Windows 2008 Administrator Server (70-642)-Finalizado
-
Upload
edson-jeancarlo-rueda-socola -
Category
Documents
-
view
16 -
download
0
Transcript of Windows 2008 Administrator Server (70-642)-Finalizado
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
2012
Apuntes para la
preparacin del examen
70-642Configuracin de Infraestructura de red
Windows Server 2008Eduardo Torres Cobos hace constar que es titular intelectual de la obra
denominada Apuntes para la preparacin del examen70-642.
Configuracin de Infraestructura de red Windows Server 2008".Al reutilizar,
reproducir, transmitir y/o distribuir LA OBRA se debe reconocer y dar crdito
de autora de la obra intelectual en los trminos especificados por el propio
autor, y el no hacerlo implica el trmino de uso de esta licencia para los
fines estipulados. Este ebook est registrado bajo Licencia de Creative
Commons http://creativecommons.org/licenses/by/3.0/
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina 2
1. - CONFIGURAR IP ................................................................................................................... 3
1.1.- IPV4 ................................................................................................................................... 3
1.2.- IPv6 .................................................................................................................................. 13
2.- CONFIGURAR LA RESOLUCIN DE NOMBRE .......................................................................... 17
2.1.- LLMNR ............................................................................................................................. 17
2.2.- NET BIOS.......................................................................................................................... 17
2.3.- DNS .................................................................................................................................. 19
2.3.1.- PONER EN FUNCIONAMIENTO UN SERVIDOR DNS .................................................. 19
2.3.2.-PROPIEDADES DE UN SERVIDOR DNS ....................................................................... 20
2.3.3.- CONFIGURAR LOS AJUSTES DEL CLIENTE DNS ......................................................... 21
2.3.4.- CONFIGURAR UNA INFRAESTRUCUTRA DE ZONA DNS ............................................ 21
4.- DHCP ...................................................................................................................................... 26
5.- CONFIGURAR EL ENRUTAMIENTO IP ..................................................................................... 28
6.- VPN ......................................................................................................................................... 30
7.- IPSEC ....................................................................................................................................... 35
8.- NAP ......................................................................................................................................... 37
9.- ACTUALIZACIONES ................................................................................................................. 41
10.- MONITORIZACIN ................................................................................................................ 43
11.-ADMINISTRACIN DE ARCHIVOS .......................................................................................... 44
12.- IMPRESORAS ........................................................................................................................ 47
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina 3
1.- CONFIGURAR IP- Para hacer que un PC que ejecuta Windows XP aparezca en el mapa de red, hay que
instalar el respondedor LLTD en dicho PC
- El uso compartido de archivos habilita el PING, ya que crea excepciones en el Firewallpara el Protocolo para el Control de Mensajes en Internet (ICMP)
- TRUCO DE EXAMEN: Cuando dos ordenadores clientes pueden verse pero no sepueden conectar a nada ms de la red (o de Internet), sospechar de APIPA. O bien hay
un problema con el servidor DHCP de la red o hay una conexin daada con el servidor
DHCP
- Cuando una conexin se configura para que obtenga una direccin automticamente yno hay disponible un servidor DHCP, esta conexin se asignar de forma
predeterminada una direccin en forma 169.254.x..y. Tambin puede definir una
configuracin alternativa que se asignar la conexin en ausencia de un servidor DHCP
- Para probar conectividad de red: Ipconfig, Ping, Tracert, Pathping y Arp1.1.- IPV4
Estrategias para racionalizacin direcciones IPs
- Clases- NAT
o Direcciones privadaso Direcciones publicas
- Mascaraso Subnettingo Supernetting
255.255.0.0 11111111.11111111.00000000.00000000
1Forma parte del identificativo de red
0Forma parte del identificativo de host
Ej: IP 192.168.3.2 Mascara 255.255.255.0
ID de red 192.168.3.0 ID de host: 2 192.168.3.2
Ej: IP 172.16.17.2 Mascara 255.255.0.0
ID de red 172.16.0.0 ID de host: 17.2 192.168.17.2
Para identificar de que clase es la red sin la mscara en binario:
Ej: 172..16.17.2
Se puede ver por el 172. Lo pasamos a binario (172 es 10101100, si fuesen menos de 8 dgitos
se rellena con 0 a la izquierda). Vemos que empieza por 10, por lo tanto es clase B
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina 4
------------------------------------------------------------------------------------------------------------------------------
EJERCICIO: Ahora hay 250 equipos. Se est utilizando el rango de red 192.168.3.0 con
mscara 255.255.255.0. Meten 20 equipos nuevos podr instalarlos dentro de la red sin
comprar nada ms?
SOLUCION: En esta red podremos tener 254 equipos, ya que la parte de mscara
255.255.255.0 indica que 255.255.255 es el ID de red, nos quedaran 254 host
La solucin es hacer supernetting. Agregamos 0 a la mscara. Actualmente la mscara es
11111111.11111111.11111111.00000000 (255.255.255.0). La cambiamos a
11111111.11111111.00000000.00000000 (255.255.0.0) y as podremos meter 254 equipos
ms
CIDR
Podemos obtener la mscara de la siguiente manera
192.168.5.0 / 24Significa que tiene 24 unos, quiere decir
11111111.11111111.11111111.00000000 (255.255.255.0)
IP 192.16.5.3 con mscara 255.255.0.0 sera 192.16.5.3 / 16 porque 255.255.0.0 es
11111111.11111111.00000000.00000000 (16 unos)
VALORES POSIBLES DE UNA MASCARA
Todos los ceros o unos tienen que ir seguidos. Ej: 11111111.1010000.00000000.000000000
nunca podra ser una mscara, ya que lleva unos y ceros intercalados
Los nicos dgitos que valen para una mscara son:
00000000 0
10000000 128
11000000 192
11100000 224
11110000 240
11111000 248
11111100 252
11111110 254
11111111 255
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina 5
255.0.255.0 no es vlida por que en binario es 11111111.00000000.11111111.00000000. Tiene
unos y ceros intercalados, por lo que no es una mscara vlida
Dos equipos se ven si forman parte del mismo ID de red
Ejemplo1:
IP: 173.20.2.1 Mas: 255.255.0.0 IP:173.20.3.1 Mas:255.255.0.0 IP:172.21.3.1 Mas: 255.255.0.0
Se ven el primero y el segundo porque estn en el mismo ID de red (173.20.0.0) y el ltimo no
(172.21.0.0)
Ejemplo2:
IP1: 173.20.2.1/15 IP2: 173.20.3.1/15 IP3:173.21.3.1/15
IP1: 10101101.00010100.00000010.00000001
Mascara1: 11111111.11111110.00000000.00000000
Id red1: 173.20.0.0
El Id de red se obtiene haciendo un and entre el 00010100 y el 11111110. Sale 00010100 (es
20)
IP2: 173.20.3.1
Mascara2: 255.254.0.0
Id red2: 173.20.0.0
El Id de red se obtiene haciendo un and entre el 254 y el 20 (habindolo pasado a binario
antes). En este caso sale 20
IP3:173.21.3.1
Mascara3: 255.254.0.0
Id red3: 173.20.0.0
EXCEPCIONES IPV4
- No utilizar el rango 127.0.0.0/8- No se puede utilizar todo ceros o todo unos en la parte de host. Todos ceros es el
identificativo de red y todo unos es la direccin de Broadcast. Ej. 192.168.3.0/24 tiene
como id de red 192.168.3.0 y de direccin de Broadcast 192.168.3.255
- Rango APIPA169.254.0.1/16- 0.0.0.0
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina 6
PROTOCOLOS IPV4
ARPEn la capa de Red nos encontramos con el protocolo ARP. Este protocolo pasa
de la MAC a la IP y de la IP a la MAC
Con la MAC vamos a trabajar siempre en base 16. (0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F)
. Ej: 4A es en vinario 0100 1010 y en decimal 4,10
Con el comando arpa vemos los equipos con los que nos hemos conectado por MAC
Ej: hago ping a 192.16.20.13
Ahora hago arpa
Me aparece su equipo con su MAC, as como los dems dispositivos que se han conectado con
mi equipo. (mi IP es 192.16.20.16)
El comando arp es para entornos de rea local. No traspasa router
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina 7
TTL Es el tiempo de vida
TRACERTTe dice el nmero de routers por los que pasa antes de llegar a la
direccin
Hacemos un tracert awww.google.com
En este caso vemos que ha pasado por 10 routers
PATHPINGCalcula el porcentaje de paquetes perdidos en el envo total. Hacemos
un pathping awww.google.com
http://www.google.com/http://www.google.com/http://www.google.com/http://www.google.com/http://www.google.com/http://www.google.com/http://www.google.com/http://www.google.com/ -
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina 8
Vemos los porcentajes de paquetes que ha perdido al pasar por cada router. Vemos en
algunos casos que se han perdido el 100% de los paquetes en algunos casos. Si esto fues
verdad no habra conexin. Seguramente tengan deshabilitado el IGMP
SUBNETING
Una red dividida en varias
- Optimizacin- Seguridad- Elevado nmero de equipos
El objetivo es obtener los rangos de direcciones as como obtener una mscara adecuada.
Objetivos:
- Obtener la nueva mscara- Obtener los rangos de direccin
Ejemplo. De la red 172.16.0.0/16 puedo sacar 254 subredes tipo 172.16.1.0/24;172.16.2.0/24;
172.16.3.0/24;172.16.4.0/24; etc
Un subneting consiste en agregar unos a la mscara y eliminar ceros a la mscara
OBTENER NUEVA MSCARA
EJERCICIO: Cuntos equipos podemos instalar en la red 192.168.8.0/23?
SOLUCION:
Mascara: 255.255.254.0
Hay 23 unos en la mscara. Una direccin de red tiene 32 posiciones
32-23 = 9 ceros 292*510 IPs disponibles
*Hay que quitarle 2 siempre
EJERCICIO: Cuntos equipos podemos instalar en la red 172.16.16.0/22?
Mascara: 255.255.252.0
SOLUCION:
Hay 22 unos en la mscara. Una direccin de red tiene 32 posiciones
32-22 = 10 ceros2102*1022 IPs disponibles
*Hay que quitarle 2 siempre
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina 9
Pasos a seguir:
1.- Obtener la nueva mscara de red
2.- Comprobar que el nmero de host es soportado por la nueva mscara
EJERCICIO: Te dan la red 128.1.0.0/16. Tienes que meter 5000 equipos y obtener 3 subredes
SOLUCION:
1.- 2n-2 >= 3, donde n es el nmero de unos que voy a agregar a la mscara y 3 es el nmero de
subredes que nos piden
En este caso el menor nmero que puede ser n es 323-2>=3
La mscara sera 16+3=19
2.- 32unos19unos = 13 ceros 213-2 = 8192>= 5000
EJERCICIO: Tenemos 192.168.3.0/24. Se quieren obtener 5 redes de 30 equipos cada una
SOLUCION:
1.- Obtener mscara:
20-2=1 no es >=5
21-2=0 no es>=5
22-2=2 no es >=5
23-2=6>=53 es el nmero de unos que hay que agregarle a la mscara
Es /24, le sumamos 3 27. Las subredes seran /27 (255.255.255.224)
3227= 5Le sumamos 5 ceros a la mscara 25-2= 30Justo podramos poner 30
equipos por subred
EJERCICIO: Tenemos 125.0.0.0/8. Se quieren obtener 600 redes de 7000 Host cada una
SOLUCION:
1.- Obtener mscara:
210-2=1022 >= 600 --> 10 es el nmero de unos que hay que agregarle a la mscara
Es /8, le sumamos 10 18. Las subredes seran /18 (255.255.192.0)
32-18=14 cerosLe sumamos 4 a la mscara 214-2= 16382 equipos
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina10
OBTENER LOS RANGOS DE DIRECCIN
EJERCICIO: Tenemos 128.1.0.0/16. Se quieren obtener 3 subredes de 5000 puestos cada uno
SOLUCION:
La mscara ya la hemos obtenido en el primer ejercicio. Sera 255.255.224.0 (se agregaron 3
bits)
1.- Tabla con el nmero de unos que agrego a la mscara:
23=8 . Son ocho valores:
0000
1001
2010
3011
4100
5101
6110
7111
Como estamos utilizando RFC 1878, eliminamos 2 (por eso en los ejercicios anteriores hemos
restado 2 a 2n). Por lo tanto nos quedaran:
1001
2010
3011
4100
5101
6110
Para sacar los rangos, la parte 128.1 NO SE TOCA
La primera direccin del primer rango sera
01000000.00000001.00100000.0000001 (128.1.32.1)
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina11
La ltima direccin del primer rango sera
01000000.00000001.00111111.11111110 (128.1.63.254)
La primera direccin del ltimo rango sera:
01000000.00000001. 11000000.00000001 (128.1.192.1)
La ltima direccin del ltimo rango sera:
01000000.00000001. 11011111.11111110 (128.1.223.254)
EJERCICIO
Tenemos la red 125.0.0.0/8
1.- Calcular la mascara 600 subredes de 7000 host
2.- Calcular primer y ultimo rango
SOLUCION
1.- 2n-2 >= nmero de redes
2102 >=600
Sumo 10 unos. 10+8 = 18
CIDR/18. Notacin decimal 255.255.192.0
N host por red: 32bits totales18 unos de la mascara= 14 214-2= 16382 >= 7000
- Mtodo cientfico para sacar los unos que hay que agregar a l a mascaran>=ln(x+2)/ln2
nnmero de unos
lnlogaritmo neperiano
xnmero de subredes que queremos sacar
2es dos, esto nunca vara
2.- Sera de 0000000000 a 1111111111 (de 0 a 1023 en decimal). Estos dos los quitamos, por
ser el primero y el ltimo
Primer rango:
Se le hace un and con 0000000001 que es la primera posicin y a que la 0000000000 la hemos
quitado
125.00000000.01000000.0000000001
125.00000000.01111111.11111111
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina12
La parte en negrita es el and entre la ip y la primera posicin (0000000001)
Ultimo rango:
Se le hace un and con 1111111110 ya que hemos quitado el ltimo 1111111111
125.11111111.10000000.00000001
125.11111111.10111111.11111110
La parte en negrita es el and entre la ip y la ultima posicin (1111111110)
Ejercicio 15 de la fotocopia
a)255.255.192.0
las mscaras de clase A son por defecto 255.0.0.0
Lo que se ha agregado en este caso a la clase A es 255.192 11111111.1100000 (tengo 10
unos)
210-2 = 1022 redes
EJERCICIO
Tenemos la red 172.30.0.0/16
1) Calcular 50 redes de 1000 host cada una2)
Calcular los 5 primeros rangos3) Cuntas direcciones IP se han perdido por la segmentacin?
4) Completar el esquema de redEJERCICIO
Si tenemos la red 192.168.0.0/24 y tenemos 250 host. Se han adquirido 514 equipos solucin
ms barata y con menos carga administrativa? Razonar respuesta y otras alternativas
SUPERNETTING
Se trata de fusionar dos redes
Ej. Tenemos las redes 192.168.193.0/24 y 192.168.201.0/24. Las podramos fusionar con la
mscara /16, ya que el ID de red quedara 192.168.0.0, o con la mscara /8, ya que el ID de red
quedara 192.0.0.0 pero lo que tenemos que buscar es la mscara ideal
Lo haremos de la siguiente manera:
192.168.193.0 = 11000000.10101000.11000000.00000000
192.168.201.0=11000000.10101000.11001001.00000000
La parte en negrita es igual
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina13
Para sacar la mscara, ponemos la parte en negrita como unos y el resto como ceros, por lo
tanto saldra:
11111111.11111111.11110000.00000000 255.255.240.0
No se podra hacer supernetting entre dos redes que no empiecen igual. Ej
10.10.0.0/16 00001010.00001010.00000000.00000000
y
172.16.0.0/16 10101100.00010000.00000000
No coincide el primer octeto, no se puede hacer supernetting
1.2.- IPv6
Es un protocolo que sustituye a IPv4 en la capa de internet. Lo dems es igual
Aplicacin HTTP FTP SMTP DNS POP3 SNMP
Transporte TCP UDP
Internet IPv4 IPv6
Enlace/Fsico Ethernet Token Ring FrameRelay
ATM
- Las direcciones IPv6 tienen 128 bits, a diferencia de los 32 bits de IPv4- Se muestra en hexacedimal- Se puede utilizar la compresin de ceros- Utiliza prefijo para determinar la parte de red (no utiliza mscaras)
o Nomenclatura_: Son 128 bits en bloques de 16, por lo que son 8posiciones:1:2:3:4:5:6:7:8
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina14
Nomenclatura
No se trabaja en base decimal, se trabaja en base hexadecimal (base16)
HEXADECIMAL BINARIO DECIMAL
0 0000 01 0001 1
2 0010 2
3 0011 3
4 0100 4
5 0101 5
6 0110 6
7 0111 7
8 1000 8
9 1001 9
A 1010 10
B 1011 11C 1100 12
D 1101 13
E 1110 14
F 1111 15
Importante: La direccin retroalimentada en IPv6 es ::1 (simplificada), para IPv4 es 127.0.0.1
- Ejemplo de simplificacin2001:0000:0000:2F3B:0000:0000:FE28:095A
Simplificada sera 2001::2F3B:0:0:FE28:95A 2001:0:0:2F3B::FE28:95A
No valdra 2001::2F3B::FE28::95A porque el sistema no sabe que has simplificado. Slo puedes
simplificar una parte
Ejemplo de IPv6:
2001:0DB8:0000:0000:02AA:00FF:FE28:9C5A/64
64 entre 16 son 6, por lo que quiere decir que las cuatro primeras posiciones son el ID de red y
el resto el ID de host
2001:0DB8:0000:0000 ID de red
02AA:00FF:FE28:9C5A ID de host
- Direccionamiento IPv6 incluye:o Unicast: Equivalente a unicast IPv4o Multicasts: Tipo unicast adicionalo Anycast: Equivalente a multicast IPv4
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina15
- Neighbor Discovery: Sustituye a ARP, es un conjunto de mensajes y procesos paradeterminar la relacin entre los nodos vecinos
- Direccionamiento Unicast IPv6o Direccionamiento Global : Se utilizan en redes pblicaso Direccionamiento Link-Local : Son enrutables, pero solo para redes privadaso Direccionamiento Unique Local : Son autoconfigurables que slo proporcionan
conectividad limitada
o Direcciones especiales
Tipo de direccinEquivalencia
IPv4Prefijo en binario
Prefijo enhexadecimal
Global Pblicas 001 2 3Link-local APIPA 1111 1110 10 FE8
Site-local (descatalogada)Privada
1111 1110 11 FEC0
Unique-local (ULA) 1111 110 FC FD
Multicast Multicast 1111 1111 FF
- Direccionamiento privado-pblicoo Rangos privados:
10.0.0.0 hasta 10.255.255.255 172.16.0.0 hasta 172.31.255.255
o Rangos pblicos Las no privadas, excepto rango APIPA y rango retroalimentado
A veces lleva un sufijo de red (%x). Es el identificativo de tarjeta de red, pero no hace falta
ponerlo
- NetBIOSo No soporta NetBIOSo No existen servidores WINSo Nuevo concepto: Zonas Globales en DNSo En Windows existe el descubrimiento automtico (deshabilitado por defecto)
- DNSo El DNS de Windows 2008 soporta AAAAo Dominio IP6.INT para consultas inversas
PREGUNTAS TIPO EXAMEN
- Qu tipo de direccin ipv6 existen y como se llaman en ipv4?Globales, link-local, unique local (ULA), multicast en ipv6
Pblicas, APIPA, Privada, multicast en ipv4
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina16
- Qu es un DNS?Domine Name Server. Directorio en el que se asocia la ip a nombre de equipo y
nombre de equipo a nombre
- Cmo se denominan en ipv6 los registros A del DNS?AAAA
- Cmo se llama el servicio que me permite automatizar la asignacin de direccionesipv6? Existe en 220003 para ipv6? Existe en w2008?
DHCPv6,
No existe en w2003, existe slo DHCPv4
S
- Cmo se llama el servicio que me permite gestionar un directorio de direcciones ip ynombres NetBios? Explica brevemente cmo lo haras en w2003 Cmo lo haras en
w2008 si utilizas ipv6?
WINS
Instalando el servicio wins
Con zonas Globales (global names)
CONVIVIR IPv4 CON IPv6
- ISATAP (Microsoft lo implementa)Comunica una LAN IPv4 con una LAN IPv6- Teredo (Microsoft lo implementa)Es un protocolo de tunelamiento que permite a
los clientes ubicados tras un dispositivo NAT IPv4 utilizar IPv6 sobre Internet
- 6 To 4 (No Microsoft, enrutadores)Comunica un PC IPv4 con un PC IPv6
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina17
2.- CONFIGURAR LA RESOLUCIN DE NOMBRE
2.1.- LLMNR- Slo se utiliza en Windows Server 2008 y Windows Vista- Multidifusin IPv6 en la misma Subred
2.2.- NET BIOS- Cache NetBioscomando nbtstat- Broadcast- LMHOST (esttico)Tiene que estar habilitado para que funcione. Es el
fichero donde pongo IP y nombre en un listado, para que al hacer ping al
nombre, te diga la IP- WINS (dinmico)
Es una caracterstica. Hay que poner IP esttica
DHCP
Cliente WINS
Manualpropiedades avanzadas TCP/IP
- Pasos a seguir:0. Le pongo al servidor WINS con IP esttica1. Instalar la caracterstica WINS en Server ManagerAdd feature2. Configurar el cliente WINS del Servidor WINS. OJO Debemos tener
habilitado Enable burst handling (rfagas)
3. Replicacin. Lo ms crtico es el modo de replicacin Insercin (push). Cambios Lneas rpidas Extraccin (pull). Por tiempo Lneas lentas (menos de 512
Kbps)
Truco de examen: Cuando hay varios servidores WINS en una organizacin grande, hay
que configurar la replicacin entre ellos para que cada BBDD WINS se encuentre
actualizada
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina18
TIPOS DE NODOS NET BIOS
PEER TO PEER (P) BROADCAST (B) MIXTO (M) HIBRIDO (H)
Cach NetBios Cach NetBios Cach NetBios Cach NetBios
Servidor WINS Broadcast Broadcast Servidor WINS
LMHOST LMHOST Servidor WINS Broadcast
LMHOST LMHOST
COMPORTAIMIENTO:
- Si en las propiedades de TCP/IP no se define servidor WINS B- Si en las propiedades de TCP/IP s se define servidor WINSH
NOMBRE NETBIOS:
15 caracteres + 1 de control
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina19
2.3.- DNS
Concepto DNS: es una base de datos jerrquica y distribuida
En general, un cliente DNS que necesita resolver un nombre DNS primero compruebasu cache local para hallar la respuesta. Si no encuentra la respuesta, el cliente DNS
consulta a un servidor DNS preferido. Si el servidor DNS no puede resolver la consulta
a travs de su autoridad o de los datos de la cach, el servidor DNS intentar resolver
la consulta realizando consultas repetitivas al espacio de nombre DNS, comenzando
por el servidor raz
- FQDN: Nombre totalmente cualificado- URI=FQDN+servicio distribuido (URL=http://FQDN)- UNC:\\servidor\recursocompartido- SMB: Protocolo de intercambio de ficheros
ROOT
TOP-LEVELDOMAIN Net Com Org
SECOND-LEVELDOMAIN Newtraders
SUBDOMAIN West South East
Sales Host: Server1
FQDNServer1.sales.south.newtraders.com
- El DNS no gestiona sufijos DNS, lo que realmente gestiona son las zonas2.3.1.- PONER EN FUNCIONAMIENTO UN SERVIDOR DNS
- Para poner en funcionamiento un servidor DNS, se puede hacer con dcpromo(a la vez que se asciende un servidor a DC. En este caso el servidor DNS y la zon
http://servidor/recursohttp://servidor/recursohttp://servidor/recursohttp://servidor/recurso -
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina20
a de bsqueda directa albergada se configuran automticamente) o despus de
hacer el dcpromo (habr que agregar y configurar una o ms zonas de
bsqueda directa)
- En versin Server Core, se necesita un fichero de salida al ejecutar dcpromo- Servidor DNS de cach (caching-only server): Se utiliza cuando se quiere
mejorar la resolucin del nombre de una oficina rama (con lneas lentas). No se
requiere experiencia tcnica y normalmente se pone en branch office
(permitira a los usuarios de la oficina canalizar sus consultas de DNS a travs
de un solo servidor y crear una gran pila de consultas en la cach. Las consultas
repetidas se resuelven en el servidor de cah en vez de a travs de internet)
2.3.2.-PROPIEDADES DE UN SERVIDOR DNS
- Interfaces Tab: Permite especificar cul de las direcciones IP del ordenadorlocal debe escuchar el servidor DNS para obtener consultas DNS. Por defecto, laconfiguracin de esta pestaa especifica que el servidor DNS escucha todas las
direcciones IP asociadas con el ordenador local
- Root Hints Tab: Contiene una copia de la informacin que se encuentra en elarchivo WINDOWS\System32\DNS\Cache.DNS. Para los servidores DNS que
responden consultas de nombres de Internet, esta informacin no tiene que
modificarse. Cuando se configura un servidor DNS raz (.) para una red
privada, se debe eliminar todo el archivo Cache.DNS
- Forwarders Tab: Permite configurar el servidor DNS local para re-direccionar lasconsultas DNS que recibe a servidores DNS superiores, llamadosredireccionadores
o Cundo utilizar los re-enviadores: Si la organizacin est conectada a Internet a travs de un
vnculo lento, se puede optimizar el rendimiento de la resolucin
de nombre canalizando todas las consultas DNS a travs de un
renviador
Permite a los clientes y servidores DNS que se encuentrandentro de unfirewall resolver con seguridad nombres externos
o Cundo utilizar el re-envo condicional: Cuando se fusionan dos redes separadas. Para que los clientes
de cada compaa resuelvan consultas para los nombres de la
red opuesta, el re-envo condicional est configurado en los
servidores DNS de ambos dominios. Las consultas para resolver
nombres en el dominio opuesto se reenviarn al servidor DNS de
dicho dominio. Todas las consultas de Internet se direccionan al
siguiente servidor DNS superior que se encuentra tras elfirewall
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina21
2.3.3.- CONFIGURAR LOS AJUSTES DEL CLIENTE DNS
- En DNS, el nombre del ordenador se denomina nombre de host. ste es unnombre de una sola etiqueta que se puede descubrir escribiendo el comando
hostname en un smbolo del sistema
- El sufijo DNS primario permite a un cliente registrar automticamente supropio registro de host en la zona DNS cuyo nombre corresponde con el
nombre de sufijo DNS primario. El cliente tambin agrega al sufijo DNS primario
a las consultas DNS que todava no incluyen un sufijo. Un sufijo especfico de la
conexin slo se aplica a conexiones a travs de un determinado adaptador de
red
- Se puede configurar un cliente DNS para que especifique una lista de sufijosDNS para agregar nombres sin clasificar. Esta lista se conoce como lista de
bsqueda de sufijos DNS
- Los clientes pueden registrar sus propios registros en DNS slo cuando estnconfigurados con un sufijo DNS primario o especfico de la conexin que
coincide con el nombre de la zona albergada en el servidor DNS referido. Por
defecto, los clientes DNS que tienen asignadas direcciones estticas intentan
registrar tanto registros de host como de enlace. Los clientes DNS que tambin
son clientes DHCP slo intentan registrar registros de host
2.3.4.- CONFIGURAR UNA INFRAESTRUCUTRA DE ZONA DNS
2.3.4.1.- CREAR Y CONFIGURAR ZONAS
- Para forzar a un cliente DNS para que realice una actualizacin dinmica, utiliceel comando Ipconfig / registerdns
- Cuando creas una zona estndar, quiere decir, sin integrar en AD, se creanficheros de texto dentro la zona
LNEA LENTA LNEA RPIDA
Zonasprimarias/secundarias
NO SI (no Windows)
Zonas integradas en DA NO/SI SI
Zonas delegadas SI NO/SI (depende jerarqua)Zonas auxiliares SI NO
Redirectores SI NO (normalmente)/SI
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina22
ADMINISTRACIN DE ZONAS
Una zona es una porcin del espacio de nombre para la cual el servidor es autoritario.
Por ejemplo, el servidor DNS que alberga la zona fabrikam.com puede resolver
nombres de forma autoritario como server2.fabrikam.com
- Directas (99%): Devolver IP a partir de nombresForward- Inversas: Devolver nombres a partir de IP Reverse- Dentro de los dos tipos de zonas, hay otros 2 tipos
o Primariaso Secundarias
Primarias
Directas
Secundarias
ZONAS DNS
Primarias
Inversas
Secundarias
- Zonas primarias slo hay una (lectura/escritura): proporciona datos de origende lectura y escritura originales que permiten que el servidor DNS local
responda a las consultas DNS de forma autoritaria en una porcin del espacio
de nombres DNS
- Zonas secundarias hay de 0 a N (slo lectura). Son rplicas de las zonasprimarias. Proporciona una copia autoritaria de solo lectura de una zona
primaria o de otra zona secundaria
- Zona de rutas internas (stub zone): es parecida a una zona secundaria, peroslo contiene aquellos registros de recursos necesarios para identificar los
servidores DNS autoritarios de la zona maestra
- Tipos de registros DNS:o ATraduce nombres de servidores de alojamiento a direcciones IPv4o AAAATraduce nombres de servidores de alojamiento a direcciones
IPv6
o PTRTraduce IPs en nombres de dominioo NSEspecifica un servidor que es autoritario en una zona
determinada
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina23
o CNAMEMisma IP distintos nombres. Tambin puede haber locontrario: Mismo nombre a distintas IPs (Round Robin)
o MXUbica un servidor de correo dentro de una zonao SOAStart Of Authority
Serial number: Este nmero incrementa cada vez que cambia unrecurso en la zona o cuando incrementa el valor de forma
manual, haciendo clic en el botn Increment (cuando hacemos
clic en este botn, forzamos una transferencia de zona)
Primary Server: Contiene el nombre completo del equipo delservidor DNS primario de la zona. Este nombre debe terminar
con punto
Responsible person: Nombre de la persona responsable o correo Refresh Interval: Es el tiempo que espera un servidor DNS
secundario antes de consultar una renovacin de zona alservidor maestro. Cuando expira este tiempo, el servidor DNS
secundario solicita una copia del registro SOA. Luego compara el
serial number del maestro con el suyo local, si son diferentes, el
servidor DNS solicita una transferencia de zona. Aumentar el
intervalo de actualizacin disminuye el trfico de la zona
Retry interval: es el tiempo que espera un servidor secundarioantes de reintentar una transferencia de zona fallida
Expires After: Es el tiempo que un servidor secundario, sinningn contacto con su servidor maestro, contina
respondiendo a consultas de los clientes DNS
Minimum TTL: Es el TTL que se aplica a todos los registros derecurso de la zona
CADUCIDAD Y BORRADO
- Caducidad (aging)Se refiere al proceso de utilizar etiquetas de tiempo para realizarun seguimiento de la edad de los registros de recursos que se han registrado
dinmicamente
- Borrado (scavening)Se refiere al proceso de eliminar los registros de recursosobsoletos en los que se han colocado marcas de tiempo. Slo puede tener lugar
cuando se ha activado la deteccin
- Modificar las propiedades de caducidad /borrado de la zona:o Modificar el intervalo sin actualizacin (no-refresh interval): El intervalo sin
actualizacin es el periodo tras una marca de tiempo en el cual una zona oservidor rechaza una actualizacin de la etiqueta de tiempo. La caractersticasin actualizacin previene al servidor de procesar actualizaciones innecesariasy reduce la transferencia de trafico innecesario de la zona
o Modificar los intervalos de actualizacin (refresh interval): El intervalo deactualizacin es el tiempo tras el intervalo sin actualizacin durante el cual se
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina24
aceptan las actualizaciones de la marca de tiempo y los registros de recursosno se eliminan. Despus de que expire en los intervalos sin actualizacin y deactualizacin los registros se pueden borrar de la zona
o El intervalo de actualizacin debe ser igual o mayor que el intervalo sinactualizacin
ZONAS GLOBALES
Solo es compatible con servidores DNS que estn ejecutando Windows Server 2008, no
puede replicarse en servidores que ejecutan versiones anteriores de Windows Server
- Se utiliza para facilitar la resolucin de nombres de equipo de una etiqueta enuna red grande
- No registran nombres dinmicamente- Es obligatorio poner zona global cuando no tienes wins y quieres resolver
nombres de etiqueta (Ej.:\\servidor01)- Hay que activarlo en cada servidor DNBS en el cual se replicar la zona de
nombres globales
- No es una zona especial, es una zona de bsqueda directa integrada en AD quese llama nombres globales
- Para cada servidor que desee que sea capaz de proporcionar resolucin denombre de una etiqueta, hay que crear un registro de alias (CNAME) en la zona
de nombres globales. El nombre que le proporcionamos a cada registro CNAME
representa el nombre de una etiqueta que debern utilizar los usuarios para
conectarse al recurso
2.3.4.2.- CONFIGURAR UNA INFRAESTRUCUTRA DE ZONA DNS
- La replicacin de zona se refiere a la sincronizacin de los datos de zonasintegradas en AD
- Una particin es una estructura de datos de AD que distingue los datos paradiferentes propsitos de replicacin. Por defecto, los DC incluyen dos
particiones de directorio de aplicaciones reservadas para datos DNS:
DomainDnsZones (se replican entre todos los DC que tambin son servidores
DNS de un dominio determinado) y ForestDnsZones (se replica entre todos los
DC que tambin son servidores DNS en cada dominio de un bosque Active
Directory)
- Tambin puede crear particiones de directorio definidas por el usuario con elnombre que desee. Entonces, puede configurar una zona para que se almacene
en esta nueva estructura que ha creado
http://servidor01/http://servidor01/http://servidor01/http://servidor01/ -
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina25
- La particin en la cual se almacena una zona determina el mbito de replicacinde dicha zona
- Las transferencias de zona esencialmente son operaciones de extraccin que seinician en zonas secundarias que copian datos de zona de una zona maestra
(puede ser primaria o secundaria). De forma predeterminada, las transferenciasde zonas estn desactivadas en cualquier zona
- Puede utilizar zonas de rutas internas (stub zones) para mantener actualizada lainformacin de zona o para mejorar la resolucin de nombre entre dominios
dentro de un gran espacio de nombre DNS
DELEGACIN DE ZONA
DC1 SRV1
- Zonas auxiliares (stub): Slo sube de la SOA y Registros DNS. Es como unadelegacin, pero slo entiende de SOA y Registros DNS*Para el examennormalmente si aparece la palabra STUB, esta es la
correcta
2.3.4.3.- DNSSEC
- DNSSEC permite a un servidor DNS firmar digitalmente los registros de recursosen sus zonas
- Trust anchors son las claves pblicas de otras zonas que se utilizan para validaruna firma digital registros procedentes de dichas zonas y de subdominios
delegados que son tambin DNSSEC-compatible. Un servidor DNS configurado
con DNSSEC debe haber configurado en al menos un Trust anchor desde una
zona remota
- Se utiliza Group Policy para configurar clientes DNS para solicitar la validacinDNSSEC
- Se utiliza el comando Dnscmd para crear las keys necesarias para DNSSEC ypara firmar la zona con estas keys
Azpe.es (primaria)
madrid
Azpe.es
(secundaria)
Madrid.azpe.es
(primaria)
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina26
4.- DHCP- Se debe instalar en mquinas que solo tengan una tarjeta de red. Es
importante que la tarjeta de red est dentro del mbito de red donde quieres
distribuir IPs
- Las opciones DHCP se asignan normalmente a un mbito completo, perotambin se pueden asignar a nivel del servidor y aplicarse a todas las cesiones
dentro de todos los mbitos definidos en una instalacin de servidor DHCP.
Finalmente, tambin pueden asignarse en trminos de equipo en nivel de
reserva. Por ejemplo, si queremos que una opcin se aplique en todos los
mbitos, concesiones y reservas, se debe definir el mbito a nivel de servidor
(herencia)
- Antes de que un servidor DHCP en el entorno de un dominio pueda concederdirecciones desde un mbito existente a cualquier cliente DHCP, primero hayque autorizar el servidor y activar el mbito
- Clase de usuario predeterminada: es una clase a la que pertenecen todos losclientes DHCP y la clase en la que se crean las opciones de forma
predeterminada. Las opciones particulares asignadas a travs de la clase de
usuario predeterminada pueden quedar invalidadas por otras opciones
definidas en otras clases. Despus de crear una clase de usuario personalizada
y de asignarle opciones, se puede asignar a un cliente a la clase utilizando el
comando Ipconfig /setclassid
- mbito: rango de IPs que asigna el DHCPExplcita (lo reservo en DHCP)
- IPs estticasImplcita (no meto esas IPs dentro del mbito)
- IMPORTANTE: Si algn da tienes que cambiar la mscara, tienes que eliminar elmbito y volverlo a crear, no hay otra opcin
- Para finalizar una concesino en un equipo ipconfig /relaseo en muchos equiposdesde la consola DHCP
- Exclusin: es una direccin dentro del rango de direccin de un mbito que nose puede conceder a los clientes DHCP. Puede utilizar las exclusiones para
hacer que el rango de direcciones de un mbito sea compatible con las
direcciones estticas que ya estn asignadas a los ordenadores de una red
- Reserva: Segn la MAC, se asigna una configuracin IP. Esta configuracin UOno puede estar excluida
o Opciones de servidor -
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina27
o Opciones de mbitoo Opciones de reserva prioridado Clases +
- Tolerancia a fallos DHCPo Ms de un DHCPo Agentes de retransmisin DHCPo Cluster> Esta es la mejor opcin
- Implementar clases de usuarios:o Ipconfig /set classid [adaptador de red]
- Tolerancia a fallos DHCP:o Mas de un DHCPo Agentes de retransmisin DHCPo ClusterEsta es la mejor
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina28
5.- CONFIGURAR EL ENRUTAMIENTO IP
- La direccin IP de un enrutador siempre debe estar en la misma subred que elordenador. Por ejemplo, un ordenador con la direccin IP 192.168.1.10 y lamscara de subred 255.255.255.0 puede tener un enrutador con la direccin IP
192.168.1.1. Sin embargo, un enrutador con la direccin IP 192.168.2.1 no
servira debido a que el enrutador se encuentra en una subred diferente, y para
comunicarse con una subred remota un ordenador necesita enviar paquetes a
un enrutador
- El enrutamiento le permite a los enrutadores re-direccionar trfico entre ellospara permitir que se comuniquen los clientes y los servidores de diferentes
redes
- Cuando se activa RIP, se permite a Windows Server 2008 anunciar rutas haciaenrutadores cercanos y detectar automticamente los enrutadores cercanos y
las redes remotas
- Los enrutadores utilizan protocolos de enrutamiento para comunicar rutasdisponibles, adems de para comunicar cambios como vnculos errneos.
Windows Server 2008 soporta RIP v2, el cual puede activar instalando la
funcin de servicio Enrutamiento y acceso remoto (Routing and Remote Access
Services role service)
- La direccin IP de destino del paquete nunca cambia; siempre est fijada en ladireccin IP del ordenador objetivo. Para re-direccionar paquetes hacia un
enrutador sin cambiar la IP de destino, los ordenadores utilizan la direccin
MAC. Por lo tanto, mientras el paquete se re-direcciona entre redes, las
direcciones IP de origen y de destino nunca cambian. Sin embargo, las
direcciones MAC de origen y de destino se reescriben en cada rede entre el
cliente y el servidor
- Las rutas estticas son necesarias cuando hay conectadas varias puertas deenlace a la red local, y una o ms de ellas no actan como puerta de enlace
predeterminada
COMANDO IMPORTANTE
Para ver la tabla de enrutamiento
route print
Si un enrutador vecino con la direccin IP 192.168.1.2 proporciona acceso a la red
10.2.2.0/24, ejecutara el siguiente comando para agregar una ruta esttica a la red
route add
p 10.2.2.0 MASK 255.255.255.0 192.168.1.2
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina29
Con el comando route add, primero se pone la red de destino y a continuacin la
mscara de subred. Finalmente se pone el enrutador que se utilizar para
acceder a la red remota
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina30
6.- VPN
TRUCO DE EXAMEN: Cuando pregunten por EAP, esa es la correcta
METODOS DE ACCESO A REDES REMOTAS
NASNetwork Access Server, servidor de VPN
Intento de conexin
Aplicar la
configuracin
ConexinRestricciones
FIN DE LA
CONEXIN
Permisos
Concedidos
Coincide la
condicin?
Hay directivas?
IP Pblica IP Privada
NO
SI
SI
SI
NO
NO
NO
SI
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina31
Arquitectura:
1.Acceder al NAS nicamente2.Acceder a la red local
a. Validacin en el DA (Autenticacin)b. Autorizar (Autorizacin)c. Determinar el protocolo de VPN
- PPTP:Microsoft. Es muy fcil de instalar, pero los problemas sonque no autentica al cliente y esta muy obsoleto.
- L2TP:Utiliza IPSec- SSTP:Usa certificado https. Requiere IIS- IPSec:Externalizacin
d. DirectivasRADIUS
1.Ping cliente externo a DC Interno2.Instalar
a. VPNb. Enrutamiento
3.Agregar el NAS al grupo de dominio RAS and IAS Servers4.Habilitar la VPN y el router5.Configuracin TCP/IP Clientes6.Si no hay Radius, el permiso de marcado (Dial Up) tiene que estar Allow7.Crear cliente VPN
Cliente 1
SRV1 (NAS)
Domain
Controler
10.10.0.10/16
IP Pblica
80.0.0.1/2
IP Privada
10.10.0.24/16
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina32
DIRECTIVAS DE ACCESO REMOTO (Muy Importante)
- Condiciones: por ejemplo, grupos Windows- Permisos: de usuarios- Perfiles: mantenimiento, conexin y otros
CONDICIONES
1.- Ms restrictiva
Permitir
2.- Menos restrictiva
3.- Ms restrictiva
Denegar
4.- Menos restrictiva
ENTIDADES CERTIFICADORAS
- PKIInfraestructura de clave pblica- Tipos de cifrados:
o Simtrico: la misma palabra de paso para cifrar que para descifraro Asimtrico: diferentes palabras de paso para cifrar y descifrar
SIMTRICO
Palabra de paso (clave) Palabra de paso (clave)
- Caractersticas:o Rpidoo Compacto
- Inconvenientes:o Distribucin de claves
Algoritmo Algoritmo
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina33
ASIMTRICO
Clave (pblica) Clave (privada)
- Proceso: Se enva la clave pblica al cliente. ste, para conectarse, la enva yslo el que tiene la clave privada puede descifrar la clave pblica (el receptor).
Por eso da igual enviar la clave pblica por correo, por ejemplo
- Se cifra siempre con la clave pblica del receptor y se descifra con la claveprivada del receptor- Caractersticas:
o Facilita el intercambio de claves- Inconvenientes:
o Poco compactoo Lento
FIRMA DE DOCUMENTOS
- Se firma con la clave privada del emisor y se descifra con la clave pblica delmismo
- Certificado digital = clave pblica + firma CACREACIN CERTIFICADOS
En el contenedor se crea una clave privada (esta clave nunca sale del
contenedor)
Tarjeta inteligente Clave privada Clave pblica
Algoritmo Algoritmo
CA
Clave pblica
Informacin
Firma CA
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina34
CONFIGURAR EL CIFRADO SIMTRICO CON EL ASIMTRICO
Certificado. El certificado es la clave pblica + la firma
3.- El certificado genera la clave simtrica (CS)
4.- 5.-
TIPOS DE ENTIDADES CERTIFICADORAS
- Independientes: Grupo de trabajo- Empresa: Dominio Windows
o Distribucin directivas de grupo (GPO)o Emitir certificado de forma automtica
DISTRIBUCIN DE CERTIFICADOS
Se pueden distribuir de las siguientes maneras:
- Directivas de grupo- Consola MMC- Aplicacin Web (IIS)
1.- https:\\www.ejemplo.com
2.- Clave pblica del servidor
CS CS
CS CSCSCSClave pblica
del servidor
Clave privada
del servidor
Cifrado simtrico utilizando CS
Servidor Web
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina35
7.- IPSEC
Existen dos maneras de aplicarlo: por directivas IPSec o por Firewall
- Directiva IPSec
- Utiliza el protocolo SMB (protocolo para compartir carpetas de Windows)o Puerto TCP 445o Puerto UDP 445
- Cuando creamos una poltica IPSec, nunca marcar la opcin Activate the defaultresponse rule
- Con IPSec, si utilizas IPv4, no puedes utilizar IPv6 y viceversa- Se puede utilizar una regla Aislamiento para configurar el aislamiento del dominio.
Este trmino significa que puede utilizar reglas de seguridad de conexin parabloquear el trfico que tenga como origen equipos de fura del dominio
- De forma predeterminada, IPSec funciona en modo transporte. Este modo se utiliza enla mayora de las VPN basadas en IPSec, para las cuales se utiliza el protocolo L2TP
para realizar el tnel dela conexin IPSec a travs de la red pblica. Sin embargo,
cuando una determinada puerta de enlace VPN no es compatible con las VPN
L2TP/IPSec, se puede utilizar IPSec en modo tnel
ASOCIACIONES DE SEGURIDAD
o Necesita cifradoESP (Encapsulating Security Payload)o Slo autenticar el origen de los datos o verificar la integridad de los datos
AH (Autentication Header)
DIRECTIVAS PREDEFINIDAS:
o Client (Respond Only): No inicia negociacin IPSec, pero s cuando se losoliciten desde otro equipo
o Sever (Request Security): El ordenador acepta trfico no seguro pero siempreintenta asegurar las comunicaciones adicionales solicitando seguridad al
remitente original
Conexiones
- Kerberos
- Palabra de paso
- Certificado digital
- Ambas
- LAN
-RAS - Permitir
- Denegar
- Negociar
Firma
Cifrado
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina36
o Secures Server (Require security): Se asigna a servidores de intranet quenecesitan comunicaciones seguras
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina37
8.- NAPNetwork Access Protection. Se utiliza para clientes especiales
Escenarios NAP:
- DHCP (no necesita certificado)- IPSec- 802.1x requieren certificado- VPN
Para configurar NAP en el servidor
Pasos para configurar un cliente NAP:
1. Habilitar proteccin2. Configurar el tipo de cliente3. Habilitar el servicio
REDES INLMBRICAS:- Estndares: 802.11b fue el estndar de red original mayor adoptado. Hoy en da,
802.11g y 802.11n son los estndares de red inalmbrica ms elegidos ya que
proporcionan un rendimiento mejorado mientras que ofrecen retrocompatibilidad con
802.11b
- Estndares de seguridad:o WEP: cifrado 64 128 bito WPA
WPA-PSK: Clave esttica WPA-EAP: Autentica con RADIUS
o WPA2: actualizacin de WPA WPA2-PSK WPA2-EAP
PRCTICA
MONTAR NAP + IPSEC
SHV SHV SHV
Health Policy Health Policy
Direct Access
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina38
1. HRA-CA-NPS2. Permisos HRA-CA3. Configurar HRA4. Configurar NPS5. GPO envo de certificado
CONFIGURAR CLIENTE
1. Cliente seguro2. NAP IPSec3. Servicio NAP4. Directivas IPSec
PROCESO
1. Radius cumple directivas?2. Si cumple, sigue3. Le dicen a HRA que solicite un certificado4. HRA solicita certificado para NAP IPSec5. Enva certificado NAP IPSec6. Utiliza certificado NAP IPSec
CAAutoridad de certificacin; HRA Health Registration Authority; NPSServidor de
directivas de redes
CONFIGURAR REDES INALMBRICAS
Una red inalmbrica puede funcionar de 2 formas distintas: ad-hoc (entre puestos) einfraestructura (con punto de acceso)
CA
NPS
HRA
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina39
Certificado RADIUS
Certificado de usuario
Certificado de equipo
1. El cliente se autentica con el NAS2. El NAS le pasa el testigo al RADIUS3. El RADIUS comprueba la seguridad4. Si cumple, por un canal cifrado, negocian la palabra de paso
WPA - EAP
RADIUS. Directivas 802.11
802.1x
Cliente RADIUS
WPA-EAP
NAS
SWITCH
DC CA
IMPORTANTE: aqu
nunca van certificados
- Template user
- Template computer
- Template RAS/IAS
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina40
FIREWALL DE WINDOWS
- Windows Vista y Windows Server 2008 soportan tres perfiles de firewallo Dominio: se aplica siempre que un ordenador se puede comunicar con su DCo Pblico: se aplica en cualquier momento en el que no hay disponible un DC y
una red no se ha configurado como privadoo Privado: debe aplicarse manualmente a una red
- Firewall con seguridad avanzadao Para crear una regla de entrada/salida que permita a un aplicacin del servidor
recibir/enviar conexiones entrantes/salientes. Slo se crean reglas de salida
del firewall si se configuran las conexiones salientes para que se bloqueen de
forma predeterminada
o Netstat: se utiliza para identificar los puertos que escucha una determinadaaplicacin. En este caso habra que crear reglas de puerto
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina41
9.- ACTUALIZACIONES
WSUSWindows Server Update Services
Hay un servidor WSUS encargado de bajar las actualizaciones
Cuando la red es muy grande, el esquema queda de la siguiente manera
De esta manera, slo tendremos que autorizar la actualizacin una vez, en el WSUS
principal, que es el que est justo antes de internet
- Requerimientos WSUS:o Versin 32 bit o 64 bito Debe ser una mquina dedicada
WINDOWS
UPDATE
WINDOWS
UPDATE
WSUS1
WSUS2
WSUS3
WSUS4
WSUS
PRINCIPAL
WSUS
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina42
o Microsoft Viewero SQL Server 2005 SP2 o posterior
- Para indicarle a un cliente cual es el WSUS, normalmente se realiza mediante GPO- De forma predeterminada, la BBDD de WSUS est ubicada en
C:\WSUS\UpdateServicesDbFiles\SUSDB.mdf
- Plan de actualizacin:o Actualizaciones funcionaleso Driverso Hotfix
- Una vez instalado WSUSo Synchronization Schedule: tiempo de sincronizacino Update source and proxy server: si tienes varos WSUS que apuntan a otro
WSUS, aqu puedes indicarle cual es el WSUS principal. Siemprehttp://IP
nombre
o Update Files and Languages: Eliges los idiomas del SO donde descargas lasactualizaciones
- WUAU: Plantilla administrativa WSUS cliente- Comando wauclt: es para que el cliente detecte las actualizaciones (le fuerza). Ej:
Wauclt /restetauthorization/detectnow Detecta clientes y nuevas actualizaciones
http://ip/http://ip/http://ip/http://ip/ -
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina43
10.- MONITORIZACIN
- Herramientas de monitorizacin:o Administrador de tareaso Visor de eventoso Rendimiento y compatibilidad
Tradicional Novedad
o Monitor de redo WSRM (Windows System Resource Manager)
- El monitor de red de Windows es gratuito, pero no puede trabajar en modo promiscuo(monitor equipos remotos). Para trabajar en este modo hay que instalar SNMP
o Comandos Nmcap /network /capture tcp/file
- Administrador de tareaso Se pueden subir de prioridades los procesoso Pagefile.sys=RAMx1,5 (Ej. Si tengo 4Gb de Ram, pagefile.sys=4x1,5=6Gb)
- VSRMAjusta recursos a programas- Reliability and Performande Monitor
o Performance Monitor: Puedes monitorizar lo que quieras. Se pueden vercientos de contadores de rendimiento en tiempo real
o Reliability Monitor: Registra instalaciones de aplicaciones y diferentes tipos defallos. Se puede utilizar esta herramienta para ver rpidamente la historia de
un equipo, lo cual es til para relacionar instalaciones de software con errores
- Eventos:o WECUTIL QC: Recolector de eventoso WINRM QUICKCONFIG: Suministrador de eventos (utiliza http o https)
- Event Log ReadersEs el grupo donde incluimos las mquinas que recolecta eventos
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina44
11.-ADMINISTRACIN DE ARCHIVOS- Permisos NTFS
o Lecturao Escritura (no incluye lectura)o Modificar: Lectura + Escritura + borradoo Control total: Modificar + cambio de permisos y toma de posesin
EFS (Sistema de cifrado de ficheros)
CIFRADO Usuario clave pblica
DRA clave pblica
DESCIFRADO
Usuario (esta es la clave privada del receptor)
- Si hay que descifrar sin el usuario, utilizaremos DRA (Data Recovery Agent). Con DRA laclave simtrica se cifra dos veces, esto es porque la clave simtrica siempre es la
misma
- EFS es soportado por w2000 y versiones posteriores- EFS directiva de grupo
o Emitir automticamente certificadoso Habilitar Agente de Recuperacin
- Archivos .pfxclave pblica + clave privada- Archivos .cert clave pblica
CSFEK FEK
FICHERO
FICHERO
AES
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina45
ADMINISTRACIN DE CUOTAS
- OJO: No se puede asignar cuota por grupo, solamente por usuario-
Dos formaso Tradicionalo W2008
- Comando principal: dirquotaADMINISTRACIN COMPARTICIN DE CARPETAS
- Comando para compartir carpetas: net share- Dos tipos de permisos
o Permisos carpeta compartida: no hay herencia, los permisos que se dan aqu lotendr en la carpeta y en todas las subcarpetas, aunque modifiques los
permisos NTFS. Existen tres tipos:
Lectura: L Cambiar: L + Escritura + Borrado Control total: C+ cambio de permisos
o Permisos NTFS: Es lo que da seguridad a las carpetas. Tipos: Lectura: L Escritura: E Modificar: L + E + Borrado Control Total: M + Cambio de permisos
Ejemplo:
PERMISOS CARPETA COMPARTIDA PERMISOS NTFS
USUARIO(L) G-SSCC-CONTA(C) USUARIO(L) G-SSCC-CONTA(E)
Menos restrictiva (combinacin) Menos restrictiva (combinacin)
USUARIO (C) USUARIO (L+E)
USUARIO (L+E)
Ms restrictiva
USUARIO (L+E)
-
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina46
- Para carpetas compartidas no se meten en grupos o usuarios individuales.Normalmente los permisos de carpeta compartida son:
o Administradores del dominio: Control totalo Usuarios del dominio: Cambiar
Denegar siempre prevalece sobre los dems permisos
- DFS: Sistema de ficheros distribuidoso Organizar las carpetas compartidaso Tolerancia a falloso Comando: dfsutil
Ejemplo:
El usuario accedera a:\\contoso.com\Documentos,pero vera lo siguiente:
- Informes- Facturas- Planes
Robocopy: te crea un clon de una carpeta en otro sitio
Espacio nombresCarpeta compartida
\\nombreDominio\Espacio nombres\Carpeta
\\woodgrovebank.com\Docstop
Carpeta (virtual)
Documentos
DC (contoso.com) SRV2SRV1
Informes Informes
PlanesFacturas
replicada
http://contoso.com/Documentoshttp://contoso.com/Documentoshttp://contoso.com/Documentoshttp://contoso.com/Documentos -
5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado
MCTS 70-642
Pgina47
COPIAS DE SEGURIDAD
- Shadow copiescopias instantneasa nivel de volumen- Para las copias instantneas (shadow copies) va comando es VSSAdmin- No se puede hacer copia de seguridad a nivel de ficheros independientes, slo de
volmenes
- Se pueden hacer copias de seguridad programadas- Ntbackup no existe en w2008- Comando para iniciar una copia de seguridad wbadmin
12.- IMPRESORAS
- Impresora localEl puerto est en el propio servidor- Impresora en red El cliente se conecta a una impresora compartida- Permisos:
o Imprimiro Administrar impresoras: I + cambiar propiedades + cambiar puestoso Administrar documentos: administrar documentos de la cola de impresin- Scripts almacenados en %Systemroot%\System 32\Printing_Admin_Scripts\es-ES\:o PrnMngr.vbs: Agrega y elimina impresoraso PrnCnfg.vbs: Configura impresoraso PrnDrvr.vbs: Agrega, elimina o lista los controladores de las impresoraso PrnJobs.vbs: Administra los trabajos de impresino PrnPort.vbs: Administra puertos de impresino PrnQctl.vbs: Imprime una pgina de pruebao PubPrn.vbs:Publica una impresora en Acrive Directory