Windows 2008 Administrator Server (70-642)-Finalizado

5/23/2018 Windows 2008 Administrator Server (70-642)-Finalizado

2012

Apuntes para la

preparacin del examen

70-642Configuracin de Infraestructura de red

Windows Server 2008Eduardo Torres Cobos hace constar que es titular intelectual de la obra

denominada Apuntes para la preparacin del examen70-642.

Configuracin de Infraestructura de red Windows Server 2008".Al reutilizar,

reproducir, transmitir y/o distribuir LA OBRA se debe reconocer y dar crdito

de autora de la obra intelectual en los trminos especificados por el propio

autor, y el no hacerlo implica el trmino de uso de esta licencia para los

fines estipulados. Este ebook est registrado bajo Licencia de Creative

Commons http://creativecommons.org/licenses/by/3.0/


MCTS 70-642

Pgina 2

1. - CONFIGURAR IP ................................................................................................................... 3

1.1.- IPV4 ................................................................................................................................... 3

1.2.- IPv6 .................................................................................................................................. 13

2.- CONFIGURAR LA RESOLUCIN DE NOMBRE .......................................................................... 17

2.1.- LLMNR ............................................................................................................................. 17

2.2.- NET BIOS.......................................................................................................................... 17

2.3.- DNS .................................................................................................................................. 19

2.3.1.- PONER EN FUNCIONAMIENTO UN SERVIDOR DNS .................................................. 19

2.3.2.-PROPIEDADES DE UN SERVIDOR DNS ....................................................................... 20

2.3.3.- CONFIGURAR LOS AJUSTES DEL CLIENTE DNS ......................................................... 21

2.3.4.- CONFIGURAR UNA INFRAESTRUCUTRA DE ZONA DNS ............................................ 21

4.- DHCP ...................................................................................................................................... 26

5.- CONFIGURAR EL ENRUTAMIENTO IP ..................................................................................... 28

6.- VPN ......................................................................................................................................... 30

7.- IPSEC ....................................................................................................................................... 35

8.- NAP ......................................................................................................................................... 37

9.- ACTUALIZACIONES ................................................................................................................. 41

10.- MONITORIZACIN ................................................................................................................ 43

11.-ADMINISTRACIN DE ARCHIVOS .......................................................................................... 44

12.- IMPRESORAS ........................................................................................................................ 47


MCTS 70-642

Pgina 3

1.- CONFIGURAR IP- Para hacer que un PC que ejecuta Windows XP aparezca en el mapa de red, hay que

instalar el respondedor LLTD en dicho PC

- El uso compartido de archivos habilita el PING, ya que crea excepciones en el Firewallpara el Protocolo para el Control de Mensajes en Internet (ICMP)

- TRUCO DE EXAMEN: Cuando dos ordenadores clientes pueden verse pero no sepueden conectar a nada ms de la red (o de Internet), sospechar de APIPA. O bien hay

un problema con el servidor DHCP de la red o hay una conexin daada con el servidor

DHCP

- Cuando una conexin se configura para que obtenga una direccin automticamente yno hay disponible un servidor DHCP, esta conexin se asignar de forma

predeterminada una direccin en forma 169.254.x..y. Tambin puede definir una

configuracin alternativa que se asignar la conexin en ausencia de un servidor DHCP

- Para probar conectividad de red: Ipconfig, Ping, Tracert, Pathping y Arp1.1.- IPV4

Estrategias para racionalizacin direcciones IPs

- Clases- NAT

o Direcciones privadaso Direcciones publicas

- Mascaraso Subnettingo Supernetting

255.255.0.0 11111111.11111111.00000000.00000000

1Forma parte del identificativo de red

0Forma parte del identificativo de host

Ej: IP 192.168.3.2 Mascara 255.255.255.0

ID de red 192.168.3.0 ID de host: 2 192.168.3.2

Ej: IP 172.16.17.2 Mascara 255.255.0.0

ID de red 172.16.0.0 ID de host: 17.2 192.168.17.2

Para identificar de que clase es la red sin la mscara en binario:

Ej: 172..16.17.2

Se puede ver por el 172. Lo pasamos a binario (172 es 10101100, si fuesen menos de 8 dgitos

se rellena con 0 a la izquierda). Vemos que empieza por 10, por lo tanto es clase B


MCTS 70-642

Pgina 4

------------------------------------------------------------------------------------------------------------------------------

EJERCICIO: Ahora hay 250 equipos. Se est utilizando el rango de red 192.168.3.0 con

mscara 255.255.255.0. Meten 20 equipos nuevos podr instalarlos dentro de la red sin

comprar nada ms?

SOLUCION: En esta red podremos tener 254 equipos, ya que la parte de mscara

255.255.255.0 indica que 255.255.255 es el ID de red, nos quedaran 254 host

La solucin es hacer supernetting. Agregamos 0 a la mscara. Actualmente la mscara es

11111111.11111111.11111111.00000000 (255.255.255.0). La cambiamos a

11111111.11111111.00000000.00000000 (255.255.0.0) y as podremos meter 254 equipos

ms

CIDR

Podemos obtener la mscara de la siguiente manera

192.168.5.0 / 24Significa que tiene 24 unos, quiere decir

11111111.11111111.11111111.00000000 (255.255.255.0)

IP 192.16.5.3 con mscara 255.255.0.0 sera 192.16.5.3 / 16 porque 255.255.0.0 es

11111111.11111111.00000000.00000000 (16 unos)

VALORES POSIBLES DE UNA MASCARA

Todos los ceros o unos tienen que ir seguidos. Ej: 11111111.1010000.00000000.000000000

nunca podra ser una mscara, ya que lleva unos y ceros intercalados

Los nicos dgitos que valen para una mscara son:

00000000 0

10000000 128

11000000 192

11100000 224

11110000 240

11111000 248

11111100 252

11111110 254

11111111 255


MCTS 70-642

Pgina 5

255.0.255.0 no es vlida por que en binario es 11111111.00000000.11111111.00000000. Tiene

unos y ceros intercalados, por lo que no es una mscara vlida

Dos equipos se ven si forman parte del mismo ID de red

Ejemplo1:

IP: 173.20.2.1 Mas: 255.255.0.0 IP:173.20.3.1 Mas:255.255.0.0 IP:172.21.3.1 Mas: 255.255.0.0

Se ven el primero y el segundo porque estn en el mismo ID de red (173.20.0.0) y el ltimo no

(172.21.0.0)

Ejemplo2:

IP1: 173.20.2.1/15 IP2: 173.20.3.1/15 IP3:173.21.3.1/15

IP1: 10101101.00010100.00000010.00000001

Mascara1: 11111111.11111110.00000000.00000000

Id red1: 173.20.0.0

El Id de red se obtiene haciendo un and entre el 00010100 y el 11111110. Sale 00010100 (es

20)

IP2: 173.20.3.1

Mascara2: 255.254.0.0

Id red2: 173.20.0.0

El Id de red se obtiene haciendo un and entre el 254 y el 20 (habindolo pasado a binario

antes). En este caso sale 20

IP3:173.21.3.1

Mascara3: 255.254.0.0

Id red3: 173.20.0.0

EXCEPCIONES IPV4

- No utilizar el rango 127.0.0.0/8- No se puede utilizar todo ceros o todo unos en la parte de host. Todos ceros es el

identificativo de red y todo unos es la direccin de Broadcast. Ej. 192.168.3.0/24 tiene

como id de red 192.168.3.0 y de direccin de Broadcast 192.168.3.255

- Rango APIPA169.254.0.1/16- 0.0.0.0


MCTS 70-642

Pgina 6

PROTOCOLOS IPV4

ARPEn la capa de Red nos encontramos con el protocolo ARP. Este protocolo pasa

de la MAC a la IP y de la IP a la MAC

Con la MAC vamos a trabajar siempre en base 16. (0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F)

. Ej: 4A es en vinario 0100 1010 y en decimal 4,10

Con el comando arpa vemos los equipos con los que nos hemos conectado por MAC

Ej: hago ping a 192.16.20.13

Ahora hago arpa

Me aparece su equipo con su MAC, as como los dems dispositivos que se han conectado con

mi equipo. (mi IP es 192.16.20.16)

El comando arp es para entornos de rea local. No traspasa router


MCTS 70-642

Pgina 7

TTL Es el tiempo de vida

TRACERTTe dice el nmero de routers por los que pasa antes de llegar a la

direccin

Hacemos un tracert awww.google.com

En este caso vemos que ha pasado por 10 routers

PATHPINGCalcula el porcentaje de paquetes perdidos en el envo total. Hacemos

un pathping awww.google.com
http://www.google.com/http://www.google.com/http://www.google.com/http://www.google.com/http://www.google.com/http://www.google.com/http://www.google.com/http://www.google.com/


MCTS 70-642

Pgina 8

Vemos los porcentajes de paquetes que ha perdido al pasar por cada router. Vemos en

algunos casos que se han perdido el 100% de los paquetes en algunos casos. Si esto fues

verdad no habra conexin. Seguramente tengan deshabilitado el IGMP

SUBNETING

Una red dividida en varias

- Optimizacin- Seguridad- Elevado nmero de equipos

El objetivo es obtener los rangos de direcciones as como obtener una mscara adecuada.

Objetivos:

- Obtener la nueva mscara- Obtener los rangos de direccin

Ejemplo. De la red 172.16.0.0/16 puedo sacar 254 subredes tipo 172.16.1.0/24;172.16.2.0/24;

172.16.3.0/24;172.16.4.0/24; etc

Un subneting consiste en agregar unos a la mscara y eliminar ceros a la mscara

OBTENER NUEVA MSCARA

EJERCICIO: Cuntos equipos podemos instalar en la red 192.168.8.0/23?

SOLUCION:

Mascara: 255.255.254.0

Hay 23 unos en la mscara. Una direccin de red tiene 32 posiciones

32-23 = 9 ceros 292*510 IPs disponibles

*Hay que quitarle 2 siempre

EJERCICIO: Cuntos equipos podemos instalar en la red 172.16.16.0/22?

Mascara: 255.255.252.0

SOLUCION:

Hay 22 unos en la mscara. Una direccin de red tiene 32 posiciones

32-22 = 10 ceros2102*1022 IPs disponibles

*Hay que quitarle 2 siempre


MCTS 70-642

Pgina 9

Pasos a seguir:

1.- Obtener la nueva mscara de red

2.- Comprobar que el nmero de host es soportado por la nueva mscara

EJERCICIO: Te dan la red 128.1.0.0/16. Tienes que meter 5000 equipos y obtener 3 subredes

SOLUCION:

1.- 2n-2 >= 3, donde n es el nmero de unos que voy a agregar a la mscara y 3 es el nmero de

subredes que nos piden

En este caso el menor nmero que puede ser n es 323-2>=3

La mscara sera 16+3=19

2.- 32unos19unos = 13 ceros 213-2 = 8192>= 5000

EJERCICIO: Tenemos 192.168.3.0/24. Se quieren obtener 5 redes de 30 equipos cada una

SOLUCION:

1.- Obtener mscara:

20-2=1 no es >=5

21-2=0 no es>=5

22-2=2 no es >=5

23-2=6>=53 es el nmero de unos que hay que agregarle a la mscara

Es /24, le sumamos 3 27. Las subredes seran /27 (255.255.255.224)

3227= 5Le sumamos 5 ceros a la mscara 25-2= 30Justo podramos poner 30

equipos por subred

EJERCICIO: Tenemos 125.0.0.0/8. Se quieren obtener 600 redes de 7000 Host cada una

SOLUCION:

1.- Obtener mscara:

210-2=1022 >= 600 --> 10 es el nmero de unos que hay que agregarle a la mscara

Es /8, le sumamos 10 18. Las subredes seran /18 (255.255.192.0)

32-18=14 cerosLe sumamos 4 a la mscara 214-2= 16382 equipos


MCTS 70-642

Pgina10

OBTENER LOS RANGOS DE DIRECCIN

EJERCICIO: Tenemos 128.1.0.0/16. Se quieren obtener 3 subredes de 5000 puestos cada uno

SOLUCION:

La mscara ya la hemos obtenido en el primer ejercicio. Sera 255.255.224.0 (se agregaron 3

bits)

1.- Tabla con el nmero de unos que agrego a la mscara:

23=8 . Son ocho valores:

0000

1001

2010

3011

4100

5101

6110

7111

Como estamos utilizando RFC 1878, eliminamos 2 (por eso en los ejercicios anteriores hemos

restado 2 a 2n). Por lo tanto nos quedaran:

1001

2010

3011

4100

5101

6110

Para sacar los rangos, la parte 128.1 NO SE TOCA

La primera direccin del primer rango sera

01000000.00000001.00100000.0000001 (128.1.32.1)


MCTS 70-642

Pgina11

La ltima direccin del primer rango sera

01000000.00000001.00111111.11111110 (128.1.63.254)

La primera direccin del ltimo rango sera:

01000000.00000001. 11000000.00000001 (128.1.192.1)

La ltima direccin del ltimo rango sera:

01000000.00000001. 11011111.11111110 (128.1.223.254)

EJERCICIO

Tenemos la red 125.0.0.0/8

1.- Calcular la mascara 600 subredes de 7000 host

2.- Calcular primer y ultimo rango

SOLUCION

1.- 2n-2 >= nmero de redes

2102 >=600

Sumo 10 unos. 10+8 = 18

CIDR/18. Notacin decimal 255.255.192.0

N host por red: 32bits totales18 unos de la mascara= 14 214-2= 16382 >= 7000

- Mtodo cientfico para sacar los unos que hay que agregar a l a mascaran>=ln(x+2)/ln2

nnmero de unos

lnlogaritmo neperiano

xnmero de subredes que queremos sacar

2es dos, esto nunca vara

2.- Sera de 0000000000 a 1111111111 (de 0 a 1023 en decimal). Estos dos los quitamos, por

ser el primero y el ltimo

Primer rango:

Se le hace un and con 0000000001 que es la primera posicin y a que la 0000000000 la hemos

quitado

125.00000000.01000000.0000000001

125.00000000.01111111.11111111


MCTS 70-642

Pgina12

La parte en negrita es el and entre la ip y la primera posicin (0000000001)

Ultimo rango:

Se le hace un and con 1111111110 ya que hemos quitado el ltimo 1111111111

125.11111111.10000000.00000001

125.11111111.10111111.11111110

La parte en negrita es el and entre la ip y la ultima posicin (1111111110)

Ejercicio 15 de la fotocopia

a)255.255.192.0

las mscaras de clase A son por defecto 255.0.0.0

Lo que se ha agregado en este caso a la clase A es 255.192 11111111.1100000 (tengo 10

unos)

210-2 = 1022 redes

EJERCICIO

Tenemos la red 172.30.0.0/16

1) Calcular 50 redes de 1000 host cada una2)

Calcular los 5 primeros rangos3) Cuntas direcciones IP se han perdido por la segmentacin?

4) Completar el esquema de redEJERCICIO

Si tenemos la red 192.168.0.0/24 y tenemos 250 host. Se han adquirido 514 equipos solucin

ms barata y con menos carga administrativa? Razonar respuesta y otras alternativas

SUPERNETTING

Se trata de fusionar dos redes

Ej. Tenemos las redes 192.168.193.0/24 y 192.168.201.0/24. Las podramos fusionar con la

mscara /16, ya que el ID de red quedara 192.168.0.0, o con la mscara /8, ya que el ID de red

quedara 192.0.0.0 pero lo que tenemos que buscar es la mscara ideal

Lo haremos de la siguiente manera:

192.168.193.0 = 11000000.10101000.11000000.00000000

192.168.201.0=11000000.10101000.11001001.00000000

La parte en negrita es igual


MCTS 70-642

Pgina13

Para sacar la mscara, ponemos la parte en negrita como unos y el resto como ceros, por lo

tanto saldra:

11111111.11111111.11110000.00000000 255.255.240.0

No se podra hacer supernetting entre dos redes que no empiecen igual. Ej

10.10.0.0/16 00001010.00001010.00000000.00000000

y

172.16.0.0/16 10101100.00010000.00000000

No coincide el primer octeto, no se puede hacer supernetting

1.2.- IPv6

Es un protocolo que sustituye a IPv4 en la capa de internet. Lo dems es igual

Aplicacin HTTP FTP SMTP DNS POP3 SNMP

Transporte TCP UDP

Internet IPv4 IPv6

Enlace/Fsico Ethernet Token Ring FrameRelay

ATM

- Las direcciones IPv6 tienen 128 bits, a diferencia de los 32 bits de IPv4- Se muestra en hexacedimal- Se puede utilizar la compresin de ceros- Utiliza prefijo para determinar la parte de red (no utiliza mscaras)

o Nomenclatura_: Son 128 bits en bloques de 16, por lo que son 8posiciones:1:2:3:4:5:6:7:8


MCTS 70-642

Pgina14

Nomenclatura

No se trabaja en base decimal, se trabaja en base hexadecimal (base16)

HEXADECIMAL BINARIO DECIMAL

0 0000 01 0001 1

2 0010 2

3 0011 3

4 0100 4

5 0101 5

6 0110 6

7 0111 7

8 1000 8

9 1001 9

A 1010 10

B 1011 11C 1100 12

D 1101 13

E 1110 14

F 1111 15

Importante: La direccin retroalimentada en IPv6 es ::1 (simplificada), para IPv4 es 127.0.0.1

- Ejemplo de simplificacin2001:0000:0000:2F3B:0000:0000:FE28:095A

Simplificada sera 2001::2F3B:0:0:FE28:95A 2001:0:0:2F3B::FE28:95A

No valdra 2001::2F3B::FE28::95A porque el sistema no sabe que has simplificado. Slo puedes

simplificar una parte

Ejemplo de IPv6:

2001:0DB8:0000:0000:02AA:00FF:FE28:9C5A/64

64 entre 16 son 6, por lo que quiere decir que las cuatro primeras posiciones son el ID de red y

el resto el ID de host

2001:0DB8:0000:0000 ID de red

02AA:00FF:FE28:9C5A ID de host

- Direccionamiento IPv6 incluye:o Unicast: Equivalente a unicast IPv4o Multicasts: Tipo unicast adicionalo Anycast: Equivalente a multicast IPv4


MCTS 70-642

Pgina15

- Neighbor Discovery: Sustituye a ARP, es un conjunto de mensajes y procesos paradeterminar la relacin entre los nodos vecinos

- Direccionamiento Unicast IPv6o Direccionamiento Global : Se utilizan en redes pblicaso Direccionamiento Link-Local : Son enrutables, pero solo para redes privadaso Direccionamiento Unique Local : Son autoconfigurables que slo proporcionan

conectividad limitada

o Direcciones especiales

Tipo de direccinEquivalencia

IPv4Prefijo en binario

Prefijo enhexadecimal

Global Pblicas 001 2 3Link-local APIPA 1111 1110 10 FE8

Site-local (descatalogada)Privada

1111 1110 11 FEC0

Unique-local (ULA) 1111 110 FC FD

Multicast Multicast 1111 1111 FF

- Direccionamiento privado-pblicoo Rangos privados:

10.0.0.0 hasta 10.255.255.255 172.16.0.0 hasta 172.31.255.255

o Rangos pblicos Las no privadas, excepto rango APIPA y rango retroalimentado

A veces lleva un sufijo de red (%x). Es el identificativo de tarjeta de red, pero no hace falta

ponerlo

- NetBIOSo No soporta NetBIOSo No existen servidores WINSo Nuevo concepto: Zonas Globales en DNSo En Windows existe el descubrimiento automtico (deshabilitado por defecto)

- DNSo El DNS de Windows 2008 soporta AAAAo Dominio IP6.INT para consultas inversas

PREGUNTAS TIPO EXAMEN

- Qu tipo de direccin ipv6 existen y como se llaman en ipv4?Globales, link-local, unique local (ULA), multicast en ipv6

Pblicas, APIPA, Privada, multicast en ipv4


MCTS 70-642

Pgina16

- Qu es un DNS?Domine Name Server. Directorio en el que se asocia la ip a nombre de equipo y

nombre de equipo a nombre

- Cmo se denominan en ipv6 los registros A del DNS?AAAA

- Cmo se llama el servicio que me permite automatizar la asignacin de direccionesipv6? Existe en 220003 para ipv6? Existe en w2008?

DHCPv6,

No existe en w2003, existe slo DHCPv4

S

- Cmo se llama el servicio que me permite gestionar un directorio de direcciones ip ynombres NetBios? Explica brevemente cmo lo haras en w2003 Cmo lo haras en

w2008 si utilizas ipv6?

WINS

Instalando el servicio wins

Con zonas Globales (global names)

CONVIVIR IPv4 CON IPv6

- ISATAP (Microsoft lo implementa)Comunica una LAN IPv4 con una LAN IPv6- Teredo (Microsoft lo implementa)Es un protocolo de tunelamiento que permite a

los clientes ubicados tras un dispositivo NAT IPv4 utilizar IPv6 sobre Internet

- 6 To 4 (No Microsoft, enrutadores)Comunica un PC IPv4 con un PC IPv6


MCTS 70-642

Pgina17

2.- CONFIGURAR LA RESOLUCIN DE NOMBRE

2.1.- LLMNR- Slo se utiliza en Windows Server 2008 y Windows Vista- Multidifusin IPv6 en la misma Subred

2.2.- NET BIOS- Cache NetBioscomando nbtstat- Broadcast- LMHOST (esttico)Tiene que estar habilitado para que funcione. Es el

fichero donde pongo IP y nombre en un listado, para que al hacer ping al

nombre, te diga la IP- WINS (dinmico)

Es una caracterstica. Hay que poner IP esttica

DHCP

Cliente WINS

Manualpropiedades avanzadas TCP/IP

- Pasos a seguir:0. Le pongo al servidor WINS con IP esttica1. Instalar la caracterstica WINS en Server ManagerAdd feature2. Configurar el cliente WINS del Servidor WINS. OJO Debemos tener

habilitado Enable burst handling (rfagas)

3. Replicacin. Lo ms crtico es el modo de replicacin Insercin (push). Cambios Lneas rpidas Extraccin (pull). Por tiempo Lneas lentas (menos de 512

Kbps)

Truco de examen: Cuando hay varios servidores WINS en una organizacin grande, hay

que configurar la replicacin entre ellos para que cada BBDD WINS se encuentre

actualizada


MCTS 70-642

Pgina18

TIPOS DE NODOS NET BIOS

PEER TO PEER (P) BROADCAST (B) MIXTO (M) HIBRIDO (H)

Cach NetBios Cach NetBios Cach NetBios Cach NetBios

Servidor WINS Broadcast Broadcast Servidor WINS

LMHOST LMHOST Servidor WINS Broadcast

LMHOST LMHOST

COMPORTAIMIENTO:

- Si en las propiedades de TCP/IP no se define servidor WINS B- Si en las propiedades de TCP/IP s se define servidor WINSH

NOMBRE NETBIOS:

15 caracteres + 1 de control


MCTS 70-642

Pgina19

2.3.- DNS

Concepto DNS: es una base de datos jerrquica y distribuida

En general, un cliente DNS que necesita resolver un nombre DNS primero compruebasu cache local para hallar la respuesta. Si no encuentra la respuesta, el cliente DNS

consulta a un servidor DNS preferido. Si el servidor DNS no puede resolver la consulta

a travs de su autoridad o de los datos de la cach, el servidor DNS intentar resolver

la consulta realizando consultas repetitivas al espacio de nombre DNS, comenzando

por el servidor raz

- FQDN: Nombre totalmente cualificado- URI=FQDN+servicio distribuido (URL=http://FQDN)- UNC:\\servidor\recursocompartido- SMB: Protocolo de intercambio de ficheros

ROOT

TOP-LEVELDOMAIN Net Com Org

SECOND-LEVELDOMAIN Newtraders

SUBDOMAIN West South East

Sales Host: Server1

FQDNServer1.sales.south.newtraders.com

- El DNS no gestiona sufijos DNS, lo que realmente gestiona son las zonas2.3.1.- PONER EN FUNCIONAMIENTO UN SERVIDOR DNS

- Para poner en funcionamiento un servidor DNS, se puede hacer con dcpromo(a la vez que se asciende un servidor a DC. En este caso el servidor DNS y la zon
http://servidor/recursohttp://servidor/recursohttp://servidor/recursohttp://servidor/recurso


MCTS 70-642

Pgina20

a de bsqueda directa albergada se configuran automticamente) o despus de

hacer el dcpromo (habr que agregar y configurar una o ms zonas de

bsqueda directa)

- En versin Server Core, se necesita un fichero de salida al ejecutar dcpromo- Servidor DNS de cach (caching-only server): Se utiliza cuando se quiere

mejorar la resolucin del nombre de una oficina rama (con lneas lentas). No se

requiere experiencia tcnica y normalmente se pone en branch office

(permitira a los usuarios de la oficina canalizar sus consultas de DNS a travs

de un solo servidor y crear una gran pila de consultas en la cach. Las consultas

repetidas se resuelven en el servidor de cah en vez de a travs de internet)

2.3.2.-PROPIEDADES DE UN SERVIDOR DNS

- Interfaces Tab: Permite especificar cul de las direcciones IP del ordenadorlocal debe escuchar el servidor DNS para obtener consultas DNS. Por defecto, laconfiguracin de esta pestaa especifica que el servidor DNS escucha todas las

direcciones IP asociadas con el ordenador local

- Root Hints Tab: Contiene una copia de la informacin que se encuentra en elarchivo WINDOWS\System32\DNS\Cache.DNS. Para los servidores DNS que

responden consultas de nombres de Internet, esta informacin no tiene que

modificarse. Cuando se configura un servidor DNS raz (.) para una red

privada, se debe eliminar todo el archivo Cache.DNS

- Forwarders Tab: Permite configurar el servidor DNS local para re-direccionar lasconsultas DNS que recibe a servidores DNS superiores, llamadosredireccionadores

o Cundo utilizar los re-enviadores: Si la organizacin est conectada a Internet a travs de un

vnculo lento, se puede optimizar el rendimiento de la resolucin

de nombre canalizando todas las consultas DNS a travs de un

renviador

Permite a los clientes y servidores DNS que se encuentrandentro de unfirewall resolver con seguridad nombres externos

o Cundo utilizar el re-envo condicional: Cuando se fusionan dos redes separadas. Para que los clientes

de cada compaa resuelvan consultas para los nombres de la

red opuesta, el re-envo condicional est configurado en los

servidores DNS de ambos dominios. Las consultas para resolver

nombres en el dominio opuesto se reenviarn al servidor DNS de

dicho dominio. Todas las consultas de Internet se direccionan al

siguiente servidor DNS superior que se encuentra tras elfirewall


MCTS 70-642

Pgina21

2.3.3.- CONFIGURAR LOS AJUSTES DEL CLIENTE DNS

- En DNS, el nombre del ordenador se denomina nombre de host. ste es unnombre de una sola etiqueta que se puede descubrir escribiendo el comando

hostname en un smbolo del sistema

- El sufijo DNS primario permite a un cliente registrar automticamente supropio registro de host en la zona DNS cuyo nombre corresponde con el

nombre de sufijo DNS primario. El cliente tambin agrega al sufijo DNS primario

a las consultas DNS que todava no incluyen un sufijo. Un sufijo especfico de la

conexin slo se aplica a conexiones a travs de un determinado adaptador de

red

- Se puede configurar un cliente DNS para que especifique una lista de sufijosDNS para agregar nombres sin clasificar. Esta lista se conoce como lista de

bsqueda de sufijos DNS

- Los clientes pueden registrar sus propios registros en DNS slo cuando estnconfigurados con un sufijo DNS primario o especfico de la conexin que

coincide con el nombre de la zona albergada en el servidor DNS referido. Por

defecto, los clientes DNS que tienen asignadas direcciones estticas intentan

registrar tanto registros de host como de enlace. Los clientes DNS que tambin

son clientes DHCP slo intentan registrar registros de host

2.3.4.- CONFIGURAR UNA INFRAESTRUCUTRA DE ZONA DNS

2.3.4.1.- CREAR Y CONFIGURAR ZONAS

- Para forzar a un cliente DNS para que realice una actualizacin dinmica, utiliceel comando Ipconfig / registerdns

- Cuando creas una zona estndar, quiere decir, sin integrar en AD, se creanficheros de texto dentro la zona

LNEA LENTA LNEA RPIDA

Zonasprimarias/secundarias

NO SI (no Windows)

Zonas integradas en DA NO/SI SI

Zonas delegadas SI NO/SI (depende jerarqua)Zonas auxiliares SI NO

Redirectores SI NO (normalmente)/SI


MCTS 70-642

Pgina22

ADMINISTRACIN DE ZONAS

Una zona es una porcin del espacio de nombre para la cual el servidor es autoritario.

Por ejemplo, el servidor DNS que alberga la zona fabrikam.com puede resolver

nombres de forma autoritario como server2.fabrikam.com

- Directas (99%): Devolver IP a partir de nombresForward- Inversas: Devolver nombres a partir de IP Reverse- Dentro de los dos tipos de zonas, hay otros 2 tipos

o Primariaso Secundarias

Primarias

Directas

Secundarias

ZONAS DNS

Primarias

Inversas

Secundarias

- Zonas primarias slo hay una (lectura/escritura): proporciona datos de origende lectura y escritura originales que permiten que el servidor DNS local

responda a las consultas DNS de forma autoritaria en una porcin del espacio

de nombres DNS

- Zonas secundarias hay de 0 a N (slo lectura). Son rplicas de las zonasprimarias. Proporciona una copia autoritaria de solo lectura de una zona

primaria o de otra zona secundaria

- Zona de rutas internas (stub zone): es parecida a una zona secundaria, peroslo contiene aquellos registros de recursos necesarios para identificar los

servidores DNS autoritarios de la zona maestra

- Tipos de registros DNS:o ATraduce nombres de servidores de alojamiento a direcciones IPv4o AAAATraduce nombres de servidores de alojamiento a direcciones

IPv6

o PTRTraduce IPs en nombres de dominioo NSEspecifica un servidor que es autoritario en una zona

determinada


MCTS 70-642

Pgina23

o CNAMEMisma IP distintos nombres. Tambin puede haber locontrario: Mismo nombre a distintas IPs (Round Robin)

o MXUbica un servidor de correo dentro de una zonao SOAStart Of Authority

Serial number: Este nmero incrementa cada vez que cambia unrecurso en la zona o cuando incrementa el valor de forma

manual, haciendo clic en el botn Increment (cuando hacemos

clic en este botn, forzamos una transferencia de zona)

Primary Server: Contiene el nombre completo del equipo delservidor DNS primario de la zona. Este nombre debe terminar

con punto

Responsible person: Nombre de la persona responsable o correo Refresh Interval: Es el tiempo que espera un servidor DNS

secundario antes de consultar una renovacin de zona alservidor maestro. Cuando expira este tiempo, el servidor DNS

secundario solicita una copia del registro SOA. Luego compara el

serial number del maestro con el suyo local, si son diferentes, el

servidor DNS solicita una transferencia de zona. Aumentar el

intervalo de actualizacin disminuye el trfico de la zona

Retry interval: es el tiempo que espera un servidor secundarioantes de reintentar una transferencia de zona fallida

Expires After: Es el tiempo que un servidor secundario, sinningn contacto con su servidor maestro, contina

respondiendo a consultas de los clientes DNS

Minimum TTL: Es el TTL que se aplica a todos los registros derecurso de la zona

CADUCIDAD Y BORRADO

- Caducidad (aging)Se refiere al proceso de utilizar etiquetas de tiempo para realizarun seguimiento de la edad de los registros de recursos que se han registrado

dinmicamente

- Borrado (scavening)Se refiere al proceso de eliminar los registros de recursosobsoletos en los que se han colocado marcas de tiempo. Slo puede tener lugar

cuando se ha activado la deteccin

- Modificar las propiedades de caducidad /borrado de la zona:o Modificar el intervalo sin actualizacin (no-refresh interval): El intervalo sin

actualizacin es el periodo tras una marca de tiempo en el cual una zona oservidor rechaza una actualizacin de la etiqueta de tiempo. La caractersticasin actualizacin previene al servidor de procesar actualizaciones innecesariasy reduce la transferencia de trafico innecesario de la zona

o Modificar los intervalos de actualizacin (refresh interval): El intervalo deactualizacin es el tiempo tras el intervalo sin actualizacin durante el cual se


MCTS 70-642

Pgina24

aceptan las actualizaciones de la marca de tiempo y los registros de recursosno se eliminan. Despus de que expire en los intervalos sin actualizacin y deactualizacin los registros se pueden borrar de la zona

o El intervalo de actualizacin debe ser igual o mayor que el intervalo sinactualizacin

ZONAS GLOBALES

Solo es compatible con servidores DNS que estn ejecutando Windows Server 2008, no

puede replicarse en servidores que ejecutan versiones anteriores de Windows Server

- Se utiliza para facilitar la resolucin de nombres de equipo de una etiqueta enuna red grande

- No registran nombres dinmicamente- Es obligatorio poner zona global cuando no tienes wins y quieres resolver

nombres de etiqueta (Ej.:\\servidor01)- Hay que activarlo en cada servidor DNBS en el cual se replicar la zona de

nombres globales

- No es una zona especial, es una zona de bsqueda directa integrada en AD quese llama nombres globales

- Para cada servidor que desee que sea capaz de proporcionar resolucin denombre de una etiqueta, hay que crear un registro de alias (CNAME) en la zona

de nombres globales. El nombre que le proporcionamos a cada registro CNAME

representa el nombre de una etiqueta que debern utilizar los usuarios para

conectarse al recurso

2.3.4.2.- CONFIGURAR UNA INFRAESTRUCUTRA DE ZONA DNS

- La replicacin de zona se refiere a la sincronizacin de los datos de zonasintegradas en AD

- Una particin es una estructura de datos de AD que distingue los datos paradiferentes propsitos de replicacin. Por defecto, los DC incluyen dos

particiones de directorio de aplicaciones reservadas para datos DNS:

DomainDnsZones (se replican entre todos los DC que tambin son servidores

DNS de un dominio determinado) y ForestDnsZones (se replica entre todos los

DC que tambin son servidores DNS en cada dominio de un bosque Active

Directory)

- Tambin puede crear particiones de directorio definidas por el usuario con elnombre que desee. Entonces, puede configurar una zona para que se almacene

en esta nueva estructura que ha creado
http://servidor01/http://servidor01/http://servidor01/http://servidor01/


MCTS 70-642

Pgina25

- La particin en la cual se almacena una zona determina el mbito de replicacinde dicha zona

- Las transferencias de zona esencialmente son operaciones de extraccin que seinician en zonas secundarias que copian datos de zona de una zona maestra

(puede ser primaria o secundaria). De forma predeterminada, las transferenciasde zonas estn desactivadas en cualquier zona

- Puede utilizar zonas de rutas internas (stub zones) para mantener actualizada lainformacin de zona o para mejorar la resolucin de nombre entre dominios

dentro de un gran espacio de nombre DNS

DELEGACIN DE ZONA

DC1 SRV1

- Zonas auxiliares (stub): Slo sube de la SOA y Registros DNS. Es como unadelegacin, pero slo entiende de SOA y Registros DNS*Para el examennormalmente si aparece la palabra STUB, esta es la

correcta

2.3.4.3.- DNSSEC

- DNSSEC permite a un servidor DNS firmar digitalmente los registros de recursosen sus zonas

- Trust anchors son las claves pblicas de otras zonas que se utilizan para validaruna firma digital registros procedentes de dichas zonas y de subdominios

delegados que son tambin DNSSEC-compatible. Un servidor DNS configurado

con DNSSEC debe haber configurado en al menos un Trust anchor desde una

zona remota

- Se utiliza Group Policy para configurar clientes DNS para solicitar la validacinDNSSEC

- Se utiliza el comando Dnscmd para crear las keys necesarias para DNSSEC ypara firmar la zona con estas keys

Azpe.es (primaria)

madrid

Azpe.es

(secundaria)

Madrid.azpe.es

(primaria)


MCTS 70-642

Pgina26

4.- DHCP- Se debe instalar en mquinas que solo tengan una tarjeta de red. Es

importante que la tarjeta de red est dentro del mbito de red donde quieres

distribuir IPs

- Las opciones DHCP se asignan normalmente a un mbito completo, perotambin se pueden asignar a nivel del servidor y aplicarse a todas las cesiones

dentro de todos los mbitos definidos en una instalacin de servidor DHCP.

Finalmente, tambin pueden asignarse en trminos de equipo en nivel de

reserva. Por ejemplo, si queremos que una opcin se aplique en todos los

mbitos, concesiones y reservas, se debe definir el mbito a nivel de servidor

(herencia)

- Antes de que un servidor DHCP en el entorno de un dominio pueda concederdirecciones desde un mbito existente a cualquier cliente DHCP, primero hayque autorizar el servidor y activar el mbito

- Clase de usuario predeterminada: es una clase a la que pertenecen todos losclientes DHCP y la clase en la que se crean las opciones de forma

predeterminada. Las opciones particulares asignadas a travs de la clase de

usuario predeterminada pueden quedar invalidadas por otras opciones

definidas en otras clases. Despus de crear una clase de usuario personalizada

y de asignarle opciones, se puede asignar a un cliente a la clase utilizando el

comando Ipconfig /setclassid

- mbito: rango de IPs que asigna el DHCPExplcita (lo reservo en DHCP)

- IPs estticasImplcita (no meto esas IPs dentro del mbito)

- IMPORTANTE: Si algn da tienes que cambiar la mscara, tienes que eliminar elmbito y volverlo a crear, no hay otra opcin

- Para finalizar una concesino en un equipo ipconfig /relaseo en muchos equiposdesde la consola DHCP

- Exclusin: es una direccin dentro del rango de direccin de un mbito que nose puede conceder a los clientes DHCP. Puede utilizar las exclusiones para

hacer que el rango de direcciones de un mbito sea compatible con las

direcciones estticas que ya estn asignadas a los ordenadores de una red

- Reserva: Segn la MAC, se asigna una configuracin IP. Esta configuracin UOno puede estar excluida

o Opciones de servidor -


MCTS 70-642

Pgina27

o Opciones de mbitoo Opciones de reserva prioridado Clases +

- Tolerancia a fallos DHCPo Ms de un DHCPo Agentes de retransmisin DHCPo Cluster> Esta es la mejor opcin

- Implementar clases de usuarios:o Ipconfig /set classid [adaptador de red]

- Tolerancia a fallos DHCP:o Mas de un DHCPo Agentes de retransmisin DHCPo ClusterEsta es la mejor


MCTS 70-642

Pgina28

5.- CONFIGURAR EL ENRUTAMIENTO IP

- La direccin IP de un enrutador siempre debe estar en la misma subred que elordenador. Por ejemplo, un ordenador con la direccin IP 192.168.1.10 y lamscara de subred 255.255.255.0 puede tener un enrutador con la direccin IP

192.168.1.1. Sin embargo, un enrutador con la direccin IP 192.168.2.1 no

servira debido a que el enrutador se encuentra en una subred diferente, y para

comunicarse con una subred remota un ordenador necesita enviar paquetes a

un enrutador

- El enrutamiento le permite a los enrutadores re-direccionar trfico entre ellospara permitir que se comuniquen los clientes y los servidores de diferentes

redes

- Cuando se activa RIP, se permite a Windows Server 2008 anunciar rutas haciaenrutadores cercanos y detectar automticamente los enrutadores cercanos y

las redes remotas

- Los enrutadores utilizan protocolos de enrutamiento para comunicar rutasdisponibles, adems de para comunicar cambios como vnculos errneos.

Windows Server 2008 soporta RIP v2, el cual puede activar instalando la

funcin de servicio Enrutamiento y acceso remoto (Routing and Remote Access

Services role service)

- La direccin IP de destino del paquete nunca cambia; siempre est fijada en ladireccin IP del ordenador objetivo. Para re-direccionar paquetes hacia un

enrutador sin cambiar la IP de destino, los ordenadores utilizan la direccin

MAC. Por lo tanto, mientras el paquete se re-direcciona entre redes, las

direcciones IP de origen y de destino nunca cambian. Sin embargo, las

direcciones MAC de origen y de destino se reescriben en cada rede entre el

cliente y el servidor

- Las rutas estticas son necesarias cuando hay conectadas varias puertas deenlace a la red local, y una o ms de ellas no actan como puerta de enlace

predeterminada

COMANDO IMPORTANTE

Para ver la tabla de enrutamiento

route print

Si un enrutador vecino con la direccin IP 192.168.1.2 proporciona acceso a la red

10.2.2.0/24, ejecutara el siguiente comando para agregar una ruta esttica a la red

route add

p 10.2.2.0 MASK 255.255.255.0 192.168.1.2


MCTS 70-642

Pgina29

Con el comando route add, primero se pone la red de destino y a continuacin la

mscara de subred. Finalmente se pone el enrutador que se utilizar para

acceder a la red remota


MCTS 70-642

Pgina30

6.- VPN

TRUCO DE EXAMEN: Cuando pregunten por EAP, esa es la correcta

METODOS DE ACCESO A REDES REMOTAS

NASNetwork Access Server, servidor de VPN

Intento de conexin

Aplicar la

configuracin

ConexinRestricciones

FIN DE LA

CONEXIN

Permisos

Concedidos

Coincide la

condicin?

Hay directivas?

IP Pblica IP Privada

NO

SI

SI

SI

NO

NO

NO

SI


MCTS 70-642

Pgina31

Arquitectura:

1.Acceder al NAS nicamente2.Acceder a la red local

a. Validacin en el DA (Autenticacin)b. Autorizar (Autorizacin)c. Determinar el protocolo de VPN

- PPTP:Microsoft. Es muy fcil de instalar, pero los problemas sonque no autentica al cliente y esta muy obsoleto.

- L2TP:Utiliza IPSec- SSTP:Usa certificado https. Requiere IIS- IPSec:Externalizacin

d. DirectivasRADIUS

1.Ping cliente externo a DC Interno2.Instalar

a. VPNb. Enrutamiento

3.Agregar el NAS al grupo de dominio RAS and IAS Servers4.Habilitar la VPN y el router5.Configuracin TCP/IP Clientes6.Si no hay Radius, el permiso de marcado (Dial Up) tiene que estar Allow7.Crear cliente VPN

Cliente 1

SRV1 (NAS)

Domain

Controler

10.10.0.10/16

IP Pblica

80.0.0.1/2

IP Privada

10.10.0.24/16


MCTS 70-642

Pgina32

DIRECTIVAS DE ACCESO REMOTO (Muy Importante)

- Condiciones: por ejemplo, grupos Windows- Permisos: de usuarios- Perfiles: mantenimiento, conexin y otros

CONDICIONES

1.- Ms restrictiva

Permitir

2.- Menos restrictiva

3.- Ms restrictiva

Denegar

4.- Menos restrictiva

ENTIDADES CERTIFICADORAS

- PKIInfraestructura de clave pblica- Tipos de cifrados:

o Simtrico: la misma palabra de paso para cifrar que para descifraro Asimtrico: diferentes palabras de paso para cifrar y descifrar

SIMTRICO

Palabra de paso (clave) Palabra de paso (clave)

- Caractersticas:o Rpidoo Compacto

- Inconvenientes:o Distribucin de claves

Algoritmo Algoritmo


MCTS 70-642

Pgina33

ASIMTRICO

Clave (pblica) Clave (privada)

- Proceso: Se enva la clave pblica al cliente. ste, para conectarse, la enva yslo el que tiene la clave privada puede descifrar la clave pblica (el receptor).

Por eso da igual enviar la clave pblica por correo, por ejemplo

- Se cifra siempre con la clave pblica del receptor y se descifra con la claveprivada del receptor- Caractersticas:

o Facilita el intercambio de claves- Inconvenientes:

o Poco compactoo Lento

FIRMA DE DOCUMENTOS

- Se firma con la clave privada del emisor y se descifra con la clave pblica delmismo

- Certificado digital = clave pblica + firma CACREACIN CERTIFICADOS

En el contenedor se crea una clave privada (esta clave nunca sale del

contenedor)

Tarjeta inteligente Clave privada Clave pblica

Algoritmo Algoritmo

CA

Clave pblica

Informacin

Firma CA


MCTS 70-642

Pgina34

CONFIGURAR EL CIFRADO SIMTRICO CON EL ASIMTRICO

Certificado. El certificado es la clave pblica + la firma

3.- El certificado genera la clave simtrica (CS)

4.- 5.-

TIPOS DE ENTIDADES CERTIFICADORAS

- Independientes: Grupo de trabajo- Empresa: Dominio Windows

o Distribucin directivas de grupo (GPO)o Emitir certificado de forma automtica

DISTRIBUCIN DE CERTIFICADOS

Se pueden distribuir de las siguientes maneras:

- Directivas de grupo- Consola MMC- Aplicacin Web (IIS)

1.- https:\\www.ejemplo.com

2.- Clave pblica del servidor

CS CS

CS CSCSCSClave pblica

del servidor

Clave privada

del servidor

Cifrado simtrico utilizando CS

Servidor Web


MCTS 70-642

Pgina35

7.- IPSEC

Existen dos maneras de aplicarlo: por directivas IPSec o por Firewall

- Directiva IPSec

- Utiliza el protocolo SMB (protocolo para compartir carpetas de Windows)o Puerto TCP 445o Puerto UDP 445

- Cuando creamos una poltica IPSec, nunca marcar la opcin Activate the defaultresponse rule

- Con IPSec, si utilizas IPv4, no puedes utilizar IPv6 y viceversa- Se puede utilizar una regla Aislamiento para configurar el aislamiento del dominio.

Este trmino significa que puede utilizar reglas de seguridad de conexin parabloquear el trfico que tenga como origen equipos de fura del dominio

- De forma predeterminada, IPSec funciona en modo transporte. Este modo se utiliza enla mayora de las VPN basadas en IPSec, para las cuales se utiliza el protocolo L2TP

para realizar el tnel dela conexin IPSec a travs de la red pblica. Sin embargo,

cuando una determinada puerta de enlace VPN no es compatible con las VPN

L2TP/IPSec, se puede utilizar IPSec en modo tnel

ASOCIACIONES DE SEGURIDAD

o Necesita cifradoESP (Encapsulating Security Payload)o Slo autenticar el origen de los datos o verificar la integridad de los datos

AH (Autentication Header)

DIRECTIVAS PREDEFINIDAS:

o Client (Respond Only): No inicia negociacin IPSec, pero s cuando se losoliciten desde otro equipo

o Sever (Request Security): El ordenador acepta trfico no seguro pero siempreintenta asegurar las comunicaciones adicionales solicitando seguridad al

remitente original

Conexiones

- Kerberos

- Palabra de paso

- Certificado digital

- Ambas

- LAN

-RAS - Permitir

- Denegar

- Negociar

Firma

Cifrado


MCTS 70-642

Pgina36

o Secures Server (Require security): Se asigna a servidores de intranet quenecesitan comunicaciones seguras


MCTS 70-642

Pgina37

8.- NAPNetwork Access Protection. Se utiliza para clientes especiales

Escenarios NAP:

- DHCP (no necesita certificado)- IPSec- 802.1x requieren certificado- VPN

Para configurar NAP en el servidor

Pasos para configurar un cliente NAP:

1. Habilitar proteccin2. Configurar el tipo de cliente3. Habilitar el servicio

REDES INLMBRICAS:- Estndares: 802.11b fue el estndar de red original mayor adoptado. Hoy en da,

802.11g y 802.11n son los estndares de red inalmbrica ms elegidos ya que

proporcionan un rendimiento mejorado mientras que ofrecen retrocompatibilidad con

802.11b

- Estndares de seguridad:o WEP: cifrado 64 128 bito WPA

WPA-PSK: Clave esttica WPA-EAP: Autentica con RADIUS

o WPA2: actualizacin de WPA WPA2-PSK WPA2-EAP

PRCTICA

MONTAR NAP + IPSEC

SHV SHV SHV

Health Policy Health Policy

Direct Access


MCTS 70-642

Pgina38

1. HRA-CA-NPS2. Permisos HRA-CA3. Configurar HRA4. Configurar NPS5. GPO envo de certificado

CONFIGURAR CLIENTE

1. Cliente seguro2. NAP IPSec3. Servicio NAP4. Directivas IPSec

PROCESO

1. Radius cumple directivas?2. Si cumple, sigue3. Le dicen a HRA que solicite un certificado4. HRA solicita certificado para NAP IPSec5. Enva certificado NAP IPSec6. Utiliza certificado NAP IPSec

CAAutoridad de certificacin; HRA Health Registration Authority; NPSServidor de

directivas de redes

CONFIGURAR REDES INALMBRICAS

Una red inalmbrica puede funcionar de 2 formas distintas: ad-hoc (entre puestos) einfraestructura (con punto de acceso)

CA

NPS

HRA


MCTS 70-642

Pgina39

Certificado RADIUS

Certificado de usuario

Certificado de equipo

1. El cliente se autentica con el NAS2. El NAS le pasa el testigo al RADIUS3. El RADIUS comprueba la seguridad4. Si cumple, por un canal cifrado, negocian la palabra de paso

WPA - EAP

RADIUS. Directivas 802.11

802.1x

Cliente RADIUS

WPA-EAP

NAS

SWITCH

DC CA

IMPORTANTE: aqu

nunca van certificados

- Template user

- Template computer

- Template RAS/IAS


MCTS 70-642

Pgina40

FIREWALL DE WINDOWS

- Windows Vista y Windows Server 2008 soportan tres perfiles de firewallo Dominio: se aplica siempre que un ordenador se puede comunicar con su DCo Pblico: se aplica en cualquier momento en el que no hay disponible un DC y

una red no se ha configurado como privadoo Privado: debe aplicarse manualmente a una red

- Firewall con seguridad avanzadao Para crear una regla de entrada/salida que permita a un aplicacin del servidor

recibir/enviar conexiones entrantes/salientes. Slo se crean reglas de salida

del firewall si se configuran las conexiones salientes para que se bloqueen de

forma predeterminada

o Netstat: se utiliza para identificar los puertos que escucha una determinadaaplicacin. En este caso habra que crear reglas de puerto


MCTS 70-642

Pgina41

9.- ACTUALIZACIONES

WSUSWindows Server Update Services

Hay un servidor WSUS encargado de bajar las actualizaciones

Cuando la red es muy grande, el esquema queda de la siguiente manera

De esta manera, slo tendremos que autorizar la actualizacin una vez, en el WSUS

principal, que es el que est justo antes de internet

- Requerimientos WSUS:o Versin 32 bit o 64 bito Debe ser una mquina dedicada

WINDOWS

UPDATE

WINDOWS

UPDATE

WSUS1

WSUS2

WSUS3

WSUS4

WSUS

PRINCIPAL

WSUS


MCTS 70-642

Pgina42

o Microsoft Viewero SQL Server 2005 SP2 o posterior

- Para indicarle a un cliente cual es el WSUS, normalmente se realiza mediante GPO- De forma predeterminada, la BBDD de WSUS est ubicada en

C:\WSUS\UpdateServicesDbFiles\SUSDB.mdf

- Plan de actualizacin:o Actualizaciones funcionaleso Driverso Hotfix

- Una vez instalado WSUSo Synchronization Schedule: tiempo de sincronizacino Update source and proxy server: si tienes varos WSUS que apuntan a otro

WSUS, aqu puedes indicarle cual es el WSUS principal. Siemprehttp://IP

nombre

o Update Files and Languages: Eliges los idiomas del SO donde descargas lasactualizaciones

- WUAU: Plantilla administrativa WSUS cliente- Comando wauclt: es para que el cliente detecte las actualizaciones (le fuerza). Ej:

Wauclt /restetauthorization/detectnow Detecta clientes y nuevas actualizaciones
http://ip/http://ip/http://ip/http://ip/


MCTS 70-642

Pgina43

10.- MONITORIZACIN

- Herramientas de monitorizacin:o Administrador de tareaso Visor de eventoso Rendimiento y compatibilidad

Tradicional Novedad

o Monitor de redo WSRM (Windows System Resource Manager)

- El monitor de red de Windows es gratuito, pero no puede trabajar en modo promiscuo(monitor equipos remotos). Para trabajar en este modo hay que instalar SNMP

o Comandos Nmcap /network /capture tcp/file

- Administrador de tareaso Se pueden subir de prioridades los procesoso Pagefile.sys=RAMx1,5 (Ej. Si tengo 4Gb de Ram, pagefile.sys=4x1,5=6Gb)

- VSRMAjusta recursos a programas- Reliability and Performande Monitor

o Performance Monitor: Puedes monitorizar lo que quieras. Se pueden vercientos de contadores de rendimiento en tiempo real

o Reliability Monitor: Registra instalaciones de aplicaciones y diferentes tipos defallos. Se puede utilizar esta herramienta para ver rpidamente la historia de

un equipo, lo cual es til para relacionar instalaciones de software con errores

- Eventos:o WECUTIL QC: Recolector de eventoso WINRM QUICKCONFIG: Suministrador de eventos (utiliza http o https)

- Event Log ReadersEs el grupo donde incluimos las mquinas que recolecta eventos


MCTS 70-642

Pgina44

11.-ADMINISTRACIN DE ARCHIVOS- Permisos NTFS

o Lecturao Escritura (no incluye lectura)o Modificar: Lectura + Escritura + borradoo Control total: Modificar + cambio de permisos y toma de posesin

EFS (Sistema de cifrado de ficheros)

CIFRADO Usuario clave pblica

DRA clave pblica

DESCIFRADO

Usuario (esta es la clave privada del receptor)

- Si hay que descifrar sin el usuario, utilizaremos DRA (Data Recovery Agent). Con DRA laclave simtrica se cifra dos veces, esto es porque la clave simtrica siempre es la

misma

- EFS es soportado por w2000 y versiones posteriores- EFS directiva de grupo

o Emitir automticamente certificadoso Habilitar Agente de Recuperacin

- Archivos .pfxclave pblica + clave privada- Archivos .cert clave pblica

CSFEK FEK

FICHERO

FICHERO

AES


MCTS 70-642

Pgina45

ADMINISTRACIN DE CUOTAS

- OJO: No se puede asignar cuota por grupo, solamente por usuario-

Dos formaso Tradicionalo W2008

- Comando principal: dirquotaADMINISTRACIN COMPARTICIN DE CARPETAS

- Comando para compartir carpetas: net share- Dos tipos de permisos

o Permisos carpeta compartida: no hay herencia, los permisos que se dan aqu lotendr en la carpeta y en todas las subcarpetas, aunque modifiques los

permisos NTFS. Existen tres tipos:

Lectura: L Cambiar: L + Escritura + Borrado Control total: C+ cambio de permisos

o Permisos NTFS: Es lo que da seguridad a las carpetas. Tipos: Lectura: L Escritura: E Modificar: L + E + Borrado Control Total: M + Cambio de permisos

Ejemplo:

PERMISOS CARPETA COMPARTIDA PERMISOS NTFS

USUARIO(L) G-SSCC-CONTA(C) USUARIO(L) G-SSCC-CONTA(E)

Menos restrictiva (combinacin) Menos restrictiva (combinacin)

USUARIO (C) USUARIO (L+E)

USUARIO (L+E)

Ms restrictiva

USUARIO (L+E)


MCTS 70-642

Pgina46

- Para carpetas compartidas no se meten en grupos o usuarios individuales.Normalmente los permisos de carpeta compartida son:

o Administradores del dominio: Control totalo Usuarios del dominio: Cambiar

Denegar siempre prevalece sobre los dems permisos

- DFS: Sistema de ficheros distribuidoso Organizar las carpetas compartidaso Tolerancia a falloso Comando: dfsutil

Ejemplo:

El usuario accedera a:\\contoso.com\Documentos,pero vera lo siguiente:

- Informes- Facturas- Planes

Robocopy: te crea un clon de una carpeta en otro sitio

Espacio nombresCarpeta compartida

\\nombreDominio\Espacio nombres\Carpeta

\\woodgrovebank.com\Docstop

Carpeta (virtual)

Documentos

DC (contoso.com) SRV2SRV1

Informes Informes

PlanesFacturas

replicada
http://contoso.com/Documentoshttp://contoso.com/Documentoshttp://contoso.com/Documentoshttp://contoso.com/Documentos


MCTS 70-642

Pgina47

COPIAS DE SEGURIDAD

- Shadow copiescopias instantneasa nivel de volumen- Para las copias instantneas (shadow copies) va comando es VSSAdmin- No se puede hacer copia de seguridad a nivel de ficheros independientes, slo de

volmenes

- Se pueden hacer copias de seguridad programadas- Ntbackup no existe en w2008- Comando para iniciar una copia de seguridad wbadmin

12.- IMPRESORAS

- Impresora localEl puerto est en el propio servidor- Impresora en red El cliente se conecta a una impresora compartida- Permisos:

o Imprimiro Administrar impresoras: I + cambiar propiedades + cambiar puestoso Administrar documentos: administrar documentos de la cola de impresin- Scripts almacenados en %Systemroot%\System 32\Printing_Admin_Scripts\es-ES\:o PrnMngr.vbs: Agrega y elimina impresoraso PrnCnfg.vbs: Configura impresoraso PrnDrvr.vbs: Agrega, elimina o lista los controladores de las impresoraso PrnJobs.vbs: Administra los trabajos de impresino PrnPort.vbs: Administra puertos de impresino PrnQctl.vbs: Imprime una pgina de pruebao PubPrn.vbs:Publica una impresora en Acrive Directory

Windows 2008 Administrator Server (70-642)-Finalizado

Documents

Transcript of Windows 2008 Administrator Server (70-642)-Finalizado