1 / 48

Windows Server 2008 R2: Servicios de red

Código: HOL-WIN64. Windows Server 2008 R2: Servicios de red. Ignacio Sánchez-Beato Paredes isanchezbeato@informatica64.com. Agenda. Introducción Servicios de Red. Necesidades de implementación en entornos Windows. Servicio DNS. Funcionalidad y administración . DNSsec

cyrus-long
Download Presentation

Windows Server 2008 R2: Servicios de red

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Código: HOL-WIN64 Windows Server 2008 R2:Servicios de red Ignacio Sánchez-Beato Paredes isanchezbeato@informatica64.com

  2. Agenda • Introducción • Servicios de Red. Necesidades de implementación en entornos Windows. • Servicio DNS. Funcionalidad y administración. • DNSsec • Servicio DHCP. Implementación, integración con DirectorioActivo. • Failover DHCP • ServicioBranch Caché. • Direct Access (Introducción). • Servicios de acceso a la red: NAS • VPN y RADIUS • NAP (Introducción)

  3. Funcionalidad DNS • Nombres DNS  DIRS. IP => AGENDA TELEFÓNICA • Dominios: • Raíz  . “dot” • Nivel superior  net, com, org,.. • Segundo nivel  microsoft, terra • Subdominio  www, nort, east…. • FQDN  server1.nort.microsoft.net(.)  Nombre inequívoco • Estándares  A-Z, a-z, 0-9, Guión (-)

  4. Tipos de zona en DNS • Zonas de resolución directa • Zona primaria • Zona secundaria • Zona de código Auxiliar • Zonas de resolución inversa • Zona primaria • Zona Secundaria

  5. Tipos de registros DNS • SOA (Start Of Authority) • Principio de autoridad de una zona DNS • NS (Name Server) • Identifican los servidores de nombres de una zona • Host A o AAAA • Para identificar un equipo • CNAME • Alias para cualquier registro • MX • Mail Exchanger – Para los servidores de correo • PTR • Registro de resolución inversa

  6. Administración DNS • Configurar el valor del período de vida • Configurar la caducidad y el borrado • Probar la configuración del servidor DNS • Comprobar que un registro de recursos existe mediante Nslookup.

  7. Cómo funciona el valor del período de vida Los registros de la zona se envían a otros servidores y clientes DNS como respuestas a consultas 1 Los servidores y clientes DNS que almacenan el registro en su caché lo mantienen durante el período de vida que se indica en él 2 Cuando el TTL caduca, el registro se quita de la caché 3 El período de vida(TTL) es un valor de tiempo de espera expresado en segundos que se incluye con los registros DNS devueltos en las consultas DNS Registro de recursos Registro de recursos Zona Caché Caché Servidor DNS 2 autorizado Servidor DNS 1 Cliente DNS TTL configurado en la zona

  8. Cómo configurar el valor del período de vida DEMO: • Ajustar el valor del período de vida para una zona • Ajustar el valor del período de vida para un registro de recursos

  9. Qué son los parámetros de caducidad y borrado La caducidad es el proceso que determina si un registro de recursos DNS anticuado debe quitarse de la base de datos DNS El borrado es el proceso de limpieza y eliminación de datos de nombres anticuados o extintos de la base de datos DNS Un intento de actualización es el proceso en el que un equipo solicita una actualización de su registro DNS

  10. Cómo funcionan la caducidad y el borrado 7 días 7 días 1 ene 8 ene 15 ene Intervalo de actualización Intervalo de noactualización Marca de tiempo Borrar Caducidad

  11. Cómo configurar la caducidad y el borrado DEMO: • Configurar los parámetros de caducidad y borrado en el servidor DNS • Configurar los parámetros de caducidad y borrado en unazona DNS • Habilitar el borradoautomático de los registros de recursosobsoletos en un servidor DNS • Iniciarinmediatamente el borrado de los registros de recursosobsoletos • Vercuándounazonapuedeempezar a borrar los registrosobsoletos • Configurar la marca de tiempo en un registro de recursos DNS

  12. Nslookup Nslookup es una utilidad de línea de comandos que se emplea para diagnosticar la infraestructura DNS

  13. EstamuertoNetbios?

  14. WINS? • En Windows 2008 Server Wins esunacaracteristica • Un gran problema: IPv6 doesn't no entiende de WINS/NetBIOS y vice versa

  15. IPv6 y AAAA • IPv6 traeregistros AAAA ("quad-A") , quemapeanombres de equipo con direcciones IPv6 • Clientes DNS de Vista y 2008 registranautomaticamenterecursos AAAA • Aunquelasdireccionesquecomienzan con "FE80" no se registran en DNS

  16. Carga de zona en segundoplano

  17. Proceso de carga de zonas en Windows 2003 DNS no puede responder hastaque se carganlaszonas de AD

  18. Cambios en DNS serverSoluciones • DNS es ahora multitarea. • No acepta acctualizaciones hasta que se cargan todas las zonas

  19. Post-WINS Single Label Names • Con WINS nospodiamosrefererir a un servidor con server44 en vez de server44.eastcoast.sales.bigfirm.com • En un AD simple, todaviatenemosestacaracteristica • Quepasa en otrosentornos?

  20. Etiquetado simple(en 2003) • Podiamosimplementarunalista de sufijos DNS via GPOs (Computer Config / Admin Templates / Network / DNS Client) • Pero…. • Quepasasi hay multiples server44s? • El clientepara la resolucion DNS tras 12 segundos y despuesacude a WINS

  21. Etiquetado simple en 2008CrearGlobalNames • Crear una zona llamada "GlobalNames" • Todos los servidores DNS autoritativos deben ser Server 2008 • En cada servidor que posea la zona, hay que habilitar la resolucion global name dnscmd /config /enableglobalnamessupport 1 • Añadir CNAMEs • Para asegurarnos de que "server44" siempre devuelva server44.sales.bigfirm.com, crear este GlobalNames: server44 CNAME server44.sales.bigfirm.com

  22. DNAME Simplificando la Migracion Dom2003.local Dom2008.local

  23. DNAME Detalles • Poner el registro DNAME en el dominio antiguo • Deberia apuntar al nuevo dominio • Por ejemplo: Migrar de Dom2003.local->Dom2008.local • Editar la zona Dom2003.local • Añadir un registro “Dom2003.local. DNAME Dom2008.local.” • Efecto: la busqueda de www.Dom2003.local en el servidor DNS retornara el registro de tipo A de www.Dom2008.local

  24. DNAME • No GUI! dnscmd servername /recordadd Linux.com @ DNAME Microsoft.com

  25. DNAME • dnscmd /zoneadd Dom2003.local /primary • dnscmd /zoneadd Dom2008.local /primary • dnscmd /recordadd Dom2008.local S2008M1 A 10.10.1.2 • dnscmd /recordadd Dom2003.local @ dname Dom2008.local • nslookup S2008M1.Dom2003.local

  26. DNSsec • ¿Qué es? • Es una suite de extensión de DNS • RFCs 4033, 4034, y 4035 • ¿Quéhace? • Añadeautoridad de origen • Integridad de datos • Denegaciónautenticada de existencia • Nuevosregistros: • DNSKEY (guarda la clave pública) • RRSIG (Resource Record Signature) • NSEC (Next Secure) • DS (Delegator Signed)

  27. DNSsec • Seguridad • SSL • IPsec • Recursos y rendimiento • Aumenta el uso de CPU para la validación de datos • Aumenta el uso de la red, mayor número de paquetes • Tarda de 3 a 5 veces más en cargar una zona segura con DNSsec que una zona no segura. • Si hay zonas grandes ADI, la base de datos de AD aumenta considerablemente

  28. Desplegando DNSsec • Procedimiento • Firmar una zona • Generar los pares de claves para la zona • DnsCmd /OfflineSign /GenKey /Alg rsasha1 /Flags KSK /Length <length> /Zone <zone name> /SSCert /FriendlyName KSK-<zone name> • DnsCmd /OfflineSign /GenKey /Alg rsasha1 /Length <length> /Zone <zone name> /SSCert /FriendlyName ZSK-<zone name> • Copia de seguridad de las claves • Desde la consola de certificados (MS-DNSSEC) • Firmar la zona • DnsCmd /OfflineSign /SignZone /input <input zone file> /output <output zone file> /zone <zone name> /signkey /ValidTo <validtodate> /ValidFrom <validfromdate> /cert /friendlynameksk-<zone name> /signkey /cert /friendlynamezsk-<zone name> • Si es ADI: dnscmd /ZoneExport <zone name> <input zone file>

  29. Desplegando DNSsec • Procedimiento • Firmar una zona • Recargar la zona • dnscmd /ZoneDelete <zone name> /f • dnscmd /ZoneAdd <zone name> <zone type> /file <zone file name> /load • Si es ADI • dnscmd /ZoneDelete <zone name> /dsdel /f • dnscmd /ZoneAdd <zone name> <zone type> /file <zone file name> /load • dnscmd /ZoneResetType <zone name> /dsprimary • Comprobar la zona • Mediante nslookup • Buscar registro DNSKEY en la consola DNS

  30. DHCP (Dynamic Host ConfigurationProtocol) • Protocolo de configuración dinámica de Host • No sólo configura la IP • Integrado con DNS • Compatible con IPv6 • Preparado para WDS y PXE • Ahora Failovercluster

  31. DHCP – Instalación y configuración • Es un rol de Windows Server 2008 R2 • Configurar los interfaces que responderán peticiones de DHCP • Configuración IPv4 e IPv6 • Añadir ámbitos de DHCP • Autorizar el servidor en un dominio • Configurar opciones de servidor

  32. DHCP - FailOver • Antes para poder disponer de alta disponibilidad de DHCP se tenía que usar la regla del 70-30 • Un servidor con el 30% del ámbito excluido • Otro servidor con el 70% del ámbito excluido • Ahora es posible clusterizar el servicio de DHCP

  33. Servicios de Ficheros en Red • Novedad: Branch Cache • Modelo Distribuido • Modelo Hospedado • Frente a DFS (Distributed File System) • Espacio de nombres • Replicación de ficheros • Diferencias • Reducción del trafico de red • Reducción del espacio de almacenamiento

  34. Branch Cache • Modelo Distribuido

  35. Branch Cache • Modelo Hospedado

  36. Branch Cache - Configuración • Configurar el servidor de Branc Cache • Instalar característica de Branch Cache • Configurar los servidores de Branch Cache mediante GPO • Configuración de equipo, Directivas, Plantillas administrativas, Red, Servidor Lanman. • Habilitar publicación de HASH para BranchCache. • Configurar el servidor de ficheros • Instalar el servicio de rol Branch Cache para el servidor de ficheros • Habilitar Branch Caché para los recursos compartidos

  37. Branch Cache - Configuración • Configurar los equipos para usar Branch Cache • Habilitar BrachCache distribuido a través de las GPOs • Configuración de equipo, Directivas, Plantillas administrativas, Red, BranchCache. • Activar BrachCache • Establecer el modo de Branch Caché (distribuido/hospedado) • Configurar BranchCache para archivos de red • Habilitar reglas de firewall a través de GPOs • Reglas de entrada predefinidas • BranchCache: recuperación de contenido (usa HTTP) • BranchCache: detección del mismo nivel (usa WSD)

  38. (NAS) - Servicios de acceso a redes • Ofrecen acceso a la red de manera local o remota • Permite definir directivas para (NPS): • Autenticación • Autorización • Mantenimiento de clientes • Servicios de enrutamiento y acceso remoto • VPN • Routing • Autoridad de registro de mantenimiento (HRA) • Protocolo de autenticación de credenciales de host (HCAP)

  39. Direct Access – Novedad frente a VPN

  40. Internet DirectAccess Client (Windows 7) DirectAccess Server (Server 2008 R2) Tunnel over IPv4 UDP, HTTPS, etc. Encrypted IPsec+ESP Native IPv6 Encrypted IPsec+ESP IPsec Gateway 6to4 Teredo IP-HTTPS IPsec Hardware Offload Supported

  41. Network Access Protection (NAP) Internet • Redes Interconectadas • Datos Distribuidos • Trabajadores Móviles • Extranet de Negocio • Acceso Remoto • Servicio Web • Wireless • Dispositivos Móviles Perimeter Intranet Customers Web Server X Infrastructure Servers Extranet Server Remote Access Gateway Remote Employees

  42. Network Access Protection (NAP) • Validación de Políticas Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables” • Restricciones de Red Restringe el acceso a la red a los equipos en función de su salud • Remediación Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red • Cumplimientosobre la marcha Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red

  43. Network Access ProtectionFuncionamiento Servidor de Políticas e.g. Patch, AV Fix Up Servers e.g. Patch MSFT NPS RedRestringida DHCP, VPN Switch/Router 1 El cliente solicita acceso a la red y presenta su estado de salud actual Red Corporativa 2 3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS) Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4) 4 5 Si cumple la política al cliente se le permite el acceso total a la red corporativa 3 1 2 No Cumplela Política 4 Cliente Windows Cumple laPolítica 5

  44. Protección LAN con NAP Servidores de Chequeo de Salud Red Restringida Servidores de Remediación Aquí las tienes. ¿Puedo obtener Actualizaciones? Actualización de políticas al servidor NPS Patch Status AV Status ¿Puedo acceder? Aquí esta mi estado de Salud Solicitando Acceso. Mi estado de salud MS NPS Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Tienes acceso restringido hasta que te actualices Según las políticas, el cliente cumple. Permitir Acceso. ¿Debe este cliente ser restringido basándonos en su estado de salud? Se permite el acceso total al Cliente Switch 802.1X Cliente

  45. TechNews

  46. Contactos • Informática 64 • http://www.informatica64.com • i64@informatica64.com • +34 91 665 99 98 • Ignacio Sánchez-Beato Paredes • isanchezbeato@informatica64.com

More Related