPD), pero debemos tener en cuenta que

la seguridad aumenta pero perdemos la consola gráfica y la posibilidad de implementar otros servicios

que no son compatibles en ésta versión.

Otro aspecto de Windows Server 2008 es que ahora podemos gestionar el servidor desde una única

consola, haciendo que los administradores no perdamos tiempo buscando otras herramientas para

gestionar el servidor, también podemos decir que la instalación del sistema ya no instala componentes

innecesarios sino que a medida que los necesitemos los podemos agregar como una función o una

©

.



característica y siempre al instalarlos podemos estar tranquilos porque si se necesitan componentes

adicionales para la función que queremos el proceso de instalación lo informará.

Los procesos de instalación y desinstalación siempre se ejecutan en contextos seguros que hacen que el

sistema no pierda estabilidad.

Recuerde: Existen algunas modificaciones al soporte de hardware que Windows 2008 como por ejemplo Windows

2008 sólo se pueden instalar en Equipos de tipo ACPI (Sistema por el cual los equipos controlan su

consumo eléctrico por software)

Ya no se especifica un fichero HAL (Capa de abstracción de hardware) personalizado para el

hardware.

El Firewall de Windows está activo por defecto e impedirá las conexiones hacia el Servidor, no es una

buena práctica desactivarlo porque junto con él también se desactivan otros componentes como

IPSEC, considere mejor abrir los puertos necesarios para establecer comunicación hacia el servidor.

Si se utiliza la versión de 64 bits tenga en cuenta de usar hardware que tenga controladores firmados por

que ahora es un requisito obligatorio debido a que nos protege de ataques a nivel de núcleo.

No es posible actualizar una versión de Windows existente a modo instalación Server Core, éste modo

de instalación siempre se hace en modo limpio.

Videos Ver Vídeo: Instalación de Servidores Windows 2008,

en el Módulo 7. Unidad 1, en la plataforma e-learning.

Ver Vídeo: Instalación desatendida de Servidores Windows 2008,


Laboratorios

Laboratorio 1. Instalación de Windows 2008

1. Iniciar la instalación desde el Medio de Windows 2008, iniciará el sistema operativo Windows PE.

©

.



2. Seleccionar: El Idioma, la configuración regional y Distribución del teclado (debe estar de acuerdo a

nuestro teclado físico)

3. Pinchar en Instalar ahora.

©

.



4. Seleccionamos el sistema operativo a instalar de acuerdo a nuestra licencia, podemos encontrar

varias ediciones de Windows Server 2008 ó seleccionar la forma de instalación completa o la Server

Core.

5. Aceptar los términos de licencia.

©

.



6. Seleccionar el tipo de Instalación

7. Seleccionar la unidad de disco donde se instalará el sistema operativo y pinchar en SIGUIENTE.

©

.



El proceso de instalación copia ficheros, los expande, instala características, actualizaciones y finaliza la

instalación.

Después de 2 reinicios Windows 2008 inicializa el Sistema.

La contraseña del Administrador debe cambiarse la primera vez.

©

.



Al crear la contraseña podemos entonces acceder al sistema.

El sistema notifica la aceptación de la nueva clave e informa que se ha cambiado.

Se prepara la configuración del escritorio del Administrador.

©

.



El servidor detecta las redes y nos preguntará la ubicación de dicha red (Hogar, Trabajo o Pública).

Aparece entonces la Consola de Tareas de Configuración Inicial desde la que se puede fijar las

opciones de configuración específica para éste servidor y modificar los valores predeterminados:

La opción 1 Proporcionar información del equipo: zona horaria, nombre de equipo aleatorio,

configuraciones IP V4 y V6 en forma dinámica y en un grupo de trabajo llamado WORKGROUP.

La opción 2 Actualizar éste servidor: Activar y configurar las actualizaciones automáticas de Windows.

©

.



La opción 3 Personalizar este servidor: podemos agregar Funciones, Características, Activar el acceso al

servidor usando escritorio remoto y configurar el firewall de Windows.

Se ejecuta la consola Administrador del Servidor.

©

.



Laboratorio 2. Agregar un rol (Directorio Activo) o una

característica.

1. Seleccionar el Nodo Funciones o características (depende de lo que se necesite activar) y pinchar

en agregar funciones o agregar características

2. El asistente guía el proceso

©

.



3. Seleccionar una de las 17 Funciones (en éste caso AD DS) o de las 35 Características

4. Se muestran links con información de la función a instalar.

©

.



5. Pinchar en Instalar, para activar los ficheros binarios que el servicio utilizará

6. Se muestran barras de progreso de la instalación.

©

.



7. Al finalizar la instalación de la Función o característica nos dará información sobre los pasos

adicionales.

8. La consola también muestra un resumen de las funciones y características instalas en el Servidor.

©

.



Laboratorio 3. Configuración de una instalación Server Core

1. Esta forma de instalar el Windows 2008 se decide desde las primeras opciones del inicio de

instalación del Windows Server 2008

2. Windows pedirá inicio de sesión una vez la instalación finaliza.

3. Pinchar en Otro Usuario.

©

.



4. Haciendo uso de la cuenta predeterminada de Administrador intentamos iniciar sesión dejando la

contraseña en blanco (opción predeterminada)

5. Por seguridad no se permite la contraseña en blanco, solicita el cambio de la contraseña la primera

vez que se efectúa el inicio de sesión.

6. Para realizar el cambio debemos usar una contraseña compleja en los campos solicitados.

©

.



7. Server Core no incluye interfaz gráfica entonces en los siguientes pasos configuran el Servidor usando

comandos del símbolo del sistema, comando SET muestra la configuración actual.

8. Con el comando Netdom Renamecomputer asignamos el nombre al servidor que si tiene éxito

pedirá un reinicio.

©

.



9. Para reiniciar el servidor usamos el comando Shutdown –r –t 0.

10. Una vez reiniciado el sistema, asignar las configuraciones IP usando el comando NETSH (asignar IP,

máscara y gateway).

11. Comando Netsh para agregar IP del Servidor DNS.

12. Para confirmar los cambios usar IPCONFIG.

©

.



13. Ahora para unir el servidor como miembro de un Dominio usamos el comando Netdom Join.

14. Si la unión al dominio tiene éxito entonces se debe reiniciar, es posible hacer CTRL+ALT+SUPR y en la

esquina Inferior Derecha desplegar las opciones de Apagado o Reinicio.

15. De ésta manera el sistema pedirá la razón por la que Se apaga o se reinicia.

©

.



16. De nuevo volvemos a entrar en el sistema y ahora debemos tener en cuenta que Windows Server

2008 por defecto Activa el Firewall de Windows, para ver el estado de firewall en una instalación de

Windows 2008 Server Core usamos el comando Netsh firewall show state.

17. Para abrir algunos puertos a través del firewall usamos el comando netsh firewal add portopening

(Tipo de transporte) y nombre de la regla predeterminada, en el ejemplo se abren los puertos TCP y

UDP para el DNS (53) para prácticas posteriores, los puertos NetBIOS y permitir Administración remota

(135, 137, 138, 139, 445).

©

.



18. Para verificar los cambios: Netsh firewall show config.

19. Para ver las Funciones o Características instaladas en Server Core se utiliza el comando OCLIST.

©

.



20. Para instalar una Función o característica usamos el comando OCSETUP y el nombre de la función (El

nombre debe ser escrito como aparece en la lista obtenida con el comando OCLIST, distingue

mayúsculas y minúsculas). En éste ejemplo se instala un Servidor DNS Core.

©

.



Unidad 2. Configuración y Solución De Problemas DNS

Objetivos

Al término de ésta unidad el alumno estará en capacidad de:

Conocer la importancia de DNS en la infraestructura de redes

Entender cómo se produce el proceso de resolución de nombres FQDN con DNS

Crear y configurar bases de datos de Zona DNS

Como lograr una solución DNS que sea Tolerante a fallos o con carga balanceada

Conocer herramientas que se pueden utilizar con DNS para solucionar problemas.

Introducción

La función de servidor DNS es un componente crítico de una infraestructura de dominios de Windows

Server 2008 por que los clientes suelen utilizar los nombres para acceder a recursos en Internet como en

la intranet, también DNS es la base para resolver nombres en los Dominios de Directorio Activo de

Windows Server 2008.

Las Zonas DNS son un concepto importante en la infraestructura de DNS, ya que permiten a los dominios

DNS estar separados lógicamente y gestionados en forma separada, también sirven como la base de

almacenamiento de información de registros utilizados en un espacio de nombres concreto.

Las transferencias de zona DNS es la manera que utiliza la infraestructura DNS para mover la información

de zona DNS de un servidor a otro proporcionando un sistema completamente tolerante a fallos o lograr

distribuir múltiples servidores que sean más cercanos a los clientes.

Es muy importante que un administrador sepa cómo resolver problemas en DNS debido a que son la

parte fundamental de un dominio basado en Directorio Activo y por ello debemos estar lo

suficientemente aptos para identificar y solucionar los problemas más comunes que puedan surgir, por

ello le recomendamos que use las herramientas que el propio servicio proporciona.

Definiciones Instalación de la Función Servidor DNS

DNS es un servicio de resolución de nombres que resuelve los nombres de los equipos a números, DNS es

una base de datos jerárquica distribuida lo que significa que la base de datos está separada

lógicamente, permitiendo que muchos servidores diferentes alojen la base de datos mundial de

nombres DNS.

DNS es un servicio mundial que le permite escribir un nombre de dominio (por ejemplo, mcitp.com), que

el equipo resuelve en una dirección IP, el beneficio es que las direcciones IPv4 pueden ser largas y

difíciles de recordar (por ejemplo, 194.224.52.4), mientras que un nombre de dominio normalmente es

más fácil de recordar.

Originalmente, había un fichero de Internet que contenía una lista de todos los nombres de dominio y

sus correspondientes direcciones IP, ésta lista se convirtió rápidamente en un fichero que gastaba

mucho tiempo para administrar y distribuir.

DNS fue desarrollado para resolver los problemas asociados con el uso de un solo archivo, con la

adopción del IPv6, DNS será aún más crítico porque las direcciones IPv6 (por ejemplo,

2001:DB8:10:0:e38c:384f:3764:b59c) son más complejas que las direcciones IPv4.

DNS es responsable de resolver los recursos en un dominio de servicios de directorio (AD DS), es

necesario instalar la función de DNS para instalar Directorio Activo, DNS proporciona información a los

©

.



clientes de estaciones de trabajo para que puedan iniciar sesión en la red, resuelve los recursos en el

dominio, tales como servidores, estaciones de trabajo, impresoras y carpetas compartidas, si el Servidor

DNS está configurado incorrectamente puede ser la fuente de muchos problemas de Directorio Activo.

Espacios de Nombres DNS

Facilita a un cliente DNS localizar un ordenador, está organizado jerárquicamente o en capas para

distribuir información a través de muchos servidores.

Raíz de dominio

El dominio raíz se representa por un "." Que no se escribe en un navegador Web por lo general debido a

que el "." se da por supuesto; hay 13 servidores de dominio raíz en todo el mundo.

Dominio de Nivel Superior

Este es el primer nivel del espacio de nombres DNS algunos ejemplos de dominios de primer nivel en

Internet son: com, net, org, biz, gov, también hay un dominio de nivel superior para cada país. Por

ejemplo, Canadá es. ca y el Reino Unido. Co.uk. El organismo que regula estos dominios se llama la

Corporación de Asignación de Nombres y Números (ICANN).

Nota: Para ver una lista actualizada de los dominios de nivel superior, consulte la Internet Assigned

Numbers Authority (IANA) sitio Web en http://www.iana.org/popular.htm.

Dominio de segundo nivel: el nombre de dominio de segundo nivel es la porción del nombre de dominio

que aparece antes del dominio de primer nivel. Un ejemplo de un nombre de dominio de segundo nivel

es "Microsoft" en el dominio www.microsoft.com. Las organizaciones registran los nombres de dominio de

segundo nivel que tienen bajo su control.

Cualquier persona puede registrar un nombre de dominio de segundo nivel a través de un servicio de

registro de Internet. Muchos dominios de segundo nivel tienen reglas especiales acerca de quién o qué

puede registrar un nombre de dominio. Por ejemplo, las organizaciones sin fines de lucro pueden utilizar.

Org.

Subdominio

El subdominio está en la lista antes del segundo nivel y dominios de nivel superior. Un ejemplo de un

subdominio Soporte en el dominio www.support.microsoft.com. Los subdominios se definen en el

servidor DNS de la organización que tiene el servidor DNS de segundo nivel.

Nombre de dominio completo (FQDN)

Es el nombre DNS explícito que incluye el nombre de cada dominio en el espacio de nombres DNS. Por

ejemplo, si el equipo ha sido llamado Servidor1 en el dominio ventas.test.mcitp.com, el FQDN de ese

equipo es servidor1.ventas.test.mcitp.com.

DNS puede usar caracteres Alfa numéricos pero hay algunas excepciones como el guión bajo (_) ya

que está reservado.

Mejoras DNS en Windows Server 2008

El propósito de WINS en una infraestructura de red es resolver los nombres NetBIOS a direcciones IP para

una comunicación efectiva entre los sistemas y aplicaciones que aún hacen uso de nombres únicos, las

versiones anteriores de los sistemas operativos de Microsoft, y algunas aplicaciones antiguas, siguen

utilizando este tipo de resolución, al igual que el personal de una organización a favor de asignar a los

recursos, tales como servidores Web internos, por lo tanto, WINS está disponible y se puede utilizar, pero

se eliminará en un futuro, para prever los casos anteriores de resolución con nombres únicos un nuevo

tipo de Domain Name System (DNS) estará disponible.

http://www.iana.org/popular.htm

http://www.support.microsoft.com/

©

.



Las nuevas características de DNS 2008 incluyen Carga de Zonas en segundo plano

Almacenes de Zonas DNS de gran tamaño que sirven a servicios como Directorio Activo (AD DS) son

capaces de responder a las consultas de los clientes con mayor rapidez al reiniciar, porque ahora carga

los datos de zona en segundo plano.

Soporte IP versión 6 (IPv6)

El servicio Servidor DNS admite ahora las direcciones más largas de acuerdo a la especificación de IPv6,

a través de un registro de host IPv6 que se conoce como registro "AAAA".

Soporte para los controladores de dominio de sólo lectura (RODCs)

La función del servidor DNS en Windows Server 2008 proporciona las zonas primarias de sólo lectura en

RODCs se trata de una nueva función que permite a los controladores de dominio y servidores DNS ser

desplegados en sitios remotos que carecen de seguridad física, un RODC no puede escribir información

en las bases de datos del Directorio Activo y los servidores DNS.

Nota: Cuando un controlador de dominio se utiliza como un RODC, una copia de sólo lectura de la

zona de dominio DNS y la zona de la empresa DNS se replica en el RODC. Una zona DNS en un RODC no

puede ser modificada.

Nombres únicos Globales

El servicio DNS Server en Windows Server 2008 proporciona un tipo de zona nueva, llamada zona

GlobalNames, que se puede utilizar para mantener los nombres de etiqueta única a través de un

bosque entero. Esto elimina la necesidad de utilizar el NetBIOS basado en Windows Internet Name

Service (WINS).

Consideraciones para Instalar la función servidor DNS:

La función de servidor DNS es fundamental en la configuración de Directorio Activo y la infraestructura

de red de Windows, al planificar la instalación de DNS, hay varias consideraciones que deben ser

revisados:

Capacidad del Servidor

Debemos conocer la cantidad de zonas que se configurarán en el servidor, calcular la cantidad de

registros DNS que contendrá cada zona, debemos conocer el número de clientes DNS que usarán el

servidor.

Ubicación del Servidor

Es necesario determinar donde se instalarán los servidores si en una ubicación central o en las sucursales.

Disponibilidad del Servicio DNS

Como se mencionó DNS tiene un papel fundamental por lo tanto se debe asignar la función de DNS en

más de un servidor para mantener una alta disponibilidad del servicio, si se usa el Directorio Activo para

replicar la información de zona de DNS entonces el segundo Servidor DNS debe ser debe ser también un

controlador de dominio.

Se recomienda que el servidor DNS use una dirección IP estática, ya que los clientes se configuran con

las direcciones IP de los servidores DNS, Si estos cambios sus direcciones IP entonces ocasionará

problemas en la búsqueda de nombres DNS para que sean resueltos en una dirección IP.

El Servidor DNS puede almacenar la base de datos DNS de dos maneras diferentes

En un archivo de texto almacenado en el Servidor DNS que contiene todas las entradas de nombres

DNS, se puede editar con un editor de texto, se recomienda usar las Consola MMC del DNS para

modificar la información del fichero.

©

.



El servidor DNS almacena las entradas de DNS en la base de datos de Directorio Activo, ésta base de

datos se puede replicar en otros controladores de dominio incluso si no ejecutan la función de Servidor

DNS, la replicación se produce de forma transparente en segundo plano, no se puede utilizar un editor

de texto para editar los datos de DNS que se almacena en el Directorio Activo.

La utilidad de línea de comandos para configurar un servidor DNS es Dnscmd.exe se puede utilizar esta

herramienta de línea de comandos como alternativa a la configuración de la función de DNS con la

interfaz gráfica de usuario (GUI).

Configuración de la Función Servidor DNS Componentes DNS

La Solución DNS incluye componentes tales como los servidores DNS, servidores DNS en Internet, y los

clientes DNS.

Servidores DNS

Un servidor DNS responde a las solicitudes DNS recursivas e iterativas, también puede albergar una o

más zonas de un dominio en particular, las zonas contienen registros de recursos diferentes también

activan un almacenamiento en caché de las consultas comunes para ahorrar tiempo en las búsquedas.

Servidores DNS en Internet

Los servidores DNS en Internet se pueden acceder públicamente están encargados de contener las

zonas públicas, los servidores raíz y los dominios de nivel superior comunes, como. COM,. NET,. EDU.

Cliente DNS

El cliente DNS genera y envía consultas iterativas o recursivas al servidor DNS, un cliente DNS puede ser

cualquier equipo que realice una búsqueda DNS que requiere la interacción con el servidor DNS, los

servidores DNS también puede emitir solicitudes de clientes DNS a otros servidores DNS.

Registros de Recursos DNS

El archivo de zona DNS almacena registros de recursos que especifican un tipo de recurso y la dirección

IP para localizar el recurso, el registro de recursos más común es el registro A que se encarga de unir un

nombre de host (estación, servidor, dispositivo de red) con una dirección IP.

Los registros de recursos ayudan a encontrar recursos de un dominio determinado por ejemplo, cuando

un servidor de Exchange tiene que encontrar el servidor responsable de entregar el correo de otro

dominio, solicitará el registro intercambio de correo (MX) para ese dominio, el registro MX apunta a un

registro "A" de host que ejecuta el protocolo SMTP de correo.

Los registros de recursos también pueden contener atributos personalizados, por ejemplo los registros MX,

tienen un atributo de preferencia, lo cual es útil si una organización tiene varios servidores de correo ya

que indicará el servidor SMTP preferido para recibir el correo. Los registros SRV también contienen

información sobre en qué puerto está escuchando el servicio y el protocolo que debe seguir para

comunicarse con el servicio.

Algunos Tipos de Registros son SOA

Inicio de autoridad identifica el servidor de nombres primario para una zona DNS.

A

ó Registro host define un nombre de host a una dirección IP

CNAME

Nombre canónico es un tipo de registro de alias

©

.



MX

Intercambio de correo, se utiliza para especificar un servidor de correo electrónico para un dominio

particular.

PTR

Puntero, se utiliza para hacer un mapa de una dirección IP a un nombre de dominio, se almacenan en

Zonas de búsqueda inversa.

SRV

Servicio de localización, identifica un servicio que está disponible en el dominio, Directorio Activo utiliza

ampliamente estos registros.

NS

Servidor de nombres, identifica todos los servidores de nombres (DNS) en un dominio.

AAAA

En IPv6 es el registro de host.

Sugerencias de Raíz

Son la lista de los 13 servidores de Internet que la Internet Assigned Numbers Authority (IANA) mantiene y

que el servidor DNS utiliza si no se puede resolver una consulta DNS con un reenviador DNS o su propio

caché.

Las sugerencias de raíz son los más altos en la jerarquía de servidores DNS y puede proporcionar la

información necesaria para que un servidor DNS realice una consulta iterativa a la capa

inmediatamente inferior del espacio de nombres DNS.

Las sugerencias de raíz se instalan al instalar la función de DNS, se copian desde el archivo Cache.dns

que los archivos de configuración incluyen en la función DNS.

También se puede añadir sugerencias de raíz a un servidor DNS para ayudar en operaciones de

búsqueda de dominios no contiguos dentro de un bosque.

Cuando un servidor DNS se comunica con un servidor de sugerencias de raíz, se utiliza sólo una consulta

iterativa, si selecciona la opción No usar recursividad para este dominio, el servidor no será capaz de

realizar consultas sobre las sugerencias de raíz.

Consultas DNS

Una consulta DNS es el método que se utiliza para solicitar la resolución de nombres en el que se envía

una consulta a un servidor DNS, hay dos tipos de consultas DNS: De autoridad y no autoritarias.

Es importante señalar que los servidores DNS también pueden actuar como clientes DNS y enviar

consultas DNS a otros servidores DNS.

Un servidor DNS puede tener autoridad o no en el espacio de nombres de la consulta, un Servidor DNS

tiene autoridad en un espacio de nombres cuando contiene una base de datos de Zona primaria o

secundaria en un espacio de nombres DSN

Los dos tipos de consultas son las siguientes:

Una consulta Autoritativa

Es aquella en la que el servidor puede devolver una respuesta que sabe es correcta porque la consulta

incluye un espacio de nombres en la que el servidor tiene autoridad, es decir contiene una base de

datos de Zona DNS que coincide con el espacio de nombres de la consulta.

©

.



Consultas No Autoritativas

Son todas aquellas que el servidor DNS obtiene desde su caché o usando otros servidores DNS como

reenviadores o sugerencias de raíz, la respuesta puede no ser exacta debido a que sólo el servidor DNS

autorizado para el dominio dado puede emitir esa información.

Si el servidor DNS está autorizado para el espacio de nombres de la consulta, el servidor DNS verifica la

zona y realice una de las siguientes:

Devuelve la dirección IP solicitada.

Devuelve una respuesta autoritativa negativa (No, ese nombre no existe).

Si el servidor DNS local no tiene autoridad para espacio de nombres de la consulta, el servidor

DNS realice una de las siguientes:

Compruebe su caché y devuelve una respuesta de caché.

Si no puede resolver la consulta con su propia información entonces puede reenviar la consulta

a otro servidor específico llamado Reenviador.

Utilice las direcciones conocidas de múltiples servidores raíz para encontrar un servidor DNS con

autoridad para que resuelva la consulta, éste proceso se llama sugerencias de raíz.

Consultas Recursivas

Puede tener dos resultados posibles: devuelve la dirección IP del host solicitado o el servidor DNS no

puede resolver una dirección IP.

Por razones de seguridad, a veces es necesario deshabilitar las consultas recursivas en un servidor DNS,

de este modo, el servidor DNS en cuestión no intentará presentar sus peticiones a otro servidor DNS, esto

puede ser útil si no deseamos que un servidor DNS en particular se comunique fuera de su red local.

Consultas Iterativas

Proporcionan un mecanismo para acceder a la información de nombres de dominio que reside en todo

el sistema DNS, y permitir a los servidores de forma rápida y eficiente resolver los nombres a través de

muchos servidores.

Cuando un servidor DNS recibe una solicitud que no puede responder utilizando su información local o

de sus búsquedas en caché, se hace la misma petición a otro servidor DNS mediante una consulta

iterativa.

Cuando un servidor DNS recibe una consulta iterativa, puede responder con la dirección IP del nombre

de dominio (si se conoce), o remitiendo la solicitud a los servidores DNS que son responsables para el

dominio se consulta.

Servidores DNS Reenviadores:

Es un Servidor que envía consultas DNS de nombres DNS a servidores DNS externos fuera de esa red, es

posible establecer reenvíos condicionales que consiste en reenviar las consultas de acuerdo a los

nombres de dominio específico a Servidores DNS específicos que se suponen tienen autoridad en el

espacio de nombres de la consulta reenviada.

El uso de Servidores DNS de reenvío permite resolver consultas que no se pueden resolver localmente o si

la resolución de nombres es para los nombres de fuera de su red, como los nombres en Internet, y

mejora la eficacia de la resolución de nombres para los equipos de su red.

Una recomendación muy importante es usar servidores DNS de reenvío para resolución de nombres de

Internet por que mejora el rendimiento, simplificar la solución de problemas, y es una práctica

recomendada de seguridad, se puede aislar el servidor DNS de reenvío en una zona desmilitarizada

(DMZ), que garantiza que ningún servidor en la red se está comunicando directamente a Internet.

©

.



Reenvío Condicional:

Un reenviador condicional es un servidor DNS en una red que envía las consultas DNS según el nombre

de la consulta de dominio DNS.

Por ejemplo, puede configurar un servidor DNS que transmita todas las consultas que recibe por los

nombres que terminan con test.com a la dirección IP de un servidor DNS específico o a las direcciones IP

de varios servidores DNS, esto puede ser útil cuando tiene varios espacios de nombres DNS en un

bosque.

En Windows Server 2008, la configuración de los reenviadores condicionales se ha trasladado a un nodo

en la configuración DNS de la consola, así mismo es posible replicar esta información a otros servidores

DNS a través de la integración de Directorio Activo, se recomienda el reenvío condicional si se tienen

varios espacios de nombres internos.

Caché DNS:

Aumenta el rendimiento del DNS al disminuir el tiempo necesario para proporcionar búsquedas de DNS,

cuando un servidor DNS resuelve un nombre DNS correctamente, se agrega el nombre a su caché, con

el tiempo, esto crea una caché de nombres de dominio y sus correspondientes direcciones IP de los

dominios más comunes que utiliza la organización o accesos.

El tiempo predeterminado para almacenar los datos en la caché de DNS es una hora.

Un servidor de sólo caché no almacena datos de zonas DNS, sólo responde a las búsquedas de los

clientes DNS, éste es el tipo ideal de servidor DNS para utilizarse como reenviador.

Configuración de Zonas DNS

Zonas DNS son un concepto importante en la infraestructura de DNS, ya que permite que los dominios

DNS puedan estar separados lógicamente y gestionados.

Una zona DNS aloja la totalidad o una parte de un dominio y sus subdominios y almacena los registros

de los recursos vinculados a dicho Dominio o espacio de nombres.

Los datos de una Zona se pueden replicar en más de un servidor, lo cual permite redundancia porque la

información necesaria para encontrar recursos en la zona existe ahora en dos servidores.

El nivel de tolerancia a fallo determina la necesidad de crear nuevos servidores que alberguen la

información de zona, si se tiene una zona que contiene registros de recursos críticos, es probable que

esta zona debe tener un mayor nivel de redundancia que una zona en la que los dispositivos definidos

no sean críticos.

Tipos de Zonas DNS

Zona principal

Cuando una zona que alberga un servidor DNS es una zona primaria, el servidor DNS es la fuente

principal de información sobre esta zona y almacena la copia maestra de datos de la zona en un

archivo local o en el Directorio Activo (AD DS), si el servidor DNS almacena la zona en un archivo, el

archivo de zona se llama “nombre-de-zona.dns” y se encuentra en la carpeta %windir%\System32 Dns\

en el servidor. Cuando la zona no se almacena en Directorio Activo, sólo el servidor DNS tiene una copia

modificable de la base de datos.

Zona secundaria

Cuando una zona que alberga un servidor DNS es una zona secundaria, el servidor DNS es una fuente

secundaria para la información de la zona, la zona en este servidor se debe obtener de otro servidor

DNS remoto que también alberga la zona este servidor DNS debe tener acceso a la red con el servidor

DNS remoto para recibir información actualizada de la zona. Debido a que una zona secundaria es una

©

.



copia de una zona principal que otro host almacena, no se puede almacenar en AD DS, la zona

secundaria puede ser útil si va a replicar los datos de una Zona desde un servidor No Windows.

Zona de Rutas Internas

Solucionan varios problemas con los grandes espacios de nombres DNS y con varios árboles de bosque,

un bosque de múltiples árboles es un bosque de Directorio Activo que contiene múltiples nombres de

dominio diferentes. La zona de Rutas internas es una copia de una zona que contiene sólo los registros

de recursos necesarios para identificar los servidores DNS autorizados en dicha zona (Registro SOA y NS),

el objetivo de ésta zona es resolver distintos espacios de nombres DNS independientes.

Puede ser necesaria cuando se requiere una fusión corporativa y necesitamos que los servidores DNS

para dos espacios de nombres DNS independientes resuelvan los nombres de los clientes, las zonas de

rutas internas utiliza la dirección IP de uno o más servidores maestros que utilizará para mantenerse

actualizada.

Es posible confundir la zona de ruta interna con los reenvios condicionales porque ambas características

DNS permitir a un servidor DNS responder a una consulta con una referencia mediante el envío de la

consulta a un servidor DNS diferente, sin embargo, estos valores tienen propósitos muy diferentes:

El reenviador condicional configura el servidor DNS para que transmita una consulta que recibe a un

servidor DNS en función del nombre DNS que contiene la consulta, mientras que la zona de ruta interna,

mantiene el servidor DNS al tanto de todos los servidores DNS con autoridad en un espacio de nombres

de un dominio principal como de los dominios hijos (subdominios).

Zonas Integradas en Directorio Activo

La zona DNS se almacena dentro de la base de datos del servicio de directorio activo para tomar

ventaja del modelo de replicación con varios maestros para replicar la zona primaria lo cual permite

editar datos de la zona en más de un servidor DNS.

Windows Server 2008 introduce un nuevo concepto llamado controlador de dominio de sólo lectura

(RODC), es posible que todos los datos de una zona DNS integrada en directorio activo se repliquen en

todos los controladores de dominio, incluso si la función DNS no está instalado en el controlador de

dominio por tanto si el servidor es un controlador de dominio de sólo lectura, la zona en dicho servidor

no podrá escribir ni modificar datos.

Zonas de Búsqueda Directa e Inversa

La zona de búsqueda directa resuelve nombres de host a direcciones IP, y puede contener registros de

recursos comunes: A, CNAME, SRV, MX, SOA y NS.

Zona de búsqueda inversa resuelve una dirección IP a un nombre de dominio contiene registros SOA,

NS, y PTR.

Una zona inversa funciona de la misma manera como una zona de búsqueda directa pero en éste caso

la consulta resolverá una dirección IP a un nombre de host.

Delegación de Zona DNS

DNS es un sistema jerárquico, y la delegación de zona DNS permite separar 2 dominios contiguos para

que cada uno tenga una base de datos separada en un servidor DNS separado y con posibilidad de

administración separada. La delegación de zona apunta al siguiente nivel jerárquico hacia abajo e

identifica los servidores de nombres responsables en el dominio de menor nivel.

Al decidir si se debe dividir el espacio de nombres DNS para hacer zonas adicionales, considere las

siguientes razones para utilizar las zonas adicionales:

Se debe delegar la gestión de una parte del espacio de nombres DNS a otro lugar de la

organización o departamento.

©

.



Se necesita dividir una zona de gran tamaño en pequeñas zonas para que pueda distribuirse la

cargas de tráfico entre varios servidores, lo que mejora el rendimiento de resolución de nombres

DNS y crea un entorno más tolerante a fallos DNS.

Es necesario ampliar el espacio de nombres agregando más subdominios para dar cabida a la

apertura de una nueva sucursal o un nuevo sitio.

Configuración de Transferencia de Zona

Las transferencias de zona DNS es la forma de mover la información de una Zona DNS de un servidor a

otro

Las transferencia de zona sincroniza las zonas primaria y secundaria del servidor DNS, es importante que

las zonas DNS se mantengan actualizadas constantemente, cualquier discrepancias entre las zonas

primaria y secundarias pueden causar interrupciones del servicio y nombres de host que se resuelven de

forma incorrecta.

Una transferencia de zona completa se produce cuando se copia toda la zona de un servidor DNS a

otro, la transferencia de zona completa se conoce como una transferencia de toda la zona (AXFR).

Una transferencia de zona incremental se produce cuando hay una actualización del servidor DNS y

sólo los registros de recursos que se han cambiado se replican en el otro servidor. Se trata de una

transferencia de zona incremental (IXFR).

Servidores Windows también pueden realizar transferencias rápidas, lo que quiere decir que utiliza la

compresión y envía varios registros de recursos en cada transmisión.

No todas las implementaciones del servidor DNS soportan transferencias incrementales y rápidas, si se

integra el Servidor de Windows 2008 en la infraestructura DNS de otros fabricantes es necesario

asegurarse que las características que se pueden necesitar estén soportados.

Zonas integradas en Directorio Activo replican usando la replicación de múltiples maestros, permitiendo

que cualquier controlador de dominio estándar que también tiene la función de DNS puede actualizar

la información de zona DNS, que posteriormente replicará en todos los servidores DNS que alojan la

zona DNS.

Notificaciones DNS

Permite notificar a los servidores secundarios cuando se producen cambios en la zona, esta notificación

es útil en entornos donde es necesario mantener los servidores DNS replicados en un espacio de tiempo

mínimo y donde la precisión de datos es importante.

Seguridad en las Transferencias de Zona:

La información de la Zona proporciona datos de la organización, por lo que debe tomar precauciones

para asegurarse de que está seguro del acceso malintencionado y que no se puede sobrescribir con

datos incorrectos (conocido como envenenamiento DNS).

Una forma en que puede proteger la infraestructura de DNS es el de asegurar las transferencias de zona

y el uso de actualizaciones dinámicas seguras.

En la Pestaña Transferencias de zona en el cuadro de diálogo Propiedades de la zona, se puede

especificar la lista de servidores DNS autorizados, también puede utilizar estas opciones para no permitir

la transferencia de zona, de forma predeterminada, las transferencias de zona están desactivadas.

Si bien la opción permite especificar los servidores que pueden solicitar los datos de zona, proporciona

un nivel de seguridad ya que limita los destinatarios de los datos, pero no garantiza la seguridad de los

datos mientras se está transmitiendo, si la información de la zona es altamente confidencial, es

recomendable replicar los datos de zona a través de una red privada virtual (VPN) o que se implemente

Internet Protocolo Security (IPsec) para garantizar seguridad en la transmisión de los datos.

©

.



Mantenimiento y Solución de problemas DNS

Es importante mantener la infraestructura DNS libre de problemas o por lo menos debemos conocer las

herramientas que podemos utilizar para poder identificar y solucionar dichos inconvenientes.

TTL, Caducidad y Borrado: ayudan a gestionar los registros DNS en un fichero de zona, ya que los

registros pueden modificarse con el tiempo, se debe tener una forma para gestionar los recursos DNS

que se actualizan o que ya no son válidos debido a que los hosts que los registros representan ya no

existen en la red.

Time to Live (TTL): Indica el tiempo que un registro DNS se considera válido, el TTL puede variar

dependiendo del tipo de registro de recursos DNS.

La Caducidad se produce cuando los registros creados en el servidor DNS llegan a su

vencimiento y se eliminan, esto mantiene la base de datos de la zona con información exacta.

Borrado: Realiza sobre el servidor DNS la eliminación de registros obsoletos que ya han alcanzado

el tiempo máximo de la caducidad, éste proceso también puede ser ejecutado por un

administrador manualmente para limpiar la base de datos de información de registros obsoletos.

Los problemas ocasionados por no mantener los registros controlados pueden incluir:

Bases de datos DNS con un gran número de registros de recursos obsoletos que con el tiempo

pueden utilizar mucho espacio de disco del servidor y provocar innecesariamente que el tiempo

necesario para la transferencia de zona sea muy largo.

Las zonas cargadas en los servidores DNS con registros de recursos obsoletos pueden utilizar

información obsoleta para responder a consultas de los clientes, que puede causar que los

equipos de cliente experimenten problemas de resolución de nombres en la red.

La acumulación de los registros de recursos obsoletos en el servidor DNS puede degradar su

rendimiento y capacidad de respuesta.

En algunos casos, la presencia de un registro de recursos obsoletos en una zona puede impedir a

otro host que utilice un nombre de dominio DNS.

Para resolver estos problemas, el servicio Servidor DNS tiene las siguientes características:

Marcas de tiempo: se basa en la fecha y hora actual configurada en el servidor, para cualquier

registros de recursos que se agrega dinámicamente a las zonas primarias, las marcas de tiempo

se registran en las zonas donde se habilita la caducidad y borrado. Para los registros de recursos

que se agregan de forma manual, se utiliza un valor de sello de tiempo de cero para indicar que

el proceso de caducidad no afecte a estos registros y que puedan permanecer sin limitaciones

en los datos de la zona a menos que se cambie la marca de tiempo o se elimine.

La Caducidad de los registros de recursos en los datos de las bases locales, se basan en un

período de refresco de tiempo específico en cualquier zona de tipo primario.

La eliminación de registros obsoletos que van más allá del período de actualización

especificado. Cuando un servidor DNS realiza una operación de borrado, se determina que los

registros de recursos han caducado al punto de convertirse en obsoletos y procede a eliminarlos

de los datos de la zona.

Por defecto, Caducidad y Borrado no está activo, se debe habilitar solo cuando se comprenda

perfectamente su utilización de lo contrario podría eliminar registros que se deben mantener en la base

de datos ocasionando problemas de resolución de nombres.

Comprobación de la Configuración del Servidor DNS

En la Pestaña Supervisión del servidor DNS, puede configurar una prueba que permite que el servidor

DNS determine si puede resolver consultas simples y realizar consultas recursivas para garantizar que el

servidor puede comunicarse con los servidores de nivel superior, éstas pruebas se pueden programar de

©

.



forma periódica, estas pruebas básicas proporcionan un buen punto de partida para la solución de

problemas del servicio de DNS.

Herramientas para Identificar problemas DNS:

Pueden ocurrir problemas cuando no se configure el servidor DNS, las zonas y los recursos

correctamente, cuando los registros de recursos están causando problemas, a veces puede ser más

difícil identificar el problema, porque los problemas de configuración no son siempre evidentes.

Los problemas que posiblemente podemos encontrar son:

Faltan registros: Pude que se hubieran eliminado prematuramente provocando que los hosts no

puedan encontrar a otros.

Registros incompletos: Si los registros existentes no tienen la información completa puede

ocasionar que los clientes que soliciten el recurso obtengan información inválida, por ejemplo un

Registro de Servicio que no contenga la dirección de puerto.

Registros configurados incorrectamente: Registro que apuntan a una dirección IP no válida o

con información errónea en su configuración también causará problemas cuando los clientes

DNS tratar de encontrar los recursos.

Las herramientas utilizadas para solucionar estos y otros problemas de configuración son:

Nslookup

Se utiliza para consultar información DNS, la herramienta es muy flexible y puede proporcionar mucha

información valiosa sobre el estado del servidor DNS, se puede usar para buscar los registros de recursos

y validar su configuración, también puede probar las transferencias de zona, las opciones de seguridad,

y la resolución de registros MX.

Dnscmd

Permite administrar el servicio DNS con esta interfaz de línea de comandos, es útil en secuencias de

comandos de archivos por lotes para ayudar a automatizar las tareas rutinarias de administración de

DNS o para realizar instalaciones desatendidas simples de nuevos servidores DNS.

Ipconfig

Utilice este comando para ver y modificar los detalles de configuración IP en el equipo que utiliza,

incluye opciones adicionales de línea de comandos que sirven para solucionar problemas y dar soporte

a los clientes DNS, es posible ver la caché local del cliente DNS mediante el comando ipconfig

/displaydns, borrar la caché local utilizando el comando ipconfig /flushdns.

DNSLint

Se usa para diagnosticar problemas de DNS, es una utilidad de línea de comandos para diagnosticar

problemas de configuración de DNS de forma rápida y también puede generar un informe en formato

HTML con respecto al estado del dominio que está probando.

Supervisión DNS Usando El Visor de Eventos y el Fichero de registro de depuración: El servidor DNS tiene

su propia categoría en el registro de eventos, como con cualquier otro registro de eventos del visor de

sucesos, debe revisar periódicamente el registro de sucesos.

Algunas veces puede ser necesario obtener más información sobre problemas del servidor DNS

adicional al visor de sucesos, el Servidor DNS incluye la posibilidad de activar un fichero de registro para

depurar información sobre los distintos tipos de paquetes y su actividad sobre el servidor DNS, dentro de

las opciones es posible registrar:

Dirección de paquetes tanto de envío como de recepción

Contenido de los paquetes: Consultas, Actualizaciones dinámicas y Notificaciones

Protocolo de transporte: UDP y TCP.

Tipo de paquete: Solicitudes y Respuestas

Habilitar el filtrado basado en direcciones IP: Permite el registro de los paquetes enviados desde

determinadas direcciones IP a un servidor DNS, o desde un servidor DNS a direcciones IP

©

.



específicas.

Nombre de archivo y tamaño límite máximo: establece el tamaño máximo de archivo para el

archivo de registro del servidor DNS. Cuando el servidor DNS del archivo de registro alcanza su

tamaño máximo especificado, el servidor DNS sobrescribe la información más antigua con

información nueva (Si no se especifica un tamaño máximo de archivo de registro, el servidor DNS

del archivo de registro puede consumir una gran cantidad de espacio de disco duro).

Por defecto, todas las opciones de registro de depuración están desactivadas, recuerde que el registro

de depuración puede hacer uso de los recursos muy intensivo provocando bajo rendimiento y consuno

de espacio en disco duro, por lo tanto si se activa se debería hacer sólo como una medida temporal, el

fichero Dns.log contiene la actividad del registro de depuración y en forma predeterminada, se

encuentra en Windows»System32»Dns.

Resumen

Podemos decir que DNS es uno de los servicios más críticos en la infraestructura de red porque permite

que los clientes encuentren los recursos usando los nombres en lugar de las direcciones IP numéricas,

incluso los administradores algunas veces usan las direcciones IP en versión 4 para acceder a ciertos

equipos pero se debe tener en cuenta que con la inclusión de IPv6 las direcciones son de 128 bits

hexadecimal lo que hace más difícil recordar y utilizar, por tanto se hace más necesario el uso de DNS y

que su funcionamiento sea óptimo.

Por ésta misma razón no podemos descargar la responsabilidad de la resolución a un único servidor

porque si hay un fallo, la red dejaría de responder, para ello DNS ofrece una forma de replicar datos de

las Zonas DNS hacia otros servidores usando la Transferencia de Zona, una alternativa a la gestión de la

topología de replicación es incluir la zona en el Directorio Activo y entonces la replicación DNS se haría

de acuerdo a la replicación del Servicio de Directorio.

Saber cómo funcionan las herramientas de solución de problemas como NSlookup, DNSlint y DNScmd

ayudará mucho cuando nos enfrentemos a problemas en red provocados por una mala resolución de

nombres.

Recuerde Las consultas realizadas a un servidor DNS siguen el siguiente orden para poder ser resueltas:

El Servidor DNS comprueba su caché

Si el nombre FQDN de la consulta coincide con una base de datos de Zona creada en el Servidor DNS

que recibe la consulta quiere decir que tiene Autoridad en ese espacio de nombres, por lo tanto el

servidor responderá con la información que contenga en las zonas, la respuesta entonces se dará al

cliente informando la dirección IP ó sino encuentra la información devolverá una respuesta negativa al

cliente.

Si la consulta enviado no coincide con ninguna zona en el servidor, entonces se evaluará si existen

configuraciones de Servidores DNS de reenvío, que pueden ser condicionales (según un nombre de

dominio que coincide con la consulta) o un servidor DNS reenviador que puede acceder a Internet

directamente y obtener la resolución desde Internet.

Si no hay servidores DNS de reenvío el Servidor DNS utilizará las consultas Iterativas empezando por los

servidores Sugerencias de raíz configurados hasta encontrar el servidor DNS que tenga autoridad en el

espacio de nombres de la consulta recibida.

Cuando el servidor recibe la respuesta, almacena la información en su caché para que consultas

posteriores buscando el mismo host, no tenga que volver a hacer todo el proceso sino que responderá

de los datos almacenados en la caché

©

.



Precisamente la caché puede ser causa de respuestas equivocadas a los clientes, por ello se debe

tener en cuenta como borrar la información de caché usando la consola mmc del DNS o usando el

comando DNSCMD

En un entorno replicado la frecuencia que controla la replicación también debe ser tenida en cuenta

cuando queramos resolver un problema, porque es posible que si la replicación no ocurre con la

frecuencia que nosotros esperamos los registros no se actualicen adecuadamente, tenga en cuenta

éste aspecto y vigile la replicación entre servidores DNS.

El tráfico DNS usa los protocolos TCP y UDOP 53 tenga en cuenta en abrir éstos puertos en firewalls

donde sea necesario.

Cuando se cree una infraestructura DNS en un entorno de Dominio además de la Zona de búsqueda

directa, se recomienda usar zonas de búsqueda inversa debido a que algunas aplicaciones se

beneficiarían de esto tipo de resolución.

Una forma rápida de resolver nombres en 2 espacios de nombres de Dominio en una organización es

crear las Zonas de Rutas internas porque con ellas se implican procesos de resolución usando

reenviadores pero con la diferencia que la zona de rutas internas se mantendrá actualizada (usando la

replicación DNS) con información de los servidores DNS que tengan autoridad en dicho espacio de

nombres en un momento dado.

Siempre que sea posible en Zonas que sirven para la resolución de Dominios internos como Directorio

Activo intégrelas en la base de datos del Directorio por que como beneficios podemos obtener: más

seguridad, sistema tolerante a fallo y administración y despliegue simplificado.

Ver Vídeo: DNS, en el Módulo 7. Unidad 2, en la plataforma e-learning.

©

.



Laboratorios

Laboratorio 1 Instalación DNS

1. Es posible Instalar DNS desde la consola Administrador del Servidor

2. Ahora en una instalación Server Core Para instalar una Función o característica usamos el comando

OCSETUP y el nombre de la función (El nombre debe ser escrito como aparece en la lista obtenida

con el comando OCLIST, distingue mayúsculas y minúsculas). En éste ejemplo se instala un Servidor

DNS Core.

©

.



3. Una vez instalado el Servidor DNS en Server Core es necesario abrir los puertos de administración en

el firewall como se mostró en el capítulo anterior y después usando una consola MMc de DNS

agregarlo para administrarlo remotamente, en éste caso hemos instalado DNS en 2 Servidores

(DC2008 y Core2008).

4. Desde DC2008 abro la consola de administración de DNS y agrego el Servidor DNS Core para

administrarlo.

5. Sobre DNS hacer clic derecho y seleccionar la opción Conectar con el Servidor DNS.

6. Escribimos el nombre del servidor que queremos administrar y Aceptar.

©

.



Ahora tenemos en la misma Consola los 2 Servidores DNS.

Laboratorio 2 Configuración de DNS

1. La función de un servidor DNS es empezar a resolver los nombres que un cliente le solicite, en éste

caso los servidores se acaban de instalar y ya pueden empezar a resolver nombres (Servidores DNS

de Caché) para ello se apoyan en otros servidores como las sugerencias de raíz (Servidores DNS raíz

en Internet) para que un servidor empiece a usar las sugerencias de raíz debe tener la posibilidad de

acceder a Internet.

2. Si hacemos clic derecho sobre el servidor y luego Propiedades.

3. Luego seleccionar la pestaña Sugerencias de raíz, podemos ver la información de éstos servidores

(también se puede ver ésta información editando el fichero Cache.dns en el servidor DNS, éste

fichero se instala al activar la función DNS) .

©

.



4. Otro aspecto para la resolución de nombres es usar antes que las sugerencias de raíz a otros

servidores llamados Servidores DNS de reenvío (pueden resolver consultas en nombre de otro

servidor DNS que posiblemente por seguridad no pueda acceder directamente a Internet, como es

el caso de un Servidor DNS que sirve a la resolución de nombres de una red interna con Directorio

Activo). Para configurar un Servidor DNS de Reenvío, sobre las propiedades del Servidor DNS usamos

la ficha Reenviadores:

©

.



5. Luego pinchar en Editar para agregar el Servidor de Reenvío (un servidor DNS de cara a Internet) y

Aceptar.

6. Existe también la posibilidad de hacer un Reenvío Condicional, es una solución para resolver

nombres DNS separados internos en una organización, con éste reenvío un administrador debe

conocer cuál es la dirección IP del servidor DNS que tiene autoridad en el espacio de nombres que

se quiere reenviar, para hacer un reenvío condicional en la consola, bajo el nombre del servidor

encontramos el nodo reenviadores condicionales, hacer clic derecho y seleccionar Nuevo

reenviador condicional.

©

.



7. A continuación se escribe el nombre del domino que queremos resolver en el reenviador y la

dirección IP del servidor o servidores DNS que tienen autoridad en ese espacio de nombres y luego

Aceptar.

8. Todos los servidores DNS cuando reciben una consulta, intentarán resolverla empezando por buscar

la información desde la caché del Servidor DNS, esta caché se va creando a medida que el servidor

va obteniendo respuestas desde los demás servidores DNS, para ver el caché en la consola DNS

tenemos que activar la vista Avanzada en el Menú Ver (Debes seleccionar primero el nombre del

servidor para que se active la opción).

©

.



9. A continuación aparece un nuevo Nodo llamado Búsquedas en Caché donde se puede observar

todos los dominios resueltos por el Servidor DNS y que al ser consultados nuevamente, la respuesta se

devolverá desde éste caché dando como resultado más rapidez y menos tráfico necesario

(optimiza ancho de banda).

10. Si se detecta que la respuesta que un Servidor DNS devuelve a una consulta de cliente es

equivocada y la fuente de ese dato está en la caché, entonces debemos borrar la caché del

servidor DNS para forzarlo a que vuelva a consultar los servidores DNS y responda correctamente.

11. Para borrar la caché se puede borrar sólo la entrada equivocada o todo el caché, haciendo clic

derecho y Eliminar.

©

.



Laboratorio 3 Configuración de Zonas

1. Otra función que un servidor DNS puede hacer es albergar bases de datos que contiene

información de recursos en un espacio de nombres, esto hace que el servidor tenga autoridad en

dicho espacio de nombres, éstas zonas pueden ser de 2 clases, de búsqueda directa (Resuelve

consultas de nombres FQDN para que sean resueltas a una dirección IP) y de búsqueda inversa

(permite resolver una consulta de una dirección IP a un nombre FQDN).

2. Para crear una zona nueva, en la consola MMC sobre el nombre del Servidor DNS hacer clic

derecho y seleccionar Zona nueva.

©

.



3. A continuación un asistente nos guiará en el proceso, escoger Siguiente.

4. Seleccionar el tipo de zona (Principal, Secundaria o de rutas internas) en éste caso vamos a crear

una Zona Principal, la base de datos puede ser almacenada como un fichero o como objeto dentro

de la base de datos del Directorio activo (Sólo se activa si el servidor DNS además es un controlador

de Dominio), en éste caso aunque el servidor DNS es un DC no integraremos la información en el

Directorio Activo (Desmarcar la opción "Almacenar la zona en Active Directory".

©

.



5. El siguiente paso es seleccionar que tipo de búsqueda deseamos activar en la zona, en éste caso

seleccionamos que sea de búsqueda directa (Resolución de Nombres a IP).

6. El asistente nos pide el Nombre de la zona, éste nombre debe reflejar el espacio de nombres FQDN

en el que el Servidor DNS tendrá autoridad para responder a consultas en dicho espacio de

nombres.

7. Como la Zona no se integrará en Directorio Activo entonces debemos crear un fichero donde se

almacenará los datos de la zona (Registros de recursos), El fichero siempre tendrá como nombre la

siguiente nomenclatura EspaciodeNombres_FQDN.DNS (Los ficheros de Zona en Microsoft llevan

extensión DNS) También si la zona ya tiene información creada en un fichero existente (Fichero

©

.



Copiado desde otro Servidor DNS o por un proceso de Migración) se puede indicar el fichero en ésta

opción.

8. El último paso de la creación de la Zona es configurar las Actualizaciones Dinámicas que Permite

que el host cree información dinámicamente en la base de datos de zona con sus registros A

(Nombre e IP del host en zonas de búsqueda directa) y PTR (IP y Nombre FQDN en zonas de

búsqueda inversa), se muestran 3 opciones.

9. Actualizaciones Sólo Seguras: Si la zona se integra en Directorio Activo esta opción se activará, su

objetivo es aumentar la seguridad (Sólo están autorizados a escribir información de registros en la

zona los equipos que pertenecen al Dominio y cuya identidad es comprobada) en la creación de

registros de la zona, generalmente se usa en Zonas que resuelven un Dominio de Directorio activo.

10. La segunda opción Permite la Actualización Dinámica en la zona: Los clientes crean sus registros Ay

PTR pero sin seguridad (No se Identifican al crear los registros).

11. La tercera opción es NO permitir la actualización dinámica, lo que significa que el administrador

debe crear los registros manualmente en la zona (ésta es la opción predeterminada).

©

.



12. Al Finalizar, la zona será creada en el servidor.

13. Al crear una Zona Inversa el proceso es similar sólo que el Nombre de la zona debe llevar el

Identificador de la Red IP a la inversa y termina con in-addr.arpa.

©

.



©

.



14. El Servidor DNS de Windows 2008 soporta IPv4 e IPv6.

15. El nombre de Zona para mayor comodidad y evitar confusión el asistente permite dar el ID. de Red

de forma normal y éste crea la zona con la nomenclatura DNS necesaria.

©

.



16. Al igual que la zona de búsqueda directa se puede determinar el uso de las actualizaciones

dinámicas (en éste caso de registros PTR).

©

.



17. Al finalizar la Zona será creada.

Laboratorio 4. Configuración de Transferencias de Zona

1. Cuando un Servidor DNS almacena una Zona para un Espacio de Nombres, el servidor tiene

Autoridad en ese espacio de nombres para resolver las consultas a clientes o a otros servidores DNS,

pero si éste servidor tuviera un fallo, el espacio de nombres se quedaría sin posibilidad de resolución,

por ello es importante asignar a otros servidores también autoridad para responder a consultas en

dicho espacio de nombres dando como resultado Tolerancia a fallo o disponibilidad y balanceo de

carga.

2. Para conseguir ésta solución se debe agregar otro servidor DNS que almacene también la zona

(como Zona Secundaria) y se mantenga en constante replicación para garantizar que la base de

datos se actualice (Depende de la frecuencia de replicación las bases de datos estarán más o

menos idénticas).

3. En DNS a éste proceso se le conoce como transferencia de Zona.

4. El primer paso que debemos hacer antes de transferir la Zona Primaria de un servidor DNS es

preparar la Zona para ser replicada, en las propiedades de la zona.

©

.



5. Seleccionar la pestaña Transferencias de zona, desde aquí se puede decidir a qué otros servidores

se les permitirá copiar los datos de la zona, al permitir la transferencia de zona hay 3 opciones:

6. La primera opción es a cualquier servidor (No es una opción muy adecuada por seguridad, porque

cualquier servidor conocido o desconocido puede obtener los datos de la zona) La segunda opción

determina que los servidores a los que se les permite la transferencia son a aquellos que están

definidos en la pestaña "Servidores de Nombres" de las propiedades de la zona (Opción

predeterminada) la tercera opción define a los servidores DNS por dirección IP (Se agregan

pinchando en el botón Editar) y luego Aplicar.

7. Otro valor a definir es la Notificación (Opcional), con éste parámetro el Servidor DNS Principal

notifica a los servidores DNS Secundarios, cada vez que se producen modificaciones en la base de

datos de la zona.

©

.



8. Si no se definen las notificaciones los servidores Secundarios actualizarán la zona después de

transcurrido el intervalo de tiempo que un administrador decida.

9. La notificación hace que las actualizaciones se repliquen inmediatamente sin esperar el intervalo de

tiempo definido para la replicación.

10. Pinchar en Notificación y configurar los servidores a los que se notificará (Servidores definidos en la

pestaña Servidores de nombres de las propiedades de la zona o por dirección IP) luego dar Aceptar.

11. Otras configuraciones que se deben definir es el Intervalo de tiempo en el que los Servidores

Secundarios deben solicitar el envío de actualizaciones al servidor Principal (por defecto 15 Minutos)

los intervalos de reintento (10 minutos) y el tiempo máximo que un servidor secundario puede

responder a consultas clientes sin haber replicado del primario (1 Día).

12. El TTL mínimo es la cantidad de tiempo que una respuesta será almacenada en la caché del cliente

o de los servidores DNS cuando se resuelve un registro de dicha zona (El tiempo predeterminado

para todos los registros en la zona es de 1 hora).

13. El número de serie representa las modificaciones realizadas en la base de datos (Aumenta en 1

cada vez que lo hace) sirve como valor de referencia para los servidores DNS que reciben una

copia de la base ya que los números de serie en todos debe ser igual (las bases son idénticas).

©

.



14. Una vez Preparada la Zona Primaria para su transferencia, sobre un servidor DNS adicional se crea la

Zona Secundaria así: Se lanza el asistente para crear zonas.

©

.



15. Seleccionar Zona Secundaria.

16. El nombre de Zona debe ser igual al nombre de la zona primaria, si cambia en algún carácter, DNS

entenderá que no es el mismo espacio de nombres donde los 2 servidores DNS tendrán Autoridad.

©

.



17. A continuación pregunta por el Servidor DNS Maestro (Servidor Desde donde se copiará la base de

datos, puede ser Primario u otro secundario).

18. Al finalizar el asistente el Servidor DNS Secundario solicitará al Servidor DNS Maestro los datos de la

zona.

©

.



19. La vista de la zona en el servidor Secundario con los registros replicados, No olvidar que el servidor

DNS con una Zona Secundaria sólo puede leer la información pero no permite crear nuevos registros.

Laboratorio 5. Supervisión del DNS

1. Para supervisar un Servidor DNS podemos usar herramientas incorporadas por el mismo Servicio

2. En las propiedades del Servidor.

©

.



3. Seleccionar la pestaña Supervisión.

4. Seleccionar el tipo de prueba, consulta única o una consulta recursiva, luego pinchar en el botón

Probar ahora, el resultado será mostrado en la ventana de prueba.

©

.



5. También se puede programar para que se siga haciendo pruebas de acuerdo a un intervalo de

tiempo (Si sospecha que el servicio deja de responder en algún momento, esta supervisión podría

ayudarle a saber en qué momento se produce).

6. Por ejemplo si se detiene el Servicio DNS y volvemos hacer el test veremos el fallo.

7. Otra herramienta que ayuda a la solución de problemas es NSLOOKUP, con ella podemos conocer

información de la zona en un espacio de nombres, se trata de una herramienta que lanza consultas

al servidor DNS de distintos tipos de registro, en el ejemplo al ejecutar el comando vemos la

dirección IP del Servidor DNs al que se lanzarán las consultas (en éste caso se escoge la dirección

IPv6 ::1 que equivale en dirección IPv4 a 127.0.0.1 es decir localhost).

8. Luego se configura el tipo de registro (SOA Inicio de Autoridad) que deseamos testear.

©

.



9. Y luego preguntamos por el nombre del dominio a saber (mcitp.local y nuevazona.com).

10. Otra herramienta que podemos usar es DNSLINT pero ésta no viene incorporada en el sistema

operativo, es necesario descargarla de la web de Microsoft http://support.microsoft.com/kb/321045.

Cuando se descargue a continuación se instala.

http://support.microsoft.com/kb/321045

©

.



11. Seleccionar una carpeta y descomprimir (UNZIP).

12. Una vez descomprimida ir a la carpeta en el símbolo del sistema y ejecutar dnslint /s (IP del Servidor

DNS) /d (Dominio que queremos consultar) el comando crea un informe en html con información de

la zona consultada.

©

.



13. Para analizar estadísticas de utilización del servidor DNS la herramienta de sistema Confiabilidad y

Rendimiento nos muestra información recopilada por los contadores de rendimiento.

14. En la consola Administre el Servidor buscar el monitor de rendimiento, pinchar en el Signo + Verde.

15. Buscar el Objeto DNS y Agregar los contadores (por ejemplo agregar el contador Total Query

Received /Sec (Consultas recibidas por segundo) y Aceptar.

©

.



16. El monitor empieza a recoger información de consultas.

17. Podemos simular consultas desde las propiedades del servidor en la pestaña Supervisión y hacer

consultas Simples y recursivas múltiples veces.

©

.



18. Al volver al monitor de supervisión vemos la gráfica con alguna información de estadísticas (máximo,

mínimo y promedio).

©

.



Unidad 3. Configuración y Administración de WINS

Objetivos

Al terminar ésta unidad el alumno estará en capacidad de:

Entender que son los Nombres NetBIOS y la relación con WINS

Comprender cuales son las circunstancias en las que WINS debe mantenerse en la red.

Saber los motivos por los que WINS entrará en desuso

Establecer sistemas WINS tolerantes a fallos y distribuidos a través de la replicación WINS.

Conocer los 2 métodos de replicación por inserción y extracción y comprender en que

situaciones usar cada uno de ellos.

Implementar la Zona GlobalNames en DNS como posible solución para prescindir del Servicio

WINS cuando sea posible.

Introducción


una comunicación efectiva entre los sistemas y aplicaciones que aún hacen uso de nombres único, las

versiones anteriores de los sistemas operativos de Microsoft, y algunas aplicaciones antiguas, siguen

utilizando este tipo de resolución, al igual que usuarios de la red siguen usando los nombres únicos para

acceder a recursos tales como servidores Web internos; por lo tanto, WINS está disponible y se puede

utilizar, pero se eliminará en versiones futuras que se liberarán, al quitar WINS encontramos que ésta

funcionalidad puede ser adoptada por DNS que aprovecha las ventajas del DNS como la replicación.

Para que WINS funcione eficazmente en un entorno de Microsoft, los clientes y servidores deben tener

sus nombres registrados en el servicio WINS, puede haber casos en que la base de datos WINS tenga

entradas incorrectas produciendo problemas con la resolución de nombres NetBIOS.

Aunque WINS es dinámico, tanto para la creación y eliminación de sus registros, a veces pueden surgir

problemas con los registros, y un administrador debe tener acceso a la base de datos de forma manual

para corregir el problema.

Para administrar el WINS los administradores pueden utilizar la consola de administración de Microsoft

WINS (MMC) para ver los registros creados en la base de datos y ver información incorrecta que pueda

ser eliminada.

También una de las tareas administrativas en WINS consiste en hacer copias de seguridad de la base de

WINS periódicamente para ayudar en la recuperación de desastres cuando los datos parezcan

corruptos, esta copia de seguridad es automática y se ejecuta cada 24 horas en el servidor WINS, sin

embargo, el administrador debe especificar la ubicación donde se almacenará la copia de seguridad

de base de datos WINS.

Con el tiempo, la base de datos puede llegar a ser menos eficaz debido a un uso ineficiente del

espacio. Por lo tanto, la compactación de la base de datos WINS de forma regular es necesaria, en

función del número de clientes y su utilización.

De forma predeterminada, un servidor WINS sólo contiene información acerca de sus propios clientes,

para asegurar que la resolución de nombres NetBIOS sea eficaz se debe crear múltiples Servidores WINS

que pueden tener clientes distintos, por tanto la forma de unificar las bases de datos WINS es usando la

replicación WINS. La replicación de datos WINS garantiza que un nombre registrado con un servidor

WINS se replica en todos los servidores WINS en la red dando como resultado que un cliente WINS puede

resolver un nombre NetBIOS en la red, independientemente del servidor WINS en la que se registró el

nombre.

©

.



Para ayudar a los clientes a migrar a DNS y permitir que todos los esquemas de nombres sean resueltos,

la función del servidor DNS en Windows Server 2008 es compatible con una zona especial llamada

GlobalNames (GNZ).

GNZ está diseñado para permitir la resolución de nombres únicos globalmente usando nombres únicos

usando el DNS; GNZ está destinado a ayudar en el retiro de WINS, Sin embargo, no es un reemplazo

para WINS porque GNZ no soporta la resolución de nombres únicos de forma dinámica.

Definiciones

Generalidades Del Servicio WINS


que la comunicación sea efectiva entre los sistemas y aplicaciones que aún hacen uso de nombres

únicos, el uso de WINS reduce el tráfico de difusión NetBIOS y permiten a los clientes resolver los nombres

NetBIOS de los equipos aunque estén en distintos segmentos de red.

Hay varias razones por las que WINS sigue siendo necesario en la mayoría de las redes, como son:

Versiones anteriores de sistemas operativos de Microsoft que usan WINS preferiblemente para la

resolución de nombres.

Debido a la existencia de aplicaciones, basadas en nombres NetBIOS.

Se necesita mantener registros dinámicos de nombres únicos

Los usuarios deben usar las funciones de entorno de red o Mis sitios de red desde el Navegador.

No es posible usar la infraestructura DNS de Windows Server 2008.

La instalación del Servicio en Windows Server 2008 se realiza a través de la consola Administrador de

Servidor, previamente se recomienda que el servidor tenga direcciones IP estáticas debido a que los

clientes usarán dichas IP cuando hagan uso del servidor WINS, es importante tener en cuenta que WINS

y NETBIOS sólo se soporta sobre IPv4 y no sobre IPv6

La necesidad de utilizar el servicio WINS radica en el uso que los clientes hagan del esquema de

nombres únicos NETBIOS, como se mencionó antes, funciones incluidas en sistemas operativos Microsoft

y utilizadas durante mucho tiempo y que han sido muy populares son el uso del entorno de red y mis

sitios de red, si usted utiliza estas aplicaciones, es posible que sea necesario utilizar WINS para ayudar a

poblar las listas de recursos de red que presentan estas aplicaciones al usuario; la forma de exploración

que usan éstas funciones es a través de NetBIOS cuyo mecanismo genera y mantiene estas listas,

cuando los usuarios ejecutan estas aplicaciones les permite abrir y guardar datos a través de la red

local, o seleccione un equipo al que desea conectarse, como un servidor o estación de trabajo de una

lista de recursos de red, entonces NetBIOS debe rellenar esas listas e inherentemente deberíamos usar

WINS para ayudar a mejorar el rendimiento de la red y localizar la información más fácil.

Componentes de WINS

Servidor WINS

Equipo que procesa las solicitudes de registro de nombres e IP de los clientes, responde a las consultas

de nombres NetBIOS que los clientes realizan devolviendo la dirección IP de un nombre consultado claro

está, si el nombre figura en la base de datos del servidor.

Base de datos WINS

Almacena datos de nombres e IP registradas por los clientes.

Clientes WINS

Son ordenadores configurados para consultar un servidor WINS directamente, los clientes WINS registran

dinámicamente sus nombres NetBIOS con un servidor WINS.

©

.



Agente Proxy WINS

Es un equipo que escucha solicitudes de consulta de nombres en una subred de clientes NO WINS y las

envía directamente a un servidor WINS.

Proceso de Registro y Liberación de Nombres con WINS

El proceso de registro de nombres de un cliente WINS le hace posible al cliente solicitar la aprobación

para la utilización de un nombre NetBIOS en los servicios que el cliente pone a su disposición en la red,

esta solicitud puede ser para un nombre único (exclusiva) o para el nombre de un grupo (compartido).

La liberación del Nombre es el proceso en el que el cliente WINS solicitar una baja en el registro de

nombres NetBIOS de la base de datos WINS.

El propósito del registro de nombre de WINS es que cada cliente al iniciar debe conocer si su nombre

único no está en uso en la red ya que si existe se produciría un conflicto que impediría que sus

componentes o servicios puedan empezar a funcionar correctamente, pensemos lo que pasaría si en

una red existieran 2 equipos con el nombre Servidor1 encendidos simultáneamente, si quisiéramos

contactar a alguno de ellos usando nombre el protocolo no podría saber a cuál de los 2 no estamos

refiriendo, como ya se mencionó NetBIOS plantea un esquema de nombres únicos por tanto es

necesario garantizar que dicho nombre asignado al equipo es único en la red.

El proceso que se realiza es el siguiente:

El equipo cliente WINS envía una solicitud de registro de nombre directamente al servidor WINS y

lo transmite en la red local.

El servidor WINS busca en su base de datos para ver si el nombre existe y está activo, si el nombre

no existe o no está activo, el servidor WINS lo acepta como un nuevo registro y envía una

respuesta positiva al cliente WINS.

Si la entrada de base de datos existente y está activo y tiene una dirección IP que es diferente a

la dirección de la solicitud de registro de IP, el servidor WINS debe determinar si el nombre y la

dirección IP en la entrada de la base de datos todavía están en uso, esto se comprueba

mediante el envío por parte del servidor WINS de una consulta de nombre para el equipo cliente

que tiene la dirección IP en cuestión, si el servidor WINS recibe una respuesta positiva por parte

del nombre de la consulta la dirección IP antigua, entonces rechaza el nuevo registro mediante

el envío de una respuesta negativa al registro de nombres para el cliente que originalmente

solicitó el registro del nombre.

Si la dirección antigua no responde a la solicitud de consulta de nombre, el servidor asume que no hay

equipo con ese nombre y la dirección IP y acepta el registro de nombre de nuevo.

Renovación de Nombre

Debido a que los registros de nombres WINS son temporales, los clientes deben renovar sus registros

periódicamente, cuando un equipo cliente se registra por primera vez con un servidor WINS, el servidor

WINS devuelve un mensaje con un período de vida (TTL) que indica cuando el registro del cliente

caduca o necesita ser renovado.

Si la renovación no se produce en ese momento, el registro del nombre se caduca y finalmente la

entrada de nombre se elimina de la base de datos WINS, las entradas estática WINS no caducan y por

tanto no necesitan ser renovados en la base de datos del servidor WINS.

El intervalo de tiempo por defecto para la renovación es de seis días, el cliente intentará renovar sus

registros cuando haya transcurrido el 50% del valor del TTL, Si el servidor WINS no renueva el nombre, el

cliente WINS lo intenta renovar de nuevo cada 10 minutos durante 1 hora si pasada la hora no consigue

renovar entonces lo intentará con un Servidor WINS Secundario.

©

.



Proceso de Liberación de Nombre

Este proceso elimina los nombres registrados de la base de datos WINS cuando el cliente WINS se apaga

o cuando uno de sus servicios se detiene, cuando un nombre es liberado queda disponible para que

sea registrado por otro equipo.

Si el servidor WINS encuentra el nombre en la base de datos, y si la dirección IP del ordenador que

solicita la liberación de nombre coincide con la dirección IP registrada en la base de datos, el nombre

se marca como liberado, a continuación el servidor WINS devuelve un mensaje de confirmación de

liberación al cliente WINS.

Si la dirección IP del cliente que solicita la liberación de nombre no coincide con la dirección IP que está

registrada en la base de datos, el servidor WINS envía una respuesta negativa al cliente.

Si un equipo cliente cierra mal y si, como resultado, el registro del nombre no se libera, el nombre

permanecerá en la base de datos hasta que expire y el proceso de depuración lo elimine o hasta que

el administrador lo elimine manualmente.

El comando nbtstat puede obligar a un cliente liberar y renovar sus registros de nombres con un servidor

WINS escribiendo en el símbolo del sistema nbtstat –RR, El modificador RR debe ser en mayúsculas.

Manejo de Ráfagas

Es la opción que permite a un servidor WINS controlar un número elevado de peticiones simultáneas de

registro de nombres, haciendo que el servidor WINS responda al cliente de manera positiva e inmediata

a los clientes WINS sin llegar a aceptar la solicitud de registro de nombres.

El control de ráfagas se inicia cada vez que el número de solicitudes de registro de un cliente WINS

sobrepasa el límite establecido en la cola de ráfagas establecido en el servidor WINS, si el umbral de

cola de ráfaga es superado, el servidor WINS responde a las solicitudes adicionales de cliente de

inmediato con una respuesta positiva pero con un intervalo de renovación muy breve (cinco minutos

por defecto), que ayuda a regular la carga que supone el proceso de registro de clientes y le permite

distribuir el procesamiento de las solicitudes en el tiempo.

Como el tiempo de refresco es reducido hace que el cliente este obligado a renovar su registro en

poco tiempo, momento en que el servidor WINS puede ser capaz de manejar correctamente la solicitud

y escriba la información en su base de datos.

El umbral del manejo de ráfagas es un parámetro configurable. El umbral se puede ajustar a la baja

(300), mediano (500), alta (1.000), o un valor personalizado (50 a 5.000).

Nota: Cada cliente WINS puede registrar múltiples nombres NetBIOS únicos (1 por cada servicio por

ejemplo mensajero, estación de trabajo y servidor). Por lo tanto, si 400 clientes WINS registran

simultáneamente después de un corte de luz, entonces las solicitudes de registros podrían llegar a ser

1.200 en una sola ráfaga, es recomendable configurar el valor de control de ráfagas de acuerdo a su

entorno de red.

Proceso de Resolución de Nombres con WINS:

Para que los clientes puedan a empezar a usar el servidor WINS es necesario configurarlos con la

dirección IP del servidor WINS, esto se puede hacer manualmente utilizando las propiedades del

protocolo TCP/IP o de forma dinámica a través de un servidor DHCP.

Es posible configurar los clientes WINS con una lista de varios servidores WINS pero el cliente usará sólo el

servidor WINS que esté en primer lugar en la lista de Servidores WINS del protocolo TCP/IP, si el primer

servidor WINS no responde después de 3 intentos, entonces los clientes WINS contactarán los demás

servidores WINS hasta que reciba una respuesta o se agote la lista de servidores WINS que puede usar.

Si un servidor WINS resuelve el nombre NetBIOS, la dirección IP se devuelve al cliente, después de que el

cliente recibe la respuesta, el cliente utiliza esta dirección para establecer una conexión con el recurso

deseado; si ningún servidor WINS resuelve el nombre NetBIOS, el proceso continúa en el cliente según el

©

.



tipo de nodo que use, habitualmente suele ser un nodo H lo cual intentará resolver el nombre usando

una Difusión o comprobando el fichero LMHOSTS.

Tipos de Nodos NetBIOS

Un tipo de nodo NetBIOS es un ajuste configurable que determina el método que utiliza un equipo para

resolver un nombre NetBIOS a una dirección IP, el tipo de nodo NetBIOS permite a un administrador

controlar los métodos de resolución de nombres NetBIOS que los clientes pueden implementar y el

orden en que van a utilizar esos métodos.

Los tipos de Nodos son:

Nodo-B (Difusión): el cliente sólo usa las difusiones NetBIOS para el registro y resolución de

nombres, el problema es que en una red grande, las difusiones aumentan la carga de red, y los

dispositivos de enrutamiento no dejan que las difusiones sean transmitidas a otras redes, por lo

que sólo los ordenadores en la red local puede responder a dichas solicitudes de difusión.

Nodo-P (punto a punto): Los clientes utilizan un servidor WINS para resolver nombres NetBIOS,

requiere que configure todos los equipos con la dirección IP de un servidor WINS, por tanto los

equipos pueden resolver los nombres NetBIOS a través de enrutadores, pero si el servidor de

nombres NetBIOS no funciona, los ordenadores no podrán resolver los nombres NetBIOS, los

nodos-P reduce el tráfico de difusión en una red.

Nodo-M (mixto): Este tipo de nodo combina Nodo-B y Nodo-P, los clientes intentarán resolver los

nombres primero por difusión pero si la difusión no resuelve el nombre correctamente, el cliente

deberá contactar con un servidor WINS para resolver el nombre, ésta solución puede ser

implementada en organizaciones con sucursales que no tengan servidores WINS localmente. Al

utilizar el tipo de nodo M, los clientes primero tratarán de resolver los nombres de los equipos

locales usando difusiones y usarán WINS para resolver los nombres de los equipos remotos.

Nodo-H (híbrido): Este tipo de nodo combina Nodo-P y Nodo-B, los clientes intentarán resolver los

nombres NetBIOS mediante el uso de un servidor WINS primero y si el servidor WINS no resuelve el

nombre, el cliente intentará resolver el nombre utilizando una difusión de NetBIOS.

Todos los sistemas operativos desde Windows 2000 en adelante son por defecto Nodo-B pero si se

configura la dirección IP de un servidor WINS entonces asume el método de resolución Nodo-H, sin

embargo el tipo de nodo puede ser configurado usando DHCP o manualmente agregando el valor

REG_DWORD denominado NodeType en el Registro bajo la clave

HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters los valores válidos son 1 para Nodo-B, 2

para Nodo-P, 4 para Nodo-M y 8 para Nodo-H.

Para saber el tipo de nodo que usa el ordenador se debe ejecutar ipconfig /all en el símbolo del

sistema.

Administración del Servidor WINS

Para que WINS funcione eficazmente en un entorno de Microsoft, los clientes y servidores deben tener

sus nombres registrados en el servicio WINS, puede haber casos en los que entradas incorrectas en la

base de datos del servidor WINS creen problemas con la resolución de nombres NetBIOS.

Registros de Clientes

La base de datos WINS se compone de registros de clientes, un registro de cliente contiene información

detallada de cada servicio dependiente de NetBIOS que se ejecuta en un cliente WINS.

La información en la base de datos es mostrada en forma organizada de acuerdo a la siguiente

información:

Nombre Registrado

Es el nombre NetBIOS registrado, que puede ser un nombre único o puede representar un grupo, un

grupo de Internet o un equipo multitarjeta.

Tipo

©

.



Es el nombre del servicio que usa NetBIOS acompañado por un identificador de tipo hexadecimal.

Dirección IP

La dirección IP que corresponde al nombre NetBIOS registrados que aloja el servicio NetBIOS.

Estado

Es el estado del registro en la base de datos, puede ser activo, liberado o desechado (marcado para

eliminación de bases de datos).

Estática

Indica si la entrada de registro es estática (creada por un administrador manualmente).

Propietario

Identifica el servidor WINS donde se crea la entrada de registro, debido a la replicación, los registros

pueden haber sido creados en otros servidores WINS y agregados a la base de datos.

Versión

Un número hexadecimal único que el servidor WINS asigna durante el registro del nombre, se utiliza en el

proceso de replicación de extracción ya que sirve al Partner de réplica para encontrar nuevos registros.

Caducidad

El límite máximo de tiempo que un registro se mantiene en la base de datos.

Eliminación de Registros Automática

Es el proceso de supresión y eliminación de registros obsoletos en la base de WINS incluyendo los

registros replicados desde otros servidores WINS, se encarga de mantener la base de datos con

información correcta mediante el examen de cada registro en el servidor propietario WINS,

comparando las marcas de tiempo del registro con la hora actual, luego cambia el estado de los

registros que han caducado (pasar de Activo a liberado).

El proceso de compactación se produce de forma automática según intervalos definidos y que

guardan una relación entre la configuración de los intervalos de renovación y la extinción, en las

propiedades del servidor podemos encontrar los siguientes parámetros de intervalos:

Renovación

Frecuencia con la que un cliente WINS renueva su registro de nombre con el servidor WINS, el valor por

defecto es de seis días.

Extinción

Es el intervalo desde el momento que se crea el registro en la base de datos y el momento que se

marca como extinguido, el valor por defecto es de cuatro días.

Tiempo de espera de Extinción

Es un intervalo entre el momento en que una entrada se marca como extinguida y el momento que la

entrada es retirada de la base de datos WINS. El valor predeterminado es el mismo que el intervalo de

renovación y no puede ser inferior a 24 horas.

Verificación

Es el tiempo tras el cual el servidor WINS verificará que los nombres que se replican desde otros servidores

WINS siguen en activo, el valor mínimo es de 24 días.

Eliminación de Registros

Puede recuperar espacio no utilizado por la eliminación de registros obsoletos en la base de datos WINS

para ello desde la consola MMC de WINS al realizar la eliminación de un registro se muestran las

siguientes 2 opciones:

©

.



Eliminación Simple

Se elimina el registro de la base de datos de un sólo servidor.

Eliminación desechados

Es la eliminación de los registros que están marcados para su eliminación (desechados) de la base de

datos WINS sólo después de que se han replicado en las bases de datos de los servidores WINS.

Copia de Seguridad y Restauración de la Base de datos

WINS

Si no se puede reparar el daño de la base de datos después de un fallo del sistema, ataque de virus,

falta de energía eléctrica, u otro desastre, puede restaurar la base de datos desde una copia de

seguridad.

La consola de administración WINS proporciona las herramientas de copia de seguridad de la base de

datos WINS, se debe especificar un directorio de copia de seguridad de la base de datos y WINS

realizará copias de seguridad de base de datos completa cada 24 horas de forma predeterminada.

Por otro lado un administrador también puede realizar una copia de seguridad o restauración

manualmente a través de la consola MMC.

Si se detecta la necesidad de restaurar la base de datos se debe realizar el siguiente proceso:

Detener el servicio WINS

Eliminar la base de datos WINS existente en la carpeta Windows\System32\Wins\Wins.mdb en el

Servidor WINS.

Restaurar la base de datos WINS usando la consola MMC o replique la información desde otro

servidor WINS si existe.

Compactación de la base de datos WINS:

Recuperar espacio no utilizado en una base de datos WINS ayuda a mantener un buen rendimiento, a

medida que se eliminen registros obsoletos, el tamaño de la base de datos WINS se mantendrá igual

aunque realmente el tamaño interno de la base sea menor, el servidor no es capaz de recuperar el

espacio de forma automática (reducir el fichero de la base), la compactación de la base de datos

WINS permite recuperar espacio en disco reduciendo el tamaño del fichero de la base a lo que

realmente ocupan sus datos internamente.

El servicio WINS puede realizar una compactación dinámica mientras este en línea como un proceso en

segundo plano evitando así la necesidad de hacer la compactación fuera de línea (El servicio WINS

debe estar detenido), sin embargo la compactación dinámica no recupera espacio en disco de la

base de datos de WINS mientras que la compactación fuera de línea si lo hace y por ello se

recomienda que se haga con alguna frecuencia. (Redes con 1000 o más clientes por lo menos 1 vez al

mes).

La compactación fuera de línea se realiza usando una utilidad llamada Jetpack.exe así:

Detener el servicio WINS

En el símbolo del sistema, ir a la carpeta %systemroot%»System32»Wins y luego ejecutar el

siguiente comando: Jetpack.exe Wins.mdb temp.mdb

Iniciar el servicio WINS.

©

.



Configuración de la Replicación WINS

De forma predeterminada, un servidor WINS sólo contiene información acerca de sus propios clientes

pero para asegurar en forma eficaz la resolución de nombres NetBIOS es necesario construir un entorno

con múltiples servidores WINS, cada servidor WINS tiene que contener todos los registros de los clientes,

independientemente del servidor WINS que los registró.

La replicación WINS es el proceso que se produce entre dos servidores WINS para mantener la

información consistente a través de múltiples servidores WINS, La replicación de datos WINS garantiza

que un nombre registrado con un servidor WINS se replique en todos los servidores WINS de la red,

Como resultado, un cliente WINS puede resolver un nombre NetBIOS en la red, independientemente del

servidor WINS en la que se registró el nombre.

La replicación WINS puede usar distintas formas de la siguiente manera:

Replicación por Inserción

Es el proceso de copiar los datos actualizados de WINS de un servidor WINS a otros servidores WINS

siempre que llegue a un umbral determinado de cambios; se debe configurar un asociado de

replicación como asociado de Inserción si los enlaces de comunicación que interconecta los servidores

son rápidos, fiables y permanentes.

La replicación de inserción mantiene un alto nivel de sincronización, aunque el tráfico de replicación

generalmente aumenta como resultado, por lo tanto ésta forma de replicación como se produce

siempre que el umbral de cambios se alcanza, independientemente de la actividad de red actual

puede causar que la red WAN sea utilizada en momentos de pico no deseados.

Replicación de Extracción

Es el proceso de copia de actualización de datos WINS desde un servidor WINS a otro servidor WINS en

un intervalo de tiempo específico configurable. El asociado de replicación por extracción se debe

utilizar cuando se usen vínculos lentos entre los servidores WINS, esta forma de replicación limita la

frecuencia de tráfico de replicación a través del vínculo. Por ejemplo, puede programar la replicación

se produzca en horas no pico para evitar la replicación en los períodos de tiempo con mucho tráfico.

Es importante tener en cuenta en este modelo de replicación que una frecuencia de replicación lenta

hace que las bases de datos WINS estén cada vez menos sincronizada produciendo que algunos

intentos de resolución de nombres puedan fallar.

Replicación Inserción Extracción: la replicación entre los servidores WINS se efectúa de acuerdo a las 2

circunstancias mencionadas anteriormente (por cantidad de modificaciones en la base de datos y por

intervalos de tiempos definidos).

Si se usa ésta manera de replicación se asegura que la base de datos WINS mantiene sincronizado con

independencia de cómo se producen múltiples cambios, en efecto, la replicación se produce cuando

el umbral de cambios llegue, o cuando el período de tiempo máximo se supere.

Esta es la opción de configuración de asociados de replicación WINS por defecto, ésta configuración es

el método más simple y más efectivo de asegurar que las bases de datos en estos servidores son casi

idénticas en un momento dado.

Comprobación de Consistencia de la Base de datos WINS

La comprobación de la coherencia de base de datos WINS ayuda a mantener la integridad de la base

de datos entre los servidores WINS en una red grande.

Cuando se inicia la comprobación de coherencia en la consola WINS, los registros se verifican en

función de cada propietario indicado en la base de datos actual del servidor, incluyendo los otros

servidores WINS asociados de replicación indirectos (configurados no directamente).

©

.



El servidor WINS compara todas sus entradas con las entradas en los servidores WINS para comprobar

que su base de datos contiene las entradas correctas, todos los registros extraídos de bases de datos

remotas se comparan con los registros de la base de datos local mediante el uso de los controles de

coherencia siguientes:

Si el registro en la base de datos local es idéntico al registro extraído de la base de datos propietario, se

actualizan las marcas de tiempo de los registros desde la base de datos del WINS propietario.

Si el registro en la base de datos local tiene una versión inferior de identificación que el registro extraído

de la base de datos del WINS propietario, entonces el registro se replica hacia la base de datos local y

el registro con la versión más baja se marca para su eliminación.

Es posible configurar el servidor WINS para comprobar la coherencia de base de datos de forma

automática a una hora predeterminada, o puede invocar el proceso manualmente.

Migración desde WINS a DNS

Hoy en día, numerosos clientes de Microsoft implementan WINS en su entorno como servicio de

resolución de nombres alternativo al DNS, es un servicio que utiliza NetBIOS sobre TCP/IP (NetBT), WINS y

NetBT no son compatibles con protocolos IPv6, entonces para ayudar a los clientes a migrar hacia DNS

como servicio de resolución de nombres, la función del servidor DNS en Windows Server 2008 es

compatible con una zona especial llamada GlobalNames (GNZ) diseñada para permitir la resolución

nombres únicos globales.

GNZ se plantea como una solución para ayudar en el retiro de WINS sin embargo no se considera como

un reemplazo del servicio WINS porque la zona GNZ no está destinada a soportar la resolución de

nombres únicos en forma dinámica como se registran en WINS sin intervención de un administrador

Resolución de Nombres para un Nombre único:

De forma predeterminada, los clientes DNS agregan sufijos que obtienen de varias fuentes para resolver

un nombre único, los sufijos son utilizados en el siguiente orden:

El sufijo DNS principal: equivale al dominio al que el equipo cliente está unido.

Una Directiva de Grupo (GPO) configura una lista de sufijos de búsqueda (La búsqueda de sufijos

se detiene aquí).

Si no hay una directiva de grupo: El equipo utiliza los sufijos de búsquedas configurados en las

propiedades DNS específicas de la conexión para cada adaptador o si en Windows Vista IPv6

puede usar servidores DHCPv6, y existe una lista de sufijos de búsqueda configurada para un

adaptador, los sufijos en la lista se añaden en orden.

Si el nombre no se puede resolver con DNS mediante el uso de distintos sufijos, la consulta pasa a WINS

(Se debe tener en cuenta que debido a la naturaleza jerárquica de los nombres de dominio, no hay

garantía de que un nombre sea único a través de múltiples dominios y/o bosques, a pesar que un

nombre sea único en un dominio dado, hay un límite de tiempo de 12 segundos de espera para la

consulta, independientemente de cómo muchos sufijos están configuradas para un cliente DNS, el

tiempo de espera hará que la consulta sea enviada a WINS, si está disponible).

Zona GlobalNames

La Zona GlobalNames no es un tipo de zona nueva, pero su nombre reservado lo distingue, el nombre

GlobalNames indica al servicio Servidor DNS que se ejecuta en Windows Server 2008 que la zona se va a

utilizar para la resolución de un solo nombre.

Para implementar ésta zona se recomienda el uso de servicios de Zonas integradas en Directorio Activo

(AD DS) que se distribuye a nivel global, puede contener registros DNS para asignar un nombre único a

un nombre de dominio completo (FQDN) utilizando un registro de recursos de nombre canónico

(CNAME) el DNS permite entonces el uso del FQDN para resolver el nombre a una dirección IP.

El proceso de resolución de la zona GlobalNames es el siguiente:

©

.



Un usuario escribe en http://servidor1 en la barra de direcciones del navegador en un equipo

que está unido al dominio soporte.mcitp.com.

El navegador llama al getaddrinfo () para resolver el nombre Servidor1

Getaddrinfo () invoca el cliente DNS para resolver el nombre.

El cliente DNS envía las consultas siguientes: (basado en la lista de sufijos de búsqueda):

Servidor1.soporte.mcitp.com (error)

Servidor1.test.mcitp.com (error)

Servidor1.desarrollo.mcitp.com (error)

Si las consultas FQDN fallan, el servidor DNS busca en la zona de GlobalNames, si está

configurada, y trata de resolver el nombre único.

En forma predeterminada las consultas enviadas al servidor DNS las intentará resolver primero con los

ficheros de Zona DNS en los espacios de nombre y luego pasará a la Zona Globalnames, pero éste

comportamiento se puede cambiar para que primero revise la zona GNZ y luego los ficheros de Zona

FQDN, para hacerlo se debe lanzar el siguiente comando desde el símbolo del sistema:

Dnscmd <servidor> /Config /GlobalNamesQueryOrder (0 ó 1)

0 especifica que GNZ se consulta primero, y 1 primero los ficheros de zona FQDN.

La zona GlobalNames sólo puede ser creada en Servidores DNS Windows 2008.

Requisitos Para Implementar GNZ

Para implementar la Zona Globalnames se debe realizar de la siguiente manera:

El Servidor DNS debe ser un Servidor Windows 2008

Crear una nueva Zona llamada GlobalNames integrada en Directorio Activo (El servidor debe ser

DNS DC) y configurar el ámbito de replicación para que sea en Todos los Servidores DNS del

bosque.

Crear registros CNAME en la zona GlobalNames que tengan un nombre único y que apunten a

los registros de host A (FQDN) existentes en los múltiples ficheros de zonas DNS del servidor.

Desactivar las Actualizaciones dinámicas en la zona GlobalNames (Los clientes no registran

dinámicamente sus nombres en ésta zona).

Activar el Soporte de la Zona GlobalNames en todos los servidores DNS que contengan la Zona

GNZ, para hacerlo se debe lanzar el siguiente comando desde el símbolo del sistema:

DNScmd /config /EnableGlobalNamesSupport 1

Resumen:

Es importante entender que los nombres NetBIOS únicos usados por años en las redes Microsoft no

permiten escalabilidad mientras que el modelo de nombres de dominio o nombres completos FQDN si lo

ofrece, es por ello que se sugiere la supresión de los nombres únicos pero también es importante decir

que usar nombres únicos es más cómodo que los nombres completos (Las consultas DNS deben ser

completas, no por nombres únicos) por ésta razón resolver múltiples nombres FQDN requiere soluciones

como Reenviadores condicionales o zonas de rutas internas, además hay que configurar a los clientes

DNS con múltiples sufijos de búsquedas para que sean capaces de consultar nombres únicos de hosts

que pertenecen a distintos espacios de nombres.

Por todas estas razones WINS sigue siendo un servicio utilizado ya que resuelve los nombres

independientemente a que espacio de nombres pertenece el host por qué no lo usa.

Otra ventaja que aporta WINS es que es un servicio que activa el registro dinámico en la base de datos

WINS, creando la información en forma rápida, sin carga administrativa.

La zona GlobalNames será una posibilidad de eliminación del WINS ya que aporta características que

no son posibles en el modo de funcionamiento normal de DNS como es permitir la resolución de

nombres únicos sin que el cliente tenga un sufijo de búsqueda DNS definido.

©

.



GNZ (GlobalNames Zone) necesita que el administrador genere entradas de registro DNS de tipo

CNAME que estén asociados a los nombres de host que tengan registros A en las zonas DNS en un

espacio de nombres. Esto supone una carga administrativa que con WINS al ser dinámico no se tiene.

En resumen debemos evaluar varias situaciones, y preguntarnos ¿se deben mantener los nombres

NetBIOS activos por alguna razón especial? ¿Si los nombres NetBIOS no son necesarios en que

situaciones necesita una organización resolver nombres únicos de dominio? ¿Cuántos espacios de

nombres se tienen en la organización? ¿Es posible agregar Sufijos de búsqueda a los clientes? ¿Es

posible usar DNS para resolver nombres únicos con la zona GlobalNames (requiere que los servidores

DNS sean Windows 2008)?

Recuerde: WINS debe ser substituido por DNS porque en versiones futuras no será incluido, sin embargo si necesita

registros dinámicos de nombres únicos la zona GlobalNames no es la mejor opción

Establecer una replicación WINS depende de la calidad de los enlaces de comunicación que

interconecte los servidores WINS, si es muy baja se sugiere usar Replicación por Extracción, si son rápidos

se puede usar replicación por

Inserción y si se desea que las bases sean lo más idénticas posibles se sugiere replicación Inserción y

Extracción simultáneamente.

Configurar los clientes con múltiples servidores WINs para mejorar la disponibilidad del servicio.

Ver Vídeo: Wins, en el Módulo 7. Unidad 3. Configuración y Administración de

WINS, en la plataforma e-learning.

Laboratorios

Laboratorio 1. Instalación y configuración de WINS

1. WINS es un servicio que se encuentra en Windows 2008 como una característica no como una

función por tanto para instalar usamos la consola Administre el Servidor y luego en características

buscar Servidor WINS.

©

.



2. Una vez instalado en las herramientas administrativas encontramos WINS para acceder a la

herramienta de administración.

3. Para instalar el WINS en Windows 2008 con instalación Server Core ejecutamos en el símbolo del

sistema ocsetup WINS-SC.

4. Desde la consola WINS en un servidor remoto podemos agregar el Server Core para administrarlo.

©

.



5. Ahora podemos ver los 2 servidores instalados.

©

.



6. En las propiedades del servidor es posible configurar el Control de ráfagas.

7. El valor seleccionado determinará la cantidad de solicitudes de registro que el Servidor WINS

aceptará en un instante sin que el cliente deba volverse a registrar en el ejemplo usamos un valor

personalizado de 1500 solicitudes.

©

.



8. Para configurar un cliente WINS debemos cambiar la configuración en las propiedades TCP/IP de las

adaptadoras de red, luego en Opciones Avanzadas, pestaña WINS.

9. Configurar el Server Core como cliente WINS.

©

.



10. Para ver las bases de datos del Servidor WINS, en la consola sobre el nodo Registros Activos hacer

clic derecho y seleccionar Mostrar Registros.

11. Se abre una nueva ventana que permite filtrar la información para buscar en la base según criterios

(por nombre, IP, por servidor WINS (Propietario) por tipo de servicio NETBIOS (Códigos hexadecimales

NetBIOS asociados a los servicios).

©

.



12. Si queremos ver toda la información de la base pinchar en BUSCAR.

13. Como vemos todos los registros son Dinámicos (creados por los equipos automáticamente) sin

embargo podemos agregar entradas estáticas con información de clientes no WINS, sobre el Nodo

Registros Activos hacer clic derecho y seleccionar Asignación estática nueva.

14. Rellenamos los datos y aceptar.

©

.



15. En la base de datos veremos que la entrada estática crea 3 registros de nombre de máquina con los

servicios estación de trabajo, Mensajero y servidor de ficheros, como se ve en la columna

caducidad los registros estáticos no tienen una fecha de vencimiento por tanto garantiza que no

serán eliminados a menos que un administrador lo haga manualmente.

16. Cuando un registro en la base de datos alcanza una fecha de caducidad, entonces el registro se

considera obsoleto, WINS limpia los registros obsoletos en forma automática (Intervalo de tiempo de

espera de Extinción) para conocer dichos intervalos. En las propiedades del Servidor, pestaña

intervalos vemos que por defecto los tiempos son de 40 minutos, si pinchamos en Restaurar

predeterminados entonces se establecen los valores más comunes en WINS.

©

.



Laboratorio 2. Replicación WINS

1. Para garantizar que el Servicio WINS sea Tolerante a fallo, tenga disponibilidad y balanceo de carga

es posible instalar múltiples servidores WINS en una empresa y luego mantener sincronizadas sus

bases de datos. En éste ejemplo hemos instalado 2 servidores WINS y cada uno de ellos posee

información distinta en sus bases de datos, para unificar las bases y mantenerlas en sincronización

debemos agregar a cada Servidor WINS como Asociado de réplica de tipo Inserción (La base se

replica cuando alcance el número de modificaciones configuradas, recomendada para enlaces

rápidos) o de Tipo extracción (La réplica se produce al alcanzar u tiempo definido se recomienda

para enlaces lentos) o las 2 formas de replicar con el mismo asociado Inserción / Extracción.

En la consola de administración WINS en el nodo asociados de replicación hacer clic derecho y luego

seleccionar la opción Nuevo asociado de replicación.

2. Escribimos la dirección IP o el nombre del servidor WINS con el que se hará la replicación y aceptar.

©

.



3. El Servidor es agregado como Asociado por Inserción / Extracción en forma predeterminada, pero

esto se puede cambiar o definir los umbrales específicos para que se produzca la réplica. Hacer clic

derecho sobre el asociado de replicación y luego Propiedades

4. En las opciones avanzadas podemos ver los parámetros y modificar.

©

.



5. Los asociados de replicación siempre se configuran para replicar la base en un solo sentido, en éste

caso el Servidor DC2008 replicará información del servidor core2008 pero no al contrario, por tanto

se debe configurar ahora en el servidor core2008 a dc2008 como asociado de replicación y

entonces la comunicación y la sincronización será en doble sentido.

6. Para comprobar si la réplica ha tenido lugar en cualquiera de los 2 servidores en el nodo de Registros

Activos mostramos la base de datos, en la columna Propietario podemos ver las direcciones IP de los

2 servidores y la base con toda la información de registros de las 2 bases de datos, sino aparece aún

podemos forzar la replicación, haciendo clic derecho sobre el asociado de réplica e Iniciar las

réplicas necesarias.

©

.



7. Volvemos a consultar la base de datos, observar la columna propietarios (se puede saber cuáles son

los registros replicados desde otros servidores).

Laboratorio 3. Migración WINS a DNS

1. Debido a que WINS no será soportado en versiones futuras debemos soportar la resolución de

nombres en DNS pero como ya se vio, DNS presenta una estructura de nombres jerárquicos (FQDN) y

seguramente en las empresas se requiera seguir trabajando con nombres únicos cuya resolución se

encarga WINS.

2. En DNS de Windows 2008 es posible configurar la zona GlobalNames como una posible alternativa

para eliminar WINS de la infraestructura de red y basar toda la resolución en DNS.

3. En el Servidor DNS crear una zona de búsqueda directa con nombre GlobalNames

©

.



4. Se recomienda que la zona se integre en el Directorio Activo para mejorar aspectos de replicación y

modificación en cualquier servidor DNS

5. Al integrar la zona en el dominio debemos establecer el alcance de la replicación de la zona es

recomendable que sea replicada a todos los servidores DNS del bosque.

©

.



6. En nombre escribir GlobalNames

7. Las actualizaciones dinámicas no son permitidas para ésta zona, por tanto la función de un

administrador es generar los registros CNAME (alias) de los nombres FQDN de los hosts que hagan

parte de cualquier Espacio de nombres.

©

.



8. Al finalizar la zona será creada

9. Sólo los registros SOA y NS se muestran.

10. Para Activar el uso de la Zona GlobalNames usar el comando DNSCMD /config

/enableglobalnamessupport 1

©

.



11. Ahora debemos crear registros CNAME de los hosts FQDN a resolver:

En la zona hacer clic derecho y Alias nuevo (CNAME).

12. En el ejemplo creamos un alias WEB1 del servidor CORE2008.MCITP.LOCAL.

©

.



13. El registro se verá en la Zona GlobalNames

14. Ahora probamos si haciendo uso de un nombre único responde usando el Servidor DNS.

©

.



Unidad 4. Configuración y Solución de problemas DHCP

Objetivos

Al finalizar ésta Unidad el alumno estará en capacidad de:

Entender el proceso de instalación del servicio DHCP dentro de la nueva herramienta de

administrar el servidor

Comprender lo que implica la autorización de los servidores DHCP

Crear los distintos tipos de ámbitos necesarios para configurar los clientes en forma dinámica

Reconocer las necesidades de tener un sistema tolerante a fallo y que evite interrupciones en el

funcionamiento de la red, aplicando la regla 80/20

Solucionar problemas de rendimiento en los servidores DHCP usando herramientas incorporadas

Analizar los distintos aspectos de seguridad que involucran las concesiones de direccionamiento

IP en una red.

Introducción

DHCP juega un papel importante en la infraestructura de red de Windows 2008 ya que es el principal

medio para la distribución y configuración del protocolo TCP/IP en una red, este servicio incluye

aspectos importantes para muchos otros servicios tales como WDS (Servicio de Despliegue de Windows)

y NAP (Protección de Acceso a Redes).

DHCP es un servicio que utiliza una base de datos local donde almacena todos los aspectos de

configuración de direccionamiento IP junto a otras opciones, debemos entonces intentar mantener esta

base de datos libre de error protegida y con posibilidades de buscar tolerancias a fallos asignando otras

bases de datos en nuevos servidores DHCP. Desde el punto de vista administrativo cuando un servidor

DHCP falla representa un nivel muy alto de interrupciones dentro una organización.

Las tareas administrativas que se tienen que desarrollar cuando instalamos un servicio DHCP comienzan

desde la toma de las copias de seguridad, restauraciones cuando sean necesarias, identificación de

problemas por asignación de configuraciones equivocadas, vigilar el correcto rendimiento y

funcionamiento de este servicio.

Definiciones

Generalidades de la Función Servidor DHCP

El protocolo DHCP simplifica la configuración de IP de los clientes de un entorno de red, sin la utilización

de DHCP cada vez que se agrega un cliente a una red se debe configurar con información sobre la red

en la que se está instalando, incluyendo la dirección IP, la máscara de la red y la puerta de enlace

predeterminada para el acceso a otros redes manualmente, ahora, cuando se necesita para controlar

muchos ordenadores en una red, éste proceso requerirá mucho tiempo provocando demasiada carga

a los administradores.

Con la función de servidor DHCP, se asegura que todos los clientes tienen la misma información de

configuración, se elimina el error humano durante la configuración, si hay cambios en la información de

configuración de la red se puede actualizar utilizando la función de servidor DHCP sin tener que

cambiar la información directamente en cada equipo.

DHCP también es un servicio importante para los usuarios móviles que suelen cambiar de redes porque

de ésta manera se autoconfiguran rápidamente evitando que un administrador tenga que dar

©

.



información compleja de configuración de red a usuarios no técnicos, y a su vez los usuarios no tienen

por qué saber configuraciones de redes.

Características de DHCP en Windows Server 2008:

Soporte para IPv6

La configuración con estado y sin estado DHCPv6 es compatible con la configuración de los clientes en

un entorno IPv6, configuración con estado se produce cuando el servidor DHCPv6 asigna la dirección IP

al cliente, junto con otros datos DHCP; Configuración sin estado se produce cuando la dirección IPv6 es

auto asignada por el cliente y el servidor DHCPv6 sólo asigna los datos de DHCP.

Network Access Protection (NAP)

Con DHCP ayuda a aislar los equipos potencialmente inseguros (No cumplen con las expectativas de

seguridad deseada en una organización) de la red corporativa, NAP es parte de un conjunto de

herramientas nuevas que controla el acceso a recursos de red; DHCP NAP permite a los administradores

asegurar que los clientes DHCP cumplen con las políticas de seguridad interna.

Puede instalar DHCP como una función en Windows Server 2008 con instalación Server Core, la

administración del servidor DHCP Core, puede hacerse a través de interfaz de línea de comandos o

usando una consola DHCP instalada desde otros servidor.

Asignación de Direcciones IP con DHCP

DHCP asigna direcciones IP en forma dinámica, a esto se le conoce como concesión, al cual un

administrador puede definir un límite de tiempo para que el equipo cliente mantenga dicha concesión,

por defecto él tiempo de la concesión es 8 horas.

DHCP utiliza difusiones IP para iniciar las comunicaciones, por lo tanto, los servidores DHCP están

limitados sólo a una comunicación dentro de su subred IP, esto significa que en muchas redes, hay un

servidor DHCP para cada subred IP, en consecuencia si hay un gran número de subredes, puede ser

muy costoso implementar servidores para cada subred, un único servidor DHCP puede dar servicio a

múltiples subredes pequeñas pero para que el servidor DHCP responda a las solicitudes de los clientes,

DHCP debe ser capaz de recibir las peticiones lo cual puede ser posible configurando un agente de

retransmisión DHCP.

El agente de retransmisión DHCP (instalado en la subred de los clientes que requieren direcciones IP)

permite que los paquetes DHCP de difusión sean enviados a otra subred IP a través de un router. Otra

alternativa es retransmitir paquetes DHCP en otras subredes utilizando un router que es compatible con

RFC 1531.

Proceso de la Concesión DHCP

El proceso de generación de la concesión del protocolo DHCP incluye cuatro pasos que permiten a un

cliente obtener una dirección IP:

El cliente crea un paquete de difusión DHCP llamado paquete DHCPDISCOVER, éste paquete se

transmite a todos los equipos de la subred, el único equipo que responde es el equipo que tiene

la función de servidor DHCP o un agente de servidor DHCP que reenviará el mensaje al servidor

DHCP con el que está configurado.

Cualquier servidor DHCP en la subred responderá emitiendo un paquete DHCPOFFER, este

paquete provee al cliente con una dirección potencial.

El cliente recibe el paquete DHCPOFFER, es posible que el cliente reciba ofrecimientos de

direcciones IP de varios servidores y por lo general elige el servidor que responda más rápido a su

DHCPDISCOVER, normalmente es el servidor DHCP más cercano al cliente, el cliente entonces

©

.



emite un DHCPREQUEST que contiene un identificador de servidor que informa a los servidores

DHCP que reciben la difusión por cual servidor ha optado por aceptar el DHCPOFFER.

Los servidores DHCP reciben el DHCPREQUEST, los servidores cuyo DHCPREQUEST no fue

aceptado usan el paquete como notificación que el cliente ha rechazado la oferta del servidor;

el servidor elegido almacena la información de dirección IP del cliente en la base de datos

DHCP y responde con un mensaje DHCPACK. Si por alguna razón el servidor DHCP no puede

proporcionar la dirección que ofreció en el DHCPOFFER inicial, el servidor DHCP envía un

mensaje DHCPNAK.

Renovación de la Concesión DHCP

Cuando la concesión DHCP alcance el 50 por ciento del tiempo, el cliente intentará renovar la

concesión, éste es un proceso automático que ocurre en segundo plano, un cliente DHCP puede tener

la misma dirección IP durante un largo periodo de tiempo si operan de manera continua en una red sin

que se apague.

Para renovar la concesión de dirección IP, el cliente emite un mensaje DHCPREQUEST, el servidor que

concedió la dirección IP origen envía un mensaje DHCPACK de vuelta al cliente con los parámetros

nuevos que hubiesen cambiado desde que se generó la concesión inicial.

Autorización del Servidor DHCP

Como ya se ha mencionado el servicio DHCP se encarga de configurar el protocolo IP a los clientes de

una red, éste proceso ocurre antes que se produzca la autenticación del usuario o de equipo, como la

comunicación está basada en la difusión si el servidor DHCP está configurado incorrectamente

ocasiona que los clientes reciban información errónea y en consecuencia se tendrán problemas de

comunicaciones, una manera de prevenir que alguien active un servidor DHCP y empiece a conceder

configuraciones IP a los clientes de una manera equivocada, el servidor DHCP debe estar autorizado en

Directorio Activo antes de que empiece a conceder las direcciones IP.

Un servidor DHCP puede proporcionar configuraciones IP a clientes que pertenezcan a distintos

Dominios, es por ello que la autorización debe ser realizada por un usuario que tenga privilegios de ser

un Administrador de Empresa.

Si el Servidor DHCP no forma parte del Dominio y éste detecta un servidor DHCP autorizado en el

dominio entonces el servicio se desactiva y no concede direcciones IP a los clientes.

Servidores DHCP falsos como por ejemplo dispositivos de red con un servidor DHCP activo como los

enrutadores pero en éste caso éstos dispositivos no son capaces de detectar servidores DHCP

Autorizados y en consecuencia pueden emitir concesiones IP a los clientes de una red.

Configuración de ámbitos y opciones DHCP

Los administradores deben configurar los ámbitos DHCP después que la función DHCP este instalada en

el servidor, el ámbito DHCP es el método por el cual se configuran las opciones para un grupo de

direcciones IP, se basa en una subred IP y puede tener configuraciones específicas según tipos de

hardware o según tipo de usuarios.

Un ámbito DHCP es un rango de direcciones IP que están disponibles para ser concedidas a los clientes

y generalmente está limitado a las direcciones IP en una subred determinada de acuerdo a la máscara

de subred por ejemplo si usamos un ámbito con una máscara de 24 bits (Direcciones IP Clase C)

entonces el máximo de direcciones IP que podemos conceder será de 254 direcciones.

©

.



Propiedades del ámbito

General: en ésta pestaña se configuran 3 parámetros, el primero es el rango de IP del ámbito, se

puede modificar posteriormente a la creación para agregar o quitar IP’s al ámbito; el segundo

configura la duración de la concesión, también puede ser modificado para aumentar o

disminuir el tiempo; y el tercer aspecto es la descripción del ámbito (opcional).

DNS: Permite configurar el servidor DHCP para que actualice los registros DNS de los clientes a los

que le concede direcciones IP con los nombres de hosts y sus respectivas IP.

NAP: Configura el servidor DHCP para ser utilizado en una infraestructura de Protección de

acceso a redes (NAP)

Avanzada: Configura el tipo de solicitudes IP dinámicas que el ámbito servirá (DHCP / BOOTP)

Para crear los ámbitos se puede hacer usando la consola de administración DHCP instalada cuando se

agrega la función servidor DHCP o usando el comando NETSH (si se desea incluir en ejecuciones de

script o para administrar un DHCP en instalación Server Core).

Superámbitos y ámbitos Multicast

Un superámbito es un conjunto de ámbitos que se agrupan en un conjunto administrativo, permite a los

clientes recibir una dirección IP de múltiples subredes lógicas, incluso cuando están en la misma subred

física.

Un superámbito es útil si un ámbito ha agotado las direcciones y no es posible agregar direcciones

adicionales en la subred, pero es posible crear un nuevo ámbito de una subred nueva pero que

concederá sus IP’s en la misma subred física sin embargo se debe tener en cuenta que los clientes

estarán en una red separada lógicamente, esto se conoce como multineting; para que la solución

funcione se debe configurar los enrutadores para que reconozcan la nueva subred local y así garantizar

las comunicaciones en la red física.

Otra utilidad del superámbito es cuando queremos migrar los clientes poco a poco a un nuevo sistema

de direccionamiento IP, al tener la posibilidad que los 2 ámbitos coexistan durante un tiempo se puede

mover los clientes a la nueva subred de una forma transparente, una vez todos los clientes renueven la

dirección IP entonces se puede eliminar el ámbito antiguo.

Los ámbitos Multicast: Un ámbito de multidifusión es una colección de direcciones de multidifusión

de la clase D que comprende desde la dirección IP 224.0.0.0 a 239.255.255.255, estas direcciones se

utilizan cuando las aplicaciones necesitan comunicarse de manera eficiente con numerosos clientes de

forma simultánea, esto se produce cuando múltiples hosts escuchan el tráfico de una misma dirección

IP. El ámbito multidifusión se conoce comúnmente como ámbito de aplicación MADCAP, las

aplicaciones responden al llamado de éstos ámbitos sin necesidad de soportar Interfaces de

programación MADCAP.

Las aplicaciones reservan una dirección IP multicast desde el ámbito para entregar datos o contenidos.

Opciones de DHCP

Los servidores DHCP pueden configurar datos adicionales a la dirección IP, proporcionando información

sobre los recursos de red, como servidores DNS y la puerta de enlace predeterminada. Las opciones de

DHCP se pueden generar a nivel de servidor, de ámbito, de reserva, según tipo de usuario y por

proveedor.

Un código identifica la opción en DHCP y están definidos en RFC generados por IETF, los más comunes

son:

1 Máscara de subred

3 Puerta de enlace

6 servidores DNS

©

.



15 nombres de dominio DNS

44 Servidores WINS / NBNS (NetBIOS Name Servers)

46 Tipo de Nodo WINS / NetBT (NetBIOS Type)

47 ID de ámbito NetBIOS

51 tiempo de concesión

58 Renovación (T1) valor de Tiempo de Renovación

59 Revinculación (T2) valor del tiempo de revinculación

31 Realizar descubrimiento de enrutador

33 rutas estáticas

43 información específica del proveedor

249 rutas estáticas sin clase.

Niveles de Clases de las Opciones DHCP

Las opciones de DHCP se puede aplicar en diferentes niveles tales como a nivel de servidor y a nivel de

ámbito, pero es posible que estas opciones se deban aplicar según tipos de equipos o de grupos de

usuarios específicos.

Opciones de nivel de clase se necesitan para configurar un dispositivo que pertenece a una clase

determinada de una manera específica, dicha clase es un grupo lógicamente definido, basándose en

atributos del dispositivo en IP como pueden ser datos específicos del fabricante o puede ser definida

por el usuario.

Las opciones de nivel de clase incluyen:

Clase por Proveedor: La función Servidor DHCP ofrece opciones especiales basadas en la clase

de proveedor, un ejemplo es deshabilitar NetBIOS sobre TCP/IP para los clientes que pertenezcan

a la clase de proveedor correspondiente a Windows 2000 o Windows XP.

Clase Usuario: Puede especificar opciones de clase para el usuario que cumple algunas

características como por ejemplo usuarios de una ubicación física concreta, las clases de

usuario se establecen en la estación de trabajo cliente utilizando el comando ipconfig

/setclassid.

Orden de Aplicación de las Opciones

Si ha configurado las opciones de DHCP en múltiples niveles (servidor, el alcance, la clase y los niveles

de reserva), las opciones de DHCP se aplica a los equipos cliente en el siguiente orden:

A nivel de servidor

A Nivel de ámbito

A Nivel Clase

A Nivel de Reserva.

Reservas DHCP

Una reserva DHCP se produce cuando una dirección IP dentro de un ámbito se reserva para su uso con

un cliente DHCP concreto, a veces se hace necesario establecer servidores e impresoras con una

dirección IP fija asegurándonos que las direcciones IP no sean asignadas a otros dispositivos, también

asegura que los dispositivos con las reservas tengan la dirección IP incluso si el ámbito agota las

direcciones, permite centralizar la administración de direcciones IP fijas.

La configuración de una reserva DHCP permite asignar opciones, estos ajustes anulan todas las demás

opciones de DHCP que se configure en los niveles superiores.

Para configurar una reserva, se debe saber cuál es la MAC del dispositivo, esto indica al servidor DHCP

que el dispositivo debe tener una reserva, para conocer la dirección MAC utilice el comando ipconfig

/all.

Disponibilidad DHCP

©

.



Al configurar ámbitos y opciones DHCP considere una cantidad de direcciones IP para asignar y otro

tanto más para que sean usadas en soluciones de tolerancia a fallos, se recomienda tener más de un

servidor DHCP en la red para que en el caso que un servidor falle, un servidor de respaldo DHCP estará

en su lugar para seguir concediendo direcciones IP.

La cantidad de direcciones IP que un ámbito debe tener siempre debería ser como mínimo un 20% más

de la totalidad de clientes que recibirán direcciones IP desde el Servidor DHCP, cuando se planee usar

más de un Ser DHCP, la configuración correcta es repartir las direcciones IP de la subred en ambos

servidores usando la regla 80/20 (Un Servidor define un ámbito con el 80% de las direcciones IP, mientras

que el segundo servidor define un ámbito con el 20% de las direcciones IP restantes. Esto mejora la

disponibilidad del servicio DHCP si uno de los servidores falla.

Administración de la base de Datos DHCP

La base de datos DHCP almacena información sobre las concesiones de direcciones IP, como una de

las tareas del administrador se recomienda hacer copia de seguridad a ésta base de datos y en caso

de algún problema con los datos poder utilizar la copia. Algunas de las gestiones siguientes afectan la

base de datos de DHCP:

Crecimiento de la Base de datos DHCP: La base de datos DHCP de tipo Microsoft Jet necesita

ser compactado en forma regular.

Copia de seguridad y restauración: Es importante mantener respaldada la información de la

base de datos DHCP ya que si la base de datos del servidor DHCP se corrompe o se pierde,

podría dar lugar a importantes problemas de configuración de IP.

Coherencia de la base de datos DHCP: La base de datos tiene que ser coherente, si los datos de

las direcciones IP concedidas en la base de datos DHCP no coinciden con la información del

cliente, pueden generar problemas de direcciones IP Duplicadas.

Mover la base de datos DHCP: Si la base de datos es muy grande, puede que tenga que

moverla a una partición o a un volumen más grande con mejores resultados.

Las posibles causas por las que una base de datos DHCP aumenta su tamaño pueden ser: Más clientes,

Servidores, Subredes (nuevos) conectados en Red.

La base de datos DHCP

Es un fichero de datos que almacena la información de configuración DHCP y los datos de las

concesiones dadas a los clientes, de forma predeterminada, los archivos de base de datos DHCP se

guardan en la carpeta %systemroot%\System32\Dhcp. Los ficheros que encontramos en ésta ubicación

son:

Dhcp.mdb: Es el fichero de la base de datos del Servidor DHCP.

Dhcp.tmp: Es un fichero temporal que la base de datos DHCP utiliza como fichero de

intercambio durante las operaciones de mantenimiento de índices de base de datos.

J50.log y J50#####.log: es un registro de todas las transacciones ejecutadas en la base de

datos, éste fichero se utiliza para recuperar los datos cuando sea necesario.

J50.chk: Es un fichero de controles.

La base de datos del servidor DHCP es dinámica, en ella se registran todas las actualizaciones de los

clientes DHCP cuando se les asigna o liberan sus parámetros TCP/IP, pero ésta base no ofrece la

posibilidad de ser distribuida como la base de datos del WINS por lo que no se puede replicar a otros

servidores DHCP.

El Servicio DHCP está configurado para hacer copias de seguridad automáticas cada 60 minutos por

defecto, se puede cambiar este valor, cambiando el valor de BackupInterval en la clave del

Registro:HKLM»SYSTEM»CurrentControlSet»Services»DHCPServer»Parameters.

Copia de Seguridad y Restauración de la base de datos DHCP:

La copia puede ser Manual o configurarla para que suceda automáticamente (por defecto se ejecuta

cada 60 Minutos). La ruta predeterminada de copia de seguridad para el DHCP es la siguiente:

©

.



%systemroot%»System32»Dhcp»Backup. Como recomendación se puede modificar esta ruta para que

apunte a otro volumen.

La copia Manual se realiza si es necesario hacer la copia en un momento dado, se puede ejecutar la

opción de copia de seguridad en la consola DHCP y requiere permisos administrativos bien sea por ser

Administrador Local del Servidor o por pertenecer al grupo de administradores de DHCP.

Al realizar una copia de seguridad toda la base de datos DHCP se guarda, esto incluye todos los

ámbitos, superámbitos y ámbitos de multidifusión, Reservas, Concesiones, Opciones de Servidor, las

opciones adicionales creadas por un administrador, opciones de búsqueda y opciones de clase, todas

las claves del Registro y otras opciones de configuración (por ejemplo, la configuración de registro de

auditoría y los ajustes de ubicación de la carpeta) que se almacenan en la siguiente subclave de

Registro: HKLM»SYSTEM»CurrentControlSet»Services»DHCPServer»Parameters

Proceso de restauración

Si se tiene que restaurar la base de datos, es posible hacerlo desde la función Restaurar en el servidor

DHCP de la consola, se debe introducir la ubicación de la copia de seguridad después el servicio DHCP

se detiene y la base de datos será restaurada, para restaurar la base de datos, el usuario debe tener

permisos administrativos o debe ser miembro del grupo de administradores de DHCP.

Reconciliación de la base de Datos DHCP

Reconciliar ámbitos puede solucionar las inconsistencias, como por ejemplo si falta información o es

incorrecta en las bases de datos DHCP.

DHCP almacena la información de los ámbitos en 2 formas:

Concesiones de Dirección IP con información detallada en la base de datos DHCP y una información

de direcciones IP resumida que almacena en el registro del servidor.

Cuando se ejecuta la conciliación, se comparan las 2 fuentes de información (detallada y resumen)

para encontrar incoherencias, si hay discrepancias el proceso o bien restaura las direcciones IP con el

dueño de la concesión o hace una reserva temporal de dichas direcciones, éstas reservas son válidas

para el tiempo de concesión asignado al ámbito, cuando el tiempo vence la concesión termina y las

direcciones IP quedan libres.

Migrar una base DHCP

En el caso de tener que mover la función de servidor DHCP a otro servidor, es recomendable mover la

base de datos al nuevo servidor también, esto asegura que las concesiones dadas a los clientes se

mantienen y reduce la probabilidad de problemas de configuración de cliente, para hacerlo se debe:

Se hace una copia de seguridad de la Base de datos en el servidor antiguo.

A continuación, se detiene el servicio DHCP en el antiguo servidor DHCP.

Se copia la base de datos DHCP en el nuevo servidor.

Se restaura utilizando el procedimiento normal para restaurar la base de datos DHCP.

También puede utilizar el comando netsh dhcp para realizar copia de seguridad de la base de

datos a una ubicación remota mediante secuencias de comandos:

Desde el símbolo del sistema ejecute:

NETSH DHCP export c:\Micarpeta\DHCP (Copia de seguridad) y para restaurar usar el comando:

Netsh DHCP import "c:\Micarpeta\DHCP"

Supervisión y Solución de Problemas DHCP

DHCP es un servicio importante en entornos de red actuales, si el servicio DHCP no funciona

correctamente, o si hay una situación que está causando problemas con el servidor DHCP, es

importante saber qué problema está ocurriendo y cómo se puede localizar.

©

.



Generalidades de la Supervisión DHCP

DHCP es un protocolo dinámico, los cambios en el entorno de red por lo general generan cambios en el

servidor DHCP para dar cabida al nuevo entorno, estos cambios pueden ser más clientes en la red que

pueden causar una mayor carga de tráfico en el servidor DHCP, o porque el servidor DHCP agota su

grupo de direcciones.

Supervisar estas operaciones permite hacer frente a nuevas necesidades que van surgiendo en forma

preactiva, dando como resultado cortes mínimos y tiempos de inactividad reducidos.

Se pueden usar 3 herramientas para conocer la información de estado del Servidor DHCP: Estadísticas

DHCP, visor de sucesos DHCP y datos de rendimiento de DHCP.

Problemas Comunes DHCP Conflictos IP: La misma dirección IP se ofrece a dos clientes diferentes, puede producirse si un

administrador elimina una concesión, sin embargo el cliente cree que su concesión todavía es

válida, si el servidor DHCP no comprueba la dirección IP, la asignará a otra máquina causando

un conflicto de direcciones. Esto también puede ocurrir si dos servidores DHCP se solapan entre si

sus ámbitos.

El cliente no obtiene una dirección DHCP: y se autoconfigura con una dirección de APIPA, si sólo

es un cliente puede deberse a mala configuración de la adaptadora de red.

Dirección obtenida de un ámbito incorrecto: Le provocaría al cliente que experimente

problemas de comunicación, a menudo esto se produce porque el cliente está conectado a la

red equivocada.

Base de datos DHCP sufre daños: los datos pueden ser ilegibles o se ha producido un fallo de

hardware.

El Servidor DHCP agota las direcciones IP del ámbito: no se aceptan nuevas solicitudes de

cliente.

Estadísticas DHCP

Proporcionan información sobre la actividad y el uso de DHCP, pueden servir para determinar

rápidamente si hay un problema con el servicio de DHCP o con los clientes de la red DHCP, un ejemplo

en que las estadísticas pueden ser útiles es si el administrador observa una cantidad excesiva de

paquetes confirmación negativa (NACK) que puede indicar que el servidor no está proporcionando los

datos correctos a los clientes.

Las estadísticas mostradas en la consola pueden ser sobre todo el Servidor o por ámbito.

Ficheros de Auditoria DHCP

El registro de auditoría proporciona un registro de traza sobre la actividad del servidor DHCP, se suele

utilizar este registro para hacer seguimiento de solicitudes de concesiones, concesiones y denegaciones,

los ficheros de registro se almacenan por defecto en la carpeta Windows\system32\dhcp.

Se pueden configurar los ficheros de estadísticas en las propiedades del servidor, los ficheros se generan

por cada día de la semana y los nombres que utilizan hacen alusión al día en que se generan como por

ejemplo DhcpSrvLog-Mon.log.

Los datos que componen un registro de auditoría DHCP son:

Código de identificación: Es un identificador por cada evento que sucede en el servidor

Fecha: momento en que se registró esta entrada en el servidor DHCP.

Hora: Hora en el que se registró esta entrada en el servidor DHCP.

Descripción: Una descripción de este evento.

Dirección IP: La dirección IP del cliente DHCP.

Nombre del host: El nombre de host del cliente DHCP.

Dirección MAC: Dirección MAC utilizado por el hardware del adaptador de red del cliente.

©

.



Supervisión de Rendimiento DHCP

Después de instalar el servicio DHCP se generaran contadores de rendimiento de los que el servidor

DHCP podrá disponer para supervisar el rendimiento y verificar los niveles de carga.

Habitualmente el servidor DHCP no debe tener una gran carga de trabajo, sin embargo si se observan

longitudes de cola bastante altas se deben comprobar que el servidor no tenga cuellos de botella que

provocan ese estado de lentitud.

Seguridad en DHCP

El protocolo DHCP no tiene un método incorporado para la autenticación de usuarios lo que significa

que si no se toman precauciones las concesiones podrían ser dadas a dispositivos y usuarios que tienen

intenciones maliciosas.

Las razones para asegurar DHCP son:

Evitar que un usuario no autorizado obtenga una concesión: DHCP puede ser difícil asegurarlo en

si, por que el protocolo está diseñado para trabajar antes que información necesaria de

autenticación tenga lugar con un controlador de dominio; las precauciones básicas que

podríamos tomar para limitar el acceso no autorizado incluyen: asegurarnos de reducir el

acceso físico ya que si un usuario se conecta a la red a través de una conexión activa podrá

obtener una dirección IP, por lo tanto se sugiere que desconecte los puntos de red libres de la

infraestructura de swith; active el registro de auditoría en todos los servidores DHCP esto le

proveerá una vista de la actividad y poder hacer un seguimiento de direcciones IP obtenidas

por usuarios maliciosos, también puede exigir autenticación a los usuarios a través de

tecnologías como 802.1X y finalmente puede implementar NAP para validar las configuraciones

de cumplimiento de seguridad en los clientes de la red.

Restringir servidores DHCP no Microsoft que no están autorizados para conceder direcciones IP:

Muchos dispositivos de red tienen implementaciones de servidores DHCP, en muchos casos

podemos encontrar que es posible que estos servidores DHCP no se comprueben en el directorio

activo y por tanto estarán habilitados para conceder información a los clientes que puede ser

incorrecta, para eliminar los servidores DHCP no autorizados debe localizarlos y desactivarles la

comunicación en red físicamente o desactivarles el servicio DHCP. Se puede utilizar servidores

DHCP no autorizados con una utilidad llamada DHCPLOC.EXE lo que sirve para encontrar

servidores DHCP activos en una red.

Restringir la administración del DHCP: el grupo incorporado administradores DHCP es un grupo

local creado por el servicio para restringir y conceder acceso al servidor DHCP y poderlo

administrar, existen dos grupos agregados: administradores DHCP (para gestionar el servicio de

servidor DHCP) y el grupo usuarios SHCP (pueden tener acceso de solo lectura a la consola de

administración.)

Resumen

Podemos concluir que DHCP ayuda a los administradores a hacer más ligera la carga administrativa

que supone el hecho de configurar los equipos de una red con el protocolo TCP/IP en forma controlada

y eficiente, este servicio permite a los administradores realizar cambios de infraestructura y en

consecuencia esperar a que los clientes actualicen su información en forma automática, sin embargo

debemos conocer que la debilidad de DHCP está en la perdida de la base de datos del servicio, lo cual

nos provoca problemas bastante graves en una red, para evitarlo considere siempre utilizar al menos

dos servidores DHCP cuyos ámbitos estén relacionados entre sí, distribuyendo la totalidad de las

direcciones IP entre ellos pero evite solapar las direcciones IP en distintos ámbitos.

Realizar copias de seguridad constantemente y vigilar el rendimiento del servidor permitirán que su red

se mantenga estable y libre de errores por falta del servicio DHCP.

©

.



Es necesario entender que en una red adoptamos este servicio y no controlamos los puntos de conexión

a la red podemos sufrir ataques que nos degradarían la fiabilidad de nuestra red.

Recuerde El DHCP de Windows necesita ser autorizado por un usuario administrador de empresa para que el

servicio pueda empezar a conceder direcciones IP.

Si se utiliza un DHCP para conceder configuración IP a múltiples subredes considere implementar

agentes de retransmisión DHCP.

Cuando un cliente DHCP no consiga contactar el servidor DHCP como resultado veremos que el cliente

adopta una dirección IP del rango de APIPA (169.254.0.0)

Considere implementar múltiples servidores DHCP para conseguir tolerancia a fallo aplicando la regla

80/20 en los ámbitos del DHCP.

Si necesita asignar direccionamiento IP fijo a ciertos dispositivos de red, puede implementar reservas.

Cuando las direcciones IP en un servidor DHCP empiecen a escasear por que el rango IP está en sus

límites intente ampliar el rango IP, y si no es posible reduzca el tiempo máximo de la concesión y así

liberar direcciones IP más rápido.

Ver Vídeo: DHCP, en el Módulo 7. Unidad 4, Configuración y Resolución de

problemas con DHCP en la plataforma e-learning.

Laboratorios

Laboratorio 1. Instalación y autorización de DHCP

1. Para instalar un servidor DHCP usamos la consola Administrar el Servidor y agregamos la función

Servidor DHCP.

2. El asistente de instalación del Servicio DHCP nos permite configurar el Servicio durante la instalación,

el primer paso es habilitar en las adaptadoras de red la posibilidad de recibir y enviar paquetes de

©

.



DHCP (Enlazar), en escenarios donde un servidor contenga múltiples tarjetas de red y no todas se

usan para recibir solicitudes de clientes DHCP entonces podemos desvincular algunas adaptadoras

de red para que no sean usadas por DHCP.

3. A continuación nos pide información acerca del servicio DNS, detecta ésta información de acuerdo

a lo configurado en las propiedades de red del Servidor DHCP.

©

.



4. A continuación seleccionar la información del Servicio WINS si es usado en la infraestructura de red.

5. Incluso podemos crear los ámbitos que el servidor DHCP usará sin embargo no lo crearemos en éste

caso ahora, se hará más adelante.

©

.



6. El siguiente paso nos permite decidir la función que tendrá el Servidor DHCPv6 en la infraestructura

IPv6, configuración Sin estado en IPv6 significa que los clientes se autoconfigurarán una dirección

IPv6 y el servidor DCHP sólo se usará para configurar las opciones adicionales (Sufijo y Servidores DNS,

etc) en la siguiente unidad veremos cómo se configura IPv6.

7. En éste caso dejar Activado el modo sin estado que será utilizado más adelante.

8. Al Activar el Modo sin estado, el asistente pregunta la configuración de opciones DNS para IPv6, en

éste paso pinchar en siguiente, en el siguiente capítulo se configurarán.

©

.



9. El asistente incluso permite Autorizar el servidor DHCP en Directorio Activo, seleccionamos omitir éste

paso en el asistente (se hará más adelante).

10. Pinchar en Instalar si la configuración seleccionada es correcta, espere hasta que la instalación

finalice correctamente.

©

.



11. El Servidor aunque éste instalado no empezará a emitir direcciones IP hasta que sea autorizado,

como vemos el servicio se muestra con una flecha roja abajo (Desactivado).

12. La autorización del servidor DHCP necesita que el servidor sea registrado en Directorio Activo por un

Administrador de Empresa (éste grupo sólo existe en el domino raíz de bosque y por defecto el único

usuario en el grupo es la cuenta incorporada Administrador del Dominio raíz del bosque)

13. Para registrar el servidor abrir la consola DHCP desde herramientas administrativas y a continuación

hacer clic derecho sobre el servidor (si el usuario con el que se ha iniciado sesión es administrador de

empresa) y seleccionar la opción Autorizar.

©

.



14. Si Autorizar no aparece posiblemente no tienes los derechos suficientes para realizar ésta acción,

otra forma de autorizar es hacer clic derecho sobre la opción DHCP de la consola de administración

y seleccionar la opción Administrar Servidores Autorizados.

15. En la ventana pinchar en el botón Autorizar.

16. Escribir el nombre o la dirección IP del Servidor DHCP y aceptar.

©

.



17. Se pedirá confirmación antes de autorizar el servidor, Aceptar

18. El servidor ahora debe listarse en la ventana con los servidores DHCP Autorizados, Pinchar en Cerrar.

19. Cuando el servidor sea Autorizado podemos ver el estado con flecha verde arriba (Activo para

emitir direcciones IP).

©

.



Laboratorio 2. Creación y configuración de ámbitos DHCP

1. Después de instalar y autorizar un servidor DHCP debemos crear los ámbitos que contendrán la

información necesaria para configurar los clientes DHCP.

2. Para crear un ámbito, sobre el nodo IPv4 hacer clic derecho y seleccionar ámbito nuevo.

3. DHCP ejecuta un asistente para la creación, siguiente.

©

.



4. Escribir un nombre y una descripción para el ámbito.

5. A continuación definimos un rango de direcciones IP que serán otorgadas por el Servidor DHCP a los

clientes que lo soliciten, es importante tener en cuenta lo aprendido en el Módulo 6 para configurar

correctamente el Identificador de Red, la máscara de subred (determinan la cantidad máxima de

direcciones IP a usar en un esquema de direcciones IP) en éste caso usamos la red 192.168.100 (Red

Clase C) con una máscara de 24 bits lo cual deja como posibilidad emitir hasta 254 direcciones, sin

embargo en el ejemplo sólo se usarán algunas direcciones IP de las 254 para que sean usadas por

DHCP.

©

.



6. Es posible que dentro del rango de direcciones IP configurado en la red existan direcciones IP que

ya han sido dadas a dispositivos como direccionamiento IP fijo, entonces esas direcciones debemos

excluirlas para que el DHCP no las conceda y evitar así un conflicto, en el ejemplo excluimos un

rango de 6 IP.

7. La duración de la concesión por defecto es 8 días.

©

.



8. Ahora el asistente continuará con las opciones del DHCP, en éste punto seleccionar que las

configuraremos posteriormente.

9. El asistente recuerda que debes configurar las opciones y activar el ámbito para que los clientes

reciban la configuración IP.

©

.



10. El ámbito será mostrado en la consola, para activarlo hacer clic derecho en él y seleccionar la

opción activar.

11. La flecha roja abajo sobre el ámbito desaparece.

©

.



12. Para comprobar si el servidor DHCP emite direcciones IP del ámbito configurado, usaremos un

cliente Windows Vista como cliente DHCP, para configurar un cliente DHCP ir al panel de control

13. Entrar en el Centro de Redes y recursos compartidos.

©

.



14. Administrar conexiones de red.

15. Seleccionamos el adaptador de red y luego Propiedades

©

.



16. Se pide elevación de privilegios, pinchar en Continuar, luego seleccionar Protocolo TCP/IP versión 4 y

luego propiedades.

17. Por defecto un Cliente Windows Vista es un Cliente DHCP por que obtiene IP y DNS

automáticamente, pinchar en Aceptar.

©

.



18. Para ver si el Servidor DHCP ha otorgado configuración IP al cliente, salir al símbolo del sistema y

ejecutar comandos IPCONFIG /all (ver configuración). Observe que el cliente tiene una IP en el

rango 192.168.100 y le ha sido asignada la primera dirección del rango (50), note también la

dirección IP del Servidor DNS, el sufijo de búsqueda, WINS y del Servidor DHCP que asigna la IP y la

duración de la concesión. También podemos ver que sin embargo no ha recibido configuración de

puerta de enlace (Gateway) que define la dirección IP de un enrutador que le permitiría conectarse

con otras redes.

19. Para poder asignar el parámetro de Puerta de enlace en el servidor podemos agregar ésta opción,

para ello sobre el ámbito creado buscar el nodo Opciones de ámbito, hacer clic derecho y

seleccionar configurar opciones, note que en las opciones existentes hay algunos parámetros como

Sufijo DNS (015), Servidores DNS (06), Servidores WINS (044) que fueron creados durante el proceso de

instalación del Servicio DHCP.

©

.



20. Para agregar la puerta de enlace agregamos la opción Enrutador (03) y escribir la dirección IP del

Enrutador y Aceptar.

21. La opción de ámbito será mostrada junto a las opciones de Servidor creadas durante la instalación

del servicio.

22. Para que éste cambio surta efecto en el cliente debemos esperar a que el cliente cumpla el 50% de

la concesión y se actualice o podemos forzar la actualización en los clientes usando el comando

IPCONFIG /Release (Liberar) y luego IPCONFIG /Renew (Renovar). Esta operación requiere elevación

de privilegios en Windows Vista, por tanto el símbolo de sistema debe ser abierto como

Administrador.

©

.



23. Sobre el icono del símbolo del sistema clic derecho y Ejecutar como Administrador.

24. Pinchar en el botón continuar en el escritorio seguro.

25. Ahora en el símbolo ejecutar IPCONFIG /Release (libera la dirección IP)

26. Ahora ejecutar el comando IPCONFIG /Renew, notar que el valor de la puerta de enlace se ha

actualizado.

©

.



Unidad 5. Configuración y Resolución de Problemas con TCP/IP V6

Objetivos

Al terminar esta unidad estará en capacidad de:

Entender el nuevo esquema de direcciones IPv6.

Diferenciar los tipos de Direcciones IPv6 Unicast (globales, locales de vínculo, locales de sitio)

Describir los Tipos de Nodo y las implementaciones de IPv6

Conocer la importancia de una infraestructura DNS en el direccionamiento IPv6

Establecer el inicio de un proceso de migración IPv4 a IPv6 usando tecnologías de túnel como

ISATAP.

Introducción

Después de muchos años conviviendo con los entornos de red con el protocolo TCP/IP (versión 4) vemos

la necesidad de aumentar las prestaciones de las redes actuales por distintos motivos tales como

ampliación del espacio de direcciones, más seguridad, facilidad en el manejo de direcciones, mejor

rendimiento, estas y muchas más ventajas se incorporan en la nueva versión del protocolo TCP/IP

(versión 6) que ya viene integrado en los sistemas operativos Windows Vista y Windows Server 2008; IPv6

es una tecnología fundamental que nos permitirá soportar el crecimiento de usuarios y dispositivos que

utilizan los servicios de Internet.

IPv6 fue diseñado para subsanar todos aquellos inconvenientes conocidos en IPv4 pero también es muy

importante reconocer que el cambio es drástico y que la implementación de un entorno sólo IPv6 se

tardará muchos años, es por ello que nuestra función debe ser empezar a implementar ésta

infraestructura e ir probando nuestros entornos para ver que comportamiento tienen con ella, por ello

todos los procesos de migración empiezan verificando los tipos de Nodo que componen cada una de

nuestras redes, esto nos permite conocer si es posible implementarles IPv6.

También es necesario para poder implementarlo conocer cómo funciona, como se configura y que

implicaciones de administración conlleva ya que para empezar un proceso de migración podemos usar

tecnologías de túnel que nos permitirá mantener un entorno de red en IPv4 pero además podemos a

empezar a ver el comportamiento de una red con IPv6 en los hosts; Una transición exitosa a IPv6 exige la

convivencia provisional de los nodos IPv6 en entornos IPv4; mientras tanto no debemos dejar de lado

IPv4 porque ésta de momento seguirá siendo el estándar IP para la mayoría de las aplicaciones y

servicios de Internet en la actualidad.

Definiciones Generalidades de IPV6

IPv6 es una tecnología que ayudará fundamental a asegurar que Internet puede soportar la creciente

base de usuarios y el número de dispositivos habilitados para IP cada vez mayor, el Protocolo actual de

Internet versión 4 (IPv4) ha servido de base a Internet desde hace casi 30 años, por lo que su robustez,

escalabilidad y un conjunto de características más limitadas ahora se enfrentan a la creciente

necesidad de nuevas direcciones IP, debido en gran parte al rápido crecimiento de nuevos dispositivos

para redes.

IPv6 lentamente se está volviendo más común, si bien la adopción puede ser lenta, es importante

entender cómo esta tecnología afectará a las redes actuales y la manera de integrar IPv6 en las redes.

Espacio de direcciones más grande

©

.



Un espacio de direcciones de 32 bits permite 4.294.967.296 de direcciones posibles, el nuevo espacio de

direcciones es de 128-bit que permite 340 undecillones de direcciones IP posibles.

Direccionamiento y enrutamiento de la infraestructura de Red en forma Jerárquica:

El espacio de direcciones IPv6 ha sido diseñado para ser más eficiente para los enrutadores, lo que

significa que aunque hay muchas más direcciones, los enrutadores pueden procesar los datos de forma

mucho más eficiente debido a la optimización de la dirección.

Configuración de direcciones IP Sin estado y con estado

IPv6 tiene la capacidad de la auto-configuración sin el uso del protocolo DHCP, los hosts pueden

encontrar la información en el enrutador para que puedan acceder a Internet (configuración de

direcciones sin estado). Una configuración de direcciones con estado es cuando se utiliza el protocolo

DHCP v6, ésta configuración cuenta con dos niveles de configuración: una en la que DHCP proporciona

toda la información de direccionamiento IP (Dirección, Subred, Opciones) y la segunda donde sólo

proporciona sólo la información de subred.

Seguridad integrada

IPv6 tiene un extra de seguridad IP incorporado, mientras que en IPv4 es una extensión del protocolo (es

opcional), esto facilita la configuración de las conexiones de red en forma segura. En IPv4 modificar la IP

de origen, de destino o los puertos de la comunicación puede invalidar los datos de IPsec, éste es uno

de los problemas cuando los hosts de IPv4 deben atravesar dispositivos NAT (Traducción de direcciones).

IPv6 vuelve a restaurar las comunicaciones punto a punto porque NAT fue concebido para prolongar la

vida de direcciones IP públicas IPv4.

Establecimiento de prioridades en la entrega de paquetes

IPv6 contiene un campo en el paquete que permite a los dispositivos de red determinar que el paquete

debe ser procesado en un valor determinado. Esto permite la priorización de tráfico, la cual consiste en

darle mayor prevalencia a la transferencia de datos que pertenezcan a un protocolo específico, se

puede definir la prioridad en función del tiempo de entrega de paquetes que se necesite.

Detección de vecinos

IPv6 detecta mejor otros dispositivos y hosts en su red local, utiliza esta propiedad para crear redes entre

2 equipos a través del cual se puede compartir la información.

Extensibilidad

IPv6 ha sido diseñado de manera que se puede ampliar con menos limitaciones que IPv4.

Diferencias Entre IPv4 e IPv6

Desde la creación de protocolo en 1970, IPv4 ofrecía un nivel de escalabilidad bastante alto para su

época pero debido a los continuos cambios de tecnología y la forma de asignación de IP que no

preveía un crecimiento explosivo de servidores en Internet, el espacio de direcciones se consumió hacia

1992 y por tanto se hizo evidente la necesidad de un reemplazo.

Con IPv6, es aún más difícil de concebir que el espacio de direcciones IPv6 se vaya a consumir pronto

porque el espacio de direcciones de 128 bits puede generar 655,570,793,348,866,943,898,599 (6,5 '1023)

direcciones por cada metro cuadrado de superficie de la Tierra.

Sin embargo el propósito de éste número de direcciones IP posibles no es para interconectar todas estas

IP sino más bien, el tamaño relativamente grande de la dirección IPv6 ha sido diseñado para que

pueda ser dividido en dominios de enrutamiento jerárquicos que reflejen la topología de Internet de hoy

en día, el uso de 128 bits permite múltiples niveles de jerarquía y la flexibilidad en el diseño de

enrutamiento que carece actualmente IPv4.

Algunas diferencias entre IPv4 e IPv6 son:

Direccionamiento: IPv4 (4 Bytes) e IPv6 (16 Bytes).

©

.



Soporte IPsec: IPv4 (opcional) en IPv6 (Obligatorio).

Priorización de paquetes: en IPv4 No hay identificación calidad de servicio (QoS) se consigue

manipulando la prioridad en los enrutadores, mientras que en IPv6 las etiquetas de QoS se

generan en los encabezados de IPv6 utilizando el campo Etiqueta de Flujo.

La fragmentación de paquetes: IPv4 se fragmenta tanto en hosts como en enrutadores mientras

que en IPv6 sólo se fragmenta en los hosts.

Suma de Comprobación (Checksum) en el Encabezado: IPv4 lo incluye, IPv6 No.

Opciones de encabezado: IPv4 incluye todas las opciones, IPv6 mueve las opciones a

cabeceras de extensión.

IPv4 usa ARP para vincular direcciones IP a direcciones MAC usando difusiones mientras que IPv6

lo hace por Multicast mediante el uso de paquetes de Mensajes de Solicitud de Vecinos.

IGMP de Ipv4 también es reemplazado por otro paquete Multicast Mensajes MLD.

EL protocolo ICMP para descubrimiento de enrutadores que es opcional y que sirve en IPv4 para

determinar la dirección IP del mejor enrutador para usarlo como puerta de enlace, se sustituye

por Mensajes de solicitud de enrutador y anuncios de enrutados en ICMPv6 y son de carácter

obligatorio.

Direcciones usadas en difusiones que envían tráfico a todos los equipos de la red en IPv4 no

existen en IPv6 en su lugar, utiliza una dirección Multicast de ámbito enlace local a todos los

nodos.

IPv4 se debe configurar manualmente o mediante DHCP, IPv6 no requiere configuración manual

o DHCP.

Ipv4 usa registros A en DNS para los mapas de nombres de host y las direcciones IPv4; Ipv6 usa

registro de host (AAAA) en DNS que une un nombre de host a una dirección IPv6.

Las zonas de búsqueda inversa usan registros de puntero (PTR) en una zona de DNS IPv4 llamada

IN-ADDR.ARPA y en una zona DNS IPv6 llamada IP6.ARPA.

El tamaño de paquete en IPv4 es 576-bytes (posiblemente fragmentado), IPv6 soporta un

tamaño de paquete de 1280 bytes (sin fragmentación).

Algunas equivalencias de IPv4 en IPv6

Direccionamiento IP basado en clases no aplica en IPv6.

Las direcciones de multicast (224 al 239) equivalen a direcciones IPv6 multicast (ff00::/8).

Direcciones de difusión no se aplican en IPv6.

Una dirección no especificada 0.0.0.0 en IPv6 es ::

Direcciones de prueba 127.0.0.1 en IPv6 es ::1

Las direcciones IP públicas equivalen a las direcciones unicast globales en IPv6.

Los rangos de direcciones IP privadas (10.0.0.0, 172.16.0.0 y 192.168.0.0) corresponden a

direcciones de sitio local IPv6 (FEC0::/10).

Direcciones configuradas automáticamente (169.254.0.0) equivalen a direcciones locales de

vínculo IPv6 (FE80::/64)

La representación de texto para la dirección IP en versión 4 es notación decimal con puntos

mientras que en IPv6 la representación del texto es formato hexadecimal con 2 puntos y acepta

supresión de ceros a la izquierda y la compresión de ceros.

Representación de bits de red: IPv4 usa la máscara de subred en notación decimal con puntos o

un prefijo de longitud de máscara. En IPv6 sólo se usan prefijos de longitud.

Tecnologías Microsoft que usan implementaciones IPv6

Microsoft, puede utilizar IPv6 en todas las implementaciones sin afectar a las comunicaciones IPv4, para

Windows XP SP2 y Windows Server 2003 Microsoft emplea una solución de doble pila (cada protocolo IP

tiene su propia implementación TCP y UDP, por tanto emplea más código, más memoria y es más

complejo cuando se instalan los 2 protocolos) ofrece calidad en producción y se puede instalar y

desinstalar como un protocolo separado.

©

.



Windows Vista y Windows Server 2008 usan una implementación de doble capa lo que significa que sólo

usa una implementación TCP y UDP para los 2 direccionamientos IP, es conocido como TCP/IP NG (Next

Generation). Las ventajas de la doble capa es que como los 2 protocolos comparten un transporte

común simplifica tareas de mantenimiento (reduce controladores y librerías).

Los 2 protocolos se activan por defecto y como resultado el rendimiento es mucho mayor.

Espacio de Direcciones IPv6

Como ya mencionamos la característica que más distingue a IPv6 es el incremento de

direccionamiento IP; en IPv4 las direcciones IP se expresan en cuatro grupos de números decimales,

como por ejemplo 192.168.1.1 (cada grupo de números representa un octeto binario).

El tamaño de una dirección en IPv6 es de 128 bits, cuatro veces más grande que una dirección IPv4, las

direcciones IPv6 se expresan también, como direcciones hexadecimales en su formato de lectura.

Ejemplo:

2001:DB8:0:2F3B:2AA:FF:FE28:9C5A.

Como apreciamos la IPv6 es poco intuitiva para los usuarios finales, por ello se debe suponer que los

usuarios se basarán en los nombres DNS para acceder a los recursos de los hosts.

Para convertir una dirección IPv6 el cual es de longitud de 128 bits binarios, divida los 128 bits en 8

grupos de 16 bits, a continuación convierta cada uno de esos 8 grupos de 16 bits en 4 dígitos

hexadecimales.

El siguiente ejemplo es una sola dirección IPv6 en forma binaria, como es larga la escribimos en 3 líneas

pero es una sola IP:

00100000000000010000110110111000000000000000000000101111001110110000001010101010000000001111

111111111110001010001001110001011010

La dirección de 128-bits se divide en los grupos de 16-bit:

0010000000000001 0000110110111000 0000000000000000 0010111100111011 0000001010101010

0000000011111111 1111111000101000 1001110001011010

Cada división la subdividimos en grupos de cuatro bits. Y convertimos a hexadecimal así:

[0010] [0000] [0000] [0001] [2] [0] [0] [1] [0000] [1101] [1011] [1000] [0] [D] [b] [8] [0000] [0000] [0000] [0000] [0] [0] [0] [0] [0010] [1111] [0011] [1011] [2] [F] [3] [B]

[0000] [0010] [1010] [1010] [0] [2] [A] [A] [0000] [0000] [1111] [1111] [0] [0] [F] [F] [1111] [1110] [0010] [1000] [F] [E] [2] [8] [1001] [1100] [0101] [1010] [9] [c] [5] [A]

©

.



Ahora cada bloque de 16-bits expresados con cuatro caracteres hexadecimales delimitados con dos

puntos:

2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A

Es posible seguir simplificando la representación de la IPv6 eliminando los ceros iniciales dentro de cada

bloque de 16-bit:

2001:DB8:0:2F3B:2AA:FF:FE28:9C5A

La compresión de ceros simplifica la notación IPv6 aún más, el ordenador reconoce "::" y la sustituye

con el número de ceros necesarios para realizar la adecuada dirección IPv6.

En el ejemplo podemos expresar la dirección utilizando la compresión de ceros:

2001:DB8::2F3B:2AA:FF:FE28:9C5A

Para determinar el número de bits 0 que están representados por la "::", se cuenta el número de bloques

en la dirección comprimida, luego restar ese número de ocho, y luego multiplicar el resultado por 16; en

el ejemplo anterior, hay siete bloques, Resto 7 de 8, luego multiplicamos el resultado (1) por 16, por lo

tanto hay 16 bits o 16 ceros en la dirección donde se encuentra el doble dos puntos.

En una dirección IP sólo se puede usar una sola vez los 2 :: o de lo contrario no se puede determinar el

número de bits 0 que está representando.

Prefijos IPv6

Al igual que el espacio de direcciones IPv4, el espacio de direcciones IPv6 se divide para asignar

porciones del espacio de direcciones disponibles para varias funciones; los bits de orden superior (los bits

que están en el principio de la dirección IPv6 de 128 bits) definen las áreas o porciones en las que se

divide el espacio de direcciones de forma estática y sus valores fijos se conocen como un formato de

prefijo.

IANA (Internet Assigned Numbers Authority) gestiona IPv6 y es el organismo que se ha encargado de

precisar ésta división del espacio de direcciones IPv6 y de establecer los formatos de prefijos, de la

siguiente manera:

Reservado 00000000 1/256

Reservado para NSAP 0000001 1/128

Direcciones Unicast Globales 001 (empiezan con 2 o 3) 1/8

Direcciones Unicast de Vínculo Local 1111111010 (Empiezan con FE8) 1/1024

Direcciones Unicast de Sitio Local 1111111011 (Empiezan con FEC0) 1/1024

Direcciones Multicast 11111111 (Empiezan por FF) 1/256

El resto de espacio de direcciones IPv6 no está asignado.

El conjunto actual de direcciones unicast que se puede utilizar con los nodos IPv6 consta de direcciones

globales y locales de vínculo y representan sólo el 15% del espacio de direcciones IPv6 completo.

Los prefijos IPv6 son la parte de la dirección que indica los bits que tienen un valor fijo o que son los bits

del prefijo de subred; para las subredes IPv6, enrutadores y rangos de direcciones son expresados de la

misma forma que CIDR (Classless Inter-domain Routing) en IPv4, el prefijo se escribe en connotación

Dirección/longitud-de-Prefijo, Ejemplos:

31DA:db8::/48 ó 31DA:DB8:0:10::/64

Aunque la connotación en IPv4 y en IPv6 parezca igual no tienen el mismo significado, ya que en IPv4

denota la cantidad de bits usados para la red (con valor 1) en la máscara de subred, pero para IPv6

ésta connotación indica una longitud de prefijo porque IPv6 no usa Máscaras de subred.

©

.



Tipos de Direcciones Unicast (Unidifusión) en IPv6:

Una dirección de unidifusión identifica una interfaz única dentro del conjunto de tipos de direcciones

unicast, dentro de una topología de red enrutada los paquetes dirigidos a una dirección unicast serán

entregados a una única interfaz, veamos algunos tipos de direcciones unicast usadas en un host IPv6:

Direcciones unicast globales: Equivalen a las direcciones IPv4 públicas (Sólo para uso hacia y desde

Internet), son enrutables y se les puede acceder globalmente en la parte Internet de IPv6, los 128 bits de

una dirección IPv6 Global se dividen en:

Porción fija: Los 3 primeros bits (establecida por IANA empiezan con 001), por esta razón usan el prefijo

20000::/3

El prefijo de Enrutamiento Global: Usa los 45 bits siguientes para identificar el sitio de una organización

específica en forma individual, por tanto cada sitio de una organización tendrá un prefijo de 48 bits

asignado, una vez el asignamiento se produzca, entonces los enrutadores en Internet de IPv6

empezarán a reenviar el tráfico que coincida con el prefijo de 48 bits al enrutador de la organización.

ID de subred: Usa los siguientes 16 bits, y se utiliza dentro del sitio de una organización individual para

que pueda generar hasta 65536 subredes o múltiples niveles de direccionamiento Jerárquico e

infraestructura de enrutamiento eficiente.

ID de Interfaz: Identifica una interfaz de un host dentro de una subred específica dentro de un sitio, el

tamaño para la identificación de la interfaz es de 64 bits.

Direcciones Unicast de uso Local: Se dividen en 2 tipos:

De Vínculo local: Se utilizan para las comunicaciones entre hosts vecinos conectados y para

procesos de descubrimiento de vecinos, ésta dirección unicast le permite a un host IPv6 solicitar

información de configuración de IPv6 a enrutadores IPv6 y servidores DHCP v6; ésta dirección

equivale a una dirección de APIPA (Direccionamiento IP automático) de IPv4. Una dirección

unicast de vínculo local empieza con FE80 (Prefijo FE80::/64) y continua con la ID de la interfaz de

64 bits, ésta dirección esta imitada sólo a comunicaciones dentro de un segmento de red, no se

utilizan para enrutamiento.

De Sitio Local: Se utilizan entre nodos que se comunican con otros nodos en el mismo Sitio, son

equivalentes al espacio de direcciones privadas en IPv4 (Rangos 10.0.0.0 172.16.0.0 y 192.168.0.0),

se utilizan para comunicaciones dentro de un sitio (Red de una organización o parte de la red

de una organización que tiene una ubicación geográfica definida); A diferencia de las

Direcciones de vínculo local éstas direcciones no se autoconfiguran automáticamente por tanto

deben ser asignadas a través del proceso de configuración de direcciones sin estado o con

estado.

De bucle: equivalente a 127.0.0.1 es ::1

Direcciones unicast locales únicas: Las direcciones de Sitio local IPv6 proveen direcciones privadas

como alternativa al uso de direcciones unicast globales para el tráfico en una intranet, sin embargo el

prefijo de una dirección de sitio local puede estar duplicado porque éste puede ser utilizado en

múltiples sitios dentro de una organización; la ambigüedad de las direcciones de sitio local agrega más

complejidad y dificultad para Enrutadores y las aplicaciones.

Los primeros 7 bits fijos (1111110) genera el prefijo FC00::/7 en todas las direcciones unicast locales

únicas, el bit 8 es un indicador (Indicador L de LOCAL) si se activa en 1 indica una dirección local, 0 no

se ha definido aún, entonces una dirección local única que tenga el identificador L en 1 usará el prefijo

FD00::/8

Direcciones IPv6 asignadas a Hosts y a Enrutadores:

Un host IPv6, incluyendo aquellos con una única interfaz, típicamente posee múltiples direcciones IPv6,

de forma predeterminada, las direcciones locales de vínculo se configuran automáticamente para

cada interfaz en cada host o enrutador IPv6 (para comunicarse con hosts vecinos y descubrir otras

©

.



configuraciones en routers o DHCP en IPv6), pero para poder comunicarse con nodos que no sean

vecinos el host también debe estar configurado con direcciones unicast locales de sitio o globales, el

host obtendrá las direcciones adicionales, utilizando un mecanismo de anuncios de enrutador o por

configuración manual (se puede usar el comando netsh interface ipv6 para configurar manualmente las

direcciones IPv6)

En resumen un hosts IPv6 puede configurar los siguientes tipos de direcciones:

Direcciones Unicast: Una dirección local de vínculo para cada interfaz, una dirección local de sitio para

cada interfaz, una o más direcciones globales para cada interfaz, la dirección de bucle invertido para

la interfaz de bucle invertido.

Direcciones de Multicast (para escuchar el tráfico de multidifusión): De interfaz local a todas las

direcciones de los nodos (FF01::1); De vínculo local a todas las direcciones de los nodos (FF02::1); La

dirección multicast de solicitudes de nodo en cada dirección unicast de cada interfaz; La dirección de

multidifusión para cada grupo al que se ha unido cada interfaz.

Además, los enrutadores IPv6 también tienen las siguientes direcciones:

Direcciones Multicast: De interfaz local a todas las direcciones de los enrutadores (FF01::2); de enlace

local a todas las direcciones de enrutadores (FF02::2); de Sitio local a todas las direcciones de los

Enrutadores (FF05::2).

Direcciones Anycast: Una dirección Anycast (Cualquier enrutador siguiente más próximo) de

Enrutamiento de Subred por cada subred, otras direcciones Anycast opcionales.

IDs de Zona

A diferencia de las direcciones globales, las direcciones de uso local (de vínculo local y de sitio local)

pueden volver a ser utilizadas en cada enlace por lo que éstas direcciones presentan ambigüedad

debido a esta capacidad de reutilizar la dirección, por lo tanto es necesario que éste tipo de

direcciones tengan un identificador que nos permita saber qué dirección está configurada sobre cual

vínculo, o donde está localizada, o dentro de cual sitio la dirección está asignada o localizada.

Este identificador es el ID de Zona o ID de ámbito, se identifica en una dirección IPv6 de uso local así:

dirección_IPv6%ID_Zona

Los valores de ID de Zona se definen en relación al host que envía, por lo tanto, distintos hosts pueden

determinar valores de ID de Zona diferentes para la misma zona física.

Ejemplo: un host A puede utilizar 3 para representar el ID de zona para una IP atada a un vínculo y Host

B puede utilizar 4 para representar el mismo vínculo (segmento de red). Para ver información de

direcciones IPv6 con ID de Zona use el comando IPCONFIG

Los Id de Zona se definen según lo siguiente:

Para direcciones de vínculo local el ID de Zona suele ser el índice de interfaz (número entero a

partir de 1 y que se asigna a las interfaces IPv6 tales como las interfaces de red, las de túnel y las

de loopback) para la interfaz en la que se ha asignado la dirección, para obtener la lista de

índices y ver las interfaces asociadas usar el comando Netsh interface ipv6 show interface.

Para direcciones de Sitio local el ID de zona es el Identificador de sitio (número entero asignado

a un sitio de una organización); si la organización no reutiliza los prefijos de direcciones de sitio

local entonces el Sitio ID se configura como 1 por defecto. Para saber los ID de Site usar el

comando:

Netsh interface ipv6 show address level=verbose.

©

.



Autoconfiguración de direcciones IPv6

Un host puede pasar por varios estados cuando inicia un proceso de autoconfiguración, existen

múltiples formas para asignar una dirección IP y su información, de acuerdo a como este configurado el

enrutador un cliente puede utilizar configuración sin estado (Sin el Servicio DHCP) o con estado

(involucra un servidor DHCP) para asignar la dirección IP y otra información de red o simplemente

asignar información de red (Servidores DNS, Sufijos DNS).

Los estados por los que pasa un host autoconfigurado son:

Tentativo: es el estado mientras verifica si la dirección IP es única para evitar direcciones IP

duplicadas, en éste estado el host no puede recibir tráfico unicast en ésta dirección, sin

embargo si puede usar protocolos multicast como mensajes de advertencia de vecinos

enviados en respuestas a mensajes de solicitudes de vecinos lo cual permite que le host valide si

la IP es única.

Válido: La dirección ha sido verificada como única, y puede enviar y recibir tráfico unicast, éste

estado cubre otros 2 estados (Preferido y Desaprobado). El tiempo de vida válido contenido en

un paquete multicast de advertencia de enrutador determina el tiempo que la dirección

permanece en estado tentativo y válido, el tiempo de vida válido debe ser igual o superior al

tiempo de vida preferido. Una dirección I válida es o preferida o desaprobada.

Preferida: Permite a un nodo enviar y recibir tráfico unicast desde y hacia él.

Desaprobada: La dirección es válida, pero su uso esta desaprobado para nuevas

comunicaciones, sesiones de comunicación existentes pueden continuar utilizando una

dirección desaprobada para enviar y recibir tráfico unicast hacia y desde él.

Inválida: La dirección ya no permite al nodo enviar o recibir tráfico unicast, una dirección entra

en el estado inválido después que el tiempo de vida expira.

Tipos de configuración automática:

Sin estado: La configuración de la dirección se basa en la recepción de mensajes de anuncios

de un enrutador con información de 2 indicadores (O= Other stateful y M=Managed Address

configuration) en éste caso los 2 indicadores se envían con valor 0 y con uno o más opciones de

configuración de prefijos.

Con estado: La configuración se basa en la utilización de un protocolo de configuración de

direcciones con estado como DHCPv6 para obtener direcciones y otras opciones de

configuración (esta comunicación se hace utilizando la dirección IPv6 de vínculo local que el

host se auto asignó en lugar de paquetes de difusión como se hace en IPv4). El host utiliza la

configuración de direcciones con estado cuando recibe mensajes de anuncios de un enrutador

sin opciones de prefijo y los indicadores O y/o M están configurados a 1. El host también usa éste

mecanismo de autoconfiguración si no hay enrutadores presentes en el vínculo local.

Esta forma de configurar los hosts IPv6 le permite a una organización controlar como las direcciones IP

son asignadas o porque quizás una organización quiera implementar otros servicios que dependan de

DHCP como NAP o simplemente si tenemos que configurar más opciones del protocolo IPv6.

Ambos: Se basa en la recepción de mensajes de anuncios de un enrutador con información de

opciones de prefijo y los indicadores M o O configurados en 1.

Coexistencia con IPv6

Ipv6 apareció con la idea de sustituir a IPv4 pero también se debe reconocer que IPv4 está demasiado

extendido e implementado a nivel mundial por lo que ésta transición será lenta y tardará mucho años,

es por ello que junto al protocolo IPv6 también se desarrollaron técnicas que permiten convivir a IPv4

con IPv6 y así ofrecer a las organizaciones la posibilidad de ir implementando IPv6 sin quitar de lleno

IPv4.

©

.



El primer paso fue introducir en los sistemas operativos los 2 protocolos para permitir usar IPv4, los 2 para

que se puedan establecer comunicaciones en cualquiera de los 2 entornos o usar sólo IPv6.

Según el sistema operativo conviene saber qué tipo de nodo es y su implicación en los procesos de

transición a IPv6, según éste aspecto los tipos de Nodos pueden ser:

Nodo sólo IPv4: implementa sólo IPv4 (y sólo tiene las direcciones IPv4) y no es compatible con

IPv6. La mayoría de hosts y routers instalados hoy en día son nodos sólo IPv4.

Nodo sólo IPv6: implementa sólo IPv6 (y sólo tiene las direcciones IPv6) y no es compatible con

IPv4. Este nodo es capaz de comunicarse sólo con nodos IPv6 actualmente no es muy común

pero se prevé que empiecen a aparecer en dispositivos como teléfonos móviles y PDA.

Nodo IPv6/IPv4: Es un nodo que implementa ambos protocolos

Nodo IPv4: Implementa IPv4 y puede ser sólo IPv4 o IPv6/IPv4

Nodo IPv6: Implementa IPv6 y puede ser sólo IPv6 o IPv6/IPv4.

Para que la coexistencia se de, la mayoría de nodos (IPv4 ó IPv6) pueden comunicarse bajo una

infraestructura IPv4, una infraestructura IPv6 o una infraestructura combinada, la migración se alcanza

completamente cuando todos los nodos IPv4 son convertidos a nodos sólo IPv6, pero realmente se logra

la migración cuando a efectos prácticos cuando los nodos sólo IPv4 se conviertan en nodos IPv6/IPv4.

Los mecanismos que ofrece Microsoft para que empiece a darse la coexistencia son los siguientes:

Arquitectura de capa dual: Windows Vista / 2008 contiene las 2 capas pero con una sola capa

de transporte, es el mejor tipo de nodo para coexistir porque tiene menos ficheros que mantener

y no necesita instalación del protocolo por separado, los 2 protocolos están activos por defecto

y puede generar paquetes Pv4, IPv6 o encapsular IPv6 con encabezados IPv4.

Arquitectura de doble Pila: Windows XP / 2003 contiene las 2 capas de IP con implementaciones

de transporte separadas, el driver del protocolo IPv6 tcpip6.sys puede usar la arquitectura de

doble pila.

Infraestructura DNS: Es muy importante por la dificultad de usar las connotaciones numéricas en

IP, haciendo indispensable el uso de nombres para acceder a los recursos (Registros A y AAAA).

Como hemos visto un host puede activar múltiples direcciones IPv6 (Global, de vínculo local, de

sitio local), en consecuencia es posible que un servidor DNS contenga entradas de registro

múltiples para un host, entonces cuando un host consulta a DNS obtendrá todas las direcciones

IP registradas a continuación debe decidir cuál de ellas utilizará para comunicarse basándose

en reglas de selección de direcciones (configurables en el host, se pueden ver con el comando

Netsh interface ipv6 show prefixpolicies).

Túneles IPv6 sobre IPv4: Es una tecnología de encapsulamiento de paquetes IPv6 con

encabezados IPv4, para que los paquetes sean enviados dentro de una infraestructura IPv4. El

encabezado IP se reconoce como versión 41, y en las direcciones IP de origen y destino del túnel

se usan las direcciones IPv4. No se debe confundir el túnel IPv6 sobre IPv4 con los túneles de

Acceso remoto (PPTP o L2TP) ya que no sirven para establecer seguridad, ni se establece una

conexión inicial.

Tecnologías de Túnel IPv6

Una transición exitosa a IPv6 exige la convivencia provisional de los nodos IPv6 en IPv4 que es el entorno

predominantemente a día de hoy, para soportar esta convivencia se desarrollaron procesos de

encapsulamiento (Túnel) automático bajo infraestructuras enrutadas de IPv4.

Los túneles pueden usar distintas formas a saber:

Enrutador a enrutador.

Host-a-Enrutador o Enrutador-a-Host

Host-a-Host

Así mismo los túneles pueden ser del siguiente tipo:

©

.



Configurados: Son creados manualmente, usualmente para comunicación Enrutador-Enrutador.

Automáticos: No requieren intervención manual y se determinan por el uso de rutas, las

direcciones usadas son IPv6 atadas a interfaces de túnel lógicas.

Las tecnologías de túnel que podemos usar son:

6to4: es una tecnología de túnel automático y asignación de direcciones que se utiliza para

comunicaciones unicast entre sitios y hosts IPv6 a través de Internet IPv4, 6to4 trata Internet IPv4 entero

como un único vínculo; una dirección 6to4 WWXX:YYZZ es una representación hexadecimal de una IPv4

pública w.x.y.z

Enrutador 6to4 : Activa el reenvío Ipv6 sobre las interfaces privadas y las de túnel 6to4, conecta la

interfaz privada a una única subred interna y usa direcciones IPv4 privadas del rango 192.168.0.0/24,

luego se anuncia un prefijo de subred de 64 bits IPv6 a la subred privada, derivando en direcciones IPv6

como 2002:WWXX:YYZZ:Indice-Interfaz::/64 (el índice de interfaz es el de la interfaz privada) ; ahora el

enrutador envía notificaciones que indican que el ICS (Internet Connection Sharing) está activado y se

configura como el enrutador predeterminado.

Uso de 6to4: Dentro de un sitio el enrutador notifica el prefijo de subred 2002:WWXX:YYZZ:ID_Subred::/64

para que los hosts autoconfiguren direcciones 6to4. los enrutadores IPv6 dentro del sitio entregan tráfico

entre los hosts 6to4; los hosts en la subred individual son configurados automáticamente con una ruta de

su red de 64 bits para entrega directa a sus vecinos y una ruta predeterminada con una dirección de

siguiente salto del enrutador de notificación, trafico IPv6 que no coincide con ninguno de los prefijos de

su red que el sitio usa es reenviado a un enrutador 6to4 en el sitio, este enrutador tiene una ruta 2002::/16

que reenvía el tráfico a otros sitios 6to4 y una ruta predeterminada (::/0) que reenvía tráfico a un

reenviador 6to4.

ISATAP (Intra Site Automatic Tunnel Addressing Protocol): es una tecnología de túnel automático y

asignamiento de direcciones ISATAP usado para proveer conectividad unicast IPv6 entre hosts IPv6/IPv4

en una intranet IPv4, no requiere configuración manual y genera las direcciones ISATAP usando

mecanismos de autoconfiguración, éste método de túnel se utiliza dentro de un sitio (Intrasite) y está

activo por defecto.

Enrutador ISATAP: Permite la comunicación entre los clientes IPv6 en una subred IPv4 o que se

comuniquen con otros hosts IPv6 puros o en una red mixta.

Uso de ISATAP: se puede iniciar de múltiples formas, lo primero que se debe hacer es permitir que

un host IPv4 pueda identificar el enrutador ISATAP y para ello debe poder resolver el nombre

ISATAP en una dirección IPv4 (usando DNS, WINS, ficheros hosts) o ejecutando el comando:

Netsh interface IPv6 ISATAP set router (IP o nombre del Enrutador ISATAP)

Una vez el Enrutador es resuelto, el host se comunica con éste usando IPv4, entonces el router le

proveerá información de configuración ISATAP como el Prefijo de red y si éste será el enrutador

predeterminado.

Teredo: le permite establecer un túnel a través de la red IPv4 cuando los clientes están detrás de un NAT

IPv4, fue creado por que muchos enrutadores usan NAT para definir un espacio de direcciones privado

para redes corporativas, se trata de una tecnología de transición para conectividad IPv6; si IPv6 nativo,

ISATAP, o conectividad 6to4 está activa entre los nodos no use Teredo.

Los componentes Teredo son:

El cliente Teredo: este nodo soporta IPv6/IPv4 una interfaz del túnel teredo a través del cual los

paquetes son encapsulados a otro cliente teredo en Internet IPv6 a través de un reenviador

teredo.

Servidor Teredo: este nodo IPv6/IPv4 conecta a Internet en IPv4 e IPv6, la función del servidor

Teredo es ayudar en la configuración inicial del cliente teredo y facilita la comunicación inicial

entre el cliente teredo en diferentes sitios o entre clientes teredo y hosts solo IPV6 a Internet IPv6.

©

.



Reenviador Teredo: este enrutador IPV6/IPv4 puede reenviar paquetes entre clientes teredo en

Internet IPv4 y hosts solo IPv6, en Internet IPv6.

Reenviador de Host Especifico Teredo: Este nodo IPv6/IPv4 sirve como interfaz con y conecta a

Internet IPv4 e IPv6 adicionalmente comunica directamente con clientes teredo sobre Internet

IPv4 sin necesidad de un reenviador Teredo intermedio; la conectividad a Internet IPv4 puede ser

a través de una dirección IPv4 publica o a través de una dirección IPv4 privada y una vecindad

NAT; la conectividad a Internet IPv6 puede ser a través de una conexión directa a Internet IPv6 o

a través de una tecnología de transición IPv6, como por ejemplo 6to4.

PortProxy: Puedes usar el servicio PortProxy como un servicio de puerta de enlace a nivel de aplicación

para nodos o aplicaciones que no soportan IPv6, facilitando la comunicación entre nodos o

aplicaciones que no pueden comunicar usando un tipo de dirección común IPv4 o IPv6 y puerto TCP, el

principal propósito del servicio es permitir la comunicación de nodos IPv6 con aplicaciones TCP IPv4.

PortProxy puede traspasar solo datos TCP y soporta solo protocolos de capa de aplicación que no

incorporen direcciones o información de puerto dentro de los datos de la aplicación; no podrá cambiar

información de direccionamiento en la capa de aplicación por tanto no ofrece flexibilidad, se

recomienda entonces utilizar otras tecnologías de túnel para evitar estos problemas.

Transición desde IPv4 to IPv6

La migración desde IPv4 a IPv6 se espera que tome un tiempo considerable, esto se tuvo en cuenta

cuando se diseñó IPv6 como resultado el plan de transición para IPv6 es un proceso de múltiples pasos

que permiten la coexistencia; para alcanzar el objetivo de un entorno IPv6 puro, le recomendamos las

siguientes guías:

Actualice las aplicaciones para que sean independientes de IPv6 o IPv4; las aplicaciones deben

usar las nuevas interfaces de aplicaciones para que la resolución de nombres, creación de

socket y otras funciones sean independientes del uso de IPv4 o IPv6.

Actualice la infraestructura de DNS para soportar direcciones IPv6 y registros PTR, DNS entonces

debe permitir la creación de registros AAAA y registros PTR en el dominio inverso IP6.ARPA,

adicionalmente debería permitir actualización dinámica para registrar los nombres y las

direcciones IPv6 automáticamente.

Actualice los hosts a nodos IPv6 / IPv4 para usar doble capa o doble pila, también deben

soportar resolución DNS para que las consultas contengan direcciones IPv4 e IPv6; despliegue

ISATAP para asegurar que los hosts IPv6/IPv4 se puedan comunicar bajo una intranet solo IPv4.

Actualice la infraestructura de enrutamiento a enrutamiento nativo IPv6, esto se consigue

actualizando los enrutadores para que soporten enrutamiento nativo IPv6 y protocolos de

enrutamiento IPv6.

Convierta los nodos IPv6/IPv4 a nodos solo IPv6, este debería ser un objetivo a largo término por q

esto tomara años para que todos los dispositivos de la red, actual solo IPv4 se actualice a solo

IPv6. aquellos nodos solo IPv4 que no se puedan actualizar a IPv6/IPv4 o solo IPv6 se debe

emplear puertas de traslación como sea apropiado para que nodos solo IPv4 comuniquen con

nodos solo IPv6.

Solución de problemas IPv6

Las herramientas y técnicas que se pueden usar para identificar un problema sobre las distintas capas

de la pila de protocolo TCP/IP que use la capa Internet IPv6 dependen del problema que podamos

tener. Los métodos que podemos usar para solucionar problemas deben ser:

Verificar conectividad IPv6: Realice las siguientes tareas, verifique la configuración (Ejecutar

comandos Ipconfig para ver la configuración de los dos protocolos o NETSH) verifique el

enrutamiento (Comprobar políticas IPSEC, configuración de firewalls, comprobación de

enrutadores para filtrar puertos, vea la tabla de enrutamiento) verifique la fiabilidad del

©

.



enrutador (Use PATHPING para resolver la ruta tomada por los paquetes, este método detecta

cuellos de botella o configuración del Hardware de red erróneo)

Verifique la resolución de nombres DNS para direcciones IPv6: si la conexión usando las

direcciones IPv6 funciona pero usando los nombres de host no, entonces el problema es la

resolución de nombres. Suele ser un problema con la configuración del cliente DNS o registros

DNS, verifique las siguientes tares para ayudarle a resolver las siguientes tareas: Ver la

configuración DNS (IPCONFIG /all) consulte el caché del cliente DNS o elimínelo (IPCONFIG

/displaydns e IPCONFIG /flushdns) pruebe resolver el nombre DNS con un ping, use la

herramienta NSLOOKUP para ver las respuestas del servidor DNS.

Verifique secciones TCP basadas en IPv6: si la resolución de nombre está funcionando pero no se

puede establecer conexión TCP con un host de destino se debe comprobar filtrado de paquetes

y el establecimiento de conexión TCP.

Resumen:

Podemos decir que TCP/IP en la versión 6 ha incrementado el espacio de direcciones de una forma

muy amplia que proveerá en años a los múltiples dispositivos y usuarios que requieran hacer uso de

Internet, será posible establecer comunicaciones de host a host sin pasar por sistemas de traducción de

direcciones (NAT) haciendo posible establecer técnicas de seguridad como IPSEC, el protocolo será

más eficiente debido a que el control de calidad en la entrega de paquetes está incorporado en el

encabezado IP, también como hemos visto es un protocolo que no necesita intervención administrativa

para configurarse a menos que la infraestructura requiera el uso del DHCP, el cambio en el

funcionamiento del protocolo será muy difícil entenderlo en éste momento pero se espera que a

medida que se vaya extendiendo seamos capaces de manejarlo y configurarlo debidamente.

También se deduce que el sistema de resolución de nombres de Dominio basados en DNS es una parte

fundamental para el buen desempeño de éste protocolo por que al hacer que los dispositivos sean

autoconfigurados ya no podemos saber las direcciones IP que se auto asignan y por otro lado es muy

difícil aprendernos las direcciones de los equipos en formato hexadecimal de los 128 bits que usa la

dirección IP, es por ello que se debe empezar a usar los nombres de los hosts en lugar de las direcciones

IP y DNS con el uso de registros AAAA y PTR garantizan el buen funcionamiento de la red

No olvidemos que se tienen herramientas muy importantes de Túnel que nos permiten convivir con los 2

esquemas de direccionamiento mientras aprendemos mucho más sobre el comportamiento de las

redes IPv6.

Recuerde:

Las direcciones IPv6 tienen distintos tipos de uso así:

De vínculo local (como las de APIPA en IPv4) sirven para permitir la conexión dentro del mismo

segmento de red, son importantes porque a través de ellas se descubre información adicional en IPv6

desde enrutadores y otros nodos.

Globales (En IPv4 son las direcciones públicas) se usan exclusivamente para acceso de hosts IPv6 en

Internet.

Sitio Local (En IPv4 son las Direcciones IP Privadas) se usan para permitir la comunicación entre

delegaciones físicas o segmentos de red separados dentro de una organización.

ARP y Broadcast es eliminado en IPv6 para ello usa mulltitudes de paquetes Multicast (mejora el uso de

ancho de banda en una red).

Los principales beneficios de IPv6 son la Ampliación del direccionamiento IP ya que la versión 4 está

saturada, Direccionamiento de IPv6 y enrutamiento controlado en forma jerárquica por los dispositivos

de enrutamiento y mejor seguridad integrada en el propio protocolo.

©

.



Para configurar la dirección IPv6 en un cliente podemos realizarlo a través del enrutador IPv6

publicando un Prefijo de red, esto ya es suficiente para que el host tome esa red y se auto asigne una

dirección, otra forma es usando DHCP o direccionamiento IP estático o fijado en forma manual.

La única dirección que se auto genera en el equipo sin la intervención de un administrador u otro

dispositivo es la de Vínculo local.

Las técnicas de túnel IPv6 nos permiten hacer convivir el direccionamiento IPv4 con Nodos IPv6.

Existen 3 técnicas de Túnel, ISATAP usado sólo para redes dentro de una organización, 6to4 usado para

intercambiar información con hosts IPv6 en Internet y Teredo que nos permite intercambiar información

con hosts IPv6 en Internet pero pasando por dispositivos que activan NAT.

Si no es posible el establecimiento de Túnel en los hosts porque son Nodos sólo IPV4 la recomendación es

usar Portproxy que es un Gateway que es capaz de pasar datos de una red a otra en todas las capas

de la OSI.

Ver Vídeo: Configuración y Resolución de problemas con TCP-IP V6,


Laboratorios

Laboratorio 1 Configuración de IPv6

1. La configuración de red de un cliente IPv6 son asignadas dinámicamente usando una dirección

IPv6 de vínculo local o la dirección es provista des de un enrutador configurado para soportar IPv6,

en éste ejercicio veremos cómo configurar un Enrutador para configurar dinámicamente una

Dirección IPv6 Global

2. En primer lugar usaremos un servidor de Windows 2008 con 2 adaptadoras de red configuradas en

segmentos de red separados

©

.



3. Veamos la configuración del TCP/IP antes de comenzar, hacer un IPCONFIG y observamos que el

enrutador tiene direcciones en IPv4 de acuerdo a los segmentos adecuados, pero en IPv6, si está

habilitado, observamos una dirección IPv6 de vínculo local autoconfigurada (empieza con fe80)

en cada una de las tarjetas de red.

4. A continuación activaremos en la adaptadora que conecta la red interna el enrutamiento

(Forwarding) y activaremos el protocolo de envío de notificaciones de prefijos de red en IPv6

(Advertise). El comando que se utiliza para ésta función es NETSH INTERFACE IPV6 SET INTERFACE

“Nombre de la adaptadora interna del enrutador” forwarding=ENABLED advertise=ENABLED

©

.



5. El siguiente paso es agregar el Prefijo IPv6 que queremos permitir activar en los clientes, para ellos

usamos el comando NETSH INTERFACE IPV6 ADD ROUTE (Prefijo IPv6, en este caso activaremos una

IPv6 Global única) “Nombre de la adaptadora de red sobre la que se agrega la ruta” PUBLISH=YES.

6. A continuación volvemos a hacer IPCONFIG para ver la información de direccionamiento IPv6,

observamos que sobre la adaptadora de la red privada se genera automáticamente una

dirección IPv6 en el prefijo configurado en el paso anterior.

7. Ahora los equipos de la red interna que tengan activo IPv6 a través de la dirección IPv6 de vínculo

local enviarán mensajes de solicitud de enrutador que serán respondidas por el enrutador que

hemos configurado.

8. Veamos la configuración de red IPv6 de un cliente Windows Vista que está en el mismo segmento

de Red de la “Red Privada”

9. Observemos que Windows Vista genera 2 direcciones IP en el mismo prefijo de red (2001:DB8::/64)

una de ellas la configura como dirección Temporal (en este caso es una medida de seguridad

porque una dirección IPv6 toma como ID de Interfaz la dirección MAC de la tarjeta de red,

©

.



entonces para evitar cualquier rastreo hasta el equipo en direcciones IPv6 Globales, el sistema

genera 2 direcciones IP la real y otra que se va cambiando con el tiempo, ésta es la usada para

conectarse a Internet).

10. Además también notamos que la dirección Ipv6 de vínculo local (FE80) sigue estando activa sobre

el adaptador.

Laboratorio 2. Configuración de un cliente IPv6 desde un

servidor DHCPv6 (Estado Completo)

1. El primer paso es configurar el modo sin estado en el servidor DHCP, Recordar que durante la

instalación del DHCP (visto en el módulo anterior) en una de las ventanas de instalación de la

Función Servidor DHCP habilitamos el Modo Sin estado (permite usar el DHCP para configurar los

clientes IPv6)

©

.



2. Sobre el Servidor DHCP configuramos las opciones y el rango de direcciones IPv6 a conceder,

observamos que hay algunas opciones ya establecidas esto es debido al proceso de instalación

de la función DHCP.

3. Para crea un ámbito en DHCPv6 sobre Ipv6 clic derecho y seleccionar Ámbito nuevo

©

.



4. Se iniciará un asistente para la creación del ámbito.

5. Asignamos un nombre para el ámbito.

©

.



6. A continuación establecemos le prefijo de red en IPv6 que queremos conceder a los clientes. (La

preferencia corresponde a la prevalencia de uso cuando un equipo tenga múltiples IPv6).

7. A continuación se agregaran exclusiones si es necesario, no serán concedidas por DHCP.

©

.



8. A continuación se seleccionan los tiempos de duración para la concesión de la dirección IPv6

tanto para la dirección no temporal como para la temporal.

9. Marcamos la opción de activar el ámbito y finalizar.

©

.



10. Si se quiere es posible modificar las opciones como sea necesario para que los clientes además de

configurar la IP obtengan información de opciones como los servidores DNS y el sufijo de búsqueda

DNS a utilizar.

11. Para crear la opción del Servidor DNS, asignamos una IP estática al Servidor DNS para luego

agregar la opción

12. Para asignar una IPv6 en forma estática en el Servidor DNS abrir el centro de redes y recursos

compartidos, en la conexión clic derecho propiedades.

13. Ahora sobre el protocolo TCP/IPv6 en propiedades.

©

.



14. Usar una dirección IPv6 con una longitud de prefijo, puerta de enlace y Servidor DNS (::1 equivale

a loopback) y aceptar.

15. Comprobamos la dirección IPv6 usando el comando IPCONFIG.

©

.



16. Ahora si podemos agregar la opción de ámbito Servidor DNS.

17. Seleccionamos la opción 00023 y agregamos la dirección IPv6 del Servidor DNS dada

estáticamente en el paso anterior

©

.



18. A continuación veremos la nueva opción configurada en el ámbito.

19. Para que los clientes reciban la dirección IP desde el Servidor DHCP es necesario configurar el

enrutador para que lo informe a los clientes a través de los anuncios para ello debemos configurar

los identificadores:

20. M (Managedaddress en 0= La IP será autoasignada desde el Enrutador y 1= LA IP será entregada

desde el DHCP)

21. (Otherstateful en 0= El cliente no recibirá opciones desde el DHCP y 1= Puede recibir otros valores

de configuración además de la dirección IP)

22. En este caso sobre el enrutador en la adaptadora de cara a los clientes IPv6 se activan M=1 y O=1

23. Además se publica el Prefijo de red para que usen a éste Enrutador con ésta interfaz como

enrutador preferido para éste Prefijo

©

.



24. Los clientes deben estar ya recibiendo direcciones IPv6 del ámbito configurado, podemos verlo en

el nodo Concesiones de direcciones.

25. Otro aspecto a controlar es la generación de Registros en DNS tanto en Zonas de búsqueda

directa como inversa.

26. Para soportar IPv6 en DNS vemos cómo se registran las direcciones Ipv6 en la zona de búsqueda

directa. Observamos el tipo de registro AAAA para IPv6.

27. Para crear una Zona de búsqueda Inversa en DNS sobre Zonas de búsqueda inversa escoger Zona

Nueva.

©

.



28. En el asistente de la creación de zona seleccionamos Zona Principal.

29. A continuación seleccionamos Zona de búsqueda Inversa para IPv6.

©

.



30. Agregamos el Prefijo IPv6 sobre la que se espera los clientes generen los registros.

31. Escribir un nombre de fichero DNS.

©

.



32. Permitir la actualización dinámica para que los clientes puedan generar los registros

dinámicamente en la zona.

33. Al final del asistente pinchar en Finalizar para crear la zona.

34. Ahora en un cliente configurado con IPv6 ejecutar:

IPCONFIG /REGISTERDNS para generar los registros A, AAAA, PTR en las zonas de búsqueda respectivas

©

.



35. Sobre las zonas de búsqueda directa vemos los registros DNS AAAA (VistaCli1)

36. Y en la Zona de búsqueda inversa IPv6 observamos los registros PTR del mismo cliente.

©

.



Laboratorio 3. Configuración de un Enrutador ISATAP

1. ISATAP es una de las tecnologías que nos permite empezar un proceso de migración de una

infraestructura IPv4 a IPv6 de tal manera que los clientes IPv4 puedan comunicarse con clientes

IPv6 y viceversa en una infraestructura IPv4.

2. El primer paso que haremos es activar un enrutamiento normal entre las 2 redes en IPv4, para este

propósito usamos un servidor de Windows 2008 con las 2 adaptadoras de red configuradas en las 2

redes IPv4 (En éste caso el mismo que usamos en el ejercicio1, con una adaptadora de red

llamada “Red Privada” tiene direccionamiento IPv4 en el Segmento 192.168.100.0 y la segunda

adaptadora llamada “conexión a Internet” configurada con direccionamiento IPv4 en el

segmento 172.16.0.0)

3. Ahora activamos el enrutamiento entre las adaptadoras de red modificando la clave de registro:

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\

Y modificar la clave IPEnableRouter con un valor 1

4. Ejecutar el comando REGEDT32 y buscar la clave mencionada para modificar el valor

©

.



5. Reiniciamos el Servidor que hace la función de Enrutador para que la clave de registro tenga

efecto.

6. Para éste ejercicio activaremos 2 Clientes Windows Vista (VistaCli1 en la Red 192.168.100.0 y

Windows VistaCli2 en la red 172.160.0.0) de momento configuraremos en los 2 direccionamiento

IPv4 para comprobar que el enrutamiento funcione adecuadamente.

7. Sobre el cliente VistaCli2 configuramos una dirección IPv4 estática en el segmento de red

172.16.0.0 y usando como puerta de enlace la dirección IP del enrutador configurado en el paso

anterior en el mismo rango

8. En el centro de redes y recursos compartidos, seleccionar la opción Administrar conexiones de red

y sobre la adaptadora de red hacer clic derecho y seleccionar propiedades, a continuación

desmarcar el Protocolo de Internet versión 6 (TCP/IPv4) para desactivarlo.

©

.



9. Ahora en IPv4 asignar una dirección estática en el rango 172.16.0.0 y usando como puerta de

enlace la IP del enrutador en éste segmento y aceptar.

10. Antes de desactivar el protocolo IPv4 en el cliente vista de la red Privada comprobamos si hay

comunicación entre los 2 equipos clientes vista a través del enrutador.

11. La prueba la haremos con un ping, por tanto debemos permitir el tráfico ICMP en el Firewall de

Windows de cada equipo (Clientes Vista).

12. Para hacerlo entrar en el Firewall con seguridad avanzada ejecutando el comando WF.MSC

©

.



13. Pinchar en continuar para elevar los privilegios, en el nodo Reglas de entrada hacemos clic

derecho y seleccionar Nueva Regla.

14. En el asistente seleccionar la opción Personalizada y siguiente.

©

.



15. Seleccionar Todos los Programas, siguiente.

16. En tipo de protocolo seleccionar el protocolo ICMPv4 y luego pinchar en personalizar.

©

.



17. Sobre el Tipo específico de ICMP marcar Petición eco y Aceptar y luego Siguiente.

18. Como dirección IP local y remota seleccionar Cualquier dirección IP en ambos casos y dar

siguiente.

©

.



19. En la acción seleccionar Permitir la conexión y luego siguiente:

20. Aplicar la regla en los 3 perfiles del firewall luego dar siguiente:

©

.



21. Asignar un nombre a la regla y luego finalizar

22. La regla debe mostrarse activa y en verde en la consola del firewall.

©

.



23. Realizamos el proceso de crear la regla en el otro equipo con Windows Vista

24. Cuando este creada la regla podemos probar el ping entre los 2 clientes vista desde un extreme

de red a otro si obtenemos respuestas entonces el enrutamiento funciona adecuadamente (tener

precaución en que los clientes estén configurados correctamente con las puertas de enlace

correspondiente

25. Probamos en los 2 sentidos la comunicación, primero desde el VistaCli2 hacia el VistaCli1.

26.

27. Como vemos el enrutamiento IPv4 está funcionando entre las 2 redes.

28. El Cliente que quedará solo con IPv6 le entregaremos la configuración a través del enrutador,

(procedimiento del Ejercicio1) pero recordamos el procedimiento en la siguiente gráfica

29. En el Enrutador Activar la adaptadora de Red privada con Anuncios, enrutamiento y el prefijo de

configuración de la red IPv6.

©

.



30. Sobre el Cliente Windows Vista (VistaCli1) de la red Privada desactivamos el protocolo IPv4, en el

centro de redes y recursos compartidos, entrar en la configuración de la tarjeta de red y

desmarcar el Protocolo TCP/IP Versión 4 para Desactivarlo.

31. Verificamos la configuración usando el comando IPCONFIG, observamos que el cliente No tiene

configuración IPv4, no tiene adaptadoras de Túnel y la configuración IPv6 ha sido obtenida desde

el enrutador (direcciones 2001:db8:0:1::/64)

32. En este escenario tenemos un Nodo IPv4 en una red separada de la red del Nodo IPv6, en estas

condiciones no puede haber comunicación entre ellos.

©

.



33. Configuraremos un enrutador ISATAP para activar la posibilidad de comunicación entre los 2

nodos.

34. En el Enrutador vamos a Activar ISATAP, para ello usaremos una adaptadora de túnel incluida en

los sistemas operativos a partir de Windows Vista en adelante, estas adaptadoras de túnel las

vemos con los nombres de “Conexión de área local* (número)” generalmente estas

desconectadas (Service pack 1 en adelante), para saber los nombres de las adaptadoras de túnel

usamos el comando IPCONFIG, observamos que en el ejemplo existe una adaptadora de túnel por

cada adaptadora física de red.

35. Activar el Router ISATAP con el comando: netsh interface ipv6 set router (dirección IP en versión 4

del enrutador).

36. Al hacer esto las adaptadoras de túnel se iniciarán (Como el sistema crea un adaptador de túnel

por cada interfaz física conectada, por tanto debemos asegurarnos cuál es la interfaz de túnel

que está configurada de cara a los equipos IPV4), observamos que las adaptadoras de túnel

toman una dirección FE80:5EFE:Dirección IPv4 de la tarjeta de red a la que corresponden, en éste

ejemplo la adaptadora de túnel que corresponde a la red 172.16.0.0 es la que se llama “Conexión

de área local*”

©

.



37. A continuación agregaremos el comando para que la adaptadora de túnel ISATAP pueda realizar

enrutamiento y generar anuncios para configurar los clientes.

38. Ahora agregamos el prefijo de red IPv6 para que los clientes ISATAP configuren una dirección IPv6

ISATAP en éste prefijo de red.

39. Reiniciar el servidor RAS y entrar nuevamente para ver la configuración en las adaptadoras de

túnel para ISATAP, observamos que se ha agregado una dirección IPv6 en el sufijo que agregamos

en el paso anterior seguido de un valor constante 5EFE y a continuación la dirección IPv4 en

connotación decimal (2001:DB8:0:10:0:5EFE:172.16.0.253).

©

.



40. Ahora veamos el cliente Vista en la Red IPv4, como no tenemos publicado el Enrutador ISATAP en

DNS entonces lo configuramos en forma manual en el cliente usando nuevamente el comando:

41. Netsh interface ipv6 isatap set router 172.16.0.253 (Es importante tener privilegios administrativos

para ejecutar el comando, por tanto abrir el símbolo del sistema como Administrador), observamos

como el cliente IPv4 activa la adaptadora de túnel y configura una dirección IPv6 en el rango del

prefijo agregado en el Enrutador.

©

.



42. A continuación tomamos nota de la dirección IP en el cliente Windows Vista de la red privada

(VistaCli1).

©

.



43. Hacemos un ping en IPv6 desde el cliente IPv4, observamos que hay respuestas correctas entre los

2 equipos.

44. La fase final de una migración de IPv4 a IPv6 consistirá en hacer que todos los clientes usan sólo

IPv6 y puedan intercambiar información sin necesidad de usar adaptadoras de túnel.

©

.



Unidad 6. Configuración y Solución de Problemas con Acceso a Redes

Objetivos

Al finalizar ésta unidad el alumno estará en capacidad de:

Conocer el proceso de instalación y configuración de un Servidor de acceso remoto.

Diferenciar los conceptos de Autenticación y Autorización.

Comprender la función de cada uno de los componentes que intervienen en una infraestructura

de acceso remoto.

Conocer los protocolos de Autenticación y cifrado implementados en las conexiones de acceso

remoto.

Diferenciar los beneficios que suministran los distintos protocolos de VPN en el acceso remoto.

Establecer un sistema de autorización de acceso remoto implementando múltiples directivas de

red.

Elaborar una directiva de red y determinar su orden de ejecución en un servidor de acceso

remoto.

Introducción

El mundo actual cada vez necesita más de la movilidad de las personas para el desarrollo de su trabajo

por lo tanto se necesitan soluciones para que estos usuarios puedan acceder a los recursos internos de

una organización pero sin poner en riesgo la seguridad de la misma, por ello se hace necesario

implementar una infraestructura que garantice un acceso fácil pero seguro protegiendo las

credenciales de autenticación y el transporte de la información de una manera cifrada.

Windows Server 2008 incluye Directivas de red y Servicios de Acceso que ofrecen soluciones para la

conectividad en múltiples tipos de escenarios (depende las necesidades de la organización), tales

como:

NAP que además de los procesos habituales de autenticación y autorización determina el estado de

seguridad en los equipos utilizados por los usuarios, dicho estado debe estar de acuerdo a unas

directivas exigidas por una organización; Mejora la seguridad en las redes inalámbricas o cableadas

con la incorporación del protocolo 802.1X; Implementa el soporte para permitir la conexión de clientes

de acceso remoto usando VPN (cada vez más utilizadas por que permiten que el usuario utilice vínculos

de comunicación inseguros como Internet que están disponibles en cualquier parte del mundo y su

coste es inferior al de una llamada, además de tener un mejor ancho de banda que un MODEM), o con

sistemas de conexión por marcación, comportándose como un enrutador para tales dispositivos; otra

funcionalidad que aporta es el control de autenticaciones y autorizaciones de los usuarios usando el

protocolo RADIUS lo cual hace posible que los servidores VPN que habitualmente están en las redes

desprotegidas no tengan que encargarse de la función de autenticar y autorizar la conexión.

Las directivas de red es otro punto importante en la configuración de acceso remoto porque a través

de ellas podemos determinar que usuarios se pueden conectar y en qué circunstancias, una directiva se

compone de Condiciones que debe cumplir el que intente la conexión y restricciones que se aplicarán

si el usuario puede conectar.

Toda ésta infraestructura permite a los administradores implementar soluciones de acceso con varios

esquemas de seguridad dependiendo de los clientes, los sistemas operativos y los requisitos de una

organización.

©

.



Definiciones

Configuración de acceso a redes

En las redes actuales cada vez se hace más normal la posibilidad que los usuarios de una organización

pueden acceder a los recursos desde ubicaciones externas a la red interna como por ejemplo desde la

casa, hoteles aeropuertos, zonas wifi gratuitas, todas incluyen un factor común, la movilidad, pero lo

que hoy día hace posible esta forma de trabajo es la evolución que han tenido las comunicaciones

soportando anchos de banda bastante buenos como para dar fluidez a la transferencia de datos

desde la ubicación remota hacia la red interna y viceversa, en la mayoría de los casos las conexiones se

realizan a través de enlaces públicos como es el caso de Internet por que ofrece cobertura mundial, los

costes suelen ser baratos, buen ancho de banda, etc.

El problema que afrontan las organizaciones cuando se quiere implementar estas soluciones es el nivel

de seguridad necesario que debemos establecer para protegernos de accesos indebidos que nos

produzcan ataques a nuestra red interna.

Microsoft Windows Server 2008 ofrece una infraestructura, de servicios y protocolos que permiten que

una organización implemente accesos remotos con una seguridad óptima y que están relacionados

entre sí, a saber: RAS, RADIUS y NAP.

Componentes de una infraestructura de Acceso Remoto

Windows 2008 implementa múltiples componentes para mantener y gestionar la infraestructura de

acceso remoto de una manera segura y óptima entre ellos mencionamos:

Servidor de VPN: Activa la posibilidad de conexiones cliente basadas en protocolos L2TP y PPTP

usando una red pública como Internet.

Directorio Activo: Activa un sistema centralizado de almacenamiento de Identidades de

seguridad (Usuarios) y contra el que se verificarán las credenciales de los usuarios que intentan

una conexión de acceso remoto.

Protocolo de configuración dinámica de host (DHCP): Se encarga de asignar información de

configuración IP para los clientes que se conecten vía acceso remoto y que les permitirá a los

clientes acceder a la red interna local (LAN).

Servidor de Políticas de protección de acceso a redes (NAP): Establece directivas de

cumplimiento de salud que establecen requisitos que los equipos que usan los usuarios de

acceso remoto deben cumplir antes de permitírsele el acceso.

Autoridad de Registro de Cumplimiento de Salud (HRA): Se encarga de emitir los certificados

digitales de salud a los equipos que cumplen con las directivas de salud.

Servidores de Actualización: Son equipos que cargan los servicios necesarios para que aquellos

clientes que no pueden cumplir con las directivas de cumplimiento de salud, encuentren en ellos

la información necesaria que deben aplicar para que pasen a un estado de cumplimiento, esto

servidores se encuentran en una red limitada donde pueden ser accedidos por los clientes que

no cumplen.

Función de Servidor de Políticas de red y servicios de

acceso remoto

Activar la función de Servicios de acceso remoto y Servidor de directivas de red (NPS), instalará el

soporte necesario para desempeñar las siguientes funciones:

NAP: Es una tecnología de creación de políticas de salud cliente, forzado y actualización, que está

incluida en el sistema operativo Windows vista/2008; los administradores pueden utilizar NAP para

establecer y automatizar directivas que puedan incluir requerimientos de configuraciones de seguridad

y muchas más opciones; si las maquinas cliente no cumplen con la directiva establecida un

administrador puede restringir el acceso a la red interna hasta que la configuración del equipo será

actualizada y empiece a cumplir con la directiva, depende de cómo se escoja la instalación de NAP los

©

.



clientes que no cumplen se pueden actualizar automáticamente, de esta manera los usuarios podrán

obtener acceso a la red de forma rápida sin intervención manual o reconfiguración de sus ordenadores.

Acceso Seguro Cableado e Inalámbrico: Cuando se instalan puntos de acceso inalámbricos con

protocolo 802.1X se activa un acceso inalámbrico seguro, el dispositivo proveerá a los usuarios

inalámbricos un método de autenticación basado en contraseña segura que es fácil implementar; así

mismo el protocolo puede ser utilizado en dispositivos como Switches para permitir acceso seguro en

una red cableada, asegurando la red por que los usuarios de la intranet son autenticados antes que

puedan conectarse a la red u obtener una dirección IP usando DHCP.

Soluciones de Acceso Remoto: Permite que usuarios con VPN y acceso por marcación accedan a la

red, también podemos interconectar delegaciones a la red con soluciones VPN, desplegando

enrutadores por software en los entornos de red y compartiendo las conexiones de Internet a la red

interna.

Administración de Políticas de Red Centralizadas con Servidores RADIUS: En lugar de configurar

directivas de acceso en red, en cada uno de los servidores de acceso en red como por ejemplo puntos

de acceso inalámbricos, switches de autenticación 802.1X, servidores VPN y servidores por marcación,

se pueden crear las directivas en una única ubicación que especifique todo los aspectos de solicitudes

de conexión de red, incluyendo a quien se le permite conectar, cuando pueden conectar, cual es el

nivel de seguridad que ellos deben usar, entre muchos parámetros más.

Servicio de enrutamiento y acceso remoto (RRAS)

Permite desplegar servicios de acceso remoto por VPN y conexiones por marcación, activa múltiples

protocolos de red local a red local, de red local a red de área extensa (WAN), VPN, y servicios de

enrutamiento NAT (Network Address Translation).

El servicio involucra dos tecnologías durante el proceso de instalación de la función a saber:

Servicio de Acceso Remoto: Activa conexiones VPN con protocolo de comunicación PPTP y L2TP con

IPSEC, para permitir a los usuarios acceso remoto a la red de su organización, con el servicio de acceso

remoto también podemos establecer comunicaciones de sitio a sitio estableciendo una conexión VPN

entre dos servidores en distintas ubicaciones, cada servidor activa los servicios de enrutamiento de

acceso remoto para enviar datos seguros y privados, dichas conexiones entre los dos servidores pueden

estar conectados siempre (persistente) o se establece en el momento que un cliente necesite transferir

datos a la otra red (marcación por demanda). Otra manera de conectar usuarios remotos hacia la red

interna, es utilizando dispositivos de marcado tradicional (MODEM) que también están soportados en la

infraestructuras de acceso remoto, para recibir llamadas, autenticar y autorizar la llamada y transferir

datos entre el cliente y la red.

Enrutamiento: Activa un enrutador de software y abre una plataforma de enrutamiento hacia Internet, o

dentro de una organización en entornos de red local y WAN, junto al enrutamiento el servicio activa

NAT, permitiendo compartir una conexión a Internet con equipos en la red privada y trasladar tráfico

entre las direcciones públicas y la red privada, con el uso de NAT los equipos aumentan alguna medida

de protección por que el enrutador que configura el NAT no reenvía tráfico desde Internet a la red

privada a menos que el cliente de la red privada lo solicite, o se permita el trafico explícitamente.

Autenticación y Autorización en Red:

La distinción entre autenticación y autorización es importante para entender por qué los intentos de

conexión se aceptan o se rechazan:

La autenticación es la verificación de credenciales de los intentos de conexión, este proceso

consiste en el envío de las credenciales del cliente de acceso remoto al servidor de acceso

remoto ya sea en texto plano o de forma cifrada mediante el uso de un protocolo de

autenticación.

©

.



La autorización es la verificación de que el intento de conexión está permitido. La autorización

se produce después de una autenticación correcta.

Para que un intento de conexión sea aceptado, el intento de conexión debe ser autenticado y

autorizado, es posible que un intento de conexión sea autenticado usando credenciales válidas,

pero no autorizado y por tanto el intento de conexión será rechazado.

Si configura un servidor de acceso remoto para la autenticación de Windows, las características

de seguridad de Windows Server 2008 serán las encargadas de comprobar las credenciales de

autenticación, mientras que la autorización de la conexión será comprobada de acuerdo a las

opciones configuradas en la pestaña Marcación de las propiedades de la cuenta del usuario y

en las políticas de acceso remoto almacenadas localmente en el servidor RRAS; Si el intento de

conexión es a la vez autenticado y autorizado, el intento de conexión es aceptado.

Si se configura un servidor de acceso remoto para usar la autenticación RADIUS, las credenciales

del intento de la conexión se reenviaran al servidor RADIUS para que éste verifique los procesos

de autenticación y autorización, si el intento de conexión es a la vez autenticado y autorizado,

el servidor RADIUS envía un mensaje de aceptación nuevamente al servidor de acceso remoto

permitiendo al servidor RRAS aceptar la conexión, pero si el intento de conexión no es

autenticado o no es autorizado, el servidor RADIUS envía un mensaje de rechazo al servidor de

acceso remoto y el intento de conexión se rechaza.

Si el servidor RADIUS es un equipo que ejecuta Windows Server 2008 con la función Servicio de

Políticas de red (NPS) instalado, entonces el servidor NPS realiza la autenticación a través de las

características de autenticación seleccionadas, y realiza la autorización basándose en las

propiedades de marcación de la cuenta de usuario y en las políticas de acceso remoto que se

almacenan en el servidor NPS.

Métodos de Autenticación

La autenticación de los clientes de acceso remoto es una cuestión importante de seguridad, los

métodos de autenticación utilizan un protocolo de autenticación que se negocia durante el proceso de

establecimiento de la conexión, los protocolos de autenticación disponibles son:

PAP (Password Authentication Protocol): usa contraseñas en texto claro y es el protocolo de

autenticación menos seguro, se emplea como método de autenticación si el cliente de acceso

remoto y el servidor de acceso remoto no pueden negociar una forma de validación más

segura. PAP se incluye en Windows Server 2008 para permitir que clientes con sistemas operativos

32 bits se conecten a otros sistemas de acceso remoto antiguos que no soporten un nivel de

autenticación más seguro, o al contrario, clientes con sistemas operativos Microsoft que no

soportan protocolos que no soportan nivel de seguridad más altos se puedan conectar a

servidores de acceso remoto ejecutándose en entornos de 32 bits.

CHAP (Protocolo de autenticación por desafío mutuo): es un protocolo de autenticación desafío-

respuesta que usa el esquema estándar de la industria Message Digest 5 (MD5) para generar un

resumen (Hash) para cifrar la respuesta. Distintos fabricantes de servidores que proveen acceso a

la red y clientes utilizan CHAP. Un servidor RAS admite CHAP para que los clientes de acceso

remoto que requieren CHAP puedan autenticar. Debido a que CHAP requiere el uso de una

contraseña cifrada de forma reversible, se recomienda el uso de otro protocolo de

autenticación, como MS-CHAP versión 2.

MSCHAPv2 (Protocolo Microsoft de autenticación por desafío mutuo versión 2): es un protocolo

de autenticación de un solo sentido con contraseña cifrada, el proceso de autenticación mutua

funciona en un proceso de 4 pasos de la siguiente manera: En el primer paso el Servidor RAS o

NPS (El que autentica las credenciales) envía un desafío al cliente de acceso remoto que consta

de un identificador de sesión y una cadena de desafío arbitraria.

Entonces el cliente ejecuta el segundo paso que consiste en enviar una respuesta que contiene el

nombre del usuario, Una cadena par de desafío aleatoria, un cifrado unidireccional de la cadena de

desafío recibida, la cadena par de desafío, el identificador de sesión y la contraseña de usuario.

©

.



El servidor que autentica (RAS ó NPS) verifica la respuesta del cliente y devuelve una respuesta que

contiene: un indicador que acepta o rechaza la conexión, una respuesta autenticada basada en la

cadena de desafío enviada, la cadena par de desafío, la respuesta cifrada del cliente y la contraseña

de usuario.

En el último paso el cliente de acceso remoto comprueba la respuesta de autenticación y, si es

correcta, utiliza la conexión pero si la respuesta de autenticación no es correcta, el cliente de acceso

remoto termina la conexión.

EAP (Protocolo de Autenticación Extensible): Es un mecanismo de autenticación arbitrario, el cliente RAS

y el servidor que autentica (RAS ó NPS) negocian el esquema de autenticación exacto que se utilizará,

RAS incluye por defecto soporte para EAP-TLS, pero se pueden agregar otros métodos EAP; la

característica de éste método es que utiliza una conversación abierta entre las 2 partes (Cliente /

Servidor) en la que el Servidor pide respuestas al cliente, cada pregunta debe ser respondida por el

cliente consiguiendo superar múltiples niveles de autenticación, una vez el cliente supera todas las

preguntas satisfactoriamente entonces le cliente es autenticado.

Un ejemplo puede ser cuando un cliente utiliza una tarjeta inteligente para autenticarse, el servidor que

autentica preguntará al cliente por el nombre, el PIN y un token.

EAP-TLS es un tipo de EAP que se utiliza en entornos de seguridad basados en certificados, si está

utilizando tarjetas inteligentes para la autenticación de acceso remoto, debe utilizar el método de

autenticación EAP-TLS. El intercambio de mensajes EAP-TLS proporciona autenticación mutua,

negociación del método de cifrado, y la determinación de claves cifradas entre el cliente de acceso

remoto y el servidor que autentica, EAP-TLS proporciona el método más fuerte de autenticación.

EAP-TLS sólo se admite en los servidores que ejecutan Enrutamiento y acceso remoto, que están

configurados para utilizar la autenticación de Windows o RADIUS, y que son miembros de un dominio,

por tanto un servidor RAS que se ejecuta como un servidor independiente o un miembro de un grupo de

trabajo no es compatible con EAP-TLS.

EAP-RADIUS no es un tipo de EAP, pero se encarga de pasar los mensajes EAP de cualquier tipo de EAP

por un servidor que autentica hacia un servidor RADIUS para que se realice la autenticación.

Por ejemplo, para un servidor RAS configurado para la autenticación RADIUS, los mensajes EAP enviados

entre el cliente RAS y el servidor RAS se encapsulan en formato de mensajes RADIUS entre el servidor RAS

(Cliente RADIUS) y el servidor RADIUS.

EAP-RADIUS se utiliza en entornos en los que RADIUS es el proveedor de autenticación la ventaja de

utilizar EAP-RADIUS es que no es necesario instalar los tipos de EAP en cada servidor de acceso remoto,

sino únicamente en el servidor RADIUS.

En un uso típico de EAP-RADIUS, el servidor RAS debe estar configurado para utilizar EAP y utilizar un

servidor NPS (RADIUS) para la autenticación, cuando una conexión se establece, el cliente RAS negocia

el uso de EAP con el servidor RAS, entonces el cliente envía un mensaje EAP al servidor RAS, a

continuación RAS encapsula el mensaje EAP como un mensaje de RADIUS y lo envía a un servidor

configurado con NPS.

El servidor NPS procesa el mensaje EAP y envía un mensaje EAP-RADIUS encapsulado de nuevo al

servidor de acceso remoto, el servidor RAS reenvía el mensaje EAP al cliente RAS. En esta configuración,

el servidor RAS es sólo un puente por que el procesamiento de EAP ocurre ente el Cliente RAS y el

Servidor NPS pero es muy importante que el servidor Ras soporte EAP antes de activar el servidor NPS.

PEAP (Protocolo de autenticación extensible protegido): se trata de un protocolo nuevo en la familia de

protocolos de Autenticación Extensible (EAP); PEAP utiliza TLS (Transport Level Security) para crear un

canal cifrado entre un cliente de autenticación PEAP, como un equipo inalámbrico, y un Servidor que

autentique (RAS o NPS), PEAP en realidad no es un método de autenticación, pero proporciona

seguridad adicional para otros protocolos de autenticación EAP, como por ejemplo EAP-MSCHAPv2,

que puede operar a través del canal cifrado TLS que PEAP proporciona.

©

.



En el protocolo 802.11 PEAP es un método de autenticación para los equipos cliente inalámbricos, pero

no es compatible con VPN u otros clientes de acceso remoto.

Al implementar PEAP obtendremos los siguientes beneficios:

Protección en los métodos de autenticación EAP usando TLS (evita ataques de denegación de

servicio)

Permite la fragmentación y reensamblaje de mensajes en protocolos EAP que no lo permita.

Activa la posibilidad para que Clientes de redes inalámbricas autentique al NPS (Autenticación

mutua)

Es una medida de protección contra las instalaciones de Puntos de Acceso inalámbricos no

autorizados, es posible por que el cliente EAP autentica el certificado que el servidor NPS emite,

adicionalmente el secreto maestro TLS que se crea en el cliente RAS y en el servidor NAP no se

comparte con el punto de acceso por lo que no podrá descifrar los mensajes que PEAP protege.

Reconexión rápida PEAP, reduce el tiempo de espera entre la solicitud de la autenticación de un cliente

y la respuesta del NPS dando como ventaja la posibilidad que un cliente se mueva y cambie de Puntos

de Acceso sin tener que volver a autenticar.

Tarjetas Inteligentes: Es uno de los métodos más fuertes en la autenticación de acceso remoto para

lograrlo se debe implementar a través de EAP con el tipo EAP Tarjeta Inteligente u otro certificado (TLS),

los requerimientos para poderlo implementar son:

Un servidor RAS

Instalar un certificado de Equipo en el RAS

Configurar el método de autenticación EAP llamado Tarjeta Inteligente u otro certificado (TLS) en las

directivas de red

Activar la autenticación de tarjeta inteligente en la conexión por marcación o VPN del cliente de

acceso remoto.

La función que desempeña DHCP en los servicios RAS

Cuando se instala un servidor DHCP para servir información de configuración del protocolo TCP/IP a los

clientes de acceso remoto se comporta de una manera distinta al método tradicional de concesión de

direcciones IP dentro de la red local por que la concesión de la dirección no se hace directamente

entre el cliente y el servidor DHCP sino que se usa en todo momento el servidor RAS. Cuando Ras está

configurado para que los clientes reciban las direcciones IP desde un servidor DHCP, entonces el

Servidor RAS buscará el servidor DHCP y reservará un rango de 10 IP, auto asignándose 1 de ellas a su

adaptadora virtual de servidor RAS (por donde establecerá comunicación con los clientes RAS) y

quedará con las otras 9 disponibles para ir asignándolas a los clientes en la medida que ellos conectan,

entonces cuando los clientes desconecten la conexión con el servidor RAS la dirección IP queda libre

para ser otorgada a otro cliente que se conecte (No se concede el tiempo configurado en el DHCP

para la duración de la concesión). Si en llegado momento el Servidor RAS asigna todas las direcciones IP

entonces volverá a reservar otro bloque de 10 IP desde el Servidor DHCP. Cuando el servidor RAS

detiene los servicios entonces libera las direcciones IP en el servidor DHCP.

Cuando la dirección IP es proporcionada al cliente RAS, el cliente no es consciente que la dirección IP

se ha obtenido a través de este proceso intermedio entre el servidor DHCP y servidor RAS, el Servidor RAS

se encarga de mantener la concesión de la dirección IP en nombre del cliente, por lo tanto, la única

información que el cliente recibe del servidor DHCP es la concesión de la dirección IP. Un servidor RAS

cuando asigna direcciones IP usando un DHCP realiza los siguientes pasos:

La dirección IP es concedida desde un caché de direcciones de un ámbito del DHCP en el

Servidor RAS El remoto y enrutamiento obtiene servidor de acceso y renueva su conjunto de

direcciones en caché con el servidor DHCP. El Servidor RAS obtiene y renueva el conjunto de

direcciones IP en caché con DHCP.

©

.



Si el servidor DHCP proporciona parámetros adicionales y otra información de configuración

provista a través de las opciones de DHCP junto a la dirección IP, esta información se envía al

cliente RAS para que sean utilizadas en las propiedades TCP/IP a través del Servidor RAS.

El DHCP en Windows 2008 contempla opciones predefinidas de clase usuario llamada Clase de

enrutamiento y acceso remoto predeterminada, utilizada para asignar opciones sólo a clientes

que se conectan a través de Servidores RAS.

Configuración de Acceso VPN

Las VPN son conexiones punto a punto a través de una red privada o pública, como Internet, el cliente

VPN utiliza protocolos de túnel TCP/IP, para realizar una llamada virtual a un puerto virtual servidor VPN.

Normalmente es el usuario el que inicia una conexión VPN hacia un Servidor VPN a través de Internet, a

continuación el Servidor VPN responde a ésta llamada, autentica las credenciales del usuario que se

está intentando conectar y se encarga de intercambiar los datos entre e cliente y la red privada de una

organización.

Una VPN encapsula los datos con un encabezado que proporciona información de enrutamiento que

permite a los datos ser transferidos en forma cifrada (Confidencialidad) desde Internet hasta el punto

final de la conexión. Las VPN pueden ser utilizadas de 2 maneras:

VPN de Cliente Remoto: Son las que permiten que un usuario con un ordenador desde cualquier

parte en Internet pueda acceder a los recursos internos de una empresa.

VPN de sitio a sitio: permiten que una organización pueda enrutar el tráfico de datos entre

oficinas separadas usando enlaces públicos, manteniendo dichas comunicaciones aseguradas.

Una VPN de ésta forma funciona como si fuera un enlace WAN dedicado por qué interconecta

2 redes privadas entre sí, cada enrutador puede establecer una llamada como si se tratase de

un cliente y el servidor del otro extremo en éste caso debe Autenticar y autorizar la conexión,

una vez autorizado se hace la transferencia de los datos usando la VPN, en éste modelo de VPN

Site to Site, los clientes que generan los datos no establecen la VPN por lo que el Túnel sólo se

establece entre los enrutadores protegiendo los paquetes sólo en el tramo de red público.

Características de la VPN:

Los protocolos usados para establecer VPN (PPTP, L2TP y SSTP) aportan las siguientes características:

Encapsulación: Los datos privados se encapsulan con un encabezado que contiene información de

enrutamiento que le permite atravesar la red hasta el final.

Autenticación: La autenticación puede tomar 3 formas:

De Usuario usando PPP (protocolo punto a punto): se utiliza para establecer la VPN, el servidor VPN

usa ésta información para comprobar que usuario es y si tiene autorización para conectarse

mediante acceso remoto, es posible activar autenticación mutua.

De Equipo usando IKE (Internet Key Exchange): Se utiliza para establecer una asociación de

seguridad IPSEC mediante el cual se intercambian certificados de equipo o palabras previas

compartidas, en éste caso la autenticación es mutua a nivel de equipo, es muy recomendable el

uso de certificados digitales para elevar los niveles de seguridad, éste método se utiliza en

conexiones VPN L2TP/IPSEC

Autenticación de datos en origen (integridad de datos): la integridad de datos garantiza que los

datos recibidos dentro de una conexión VPN son generados por el equipo al otro lado de la

conexión y que no han sido modificados durante su tránsito, la forma de asegurar éste hecho es

haciendo que los datos contengan una información de resumen de comprobación (cheksum)

cifrada conocido como el hash usando una firma digital que debe ser conocida entre las 2 partes

(origen y destino), se implementa en VPN L2TP/IPSEC.

Cifrado de Datos: Para asegurar los datos que se transfieren a través de un enlace inseguro como

Internet, el equipo que envía cifra los datos y el receptor los descifra, éste proceso depende del uso

de una llave de cifrado común, un dato cifrado debe ser inteligible si es interceptado (A menos que

se tenga la llave para descifrarlo). La longitud de la clave que se utilice para realizar los procesos de

cifrado y descifrado deben ser lo suficientemente fuertes (a mayor longitud mayor seguridad) pero

©

.



tenga en cuenta que a mayor longitud de clave también se exige mayor capacidad

computacional (Mejor desempeño de CPU en función de tiempo).

Certificados Digitales en las VPN:

Cuando se establece una conexión VPN se debe garantizar la seguridad porque estamos usando un

medio inseguro como Internet, los protocolos PPTP y L2TP ayudan a cumplir con éste objetivo, sin

embargo L2TP tiene mayores ventajas sobre PPTP por que incorpora IPSEC lo que le permite cifrar y

autenticar los datos. La autenticación en L2TP también es más fuerte que en PPTP por que permite

autenticar tanto el usuario como el equipo y aporta cifrado al paquete de autenticación del usuario.

Aunque como vemos L2TP es más seguro, PPTP también tiene otras ventajas como por ejemplo aportar

compatibilidad con sistemas operativos Microsoft antiguos, además L2TP necesita IPSEC para trabajar y

se recomienda el uso de certificados digitales emitidos por una CA (Autoridad de certificados) mientras

que PPTP usa un sistema de cifrado propio de Microsoft llamado MPPE (Microsoft Point to Point

Encription) que no utiliza certificados digitales.

Protocolos de Túnel usados por la VPN:

Un túnel permite la encapsulación de un paquete creado por un protocolo dentro de otro creado por

otro protocolo, en las VPN los protocolos PPTP, L2TP y SSTP pueden encapsular paquetes de tipo PPP que

a su vez fue diseñado para encapsular paquetes IP usando conexiones por marcación.

PPTP: Cifra y encapsula datos para ser transferidos en enlaces inseguros tipo Internet, PPTP usa GRE

(Generic Routing Encapsulation) como protocolo de encapsulamiento de paquetes PPP dándoles

protección mediante el cifrado y haciendo compresión sobre ellos. El mecanismo de cifrado se

realiza usando el protocolo MPPE que usa llaves de cifrado generadas por MS-CHAPV2 o EAP-TLS.

L2TP: Permite cifrar el tráfico bajo un medio que soporte entrega de datagramas punto a punto, es el

resultado de la combinación PPTP y L2F (Level 2 Forwarding); A diferencia de PPTP, L2TP no usa MPPE

para cifrar ya que involucra a IPSEC para ésta finalidad, ambas partes Cliente (XP/Vista) y el Servidor

(2003/2008) deben soportar IPSEC. L2TP encapsula en 2 capas, la primera encapsula el paquete PPP

en un encabezado UDP y la segunda capa envuelve el mensaje L2TP resultante con un encabezado

IPSEC ESP (Encription Security Payload) y un paquete adicional de autenticación (Trailer) para dar

integridad y autenticación y genera un encabezado IP final con la dirección IP origen y destino que

corresponde con el cliente y el servidor en la conexión VPN.

El cifrado L2TP se realiza con protocolos DES (Data Encryption Standard) o 3DES con llaves generadas

a partir de la negociación IKE.

SSTP: es el protocolo de túnel más reciente que utiliza el protocolo HTTP seguro a través del puerto

TCP 443 con la comodidad de transferir datos a través de firewalls y proxies que pueden bloquear el

tráfico PPTP y L2TP/IPSec; SSTP proporciona un mecanismo para encapsular tráfico PPP a través de la

capa de sockets seguros (SSL) del canal del protocolo HTTPS.

Se debe usar PPP para soportar métodos de autenticación fuerte, como EAP-TLS, SSL proporciona

seguridad a nivel de transporte con una mayor negociación de claves, cifrado y comprobación de

integridad, cuando un cliente intenta establecer una conexión VPN basada en SSTP, SSTP primero

establece una capa bidireccional HTTPS con el servidor SSTP a continuación sobre esta capa de

HTTPS, los datos fluyen junto a los protocolos de encapsulación y cifrado (usa puerto TCP 443 y

canales SSL de HTTPS)

Entre los factores a tener en cuenta y que pueden determinar cuál protocolo VPN se debe usar están:

Usar PPTP si la organización tiene una gran variedad de clientes Microsoft antiguos y nuevos, PPTP

no requiere una PKI, PPTP ofrece cifrado pero no integridad de datos (no puede saber si el dato

ha sido modificado en tránsito o si el dato fue enviado por el usuario autorizado).

Usar L2TP sólo si los sistemas son Windows 2000 en adelante, si se decide usar con certificados

digitales se debe instalar una PKI que emita los certificados de equipo necesarios para la

conexión VPN

L2TP activa la autenticación de Equipo (en la capa IPSEC) y de Usuario (en la capa PPP)

©

.



Se puede usar SSTP sólo si los clientes son Windows Vista SP1 en adelante

Los 3 tipos de túneles ofrecen trabajo con PPP y por tanto son comunes en esquemas de autenticación,

NAP, IPv4 e IPv6.

Al instalar un servidor VPN un administrador debe tener en cuenta los siguientes aspectos:

Determine qué interfaz de red se conecta a Internet y que interfaz de red se conecta a su red

privada.

Determinar si los clientes remotos recibirán direcciones IP de un servidor DHCP en su red privada

o desde el servidor VPN de acceso remoto que está configurando.

Determine si desea solicitudes de conexión de los clientes VPN para ser autenticados por un

servidor RADIUS o por el servidor VPN de acceso remoto que está configurando.

Determinar si los clientes VPN pueden enviar mensajes DHCP al servidor DHCP en la red privada.

Si el servidor DHCP se encuentra en la misma subred que el servidor VPN, los mensajes DHCP

podrán acceder al servidor DHCP después que la conexión VPN se establece, pero si el servidor

DHCP está en una subred distinta a la del servidor VPN entonces se debe configurar un agente

de retransmisión DHCP.

Compruebe que todos los usuarios tienen cuentas de usuario configuradas para acceso remoto,

bien sea en la base local del Servidor VPN o en un servicio de Directorio Activo.

Después de Instalar el Servidor de VPN un administrador puede realizar las siguientes tareas:

Configurar filtros de paquetes estáticos, para proteger mejor la red.

Configurar servicios y puertos.

Ajustar los niveles de registro para los protocolos de enrutamiento.

Configurar el número de puertos VPN. Agregar o eliminar puertos VPN.

Generar perfiles de conexión usando la herramienta CMAK (Connection Manager Administration

Kit).

Instalar servicios de Certificados PKI (AD CS) para Aumentar la seguridad de acceso remoto.

Proteger a los usuarios remotos y la red privada mediante la aplicación de uso de métodos de

autenticación seguros y mayores niveles de cifrado de datos.

Directivas de Red

Son conjuntos de condiciones, restricciones y ajustes que le permiten saber al servidor RAS / NPS quién

está autorizado para conectarse a la red y las circunstancias en que pueden, o no pueden conectarse,

al implementar NAP, la directiva de salud se agrega a la configuración de la directiva de red para que

NPS haga los controles de salud del cliente durante el proceso de autorización, las directivas de red se

pueden ver como reglas con un conjunto de condiciones y ajustes, NPS compara las condiciones de la

regla con las propiedades de las solicitudes de conexión y si se produce una coincidencia entre la regla

y la solicitud de conexión, la configuración que se define en la regla se aplica a la conexión.

Al definir múltiples directivas de red en un Servidor NPS, se establece un orden por el que el Servidor NPS

comprobará cada solicitud de conexión contra las reglas empezando por la primera regla de la lista,

luego el segundo, y así sucesivamente, hasta que se encuentra una coincidencia.

Cada directiva de red tiene un estado de configuración de la directiva que puede estar activada o

desactivada, si se deshabilita una directiva de red, NPS no la tendrá en cuenta en el momento de

autorizar las solicitudes de conexión.

Cada directiva de Red tiene 4 categorías de propiedades:

General: en esta pestaña podemos especificar si la directiva está habilitada, si la política

concede o niega el acceso, el método de conexión de red, el tipo de servidor RAS necesario

para las solicitudes de conexión, si se ignora las propiedades de la pestaña marcación en las

propiedades del usuario en el dominio (NPS solo usará la Directiva de red para determinar si se

debe autorizar la conexión).

©

.



Condiciones: son las condiciones que la solicitud de conexión debe tener para que coincida

con la directiva de red; Si las condiciones configuradas en la directiva coincide con la solicitud

de conexión, NPS aplica la configuración de directiva de red a la conexión.

Restricciones: son parámetros adicionales de la directiva de red que se aplicarán a la conexión

que coincida con la directiva, por tanto como resultado si la solicitud de conexión no coincide

con las restricciones, NPS rechazará la solicitud de conexión

Ajustes: Son propiedades de configuración que NPS aplica, si todas las condiciones de la

directiva se cumplen.

Al crear directivas de red, NPS ejecutará un asistente para crearla paso a paso, una vez creada se

puede editar para su modificación.

Proceso de creación y configuración de una directiva de red:

Las directivas de redes junto a las propiedades de marcación de la cuenta de usuario determinan si se

autoriza una conexión de acceso a la red. Al configurar una directiva de red, el servidor de acceso

remoto activa un asistente para guiarlo en el procedimiento. Los valores especificados como el método

de conexión de red se utiliza para configurar el tipo de política con las conexiones automáticamente,

además en la página de permisos de acceso se deben seleccionar acceso concedido para permitir

establecer la conexión o denegado si quieres evitar el acceso inclusive se puede sobrescribir las

configuraciones determinadas en las propiedades del usuario.

Al ver las propiedades de una directiva se pueden observar cuatro pestañas con la siguiente

información:

Pestaña Información General: Contiene el nombre de la directiva su estado, el permiso de

acceso, el método de la conexión de red (RAS, ETHERNET, TERMINAL SERVICES, PUNTO DE

ACCESO INALÁMBRICO, AUTORIDADES REGISTRO DE SALUD, SERVIDOR HCAP, SERVIDOR DHCP)

Pestaña Condiciones: Se debe establecer por lo menos una condición, las condiciones están

agrupadas para encontrarlas de una forma apropiadas, los grupos de condiciones son: Grupos,

HCAP, Restricciones de día y hora, NAP, Propiedades de conexión, Propiedades de clientes

RADIUS, Puerta de enlace.

Pestaña Restricciones: Son parámetros de la políticas de red adicionales que difieren de las

condiciones porque cuando una condición no coincide con una solicitud, el servidor NPS

continua evaluando otras directivas de red, para buscar una coincidencia, pero con las

restricciones cuando una conexión no coincide con ellas NPS no evalúa políticas de red

adicionales dando como resultado un rechazo en la conexión. Las restricciones que podemos

configurar son: Métodos de autenticación, Tiempo máximo de inactividad en la conexión,

Tiempo máximo de la conexión identificación de estación de llamada, Restricciones de hora y

día, y tipo de puerto de acceso remoto.

Pestaña Configuración: Si todas las condiciones y las restricciones se cumplen entonces el

servidor NPS aplica la configuración, los grupos disponibles son: Atributos RADIUS, NAP, y RRAS

(Multienlace y control de ancho de banda, filtros IP, Cifrado y Configuración de IP)

Procesamiento de Políticas de Red

Cuando NPS ejecuta autorización de una solicitud de conexión, compara la solicitud con cada

directiva de red, en el orden de la lista de directivas, iniciando con la primer política y moviéndose

hacia abajo en la lista, si NPS encuentra una directiva cuyas condiciones coinciden con la solicitud de

conexión entonces NPS usa la directiva coincidente y las propiedades de conexión de la cuenta de

usuario para determinar la autorización.

Si la cuenta del usuario tiene concedido el permiso en las propiedades en la cuenta o se concede el

acceso a través de una directiva de red, la conexión es autorizada NPS aplica las configuraciones.

Kit de Administración de Conexiones (CMAK)

CMAK permite a los administradores personalizar las opciones de conexión de los usuarios remotos,

mediante la creación de conexiones predefinidas a servidores remotos y redes. El asistente de CMAK

©

.



crea un archivo ejecutable, que puede distribuir de muchas formas o incluido durante actividades

despliegue como parte de la imagen del sistema operativo.

CMAK es un componente opcional que no está instalado de forma predeterminada. Debe instalar

CMAK para crear perfiles de conexión que los usuarios pueden instalar para acceder a redes remotas.

Proceso de Configuración de un perfil con CMAK:

El asistente para crear perfiles de conexión con CMAK incluye muchas variables que garantizan en el

cliente una forma de acceso controlada y libre de error lo cual beneficiara a los administradores por

que se reducirán las llamadas de soporte, entre las muchas opciones que podemos configurar están:

Sistema Operativo en el que se va a crear la conexión, especificar el nombre de la conexión, agregar

entradas de libretas telefónica (si se trata de una conexión por marcación) Especificar tablas de

enrutamiento, configuraciones que soporten las conexiones VPN, configurar el PROXY de Internet

Explorer, personalizar los iconos e imágenes de la conexión entre otras.

Para distribuir los perfiles de conexión creados a los usuarios CMAK crea un único fichero ejecutable

(EXE) que puede distribuir a los usuarios a través de algunos métodos como: Incluirlo en una imagen

para nuevos equipos, entregar el perfil de la conexión en medios extraíbles para que sean instalados

manualmente, o distribuir el perfil con herramientas de distribución de software automatizada.

Solución de Problemas de Acceso Remoto

Solucionar un problema en el servicio de acceso remoto puede ser una labor que consuma mucho

tiempo, y no ser identificada fácilmente, le proponemos seguir una metodología paso a paso para

identificar y resolver el problema de forma rápida.

Las herramientas disponibles siguen siendo las mismas que podemos utilizar para resolver problemas de

TCP/IP como son:

Ipconfig, Ping, PathPing, Tracert, Nbtstat, Comandos Route entre otros.

Ficheros de Registros de Autenticación y Control de Cuenta:

Es posible configurar registros en la autenticación paramensajes de aceptación o rechazo de la

conexión, por defecto se almacena en la carpeta Windows\System32\logfiles con formato IAS, un

administrador puede cambiar la frecuencia de creación de los ficheros de registro, el tamaño máximo

posible (para no utilizar demasiado espacio en disco) incluso la ubicación de los mismos, otra alternativa

es utilizar bases de datos SQL para registrar los eventos si se trata de múltiples servidores.

El servidor de acceso remoto en sus propiedades también muestra una pestaña de inicio de sesión en la

que los administradores pueden decidir el nivel de registro de eventos por parte del servidor de acceso

remoto en el visor de eventos en el visor de sistema.

Además el servicio de acceso remoto tiene la posibilidad de activar opciones de seguimiento para

solucionar problemas de red complejos. Se pueden activar usando el comando:

NETSH RAS SET TRACING COMPONET ENABLED/DISABLED

En el comando anterior Componet se refiere a una lista de componentes de servicio encontrada en la

clave de registro HKLM\software\microsoft\tracing

Resumen

Se puede concluir que es posible permitir el acceso a clientes de una organización desde sitios o

ubicaciones distintas a las de la organización, en muchas casos usando conexiones a Internet, sin

embargo los administradores debemos vigilar la manera más segura de implementar ésta solución

teniendo en cuenta muchas variables, tales como ¿a qué usuarios se les permite el acceso?, si se les

permite, ¿qué condiciones deben cumplir en el momento de establecer la conexión?, también es

importante conocer los protocolos de conexión que podemos implementar ya que éstos nos darán

©

.



múltiples niveles y opciones de seguridad en la autenticación y en el envío de información hacia nuestra

red.

Para implementar una infraestructura de acceso remoto segura deberíamos diferenciar cada una de

las partes que intervienen en ella por ejemplo instalar el servidor de VPN para que se encargue de

negociar la conexión, instalar un Servidor DHCP para que asigne la configuración de IP y las opciones

necesarias, se recomienda utilizar servidores RADIUS que evitará tener los servidores VPN unidos al

dominio en la red interna y por tanto evitamos también tener que abrir puertos innecesarios desde una

red desprotegida a las redes internas, además con el uso de las directivas de red se flexibiliza el acceso

pero se mantiene configuraciones de restricciones que se deben cumplir en la conexión, así mismo si se

quiere dar más seguridad es posible vigilar el entorno dependiendo de los ordenadores que se usen

para el acceso a la red usando servicios de NAP y finalmente para garantizar en todo momento mayor

seguridad conviene establecer una infraestructura de llave pública (PKI) dado que gracias a los

certificados digitales se implementan protocolos de autenticación y de cifrado más seguros como IPSEC

y la autenticación basada en tarjetas inteligentes.

Recuerde Para signar las direcciones IP a los clientes es posible usar DHCP pero si este no se encuentra en la red

del servidor RAS entonces se hace necesaria la instalación de un agente de retransmisión DHCP

Si no se desea abrir puertos para la implementación de VPN PPTP o L2TP entonces es posible abrir sólo el

puerto https para implementar la solución usando el puerto TCP 443

La autorización de acceso de un usuario a través de RAS se puede decidir en las propiedades de la

cuenta del usuario en la pestaña Marcación, sin embargo aunque ésta opción permita el acceso, es

posible desde el servidor RAS usando las directivas de red ignorar ésta opción y hacer que la directiva

sea la que determine si el usuario puede tener autorización de acceso a la red.

Cuando se activan opciones de registro en ficheros, un servidor de directivas de red (NPS) puede dejar

de responder si por alguna razón no puede generar registros.

Se recomienda desactivar los protocolos que no se utilicen

Siempre es mejor tener un sistema de autenticación basado en RADIUS por seguridad.

El sistema de acceso más seguro es utilizar L2TP con certificados digitales ya que incorpora IPSEC y la

autenticación que esté basada en Tarjetas inteligentes.

Ver Vídeo: RRAS,


©

.



Laboratorio. Instalación de la función Servidor de Acceso

Remoto como servidor de VPN

1. Para realizar la instalación de un servidor VPN se debe instalar la función desde la consola

Administrador de Servidor; usaremos un Servidor de Windows 2008 configurado con 2 Adaptadoras

de red, una conectada a la Red Interna y la otra conectada a la Red Pública (Internet), en éste

caso vamos a usar un servidor en modo independiente (es una buena práctica de seguridad) por

tanto la autenticación que el servidor puede realizar sólo lo podrá hacer con usuarios de su base de

datos local, si queremos autenticar usuarios de Dominio (Sin agregar el Servidor de VPN al dominio)

la solución es hacerlo a través de la autenticación RADIUS (se verá en la siguiente unidad)

2. Desde el Administrador del Servidor en Funciones instalar la función Servicios de acceso y directivas

de redes

3. En ésta función se mostrarán varias Funciones de Servicio, pero para el Servidor RRAS (Enrutamiento y

acceso Remoto) seleccionar las 2

©

.



4. Cuando la función está instalada, se debe empezar el proceso de configuración del servicio de

RRAS, en éste caso será configurado como Servidor de VPN, desde las Herramientas administrativas

pinchar en Enrutamiento y acceso remoto.

5. Como el Servicio no está configurado se mostrará una flecha roja hacia abajo, sobre el nombre del

servidor hacer clic derecho y seleccionar la opción Configurar y habilitar enrutamiento y acceso

remoto

©

.



6. Se lanza un asistente que nos guía en el proceso, pinchar Siguiente

7. El Servicio de Acceso Remoto propone múltiples funciones, entre ellas la de Servidor de conexiones

por marcación y VPN, la seleccionamos y luego siguiente.

©

.



8. A continuación seleccionar VPN como forma de acceso remoto, siguiente

9. A continuación se debe seleccionar la Adaptadora de red que recibirá las solicitudes de conexión

VPN, aquí se debe seleccionar la adaptadora que conecta a Internet (Se recomienda Renombrar

las adaptadoras de red para identificarlas en la configuración de RRAS mucho más fácil), dejar

marcada la opción de Habilitar Seguridad, esto creará filtros que sólo permiten acceso en los

protocolos necesarios de clientes VPN (PPT, L2TP, SSTP).

©

.



10. Ahora debemos indicar la forma en que los clientes que intenten una conexión VPN recibirán la

configuración IP, desde un rango estático configurado en el servidor RAS o desde un DHCP, para el

ejemplo usar un rango de direcciones estáticos de RAS.

11. A continuación debemos definir el rango de IP a conceder, pinchar en Nuevo y definir las

direcciones IP de inicio y de fin (la cantidad de IP deben ser de acuerdo al número de clientes que

se conectarán simultáneamente y una dirección IP adicional para el mismo Servidor RAS)

©

.



12. El siguiente paso especifica cómo se realizará el proceso de autenticación de los usuarios, por ahora

no usaremos RADIUS ya que lo veremos en la siguiente unidad, por tanto el propio servidor RAS debe

hacer la autenticación y autorización.

13. El pinchar en Finalizar el Servicio quedará configurado

©

.



14. El asistente muestra un mensaje recordando de la necesidad de instalar un Agente de retransmisión

DHCP en caso de usar un Servidor DHCP para configurar los clientes VPN.

15. El Servicio de acceso remoto se configura y se inicia.

16. Ahora se muestra una flecha verde arriba en el nombre del servidor

17. A continuación configuraremos los puertos necesarios para que los clientes VPN puedan conectar,

para hacerlo, sobre el nodo Puertos hacer clic derecho y seleccionar Propiedades

©

.



18. Observamos que por cada protocolo de acceso VPN se configuran por defecto 128 puertos, vamos

a modificarlo para usar 10 de cada uno de ellos

19. Por ejemplo seleccionar PPTP y luego Configurar

20. Cambiamos el valor de 128 a 10 y aceptar (repetir para L2TP y SSTP)

21. Tener en cuenta la advertencia que nos hace el servicio y pinchar en SI

©

.



22. El siguiente paso a configurar son las directivas de red que se encargarán de Autorizar a los usuarios

en el intento de la conexión.

23. Para ver las directivas de red hacer clic derecho sobre el nodo Directivas y registro de acceso

remoto y seleccionar Iniciar NPS

24. Se abrirá una nueva consola que me permite ver las directivas predeterminadas que por defecto

son 2 y definen un permiso de acceso negado, también es posible crear nuevas directivas de red.

©

.



25. Para crear una nueva directiva sobre el nodo Directivas de Red hacer clic derecho y luego

seleccionar Nuevo.

26. Se lanza un asistente para guiar el proceso de creación de la directiva, asignar un nombre para la

directiva y luego seleccionar el tipo de servidor para que sea de Acceso remoto (VPN y marcación)

©

.



27. A continuación debemos definir las condiciones que se deben cumplir para que se evalué el intento

de conexión, al pinchar en agregar aparece una lista con todas las opciones que un cliente debería

cumplir por ejemplo agregar como tipo de conexión debe ser PVN (PPTP o L2TP) y definir que sólo

pueden acceder usuarios de un grupo de Windows (por ejemplo Administradores).

28. Todas las condiciones son de tipo AND es decir se deben cumplir todas las condiciones, en éste caso

la conexión debe ser VPN y el usuario debe pertenecer al grupo Administradores local del Servidor

de Acceso remoto

©

.



29. A continuación debemos decidir la autorización a los intentos de conexión que cumplan con las

condiciones anteriores, en este caso (Permitir), otra manera de autorizar la conexión es definiendo

las propiedades de marcación del usuario.

©

.



30. A continuación se seleccionan los métodos de autenticación necesarios, dejamos seleccionados los

predeterminados

31. El siguiente paso consiste en agregar restricciones adicionales cuando el usuario tenga autorización

de acceso, estas restricciones son causa de desconexión también, por ejemplo se pueden

determinar restricciones de día y hora.

©

.



32. En el último paso se pueden definir opciones adicionales tales como Filtros, niveles de cifrado

exigidos entre otros

©

.



33. Al Finalizar veremos el resumen de todas las opciones seleccionadas, pulsar Finalizar para crear la

Directiva

34. La directiva aparecerá en la lista en el orden preferente aunque luego las directivas se pueden

modificar de orden.

©

.



35. Otros valores de configuración importantes en los servicios de acceso remoto es activar los ficheros

de registro.

36. Sobre el Servidor Ras clic derecho y seleccionar Propiedades

37. Y en la pestaña Inicio de sesión marcar Registrar todo y Aceptar

©

.



38. Para realizar una prueba de conexión usaremos un cliente Windows Vista (VistaCli2), se creará una

conexión VPN, desde el Centro de Redes y recursos compartidos, seleccionar Configurar una

conexión o red

39. En el asistente, escogemos la opción Conectarse a un área de trabajo

©

.



40. Seleccionar la forma de conexión (para VPN usar mi conexión a Internet)

41. Configurar la conexión a Internet más adelante

©

.



42. Escribir la Dirección IP de conexión del Servidor VPN (correspondería a la dirección IP pública que un

cliente puede alcanzar desde Internet) y darle un nombre a la conexión

43. Escribir las credenciales del usuario con el que queremos establecer la conexión

©

.



44. Una vez creada la conexión seleccionar la opción Conectarse a una red

45. La conexión será mostrada en la lista, seleccionarla y pinchar en Conectar

©

.



46. Nuevamente aparecerán las credenciales, confirmarlas y conectar

47. El proceso de conexión autentica al usuario, registra la conexión y finalmente se conecta si no hay

inconvenientes con la autenticación o con la autorización.

©

.



48. Windows Vista nos pregunta la ubicación de red para asignarle un perfil de firewall, en éste caso

puede ser una ubicación de Trabajo

49. Windows Vista confirma la ubicación de la red, pinchar en Cerrar

©

.



50. En el centro de redes y recursos compartidos veremos la conexión establecida, si pinchamos en Ver

Estado

51. En el Estado de la conexión ver la pestaña Detalles, podemos confirmar que la conexión ha sido

establecida con PPTP, en la autenticación se usó MS-CHAPv2, para cifrado usa MPPE 128 y las

direcciones IP del cliente (concedida del rango configurado en el Servidor RAS) y la dirección IP del

Servidor Ras (La primera IP del rango)

©

.



52. Sobre el servidor se verá que también se detecta una nueva red y pide la ubicación para dicha red,

se refiere a una Interfaz de conexión RAS Servidor que se genera en el momento que el primer

cliente conecta en el servidor RAS

53. En el visor de eventos del servidor RAS bajo el nodo de registros de Windows, Registros del Sistema se

verán registros de Origen RemoteAccess.

©

.



54. Podemos confirmar que el evento 20274 registra el acceso del usuario Administrador, el número de

puerto usado y la dirección IP concedida

©

.



Unidad 7. Instalación, Configuración y Solución de problemas de la function de Servicio NPS (Network Policy Service)

Introducción

En este módulo se explica cómo instalar, configurar y solucionar problemas de la Red de Políticas de

función de servidor de servicio. Red Policy Server (NPS) es la implementación de Microsoft ® de una

autenticación remota telefónica de Servicio de usuario (RADIUS) y proxy en Windows Server ® 2008. NPS

es el sustituto de Internet Authentication Service (IAS) de Windows Server 2003.

NPS le permite configurar y administrar las políticas de red central, con las siguientes características:

servidor RADIUS, proxy RADIUS y el servidor de la política del PAN

Cuando los usuarios intentan conectarse a su red a través de servidores de acceso a la red - también

llamados clientes RADIUS - como los puntos de acceso inalámbrico, autenticación 802.1X

conmutadores, servidores de acceso telefónico, VPN y servidores, fuentes de energía nuclear autentica

y autoriza la solicitud de conexión antes de autorizar o negar el acceso.

Puesto que la autenticación es el proceso de verificación de la identidad del usuario o el ordenador

intenta conectarse a la red, fuentes de energía nuclear debe recibir un documento de identidad del

usuario o el ordenador en forma de credenciales.

Algunos métodos de autenticación implementar el uso de credenciales basadas en contraseñas. Por

ejemplo, Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP) requiere que los usuarios

escribir un nombre de usuario y contraseña. El servidor de acceso a la red pasa estas credenciales para

el servidor de fuentes de energía nuclear, que verifica las credenciales a las cuentas de usuario de base

de datos.

Otros métodos de autenticación de implementar el uso de credenciales basadas en certificados para el

usuario, el equipo cliente, el servidor NPS, o alguna combinación. métodos de autenticación basados

en certificados proporcionar seguridad fuerte y se recomiendan sobre los métodos de autenticación

basados en contraseñas.

Usted puede controlar mediante la configuración de fuentes de energía nuclear y el uso de registro de

eventos y la autenticación de usuarios y pide a la contabilidad. El registro de eventos le permite registrar

eventos NPS en el sistema y registros de sucesos. Puede utilizar el registro de solicitud de análisis de la

conexión y la facturación. La información que recogen los archivos de registro es útil para solucionar los

intentos de conexión y de investigación de seguridad.

Al implementar NPS, puede especificar el tipo requerido de método de autenticación para el acceso a

la red.

Definiciones Instalación y configuración del Servidor de Políticas de red (NPS):

El Servidor de políticas de red NPS es la implementación Microsoft de un servidor RADIUS (Remote

Authentication Dial-in User Service) este servicio reemplaza el IAS (Internet Authentication Service) de

Windows 2003, NPS tiene como finalidad configurar y administrar directivas de red en forma centralizada

que determinarán los procesos de autenticación y autorización para los clientes de acceso remoto, el

servicio presenta 3 características:

Servidor RADIUS: Centraliza todas las políticas de acceso remoto y se encarga de autenticar y

autorizar las solicitudes de acceso remoto de clientes a través de VPN, conexiones por

marcación, accesos inalámbricos y autenticación en Switch (redes cableadas).

©

.



RADIUS sirve como punto central de la gestión de las directivas de acceso remoto para los servidores

RAS (Clientes RADIUS) de cualquier versión de servidor de Windows o para dispositivos que soporten

autenticación RADIUS en entornos heterogéneos. Si el Servidor NPS está unido a un Dominio utiliza la

base de datos del Directorio para autenticar y autorizar el acceso al usuario. Al configurar NPS como

RADIUS se establece una comunicación de tipo Cliente / Servidor donde el papel de los clientes esta

soportado en los servidores de acceso remoto RAS y dispositivos que permitan reenviar credenciales de

autenticación a un servidor RADIUS

Servidor de Directivas NAP (Network Access Protection): El servidor NPS configurado como NAP se

encargará de evaluar los estados de cumplimiento de salud (SoH) que los clientes compatibles

con NAP envían al intentar conectar en la red, NPS actúa como RADIUS cuando se configura

como NAP ya que se encarga de autenticar y autorizar las conexiones. Sistemas operativos

como Windows Vista y Windows 2008 incluyen NAP, el objetivo principal de NAP consiste en

ayudar a proteger la red privada al asegurarse que los equipos desde donde se intenta hacer la

conexión están configurados de acuerdo a las directivas de cumplimiento de salud en red antes

que puedan conectar a los recursos de la red privada.

NAP continuará vigilando al cliente inclusive si en el momento de la conexión cumplió con todas las

opciones requeridas y posteriormente no entonces lo marcará como un cliente que no cumple con las

directivas lo que impediría su acceso a la red, NAP también permite que los clientes puedan auto

solucionar los problemas de incompatibilidad por las que ellos entran en un estado de restricción.

RADIUS Proxy: NPS puede también comportarse como un RADIUS Proxy permitiendo a través de

las directivas de solicitud de conexión que las autenticaciones sean reenviadas a otros servidores

RADIUS que se encargarán de autenticar y autorizar el intento de conexión. Esta opción se hace

necesario en configuraciones donde un proveedor de acceso es externo, se debe integrar

acceso inalámbrico, soluciones de acceso remoto en múltiples dominios, autenticar accesos a

recursos en una extranet a socios de negocios, etc.

Es posible combinar las 3 configuraciones en una infraestructura de acceso remoto.

Para administrar el NAP Microsoft pone a disposición de los administradores una consola gráfica MMC o

los comandos NETSH. Por ejemplo Netsh nps show config (muestra y/o salva la configuración del NPS a

un fichero).

Configuración de Clientes y Servidores RADIUS

Cuando se usa el Servicio NPS debemos tener en cuenta los distintos componentes que forman la

infraestructura:

Clientes RADIUS: Un servidor de acceso remoto cumple la función de permitir el acceso a una

red interna, pero cuando se integra con un servidor RADIUS para reenviar las solicitudes de

conexión que RADIUS autenticará y autorizará, entonces el Servidor de acceso remoto también

toma la función de ser un cliente RADIUS. Es importante no confundir el cliente RADIUS (Servidor

RAS, puntos de acceso inalámbrico, Dispositivos Switch Ethernet, RADIUS proxy) con el Cliente de

acceso remoto (cliente VPN).

RADIUS PROXY: Enruta mensajes RADIUS entre Clientes RADIUS y los Servidores RADIUS que

autenticarán y autorizarán los accesos, NPS como Proxy también graba información de registro.

Se implementa en escenarios donde, el Servidor NPS se utiliza como un servicio externo de (VPN,

Marcación, etc) y debe reenviar las solicitudes de acceso a los RADIUS del cliente para que

compruebe las identidades en la base de datos de usuarios del cliente.

Si los usuarios que están intentando conectar no son usuarios del Dominio al que el NPS está unido o con

los que tenga alguna relación de confianza, NPS usa el nombre del dominio para identificar el Servidor

RADIUS al que debe enviar la solicitud de conexión en el dominio o bosque correcto.

©

.



NPS soporta autenticación entre bosques pero si los dominios están formados por sistemas operativos

Windows 2003 y se utiliza la autenticación EAP-TLS usando certificados digitales, entonces se debe enviar

la solicitud a su Servidor RADIUS en el bosque específico de la cuenta.

Si se debe realizar autenticación y autorización de bases de datos que no son Windows como Novell o

SQL.

Si es necesario balancear la carga para un gran número de solicitudes de acceso reenviando a varios

RADIUS.

Directivas de Solicitud de Conexión

Estas directivas permiten a los administradores designar un Servidor RADIUS para que autentique y

autorice la petición de la conexión que recibirá desde los clientes RADIUS, por defecto existe una

política de conexión que define que todas las solicitudes serán procesadas localmente.

Si es necesario reenviar la solicitud a un Servidor RADIUS Proxy, se debe crear un grupo de servidores

RADIUS remotos y agregar una directiva de conexión que especifique condiciones y configuraciones

para que se produzca el reenvío.

Si el Servidor sólo debe reenviar las solicitudes de conexión a otros RADIUS y no procesar las peticiones

localmente, se debe eliminar la directiva por defecto; pero si reenviará y a la vez procesara solicitudes

localmente se deben crear directivas de solicitud de conexión adicionales, teniendo precaución en

dejar la directiva predeterminada en el último lugar de la lista

Los puertos usados para tráfico de datos en el Servidor RADIUS son 1812, 1645 (Autenticación) 1813 y

1646 (control de cuentas) para IPv4 e IPv6 en todas las adaptadoras de red.

Los factores por los que se pueden reenviar las solicitudes a otros servidores RADIUS se deben activar

dentro de la Directiva de solicitud de conexión tales como (Día y hora, nombre del dominio en la

solicitud de conexión, el tipo de conexión solicitada, dirección IP del cliente RADIUS). Además debe

incluir condiciones (son atributos RADIUS que se comparan con la solicitud de conexión) y

configuraciones que consisten en propiedades aplicadas a los mensajes entrantes RADIUS como

Autenticación, control de cuentas, atributos RADIUS).

Si el Servicio RRAS y NPS están instalados en el mismo servidor y el RAS está configurado para la

autenticación basada en Windows es posible que las solicitudes de conexión sean remitidas a un

servidor RADIUS si en la directiva de solicitud de conexión predeterminada está configurada para enviar

las.

Métodos de Autenticación NPS:

Como ya se mencionó una de las funciones que ejerce un servidor NPS es Autenticar las solicitudes de

conexión que los clientes RADIUS le envían antes de autorizar el acceso de los clientes de acceso

remoto, por esto el Servidor cuenta con varios métodos de autenticación donde cada uno de ellos

ventajas y desventajas en términos de seguridad, facilidad de utilización y Soporte; se conocen 2

maneras de autenticar en un servidor NPS usando contraseñas y usando certificados digitales, el

método que se seleccione depende de los clientes de acceso remoto, del servidor de acceso remoto

(Cliente RADIUS) y del Servidor NPS. Es posible configurar múltiples métodos en un mismo Servidor NPS lo

que permite que un cliente negocie la autenticación más fuerte primero y luego empiece a bajar la

seguridad hasta encontrar la autenticación más débil así el primer método será EAP, luego MS-CHAPv2,

luego MS-CHAP, CHAP, SPAP y PAP; Si se escoge EAP como protocolo de autenticación entonces la

negociación ocurre entre el cliente RAS y el Servidor NPS.

Métodos de autenticación basados en contraseña: No son métodos que proveen una seguridad

muy fuerte, éste método exige a los protocolos de autenticación que el cliente envíe la

contraseña de la cuenta del usuario y/o del equipo, el protocolo más fuerte es MS-CHAPv2

(descrito en la unidad anterior), luego MS-CHAP (Versión 1, es más débil que la versión 2), luego

©

.



CHAP que usa contraseña reversible (no es recomendable) y PAP que envía la información en

texto plano por lo que es el más débil y es el menos recomendable de todos los protocolos. Otra

forma de acceso es el método NO autenticado (No exige credenciales al usuario y permite el

acceso sin autenticación) No debería utilizarse salvo en casos donde el cliente no use ninguno

de los métodos anteriores para la autenticación.

Métodos de autenticación con certificados digitales: es la forma más fuerte en seguridad y por

tanto el método más recomendable especialmente para accesos inalámbricos, un certificado

digital es un documento que una autoridad de certificados (CA) emite, los certificados pueden

tener múltiples propósitos pero con NPS el propósito necesario debe ser para autenticación de

acceso en red, usar los certificados digitales para establecer la autenticación eleva la seguridad

y por tanto elimina la necesidad de usar los métodos de autenticación basados en contraseña.

El Servidor NPS usa EAP-TLS y PEAP (usando PEAP-TLS y PEAP-MS-CHAPv2) como protocolos de acceso

basados en certificados.

Se recomienda usar certificados digitales para establecer el sistema de autenticación más fuerte,

activando en VPN L2TP/IPSEC, en PPTP aunque no usa certificados se puede activar certificados para la

autenticación de equipo con EAP-TLS, en clientes inalámbricos usar PEAP con EAP-TLS y tarjetas

inteligentes o certificados digitales para autenticación.

Windows Server 2008 incorpora el Servicio (AD CS) que activa la infraestructura de llave pública (PKI)

donde el Servidor que instala esta función será el Servidor encargado de emitir certificados (CA) para los

distintos servidores y clientes con el propósito de elevar la seguridad en la autenticación y el transporte

de datos.

Usar EAP-TLS activa la autenticación mutua pero cada una de las partes cliente / Servidor debe tener un

certificado de autenticación cliente (Cliente RAS) o un certificado de Autenticación servidor (NPS)

según corresponda; éstos propósitos de certificados son incorporados en la PKI de Windows Server 2008

(AD CS) a través de plantillas de certificados que pueden ser ampliamente modificables.

Para activar los distintos métodos de autenticación basados en certificado es necesario emitir los

siguientes tipos de certificados:

Certificado de la CA raíz almacenado en el almacén “Certificados de CA raíz de Confianza” de la

cuenta de equipo y de usuario: Es necesario si se utiliza EAP-TLS, PEAP-TLS y PEAP-MS-CHAPv2

Certificado de Equipo en el almacén de certificados del equipo local del cliente: es necesario para

EAP-TLS y PEAP-TLS a menos que se usen Tarjetas inteligentes (Si es el método de autenticación de

usuario, la autenticación de equipo no se usa). No se utiliza para MS-CHAPv2.

Certificado de Servidor en el almacén de certificados local del Servidor NPS: Es necesario para la

autenticación EAP-TLS, PEAP-TLS y PEAP-MS-CHAPv2.

Certificado de usuario en una tarjeta inteligente: No se usa para EAP-TLS o PEAP-TLS o PEAP-MS-

CHAPv2.

La autenticación IEEE 802.1X permite autenticado a dispositivos inalámbricos y redes cableadas

Ethernet, activa el soporte para EAP seguro como EAP-TLS Con certificados digitales o tarjetas

inteligentes. Si se activa la opción “Validar el certificado del servidor” en el cliente entonces el cliente

autentica el servidor usando este certificado; La autenticación del equipo y del usuario se realiza

usando certificados instalados en los almacenes del cliente o usando tarjeta inteligente activando la

autenticación mutua.

Con los clientes inalámbricos se puede usar PEAP-MS-CHAPv2 (método de autenticación de usuario

basado en contraseña que usa TLS con el certificado del Servidor), durante la autenticación PEAP-MS-

CHAPv2 el servidor NPS suple un certificado para validar la identidad al cliente (Si la opción Validar el

certificado del Servidor esta activada) la autenticación de la máquina y el usuario se establece con

contraseñas evitando así la tarea de desplegar certificados a dispositivos inalámbricos.

Supervisión y Solución de problemas en NPS

©

.



Para una correcta supervisión del Servidor NPS es recomendable configurar información de registro de

todas las autenticaciones de usuario y solicitudes de cuentas para que sean grabadas en un fichero de

texto o una base de datos SQL y en el visor de eventos del sistema operativo, a través de los cuales es

posible conocer información de conexiones cliente con propósitos de facturación o para resolver

problemas relacionados con la seguridad.

Se recomienda almacenar los ficheros de registro en particiones distintas a la del sistema, la ubicación

por defecto para estos ficheros es Windows\system32\logfiles se puede cambiar el tipo de información

a registrar, la frecuencia de creación de los ficheros y el formato del fichero.

Así mismo es posible grabar eventos en el Visor de eventos de Windows, sobre las propiedades del

Servidor NPS en la pestaña General se puede seleccionar cada opción requerida como solicitudes de

conexión fallidas, solicitudes de conexión correctas y luego Aceptar.

Otro aspecto que podemos registrar en el visor de eventos son eventos de canales seguros (Schannel),

por defecto no está habilitado y su objetivo es grabar eventos generados por protocolos de seguridad

de Internet como SSL y TLS; para activar la posibilidad del registro de éste tipo de eventos se debe

modificar la siguiente clave de registro:

HKLM»System»currentcontrolset»control»securityproviders»schannel»eventlogging de 1 a 3.

Ver Vídeo: NPS, en el Módulo 7. Unidad 7, en la plataforma e-learning.

Laboratorio. Instalación de la Función Servidor de Directivas

de Red (NPS) 1. En el Servidor que ejercerá la función NPS abrir la consola Administrador del Servidor y en

Funciones seleccionar agregar Función, de la lista marcar Servicios de Acceso y Directivas de

Redes

©

.



2. Luego seleccionar Servidor de directivas de Redes

3. Esperar a que termine la instalación correctamente

4. En las herramientas administrativas seleccionar Servidor de Directivas de redes

©

.



5. A continuación en la consola el primer paso consiste en Autorizar el servicio en Directorio Activo,

éste paso es necesario para permitirle al servidor NPS conectarse al Directorio para comprobar

los procesos de autenticación de los clientes

©

.



6. El proceso de autorización consiste en agregar la cuenta del equipo con la función RAS ó NPS en

el grupo Servidores RAS e IAS.

©

.



7. Cuando el Servidor NPS esté autorizado sobre el nodo NPS (local) en el panel de detalles se

muestran opciones para configurar el Servidor como RADIUS o como NAP.

©

.



8. En éste caso seleccionar Servidor RADIUS para conexiones VPN y a continuación hace clic en

Configurar VPN o acceso telefónico

9. Desde aquí se activa un asistente y el primer paso consiste en determinar el tipo de conexión y el

nombre de la directiva de Red que será creada.

©

.



10. El siguiente paso consiste en crear los clientes RADIUS (Servidores de VPN) en éste caso usaremos

el Servidor RAS instalado en la unidad anterior, al cual se le asignará una clave compartida.

©

.



11. El siguiente paso es configurar los métodos de conexión, en éste caso seleccionar MS-CHAP v2.

12. A continuación podemos especificar los grupos de usuarios que pueden establecer conexiones

VPN, en éste caso se usa un grupo global de seguridad creado en el dominio con el Nombre

Grupo Comerciales.

©

.



13. Se pueden establecer filtros de tráfico de red, en éste paso no configuramos nada.

14. El siguiente aspecto determina las capacidades de cifrado de datos mínimas exigidas a los

clientes usando MPPE (Microsoft Point to Point Encription).

©

.



15. Se puede agregar el nombre del Dominio de Directorio Activo

16. Si todas las opciones son correctas entonces Finalizar

©

.



17. El siguiente paso consiste en configurar el cliente RADIUS o Servidor RAS (VPN). Desde las

propiedades del Servidor

18. En la pestaña Seguridad cambiar la Autenticación de Windows por Autenticación RADIUS y el

proveedor de cuentas de Contabilidad de Windows a Administración de Cuentas RADIUS,

cuando se cambien las opciones para usar RADIUS se activarán los botones de Configurar

©

.



19. Al agregar el Servidor RADIUS (Servidor NPS) debemos indicar la dirección IP, el secreto

compartido que debe ser igual al que se generó en el servidor NPS al crear la cuenta del cliente

RADIUS y los puertos a utilizar, a saber 1812 y 1813.

20. Cuando el Servidor RAS este configurado para usar RADIUS entonces se debe reiniciar el Servicio

©

.



21. Cuando el Servidor RAS reinicie los servicios entonces podemos hacer una prueba con un cliente

VPN.

22. Para que el cliente pueda establecer conexión se debe tener en el servidor RADIUS creados los

Clientes RADIUS.

©

.



23. Una directiva de Red para determinar si la conexión puede o no establecerse

24. Y por último podemos configurar un registro de los accesos de los clientes, para ello en la

consola NPS en el nodo Cuentas se puede configurar un Archivo local o el registro en una base

de datos SQL, en nuestro caso será en un fichero local, hacer clic para configurarlo

©

.



25. Seleccionar los tipos de solicitudes que serán registradas

26. Luego la ubicación, el formato, la periodicidad, etc.

©

.



27. Otro aspecto a tener en cuenta es que en la directiva de acceso a la red creada se especificó

que solo los miembros del grupo comerciales podían acceder a través de accesos remotos VPN,

para la prueba debemos crear un usuario y agregarlo a dicho grupo del dominio

28. A continuación sobre el cliente podemos establecer la conexión VPN que teníamos creada de

la unidad anterior

©

.



29. Al conectar debemos proveer las credenciales del usuario añadido al grupo comerciales para

garantizar que el acceso VPN será establecido

©

.



30. Al comprobar en el Servidor RAS podemos ver que en la lista de clientes VPN el cliente aparece

en la lista

31. Ahora en el servidor NPS (RADIUS) comprobamos el Fichero de registro para saber si fue

autenticado por el RADIUS, en la carpeta C:\Windows\System32\logfiles podemos ver que se ha

generado un fichero llamado IN1006 (Depende de la configuración)

32. Al abrir el fichero podemos comprobar líneas de registro que se generaron por el acceso del

cliente VPN.

©

.



Unidad 8. Configuración de Protección de Acceso a Redes (NAP)

Introducción

Network Access Protection (NAP) garantiza el cumplimiento de las políticas de cumplimiento específicas

para los sistemas de acceso a la red. NAP ayuda a los administradores lograr y mantener una política de

cumplimiento específica. Este módulo proporciona información acerca de cómo funciona NAP, y cómo

configurar, supervisar y solucionar problemas del NAP

NAP es una plataforma de sistema de forzado de políticas de cumplimiento basado en Windows Server

2008, Windows Vista, y Windows XP SP3. Esta plataforma le permite proteger mejor los equipos de la red

interna a través del forzado del cumplimiento con requerimientos de salud del sistema. NAP permite

crear políticas de cumplimiento personalizadas para validar la salud del ordenador antes de permitir su

acceso o comunicación, Así como actualizar automáticamente ordenadores compatibles para

garantizar el cumplimiento continuo y limitar el acceso de los equipos que no cumplen a una red

restringida hasta que empiecen a cumplir.

El diseño del PAN permite a los administradores configurar para satisfacer sus necesidades de red. Por lo

tanto, la actual configuración del PAN variará de acuerdo a las preferencias del administrador y los

requisitos. Sin embargo, la operación subyacente del PAN sigue siendo la misma.

Cuando un cliente intenta acceder o comunicarse en la red, debe presentar su estado de salud del

sistema o la prueba del cumplimiento de la salud. Si un cliente no puede demostrar que cumple con los

requisitos del sistema de salud (por ejemplo, que tiene el sistema operativo más reciente y las

actualizaciones de antivirus), su acceso a, o la comunicación en la red puede limitarse a una red

restringida que contiene los recursos del servidor, hasta las cuestiones de cumplimiento con la salud se

solucionen. Después de instaladas las actualizaciones, el cliente solicita acceso a la red o los intentos de

la comunicación de nuevo. Si cumple, el cliente obtiene acceso ilimitado a la red o la comunicación es

permitida.

Definiciones Generalidades de Protección de acceso a redes:

NAP (Protección de acceso a redes) es una infraestructura de servicios que garantiza que un cliente de

acceso a la red tenga las configuraciones necesarias que las directivas de cumplimiento específicas

que un administrador de red exige a dichos equipos; NAP para Windows Server 2008, Windows Vista y

Windows XP SP3 proporciona los componentes y una interfaz de programación de aplicaciones (API)

que ayuda a los administradores a garantizar el cumplimiento de requisitos de las directivas de

cumplimiento para acceso a la red o la comunicación, NAP permite a los desarrolladores y

administradores crear soluciones para la validación de equipos que se conectan a sus redes, así como

proporcionar las actualizaciones necesarias o el acceso a recursos necesarios para que un cliente NAP

pueda cumplir con los requisitos de acuerdo a la directiva porque si no los cumple éste equipo entonces

tendrá acceso y comunicaciones limitadas.

Es posible integrar características de la ejecución del NAP con software de otros fabricantes o con

programas desarrollados a medida dando como resultado un control de los ordenadores para que

cumplan con las opciones establecidas en éstos programas desarrollados y siempre teniendo en cuenta

que si no cumplen puedan actualizarse automáticamente y así poder cumplir en forma correcta.

NAP no protege a una red de usuarios malintencionados, por el contrario, ayuda a los administradores a

mantener la salud de los ordenadores de su red automáticamente, lo que a su vez ayuda a mantener la

integridad global de la red.

©

.



Por ejemplo, si un equipo tiene todo el software y opciones de configuración que la política de salud

requiere, el equipo es compatible y tendrá acceso a la red en forma ilimitada pero NAP no impide que

un usuario autorizado con un ordenador compatible ejecute en la Red un programa malicioso o tenga

un comportamiento inapropiado.

NAP tiene tres aspectos importantes y distintos:

Validación del estado de Cumplimiento: Cuando un equipo intenta conectarse a la red, el

estado de salud del equipo se valida con los requisitos de las directivas de cumplimiento que

define el administrador, los administradores también pueden definir qué hacer si un equipo no es

compatible. Con NAP es posible configurar un entorno de sólo supervisión, lo que permite que

todos los equipos evalúen su estado de salud y luego registrar el estado de cumplimiento de

cada equipo para un análisis posterior.

Pero si se configura un entorno de acceso limitado, los equipos que cumplan con las directivas

de salud se les conceden acceso a la red en forma ilimitada, pero los equipos que no cumplan

con los requisitos de la directiva de cumplimiento tendrán acceso limitado en una red

restringida.

Directivas de Cumplimiento de salud: Los administradores pueden ayudar a garantizar el

cumplimiento de los requisitos de salud mediante la elección de actualizar automáticamente

equipos que no cumplen con actualizaciones de software ausentes o cambios de configuración

a través de software de gestión, tales como Microsoft System Center Configuration Manager

(SCCM). En un entorno de solo supervisión los ordenadores tendrán acceso a la red antes que

sean actualizados con las actualizaciones necesarias o los cambios de configuración.

En un entorno de acceso limitado, los equipos que no cumplen las normas tienen un acceso limitado

hasta que las actualizaciones y cambios de configuración se apliquen.

En ambos entornos, los equipos que sean compatibles con el NAP pueden llegar a cumplir con las

directivas de salud en forma automática mientras que los equipos que no son compatibles con NAP los

administradores pueden definir excepciones.

Acceso Limitado: Los administradores pueden proteger sus redes al limitar el acceso de los

equipos que no cumplen, según lo definido por el administrador; es posible permitir acceso

limitado a la red una cantidad específica de tiempo o que el equipo que no cumple las normas

pueden tener acceso a una red restringida que contiene los recursos que le permite actualizar su

estado de cumplimiento de salud, el tiempo que el equipo estará en la red restringida será el

necesario hasta que cumpla con el estado de salud solicitado. Los administradores también

pueden configurar excepciones para que los equipos que no son compatibles con el NAP no

tengan acceso a la red limitado.

Escenarios NAP

NAP puede ser una solución para las siguientes situaciones:

Verificar el estado de salud de equipos portátiles móviles: la portabilidad y la flexibilidad son dos

ventajas principales de los equipos portátiles, pero estas características también presentan una

amenaza para la salud. Los portátiles de la empresa con frecuencia salen y entran a la red de la

empresa, pero mientras que están fuera de la empresa, no pueden recibir las actualizaciones

más recientes o cambios de configuración, además, la exposición sin protección a las redes,

como Internet, pueden infectar a los ordenadores portátiles; usando NAP permite a los

administradores de red comprobar el estado de salud de cualquier ordenador portátil cuando

se vuelve a conectar a la red de la empresa, ya sea a través de una red privada virtual (VPN) o

físicamente cuando se conecten a la red interna.

Verificar el estado de salud de los equipos de escritorio: Aunque los ordenadores de escritorio no

suelen salir de las instalaciones, también pueden presentar una amenaza a una red; para reducir

esta amenaza, los administradores deben mantener estos equipos con las actualizaciones más

recientes y el software necesarios, de lo contrario, estos equipos están en riesgo de infección de

sitios Web, correo electrónico, ficheros de carpetas compartidas, y otros recursos de acceso

©

.



público; NAP permite a los administradores de red automatizar los controles del estado de salud

para verificar el cumplimiento de cada equipo de escritorio con los requisitos de las directivas de

salud.

Los administradores pueden comprobar los ficheros de registro para determinar qué equipos no

cumplen, además, el uso de software de gestión permite a los administradores generar informes

automáticos y actualizar automáticamente los equipos que no cumplen las directivas, cuando los

administradores cambian las directivas de salud, los ordenadores se pueden configurar

automáticamente con las actualizaciones más recientes.

Verificar el estado de salud de ordenadores portátiles Visitantes: En ocasiones una organización

tiene que permitir a usuarios externos como consultores, socios comerciales y clientes conectarse

a sus redes privadas, los equipos portátiles que estos visitantes pondrán en su organización

pueden no cumplir con los requisitos del sistema de salud y pueden presentar riesgos para la red,

NAP permite a los administradores determinar que las ordenadores portátiles de visitantes que no

son compatibles tengan acceso limitado sólo a una red restringida, es posible que los

administradores no quieran proporcionar actualizaciones o cambios de configuración en los

portátiles de visita y permitir acceso a Internet para dichos equipos, pero no de los demás

equipos de la organización que tienen un acceso limitado.

Verificar el estado de salud de los ordenadores domésticos no administrado: equipos no

administrados (equipos de casa) que no son miembros activos del Directorio Activo, se pueden

conectar a la red de la empresa a través de VPN, estos equipos proporcionan un reto adicional

para los administradores, porque no pueden acceder a estos ordenadores físicamente, la falta

de acceso físico hace que controlar el cumplimiento de los requisitos de salud, tales como el uso

de software antivirus, sea más difícil, sin embargo, NAP permite a los administradores de red

comprobar el estado de salud de un ordenador de casa cada vez que realiza una conexión

VPN a la red de la empresa y limitar su acceso a una red restringida hasta que se cumpla con los

requisitos del sistema de salud.

Métodos de forzado NAP

Los componentes de la infraestructura NAP conocida como clientes de ejecución (EC – Enforcement

Client) y servidores de aplicación (ES – Enforcement Servers) requieren la validación de estado de salud

y hacen respetar el acceso de red limitada a equipos que no cumplen, Windows Vista, Windows XP SP3

y Windows Server 2008 incluyen el soporte NAP para los siguientes tipos de forzados NAP: IPSec, IEEE

802.1X, VPN, DHCP, y Puerta de enlace de Terminal Server.

Estos Tipos de Forzados se pueden usar en forma separada o en conjunto para limitar el acceso a

clientes NAP que no cumplan; NPS de Windows 2008 actúa como Servidor de políticas de salud (NAP)

para todos estos métodos de forzado.

Forzado IPSec: con éste método un equipo debe cumplir con las directivas de salud para poder

iniciar la comunicación con otros ordenadores que también cumplan, debido a que el forzado

IPSec se está proveyendo de IPsec, este puede definir las necesidades de comunicaciones

protegidas con equipos compatibles por dirección IP o por número de puerto TCP o UDP. IPsec

restringe la comunicación a los ordenadores compatibles después que han conectado

correctamente y obtenido una configuración de dirección IP válida, éste método de

cumplimiento es la forma más fuerte de acceso de red. Los componentes del forzado IPsec

constan de una Autoridad de Registro de la Salud (HRA) con Windows Server 2008 y un EC

(Cliente NAP) de IPsec en Windows Vista, Windows XP SP3 y Windows Server 2008, el Servicio HRA

obtiene certificados X.509 para los clientes NAP cuando se demuestre que cumplen con la

directiva de salud, dichos certificados de salud a continuación, se utilizan para autenticar los

clientes NAP cuando inician las comunicaciones IPsec protegidas con otros clientes NAP en una

intranet.

Forzado 802.1X: con este método de forzado un ordenador debe cumplir para obtener acceso a

la red ilimitada a través de una conexión autenticada de red 802.1X, como a un conmutador

©

.



Ethernet (switch) o una autenticación IEEE 802,11 de un punto de acceso inalámbrico (AP). Para

los equipos que no cumplen, se limita el acceso a la red a través de un perfil de acceso

restringido en el que el dispositivo Ethernet o el punto de acceso inalámbrico sitúa la conexión, el

perfil de acceso restringido puede especificar filtros de paquetes IP o un ID de red de LAN virtual

(VLAN) que corresponde a la red restringida.

El método 802.1X refuerza los requerimientos de las políticas de salud cada vez que un equipo intenta

una conexión de red 802.1X autenticada, 802.1X también vigila activamente el estado de salud del

cliente NAP conectado y se aplica el perfil de acceso restringido a la conexión si el cliente se convierte

en un equipo que no cumple las directivas.

Los componentes de 802.1X constan de un servidor NPS de Windows Server 2008 y un EC EAP Host en

Windows Vista, Windows XP SP3 y Windows Server 2008.

Forzado VPN: con este método de forzado un equipo debe cumplir para obtener acceso a la

red ilimitada a través de una conexión VPN de acceso remoto, para los equipos que no cumplen

las directivas, el acceso a la red se limita a través de un conjunto de filtros de paquetes IP que el

servidor VPN aplica a la conexión VPN. El forzado VPN refuerza los requerimientos de las

directivas de salud cada vez que un ordenador intenta obtener una conexión VPN.

El forzado VPN también vigila activamente el estado de salud del cliente NAP y aplica los filtros de red

restringida de paquetes IP para la conexión VPN si el cliente se convierte en un equipo que no cumple

las directivas.

Los componentes del forzado VPN constan de un servidor NPS en Windows Server 2008 y un Cliente NAP

(CE VPN) que forma parte del cliente de acceso remoto en Windows Vista, Windows XP SP3 y Windows

Server 2008.

Forzado DHCP: con este método de forzado un equipo debe cumplir para obtener un acceso

ilimitado de acuerdo a la configuración de dirección IPv4 de un servidor DHCP; para los equipos

que no cumplen el acceso a la red está limitado por una configuración de direcciones IPv4 que

sólo le permite acceso a la red restringida.

DHCP hace cumplir los requisitos de las directivas de salud cada vez que un cliente DHCP intenta

solicitar o renovar una configuración de dirección IP; con el forzado DHCP también se controla el estado

de salud del cliente NAP constantemente por lo que renueva la configuración de la dirección IPv4 para

el acceso únicamente a la red limitada cuando el cliente se convierte en un equipo que no cumple

con las directivas.

Los componentes del forzado DHCP constan de un Servidor DHCP (ES DHCP) que forma parte del

servicio DHCP Server en Windows Server 2008 y un Cliente NAP (CE de DHCP) que forma parte del

servicio de cliente DHCP en Windows Vista, Windows XP SP3 y Windows Server 2008.

Este método de forzado se considera el más débil de todos debido a que depende de la configuración

en el cliente si se produce obteniendo IP desde un Servidor DHCP, pro un usuario con privilegios

suficientes puede modificar la opción de obtención de IP por DHCP y asignar la IP en forma Manual

evitando así el sistema de forzado.

Terminal Services Gateway (TSG): Se pueden configurar servidores Gateway de Terminal Server

2008 y clientes de Servicios de Terminal Server para usar NAP, de ésta manera se mejora la

seguridad.

Componentes en una Infraestructura NAP

Clientes NAP: equipos que soportan la plataforma NAP para el acceso a la red o la

comunicación de acuerdo a la validación de su estado de cumplimiento de salud.

Puntos de forzado NAP: equipos o dispositivos de acceso a la red que utilizan NAP o que se

pueden utilizar con NAP para exigir la evaluación del estado de salud de un cliente NAP y

©

.



dependiendo de ello el cliente tendrá acceso a la red en forma ilimitada o sólo tendrá acceso a

una red restringida limitándole su comunicación a otros equipos de la red; los puntos de forzado

NAP usan un Servidor de Directivas de Red (NPS) que actúa como un servidor de directivas de

cumplimiento de salud NAP a través de las cuales el servidor evalúa el estado de salud de los

clientes NAP, determina si puede acceder a la red o se le restringe a una red aislada en la que

podrá encontrar servidores de actualización que le permitirán al cliente cambiar su estado de

salud y empezar a cumplir con la directiva permitiendo al cliente salir de la red aislada y

empezar a tener comunicación con los demás equipos de la red.

Los puntos de forzado que utiliza NAP son:

HRA (Health Registration Authority): este es un equipo que ejecuta Windows Server 2008 e Internet

Information Services (IIS), y que obtiene los certificados de cumplimiento desde una autoridad de

certificados (CA) para entregárselos a los equipos que cumplen con la directiva.

Servidor VPN: este es un equipo que ejecuta Windows Server 2008, con el servicio de enrutamiento y

acceso remoto, y que permite realizar accesos a la red interna a través de conexiones VPN de acceso

remoto.

Servidor DHCP: este es un equipo que ejecuta Windows Server 2008 y el servicio Servidor DHCP, y que

proporciona direccionamiento IPv4 y su configuración en forma automática a los clientes DHCP de una

red interna.

Dispositivos de acceso a la red: son dispositivos como switch Ethernet o puntos de acceso inalámbricos

que soportan la autenticación IEEE 802.1X.

Servidores de Directivas de cumplimiento (NAP): Son los equipos que ejecutan Windows Server

2008 y el servicio NAP, contienen directivas con requerimientos de salud y proporciona

validación de estado de salud NAP; NPS es el servicio en Windows 2008 que reemplaza a IAS

(Servicio de autenticación Internet equivalente al servidor RADIUS) de Windows 2003; NPS

también actúa como un servidor RADIUS (autenticación, autorización y contabilidad ó AAA),

cuando actúa como un servidor AAA o Servidor de directivas de cumplimiento NAP, NPS se

debe ejecutar en un servidor separado para centralizar las configuraciones de acceso a la red y

las directivas de salud, así mismo el servicio NPS se debe instalar en todos los equipos usados

como punto de forzado y que no contengan el cliente RADIUS incorporado como por ejemplo

HRA o DHCP, además NPS en éste caso sobre el punto de forzado se debe configurar como un

servidor RADIUS Proxy para que pueda intercambiar mensajes RADIUS con el servidor de

directivas de cumplimiento de salud NAP

AD DS: El servicio de Directorio Activo almacena las credenciales de las cuentas, propiedades, y

la configuración de Directivas de grupo, aunque no es necesario para la validación de estado

de salud, el Directorio Activo es necesario para las comunicaciones IPsec protegidas, las

conexiones autenticadas por 802.1X y conexiones VPN de acceso remoto.

Red restringida: esta es una red independiente lógica o física que contiene:

Servidores de Actualización: son los equipos que contienen los recursos de actualización de salud que

los clientes NAP pueden acceder para solucionar su estado de no cumplimiento como ejemplo

podemos incluir a los servidores de distribución de firmas de Antivirus y servidores WSUS (Servidores de

actualizaciones de Windows).

Clientes NAP con acceso limitado: son los equipos puestos en la red restringida cuando no cumplen con

los requisitos de las directivas de cumplimiento de salud.

Tipos de comunicación entre los componentes NAP

Los componentes NAP pueden establecer las siguientes comunicaciones:

Entre un cliente NAP y un Servidor HRA: El cliente NAP usa HTTP o HTTPS para enviar su estado

actual del estado de salud del sistema al HRA y solicitar un certificado de salud, el servidor HRA

utiliza HTTP o HTTPS para enviar instrucciones de reparación (si el cliente NAP no cumplen con las

directivas) o un certificado de salud para el cliente NAP.

©

.



Entre un cliente NAP y un dispositivo de acceso a la red 802.1X (Switch Ethernet o un punto de

acceso inalámbrico): El cliente NAP, en calidad de un cliente 802.1X, utiliza el Protocolo de

autenticación extensible protegido (PEAP) a través de mensajes enviados a través EAP sobre LAN

(EAPOL) para realizar la autenticación de la conexión 802.1X y para indicar su estado actual del

sistema de salud al servidor de directivas de salud NAP, de acuerdo a éste estado el cliente NAP

quedará aislado en una red restringida o se le permitirá acceso a la red ilimitada, los mensajes

PEAP entre el cliente NAP y el servidor NAP se realizan a través del dispositivo 802.1X.

Entre un cliente NAP y un servidor VPN: El cliente NAP actúa como cliente VPN, utiliza mensajes

PPP (protocolo punto a punto) para establecer una conexión VPN de acceso remoto y mensajes

PEAP a través de la conexión PPP para indicar su estado actual del sistema de salud en el

servidor de directivas de salud NAP, los mensajes PEAP entre el cliente VPN y el servidor NAP se

realizan a través del servidor VPN.

Entre un cliente NAP y un servidor DHCP: el cliente NAP, en calidad de cliente DHCP, utiliza los

mensajes DHCP para obtener una configuración de direcciones IPv4 válida y para indicar su

estado actual de salud del sistema; el servidor DHCP utiliza los mensajes de DHCP para asignar ya

sea una configuración de la dirección IPv4 de la red restringida e indicar las instrucciones de

reparación (si el cliente DHCP no cumplen las normas), o una configuración de direcciones IPv4

para el acceso ilimitado (si el cliente DHCP es compatible).

Entre un cliente y un servidor de actualización NAP: mientras que el cliente NAP tiene acceso a la

red interna en forma ilimitada puede acceder a los servidores de actualización para garantizar

que su estado se mantenga en un estado compatible con las directivas de salud del sistema

(Antivirus, WSUS, etc). Si el cliente NAP tiene acceso limitado, puede comunicarse con los

servidores de actualización para solucionar su estado de salud y llegar a ser compatible

basándose en las instrucciones de las directivas de salud del NAP.

Entre un servidor HRA y un servidor NAP: el HRA envía mensajes RADIUS al servidor de directivas

NAP con el estado de salud del sistema del cliente NAP, a continuación el servidor NAP envía

mensajes RADIUS para indicar que: el cliente NAP tiene acceso ilimitado por que cumple con la

directiva, entonces el servidor HRA basado en ésta respuesta obtiene un certificado de salud y lo

envía al cliente NAP; El servidor NAP indica que el cliente no cumple con la directiva y sólo

tendrá acceso a una red restringida hasta que realice configuraciones necesarias para

solucionar éste estado, entonces el servidor HRA basado en ésta respuesta no emite certificado

al cliente NAP. El servidor HRA no incorpora un cliente RADIUS por ello se debe instalar el servicio

NPS y configurarlo como RADIUS Proxy para poder intercambiar mensajes RADIUS entre el HRA y

el NAP.

Entre un dispositivo 802.1X y un servidor NAP: el dispositivo de acceso de red 802.1X usa mensajes

RADIUS para transferir mensajes PEAP enviados por un cliente NAP 802.1X, el servidor NAP de

acuerdo a la directiva envía mensajes RADIUS al dispositivo para permitir acceso ilimitado al

cliente o restringirlo en una red aislada usando filtros o identificadores VLAN; el dispositivo

también sirve como intermediario en la comunicación de mensajes PEAP entre el cliente y el

servidor NAP.

Entre un servidor VPN y un servidor NAP: el servidor VPN envía mensajes RADIUS para transferir

mensajes PEAP enviados por un cliente NAP basado en VPN, el servidor NAP de acuerdo a la

directiva envía mensajes RADIUS al servidor VPN para indicarle que se permite acceso ilimitado al

cliente VPN o se le restringe en una red aislada usando para ello un conjunto de filtros en la

conexión VPN; el servidor VPN también es el intermediario de la mensajería PEAP desde el cliente

al servidor NAP.

Entre un servidor DHCP y un servidor NAP: el servidor DHCP envía al NAP mensajes RADIUS que

contienen el estado de salud del sistema del cliente DHCP; el Servidor NAP envía mensajes

RADIUS al DHCP para informarle si el cliente puede tener acceso ilimitado o debe quedar en una

red aislada. Debido a que el servicio DHCP Server en Windows Server 2008 no tiene incorporado

en el cliente RADIUS, un servidor DHCP debe utilizar el servicio NPS como un RADIUS Proxy para

intercambiar mensajes RADIUS con el Servidor NAP.

Entre un servidor NAP y un servidor de requerimiento de salud: Cuando se realiza la validación de

acceso de red para un cliente NAP el servidor NAP podría tener que contactar con un servidor

de requerimientos de salud para obtener información sobre los requisitos actualizados de salud

©

.



que el sistema del cliente NAP debe tener. Por ejemplo, el servidor NAP debería contactar con

un servidor de antivirus para comprobar el archivo de firmas más recientes o comunicarse con

un servidor de actualización de software para obtener la fecha de la última actualización del

sistema operativo.

Componentes de un Cliente NAP

El cliente NAP está compuesto por las siguientes capas:

La Capa NAP-EC: define un tipo de conexión o de comunicación cada NAP-EC está vinculado con un

punto de forzado NAP-ES, se encarga de solicitar un nivel de acceso a la red, pasar el estado de salud

del sistema al punto de forzado NAP que está concediendo el acceso e indica el estado de acceso a la

red limitada o ilimitada a otros componentes del cliente NAP, según el tipo de conexión el NAP-EC

puede ser:

IPsec NAP-EC: Obtiene el SSoH (System Statement of Health) desde el agente NAP y lo envía al

servidor HRA junto con la solicitud de un certificado de salud, también se comunica con el

almacén que guarda los certificados digitales de salud, asegura que el certificado de salud sea

utilizado para las comunicaciones protegidas IPSec, verifica el firewall para que el tráfico IPSec

protegido sea permitido a través del firewall.

Host EAP NAP-EC: Obtiene el SSoH del Agente NAP y lo envía como un mensaje PEAP para

conexiones autenticadas 802.1X

VPN NAP-EC: El servicio de administración de conexiones de acceso remoto obtiene el SSoH del

Agente NAP y lo envía como un mensaje PEAP en una conexión VPN.

DHCP NAP-EC: El servicio Cliente DHCP usa mensajes DHCP para intercambiar los mensajes de

salud del sistema e información de acceso a la red limitada, obtiene el SSoH desde el Agente

NAP, luego fracciona el SSoH y pone cada fracción como una opción dentro de un paquete

DHCP (DHCPDiscover, DHCPrequest, DHCPinform excepto DHCPDecline y DHCPRelease).

La Capa de Agentes de salud de Sistema (SHA): Son componentes que mantienen e informan uno o

múltiples elementos de salud del sistema informándolo al agente NAP publicando su estado en un SoH

que contiene información que el Servidor NAP puede usar para comprobar que el cliente está en el

estado de salud requerido, los SHA coinciden con SHV (System Health Validator) en el lado del servidor

que se encargan de devolver una respuesta (SoHR) al cliente NAP el cual recibe a través del NAP-EC y

el agente NAP hasta llegar al SHA informándole que debe hacer si el SHA no está en un estado de salud

requerido por ejemplo el SoHR instruye al SHV para pedir la última versión de de firma del Antivirus desde

un servidor de Antivirus al que le incluye el nombre y la IP del servidor.

El SHA puede usar componentes de salud del sistema instalados localmente que ayudan a solucionar el

estado de salud de sistema al conectarse a servidores de actualización por ejemplo un servidor WSUS.

El Agente NAP: mantiene la información de estado de salud actualizada del cliente NAP y facilita la

comunicación entre el NAP-EC y los SHA, se encarga de los siguientes servicios:

Coleccionar los SoH de cada SHA y almacenarlos en caché hasta que el SHA lo actualice

nuevamente.

Almacena los SSoH y los entrega a los NAP-EC cuando éstos lo solicitan

Pasa las notificaciones a los SHA cuando el estado de acceso a la red limitada cambia

Pasa los SoHR al apropiado SHA

Interfaces de programación SHA: Conjunto de llamadas de función que permite a los SHA registrarse

con el Agente NAP para indicar su estado de salud, responde a las consultas del agente NAP respecto

al estado de salud, se usan por el agente NAP para pasar información a los SHA para solucionar el

estado de salud, las SHA API permiten a fabricantes de terceros desarrollar SHA adicionales.

NAP-EC API: Conjunto de funciones que permite a los NAP-EC registrarse con el NAP-EC para requerir el

estado de salud, pasa información de solución de salud al agente NAP, también permite que software

de terceros creen e instalen NAP-EC adicionales.

©

.



Componentes de Servidor NAP

Los puntos de forzado NAP tienen una capa de componentes NAP-ES que está definido por un tipo de

conexión o comunicación como por ejemplo DCHP NAP-ES ó el VPN NAP-ES, los componentes NAP-ES

coinciden con el componente NAP-EC, si un fabricante crea un NAP-EC debe entonces tener un NAP-ES

relacionado.

El NAP-Es se encarga de obtener los SSoH del NAP-EC y enviarlos a un servidor de directivas de salud

NAP como atributos de mensajes RADIUS.

El Servidor de directivas NAP tiene los siguientes componentes:

Servicio NPS: un Servidor de Windows 2008 provee este servicio, lo cual se encarga de recibir los

mensajes RADIUS, extrae los SSoH y pasarlos al componente de administración NAP.

Servidor Administración NAP: Permite la comunicación entre el servicio NPS y los SHVs.

Capa de validador de salud del sistema (SHV): cada SHV está definido para uno ó múltiples tipo

de elementos de salud del sistema, Windows 2008 incluye el validador de salud de Windows

(WSHV) que puede determinar el estado de la firma de Antivirus, Firewall, Actualizaciones de

Windows

SHV API: conjunto de llamadas de función que permite a un SHV registrarse con el componente

de administración NAP, recibe los SoH del componente de administración NAP y le envía los

SoHR .

En resumen una infraestructura NAP está compuesta por los siguientes:

Los 3 componentes Cliente NAP (Capa SHA, Agente NAP, capa NAP-EC)

Los 4 componentes NAP del lado servidor (Capa SHV, el servidor de administración NAP, el servicio

NPS, y una capa NAP ES sobre los puntos de forzado NAP basado en Windows)

Servidores de requerimientos de salud

Servidores de actualización.

Funcionamiento NAP

La configuración de los componentes de la plataforma NAP pueden variar según las necesidades de la

red, pero en general sigue el mismo comportamiento, el cliente al intentar acceder ó comunicarse en la

red debe presentar su estado de salud del sistema y si no lo puede hacer entonces su acceso ó

comunicación se restringe a una red donde podrá encontrar servidores de actualización sobre los que

el cliente podrá solucionar los inconvenientes de salud que le causaron quedar aislado, después de

cambiar su estado de salud, el cliente volverá a solicitar su acceso a la red ó a la comunicación, y si el

estado de salud es válido entonces tendrá acceso en forma ilimitada a todos los recursos de la red.

En cualquier método de forzado NAP el proceso de acceso a la red se basa en el estado de salud del

sistema, por tanto se necesita que la infraestructura tenga la siguiente funcionalidad:

Validación de directivas de salud: Determina si el equipo cumple ó no cumple con los

requerimientos de la directiva de salud.

Limitación de acceso en red: Para los equipos que no cumplen

Solución Automática: Provee las actualizaciones necesarias para que un equipo que no cumple

empiece a cumplir

Cumplimiento permanente: Actualización automática de clientes que cumplen para que

permanezcan en este estado incluso cuando los requerimientos de la directiva de salud

cambien.

Como se mencionó antes aunque el objetivo de NAP es el mismo, varía dependiendo de los métodos

de acceso a la red ó comunicación que el cliente utilice, de acuerdo a e esto veamos cómo funcionan

los métodos de forzado NAP:

©

.



Forzado NAP con IPSEC: limita la comunicación usando clientes NAP protegidos con IPsec y

rechazando los intentos de conexión de clientes que no pueden negociar IPsec usando los

certificados de salud, éste método permite ser utilizado por todos los equipos en el dominio, por

un conjunto de equipos de una red, por equipos específicos, por puertos TCP ó UDP específicos

en un ordenador específico. IPsec divide la red física en 3 redes lógicas, un equipo puede ser

cliente de sólo una red lógica en un momento dado, las redes estan definidas en función de

cuales equipos tienen certificados de salud y cuales requieren autenticación IPsec con

certificados de salud para las comunicaciones entrantes, las redes lógicas son las siguientes:

Red Segura: formada por equipos que tienen certificados de salud que les sirve para requerir

autenticación IPsec para las conexiones entrantes desde otros equipos, los equipos del dominio pueden

hacer parte de ésta red.

Un equipo en esta red puede comunicarse con cualquier equipo de las 3 redes lógicas, aceptan

comunicaciones desde equipos en la red segura y en la red límite pero no desde la red restringida.

Red límite: Son equipos con certificados de salud pero no requieren autenticación IPsec por lo que se les

puede acceder desde todos los equipos de la red física.

Un equipo en esta red puede comunicarse con otros equipos en la red segura y límite (con

autenticación IPsec) y con la red restringida (Sin autenticación), los equipos que encontramos en ésta

red pueden ser Servidores HRA, servidores de actualización lo que permite que clientes que no cumplen

puedan solucionar su estado de incompatibilidad y obtener certificados de salud, a su vez equipos que

cumplen deben acceder a ésta red en caso que la directiva de salud cambie y les permite continuar

en ese estado siempre y cuando cumpla los requisitos. Un equipo es miembro de las redes segura y

límite de acuerdo a período de validez del certificado de salud (Se configura en el servidor HRA y

generalmente es un valor en horas en lugar de años).

Red restringida: formada por equipos sin certificados de salud lo cual incluye a clientes NAP que no

cumplen, equipos invitados en la red, ó equipos que no son compatibles con NAP. Los equipos de ésta

red pueden comunicarse con la red límite pero no con los de la red segura (excepto si se configuran

excepciones en la directiva IPsec del equipo seguro), y ellos aceptarán comunicaciones con equipos

de las 3 redes lógicas.

Forzado NAP con 802.1X: instruye a un dispositivo que soporta 802.1X para usar un perfil de

acceso limitado a través de un conjunto de filtros de paquetes IP ó un identificador de VLAN y

cuyo objetivo es limitar el tráfico de un equipo que no cumpla para que sólo pueda alcanzar

recursos en la red restringida. Si se usan filtros el dispositivo los aplica al tráfico IP intercambiado

con el cliente 802.1X y silenciosamente descarta todos los paquetes que no correspondan a un

filtro de paquetes configurado. Si se usa VLAN ID el dispositivo lo aplica a todos los paquetes

intercambiados con el cliente aislándolo sólo a los equipos disponibles en la VLAN; el forzado

802.1X supervisa en forma activa el estado de salud del cliente NAP conectado y aplica el perfil

de acceso restringido a la conexión si el cliente es detectado como cliente que no cumple.

Forzado NAP VPN: este forzado usa un conjunto de filtros de paquete IP de acceso remoto para

limitar el tráfico del cliente VPN para que este sólo pueda alcanzar los recursos de la red

restringida, el servidor VPN aplica los filtros IP al tráfico IP que recibe del cliente VPN y

silenciosamente descarta todos los paquetes que no corresponden al filtro de paquetes

configurado, como en los métodos anteriores el forzado NAP con VPN supervisa activamente el

estado de salud de los clientes NAP y aplica el filtrado de paquetes a la red restringida a la

conexión VPN si el cliente empieza a no cumplir.

Forzado NAP DHCP: la configuración de direccionamiento IP limita el acceso a la red para un

cliente DHCP usando la tabla de enrutamiento IPv4, el forzado DHCP configura la opción de un

enrutador a 0.0.0.0 para que el cliente que no cumple no tenga una puerta de enlace

predeterminada, además configura la máscara 255.255.255.255 desactivando el enrutamiento

en la subred. Para permitir que un cliente que no cumple acceda a los servidores de

actualización en la red restringida el DHCP asigna la opción DHCP Enrutamiento estático sin

estado que contiene rutas de hosts a los equipos de la red restringida como DNS y servidores de

actualización. El resultado final del acceso a red limitado es una configuración de tablas de

©

.



enrutamiento que permiten conectividad sólo a direcciones de destino específicas

correspondientes a la red restringida, de ésta forma cuando una aplicación intenta enviar un

paquete a una dirección IPv4 distinta a las que han sido dadas en la opción rutas estáticas sin

clase, el protocolo TCP/IP devolverá un error de enrutamiento (Se debe tener en cuenta que

este método de forzado es para IPv4 y no limita a IPv6 ó si se configura una dirección IPv4

Manual ó se cambian las entradas en la tabla de enrutamiento se puede tener acceso a la red

ilimitada).

Configuración de NAP

Un cliente NAP es un equipo que carga componentes NAP y que comprueba su estado de salud

enviándolo a través de un SoH al servidor NPS, el SoH es un paquete con el estado de salud del cliente

creado por los SHA (agentes de estado de salud) y enviados a los SHV (Validadores de salud del

sistema) en el Servidor NPS.

Los validadores del sistema: SHAs y SHVs se encargar de hacer el seguimiento del estado de salud y

validarlo, los sistemas operativos desde Windows XP SP3 incluyen un SHA llamado Windows Security

Health Validator (WSHV) que supervisa las configuraciones del centro de seguridad de Windows, los SHV

reciben un SoH desde el componente servidor de administración NAP y compara la información de

estado de salud en el SoH con el estado de salud del sistema requerido.

El SHV devuelve una respuesta SHR al servidor de administración NAP con la información sobre como el

SHA correspondiente en el cliente NAP puede mantener los requerimientos del estado de salud actual.

Directivas de cumplimiento de salud: Constan de uno ó más SHV y otras configuraciones que permiten

definir la configuración necesaria de salud del sistema en los clientes NAP cuando intenten conectarse

a la red, el SoH generado por el cliente y comparado por el servidor NPS con los requerimientos de la

directiva de cumplimiento, si no la cumple entonces NPS toma una de las siguientes acciones:

Rechaza la solicitud de conexión

Asigna el cliente NAP en una red restringida.

Permite conectarse a la red a pesar que este no cumple con la directiva

Se pueden definir directivas de cumplimiento de salud de cliente agregando uno ó más SHV a la

directiva, después se agrega a una directiva de red con condiciones de directivas de salud para forzar

el NAP en el momento que el cliente intente acceder a la red.

Grupos de Servidores de Actualización: Es una lista de servidores en la red restringida que proveen

recursos que tren los equipos clientes NAP que no cumplen a un estado de cumplimiento con la

directiva de salud definida.

Configuración del Cliente NAP: para que un cliente NAP funcione adecuadamente se deben seguir 3

pasos básicos:

El validador de seguridad de Windows (WSHV) requiere que el centro de seguridad este

habilitado, para asegurar éste requerimiento es posible usar una directiva de grupo ó la directiva

local del equipo localizada en la siguiente ruta:

Configuración_Equipo»plantillas_administrativas»componentes_de_Windows»centro de

seguridad y en la directiva Activar Centro de Seguridad (Sólo equipos del Dominio) seleccionar

Habilitar y aceptar.

El servicio Agente de protección de acceso a redes debe estar habilitado e iniciado

Se debe configurar el cliente NAP de acuerdo al sistema de forzado necesario, para ello se utiliza

el comando NAPCLCFG.MSC luego seleccionar el método de forzado que se debe implementar

y Activarlo ó desactivarlo.

©

.



Solución de Problemas NAP

Al implementar una solución NAP es importante supervisar los distintos componentes con el fin de

solucionar posibles problemas, NAP pone a disposición de los administradores ficheros de registros que

ayudan en éstas tareas de soporte pero no están activos en forma predeterminada.

Es posible usar 2 herramientas para activar y configurar ficheros de registro en NAP:

Usando la consola de administración del cliente NAP (NAPCLCFG.MSC) sobre las propiedades

del equipo local se puede activar ó desactivar el fichero de seguimiento NAP y luego

seleccionar el nivel de detalle que se quiere en el fichero, básico, avanzado o depuración.

Usando el comando NETSH en el símbolo del sistema así: netsh nap client set tracing

state=enable level=advanced o Basic o verbose

En ambos casos el fichero de registro NAP se generará en la carpeta %systemroot%»tracing»nap.

Ver Vídeo: NAP,


Laboratorios

Laboratorio 1. Configuración NAP para Clientes DHCP

1. Como se mencionó en la unidad anterior el Servicio Servidor de Directivas de Red (NPS) también

cumple la función de ser un servidor de protección de acceso a redes (NAP); como ya se había

instalado éste servicio en la práctica anterior, continuaremos con las configuraciones para ser

Servidor NAP, para ello desplegamos el árbol de nodos de la consola Servidor de Directivas de

Redes y en protección de acceso a redes configuramos el validador de mantenimiento de

seguridad de Windows haciendo sobre este clic derecho y luego seleccionar propiedades.

©

.



2. Luego en la ventana de las propiedades hacer clic en el botón Configurar.

3. Desmarcar todas las opciones excepto la de Firewall (Será el requisito necesario para saber si el

cliente puede ó no cumplir con la directiva de acceso a la red).

©

.



4. Otra opción a configurar es el Grupo de servidores de actualización (ayudara a los clientes que no

cumplen para salir de ese estado), para crear el grupo se hace clic derecho y seleccionar la opción

Nuevo.

5. Debemos asignar un nombre al grupo y luego agregar los servidores miembros del grupo y que serán

servidores de actualización.

©

.



6. En nuestro caso podemos agregar al servidor Core instalado en los primeras unidades de éste

módulo.

7. El siguiente paso consiste en crear las directivas de mantenimiento para los clientes NAP, hacer clic

sobre Directivas de mantenimiento y seleccionar Nuevo.

©

.



8. Podemos configurar tantas directivas como posibilidades de validación tengamos , primero

crearemos una directiva para aquellos clientes que superen todas las comprobaciones de los

validadores.

9. Luego crearemos otra directiva para los clientes que NO superen alguna comprobación.

©

.



10. El resultado final será que tenemos 2 Directivas de Cumplimiento, que luego serán incluidas como

condiciones de acceso en las directivas de Red.

11. Ahora en las directivas de red desactivamos todas las directivas que tengamos (Predeterminadas

como creadas de prácticas anteriores).

©

.



12. Se desactivan todas las directivas de red para poder crear nuevas directivas con requisitos NAP.

13. Para crear una nueva Directiva de Red se hace clic derecho y seleccionar nuevo, se deben crear 2

Directivas de red la cual tendrán como Condición la Directiva de cumplimiento.

©

.



14. Asignamos un nombre a la directiva y siguiente, en éste caso será para los clientes que cumplen la

directiva NAP y a los que se les dará acceso a la red sin restricciones.

15. El asistente ahora muestra la página de condiciones la cual está vacía

©

.



16. Se deben agregar las Directivas de Mantenimiento creadas anteriormente en éste caso para los

clientes que se detecten que cumplen con la directiva

©

.



17. Una vez dadas las condiciones la siguiente página define los permisos de acceso al cual dejamos en

Concedido.

18. Luego seleccionamos los métodos de autenticación, como en éste caso usaremos DHCP para el uso

de NAP no se involucra ninguna autenticación pero si debemos solicitar la comprobación de

mantenimiento en el equipo.

©

.



19. No se configurarán restricciones.

20. En la página de Opciones en el área de Cumplimiento NAP podemos definir si se restringe o no la

red, en éste caso si el cliente cumple tendrá acceso Ilimitado.

©

.



21. Cuando se tengan los parámetros adecuados de la Directiva entonces Finalizamos.

22. A continuación se debe crear por lo menos una Directiva de Red más para definir que los clientes

que no cumplan con el NAP tendrán acceso restringido a la red, volvemos a crear una nueva

directiva y seguimos el asistente. Asignar el nombre a la directiva, en éste caso Acceso Restringido a

equipos que No cumplen.

©

.



23. En las condiciones agregamos la Directiva de cumplimiento definida para los clientes que NO

cumplen.

24. El permiso que se asigna debe ser Concedido ya que si lo denegamos el cliente no podrá conectar

y ni si quiera podrá estar en la red restringida

©

.



25. Seleccionar la comprobación de mantenimiento en el equipo y desmarcar los demás protocolos de

autenticación.

26. No se configuran restricciones.

©

.



Y en la página de Opciones en la sección de Cumplimiento NAP podemos permitir Acceso limitado con Autocorrección activada.

27. Si se hace clic en el botón Configurar podemos incluir el grupo de servidores de actualización

creado previamente, permitiendo acceso a estos desde clientes que NO cumplan.

©

.



28. Si los valores son correctos entonces Finalizar.

29. El resultado final serán 2 Directivas de Red configuradas para acceso de clientes que dependen de

su estado de cumplimiento.

©

.



30. Ahora debemos configurar el Servidor DHCP, debido a que en ésta práctica el Servidor DHCP está

separado del Servidor NAP y debemos activar la mensajería RADIUS entre los NAP-ES y el Servidor

NAP es necesario instalar el Servicio NPS en el Servidor DHCP

31. Desde el Administrador de Servidor agregamos la Función Servicios de Acceso y directivas de redes

©

.



32. Seleccionar sólo la función de servicio Servidor de Directivas de redes.

33. Clic en Cerrar cuando la instalación finalice.

©

.



34. Una vez instalado el Servicio procedemos a configurar el NPS instalado en el Servidor DHCP como un

Servidor RADIUS Proxy, el primer paso será registrar el Servicio en Directorio Activo.

35. Sobre Grupos de servidores Remotos RADIUS creamos un nuevo Grupo

©

.



36. Asignamos un Nombre y luego en Agregar.

37. Escribimos la Dirección IP del Servidor NAP

©

.



38. Confirmamos la Contraseña de acceso y los puertos que se usarán para la comunicación.

©

.



39. Una vez agregado el Servidor NAP al grupo

Debemos Seleccionar las Directivas de Solicitud de Conexión, en la que encontramos la directiva

predeterminada llamada Usar autenticación de Windows para todos los usuarios, hacer clic derecho y

propiedades.

©

.



En la pestaña Configuración, bajo el reenvío de solicitudes de conexión, cambiar la opción a Reenviar

las solicitudes al grupo creado anteriormente donde está el Servidor NAP.

40. Esta directiva permite que todas las solicitudes NAP en viadas al DHCP sean trasladadas a mensajes

RADIUS enviados al servidor NAP.

©

.



41. Nuevamente sobre el Servidor NAP se debe crear la cuenta del Cliente RADIUS (Servidor DHCP) para

poder recibir las solicitudes reenviadas

42. Agregar la Dirección IP del Servidor DHCP con una clave secreta que coincida con la asignada en

el paso anterior cuando se creó el Grupo de Servidores RADIUS Proxy, es importante marcar que el

Cliente RADIUS es compatible con NAP.

©

.



43. Una vez creado le cliente lo veremos en la lista tal como se muestra en la gráfica.

44. Nuevamente sobre el Servidor DHCP activamos en las propiedades del ámbito la Compatibilidad

con NAP

©

.



45. Como vemos el Servicio DHCP de Windows 2008 se integra con NAP a través de la pestaña

Protección de acceso a redes, activamos el soporte NAP para el ámbito con el perfil

predeterminado

©

.



46. El siguiente paso será definir las opciones DHCP en el ámbito por las que los clientes NAP recibirán

información adecuada dependiendo de su estado de cumplimiento, si cumple recibe las opciones

DHCP adecuadas para la red Ilimitada, pero si no cumple recibe las opciones DHCP usadas en la

red restringida

47. Al configurar las opciones avanzadas de ámbito aparece en la Clase Usuario opciones para NAP en

las que se asignará información Restringida

©

.



48. En éste caso se agregan Servidores DNS y Sufijos DNS diferentes a los clientes que NO cumplen

©

.



49. Una vez configuradas todas las opciones necesarias comprobaremos el Cliente

50. Para configurar el Cliente NAP debemos realizar 3 cosas, la primera consiste en abrir una consola

MMC nueva

©

.



51. Agregar el complemento de Edición de Directivas de Grupo

©

.



52. En éste caso usamos la Directiva local del equipo pero es posible hacer esto usando una GPO en el

Dominio.

53. Buscamos la Directiva Activar el Centro de Seguridad y la Activamos.

©

.



©

.



54. La segunda configuración consiste en abrir la consola de configuración del cliente NAP

(NAPCLCFG.MSC).

©

.



55. Con ésta consola podemos activar los mecanismos NAP-EC que se usarán para la comprobación de

cumplimiento NAP, en este caso usaremos DHCP.

©

.



56. El tercer aspecto a configurar es Activar el Servicio de Cliente NAP para que sea Automático

©

.



57. El servicio Agente de Protección de acceso a redes debe estar habilitado e iniciado.

©

.



58. El último paso será hacer que el cliente sea un cliente DHCP y reiniciamos el equipo cliente.

59. Cuando iniciemos la sesión podemos abrir un Símbolo del sistema y ejecutar el Comando IPCONFIG

/ALL para conocer el estado de cuarentena del cliente NAP, en éste caso observamos que el

cliente NO está restringido y que las opciones DHCP asignadas son las adecuadas para un cliente

que Cumple con las comprobaciones del validador

©

.



60. Ahora, si volvemos al servidor NAP y reconfiguramos el Validados de Windows para exigir un software

de Antivirus.

©

.



61. Comprobamos en el cliente que efectos ha tenido, para refrescar el estado de cumplimiento

ejecutamos IPCONFIG /RELEASE y nuevamente IPCONFIG /RENEW.

62. Vemos que el cliente NO cumple con los requisitos de la red y por tanto al volver a hacer IPCONFIG

/ALL el estado de cuarentena es Restringido y las opciones DHCP son las adecuadas para el cliente

que NO cumple ya que no tiene Antivirus instalado.

©

.



Laboratorio 2. Configuración NAP para clientes VPN

1. Para usar NAP con Clientes VPN es necesario activar PEAP y para ello usaremos un certificado

Digital, entonces el primer paso consiste en instalar una Autoridad de Certificados CA de Empresa

Raíz sobre el Controlador de Dominio, esta servirá para prácticas posteriores.

2. Usaremos el Servidor instalado como Controlador de Domino, DNS y DHCP, abrir la consola

Administrador del servidor y agregar función

©

.



3. Seleccionamos de la lista la función Servicios de Certificate Server de Active Directry

4. A continuación el asistente nos guiará paso a paso, en éste caso aceptaremos los predeterminados,

activamos Entidad de certificación

©

.



5. De Empresa

6. CA Raíz

©

.



7. Crear las claves Privadas.

8. Usar la Criptografía predeterminada

©

.



9. Asignar un nombre a la CA

10. Aceptar el período de validez de 5 años de la CA

©

.



©

.



11. Una vez instalado el Servicio en herramientas administrativas, hacer clic en Certification Authority.

12. En la consola de la CA sobre el Nodo de Plantillas de certificado hacer clic derecho y seleccionar

Administrar.

©

.



13. En la consola de Plantillas de certificados buscar la plantilla Equipo y abrir las Propiedades.

14. En la pestaña Seguridad permitir Inscribirse al grupo de usuarios autentificados y Aceptar.

©

.



15. Después de configurar la plantilla de Equipo en la CA, debemos solicitar un certificado de Equipo

para el servidor NAP que será utilizado para la autenticación PEAP del lado del servidor; Antes de

solicitar el certificado se debe hacer un reinicio del servidor NAP para que pueda encontrar la nueva

CA instalada en el paso anterior, a continuación sobre el servidor NAP abrimos una consola MMC y

agregamos el complemento Certificados para la cuenta del Equipo local.

©

.



©

.



16. Una vez agregado el almacén de certificados del equipo a continuación sobre el contenedor

Personal hacer clic derecho y seleccionar Solicitar un nuevo certificado.

17. Se activará un asistente.

©

.



18. Seleccionar el certificado para Equipo y hacer clic en Inscribir.

19. Se verá que el certificado es emitido e instalado en el equipo NAP

©

.



20. Si la solicitud es correcta el nuevo certificado se muestra en el almacén Personal de la cuenta del

equipo.

21. Nuevamente configuramos el Servidor NAP para ser usado por clientes VPN, el primer paso será

configurar el validador de Windows para sólo exigir el Firewall activado.

©

.



22. El siguiente paso es comprobar las directivas de mantenimiento creadas con anterioridad en el

laboratorio 1 de ésta Unidad.

23. A continuación se deben crear las 2 Directivas de Red necesarias para el acceso a la red, también

habían sido creadas anteriormente, salvo que debemos hacer un cambio en la directiva de acceso

restringido para los clientes que NO cumplen, por ello hacer clic derecho en la directiva de red para

clientes que NO cumplen y seleccionar las Propiedades.

©

.



24. En la Pestaña configuración de la directiva en la sección de enrutamiento y acceso remoto

seleccionar filtros IP para determinar el tráfico de entrada y de salida entre los clientes que no

Cumplan y los servidores de actualización.

25. Hacer clic en Filtros de entrada

26. Agregar el filtro hacia la red de destino formada por un único Host.

©

.



27. Después de agregar los filtros necesarios se debe seleccionar la opción Permitir sólo el tráfico de la

lista

28. Ahora en los filtros de salida agregamos el siguiente filtro

©

.



29. Después de crear los Filtros se debe crear una directiva de solicitud de conexión para activar el PEAP

para uso con NAP, para esto desactivar todas las directivas existentes (predeterminadas y creadas

en prácticas anteriores)

©

.



30. Crear una nueva directiva de solicitud de conexión, el proceso será guiado por un asistente

©

.



31. El primer paso consiste en asignar un nombre a la directiva y luego determinar que el tipo de servidor

de acceso a la red es para Servidor de Acceso remoto (VPN-Marcación).

32. En las Condiciones pinchar en agregar.

©

.



33. Seleccionar la condición Tipo de Túnel.

34. Y seleccionar PPT y L2TP.

©

.



35. Sobre el reenvío de autenticaciones dejar la opción autenticar solicitudes en éste servidor.

©

.



36. Sobre métodos de autenticación marcar la opción Invalidar la configuración de autenticación de la

directiva de red, luego en Tipos de EAP pinchar en el botón Agregar.

37. Seleccionar EAP Protegido y contraseña segura (EAP-MSCHAP v2)

©

.



38. Sobre EAP Protegido (PEAP) hacer clic en el botón editar

39. Seleccionar Habilitar comprobaciones de cuarentena.

©

.



40. No configuramos nada en Opciones.

41. Si todas las opciones son correctas Finalizar.

©

.



42. Debido a que el Servidor RAS (Servidor de VPN) es distinto al servidor NAP se debe agregar como

cliente RADIUS en la consola NPS del Servidor NAP.

©

.



43. Como ya habíamos agregado el servidor en una práctica anterior, lo deberíamos tener en la lista de

Clientes RADIUS pero debemos asegurarnos que el servidor este seleccionado como que el cliente

RADIUS es compatible con NAP

44. Ahora se configura el Servidor RAS para usar el Servidor NAP, como se vio en la unidad anterior, el

servidor de acceso remoto usará el RADIUS para la autenticación.

©

.



45. Ahora configuramos el Cliente VPN para que use NAP, recordamos los 3 aspectos a revisar en un

cliente NAP, primero habilitar la directiva local Activar el centro de seguridad

©

.



46. Segundo en la consola del cliente NAP habilitar el cliente de cumplimiento de cuarentena para el

acceso remoto

47. Y por último Habilitar e iniciar el servicio agente de protección de acceso a redes

©

.



48. A continuación sobre la conexión VPN se debe activar el protocolo PEAP, para ello seleccionamos

las propiedades de la conexión VPN y en seguridad seleccionar la opción Avanzada

49. Luego Usar el protocolo de autenticación extensible EAP con EAP protegido (PEAP)

©

.



50. A continuación hacer clic en el botón propiedades, y seleccionar como método de autenticación

(EAP-MSCHAP v2) y habilitar comprobaciones de cuarentena, desmarcar la opción Habilitar

reconexión rápida

©

.



51. Una vez configuradas las opciones de autenticación en el cliente debemos asegurarnos de tener el

certificado de la CA raíz que emitió el certificado de Equipo para el Servidor NPS ya que se utiliza en

el proceso de comunicación segura entre el cliente y el servidor NAP. El certificado de la CA raíz

debe estar instalado en el cliente porque de lo contrario el certificado del Servidor NAP no tendrá

validez para el cliente provocando un error en el momento de la conexión de la VPN que se

describe en la siguiente gráfica (Error 0X80420400)

52. Se debe exportar el certificado de la CA para que el cliente pueda confiar en el certificado de la

CA que se emitió para uso de autenticación PEAP, entonces sobre el servidor NAP en la consola de

Certificados para el equipo, sobre el nodo de Entidades de certificación Raíz de confianza,

certificados debemos tener un Certificado con el nombre de la CA instalada al principio de éste

laboratorio, sobre el certificado hacer clic derecho y Exportar.

©

.



53. El Asistente para exportar el certificado se inicia

54. Seleccionar el formato de exportación si DER binario es escogido se generará un fichero de tipo CER.

©

.



55. Luego debemos dar una ubicación donde crear el fichero con el certificado exportado.

©

.



56. Cuando la exportación del certificado termine correctamente debemos tomar el fichero generado

e importarlo en el equipo cliente que se conectará con la VPN

57. El asistente para Importar el Certificado se inicia debemos asegurarnos de almacenarlo en el mismo

almacén desde el que se exportó.

©

.



©

.



©

.



58. Cuando la importación del Certificado de la CA raíz termine correctamente entonces ya podemos

intentar la conexión VPN

©

.



59. Durante el proceso de conexión se abrirá la ventana de validación del certificado de equipo del

Servidor NAP, hacer clic en Aceptar para establecer la conexión.

60. Como se observa en los detalles de la conexión VPN el protocolo usado para autenticación es EAP.

©

.



61. Una vez conectado hacemos un IPCONFIG /ALL y vemos que el cliente aparece Sin restricción lo

que quiere decir que cumple con la directiva de mantenimiento NAP.

©

.



62. A continuación Desconectar la VPN.

63. Sobre el Servidor NAP reconfiguramos el validador de Windows para requerir un antivirus en el cliente

NAP

©

.



64. Ahora en el cliente volvemos a establecer la conexión VPN.

65. Nuevamente vemos que la conexión se ha establecido correctamente porque está permitida en la

directiva de red

©

.



66. Sin embargo vemos un mensaje en el área de notificación que informa que el equipo no cumple

con los requisitos de la red

67. Si se lanza el comando IPCONFIG /ALL nuevamente se puede ver que el estado del cliente es

restringido sobre el que aplica los filtros configurados para permitir tráfico sólo hacia y desde las

direcciones IP configuradas (Servidores de Actualización)

©

.



Unidad 9. Configuracion de Ipsec

Introducción

Seguridad del protocolo Internet (IPSec) es un marco de normas abiertas para proteger las

comunicaciones a través de redes IP a través de los servicios de seguridad criptográfica. IPsec admite la

autenticación a nivel de red de pares, autenticación de datos de origen, integridad de datos,

confidencialidad de los datos (encriptación) y protección contra la reproducción. La implementación

de Microsoft IPSec está basado en estándares que el Grupo de Internet Engineering Task Force (IETF)

IPsec de trabajo desarrollado.

Los sistemas operativos siguientes admiten IPsec: Windows Vista ™, Windows Server ® 2008, Windows

Server ® 2003, Microsoft Windows XP y Windows 2000 sistemas operativos. Además, se integra con el

servicio de directorio Active Directory ®. Puede asignar políticas IPSec a través de Directiva de grupo,

que le permite configurar las opciones de IPsec en el dominio, sitio o unidad organizativa (OU) nivel.

Definiciones Generalidades de IPsec

IPsec es un conjunto de protocolos que ayudan a proteger los datos que se transmiten en la red usando

servicios de seguridad y certificados digitales con claves públicas y privadas; el uso de IPsec incrementa

la seguridad porque su diseño permite a un administrador configurarlo más fácil y no en cada programa

en forma individual.

Normalmente se utiliza IPsec para lograr la confidencialidad, integridad y autenticación en el transporte

de datos a través de canales de comunicación inseguros como enlaces públicos de Internet, a pesar

de éste propósito en muchas ocasiones su implementación se utilizan para aumentar la seguridad en

las redes privadas, esto es debido a que las organizaciones no siempre pueden estar seguras si las

deficiencias en sus propias redes privadas son susceptibles de ataques por cualquier vulnerabilidad.

Si se implementa adecuadamente IPsec proveerá un canal privado para intercambiar datos

vulnerables sin importar su naturaleza (correo, FTP, cadenas de datos, registros en una aplicación ó

cualquier tipo de dato basado en TCP/IP).

IPSec ofrece las siguientes ventajas:

Autenticación mutua antes y durante las comunicaciones.

Fuerza a las 2 partes a identificarse durante el proceso de comunicación.

Activa confidencialidad a través del cifrado de tráfico IP y autenticación digital de paquetes.

IPsec usa 2 modos de intercambio de información:

Modo ESP (encapsulating security payload): cifra los datos con uno de múltiples algoritmos

disponibles (DES, 3DES, AES)

Modo AH (Authentication Header): Firma el tráfico pero no lo cifra.

IPsec tiene 2 objetivos:

Brinda Integridad al tráfico IP rechazando paquetes modificados: los 2 modos ESP y AH

comprueban la integridad del tráfico IP, si un paquete ha sido modificado la firma digital no

coincidirá y el paquete será descartado. ESP en modo túnel cifra las direcciones origen y destino

como parte de la comunicación, en éste modo se agrega un nuevo encabezado al paquete

donde se especifican las direcciones IP de los 2 puntos extremos en la comunicación. Brinda protección a ataques de reproducción de paquetes: ESP y AH usan números de

secuencias para que cualquier dato que sea capturado para después reproducirlo usará

números fuera de secuencia, el usar número en secuencia asegura que un atacante no pueda

©

.



reutilizar dato capturados para establecer una sesión u obtener información ilegalmente, los

números de secuencia también protege contra intentos de interceptar mensajes y usarlos para

acceder a los recursos ilegalmente tiempo después.

Usos de IPsec:

Filtrado de paquetes: IPSec proporciona una funcionalidad limitada de firewall en equipos de

cara a Internet permitiendo o bloqueando el tráfico entrante o saliente, para ello IPsec se aplica

junto al componente NAT/Firewall de enrutamiento y acceso remoto, ó también se puede utilizar

IPsec con conexión a Internet con firewall (ICF), que proporciona filtrado con estado. Sin

embargo, para garantizar un adecuado intercambio de claves IKE (Internet Key Exchange) en

las asociaciones de seguridad IPsec (SA), se debe configurar ICF para permitir el protocolo UDP

500.

Asegurar el tráfico host a host en rutas específicas: se puede utilizar IPsec para proporcionar

protección para el tráfico entre servidores u otras direcciones IP estáticas o subredes. Por

ejemplo, IPsec puede proteger el tráfico entre los controladores de dominio en sitios diferentes, o

entre los servidores Web y servidores de base de datos.

Proteger el tráfico a servidores: es posible requerir la protección de IPsec para todos los equipos

cliente que acceden a un servidor, además, puede establecer restricciones para definir que

equipos pueden conectarse a un servidor que ejecuta Windows Server 2008.

L2TP/IPSec para conexiones VPN: se puede utilizar la combinación de L2TP e IPsec (L2TP/IPsec)

para todos los escenarios de VPN, este escenario no requiere la configuración e implementación

de directivas IPsec.

Túnel de sitio a sitio (puerta de enlace a puerta de enlace): se puede usar IPsec en modo túnel

para interconectar 2 enrutadores de 2 sitios distantes, ó cuando se requiere interoperabilidad

con enrutadores de otros fabricantes que no soporten conexiones L2TP ó PPTP

Forzado de redes lógicas (servidor / Dominio aislado): en una red basada en Microsoft Windows,

puede aislar recursos de servidor y de dominio lógicamente para limitar el acceso a los equipos

autenticados y autorizados. Por ejemplo, puede crear una red lógica dentro de la red física

existente donde los equipos comparten requisitos comunes para comunicaciones seguras, para

establecer la conectividad, cada equipo en esta red aislada lógicamente debe proporcionar

credenciales de autenticación a otros equipos; este aislamiento evita que los ordenadores no

autorizados y los programas tengan acceso inadecuado a los recursos, las solicitudes de equipos

que no forman parte de la red aislada se ignoran, este escenario puede ayudar a proteger

servidores específicos de alto valor y de datos, y proteger los equipos administrados de equipos

no administrados.

Una red puede tener dos tipos de aislamiento:

Aislamiento de Servidor: para aislar un servidor se configuran servidores específicos para requerir una

directiva IPsec para aceptar comunicaciones autenticadas desde otros equipos, por ejemplo, se puede

configurar el servidor de base de datos para aceptar conexiones desde el servidor de aplicaciones Web

solamente.

Dominio aislado: para aislar un dominio, se utiliza la pertenencia al dominio de Directorio Activo para

garantizar que los equipos que son miembros de un dominio sólo aceptan comunicaciones

autenticadas y aseguradas desde otros equipos del dominio, la red aislada consta sólo de equipos del

dominio, y el aislamiento de dominio utiliza la directiva IPsec para proteger el tráfico enviado entre los

miembros del dominio, incluyendo todos los equipos cliente y servidor.

Debido a que IPsec depende de las direcciones IP para establecer conexiones seguras, no se puede

especificar las direcciones IP dinámicas en consecuencia se deberían usar IPs estáticas, en algunos

escenarios que necesiten DHCP como clientes remotos el diseño de IPsec puede ser más complejo.

©

.



Existen algunos casos donde no se recomienda el uso de IPsec:

debido a reducciones de rendimiento en el procesamiento de los equipos.

incrementos en el consumo de ancho de banda de la red.

también se debe tener en cuenta que IPsec necesita el uso de directivas IPsec que aumentan la

administración y la hace más compleja.

IPsec puede ocasionar problemas de compatibilidad con las aplicaciones

Herramientas usadas para Configurar IPsec:

Usando la consola MMC de Firewall de Windows con seguridad avanzada: permite configurar

tanto la configuración del firewall como las configuraciones de seguridad (IPSec) sobre una

interfaz de red, así mismo también se puede ver la directiva que se aplica actualmente, las

reglas, y otra información en el nodo Monitor.

Usando el complemento administrativo directiva de seguridad IP en una consola MMC: Permite

configurar directivas IPsec que apliquen a equipos ejecutando versiones anteriores y actuales de

Windows, se recomienda su uso en entornos donde se tengan equipos de distintas versiones de

Windows, éste complemento no sirve para configurar el firewall de Windows con seguridad

avanzada.

Usando comandos Netsh: este comando permite la configuración del firewall de Windows con

seguridad avanzada a través del contexto netsh advfirewall; también es posible usar el

comando netsh ipsec para configurar reglas de seguridad en la conexión.

Reglas de seguridad de conexión:

Una regla de seguridad de conexión fuerza la autenticación entre 2 equipos antes que ellos puedan

establecer una comunicación y transmitir información segura, el firewall de Windows con seguridad

avanzada usa IPsec para forzar estas reglas, dentro de las reglas de seguridad de conexión existen

distintos tipos configurables:

De aislamiento: Aísla un equipo restringiendo las conexiones basándose en las credenciales

como miembros del dominio o estados de cumplimiento de salud, las reglas de aislamiento

permiten implementar una estrategia de aislamiento para servidores o dominios. Al crear este

tipo de reglas se lanza un asistente que mostrará las siguientes páginas:

Requerimientos: se debe escoger alguno de los siguientes métodos de autenticación: Solicita

autenticación para conexiones entrantes y salientes; Requiere autenticación para conexiones entrantes

y solicita autenticación para conexiones salientes; Requiere autenticación para conexiones entrantes y

salientes.

Método: de acuerdo al requerimiento de autenticación se puede seleccionar los siguientes métodos

para hacerlo: Predeterminado; Equipo y Usuario (usando Kerberos) usa el protocolo de autenticación

Kerberos v.5 para restringir conexiones a equipos y usuarios unidos al dominio, sólo es compatible con

Windows Vista en adelante; Equipo (usando Kerberos) usa la autenticación Kerberos v5 para restringir las

conexiones a equipos unidos al dominio, es compatible con equipos ejecutando Windows 2000 ó

superior; Certificado de Equipo Restringe las conexiones a máquinas que tengan un certificado de una

autoridad de certificados (CA) específica, es compatible con equipos con cualquier versión de

Windows, con éste método en equipos con Windows Vista ó posteriores se puede especificar que sólo

los certificados de cumplimiento de salud emitidos por una infraestructura NAP usando directivas de

cumplimiento sean aceptados y avanzado que permite designar múltiples métodos de autenticación.

Perfil: Escoger los perfiles a los que la regla aplicará (Dominio, público y privado)

Nombre: Un nombre para la regla y descripción (opcional)

De exención de Autenticación: Permite designar conexiones que no requieren autenticación

basándose en direcciones IP específicas, un rango de direcciones IP, una subred o un grupo

©

.



predefinido como las puertas de enlace, al crear la regla el asistente preguntará las siguientes

opciones:

Equipos Exentos de autenticación (por IP, subset, grupos predefinidos); Perfil al que aplicará la regla

(dominio, público y privado); Nombre de la regla y descripción (opcional)

Regla de Servidor a Servidor: Protege las conexiones entre equipos específicos (usualmente

servidores), al crear ésta regla el asistente preguntará las siguientes opciones: Equipos en los 2

extremos (de acuerdo a dirección IP o por tipo de conexión); Requisitos para definir la forma para

que la autenticación ocurra (igual a la regla de aislamiento); Método de autenticación que puede

incluir certificados digitales, claves previamente compartidas o métodos personalizados; Perfil al que

aplica la regla (Dominio, público y privado) y el Nombre de la regla con la descripción.

Regla de Túnel: Protege la comunicación entre 2 puertas de enlace y usualmente usando

conexiones públicas como Internet, al crear la regla el asistente preguntará las siguientes opciones:

Extremos del túnel identificados por dirección IP o rangos de IP; métodos de autenticación

(certificados, claves compartidas, etc.); Perfiles a los que aplicará la regla (Dominio, público y

privado) y Nombre de la regla con descripción.

Regla personalizada: Se usa para autenticar conexiones entre 2 puntos extremos cuando no se

puedan configurar usando las reglas anteriores, el asistente pedirá los siguientes parámetros: puntos

extremos, requisitos, método de autenticación, perfil al que aplica la regla y nombre de la regla.

Es importante tener en cuenta que las reglas de firewall y las reglas de conexión de seguridad están

relacionadas entre sí pero cumplen 2 objetivos distintos, las reglas de firewall permiten que el tráfico

fluya entre las adaptadoras del firewall pero no aseguran el tráfico, para asegurar el tráfico con IPsec se

deben crear las reglas de conexión. De igual manera si se crea una regla de conexión de seguridad,

esta no permite el tráfico a través del firewall, para ello se debe crear una regla de firewall si el

comportamiento predeterminado del firewall está activo (Bloquea todo el tráfico) en consecuencia si

no hay una regla de firewall la regla de conexión no se aplicará a los programas o servicios.

Configuración de Reglas de Conexión de Seguridad:

Como ya hemos mencionado se pueden utilizar las reglas de seguridad de conexión para configurar

IPSec para conexiones específicas entre un equipo y otros, el firewall de Windows con seguridad

avanzada utiliza la regla para evaluar el tráfico de red, y bloquea o permite los mensajes basándose en

los criterios establecidos en la regla; en algunas circunstancias, el firewall de Windows con seguridad

avanzada bloqueará la comunicación de acuerdo a la dirección o si no se puede autenticar entre sí.

Al crear éstas reglas el asistente permitirá definir los parámetros acordes a las necesidades que los

administradores tengan, y pueden ser de aislamiento (restringe las comunicaciones de acuerdo a la

autenticación); de exención de autenticación (hace excepciones para solicitar autenticación,

generalmente deberíamos incluir los servidores de infraestructura como controladores de dominio del

directorio activo, DHCP, DNS etc.); de servidor a servidor (autentica las comunicaciones entre 2 puntos

extremos); de Túnel (autentica la conexión entre 2 puntos extremos que usan un enlace inseguro como

Internet, generalmente entre gateways) y personalizadas por si las reglas anteriores no permiten la

configuración deseada.

Al seleccionar el tipo de regla el asistente a continuación preguntará por otras opciones que se deben

determinar así:

Puntos Finales en la conexión: se refiere a un host ó grupo de hosts que forman un punto de la conexión,

las posibilidades pueden ser dadas por IP, rango de IP, subredes ó equipos predefinidos como servidores

WINS, DHCP, puerta de enlace predeterminada, DNS, o la subred local (todos los equipos excepto en las

interfaces con IP públicas) también se incluyen todas las formas de conexión (LAN e inalámbricas).

De acuerdo a los puntos de conexión que intervienen en ella IPsec puede funcionar de las siguientes

maneras:

©

.



Modo Túnel: donde protege un paquete entero IP y lo trata como una carga adicional AH ó ESP,

en éste modo de trabajo el paquete entero se encapsula con un encabezado AH o ESP y un

encabezado IP adicional, las direcciones IP del nuevo encabezado son los puntos extremos del

túnel y las direcciones del encabezado encapsulado son las direcciones origen y destino finales;

ESP cifrará el paquete pero el nuevo encabezado no se cifra para facilitar el enrutamiento, ESP

no garantiza la autenticidad de los datos en el encabezado.

Modos ESP: funciona de 2 modos dependiendo de la funcionalidad y la capacidad del hosts:

Modo Transporte: el dato es cifrado pero el encabezado no se cambia, se usa entre 2 hosts que

tengan soporte para usar IPsec directamente.

Modo Túnel: el paquete original se cifra y se envuelve dentro de un nuevo paquete que se

transmite entre 2 enrutadores con soporte IPsec, el modo túnel permite el intercambio de

información entre 2 equipos que no soportan IPsec usando los gateways con IPsec para que

aseguren el tráfico entre 2 puntos bajo una red insegura.

Requisitos de autenticación: define como se debe establecer la autenticación en las conexiones

entrantes o salientes y si falla la autenticación la conexión se rechazará, existen 3 maneras de

determinar cómo se debe autenticar:

Solicitar autenticación para conexiones entrantes y salientes: con esta opción todo el tráfico será

autenticada y se permitirá incluso si hay un fallo, se usan en entornos con seguridad baja ó

entornos donde se pueden conectar pero no son compatibles con los tipos de autenticación del

firewall de Windows con seguridad avanzada

Requiere autenticación para conexiones entrantes y solicita autenticación para conexiones

salientes: en éste caso el tráfico entrante debe ser autenticado o de lo contrario será

bloqueado, el tráfico saliente puede ser autenticado pero permitido si falla, esta opción se

puede usar en entornos donde los equipos son compatibles con el firewall avanzado de

Windows

Requiere autenticación para conexiones entrantes y salientes: Todo el tráfico será autenticado o

será bloqueado, esta opción se usa en entornos de seguridad alta y todos los equipos son

compatibles con la autenticación del firewall con seguridad avanzada de Windows.

Métodos de Autenticación: configura el método de credenciales utilizadas en la autenticación, y

pueden ser.

Predeterminada: es el método configurado en la pestaña configuración IPsec de las

propiedades del firewall de Windows con seguridad avanzada.

Equipo y Usuario (Kerberos v5): se usan ambas autenticaciones para establecer la conexión

usando Kerberos, sólo se usa si las 2 partes son equipos y usuarios miembros del dominio.

Equipo (Kerberos v5): sólo el equipo se autenticará usando Kerberos, sólo se aplica si los 2

equipos hacen parte del dominio.

Usuario (Kerberos v5): usa la autenticación de usuario con Kerberos, sólo si el usuario es miembro

del dominio.

Certificado de equipo: usa un certificado digital para autenticar, se debe tener una CA para

hacerlo.

Sólo aceptar certificados de salud: usa un certificado válido de salud para autenticar, el

certificado de salud declara que un equipo tiene todo el software y otras actualizaciones que el

acceso a red requiere, estos certificados se distribuyen dentro de un proceso NAP.

Avanzadas: se puede configurar cualquier método disponible, estableciendo un orden desde el

más seguro a los más inseguros.

Perfiles de uso del Firewall: el perfil de firewall es una forma de agrupación de configuraciones (reglas

de firewall y reglas de conexión) que se aplican a un equipo dependiendo de donde esté conectado,

el firewall avanzado posee 3 tipos de perfiles pero sólo se aplica un perfil en un momento dado:

Perfil Dominio: Se aplica cuando el equipo está conectado a la red en la que reside una cuenta

de equipo existente en el dominio.

©

.



Perfil Privado: Se aplica cuando el equipo está conectado a una red en la cual la cuenta del

equipo de dominio no reside, como por ejemplo la red de la casa esta configuración es más

restrictiva que la de Dominio.

Perfil público: aplica cuando un equipo está conectado a un dominio a través de una red

pública, es el más restrictivo.

Forzado NAP con IPSec:

El forzado NAP para las directivas IPsec para Firewall de Windows es implementado con un servidor de

certificados de salud, un servidor de autoridad de registro de la salud (HRA), un equipo que ejecuta

Servidor de Directivas de red (NPS) y un cliente de cumplimiento NAP de IPsec; El servidor de certificados

de salud emite certificados X.509 a los clientes NAP cuando son detectados como clientes que cumplen

con las directivas de salud, estos certificados son utilizados para autenticar los clientes NAP cuando

inicien una comunicación IPsec con otro cliente NAP en la red interna.

Como ya se mencionó en la unidad anterior el forzado IPsec divide la red física en 3 redes lógicas y los

clientes sólo pertenecen a una red en un momento dado, las redes lógicas se definen en función de

que equipos tienen certificados de salud y cuales equipos requieren autenticación IPsec con

certificados de salud para intentos de conexión entrante, dichas 3 redes lógicas son:

Red Segura: Todos los equipos tienen certificados de salud y requieren autenticación IPsec en las

comunicaciones entrantes.

Red Límite: los equipos tienen certificados de salud pero no requieren autenticación IPsec en las

comunicaciones entrantes.

Red Restringida: los equipos no tienen certificados de salud incluye a los clientes NAP que no

cumplen, equipos invitados ó equipos con sistemas operativos no compatibles con NAP.

Requerimientos para Implementar el Forzado NAP IPsec:

En el Servidor NPS configurar las directivas de conexión, de red y de cumplimiento NAP (puede

usar el asistente).

Activar el cliente de forzado NAP con IPsec y el servicio NAP en todos los equipos clientes

compatibles con NAP.

Instalar HRA en el servidor NPS o en otro remoto.

Instalar y configurar el servicio AD CS (servicios de certificados) y configurar las plantillas de

certificados.

Configurar las directivas de grupo necesarias para el despliegue automático de los certificados.

Configurar el validador de Windows (WSHV) ó instalar los agentes NAP según la infraestructura

NAP.

Ver Vídeo: IPSEC,


Laboratorio: Configuraciones previas para establecer NAP

con IPsec

En este laboratorio implementaremos un sistema de protección de acceso a la red usando IPsec, para

ello debemos usar algunos componentes adicionales como una autoridad de certificados (CA) para

emitir certificados de Salud que serán emitidos a los equipos que cumplan con la directiva de

mantenimiento NAP a través de otro componente NAP que es el Servidor de Autoridad de Registro de

©

.



mantenimiento (HRA); además configuraremos algunos Grupos de seguridad a los que se les aplicarán

configuraciones incluidas en Directivas de grupo para que implementen IPSEC ó al contrario para

exceptuarlos de directivas IPSEC y que puedan seguir teniendo comunicación independientemente al

estado de salud del equipo como es el caso del servidor HRA.

1. El primer paso consistirá en configurar la autoridad de Certificados instalada en el segundo

laboratorio de la unidad anterior, en el Servidor que tiene la función de Controlador de Domino, DNS,

DHCP, CA abrir la consola Certification Authority desde las herramientas administrativas.

2. Creamos un grupo global.

©

.



©

.



3. Hacemos miembro del grupo a SRVNPS

4. Creamos otro grupo Global para los equipos cliente

©

.



5. En la entidad emisora de certificados CA, activamos las plantillas de certificados necesarias

©

.



6. En el proceso de duplicación de la plantilla. Le asignamos el nombre de Autenticación de salud del

sistema

©

.



©

.



©

.



©

.



©

.



©

.



Activar el Autoenroll

©

.



©

.



Antes de configurar el servidor NAP y HRA es necesario reiniciarlo para que obtenga un certificado de

Autenticación de salud de sistema a través de la directiva de grupo configurada para el grupo “Equipos

exención IPsec NAP”.

Una vez reiniciado comprobamos los certificados instalados en la máquina deben existir 2, uno que fue

emitido como Equipo en el laboratorio 2 de la unidad anterior que se usó para el protocolo PEAP, en

éste caso se utilizará para activar SSL en el sitio Web que usará el servicio HRA (escucha las solicitudes de

los clientes NAP a través del protocolo http y en éste caso lo aseguraremos con éste certificado)

Y el segundo certificado es emitido para la autenticación IPsec con clientes que cumplan ó no cumplan

con NAP como se ve éste certificado se emitió al Servidor que servirá como HRA independiente a su

estado de cumplimiento de salud NAP.

Esto es necesario porque éste servidor se ubica en la Red lógica Límite (Boundary) es decir que será

accedido tanto por clientes NAP que exigen autenticación IPsec como con clientes NAP que no

cumplen.

A continuación agregaremos los servicios HRA con una Autoridad de Certificados Independiente

Subordinada, desde la consola Administrador del Servidor agregaremos estas funciones, debido a que

en el servidor ya tenemos instalado el Servidor de Directivas de Red (NPS) entonces debemos agregar el

Servidor HRA como una función de servicio adicional.

En la consola de Administre el Servidor hacer clic en servicios de acceso y directivas de redes y luego

hacer clic en Agregar servicios de Función.

©

.



Al seleccionar la función autoridad de registro de mantenimiento se nos mostrarán otros componentes

requeridos para el funcionamiento de esta función, en éste caso los servicios de IIS debido a que como

dijimos anteriormente HRA hace uso del protocolo http para establecer comunicación con los clientes

NAP.

©

.



©

.



©

.



©

.



©

.



©

.



©

.



©

.



©

.



©

.



©

.



A continuación se deben dar permisos a la cuenta de equipo que hace la función de HRA sobre la

Autoridad de certificados para poder solicitar, emitir, mantener certificados pero en éste caso la CA y

HRA están en la misma máquina entonces se debe conceder permiso a la cuenta Servicio de Red.

©

.



Desde el Administrador del Servidor configuramos el Servidor HRA, si no aparece se debe cerrar y abrir la

consola Administre el Servidor

©

.



©

.



A continuación se configurará el Servidor NAP, en éste caso lo configuraremos usando el asistente del

servidor NAP.

©

.



©

.



Como el Servidor HRA está instalado en el propio Servidor NAP no es necesario agregarlo como cliente

RADIUS.

©

.



©

.



A continuación es posible configurar el Cliente NAP usando una GPO.

Ejecutar en el Controlador de Dominio la consola GPMC.MSC y crear una nueva GPO llamada

Configuración Cliente NAP

©

.



©

.



©

.



©

.



©

.



©

.



©

.



A continuación agregamos al cliente Windows Vista 1 como miembro del grupo “Equipos Cliente NAP”

©

.



Reiniciamos el cliente1 y verificamos que la GPO de cliente NAP se ha aplicado correctamente

Ahora configuramos el Cliente Windows Vista 2, debemos tener en cuenta que éste cliente está fuera

del Dominio por tanto debemos hacer las configuraciones del cliente NAP en forma manual con las

configuraciones iguales a las de la GPO configurada anteriormente.

©

.



El siguiente paso es configurar el firewall para permitir el PING (ICMP v4) en los equipos clientes y luego

hacer una prueba de ping entre los 2

©

.



A continuación configuraremos los clientes 1 y 2 para que sean miembros del Dominio y sean parte de

la red interna, para ello reconfiguramos el Cliente Windows Vista 2 con direcciones IP de la Red interna

©

.



©

.



Unidad 10: Supervisión y Solución de problemas con IPsec

Supervisión de la actividad IPsec

Supervisar la actividad de IPsec le permitirá conocer lo siguiente:

Ver la información de la directiva IPsec asignada

Ver detalles sobre la directiva IPsec activa y las estadísticas IPsec.

Comprobar que la auditoría de seguridad está habilitada

Ver eventos relacionados con el IPsec

Activar registros de auditorías para eventos de intercambio de claves (IKE) y ver dichos eventos.

Ver información IPsec y otras redes.

Cambiar la configuración IPsec para la resolución de problemas.

Herramientas de Supervisión

Se puede utilizar el complemento administrativo de la consola MMC llamado Monitor de seguridad IP

para ver y supervisar estadísticas y directivas aplicadas a los equipos, se puede usar en equipos con

Windows XP en adelante.

La herramienta nos permite ver detalles sobre la directiva IPsec activa que se aplica desde el dominio o

localmente, ver información de modo rápido y modo principal y las asociaciones de seguridad (SA),

también permite la búsqueda de filtros específicos de un tipo de tráfico específico.

Es posible supervisar equipos remotamente desde una única consola, pero es necesario modificar el

registro del equipo remoto para que acepte la conexión de la consola para hacerlo configure la clave

de registro EnableRemoteMgmt con valor 1 por defecto tiene un valor 0 la clave se encuentra en la

siguiente ruta:

HKLM\system\currentcontrolset\services\policyagent

Usando la consola también se puede conocer la directiva que ha sido aplicada al equipo con

información como ubicación, cuando fue modificada, etc. También podemos obtener esta información

con el comando:

Netsh ipsec static show gpoassignedpolicy

Modo Principal IKE: es la asociación de seguridad (SA) inicial que está establecida entre 2 equipos, esta

negocia un conjunto de protocolos de protección criptográfica entre los 2 hosts, esta SA permite que el

intercambio de llaves del modo rápido ocurra en un entorno protegido, el modo principal también es

conocido como SA ISAKMP que se encarga de establecer un entorno seguro para el intercambio de

claves posteriores requeridas en IPsec.

Modo Rápido IKE: depende del establecimiento correcto del modo principal IE, también se conoce a

éste modo como Fase 2 IKE, se encarga de establecer claves basadas en la información que una

directiva especifique, también establece SAs para crear canales seguros para intercambiar datos de

una aplicación IP especificados en una directiva.

IPsecmon: es un comando de solución de problemas IPsec para Windows 2000 pero no provee el

mismo nivel de estadísticas que el monitor de seguridad IP.

Nodo de Supervisión en el Firewall de Windows con seguridad avanzada: lista todas las reglas de

conexión de seguridad activas con información detallada de las configuraciones, dentro de la

información que podemos conocer se incluye: Autenticación, intercambio de claves, integridad

de datos, cifrado, Asociaciones de seguridad usadas para proteger la comunicación desde el

equipo q envía al receptor. A diferencia del firewall de Windows que depende del panel de

control, el firewall con seguridad avanzada es un complemento administrativo de una consola

©

.



MMC lo cual permite configurar el firewall localmente como remotamente y también usando

Directivas de grupo.

Con la consola de Firewall con seguridad avanzada es posible ver la información de las directivas de

seguridad creadas en las reglas de conexión de seguridad pero no se pueden ver las directivas creadas

desde la herramienta MMC llamada Directivas de seguridad IP porque éstas opciones sólo se pueden

usar a partir de Windows Vista en adelante, para sistemas anteriores a Windows Vista se debe utilizar el

monitor se seguridad IP para ver las SAs y las conexiones.

La carpeta de conexiones de seguridad lista todas las reglas de conexión de seguridad activas con

información detallada de sus configuraciones tales como autenticación, intercambio de claves,

integridad de los datos, o el cifrado que se utilizan en las asociaciones de seguridad (SA, define la

seguridad usada para para proteger la comunicación desude un origen aun destino). Este nodo del

firewall de seguridad avanzada muestra todas las SA del modo principal y el modo rápido con

información detallada sobre sus configuraciones y los puntos finales que intervienen.

El Modo Principal provee datos estadísticos del total de SA creadas, así como también de paquetes

inválidos.

El modo rápido provee información más detallada sobre las conexiones, si se tienen problemas con una

conexión IPsec, éste modo puede darnos alguna información sobre el problema.

Netsh: con el comando nos permite activar un seguimiento detallado de las negociaciones IKE

en modo principal y en modo rápido, aunque muchos eventos se escriben al visor de sucesos, si

la información no es suficiente el comando siguiente activa un log de traza:

netsh ipsec dynamic set config ikelogging 1

el fichero de registro IKE se generará en la carpeta:

%systemroot%\debug\oakley.log

Solución de problemas IPsec

El proceso de solución de problemas IPsec incluye los siguientes pasos:

Comprobar la configuración de red IP: una causa probable de un fallo IPsec es que un servicio

de los que depende tenga un fallo, dentro de ello podemos incluir conectividad en red con

controladores de dominio, servidores DNS, etc. Para ello se recomienda detener el agente de

directivas IPsec y probar conectividad y disponibilidad del servicio a través de comandos ping,

net view, Telnet, etc.

Comprobar las configuraciones del firewall apropiadas tanto local como externo: comprobar las

reglas de firewall en la consola MMC del Firewall con seguridad avanzada para determinar si hay

bloqueos o errores de configuración (recuerde que las reglas especificadas en las directivas de

seguridad IP no se ven en ésta consola). Comprobar las directivas IPSec y directivas de grupo: para comprobarlo tanto en clientes como

en servidores se puede utilizar la resultante de directivas (RSOP) y ver la directiva aplicada, se

debe asegurar que el equipo está dentro del alcance de la directiva de grupo (GPO) que ha

sido aplicada y con las configuraciones apropiadas.

Asegurar la compatibilidad de la directiva: Tanto los clientes como los servidores deben tener

una directiva la directiva de seguridad aplicada teniendo en cuenta que las directivas

funcionen correctamente en conjunto.

Comprobar la configuración del firewall: para que IPsec funcione adecuadamente el puerto

UDP 500 no debe estar bloqueado y todos los dispositivos involucrados deben soportar IPsec.

Activar el fichero de registro IKE: Si se necesita obtener más información es posible activar el

fichero Oakley.log que se almacena en la carpeta %Systemroot%\debug

©

.



Solución de problemas IKE

Para solucionar problemas con el protocolo de intercambio de llaves IKE se debe entender lo siguiente:

Solución de problemas de conectividad relacionados con IPsec e IKE: estos protocolos pueden

requerir soporte de características de red específicas como por ejemplo soporte para

fragmentación de paquetes, para resolver problemas se debe ejecutar una traza de red entre

los 2 hosts, se recomienda utilizar el ESP-null porque si no los paquetes serán ilegibles.

Solución de problemas de firewall y puertos: Un problema común que implica los cortafuegos y

filtrado de puertos sobre los enrutadores es cuando el puerto UDP 500 está bloqueado, otro

problema común es cuando los paquetes de IPsec estan negados, cualquiera de los 2 casos

mencionados ocasionará que IPsec falle.

Ver el fichero oakley.log para problemas potenciales: Este fichero contiene información de bajo

nivel que requiere conocimiento en profundidad del proceso de negociación de IPsec, para ver

el log se debe activar el registro de auditoría IKE, una vez activo el fichero oakley.log será creado

en la carpeta %systemroot%\Debug si se ven múltiples ficheros, el fichero actual será llamado

Oakley.log y contendrá los eventos IPsec, después de 50000 líneas el fichero se copia como

oakley.bak y un nuevo fichero se crea, si el servicio IPsec se reinicia se crearán 2 nuevos ficheros,

oakley.log.sav y el oakley.log.bak.sav. Al solucionar problemas IKE es importante sincronizar la

configuración de hora entre los 2 equipos, esto asegura que las operaciones sensibles por hora

sean seguidas, si es necesario activar el registro en los 2 equipos para poder tener un mejor

entendimiento del problema.

Identificación de problemas de intercambio de Modo Principal: Si la red bloquea la iniciación del

modo principal IKE y no alcanza la dirección IP de destino, no se podrá negociar la

comunicación IPsec asegurada, si el que inicia no está configurado para “Fall back to clear” el

fallo será notificado con el evento 547 en el visor de eventos de seguridad, pero si se configuró la

opción “fal…” a través de una directiva de seguridad el evneto será con el registro 541 que

indica que ha sido completado pero sin cifrado, cuando éste mensaje aparece indica una SA

suave con un SPI en cero y todos los algoritmos serán mostrados como ninguno.

©

.



Unidad 11. Configuración y Administración DFS (Sistema de Ficheros Distribuidos)

Objetivos

Conocer los mecanismos de replicación y distribución de ficheros en una estructura DFS, facilitando a los

usuarios de una organización acceder a múltiples carpetas compartidas en diferentes servidores en una

misma estructura o árbol de ficheros.

Ver otra forma de tolerancia a fallos para acceder a servidores de ficheros de manera distribuida.

Definiciones

Muchas de las empresas de hoy enfrentan el reto de mantener un gran número de servidores y usuarios

que a menudo se distribuyen geográficamente en ubicaciones dispersas, en estas situaciones, los

administradores deben encontrar la manera para que los usuarios pueden localizar los ficheros más

recientes lo más rápido posible. La administración de múltiples sitios de datos a menudo presenta retos

adicionales, como limitar el tráfico de red en conexiones WAN lentas, garantizar la disponibilidad de los

ficheros cuando se presenten fallas en el servidor, y copias de seguridad de servidores de archivos que

se encuentran en las sucursales más pequeñas.

El Sistema de archivos distribuido (DFS) ofrece una solución que se puede utilizar para hacer frente a

estos desafíos, garantizando el acceso tolerante a fallos y replicación WAN de ficheros localizados por

toda la empresa.

Generalidades de DFS

Los administradores que administran los servidores de archivos en una empresa requieren acceso

eficiente a los recursos y disponibilidad de los ficheros. El DFS en Windows Server 2008 proporciona dos

tecnologías para hacer frente a estos retos: Replicación DFS y espacios de nombres DFS.

Las tecnologías de DFS proporcionan una forma simplificada de acceder a los ficheros que se

encuentran dispersos geográficamente por toda una organización, ofrece replicación de ficheros entre

2 servidores a través de la WAN de una forma controlada, las tecnologías DFS incluyen:

Espacios de nombres DFS: (DFS-N) permite a los administradores agrupar carpetas compartidas

localizadas sobre distintos servidores dentro de uno ó más espacios de nombres estructurados

lógicamente; cada espacio de nombres se muestra a los usuarios como una única carpeta compartida

©

.



con una serie de subcarpetas, las subcarpetas típicamente apuntan a carpetas compartidas que están

localizadas sobre varios servidores en múltiples sitios geográficos a lo largo de una organización.

Replicación DFS: (DFS-R) es un motor de replicación de múltiples maestros usado para replicar ficheros

entre servidores con ambos tipos de conexión LAN y WAN, DFS soporta programación de la replicación,

control de ancho de banda y usa compresión diferencial remota (RDC) para actualizar solo las

porciones de ficheros que han cambiado desde la última replicación; DFS-R se puede usar en conjunto

con los espacios de nombres DFS ó pueden ser utilizados para la replicación en modo independiente.

Compresión Remota Diferencial: (RDC) Identifica y sincroniza los cambios de datos sobre una fuente

remota y usa técnicas de compresión para reducir los datos que se envían a través de la red, en lugar

de transferir similar ó datos redundantes repetidamente, RDC cuidadosamente identifica cambios

conocidos como Deltas dentro y a través de los ficheros y transmite sólo estos cambios para alcanzar

ahorros de ancho de banda significantes, RDC detecta la inserción de los datos, remoción ó

reorganización dentro de los ficheros, permitiendo la replicación sólo los bloques de ficheros cambiados

cuando el fichero se actualiza. RDC también puede copiar cualquier fichero similar desde un cliente ó

servidor a otro usando una característica conocida como Compresión Diferencial remota de fichero

cruzado. RDC es más recomendable en entornos WAN donde los costos de la transmisión de los datos

sopesan los costos de CPU en reconocer las diferencias entre los ficheros.

Cómo funcionan los espacios de nombres y al replicación

DFS

Aunque los espacios de nombres DFS y la Replicación DFS son tecnologías diferentes, pueden ser

utilizados juntos para proporcionar una alta disponibilidad y redundancia de datos de la siguiente

manera:

El usuario accede a la carpeta en el espacio de nombres configurado: Cuando esto ocurre el

equipo cliente contacta al servidor que contiene la raíz del espacio de nombres, el host servidor

puede ser un servidor independiente que almacena un espacio de nombres independiente ó

una configuración basada en Dominio que se almacena en el servicio de Directorio Activo (AD

DS) y luego replicado a varias ubicaciones para dar la tolerancia a fallo, El servidor de espacio

de nombres devuelve al equipo cliente una referencia que contiene una lista de servidores que

contienen las carpetas compartidas llamadas Destinos y asociadas con la carpeta que está

siendo accedida.

El equipo cliente accede al primer servidor en la referencia: el cliente almacena en caché la

información de la referencia y luego contacta al primer servidor en la referencia que suele ser el

servidor localizado en la misma ubicación o sitio del cliente, a menos que el servidor no esté en

su misma ubicación entonces un administrador puede configurar la prioridad de los destinos.

Escenarios DFS

Muchos escenarios pueden beneficiarse de los servicios DFS:

Compartir ficheros a través de sucursales

Las organizaciones grandes que tienen muchas oficinas sucursales con frecuencia tienen que compartir

ficheros o colaborar entre dichas ubicaciones; DFS-R puede ayudar a replicar ficheros entre sucursales o

de una sucursal a un sitio central, tener los ficheros en múltiples sucursales también beneficia a los

usuarios que viajan de una sucursal a otra a que los cambios que hacen los usuarios a sus ficheros en

una sucursal se replican de nuevo a su propia sucursal.

Este escenario se recomienda sólo si los usuarios pueden tolerar algunas incoherencias archivo como los

cambios se replican a través de los servidores de sucursal. También tenga en cuenta que DFS-R sólo se

reproduce un archivo después de que se cierre. Por lo tanto, DFS-R no se recomienda para reproducir

archivos de base de datos o los archivos que se mantienen abiertos durante largos períodos de tiempo.

©

.



Recopilación de datos

Tecnologías DFS puede recopilar archivos desde una sucursal y replicar a un sitio central, permitiendo así

que los archivos que se utilizarán para una serie de propósitos específicos. Los datos críticos se pueden

replicar en un sitio central el uso de DFS-R y, a continuación una copia de seguridad en el sitio

concentrador utilizando procedimientos estándar de copia de seguridad. Esto aumenta la sucursal de

recuperación de datos si un servidor falla, porque los archivos estarán disponibles en dos lugares

separados, además de copia de seguridad. Además, las compañías pueden reducir los costos

mediante la eliminación de las sucursales de hardware de copia de seguridad y tecnología de la

información en el sitio (IT) experiencia personal. De datos replicadas también se puede utilizar para

hacer la sucursal recursos compartidos de archivos tolerante a fallas. Si el servidor de sucursal no, los

clientes de la sucursal pueden tener acceso a los datos replicados en el sitio concentrador.

Distribución de datos

Usted puede utilizar DFS-N y DFS-R para publicar y reproducir los documentos, software y otros datos de

línea de negocio en toda la organización. DFS-N y objetivos carpeta puede aumentar la disponibilidad

de datos y distribución de carga del cliente a través de servidores de archivo.

Tipos de Espacios de Nombres DFS

Podemos crear espacios de nombre basados en dominio o espacios de nombre independientes con las

siguientes características

Espacios de nombres basados en dominio

Este tipo de espacio de nombre podemos usarlo cuando se requiere alta disponibilidad y cuando se

requiere ocultar el nombre de los servidores y su ruta a los usuarios.

En este tipo de espacio de nombres los nombres se basan en

\\nombrededominio\Espaciodenombres

La información está distribuida entre múltiples servidores

Espacios de nombres independientes

Este tipo de espacios de nombres se emplea cuando no existe un directorio activo implementado en la

organización, o cuando no se reúnen los requerimientos para un modo Windows 2008, espacios de

nombres basados en dominio, y se requieren más de 5000 carpetas DFS dado que un DFS independiente

soporta estructuras de 50000 carpetas

En este tipo de espacio de nombres los nombres se basan en

\\nombreservidor\espaciodenombres

La disponibilidad o tolerancia a fallos se basa en una solución de clúster.

Carpetas y Carpetas de destino Carpetas

Las carpetas son el elemento base de un espacio de nombres, tienen siempre por lo menos una carpeta

destino

©

.



Carpetas Destino

Las carpetas destino incluyen siempre carpetas que apuntan a:

Carpetas compartidas (Rutas UNC)

\\servidor\compartida

Carpetas dentro de carpetas compartidas

\\servidor\compratida\carpeta

Rutas a otros espacios de nombres

\\nombrededominio\nombreraiz

Requerimientos para un servidor de espacio de nombres

Para implementar un servidor de espacios de nombres se requiere de controlador de dominio o servidor

miembro, sistemas operativos Windows 2003 o Windows 2008.

DFS Independiente

El volumen del disco que aloje el espacio de nombres debe estar formateado en NTFS.

Puede ser un servidor miembro o un controlador de dominio.

Puede basarse en un servidor de ficheros en clúster.

DFS Basado en un espacio de nombres basados en dominio

El volumen del disco que aloje el espacio de nombres debe estar formateado en NTFS.

Deben pertenecer al mismo dominio si es el espacio de nombres está basado en dominio.

No puede basarse en clúster si el espacio de nombres está basado en dominio.

Instalación de un servidor de espacios de nombres

En el administrador de servidores seleccione agregar funciones.

©

.



Seleccione servicios de archivo, si ya está marcado y aparece en gris, debe cerrar el asistente y buscar

la función en funciones y con el botón derecho seleccionar adicionar servicios a la función.

Marque la casilla de sistema de archivos distribuido (DFS) y las dos opciones de Espacios de nombres DFS

y replicación.

©

.



Asígnele un nombre al espacio de nombres.

Seleccione la opción de espacio de nombres de dominio y asegúrese de marcar habilitar el modo

Windows 2008.

Finalice el proceso de instalación

Configuración de un espacio de nombres DFS

La configuración de un espacio de nombres DFS consiste de varias tareas que incluyen la creación de

una estructura de espacios de nombre, crear carpetas dentro del espacio de nombres y adicionar

carpetas destino.

Posteriormente se pueden realizar tareas adicionales de administración, tal como definir el orden de

replicación de las carpetas.

Implementar un espacio de nombres para publicar

contenido

Los pasos para crear un espacio de nombres son:

©

.



Crear un espacio de nombres

Crear carpetas en el espacio de nombres

Adicionar carpetas de destino

Configurar el método de ordenar para destinos en referencias

Configurar las prioridades para sobrescribir el orden de referencia

Habilitar la gestión de errores

Replicar carpetas destino usando DFS-R

Requerimientos de seguridad

Para administrar un espacio de nombres, el administrador debe ser miembro de un grupo administrativo

o tener los permisos delegados para realizar esta acción.

Los permisos son los siguientes:

Crear un espacio de nombres basado en dominio debe pertenecer al grupo Administradores del

dominio

Adicionar un servidor al espacio de nombres a un espacio de nombres basados en nombres de

dominio debe pertenecer al grupo administradores del dominio

Administrar un espacio de nombres basados en dominio debe ser miembro del grupos local

administradores sobre cada uno de los servidores

Crear un espacio de nombres independiente debe ser miembro del grupo local administradores

de cada uno de los servidores

Administrar un espacio de nombres independiente debe ser miembro del grupo local

administradores sobre el servidor de espacio de nombres

Implementar la replicación DFS debe ser miembro del grupo administradores del dominio

Crear un espacio de nombres

En herramientas administrativas seleccione administración DFS

©

.



Mostrará la consola DFS

Para crear un espacio de nombres pinche con el botón derecho del ratón sobre espacios de nombres

en el panel izquierdo

Seleccione nuevo espacio de nombres y adicione el servidor2008

©

.



Asígnele el nombre manuales al nuevo espacio de nombres

Seleccione editar configuración y asígnele permisos de lectura y escritura, puede cambiar la ruta y el

disco en el cual se creará el árbol

©

.



Seleccione espacio de nombres basado en Dominio y asegures de marcar habilitar el modo Windows

2008

©

.



Crear una carpeta

Una vez creado el espacio de nombres, podemos crear las carpetas en la consola de administración

DFS en el panel izquierdo bajo el espacio de nombres pinche con el botón derecho del ratón y marque

nueva carpeta.

Previamente a la creación de las carpetas debemos saber los servidores y las carpetas compartidas que

queremos publicar en el espacio de nombres DFS.

©

.



Note que tanto el servidor2008 como curso2 tienen carpetas compartidas, en este caso presentaciones

en curso2 y Hojas de cálculo en Servidor2008

Seleccionamos y publicamos en el árbol DFS los dos recursos compartidos.

©

.



De esta manera los usuarios al conectarse al espacio de nombres podrán acceder a los recursos

compartidos desde un único punto.

Observe, que el usuario aun podrá acceder a los recursos compartidos contra los servidores originales,

no obstante el objetivo es crear un solo punto de acceso y de replicación entre múltiples servidores

Delegar permisos Incrementa disponibilidad de un espacio

de nombres

Para los clientes que se conectan a un espacio de nombres DFS, deben ser capaces de conectarse a

un servidor de espacios de nombre, esto significa que debemos asegurarnos que el servidor siempre esté

disponible.

Para incrementar la disponibilidad tanto para servidores de espacios de nombres basados en nombres

de dominio o independientes varía.

Los servidores de espacios de nombres basados en dominio, se les pueden adicionar servidores

adicionales para alojarlos, mientras que los basados en servidor independiente están limitados a un

único servidor

En un espacio de nombres basados en dominios podemos incrementar la disponibilidad adicionan

servidores adicionales de espacios de nombres

Es espacios de nombre independientes podemos incrementar disponibilidad creando los recursos

compartidos en un clúster

Las carpetas destino se les puede incrementar disponibilidad adicionando múltiples destinos

Opciones para optimizar un espacio de nombres

Los espacios de nombres tienen un número de opciones de configuración los cuales permiten configurar

rendimiento y disponibilidad

Renombrar o mover carpetas

Deshabilitar referencias a carpetas

Especificar cache de las referencias

Configurar grupos de espacios de nombres

©

.



Configurar Replicación DFS

Para una configuración efectiva de la replicación DFS (DFS-R), debemos tener bien claro la terminología

asociada con estas características.

DFS-R usa un algoritmo de compresión RDC (Remote Differential Compression)

DFS-R detecta los cambios en el volumen monitorizando el número de secuencia (USN) y replica

los cambios una vez el fichero es cerrado

DFS-R usa una carpeta temporal para almacenar el archivo antes de enviarlos o recibirlos

DFS-R usa un protocolo VVEP (Version Vector Eschange protocol) para determinar los archivos

que se deben sincronizar

Cuando se realizan cambios en un fichero, únicamente los cambios son replicados, no el archivo

completo

DFS-R aplica el “último en escribir gana” para resolver los conflictos en ficheros para todos los

ficheros que son actualizados simultáneamente desde múltiples servidores y “primera versión

gana” cuando el conflicto se da en el nombre del fichero

DFS-R se auto protege permitiendo recuperar automáticamente desde el USN, o desde la base

de datos de replicación

DFS-R se base en Windows Managment instrucmentatios (WMI) para crear interfaces para

obtener configuración e información de monitorización desde el servicio DFS

Grupos de replicación y carpetas de replicación Grupo de replicación:

Son un grupo de servidores, conocidos como miembros que participan en la replicación de una o más

carpetas replicadas

Pueden ser configurados para múltiples propósitos o colección de datos

Carpeta Replicada:

Una carpeta que se mantiene replicada en cada uno de los miembros del grupo de replicación

©

.



Requerimientos para replicación DFS

Para configurar DFS-R se deben cumplir con los siguientes requerimientos

Asegurarse que el esquema del directorio activo ha sido actualizado y se incluyen los nuevos

objetos de replicación DFS

Los servidores que participan en la replicación DFDS deben ejecutarse en Windows 2003 R2 o

Windows 2008

Los servidores en el grupo de replicación deben ejecutarse en el mismo bosque

Sobre servidores en clúster, las carpetas deben estar ubicadas en el almacenamiento local de

un nodo

El antivirus debe ser compatible con DFS

Escalabilidad para replicación DFS

Se deben tener en cuenta las siguientes características para implementar DFS-R

Cada servidor puede ser miembro de máximo 256 grupos de replicación

Cada grupo de replicación puede contener máximo 256 carpetas replicadas

Cada servidor como máximo soporte 256 conexiones entre entrantes y salientes

Sobre cada uno de los servidores, el número de grupos multiplicado por el número de carpetas

replicas multiplicado por el número de conexiones simultaneas activas no debe superior 1024

Un grupo de replicación puede contener como máximo 256 miembros

Un volumen puede contener máximo 8 millones de ficheros replicados y un servidor puede

contener como máximo 1TB de ficheros replicados

El tamaño máximo de un fichero para ser replicado es de 68 GB

Grupo de replicación multipropósito

Los grupos de replicación multipropósito son usados para replicar datos entre dos o más servidores que

comparten o publican datos

Para crear un grupo de replicación mediante el asistente se siguen estos pasos:

Tipo de grupo de replicación a crear

Definir el nombre y el dominio

Definir los miembros del grupo de replicación

Definir el tipo de topología de replicación

o Hablar y escuchar

o Malla completa

o Sin topología

Determinar la programación y ancho de bando a emplear

Determinar el servidor primario

Seleccionar la carpeta a replicar

Especificar la ruta local sobre los demás miembros

Cuando se ha creado el grupo de replicación se pueden modificar las carpetas o la topología. Se

pueden delegar permisos para administrar el grupo

©

.



Proceso de replicación

Cuando se configura la replicación, se debe determinar el miembro primario, el cual tiene el fichero

más actualizado. Este servidor es considerado como autoritativo y es el encargado de resolver

conflictos.

El proceso inicial de replicación se resume en:

La replicación no se inicia inmediatamente

La replicación inicial siempre ocurre entre el primario y sus partners

Cuando se reciben ficheros desde el servidor primario durante la replicación inicia, los miembros

que reciben esos ficheros no están presente sobre el miembro primario, son movidos a

DFSPrivate\PreExisting

DFS usar el hash para determinar si los ficheros son idénticos

Después de inicializar la replicación de la carpeta, el miembro primario es removido

Reportes de diagnóstico y tareas de propagación

Para mantener y resolver problemas con DFS-R se pueden generar reportes de diagnóstico y pruebas de

rendimiento.

Para ello podemos emplear el asistente de reportes para realizar reportes de salud, verificar la

propagación y crear un reporte de propagación.

Ver Vídeo: DFS,


Laboratorios

Laboratorio 1: Instalar DFS 1. Inicie el Servidor2008.ceticsa.curso

2. Inicie sesión como Administrador

3. Abra el administrador de servidores

4. Seleccione agregar funciones

5. Servicios de archivo (si ya está instalada esta función seleccione agregar servicios a la función)

6. Marque las opciones de sistema de archivos distribuido (DFS) incluyendo Espacios de nombres

DFS y replicación DFS

©

.



7. Marque crear más tarde el espacio de nombres

8. Confirme la instalación

9. Cuando finalice cierre el administrador de servidores

10. Inicie el servidor curso2.ceticsa.curso

11. Inicie sesión como Administrador

12. Abra el administrador de servidores

13. Seleccione agregar funciones

14. Servicios de archivo (si ya está instalada esta función seleccione agregar servicios a la función)

15. Marque las opciones de sistema de archivos distribuido (DFS) incluyendo Espacios de nombres

DFS y replicación DFS

16. Marque crear más tarde el espacio de nombres

17. Confirme la instalación

18. Cuando finalice cierre el administrador de servidores

Laboratorio 2: Crear un espacio de nombre DFS 1. Inicie el servidor servidor2008.ceticsa.curso como administrador

2. Seleccione en herramientas administrativas la consola de administración de usuarios y equipos

del directorio activo

3. Seleccione el dominio ceticsa.curso

4. Con el botón derecho del ratón cambie el nivel funcional del dominio a Windows 2008

5. Confirme

6. Cierre la consola

7. En herramientas administrativas seleccione administración de DFS

8. En el panel izquierdo seleccione espacios de nombres con el botón derecho y seleccione nuevo

espacio de nombres

9. Escriba en el servidor servidor2008 pulse en siguiente

10. En el nombre del espacio de nombres escribo Documentos, pulse siguiente

11. En el tipo de espacio de nombres seleccione espacio de nombres basados en dominio

12. Cierre el asistente después de crear el espacio de nombres

13. En el panel izquierdo pinche en el + y verifique el espacio de nombres creado, ruta y el servidor

Laboratorio 3: Adicionar un servidor adicional para el

espacio de nombres 1. En herramientas administrativas seleccione administración de DFS

2. En el panel izquierdo seleccione el espacio de nombres documentos

3. En el panel central seleccione servidores de espacios de nombres

4. En el panel izquierdo seleccione agregar servidor de espacio de nombres

5. Seleccione el servidor curso2.ceticsa.curso

6. Cuando le pregunte marque el inicio automático del servicio en el servidor curso2

Laboratorio 4: Crear carpetas compartidas 1. En el servidor Servidor2008.ceticsa.curso abra el explorador de ficheros

2. Cree una carpeta formularios

3. Comparta la carpeta con acceso al grupo todos

4. En el Servidor curso2.ceticsa.curso abra el explorador de ficheros

5. Cree una carpeta presentaciones

6. Comparta la carpeta con acceso al grupo todos

©

.



Laboratorio 5: Configurar carpetas de destino y replicación

1. En el servidor Servidor2008.ceticsa.curso abra el administrador DFS, expanda el espacio de

nombres documentos, seleccione nueva carpeta

2. Escriba Formularios y en destinos de carpetas seleccione agregar

3. Busque en el Servidor2008 el recurso compartido formularios

4. Repita la anterior acción para crear la carpeta de presentaciones

5. Adicione destinos a las carpetas, primero a formularios en el servidor curso2, indíquele la ruta en

la cual creará el recurso compartido en ese servidor, al finalizar le propondrá crear un grupo de

replicación, pulse en siguiente, seleccione el Servidor2008.ceticsa.curso como servidor principal,

marque en topología malla completa

6. Haga la misma acción para la carpeta presentaciones

Laboratorio 6: Verificar la funcionalidad DFS 1. En el servidor Servidor2008.ceticsa.curso

2. En inicio escriba \\ceticsa.curso\documentos

3. Pinche en presentaciones

4. Cree un fichero de texto en la carpeta

5. Espere unos minutos y comprobará que el fichero estará en los dos destinos

6. Repita esta acción sobre la carpeta formularios

Laboratorio 7: Reportes de diagnóstico para carpetas

replicadas 1. En el servidor Servidor2008.ceticsa.curso abra el administrador DFS

2. En el panel izquierdo seleccione replicación y seleccione presentaciones con el botón derecho

del ratón seleccione crear informe de mantenimiento

3. Seleccione siguiente dejando las rutas propuestas

4. Deje todos los miembros

5. Finalizar y verificar el informe creado

©

.



Unidad 12: Configurando y Administrando Tecnologías de Almacenamiento

Objetivos

Aprender a gestionar la capacidad y almacenamiento Desplegar plantillas de cuotas

Conocer y desplegar informes de capacidad y almacenamiento.

Introducción

En la actualidad, el problema de almacenamiento y la gestión de capacidades de recursos se han

incrementado en todas las organizaciones. Miles de aplicaciones ocupan mucho espacio y la mala

gestión de archivos por parte de los usuarios, producen que las necesidades de escalabilidad de

almacenamiento de las empresas se hayan incrementado notablemente.

Gracias a Windows Server 2008 y las herramientas de administración de recursos en los servidores de

archivos, puede realizar una administración de la gestión de la capacidad y almacenamiento de una

manera fiable y controlada.

Información General sobre almacenamiento en Windows

2008

En esta sección se entenderán los conceptos comunes sobre la gestión y capacidad de archivos,

cuales son los factores importantes a tratar sobre el almacenamiento y direccionamiento y se conocerá

a fondo el administrador de recursos de Windows 2008

Consideraciones generales sobre la gestión de capacidad.

En toda organización, deberá considerar varios puntos a la hora de querer implementar

almacenamiento y sistemas de gestión. A continuación se muestran algunos de ellos que definirían la

capacidad de gestión:

- Determinación de la capacidad de almacenamiento existentes y las tendencias de uso en toda

la organización.

- Determinar si el uso eficaz apoya las metas de la organización

- Definir y aplicar políticas de almacenamiento

- Ajustar las políticas de almacenamiento según necesidades, y como cambian las necesidades

de organización y a su vez las políticas aplicadas.

La capacidad de gestión es el proceso de planificación, análisis, dimensionamiento y optimización de

métodos para satisfacer las necesidades de una organización en continuo aumento en la demanda de

almacenamiento de datos.

También, la capacidad de gestión es un intento de controlar el uso incorrecto de almacenamiento

corporativo. Prácticamente en todas las organizaciones los usuarios tienden a almacenar grandes

archivos multimedia personales, que pueden ocupar espacio innecesario, tales como MP3, fotos

digitales, videos u otros archivos poco aprovechables para su trabajo diario y para la organización.

©

.



Comience este tema pidiendo a los alumnos por sus aportaciones y experiencias dentro de sus

organizaciones sobre los retos que se enfrentan con la capacidad de gestión. A medida que introducen

cada uno de estos puntos, puede involucrar a los estudiantes en una discusión de cómo lo han hecho, o

no, frente a estos desafíos.

Consideraciones generales sobre el almacenamiento.

La capacidad y el almacenamiento, lógicamente trabajan paralelamente en toda organización. En

cuanto las consideraciones actuales sobre el almacenamiento en organizaciones deben saber:

- Las organizaciones experimentan un crecimiento de las necesidades de almacenamiento de un

60 a un 100 por ciento al año

- Los datos críticos deben estar disponibles permanentemente

- Las organizaciones deben cumplir con los últimos requisitos de políticas de calidad.

- El número de aplicaciones de almacenamiento se ha incrementado.

En muchas organizaciones existen diferentes sistemas de información que deben estar protegidos y con

una disponibilidad permanente. Datos críticos como por ejemplo los datos de administración o incluso a

una intranet privada donde se pueden consultar datos de la misma u otras organizaciones debe estar

siempre disponible.

Además, las organizaciones deberían cumplir con los estándares de seguridad en cuanto al

almacenamiento, teniendo en cuanto que las implementaciones de nuevos sistemas de información

como por ejemplo SharePoint o Exchange 2007 necesitan de gran almacenamiento y un sistema de

seguridad adicional.

Capacidad de direccionamiento y desafíos de la administración de almacenamiento.

Para resolver los problemas de la capacidad de gestión y almacenamiento debe considerar una serie

de puntos a seguir:

- Analizar la forma de almacenamiento que se utiliza. Existen diferentes tecnologías de

almacenamiento. Usted deberá realizar un estudio de lo que actualmente tiene en la

organización y realizar proposiciones de futuras adquisiciones. Windows 2008 incluye soporte

para tecnologías SAN con el administrador de almacenamiento SAN que le ayudarán a

implementar este tipo de almacenamiento.

- Definir las políticas de gestión de los recursos de almacenamiento. Las políticas de gestión, le

permitirán realizar seguimientos sobre los accesos, establecer permisos y aplicar configuraciones

de seguridad a recursos de almacenamiento. Las políticas pueden establecerse por medio de

las cuotas de almacenamiento por usuario.

- Implementar políticas para frenar el crecimiento de almacenamiento. Las políticas de

almacenamiento pueden controlar el acceso indebido y la creación de archivos innecesarios.

Las políticas que se crean son filtros de archivos, de este modo las políticas pueden impedir, que

por ejemplo se creen o copien archivos MP3 en unidades de red o recursos de almacenamiento

donde no deberían existir.

- Adquirir herramientas para implementar políticas. En el mercado cada día existen más

herramientas para la gestión de capacidad y almacenamiento. En Windows 2008, se presenta el

nuevo administrador de recursos de sistema que le ayudará en todo momento a administrar

tanto la capacidad de gestión como la capacidad de almacenamiento de los recursos.

Administrador de recursos del servidor de archivos (FSRM)

El Administrador de recursos del servidor de archivos es un conjunto de herramientas que permite a los

administradores entender, controlar y administrar la cantidad y el tipo de datos almacenados en los

servidores.

©

.



Los administradores pueden utilizarlo para

- Asignar cuotas a carpetas y volúmenes

- Realizar un filtrado activo de los archivos

- Generar informes de almacenamiento exhaustivos.

Este conjunto de instrumentos avanzados no sólo permite al administrador supervisar los recursos de

almacenamiento existentes, sino que además le ayudan a planear e implementar futuros cambios de

directivas.

En resumen, el administrador de recursos del servidor de archivos (FSRM) es una función que se instala

desde las funciones de servidor en Windows 2008, que le ayudará a:

- Administrar la capacidad: monitorizando el uso y los niveles de utilización

- Administrar políticas: Restringiendo y acotando archivos (Filtro de archivos)

- Administrar quotas: Cantidad de espacio utilizado en carpetas, volúmenes y recursos

compartidos

- Realizar informes: Informes exhaustivos sobre cada uno de los componentes.

Administración de almacenamiento utilizando el

Administrador de recursos de archivo

En esta sección se mostrarán las funciones del administrador de recursos (FSRM) y comprobaremos las

configuraciones y opciones que contiene la consola del administrador.

Funciones FSRM

Como hemos comentado anteriormente, básicamente las funciones principales del FSRM son:

- Crear cuotas para limitar el espacio permitido para un volumen o una carpeta y generar

notificaciones de correo electrónico y otro tipo cuando se alcancen o superen los límites de

dichas cuotas.

- Generar y aplicar automáticamente cuotas a todas las subcarpetas existentes y nuevas en un

volumen o una carpeta.

- Crear filtros de archivos para controlar los tipos de archivos que los usuarios pueden guardar y

enviar notificaciones cuando los usuarios intenten guardar archivos bloqueados.

- Definir plantillas de cuota y de filtrado de archivos que puedan aplicarse fácilmente a nuevos

volúmenes o carpetas y que puedan reutilizarse en toda una organización.

- Programar informes de almacenamiento periódicos que ayuden a identificar tendencias en el

uso de disco o generar informes de almacenamiento instantáneamente a petición.

Instalación de FSRM

Para poder disponer del administrador de recursos de servidor de archivos, es necesario instalar varios

roles y características de Windows 2008.

Debe realizar los siguientes pasos:

1) Instalar el rol de “Servidor de archivos” desde el administrador de servidor en el apartado roles.

Con este rol, permitirá compartir los recursos del servidor para que los usuarios puedan tener

acceso.

2) En el proceso de instalación, deberá instalar “Servicios de función” en el que deberá seleccionar

“Administrador de recursos del servidor de archivos”

3) Seleccionar o no, la unidad que supervisará y listo.

©

.



Componentes de la consola de FSRM

Una vez instalado el servicio de archivos y el servicio de función de servidor FSRM, al abrir la consola de

administración, aparecen los tres componentes descritos anteriormente.

- Administrador de Quotas

o Quotas

o Plantillas de cuotas

- Administrador de filtros de archivos

o Filtros de archivos

o Plantillas de Filtros de archivos

o Grupos de archivos

- Administrador de informes de almacenamiento

Las opciones de configuración

Las opciones generales del Administrador de recursos del servidor de archivos pueden establecerse en

el cuadro de diálogo Opciones del Administrador de recursos del servidor de archivos. Estas opciones se

utilizarán en todos los nodos y algunas se pueden modificar al configurar acciones concretas. Las

opciones de configuración son

- Configurar notificaciones de correo electrónico. Puede configurar esta opción al crear cuotas y

filtros de archivos. Esta opción puede enviar notificaciones por correo electrónico a los usuarios

cuando su límite de cuota se aproxima o después de que han tratado de guardar los archivos

bloqueados. Si desea notificar sistemáticamente ciertos eventos de cuota y eventos de filtrado

de archivos, puede configurar uno o más destinatarios predeterminados. Para enviar estas

notificaciones, debe especificar el Simple Mail Transfer Protocol (SMTP) que se utilizará para la

transmisión de los mensajes de correo electrónico.

©

.



- Configurar informes de almacenamiento. Estos parámetros por defecto se utilizan para los

informes de incidentes que se generan cuando se produce un evento de filtrado de archivos.

También se utilizan para la programación y los informes a la carta, pero se puede cambiar los

parámetros por defecto en la definición de las propiedades específicas de cada informe. - Configurar repositorios de informes. Esta opción ofrece la posibilidad de especificar la ubicación

donde se guardarán los informes de almacenamiento. La ruta por defecto se ha definido en%

SystemDrive% \ StorageReports, pero se puede cambiar la ruta según las necesidades.

- Configurar la auditoría de filtro de archivos. Esta opción permite registrar la actividad de filtrado

de archivos en una base de datos de auditoría.

Configuración de la administración de cuotas

En esta sección se explicaran que son las cuotas en FSRM y cuál es la diferencia entre las cuotas FSRM y

las cuotas de disco.

También se revisarán las plantillas de cuotas y como crear y administrar una cuota.

Gestión de Cuotas

La gestión de una cuota no es más que poder limitar el espacio de almacenamiento a través de una

cuota dura o blanda y generar notificaciones cuando los límites se acercan o exceden. Por ejemplo,

una cuota dura sería una cuota establecida en un recurso que no puede excederse de 500MB. Si el

usuario o grupos de usuarios acceden a este recurso y crean nuevos archivos sobrepasando esta cuota

de 500MB puede configurar las distintas acciones a realizar:

- Enviar notificaciones de cuota vía e-mail. Puede configurar una cuota que indique a los

administradores y usuarios que han sobrepasado el límite de almacenamiento y que deben

borrar o actualizar contenido.

- Registrar el evento. Se registran los errores o el acceso de cuota cuando se sobre pasa un límite.

- Ejecutar un comando o script. Puede ejecutar un comando o un script cuando un usuario o

grupos de usuarios excedan o se acerquen a las cuotas establecidas en recursos. Dependiendo

de la gravedad, puede ejecutar un script para aumentar el tamaño de recurso compartido,

enviar un mensaje a la red o realizar tareas de compresión de archivos.

- Generar reporte. Cuando se crean cuotas de recursos se configuran los reportes de avisos sobre

esos recursos.

Diferencia entre cuota de disco y cuota FSRM

Existe una clara distinción entre la conocida cuota de disco de permisos NTFS implementadas desde

Windows 2000 y la cuota establecida por el administrador FSRM. A continuación se muestra una tabla

con todas las características y su diferencia:

Característica Cuota NTFS Cuota FSRM

Seguimiento de cuota Por usuario o por volumen Por carpeta, recurso o por volumen

Cálculo de uso de cuota Tamaño lógico del

archivos

Espacio actual de disco

Mecanismos de

notificación

Logs de Eventos Logs de eventos, notificaciones e-mail,

informes personalizados, ejecución de

comandos o scripts

Plantillas de cuota

Una plantilla de cuota define el límite de espacio, el tipo de cuota (máxima o de advertencia) y,

opcionalmente, el conjunto de notificaciones que se generarán automáticamente cuando el uso de

cuotas alcance los niveles de umbrales definidos.

©

.



Si basa las cuotas en una plantilla, puede actualizar automáticamente todas las cuotas basadas en una

plantilla determinada mediante la edición de dicha plantilla.

Crear una plantilla de cuota

Es aconsejable realizar plantillas de cuotas ya que como comentábamos, es posible administrarlas

centralmente actualizando las plantillas en lugar de repetir los cambios en cada una de las cuotas.

Para crear una plantilla de cuota.

1) En el administrador de cuotas haga clic en “Plantillas de cuota”

2) Botón derecho en “Plantillas de cuota” “Crear plantilla de cuota”

3) Si desea copiar la configuración de una plantilla existente, selecciónela y haga clic en Copiar.

4) Escriba “Nombre de plantilla”

5) Escriba un nombre descriptivo en el cuadro de texto “Etiqueta”

6) En límite de espacio

a. Elija el número y unidad para especificar el límite de espacio

b. Seleccione “Cuota máxima” o “Cuota de advertencia”

7) Configuración de umbrales de notificación opcionales. Puede configurarlo ahora o más

adelante, después haga clic en “Aceptar”

©

.



Editar propiedades de la plantilla de cuota

Al realizar cambios en una plantilla de cuota, tiene la opción de extender dichos cambios a las cuotas

creadas a partir de la plantilla de cuota original. Puede elegir entre modificar sólo las cuotas que

coinciden con la plantilla original o modificar todas las que se derivan de la plantilla original, con

independencia de las modificaciones que se hayan realizado en ellas desde que se crearon.

Para editar una plantilla de cuota

1) En plantillas de cuota, seleccione la plantilla que desea modificar

2) Botón derecho Propiedades en la plantilla de cuota “Editar las propiedades de la plantilla”

3) Realice los cambios necesarios. Puede incluso copiar la configuración de otra cuota.

4) Cuando haya terminado de editar las propiedades de la plantilla, haga clic en Aceptar. Se

abrirá un cuadro de diálogo “Actualizar cuotas derivadas de la plantilla”

5) Selecciones tipo de actualización:

a. Aplicar plantilla sólo a las cuotas derivadas que coinciden con la plantilla original

b. Aplicar plantilla a todas las cuotas derivadas

c. No aplicar la plantilla a las cuotas derivadas

6) Haga clic en aceptar.

Monitorización de cuotas

Después de configurar y aplicar cuotas a los recursos compartidos de archivos o volúmenes, es

importante entender la manera de supervisar el uso de disco para responder eficazmente a las

necesidades actuales de su organización en cuanto al almacenamiento se refiere.

- Visualización de la información de cuota. Para ver la información de cuota en FSRM:

1) En el árbol de la consola, haga clic en gestión de cuotas y, a continuación, haga clic en

cuotas.

2) En el panel de resultados, puede determinar rápidamente el límite de cuota, el porcentaje

del límite que se utiliza, y si la cuota es dura o blanda (máxima o de advertencia).

3) Para ver información adicional, seleccione la cuota y compruebe el espacio de descripción.

©

.



Configurando filtros de archivos

En esta sección se explicarán los conceptos de filtros de archivos, grupos de filtros, las excepciones y las

plantillas de filtros.

Filtros de archivos.

El filtro de archivos es una política de archivos que permitirá o denegará la creación de archivos tipo.

Por ejemplo, como comentábamos anteriormente, puede crear un filtro de archivo para que los

usuarios no guarden archivos MP3 en los recursos compartidos.

Consola de administración de filtrado.

En el nodo Administración del filtrado de archivos del complemento MMC del Administrador de recursos

del servidor de archivos, puede realizar las siguientes tareas:

- Crear filtros de archivos para controlar los tipos de archivos que los usuarios pueden guardar y

generar notificaciones cuando los usuarios intenten guardar archivos no autorizados.

- Definir plantillas de filtrado de archivos que puedan aplicarse a nuevos volúmenes o carpetas y

que pueden utilizarse en toda una organización.

- Crear excepciones de filtrado de archivos que amplíen la flexibilidad de las reglas de filtrado de

archivos.

Crear filtros de archivos.

Al crear un nuevo filtro de archivos, tiene la opción de guardar una plantilla de filtro de archivos basada

en las propiedades personalizadas de filtro de archivos que defina.

Para crear un filtro de archivo con propiedades personalizadas

1) En Administración del filtrado de archivos, haga clic en el nodo Filtros de archivos.

2) Botón derecho Filtros de archivos Crear filtro de archivos

3) En Ruta de acceso al filtro de archivos, escriba el nombre de la carpeta a la que se aplicará el

filtro de archivos o búsquela.

4) En el apartado de “¿Cómo desea configurar las propiedades del filtro de archivos?” haga clic

en “Definir propiedades personalizadas del filtro de archivos”

5) Puede utilizar una plantilla existente. Para ello, deberá seleccionarla y hacer clic sobre “Copiar”

6) En “Propiedades del filtro de archivos”, modifique o defina los siguientes valores de la ficha

Configuración:

©

.



a. En Tipo de filtrado

i. Filtrado Activo

ii. Filtrado Pasivo

7) En Grupos de archivos, seleccione cada grupo de archivos que desea incluir en el filtro de

archivos.

8) También puede configurar el Administrador de recursos del servidor de archivos para generar

una o varias notificaciones mediante el establecimiento de las opciones de las fichas Mensaje

de correo electrónico, Registro de eventos, Comando e Informe.

9) Termine de completar los datos en el asistente


Grupos de archivos.

Los grupos de archivos se usan para definir un espacio de nombres para un filtro de archivos, una

excepción al filtro de archivos o un informe de almacenamiento Archivos por grupo de archivos.

Constan de un conjunto de patrones de nombre de archivo, que se agrupan según las siguientes

opciones:

- Archivos incluidos: archivos que pertenecen al grupo

- Archivos excluidos: archivos que no pertenecen al grupo

©

.



Crear una excepción a un filtro de archivos.

Una excepción a un filtro de archivos es un tipo especial de filtro de archivos que reemplaza a todo el

filtrado de archivos que normalmente se aplicaría a una carpeta y a todas sus carpetas en una ruta de

excepción designada. Es decir, crea una excepción a las reglas que se derivan de la carpeta principal.

Para crear una excepción a un filtro de archivos


2) Haga clic con el botón secundario en Filtros de archivos y haga clic en Crear excepción al filtro

de archivos.

3) En “Ruta de acceso de excepción”, escriba o seleccione la ruta de acceso a la que se aplicará

la excepción. La excepción se aplicará a la carpeta seleccionada y a todas sus subcarpetas.

4) Para especificar qué archivos se excluirán del filtrado de archivos:

a. En Grupos de archivos, seleccione cada grupo de archivos que desea excluir del filtrado

de archivos.

b. Para crear un nuevo grupo de archivos, haga clic en Crear.

5) Haga clic en Aceptar para terminar.

©

.



Gestión de informes de almacenamiento

En esta sección se conocerán los informes de almacenamiento, cuales son las tareas de creación de

informes y la creación de informes bajo demanda.

Informes de almacenamiento.

Los informes de almacenamiento no es otra cosa que los informes de uso de los recursos a los que se le

implementa una cuota.

El informe que se realiza es exhaustivo e incluye información sobre:

- Archivos de gran tamaño

- Archivos por propietario

- Archivos del Grupo Archivo

- Archivos duplicados

- Archivos menos usados recientemente

- Archivos más usados recientemente

- Cuota de uso

- Auditoría de filtrado de archivos

Tareas de informes.

Puede programar dependiendo de las necesidades de su departamento u organización tareas de

creación de informes.

La tarea de creación de informes, implica:

- Los volúmenes y las carpetas de las que se informarán

- El tipo de informe que se generará

- Parámetros de configuración.

- Frecuencia de generación de informes

- Formatos de guardado de informes.

©

.



Crear una tarea programa de informes.

La tarea de informes especifica los informes que se generarán y los parámetros que se emplearán, los

volúmenes y carpetas sobre los que se emitirán informes, la frecuencia con la que se generarán y los

formatos de archivo en los que se guardarán.

Los informes programados se guardan en una ubicación predeterminada que se puede especificar en

el cuadro de diálogo Opciones del Administrador de recursos del servidor de archivos.

Para programar una tarea de informes

1) Haga clic en el nodo Administración de informes de almacenamiento.

2) Haga clic con el botón secundario en Administración de informes de almacenamiento y después

en Programar una nueva tarea de informes

3) Para seleccionar volúmenes o carpetas en los que generar informes:

a. En Ámbito, haga clic en Agregar.

b. Busque el volumen o la carpeta donde desea generar los informes, selecciónelo y haga

clic en Aceptar para agregar la ruta a la lista.

4) Para especificar qué informes se deben generar:

a. En Datos del informe, seleccione todos los informes que desee incluir.

5) Para editar los parámetros de un informe:

a. Haga clic en la etiqueta del informe y después en Editar parámetros.

b. En el cuadro de diálogo Parámetros de informes, edite los parámetros si es necesario y

haga clic en Aceptar.

6) Para especificar los formatos con los que guardar los informes:

a. En Formatos de informes seleccione uno o más formatos para los informes programados.

De manera predeterminada, los informes se generan en un formato DHTML (HTML

dinámico). También puede seleccionar los formatos HTML, XML, CSV y texto.

7) Los informes se guardan en la ubicación predeterminada para los informes programados.

8) Para enviar copias de los informes a los administradores mediante correo electrónico:

a. En la ficha Entrega, active la casilla Enviar informes a los siguientes administradores y

escriba los nombres de las cuentas administrativas que recibirán los informes.

9) Para programar los informes:

a. En la ficha Programación, haga clic en Crear programación

10) Para especificar una frecuencia de generación de informes, seleccione un intervalo en la lista

desplegable Programar tarea.

11) Para guardar la programación, haga clic en Aceptar.

12) Para guardar la tarea de informes, haga clic en Aceptar.

Informes bajo demanda.

En cualquier momento puede realizar un informe sobre un recurso del servidor. En ocasiones, se

presentan problemas de almacenamiento o capacidad en los que un informe detallado, puede

ayudarle a identificar y resolver los problemas lo antes posible.

Para realizar un informe bajo demanda:

1) Desde el administrador de informes botón derecho Crear informe ahora

2) En el asistente, seleccione en el ámbito Agregar Seleccione el recurso al que quiere realizar

el informe.

3) Seleccione los datos de informe que quiera mostrar. Por ejemplo “Archivos duplicados”

4) Por defecto, el archivo de salida le dejamos como DHTML

©

.



5) En la pestaña “Entrega” marque la casilla y escriba la dirección o grupo de distribución del

administrador

6) Aceptar y ver el asistente

a. Generar automáticamente y ver ahora

b. Generar en segundo plano y mandar por correo electrónico

7) Seleccionamos la primera opción y aceptar

8) Esperamos a que se genere el informe

9) Visualizamos el informe y listo.

Ver Vídeo: Configurando y Administrando tecnologías de

almacenamiento, en el Módulo 7. Unidad 12, en la plataforma e-learning.

Laboratorios: Configurando y administrando tecnologías de

almacenamiento. Ejercicio 1 Instalación de FSRM

1) Abra el administrador de Servidor

2) En funciones Agregar función

3) Seleccione “Servicios de Archivo” Siguiente

4) Lea la introducción a Servicios de Archivo Siguiente

5) Seleccione los servicios de función que desea instalar para los servicios de archivo Seleccione

“Administrador de recursos del servidor de archivos” Siguiente

6) Configure la supervisión de uso de almacenamiento de los volúmenes NTFS detectados o

instalados en el equipo. Seleccione un volumen y siguiente.

7) Seleccione la ubicación donde se guardarán los informes

8) Puede configurar “Recibir informes por correo electrónico” configurando una dirección de

correo y el servidor SMTP

9) Revise la instalación e Instalar

10) Compruebe que se ha instalado correctamente el servicio

©

.



11) Reinicie el equipo

12) Inicie sesión en el servidor

13) Vaya a la consola de FSRM desde Inicio Herramientas administrativas Administrador de

recursos de archivo

14) Haga una vista rápida de la consola de administración.

Ejercicio 2. Crear una plantilla de cuota

Para crear una plantilla de cuota.

1) En el administrador de cuotas haga clic en “Plantillas de cuota”

2) Botón derecho en “Plantillas de cuota” “Crear plantilla de cuota”

3) Si desea copiar la configuración de una plantilla existente, selecciónela y haga clic en Copiar.

4) Escriba “Nombre de plantilla”

5) Escriba un nombre descriptivo en el cuadro de texto “Etiqueta”

6) En límite de espacio

a. Elija el número y unidad para especificar el límite de espacio

b. Seleccione “Cuota máxima” o “Cuota de advertencia”

7) Configuración de umbrales de notificación opcionales. Puede configurarlo ahora o más

adelante, después haga clic en “Aceptar”

Ejercicio 3. Crear filtro de archivos

Para crear un filtro de archivo con propiedades personalizadas:


2) Botón derecho Filtros de archivos Crear filtro de archivos

3) En Ruta de acceso al filtro de archivos, escriba el nombre de la carpeta a la que se aplicará el

filtro de archivos o búsquela.

4) En el apartado de “¿Cómo desea configurar las propiedades del filtro de archivos?” haga clic

en “Definir propiedades personalizadas del filtro de archivos”

5) Puede utilizar una plantilla existente. Para ello, deberá seleccionarla y hacer clic sobre “Copiar”

6) En “Propiedades del filtro de archivos”, modifique o defina los siguientes valores de la ficha

Configuración:

a. En Tipo de filtrado

i. Filtrado Activo

ii. Filtrado Pasivo

7) En Grupos de archivos, seleccione cada grupo de archivos que desea incluir en el filtro de

archivos.

8) También puede configurar el Administrador de recursos del servidor de archivos para generar

una o varias notificaciones mediante el establecimiento de las opciones de las fichas Mensaje

de correo electrónico, Registro de eventos, Comando e Informe.

9) Termine de completar los datos en el asistente


©

.



Unidad 13: Asegurando disponibilidad de contenido y recursos de red

Objetivos

Aprender a realizar copias de seguridad Desplegar instantáneas de recursos compartidos

Conocer los métodos de disponibilidad de servicios y servidores

Introducción

Las copias de seguridad siguen siendo servicios críticos que los administradores y operadores de copia

deben mantener y actualizar periódicamente.

Con Windows 2008, ahora hacer copias de seguridad es más rápido y eficaz ya que basan la tecnología

en VHD.

Las instantáneas de recursos compartidos pueden proporcionar versiones anteriores de documentos

que garantizarán una recuperación más rápida frente a desastres.

La disponibilidad de servicios y servidores también son temas de seguridad en cuanto al servicio.

Realizar copias de seguridad de datos

En esta sección se conocerán las nuevas características de copia de seguridad de Windows 2008 e

información general sobre las copias de seguridad.

También se abordarán temas de optimización de copias de seguridad, tiempos de ejecución y procesos

de restauración.

Servidor de copias de Windows 2008 (Windows Server Backup)

Windows Server Backup es una característica de Windows Server 2008 que proporciona un conjunto de

asistentes y otras herramientas para que pueda realizar copias de seguridad y tareas de recuperación

para los servidores que ejecutan Windows Server 2008. Esta característica ha sido rediseñada e

introduce las nuevas tecnologías. La función de copia de seguridad anterior (Ntbackup.exe) que estaba

disponible con las versiones anteriores de Windows se ha eliminado.

Función de Copias de seguridad de Windows Server

La función de seguridad de Windows Server en Windows Server 2008 consiste en un complemento de

MMC y herramientas de línea de comandos que proporcionan una solución completa para la copia de

seguridad del día a día y las necesidades de recuperación.

Puede usar cuatro asistentes que le guiarán a través de copias de seguridad y recuperaciones. Puede

utilizar Windows Server Backup para realizar copias de seguridad de un servidor completo (todos los

volúmenes), los volúmenes seleccionados, o el estado del sistema.

En cuanto a la recuperación, puede recuperar volúmenes, carpetas, archivos, aplicaciones

determinadas, y el estado del sistema. Y, en caso de desastres como errores de disco duro, puede

realizar una recuperación del sistema utilizando una copia de seguridad completa del servidor.

©

.



Puede utilizar las copias de seguridad de Windows Server para crear y administrar copias de seguridad

para un equipo local o un equipo remoto. Además, puede programar copias de seguridad para que se

ejecuten automáticamente.

Nuevas características de Windows Server Backup.

A continuación se resumen algunas de las nuevas características de copia de seguridad de Windows

incluidas con Windows 2008.

- Tecnología de rápido backup. Las copias de seguridad se realizan de forma más rápidas.

- Restauración simplificada. Ahora es más fácil restaurar archivos o aplicaciones desde las copias

de seguridad.

- Restauración simplificada del sistema operativo. Puede recuperar el sistema operativo a partir de

una copia de seguridad de Windows

- Programación mejorada. Las tareas de copia de seguridad programadas han mejorado el

rendimiento de ejecución.

- Protección ante desastres.

- Administración remota. Es posible administrar de forma remota un servidor de copias de

seguridad por medio de una consola mmc o por comandos.

- Administración automática del uso de disco.

- Soporte de líneas de comandos. Una serie de herramientas que podrá utilizar para realizar copias

de seguridad locales y remotas desde líneas de comandos.

- Soporte para grabadores DVD. Ahora también puede realizar copias sobre DVD’s. No se pueden

realizar copias sobre cintas, aunque Windows Server Backups, sigue soportando estas

tecnologías.

Consideraciones de instalación de la característica de Windows Server Backup.

Windows Server Backup está disponible en todas las ediciones de Windows Server 2008 (de 32 bits y 64

bits). Sin embargo, el complemento de Windows Server Backups no está disponible para la opción de

instalación Server Core de Windows Server 2008. Para ejecutar copias de seguridad para equipos con

una instalación Server Core, es necesario utilizar la línea de comandos o administrar las copias de

seguridad de forma remota desde otro equipo. Además, Windows PowerShell no está disponible para la

opción de instalación Server Core, por lo que los cmdlets de Windows PowerShell para Windows Server

de copia de seguridad tampoco están disponibles en este tipo de instalación.

La característica de Copia de seguridad de Windows Server es compatible con discos duros externos e

internos, unidades de medios ópticos y unidades de medios extraíbles. Ya no se puede hacer copia de

seguridad en cinta, sin embargo, el apoyo de los controladores de almacenamiento en cinta todavía se

incluyen en Windows Server 2008

Instalación de copias de seguridad de Windows Server

Copias de seguridad de Windows Server , es una característica que por defecto no viene instalada.

Para poder trabajar con copias de seguridad de Windows Server, deberá realizar la instalación a través

del administrador de servidor.

Para añadir la característica de copia de seguridad a su servidor:

1) Abra el administrador de servidor

2) Sitúese en Características

3) Agregar características

4) De la lista de características seleccione “Características de Copia de seguridad de Windows

Server”

a. Seleccione “Copias de seguridad de Windows Server”

b. Seleccione “Herramientas de líneas de comandos”

©

.



5) Siguiente e Instalar

6) Revisar el resumen de instalación y finalizar.

Usuarios que pueden realizar copias de seguridad

Por defecto, pueden realizar tareas de copia de seguridad y restauración de archivos y sistemas,

aquellos usuarios que sean miembros de:

- Administradores

- Operadores de servidores

- Operadores de copia

Es aconsejable crear grupos personalizados con propiedades de copia para aumentar la seguridad.

Dependiendo de las políticas de la empresa en cuanto a seguridad de grupos, usuarios y datos, sería

aconsejable crear un grupo específico para realizar copias sin la necesidad de utilizar los grupos

creados por defecto en el sistema para realizar acciones administrativas.

También, es importante, y dependiendo de la organización, acotar al mínimo el número de usuarios o

grupos que tendrán este tipo de permisos, tanto de copia como de restauración. Se pueden de esta

manera evitar perdida de datos o robos corporativos. Por ejemplo puede darse el caso en el que un

usuario con demasiados permisos y afectado por la ingeniería social decida realizar un backup sobre

bases de datos, llevársela e implementarla en otro servidor con fines fraudulentos. De igual manera

podría ocurrir con un controlador de dominio. No asigne permisos demás a usuarios estándar que no lo

necesiten, por organización y por seguridad ante todo.

Estado de sistema

La utilidad Copia de seguridad ayuda a proteger los datos de pérdidas accidentales en el caso de que

se produzca un error en el hardware o los medios de almacenamiento del sistema. Hay que diferenciar

la copia de seguridad de archivos y la copia de seguridad del estado del sistema.

©

.



El estado de sistema es una opción configurada por defecto para poder realizar copia de archivos

necesarios del sistema en caso de recuperación por algún tipo de desastre. A continuación se muestra

una tabla con los componentes que se incluyen en una copia del estado de sistema.

Componentes Cuando se incluyen en la copia

Registro Siempre

Base de datos Registro de clases COM+ Simpere

Archivos de inicio, incluidos los arhivos de sistema Siempre

Base de datos de Servicios de Certificate Server Si es un servidor de Servicios de Certificate Server

Servicio de directorio de Active directory Si es un dominio

Directorio SYSVOL Si es un controlador de dominio

Información del Servicio de Clúster Server Si se encuentra en un clúster

Metadirectorio IIS Si está instalado

Archivos de sistema bajo protección de archivos

de Windows

Siempre

Los datos de Estado del sistema contienen la mayoría de los elementos de la configuración de un

sistema, pero puede que no incluyan toda la información necesaria para recuperar el sistema tras

producirse un error. Por lo tanto, se recomienda realizar copia de seguridad de todos los volúmenes de

inicio y sistema, incluido el Estado del sistema, al hacer copia de seguridad del sistema.

Windows server Backup incluye en líneas de comando la aplicación wbsadmin.exe para poder realizar

copias de seguridad. Para poder realizar una copia del estado de sistema bajo líneas de comando por

ejemplo en la unidad E:\, habría que poner en una consola cmd:

Wbadmin start systemstatebackup –backuptarget:E: -quiet

Optimización del rendimiento de copia de seguridad.

Copia de seguridad de Windows Server utiliza Volume Shadow Copy Service (VSS) y la tecnología a nivel

de bloque de copia de seguridad para

recuperar el sistema operativo, los archivos y carpetas, y volúmenes. Después de crear la primera copia

de seguridad completa, puede configurar Windows Server Backup para realizar la ejecución

automática de copias de seguridad incrementales y guardar sólo los datos que han cambiado desde la

última copia de seguridad.

Incluso si decide realizar siempre copias de seguridad completas, la copia de seguridad tardará menos

tiempo del que se hacía en versiones anteriores de Windows. A nivel de bloque es mucho más eficiente

que las versiones anteriores de archivos utilizando la tecnología de nivel. Ahora la Copia de seguridad

utiliza la tecnología de disco duro virtual (VHD) para realizar copias de seguridad a nivel de bloque.

Para cambiar esta configuración:

1) Abra copias de seguridad de Windows desde Inicio Herramientas administrativas

2) En el menú de acciones haga clic sobre “ Configurar opciones de rendimiento”

3) Seleccione una de las tres opciones que pueden configurarse:

a. Hacer siempre copia de seguridad completa

b. Hacer siempre copia de seguridad incremetal

c. Personalizar

4) Haga clic sobre “Aceptar”

©

.



Programación de Backup.

Las copias de seguridad de Windows Server ahora son mucho más flexibles, intuitivas y fáciles de

administrar. De forma fácil y sencilla podrá saber qué, cuando y donde realizar una copia de seguridad

de forma programada.

Gracias a la programación de las copias de seguridad de Windows Server puede realizar copias de

seguridad programadas de forma automática.

Para realizar una programación de backup:

1) Abra copias de seguridad de Windows desde inicio Herramientas administrativas

2) En el menú acciones hacer clic sobre “Hacer copia de seguridad programada”

3) En el asistente de copias de seguridad programada Siguiente

4) Seleccione los elementos a realizar copia

5) Seleccione el día y la hora de realización de la copia

6) Seleccione la ubicación de destino de la copia

7) Añada una etiqueta a la copia de seguridad

8) Confirme los datos

9) Finalizar

Restauración de datos

Con Copias de seguridad de Windows Server 2008 también puede realizar restauración de datos.

Restaurar datos significa volver a escribir los datos que se han perdido o que por algún motivo se han

corrompido y no son legales o funcionan correctamente, como por ejemplo, una base de datos.

Como recordatorio, el servicio de copias de seguridad de Windows server es una característica de

Windows 2008 que no viene instalada por defecto y que se debe instalar con propiedades

administrativas para poder realizar la copia y la restauración de datos.

©

.



Una vez que haya una copia de seguridad de datos, puede utilizar la opción de recuperar en el panel

“Acciones” de la herramienta Windows Server Backup para recuperar los volúmenes, las carpetas y

archivos en el servidor local o en un servidor diferente al que se conecta de forma remota.

Cuando se utiliza la herramienta Recuperar, se lanza un asistente, que le permite elegir la fecha de

copia de seguridad que desea restaurar los datos. El disco duro virtual (VHD) se monta y el asistente

muestra una vista de árbol de directorios de los objetos disponibles en la copia de seguridad para la

restauración. Debe elegir lo que desea restaurar y especificar las opciones de restauración. Puede

optar por conservar una copia, sobrescribir o no recuperar algunos archivos y carpetas. También debe

especificar si se debe dejar el valor por defecto al restaurar la configuración de seguridad, o desactivar

la casilla de verificación para establecer permisos por defecto en los objetos restaurados.

Configuración de instantáneas

En esta sección se conocerá la nueva característica de copia llamadas instantáneas, como se pueden

configurar y como se pueden recuperar datos desde ellas.

¿Qué son las instantáneas?

Una instantánea es una característica de Windows Server 2008 que proporciona una copia en un punto

en el tiempo, de archivos en unidades compartidas de red. Con las instantáneas de carpetas

compartidas, puede ver el contenido de las carpetas de red tal como existían en varios puntos en el

tiempo.

Escenarios para la utilización de instantáneas:

- Recuperar los archivos que fueron borrados accidentalmente.

- Recuperar archivos que fueron sobrescritos accidentalmente.

- Permitir múltiples versiones de archivos

©

.



No hay que olvidar que una instantánea es una captura en un momento de tiempo. No debe prescindir

de las copias de seguridad de Windows Server.

Programación de instantáneas

Recuperar un archivo perdido en una organización puede tener un coste elevado, tanto en tiempo

como en personal. Puede realizar copias instantáneas a diversas horas del día para poder recuperar

archivos originales diarios si algún usuario ha borrado o corrompido la información.

Por ejemplo, puede configurar una instantánea a las 7:00 de la mañana antes de que empiece la

actividad de la oficina y otra a las 15.00. En el caso de que se necesite restaurar alguna copia de

seguridad, puede ahorrar mucho tiempo revisando esta instantánea con la información de cambio del

día.

Si habilita las instantáneas de carpetas compartidas en un volumen con los valores predeterminado, las

tareas se programarán de modo que creen instantáneas a las 7:00 de la mañana y a mediodía. El área

de almacenamiento predeterminado se encontrará en el mismo volumen y su tamaño será del 10% del

espacio disponible.

Las instantáneas de carpetas compartidas sólo se pueden habilitar de manera individual para cada

volumen; es decir, no se pueden seleccionar carpetas y archivos compartidos específicos en un

volumen para que se copien o no se copien.

Para habilitar y configurar las instantáneas de carpetas compartidas

1) Abra Administración de equipos.

2) En el árbol de la consola, haga clic con el botón secundario en Carpetas compartidas, haga clic

en Todas las tareas y, a continuación, en Configurar instantáneas.

3) Haga clic en el volumen en el que desee habilitar las instantáneas de carpetas compartidas y, a

continuación, haga clic en Habilitar.

4) Para realizar cambios en la programación y en el área de almacenamiento predeterminados,

haga clic en Configuración.

©

.



Comportamiento de los clientes.

Instantáneas para carpetas compartidas es un componente de las tecnologías de almacenamiento

inteligente de archivos de Microsoft Windows Server 2003/2008. Permite evitar la pérdida de datos

mediante la creación y el almacenamiento de instantáneas de archivos y carpetas de la red a

intervalos de tiempo predeterminados. Para ver estas instantáneas de un equipo que ejecuta una

versión de Windows anterior a Windows Server 2003, debe instalar el cliente de instantáneas. Puede

descargar el cliente para versiones anteriores a Windows vista aquí:

http://technet.microsoft.com/es-es/windowsserver/bb405951

Restaurar instantáneas (versiones anteriores)

Antes de realizar ninguna restauración sobre versiones anteriores debe saber que si recupera una versión

anterior sobrescribirla la existente. Si no desea borrarla o sobrescribirla, deberá copiar el contenido de la

versión y guardarla en otra ubicación.

Para restaurar una versión anterior:

1) Localice el archivo o carpeta en cuestión

2) Botón derecho pestaña “versiones anteriores”

3) Compruebe que existe alguna versión anterior del archivo. Si existe, seleccione la que desee y

haga clic en abrir para comprobar que es el archivo que desea restaurar.

4) Si es el archivo o carpeta que desea restaurar, haga clic en “Restaurar”

5) Lea el aviso y haga clic en “Aceptar”

http://technet.microsoft.com/es-es/windowsserver/bb405951

©

.



Proporcionar disponibilidad de servicios y servidores

En esta sección se comprobaran los sistemas que se pueden implementar para crear disponibilidad de

servicios y servidores como el balanceo de carga y el cluster de conmutación por error.

Características del balanceo de carga. (NLB)

Network Load Balancing (NLB) es una característica opcional de Windows Server 2008 que realiza el

balanceo de carga de tráfico de red entre múltiples servidores en un clúster de NLB. NLB utiliza un

algoritmo de distribución para equilibrar la carga de tráfico de red entre los distintos nodos o servidores ,

contribuyendo así a mejorar la escalabilidad y la disponibilidad de servicios críticos basados en IP, como

por ejemplo, Internet, Servicios de VPN’s, Servicios de Terminal Server o granjas de servidores Proxy’s.

©

.



NLB está incluido en todas las versiones de Windows Server 2008, y en resumen, proporciona

escalabilidad y disponibilidad del servicio.

Configuración de un Clúster NLB

Para configurar un clúster NLB hay que atender a tres parámetros fundamentales.

- Parámetros de host:

o Dirección IP. Dirección IPv4/IPv6

o Mascara de Subred

o Prioridad. Puede configurar el nodo prioritario.

o Estado del host inicial. Puede configurar el estado del host inicial de entre:

Iniciado

Detenido

Suspendido

- Parámetros del clúster:

o Dirección IP. Dirección IP Virtual del Clúster NLB.

o Máscara de subred. Mascara de Subred del Clúster NLB

o Nombre completo de Internet. Nombre descriptivo

o Modo de operación del clúster. Unicast ó Multicast

- Reglas de puerto: las reglas de puerto se configuran para gestionar las peticiones hacia ciertas

IP’s o rangos de direcciones, configurando:

o El modo de filtrado

o Afinidad

o El peso de la carga

o La prioridad en la gestión.

Para abrir el administrador de equilibrio de carga:

1) Inicio Todos los programas Herramientas administrativas Administrador de equilibrio de

carga.

Clúster por conmutación por error.

Un clúster es un grupo de equipos independientes que trabajan juntos para aumentar la disponibilidad

de aplicaciones y servicios. Los servidores en clúster o nodos, están conectados por cables físicos, así

como por el software de gestión. Si uno de los nodos del clúster falla, otro nodo comienza a prestar

servicio. Se trata de un proceso conocido como conmutación por error. Con grupos de conmutación

por error, los usuarios experimentan un mínimo de interrupciones en el servicio.

En Windows Server 2008, las mejoras de clústeres conmutación por error están destinadas a simplificar

grupos, haciéndolos más seguros y mejorar la estabilidad del clúster. La configuración del clúster y la

gestión son más fáciles. La seguridad y redes en los clústeres se han mejorado, al igual que la forma en

que se comunica con el clúster de conmutación de almacenamiento.

Las principales mejoras de Clústeres de conmutación por error son:

©

.



- Validación de clúster. Ahora es más fácil comprobar que un clúster se crea y valida

correctamente.

- Nuevas propiedades de almacenamiento. Puede aumentar el rendimiento del almacenamiento

con el soporte para SAN o DAS.

- Nueva configuración de la red. Aparecen nuevas opciones de configuración para el quórum ya

que no tiene que ser un punto de fallo único.

Requisitos de Hardware para la Conmutación por error

Para poder implementar Conmutación por error, se deben considerar los siguientes requisitos hardware.

- Servidores. Servidores preferiblemente de nueva generación que garanticen un rendimiento

óptimo para la aplicación que se requiera implementar

- Los adaptadores de red y el cable. Actualmente las conexiones son de 10/100/1000. Es muy

aconsejable que las conexiones y adaptadores de red rindan a la mayor velocidad posible,

como por ejemplo 10 Gb. El cable utilizado para un mejor rendimiento UTP-Cat. 6

- Controladores de dispositivos o adaptadores adecuados para el almacenamiento.

Controladores de disco para crear los sistemas RAID de seguridad adicional

- Almacenamiento. Discos duros con grandes capacidades para poder soportar y almacenar los

datos de aplicaciones.

Microsoft admite una solución de clúster de conmutación por error sólo si todos los componentes de

hardware están marcados como "Certified for Windows Server 2008."

Además, la configuración completa de servidores, redes y almacenamiento, deben pasar todas las

pruebas en el Asistente para validar una configuración, que forma parte del complemento de

Administración de clúster de conmutación por error.

Ver Vídeo: Asegurando la disponibilidad de contenido y recursos de red, en el Módulo 7. Unidad 13, en la plataforma e-learning.

Laboratorio

Ejercicio 1. Instalación de Windows Server Backup 1) Abra el administrador de servidor

2) Sitúese en Características

3) Agregar características

4) De la lista de características seleccione “Características de Copia de seguridad de Windows Server”

a) Seleccione “Copias de seguridad de Windows Server”

b) Seleccione “Herramientas de líneas de comandos”

5) Siguiente e Instalar

6) Revisar el resumen de instalación y finalizar.

Ejercicio 2. Configuración de instantáneas

Para habilitar y configurar las instantáneas de carpetas compartidas:

1) Abra Administración de equipos.

2) En el árbol de la consola, haga clic con el botón secundario en Carpetas compartidas, haga clic

en Todas las tareas y, a continuación, en Configurar instantáneas.

3) Haga clic en el volumen en el que desee habilitar las instantáneas de carpetas compartidas y, a

continuación, haga clic en Habilitar.

4) Para realizar cambios en la programación y en el área de almacenamiento predeterminados,

haga clic en Configuración.

©

.



Ejercicio 3 Crear un clúster NLB 1) Abra el Administrador de carga de red desde inicio Herramientas administrativas

2) Sobre “Clústeres de equilibrio de carga de red” Botón Derecho Nuevo

3) Seleccione el primer host que formará parte del clúster y la interfaz para configurar el nuevo

clúster

4) Seleccione la prioridad y el estado inicial del servidor Siguiente

5) Configurar una IP para el clúster y siguiente

6) Configure las reglas de puerto, por defecto todo abierto y Finalizar

7) Desde el administrador de equilibrio de carga comprueba que el clúster se ha creado y que las

máquinas que lo comportan funcionan correctamente.

©

.



Unidad 14: Configuración de SSC

Objetivos

- Aprender a asegurar un servidor - Desplegar plantillas de seguridad de servidor

- Conocer Windows Server Update Services

- Aprender

Introducción

En toda organización, se deben planear infraestructuras de seguridad para proteger los servidores. El

seguimiento de logs de eventos por medio de auditorías podrá ahorrar a los administradores de red

tiempo y proporcionará información para resolver problemas de seguridad.

En una organización donde existen un número elevados de equipos, se pueden administrar de forma

centralizada las actualizaciones de seguridad. La configuración de actualización automática, puede

permitir descargar las actualizaciones desde un servidor dedicado a ello, como un Windows Server

Update Services.

Asegurar una infraestructura de Windows

Cada día se presentan nuevos desafíos de la seguridad. En esta sección veremos la aplicación de

defensa en profundidad para aumentar la seguridad, prácticas básicas de servidor de seguridad,

conoceremos el asistente de configuración de seguridad y por último la configuración del Firewall de

Windows.

Desafíos de la Seguridad de las infraestructuras de Windows

Para toda organización la seguridad a nivel general es primordial para la tranquilidad y la gestión

registrada. La implementación de herramientas y sistemas que aseguren el acceso a la red y a los

recursos evitarán la pérdida indebida de datos, el robo de información o la ingeniería social.

Podemos diferenciar o separar tres puntoso consideraciones a tener en cuenta en toda organización

que tenga o quiera implementar una red con servicios y servidores:

Implementación y gestión de configuración segura de servidores. En las organizaciones suele

resultar difícil implementar y administrar las configuraciones de seguridad generalmente para los

servidores que realizan más de una función. Por lo general es difícil determinar y gestionar los

servicios necesarios, y qué puertos deben estar abiertos y quien necesita tener acceso a los

servidores. Puede realizar la implementación de servidor una vez realizado un estudio previo

mediante el Asistente de configuración de seguridad, directivas de grupo o por medio de

plantillas de seguridad.

La protección contra las amenazas de software malicioso y las intrusiones. Las organizaciones

necesitan determinar la manera más eficaz de garantizar que su entorno está protegido de las

amenazas de software que resultan de por ejemplo, un proceso inadecuado de administración

de actualizaciones. En muchas ocasiones, las organizaciones tienden a proteger los servidores y

redes perimetrales, sin pensar en la protección de servidores específicos o segmentos dentro de

su entorno de red. Debe considerar todos los accesos donde este tipo de amenaza puede darse

y aplicar sistemas o tecnologías para prevenir posibles desastres como Windows Server Update

Services, NAP, IPSec o la configuración del Firewall de Windows.

La aplicación eficaz de identificar y de control de acceso. Las organizaciones pueden requerir

métodos más eficaces para identificar y controlar quien inicia sesión y quien accede a los

©

.



recursos. Puede implementar el uso de tarjetas inteligentes, sistemas de cifrados EFS,

Infraestructuras de Clave Pública (PKI), AD RMS o Servicios de Federación.

La aplicación de defensa en profundidad para aumentar la seguridad

Los ataques que tienen lugar a través de la red representan el mayor número de incidencias registradas

de software malintencionado. Normalmente, los ataques de este tipo de software comenzarán por

aprovechar los puntos débiles en las defensas del perímetro de la red a fin de tener acceso a los

dispositivos host dentro de la infraestructura de TI de la organización. Estos dispositivos podrían ser

clientes, servidores, enrutadores o incluso servidores de seguridad. Uno de los problemas más difíciles a

los que se enfrentan las defensas antivirus en esta capa consiste en buscar el equilibrio entre los

requisitos de características de los usuarios de los sistemas de TI y las limitaciones necesarias para

establecer una defensa eficaz.

Muchas organizaciones han adoptado un enfoque multicapa en relación al diseño de sus redes que

utiliza tanto estructuras de red interna como externa. Microsoft recomienda este método porque se

adapta directamente al modelo de seguridad de defensa en profundidad. Hay una tendencia

creciente a dividir la red interna en zonas de seguridad para establecer un perímetro en cada una de

ellas. Microsoft recomienda también este enfoque, ya que ayuda a reducir la exposición general a un

ataque de software malintencionado que busca obtener acceso a la red interna.

Las primeras defensas de la red de la organización se denominan defensas de la red perimetral. Se han

diseñado para evitar que se introduzca software malintencionado en la organización a partir de un

ataque externo. Un ataque normal de software malintencionado se centra en copiar archivos en un

equipo de destino. Por tanto, las defensas antivirus deben trabajar en combinación con las medidas de

seguridad generales de la organización para garantizar que el acceso a los datos de la empresa sólo se

permite a personal autorizado y de forma segura.

En la siguiente tabla se muestran los métodos de seguridad que pueden aplicarse a cada una de las

capas:

Capa Seguridad

Datos ACL, Encriptación

Aplicaciones Antivirus

Host Autenticación, Firewall

Red interna Segmentos de Red, IpSec

Red perimetral Firewalls

Seguridad física Personal de seguridad, Cierres

Prácticas básicas para asegurar un servidor

Las mejores prácticas para asegurar un servidor se muestran a continuación:

Instalación del último Servicepack y actualizaciones de seguridad. Instalando las últimas

actualizaciones de seguridad y los servicepack garantizará la seguridad del sistema operativo.

Utilice el Asistente para configuración de seguridad para analizar y poner en práctica la

seguridad del servidor. Con el asistente de configuración de seguridad podrá cerrar los puertos y

aplicaciones innecesarios.

Utilice la directiva de grupo y las plantillas de seguridad para endurecer los servidores

Restringir el ámbito de acceso para las cuentas de servicio. En ocasiones, una mala

configuración de las cuentas de servicios, pueden provocar fallos de seguridad en aplicaciones

y accesos.

Restringir quién puede iniciar una sesión local a los servidores. Debe establecer correctamente

la asignación de permisos administrativos a que usuario o grupos de usuario para poder

administrar e iniciar sesión en un servidor.

©

.



Restringir el acceso físico y de red a los servidores. Debe establecer una ubicación para los

servidores con las garantías de seguridad como un CPD y debe dar acceso únicamente a los

administradores o personal de confianza. No todo el mundo debería tener acceso a esta sala o

servidores.

¿Qué es el Asistente para configuración de seguridad?

El Asistente para configuración de seguridad (SCW) le guía a través del proceso de creación, edición,

aplicación o reversión de una directiva de seguridad. Permite crear o modificar fácilmente una directiva

de seguridad para el servidor basándose en su función instalada.

El SCW también se puede usar para revertir una directiva a su configuración anterior con fines de

recuperación. Con el SCW se puede comparar la configuración de seguridad de un servidor con la

directiva de seguridad que se desee a fin de buscar las configuraciones vulnerables del sistema.

La versión del SCW de Windows Server 2008 incluye más configuraciones de función de servidor y

opciones de seguridad que la versión del SCW de Windows Server 2003.

Usando SCW de Windows Server 2008 puede:

- Deshabilitar los servicios innecesarios basados en la función de servidor.

- Quitar las reglas de firewall que no se usen y limitar las existentes.

- Definir directivas de auditoría limitadas.

El asistente de seguridad de Windows Server 2008 incluye la herramienta de comandos “scwcmd”. Con

esta herramienta puede:

- Aplicar la directiva a uno o más servidores.

- Revertir directivas.

- Analizar y ver una directiva del SCW en varios servidores

- Transformar una directiva del SCW en un objeto de directiva de grupo (GPO) para

implementaciones centralizadas y administración mediante los Servicios de dominio de Active

Directory (AD DS).

©

.



Por ejemplo, si se desea crear una nueva GPO denominada TestSCW1, desde un fichero XML de SCW

denominado SCW1.xml, deberíamos ejecutar:

scwcmd transform /p:SCW1.xml /g:TestSCW1

¿Qué es el Firewall de Windows?

Firewall de Windows es una aplicación con estado basado en host que proporciona las siguientes

características:

- Filtros de red, tanto el tráfico entrante y saliente

- Integra dos cortafuegos de filtrado y configuración de la protección IPsec

- Puede ser administrado por la herramienta de Panel de control o por la consola de MMC de

forma más avanzada por medio de la seguridad avanzada del Firewall de Windows

- Proporciona apoyo a las GPO

- Está habilitado por defecto en cualquier instalación nueva

©

.



Uso de plantillas de seguridad para proteger los servidores

En esta sección se explicarán que son las políticas de seguridad, como utilizar las plantillas de seguridad

y que herramientas de análisis se puede utilizar para

Política de seguridad.

Una política de seguridad es una combinación de configuraciones de seguridad que sea aplican a un

equipo o servidor.

En un entorno de dominios, existen dos tipos de políticas de seguridad:

- Política de seguridad local

- Política de seguridad del Dominio

La política de seguridad local, incluye una serie de configuraciones que se aplican al equipo:

- Directivas de cuenta

- Políticas Locales

- Firewall de Windows con seguridad avanzada

- Directivas de clave pública

- Directivas de restricción de software

- Directivas de seguridad IP en equipo local

En cuanto a la política de seguridad del dominio, además de las políticas locales, se incluyen:

- Registro de eventos

- Grupos restringidos

- Servicios del sistema

- Registro

- Sistema de archivos

- Políticas de Conexión local y de red inalámbrica

- Protección de acceso a la red

- Directivas de seguridad IP en Active Directory

©

.



Plantillas de seguridad

Las plantillas de seguridad, son configuraciones de opciones de seguridad guardadas para implementar

y administrarlas en servidores o equipos específicos como política de seguridad. Las plantillas de

seguridad se pueden aplicar a un equipo local, importar a un objeto de directiva de grupo o utilizar

para analizar la seguridad.

Las plantillas de seguridad se pueden administrar por medio del complemento de MMC de plantillas de

seguridad.

Por defecto, Microsoft tiene predefinidas varias plantillas de seguridad que puede aplicar a equipos y

servidores dependiendo de los servicios críticos e importancia en la organización. Estas plantillas se

guardan en %SystemRoot%\Security\Templates

A la hora de realizar una implementación de plantillas de seguridad debe tener en cuenta las siguientes

consideraciones:

- Debe crear plantillas de seguridad en función de cada servidor. Es posible que una plantilla para

un servidor no sea compatible para otro y puedan producirse errores de rendimiento o servicio.

- Para implementar plantillas de seguridad a un solo servidor debe implementarlas por medio de

SECEDIT. Además con SECEDIT puede Configurar y analizar la seguridad del sistema mediante la

comparación de la configuración actual al menos a una plantilla.

- Para implementar plantillas de seguridad a varios servidores, es aconsejable hacerlo por medio

de GPO’s. Por ejemplo, en una granja de servidores web interna que requieren de una política

de seguridad igual puede implementarla por medio de GPO’s

Herramienta de configuración y análisis de seguridad.

La herramienta de configuración y análisis de seguridad es un complemento MMC que le permite

comparar los valores de configuración aplicados a un equipo respecto a una plantilla de seguridad. Los

elementos correctos se marcarán en verde mientras que los elementos que entrarán en conflicto o

discreparán se mostrarán en rojo.

©

.



Para abrir la herramienta de configuración y análisis de seguridad

1) Abra una consola MMC desde Inicio Ejecutar MMC

2) Agregar o quitar complementos desde el menú

3) En la lista de complementos, desplácese hasta Configuración y análisis de seguridad Agregar

Aceptar.

4) Aceptar

Abrir una base de datos existente

1) Haga clic con el botón secundario en el elemento del ámbito Configuración y análisis de

seguridad 2) Haga clic en Abrir base de datos

3) Seleccione una y haga clic en Abrir

Para crear una nueva base de datos


seguridad 2) Haga clic en Abrir base de datos

3) Escriba el nombre de una nueva base de datos y haga clic en Abrir

4) Seleccione una plantilla de seguridad para importar y haga clic en Abrir

Para configurar el equipo


seguridad 2) Seleccione Configurar el equipo ahora

3) En el diálogo, escriba el nombre del archivo de registro que desea ver y haga clic en Aceptar

Nota: cuando la configuración se complete, debe realizar un análisis para ver la información en su base

de datos.

Para analizar la seguridad de su equipo


seguridad 2) Seleccione Analizar el equipo ahora

3) Escriba la ruta del archivo de registro en el diálogo y haga clic en Aceptar

©

.



Nota: para ver el archivo de registro creado durante la configuración o análisis, seleccione Mostrar

archivo de registro en el menú de contexto de Configuración y análisis de seguridad.

Configuración de un plan de auditoria

En esta sección se hablará sobre las auditorías y como establecer las políticas de auditoría y los tipos de

logs que se guardarán.

Auditoria

La Auditoría es el proceso por el cual se registran las actividades de usuarios y del sistema que se

guardan en el registro de eventos en los registros de seguridad. Estos registros de auditoría, pueden

orientar al administrador sobre problemas ya que indica cuando ocurrió el problema, quien fue el

culpable, cuando sucedió y cuál fue el resultado del error.

Generalmente se suele habilitar los registros de auditoría para realizar un seguimiento base sobre

usuarios y procesos. La auditoría puede ayudarnos a combatir contra problemas de seguridad

detectando amenazas y ataques, mostrando daños producidos y sobre todo, con la información

registrada podemos impedir nuevos daños.

Entre las configuraciones más comunes de auditoría se pueden definir los tres tipos más importantes:

- Acceso a objetos

- Administración de cuentas de usuarios

- Inicio y cierre de sesión de usuarios.

Política de auditoria

En una política de auditoría se definen los tipos de eventos que se registran en el registro de seguridad

de cada ordenador. Los eventos se escriben en el ordenador en el que se produce el evento.

Puede implementar políticas de auditoría utilizando la política de seguridad local o mediante la

configuración de Directiva de grupo.

Una política de auditoría determina los eventos de seguridad que informará al administrador de red de

posibles problemas en el equipo.

Puede establecer una política de auditoría para:

©

.



- Registrar eventos de éxito o fracaso en el acceso.

- Minimizar el uso no autorizado de los recursos

- Mantener un registro de la actividad

- Almacenar los registros de seguridad en el registro de eventos

Tipo de eventos que se pueden auditar

Lo primero que debe configurar cuando define una política de auditoría son los elementos u objetos a

auditar. A continuación se muestra una lista de los elementos que puede auditar:

- Cuenta de inicio de sesión. Una cuenta se autentica en una base de datos de seguridad.

Cuando un usuario inicia sesión en el equipo local, el equipo registra la cuenta de inicio de

sesión. Cuando un usuario inicia sesión en un dominio, el controlador de dominio de

autenticación registra la cuenta de inicio de sesión.

- Administración de cuentas. Un administrador crea, cambia o elimina una cuenta de usuario o

grupo, una cuenta de usuario se cambia el nombre o se establece o cambia una contraseña.

- Directorio de servicio de acceso. Un usuario accede a un objeto de Active Directory. Para

registrar este tipo de acceso, debe configurar determinados objetos de Active Directory para la

auditoría.

o Directorio de Páginas de servicio.

o Directorio de servicio de replicación.

o Directorio completo de servicio de replicación

- Inicio de sesión. Un usuario inicia sesión. El evento se registra en el equipo que el usuario tiene

acceso, independientemente de si utiliza una cuenta local o de dominio.

- Acceso a objetos. Un usuario accede a un archivo, carpeta o impresora. El administrador debe

configurar los archivos, carpetas o impresoras a auditar, los usuarios o grupos que son objeto de

la auditoría, y las acciones para las que serán auditados.

- Política de Cambio. Un cambio se realiza en las opciones de seguridad de usuario como las

opciones de contraseña.

- Uso de privilegios. Un usuario ejerce un derecho de usuario, como cambiar la hora del sistema o

tomar posesión de un archivo.

- Seguimiento del Procesos. Una aplicación realiza una acción. Generalmente esta información es

útil sólo para programadores que quieran seguir los detalles de ejecución de la aplicación

- Sistema. Un usuario reinicia o apaga la computadora, o se produce un evento que afecta a la

seguridad de Windows.

©

.



Descripción general de Windows Server Update Services

En esta sección se conocerán los servicios de Windows Server Updates Services como herramienta

interna de seguridad, como configurar las actualizaciones, los requerimientos de servidor y como

configurar las actualizaciones automáticas.

Windows Server Update Services

Microsoft Windows Server Update Services 3.0 permite a los administradores de las tecnologías de la

información implementar las últimas actualizaciones de productos de Microsoft en equipos que

ejecutan los sistemas operativos de Microsoft Windows Server 2003, Windows Server 2008, Windows Vista,

Microsoft Windows® XP con Service Pack 2 y Windows 2000 con Service Pack 4. Mediante WSUS, los

administradores pueden administrar completamente la distribución de las actualizaciones lanzadas al

mercado a través de Microsoft Update a los equipos de la red.

El servidor WSUS permite a los administradores administrar y distribuir actualizaciones a través de la

consola de administración de WSUS 3.0, la cual puede instalarse en cualquier equipo Windows en el

dominio. Además, un servidor WSUS puede ser el origen de actualizaciones para otros servidores WSUS

dentro de la organización. Al menos un servidor WSUS de la red debe conectarse a Microsoft Update

para obtener información acerca de las actualizaciones disponibles. En función de la seguridad y la

configuración de la red, el administrador puede determinar si los otros servidores deberán conectarse

directamente a Microsoft Update.

Actualizaciones automáticas

Este componente se crea en los sistemas operativos Windows Server 2008, Windows Vista, Windows

Server 2003, Windows XP y Windows 2000 SP4. El componente Actualizaciones automáticas permite que

tanto el servidor como los equipos cliente reciban actualizaciones desde Microsoft Update o desde un

servidor WSUS.

WSUS

windowsupdate

Funcionamiento de WSUS

El funcionamiento de los servicios de WSUS en una red se compone de cuatro procesos identificados:

1) Evaluación. Configurar un entorno de producción que apoyará la administración de

actualizaciones para ambos escenarios de rutina y de emergencia

2) Identificación. Descubrir nuevas actualizaciones de una manera conveniente. Determinar si las

actualizaciones son relevantes para el entorno de producción

3) Evaluación y planificación. Probar las actualizaciones en un entorno que se parezca al actual,

pero independiente del entorno de producción

©

.



4) Implementación. Aprobar y configurar el horario de instalación. Revisar el proceso después de

que la implementación se haya completado

Requisitos de Servidor para instalar WSUS

Los requisitos para poder implementar un servidor con WSUS son:

- Windows Server 2003 SP1 o Windows Server 2008

- IIS 6.0 o posterior

- Windows Installer 3.1 o posterior

- Microsoft .NET Framework 2.0

- SQL Server 2005 SP1 or posterior

- Microsoft Report Viewer Redistributable 2005

Para las versiones de Windows Server 2003, hay que descargarse la aplicación desde la página de

descargas de Microsoft. Las versiones de Windows 2008 lo integran como una función instalable desde el

administrador del servidor

Con IIS, Windows Installer, .NET 2.0 y SQL se administran el servicio de instalación y registro de

actualizaciones y equipos.

Microsoft Report Viewer Redistributable se utilizará para realizar informes sobre actualizaciones

descargadas, equipos con actualizaciones pendientes o un informe general sobre la configuración.

Actualizaciones automáticas.

Las actualizaciones automáticas se pueden configurar de forma automática dentro de una

organización con Active Directory por medio de GPO’s. La configuración direccionaría a los clientes a

consultar al WSUS si existen actualizaciones de seguridad disponibles. Otra opción para configurar las

actualizaciones automáticas sería configurando las políticas locales del equipo. Para entornos en los

que no exista un directorio activo, es posible configurar un servidor WSUS por medio de la edición del

registro.

Por medio de GPO’s, puede modificar diferentes parámetros sobre actualizaciones automáticas:

©

.



- Configurar actualizaciones automáticas. Especifica si este equipo recibirá actualizaciones de

seguridad y otras descargas importantes a través del servicio de actualización automática de

Windows. Si el servicio está habilitado, debe seleccionar una de las cuatro opciones en la

configuración de directiva de grupo:

o 2 = Notificar antes de descargar actualizaciones y volver a notificar antes de instalarlas

o 3 = (Opción predeterminada) Descargar automáticamente las actualizaciones y notificar

cuando estén listas para instalarse

o 4 = Descargar automáticamente las actualizaciones e instalarlas según la programación

especificada abajo

o 5 = Permitir a los administradores locales seleccionar el modo de configuración en el que

Actualizaciones automáticas debe notificar e instalar actualizaciones

- Habilitar destinatario del lado del cliente. Especifica el nombre o nombres de grupos de destino

que deben utilizarse para recibir actualizaciones procedentes de un servicio Microsoft Update de

la intranet. Si el estado se establece en Habilitado, la información del grupo de destino

especificado se envía al servicio Microsoft Update de la intranet, que la usa para determinar qué

actualizaciones se deben implementar en este equipo.

- Permitir la instalación inmediata de Actualizaciones automáticas. Específica si Actualizaciones

automáticas debe instalar automáticamente ciertas actualizaciones que no interrumpen

servicios de Windows ni reinician Windows. Si el estado se establece en Habilitado,

Actualizaciones automáticas instalará automáticamente estas actualizaciones una vez que se

descarguen y estén listas para instalarse

Administración de WSUS

En esta sección se mostrará la consola de administrador WSUS, como se gestionan los equipos y como se

administran las actualizaciones.

Consola de administración de WSUS

La consola de administración de WSUS se utilizará para realizar todos los procesos de administración y

seguimiento de actualizaciones de seguridad y demás software para equipos y servidores.

©

.



A primera vista, el administrador de WSUS se divide en tres partes:

1) Menú desplegable de la izquierda. Muestra el servidor WSUS y todos los componentes que

engloban el servicio de WSUS como:

a. Actualizaciones. Muestra todos los avisos sobre productos y actualizaciones de seguridad

b. Equipos. Muestra una lista de los equipos que al menos, se conectaron una vez al servidor

WSUS

c. Servidor secundario. Si utiliza varios servidores WSUS puede configurar uno como principal

y los otros de encadenamiento

d. Sincronizaciones. Muestra un informe sobre las sincronizaciones entre el servidor y

Windows Update

e. Informes. Puede crear informes personalizados sobre equipos, actualizaciones y

configuraciones

f. Opciones. Son las opciones de configuración generales del servidor WSUS como por

ejemplo el acceso a internet, los productos que descargará y los idiomas de las

actualizaciones. También puede realizar limpieza de actualizaciones y registro de equipos

obsoletos.

2) Cuadro Central. Muestra en pantalla lo que se selecciones del menú desplegable de la izquierda

3) Panel de Acción a la derecha. Dependiendo de lo que se seleccione tanto en el menú de la

izquierda o en el cuadro central, le aparecerán diferentes acciones que puede ejecutar

Administración de grupos de equipos.

Para poder añadir de forma automática a los equipos, primero debe configurar los equipos cliente para

estén en contacto con el servidor WSUS. Hasta que no realice esta tarea, el servidor WSUS no

reconocerá los equipos cliente y no se mostrarán en la lista en la página de equipos.

Por defecto, cualquier equipo que se ponga en contacto con el WSUS, automáticamente entra a

formar parte del grupo “Todos los equipos” o “equipos sin asignar” y siguen siendo asignados hasta que

se asigne a otro grupo. Los equipos pueden pertenecer a más de un grupo.

Cuando cree grupos de equipos, puede hacerlo de forma jerárquica para aplicar distintas

actualizaciones a distintos niveles.

En resumen, para poder registrar un equipo directamente en el WSUS debe:

1) Modificar la política local o por GPO para que el equipo se conecte con un servidor WSUS

interno.

2) Habilitar nombre de grupo en la GPO

3) Crear nuevo grupo en el servidor WSUS

4) Actualizar las políticas

5) Comprobar que el equipo se asignó al grupo

Aprobación de actualizaciones

Se puede aprobar la instalación de actualizaciones para todos los equipos de la red de WSUS o para

grupos de equipos diferentes. Después de la aprobación de una actualización, puede realizar varias

acciones:

- Aplicar esta aprobación a todos los grupos

- Fijar un plazo para la instalación automática. Al seleccionar esta opción, debe establecer los

tiempos y fechas específicas para instalar las actualizaciones, anulando la configuración en los

equipos cliente.

- Quitar una actualización instalada y apoyar la eliminación.

©

.



Ver Vídeo: Configuración de SSC,


Laboratorio: Configuración de SSC Revisión de política de seguridad local

En un servidor que no sea controlador de dominio:

1) Abra una consola MMC desde Inicio Ejecutar MMC

2) En Archivo haga clic en “ Agregar o quitar complementos “

3) De la lista de complementos desplácese hasta “Editor de directivas de grupo” y dele a “Agregar”

4) En el asistente seleccione por defecto “Equipo local”

5) Aceptar

6) En la consola MMC expanda “Directiva Equipo local”

7) En las configuraciones de equipo Configuración de Windows

8) Sitúese y analice la configuración de seguridad

Revisión de política de seguridad del dominio

En un servidor controlador de domino:

1) Inicio Herramientas administrativas Administrador de directivas de grupo

2) Sitúese sobre el bosque

3) Despliegue dominios

4) Seleccione un dominio y expándalo

5) Sitúese sobre “Default Domain policy” Botón derecho Editar

6) En configuración de equipo vaya a “Directivas” Configuración de Windows Configuración

de seguridad

7) Revise las configuraciones que aparecen y compárelas con la política local

Crear una nueva política de seguridad

En un servidor controlador de dominio

1) Inicio Herramientas administrativas Administrador de directivas de grupo

2) Sitúese sobre el bosque

3) Despliegue dominios

4) Seleccione un dominio y expándalo

5) Sitúese a la altura de la jerarquía donde quiere que se aplique la política de seguridad Botón

derecho “Crear un GPO en este dominio y vincularlo aquí”

6) Escriba un nombre para la política y si depende de una GPO inicial y “Aceptar”

7) Una vez creada la política Botón derecho Editar

8) Cambie las configuraciones pertinentes

9) Realice una prueba de implementación Gpupdate /forcé en los equipos o usuarios afectados.

©

.



Instalación de servicios WSUS

En un servidor en Windows 2008

1) Abra el administrador de servidor

2) Haga clic en funciones botón derecho Agregar función

3) Seleccione Windows Server Update Services Siguiente

4) En el asistente para agregar funciones haga clic sobre “Agregar servicios de función requeridos”

Siguiente

5) Lea la introducción a Servidor Web y Siguiente

6) Siguiente en el resumen de configuración de Servidor Web

7) Lea la introducción a Windows Server Update Services y siguiente

8) Revisión de la instalación e “Instalar”

9) Reinicie el servidor

10) Configure las opciones de primer uso de WSUS

Date post:	03-Aug-2015
Category:	Documents
Upload:	sonibox
View:	240 times
Download:	5 times

90769238 Master Windows Server

Documents