29.- Administrar y supervisar DHCP.pdf

Contenido

Introducción 2

Lección: Administrar una base de datos DHCP 3

Lección: Supervisar DHCP 17

Lección: Aplicar directrices de seguridad para DHCP 40

Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP)

2 Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP)

Introducción

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

La instalación y configuración del servicio Protocolo de configuración dinámica de host (DHCP) constituye sólo una parte de una solución de red. Es necesario administrar el servicio DHCP para reflejar los cambios en las necesidades de direccionamiento Protocolo Internet (IP, Internet Protocol) de los clientes. También es importante para un administrador supervisar el rendimiento del servidor DHCP, ya que el entorno DHCP es dinámico. Además, deben aplicarse directrices de seguridad para DHCP.

Después de finalizar este módulo, el alumno será capaz de:

Administrar una base de datos DHCP. Supervisar DHCP. Aplicar directrices de seguridad para DHCP.

Introducción

Objetivos

Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP) 3

Lección: Administrar una base de datos DHCP


Es importante proteger la base de datos DHCP, controlar su crecimiento y asegurar su coherencia. Esto se puede lograr mediante la copia de seguridad, restauración y reconciliación de la base de datos DHCP.

Después de finalizar esta lección, será capaz de:

Explicar la finalidad de la administración DHCP. Explicar qué es una base de datos DHCP. Describir cómo se realiza la copia de seguridad y la restauración de una

base de datos DHCP. Realizar la copia de seguridad y la restauración de una base de datos. Describir cómo se reconcilia una base de datos DHCP. Reconciliar una base de datos DHCP. Administrar una base de datos DHCP.

Introducción

Objetivos de la lección


Información general de la administración de DHCP


Tras instalar un servicio, deben tenerse en cuenta los pasos necesarios para su administración y mantenimiento de manera que siga proporcionando los servicios que los clientes necesitan a lo largo del tiempo. Cuando se configura un servicio de red, se está dando solución a un problema de red en un momento determinado. Como el entorno de red puede cambiar, es necesario supervisar el servicio y posiblemente modificar la solución para mantenerla actualizada.

Es necesario administrar el servicio DHCP para reflejar los cambios en las necesidades de direccionamiento IP de los clientes. Estas necesidades pueden variar si se agregan o se quitan clientes, subredes o servidores en la red.

También es necesario administrar el servicio DHCP en respuesta a cambios en las condiciones del servidor DHCP y para proteger la base de datos DHCP contra errores.

Por qué se debe administrar un servicio

Por qué se debe administrar el servicio DHCP


En la tabla siguiente se enumeran situaciones habituales en las que un administrador administraría DHCP. También se indican las tareas y herramientas correspondientes para administrar DHCP.

Situaciones

Tareas

Herramientas para administrar DHCP

Administrar el crecimiento de la base de datos DHCP

Compactar la base de datos DHCP

Jetpack.exe

Proteger la base de datos DHCP

Realizar la copia de seguridad y la restauración de la base de datos DHCP

Consola DHCP

Asegurar la coherencia de la base de datos DHCP

Reconciliar ámbitos DHCP Consola DHCP

Agregar clientes Configurar o modificar ámbitos

Consola DHCP

Agregar nuevos servidores de servicios de red

Configurar o modificar opciones

Consola DHCP

Agregar nuevas subredes Configurar el Agente de retransmisión DHCP

Consola DHCP

En este módulo se trata únicamente la forma de administrar una base de datos DHCP. Puesto que los procedimientos para administrar ámbitos, opciones y Agentes de retransmisión DHCP son similares a los procedimientos para configurarlos, puede consultar el módulo 2, “Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP)”, del curso 2184A, Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft® Windows Server™ 2003: Servicios de red.

Situaciones en las que administrar DHCP

Nota


Qué es una base de datos DHCP


La base de datos DHCP es una base de datos dinámica que se actualiza cuando se asignan clientes DHCP o conforme éstos liberan sus concesiones de direcciones del Protocolo de control de transporte/Protocolo Internet (TCP/IP, Transmission Control Protocol/Internet Protocol).

La base de datos DHCP contiene datos de configuración de DHCP (como información acerca de los ámbitos, reservas, opciones, concesiones, etcétera). El servicio DHCP no se iniciará sin la base de datos.

Windows Server 2003 almacena la base de datos DHCP en el directorio %Systemroot%\System32\Dhcp. De forma predeterminada, se realiza automáticamente una copia de seguridad de la base de datos en el directorio Backup\New, que se encuentra en el directorio de la base de datos.

Definición

Finalidad de una base de datos DHCP

Dónde se almacena una base de datos DHCP


La base de datos DHCP está formada por los siguientes archivos, que se almacenan en el directorio \%Systemroot%\System32\Dhcp.

Archivo Descripción DHCP.mdb Archivo de base de datos para el servicio DHCP. Este

archivo contiene dos tablas: la tabla de asignaciones entre direcciones IP e identificadores de propietario, y la tabla de asignaciones entre nombres y direcciones IP.

Tmp.edb Archivo temporal que utiliza la base de datos DHCP como archivo de intercambio durante las operaciones de mantenimiento del índice de la base de datos.

J50.log y J50*.log Registros de todas las transacciones realizadas con la base de datos. DHCP utiliza estos registros para recuperar datos, si es necesario.

Res*.log Archivos de registro reservados que se utilizan para registrar las transacciones existentes si el sistema se queda sin espacio en disco.

J50.chk Archivo de control.

No altere ni quite ninguno de estos archivos. El servicio DHCP no se cargará sin estos archivos, por lo que, si realiza cambios en ellos, corre el riesgo de que se produzca un error en el servidor DHCP.

Archivos DHCP

Precaución


Cómo se realiza la copia de seguridad y la restauración de una base de datos DHCP


Para proporcionar la tolerancia a errores en el caso de producirse un error, es importante realizar una copia de seguridad de la base de datos DHCP. Esto permitirá restaurarla a partir de la copia de seguridad si se produce un error de hardware.

De forma predeterminada, el servicio DHCP realiza automáticamente cada 60 minutos una copia de seguridad de la base de datos DHCP y las entradas relacionadas del Registro en un directorio de copia de seguridad en la unidad local. Las copias de seguridad automáticas se almacenan de forma predeterminada en el directorio \%Systemroot%\System32\Dhcp\Backup\New. El administrador puede cambiar la ubicación de copia de seguridad.

El administrador puede copiar entonces los archivos DHCP de los que se ha realizado una copia de seguridad en una ubicación de almacenamiento sin conexión (por ejemplo, una cinta o un disco).

También se puede realizar manualmente una copia de seguridad de la base de datos DHCP. Las copias de seguridad manuales se almacenan de forma predeterminada en el directorio \%Systemroot%\System32\Dhcp\Backup\New. El administrador puede cambiar la ubicación de copia de seguridad.

Por qué se debe realizar la copia de seguridad y la restauración de una base de datos DHCP

Cómo se realiza automáticamente una copia de seguridad de una base de datos DHCP

Cómo se realiza manualmente una copia de seguridad de una base de datos DHCP


Si no se puede cargar la base de datos DHCP original cuando se inicia el servicio DHCP, éste la restaura automáticamente en un directorio de copia de seguridad de la unidad local.

Si se produce un error en la base de datos DHCP, el administrador puede elegir restaurarla desde el directorio de copia de seguridad en la unidad local o desde la ubicación de copia de seguridad sin conexión.

En el caso de que se produzca un error del hardware del servidor y la copia de seguridad local no esté disponible, el administrador puede restaurar sólo desde la ubicación de copia de seguridad sin conexión.

Cómo se restaura una base de datos DHCP


Copia de seguridad y restauración de una base de datos DHCP


Si no puede reparar la base de datos con Jetpack.exe, puede restaurarla desde el directorio de copia de seguridad en la unidad local. Si no es posible restaurar la base de datos DHCP desde el directorio de copia de seguridad en la unidad local, deberá restaurarla desde una ubicación de almacenamiento sin conexión.

Aunque la copia de seguridad y la restauración de una base de datos DHCP se puede realizar tanto de forma automática como manual en un directorio de copia de seguridad de la unidad local, de forma manual sólo se puede llevar a cabo en una ubicación de almacenamiento sin conexión.

Es recomendable que inicie sesión con una cuenta que no tenga credenciales administrativas y que ejecute el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas apropiadas para realizar esta tarea.

Al realizar la copia de seguridad y la restauración de una base de datos DHCP, aplique las siguientes directrices:

Realice manualmente una copia de seguridad de la base de datos DHCP en una ubicación distinta de %Systemroot%\System32\Dhcp\ Backup\Jet\New, que es la ubicación predeterminada para las copias de seguridad automáticas. Si almacena una copia de la base de datos DHCP que ha creado manualmente en la misma ubicación que la copia creada de forma automática, el servicio DHCP no funcionará correctamente.

Mantenga una copia de la base de datos DHCP de la que se ha realizado la copia de seguridad en una ubicación sin conexión (por ejemplo, una cinta o un disco). Como el servicio DHCP realiza automáticamente copias de seguridad de la base de datos DHCP en una ubicación en la unidad local, si se produce un error de hardware, perderá tanto la base de datos DHCP original como la copia.

Introducción

Nota

Directrices


Para configurar la ruta de copia de seguridad de una base de datos DHCP:

1. En el árbol de la consola DHCP, seleccione el servidor DHCP adecuado. 2. En el menú Acción, haga clic en Propiedades. 3. En la ficha Opciones avanzadas, escriba la ruta de acceso de la copia de

seguridad apropiada en el campo Ruta de acceso a la copia de seguridad y haga clic en Aceptar.

Para realizar manualmente una copia de seguridad de una base de datos DHCP en el directorio de copia de seguridad de una unidad local:

1. En el árbol de la consola DHCP, seleccione el servidor DHCP adecuado. 2. En el menú Acción, haga clic en Copia de seguridad. 3. En el cuadro de diálogo Buscar carpeta, seleccione la carpeta adecuada en la

que realizar la copia de seguridad y, a continuación, haga clic en Aceptar.

Para restaurar manualmente una base de datos DHCP desde el directorio de copia de seguridad de una unidad local:

1. En el árbol de la consola DHCP, seleccione el servidor DHCP adecuado. 2. En el menú Acción, haga clic en Restaurar. 3. En el cuadro de diálogo Buscar carpeta, seleccione la carpeta que contenga

la copia de seguridad y, a continuación, haga clic en Aceptar. 4. En el cuadro de diálogo DHCP, haga clic en Sí para detener y luego

reiniciar el servicio. 5. Si el estado del servicio no se actualiza, actualice la consola DHCP.

Para obtener más información acerca de cómo realizar manualmente la copia de seguridad y la restauración de una base de datos DHCP en una ubicación de almacenamiento sin conexión, consulte el curso 2164A, Mantenimiento de un entorno Microsoft Windows Server 2003.

Procedimiento para configurar la ruta de copia de seguridad de una base de datos DHCP

Procedimiento para realizar manualmente una copia de seguridad de una base de datos DHCP en el directorio de copia de seguridad de una unidad local

Procedimiento para restaurar manualmente una base de datos DHCP desde el directorio de copia de seguridad de una unidad local

Nota


Cómo se reconcilia una base de datos DHCP


La reconciliación es el proceso de comprobar los valores de una base de datos DHCP con respecto a los valores de DHCP en el Registro.

Se recomienda reconciliar la base de datos DHCP:

Cuando los valores de la base de datos DHCP estén configurados correctamente pero no se muestren así en la consola DHCP.

Después de restaurar una base de datos DHCP, si ésta no contiene los valores más actuales.

Por ejemplo: se ha eliminado la base de datos existente y debe restaurar una versión anterior de la base de datos. Si inicia DHCP y abre la consola, observará que se muestran el ámbito y las opciones, pero no las concesiones activas. La reconciliación llena la base de datos DHCP con la información de concesiones de clientes procedente del Registro.

Cuando se reconcilia un servidor o ámbito, el servicio DHCP utiliza la información de resumen del Registro y la información detallada de la base de datos DHCP para reconstruir la vista más actualizada del servicio.

Por ejemplo, tras la restauración de una base de datos DHCP, no se muestra una concesión activa en la consola DHCP. El proceso de reconciliación comprobará la información de resumen de esta concesión de dirección en el Registro con la información detallada de la base de datos DHCP. La información de resumen muestra que un cliente tiene la dirección IP, pero la información detallada muestra que la dirección IP está disponible. Tras comparar la información del Registro y la base de datos DHCP, ésta se actualiza con la información de la concesión activa. La concesión activa se mostrará en la consola DHCP.

Definición

Cuándo hay que reconciliar una base de datos DHCP

Cómo se reconcilia una base de datos DHCP


Reconciliar una base de datos DHCP


Puede reconciliar todos los ámbitos del servidor DHCP si selecciona éste, o sólo un ámbito si selecciona dicho ámbito.


Antes de utilizar la característica Reconciliar para recuperar totalmente del Registro la información de los clientes de un ámbito DHCP, el equipo servidor debe cumplir los siguientes criterios.

Todas las claves del Registro relativas al servidor DHCP deben restaurarse o existir, y permanecer intactas de anteriores operaciones del servicio en el equipo servidor.

Debe generarse una nueva versión del archivo de base de datos del servidor DHCP en la carpeta %Systemroot%\System32\Dhcp en el equipo servidor.

Cuando el Registro y la base de datos cumplan los criterios anteriores, podrá reiniciar el servicio DHCP. En este punto, tras abrir la consola DHCP, quizá observe que está presente la información del ámbito, pero que no se muestran las concesiones activas. Para obtener de nuevo las concesiones activas de cada ámbito se utiliza la característica Reconciliar, que permite recuperar cada ámbito.

Introducción

Nota

Preparar la reconciliación


Para reconciliar todos los ámbitos de una base de datos DHCP:

1. En el árbol de la consola DHCP, seleccione el servidor DHCP. 2. En el menú Acción, haga clic en Reconciliar todos los ámbitos. 3. En el cuadro de diálogo Reconciliar todos los ámbitos, haga clic

en Comprobar. 4. En el cuadro de diálogo DHCP, haga clic en Aceptar.

Para reconciliar un ámbito de una base de datos DHCP:

1. En el árbol de la consola DHCP, seleccione el ámbito adecuado.

Puede reconciliar sólo un ámbito si selecciona dicho ámbito o todos los ámbitos del servidor DHCP si selecciona éste.

2. En el menú Acción, haga clic en Reconciliar. 3. En el cuadro de diálogo Reconciliar, haga clic en Comprobar. 4. En el cuadro de diálogo DHCP, haga clic en Aceptar.

Tras usar la característica Reconciliar, al ver las propiedades de clientes individuales mostrados en la lista de concesiones activas, quizá observe que la información de los clientes no se muestra correctamente. Esta información se corrige y se actualiza en el Administrador DHCP cuando los clientes de ámbito renuevan sus concesiones.

Procedimiento para reconciliar todos los ámbitos de una base de datos DHCP

Procedimiento para reconciliar un ámbito de una base de datos DHCP

Nota

Después de la reconciliación


Ejercicio: Administrar una base de datos DHCP


En este ejercicio, administrará una base de datos DHCP.

Debe haber iniciado sesión con una cuenta que no tenga credenciales administrativas y ejecutar el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas apropiadas para realizar la tarea.

La ingeniera de sistemas ha decidido realizar algunas pruebas del hardware del servidor DHCP en el departamento del laboratorio. Necesita realizar manualmente una copia de seguridad de la base de datos DHCP. Tras ejecutarse la prueba en el servidor DHCP, reconciliará el servidor para asegurarse de que la base de datos DHCP es correcta.

� Configurar la ruta de copia de seguridad de una base de datos DHCP

Complete esta tarea desde los equipos de ambos alumnos. Ruta de acceso de la copia de seguridad: C:\

� Realizar manualmente una copia de seguridad de una base de datos DHCP en el directorio de copia de seguridad en una unidad local

Complete esta tarea desde los equipos de ambos alumnos. Ruta de acceso de la copia de seguridad: C:\Manual Backup

Objetivo

Instrucciones

Situación de ejemplo

Ejercicio


� Restaurar manualmente una base de datos DHCP desde el directorio de copia de seguridad en una unidad local

Complete esta tarea desde los equipos de ambos alumnos. Ruta de acceso de la restauración:

C:\Manual Backup

� Reconciliar todos los ámbitos de una base de datos DHCP

Complete esta tarea desde los equipos de ambos alumnos. Reconcilie todos los ámbitos.


Lección: Supervisar DHCP


Para supervisar DHCP, puede emplear lo siguiente:

Consola DHCP para las estadísticas de DHCP. Registro de auditoría de DHCP y Visor de sucesos DHCP. Consola Rendimiento para los datos de rendimiento de DHCP.

Para obtener más información acerca de cómo usar el Visor de sucesos para supervisar los sucesos DHCP, consulte el curso 2146A: Administración de un entorno Microsoft Windows Server 2003.


Explicar la finalidad de la supervisión DHCP. Explicar qué son las estadísticas de DHCP. Ver las estadísticas de DHCP. Explicar qué es un archivo de registro de auditoría de DHCP. Describir cómo funciona el registro de auditoría de DHCP. Supervisar el rendimiento de un servidor DHCP mediante el registro

de auditoría de DHCP. Aplicar directrices para supervisar el rendimiento de un servidor DHCP. Aplicar directrices para contadores de rendimiento comunes al supervisar

el rendimiento de un servidor DHCP. Aplicar directrices para crear alertas de un servidor DHCP. Supervisar DHCP.

Introducción

Nota



Información general de la supervisión de DHCP


Para supervisar el servicio DHCP, es necesario recopilar y ver los datos acerca del mismo. Debe supervisar los clientes DHCP y el servidor DHCP. Este módulo se centra en la supervisión del servidor DHCP.

El entorno DHCP es dinámico. Las necesidades de los clientes varían siempre a medida que se agregan o quitan clientes, se configuran opciones nuevas, cambian las necesidades organizativas y se agregan ámbitos para administrar clientes adicionales. Por tanto, es importante comprobar que el funcionamiento del servidor DHCP se ajusta a las normas esperadas en la red conforme se producen cambios en ésta.

Dada la importancia de los servidores DHCP en las infraestructuras de redes, es importante establecer referencias de rendimiento que puedan utilizarse al evaluar el rendimiento de un servidor. Estas referencias también son valiosas al planear cambios y adiciones en la red.

Aunque es importante supervisar las funciones DHCP, igualmente importante es entender que muchos servidores que alojan el servicio Servidor DHCP también alojan otras aplicaciones y servicios de red. Por tanto, al evaluar el rendimiento, debe revisar la interacción de todos los servicios que se ejecutan en el servidor DHCP y su uso respectivo de los recursos del sistema.

El servicio DHCP utiliza los subsistemas de memoria, procesador, disco y red. Aunque todos estos subsistemas son importantes para el funcionamiento óptimo del servicio DHCP, puede obtener el máximo beneficio si supervisa el rendimiento de los subsistemas de red.

Introducción

Por qué supervisar DHCP

Subsistemas principales y el servidor DHCP


Puede encontrar información de DHCP en las estadísticas, sucesos y datos de rendimiento de DHCP.

Datos de DHCP

Descripción

Ejemplos

Herramientas para supervisar DHCP

Estadísticas de DHCP Representan las estadísticas

recopiladas del servidor o de los ámbitos desde que se inició el servicio DHCP.

Horas de inicio y detención del servicio DHCP

Número de direcciones IP disponibles en un ámbito

Número de concesiones activas en un ámbito

Número de clientes activos

Consola DHCP

Sucesos de DHCP Cualquier acontecimiento significativo que se haya producido en el sistema o en una aplicación que requiere la notificación a los usuarios o la adición de una entrada a un registro.

Cuándo se ha iniciado o detenido el servicio y quién lo ha hecho

Errores del servicio DHCP

Autorizaciones del servicio DHCP

Registro de auditoría de DHCP

Visor de sucesos

Datos de rendimiento de DHCP

El servicio DHCP incluye un conjunto de contadores de rendimiento que el administrador puede utilizar para supervisar diversas actividades del servidor.

Número de concesiones renovadas durante un período

Número de paquetes DHCPACK o DHCPNACK durante un período

Cantidad de espacio en disco que utiliza la base de datos DHCP

Número de conflictos de direcciones IP

Consola Rendimiento

Ubicación de los datos de DHCP


Presentación multimedia: Creación de una línea de base para el rendimiento (Opcional)


Para ver la presentación multimedia Creación de una línea de base para el rendimiento, abra el archivo media29.htm que se puede encontrar dentro del fichero media29.zip

Después de esta presentación, será capaz de:

Explicar la finalidad de disponer de una base de rendimiento. Explicar que una base de rendimiento representa el nivel aceptable

de rendimiento del sistema. Explicar que el rendimiento del servidor es fundamental para la eficacia

de las operaciones de la red.

Deberá tomar muestras de valores de los contadores entre cada 30 y 45 minutos durante una semana y durante operaciones de máxima actividad, baja actividad y actividad normal.

Los pasos generales para crear una referencia son:

• Identificar los recursos

• Capturar datos

• Almacenar los datos

Ubicación de los archivos

Objetivos

Puntos clave


Los cuatro recursos principales del sistema para obtener una base de rendimiento son:

• Memoria

• Procesador

• Disco físico

• Red Un objeto de rendimiento está constituido por los datos que genera un

componente o recurso del sistema. Cada objeto de rendimiento proporciona contadores, que representan datos acerca de aspectos específicos del rendimiento del sistema.


Qué son las estadísticas de DHCP


Las estadísticas de DHCP representan las estadísticas recopiladas del servidor o de los ámbitos desde que se inició por última vez el servicio DHCP.

Las estadísticas proporcionan una vista en tiempo real que puede utilizarse para comprobar el estado del servidor o de los ámbitos DHCP. Estas estadísticas pueden corresponder a un ámbito concreto o al servidor; estas últimas muestran el total de todos los ámbitos que administra el servidor.

Definición

Finalidad de las estadísticas de DHCP


Mediante la consola DHCP puede ver las estadísticas de DHCP relativas a un servidor y a un ámbito, como se describe en la tabla siguiente.

Estadísticas de DHCP

Descripción

Estadísticas del servidor

Estadísticas de ámbitos

Hora de inicio Cuándo se ha iniciado el

servicio DHCP X

Tiempo activo Período en el que ha estado activo el servicio DHCP

X

Anuncios de presencia

Número de DHCPDISCOVER de clientes recibidas

X

Ofertas Número de DHCPOFFER de clientes enviadas

X

Peticiones Número de DHCPREQUEST de clientes recibidas

X

Confirmadas (acks)

Número de DHCPACK de clientes enviados

X

No confirmadas (nacks)

Número de DHCPNACK de clientes enviados

X

Ofertas declinadas Número de DHCPDECLINE de clientes recibidos

X

Devoluciones Número de DHCPRELEASE de clientes recibidas

X

Total de ámbitos Número total de ámbitos en el servidor DHCP

X

Total de direcciones

Número total de direcciones IP configuradas para clientes

X X

En uso Número de direcciones IP concedidas actualmente

X X

Disponible Número de direcciones IP disponibles para su concesión

X X

Estadísticas de ámbitos y del servidor DHCP


Cómo ver las estadísticas de DHCP


Puede ver las estadísticas de DHCP de servidores y ámbitos. Para consultar más fácilmente las estadísticas de DHCP, puede habilitar la actualización automática de las estadísticas del servidor DHCP, con lo que también habilitará la actualización automática de las estadísticas de los ámbitos DHCP.


Para habilitar la actualización automática de las estadísticas de DHCP:

1. En el árbol de la consola DHCP, seleccione el servidor DHCP adecuado. 2. En el menú Acción, haga clic en Propiedades. 3. En la ficha General, seleccione Actualizar estadísticas automáticamente

cada, configure los campos Horas y Minutos como corresponda y haga clic en Aceptar.

Para ver las estadísticas de un servidor DHCP:

1. En el árbol de la consola DHCP, seleccione el servidor DHCP adecuado. 2. En el menú Acción, haga clic en Mostrar estadísticas.

Para ver las estadísticas de un ámbito DHCP:

1. En el árbol de la consola DHCP, seleccione el ámbito DHCP adecuado. 2. En el menú Acción, haga clic en Mostrar estadísticas.

Introducción

Nota

Procedimiento para habilitar la actualización automática de las estadísticas de DHCP

Procedimiento para ver las estadísticas de un servidor DHCP

Procedimiento para ver las estadísticas de un ámbito DHCP


Qué es un archivo de registro de auditoría de DHCP


Un archivo de registro de auditoría de DHCP es un registro de los sucesos relativos al servicio, como cuando:

Se inicia y se detiene el servicio. Se han comprobado las autorizaciones. Se conceden, renuevan, liberan o deniegan direcciones IP.

Un registro de auditoría de DHCP proporciona al administrador una recopilación diaria de los sucesos de DHCP. Los registros de auditoría de DHCP ofrecen la información que puede ser necesaria para supervisar el servidor DHCP.

Estos registros pueden utilizarse para ver la actividad de un día específico o también pueden recopilarse para analizar la actividad del servidor DHCP en períodos más largos.

Los archivos de registro son archivos de texto delimitados con comas que contienen entradas de registro que representan una sola línea de texto. Un archivo de registro de auditoría de DHCP incluye estos campos:

Campos Descripción Id. Código de un identificador de suceso del servidor DHCP

Fecha Fecha en la que se registró esta entrada en el servidor DHCP

Hora Hora en la que se registró esta entrada en el servidor DHCP

Descripción Descripción de este suceso del servidor DHCP

Dirección IP Dirección IP del cliente DHCP

Nombre de host Nombre de host del cliente DHCP

Dirección MAC La dirección de control de acceso al medio que utiliza el hardware del adaptador de red del cliente

Definición

Finalidad de un registro de auditoría de DHCP

Archivo de registro de auditoría de DHCP


Los archivos de registro de auditoría de un servidor DHCP utilizan códigos de identificador de suceso reservados para proporcionar información del tipo de suceso o actividad registrada del servidor. En la tabla siguiente se describe más detalladamente una muestra de códigos comunes de identificadores de suceso.

Id. de suceso Descripción 00 Se inició el registro.

01 Se detuvo el registro.

02 Se pausó temporalmente el registro debido a la falta de espacio en disco.

10 Se concedió una nueva dirección IP a un cliente.

11 Un cliente renovó la concesión.

12 Un cliente liberó la concesión.

13 Se encontró una dirección IP en uso en la red.

14 No se pudo atender una solicitud de concesión debido a que se agotó el conjunto de direcciones del ámbito.

15 Se denegó una concesión.

20 Se concedió una dirección BOOTP (Protocolo de inicio) a un cliente.

Ejemplos de códigos comunes de identificadores de suceso


Cómo funciona el registro de auditoría de DHCP


El registro de auditoría es la recopilación diaria de los sucesos de un servidor DHCP en archivos de registro.

El registro de los datos de un servidor DHCP permite recopilar información acerca de las operaciones del servicio Servidor DHCP en la red. Puede ver el archivo de registro de un día concreto para obtener información o puede recopilar archivos de registro de un servidor individual para analizar los datos del servidor correspondientes a períodos más largos. Esta información puede resultar útil a la hora de decidir si es necesario agregar más servidores DHCP.

El siguiente proceso describe cómo se inicia, realiza y finaliza el registro de auditoría durante un período de 24 horas.

1. Siempre que se inicia un servidor DHCP o que comienza un nuevo día (cuando la hora local del equipo es 12:00 a.m.), el servidor escribe un mensaje de encabezado en el archivo de registro de auditoría que indica el inicio del registro. Posteriormente, dependiendo de si el archivo de registro de auditoría es nuevo o existe, se producen las siguientes acciones:

• Si el archivo ya existe y no se ha modificado desde hace más de un día, se sobrescribirá.

• Si el archivo ya existe pero se ha modificado en las 24 horas anteriores, no se sobrescribirá. En su lugar, se anexa una nueva actividad de registro al final del archivo existente. Éste sería el caso si se reinició el sistema o el servicio Servidor DHCP.

Definición

Por qué se debe utilizar el registro de auditoría de DHCP

Cómo funciona el registro de auditoría de DHCP


2. Después de iniciarse el registro de auditoría, el servidor DHCP realiza comprobaciones del disco a intervalos periódicos para asegurar la disponibilidad continua del espacio en disco del servidor y que el archivo de registro de auditoría actual no se vuelve demasiado grande ni crece demasiado rápido. El servidor DHCP realiza una comprobación total del disco si se cumple una de las siguientes condiciones:

• Se registra un número definido de sucesos del servidor. El número predeterminado de sucesos del servidor es 50.

• Cuando el equipo servidor llega a las 12:00 a.m. en su reloj local. Cada vez que se realiza una comprobación del disco, el servidor determina si está lleno. El disco se considera lleno si se cumple una de las siguientes condiciones:

• El espacio en disco del equipo servidor es menor que la cantidad mínima necesaria para el registro de auditoría de DHCP. De forma predeterminada, si la cantidad de espacio libre en el disco del servidor es inferior a 20 megabytes, el registro de auditoría se detiene.

• El archivo de registro de auditoría actual es mayor que una séptima (1/7) parte del espacio o tamaño máximo asignado para el total de todos los registros de auditoría almacenados actualmente en el servidor. El valor predeterminado del Registro es 70 MB, lo que significa que se interrumpirá el registro si el archivo de registro de auditoría actual supera los 10 MB.

En cualquier caso, si el disco está lleno, el servidor DHCP cerrará el archivo actual y pasará por alto las solicitudes posteriores de registro de sucesos de auditoría hasta las 12:00 a.m. o hasta que se mejore el estado del disco y éste ya no esté lleno. Aunque se pasen por alto los sucesos de auditoría registrados debido a que el disco está lleno, el servidor DHCP seguirá comprobando el disco cada 50 sucesos (o al intervalo establecido actualmente) para determinar si han mejorado las condiciones del disco. Si posteriores comprobaciones del disco determinan que está disponible la cantidad necesaria de espacio en el disco del equipo servidor, el servidor DHCP abrirá de nuevo el archivo de registro actual y reanudará el registro.

3. A las 12:00 a.m. (hora local) en el equipo servidor, el servidor DHCP cierra el registro existente y cambia al archivo de registro del siguiente día de la semana. Por ejemplo, si el día de la semana cambia a las 12:00 a.m. de miércoles a jueves, se cerrará el archivo de registro DhcpSrvLog-Wed y se abrirá el archivo DhcpSrvLog-Thu para el registro de sucesos.

Si desea mantener la información de registro de auditoría durante un período superior a una semana, deberá quitar los archivos de registro del directorio antes de que los sobrescriba el registro de auditoría de la semana siguiente.

Importante


Cómo supervisar el rendimiento de un servidor DHCP mediante el registro de auditoría de DHCP


El registro de auditoría de DHCP está habilitado de forma predeterminada. Puede configurar la ubicación de los archivos de registro. Puesto que el registro de auditoría de DHCP está habilitado de forma predeterminada, en cuanto se instala y configura DHCP pueden consultarse los registros de auditoría de DHCP con el fin de ver la información necesaria para supervisar el servidor DHCP.


Para habilitar y configurar el registro de auditoría de DHCP:

1. En el árbol de la consola DHCP, seleccione el servidor DHCP adecuado. 2. En el menú Acción, haga clic en Propiedades. 3. En la ficha General, compruebe que está seleccionada la opción Habilitar

la auditoría del registro DHCP. 4. En la ficha Opciones avanzadas, en el campo Ruta del archivo de

registro de auditoría escriba la ruta de acceso del archivo de registro de auditoría apropiada y haga clic en Aceptar.

5. En el cuadro de diálogo DHCP, haga clic en Sí para detener y luego reiniciar el servicio.

Introducción

Nota

Procedimiento para habilitar y configurar el registro de auditoría de DHCP


Para ver el registro de auditoría de DHCP:

En el Explorador de Windows, vaya al directorio donde se almacenan los archivos de registro de auditoría y haga doble clic en el que corresponda.

De forma predeterminada, el servicio DHCP almacena los registros de auditoría en la carpeta %Systemroot%\System32\Dhcp. Un archivo de registro de auditoría contiene los identificadores de suceso y su significado. Los registros de auditoría tienen el nombre DhcpSrvLog-día.log, donde día es la abreviatura de tres letras correspondiente al día de la semana. Por ejemplo, el registro de auditoría del miércoles sería DhcpSrvLog-Wed.log.

Procedimiento para ver el registro de auditoría de DHCP

Nota


Directrices para supervisar el rendimiento de un servidor DHCP


Uno de los objetivos principales de supervisar el rendimiento del servidor DHCP es diagnosticar los problemas antes de que impidan a los clientes obtener concesiones de DHCP. Por ejemplo, si la implementación de DHCP no funciona correctamente, es posible que no se puedan renovar las concesiones de los clientes, lo que impediría que el cliente hiciera uso de la red.

Tenga en cuenta las siguientes directrices al supervisar el rendimiento de un servidor DHCP:

Cree una referencia de datos de rendimiento en el servidor DHCP. Puede comparar la referencia con los contadores que indiquen si el servidor que aloja DHCP está sobrecargado o si la red no está enviando las solicitudes DHCP al servidor.

Compruebe los contadores estándar de rendimiento del servidor (como la utilización del procesador, la paginación, el rendimiento del disco y la utilización de la red). Como DHCP a menudo se instala en un servidor que también aloja otros servicios o aplicaciones, es importante conocer la carga total de aplicaciones y servicios en el servidor, y cómo esta carga puede afectar al funcionamiento del servicio Servidor DHCP.

Revise los contadores del servidor DHCP (por ejemplo, el correspondiente a las confirmaciones por segundo) en busca de aumentos o reducciones significativos que indiquen un cambio en el tráfico DHCP. Un aumento repentino de la actividad podría deberse a la adición de nuevos clientes DHCP o podría reflejar una reducción de la concesión DHCP. Una reducción repentina de la actividad podría indicar un alargamiento de la concesión DHCP, un error de transmisión de solicitudes DHCP en la red o un error de procesamiento de las solicitudes en el servidor DHCP.

Finalidad de la supervisión del rendimiento de un servidor DHCP

Directrices para supervisar el rendimiento de un servidor DHCP


Contadores de rendimiento comunes para supervisar el rendimiento de un servidor DHCP


Hay una utilidad administrativa, la consola Rendimiento, que permite supervisar el rendimiento del servidor DHCP. Cuando se abre la consola Rendimiento, se muestra el árbol con dos nodos. El primer nodo es Monitor de sistema y el segundo es Registros y alertas de rendimiento.

El Monitor de sistema es donde puede agregar contadores y objetos de rendimiento a cualquiera de las tres vistas gráficas: gráfico, histograma e informe. También puede ver los datos registrados. Si agrega un contador que tiene más de una instancia, puede seleccionarla.

En el Monitor de sistema, un objeto de rendimiento es un conjunto lógico de contadores asociado a un recurso o servicio que se puede supervisar.

En el Monitor de sistema, un contador de rendimiento es un elemento de datos asociado a un objeto de rendimiento. Para cada contador seleccionado, el Monitor de sistema muestra un valor correspondiente a un aspecto concreto del rendimiento definido para el objeto de rendimiento.

En el Monitor de sistema, una instancia de objeto de rendimiento es un término que permite distinguir entre varios objetos de rendimiento del mismo tipo en un equipo.

Consola Rendimiento

Definiciones


En la tabla siguiente se ofrece una muestra de contadores de rendimiento comunes, junto con una explicación del significado y las consecuencias de los datos. (El objeto de rendimiento es el servidor DHCP.)

Contadores de rendimiento

Datos recopilados

Significado de los datos

Qué buscar una vez establecida una referencia

Packets received/second (Paquetes recibidos/seg.)

Número de paquetes de mensajes que recibe el servidor DHCP por segundo.

Un número alto indica que hay mucho tráfico de mensajes relativos a DHCP en el servidor.

Monitorizar los aumentos o reducciones repentinos que podrían indicar problemas en la red.

Requests/second (Solicitudes/segundo)

Número de mensajes de solicitud DHCP por parte de clientes que recibe el servidor DHCP por segundo.

Un aumento repentino o anormal de este número señala una gran cantidad de clientes que intentan renovar sus concesiones con el servidor DHCP. Esto puede indicar que la duración de las concesiones en ámbitos es demasiado corta.

Monitorizar los aumentos o reducciones repentinos que podrían indicar problemas en la red.

Active queue length (Longitud de la cola activa)

Longitud actual de la cola de mensajes interna del servidor DHCP. Este número equivale al número de mensajes sin procesar que recibe el servidor.

Un número alto puede indicar que el servidor DHCP no puede mantener la carga de solicitudes realizadas.

Monitorizar los aumentos repentinos y graduales que podrían indicar una carga mayor o una capacidad menor del servidor.

Duplicates dropped/second (Duplicados eliminados/segundo)

Número de paquetes duplicados que elimina el servidor DHCP por segundo.

Este número puede verse afectado si varios Agentes de retransmisión DHCP o interfaces de red reenvían el mismo paquete al servidor. Un número alto indica que el servidor no responde con la suficiente rapidez o que el umbral de inicio del agente de retransmisión tiene un valor demasiado bajo.

Monitorizar en este contador alguna actividad que pueda indicar la transmisión de más de una solicitud en nombre de clientes.

Contadores de rendimiento comunes


Directrices para crear alertas de un servidor DHCP


Una alerta es una característica que detecta cuándo el valor predefinido de un contador es inferior o superior a un valor especificado. El valor especificado del contador se denomina umbral de alerta.

Los contadores disponibles para el objeto de rendimiento del servidor DHCP también están disponibles para crear alertas. Si conoce el nivel aceptable con respecto al que puede oscilar hacia arriba o hacia abajo el valor de un contador antes de producirse un problema, puede crear una alerta que le informe de dicha variación y que ejecute un programa o una secuencia de comandos.

Se recomienda seguir las directrices siguientes al crear alertas para un servidor DHCP:

Antes de crear una alerta, defina el nivel aceptable con respecto al que puede oscilar el valor de un contador de DHCP.

• Para ello, se puede registrar el contador de DHCP durante un período para crear una referencia. Con esta referencia puede averiguar el intervalo de funcionamiento normal de un contador de DHCP y crear después alertas que le informen cuando la actividad para dicho contador se encuentre fuera de este intervalo.

Use secuencias de comandos con las alertas.

• Utilice comandos de Netshell DHCP en una secuencia de comandos para responder a la alerta.

Definición

Por qué se deben crear alertas para un servidor DHCP

Directrices para crear alertas en un servidor DHCP


Ha estado supervisando la actividad de un servidor DHCP mediante el Monitor de sistema. Ha consultado el siguiente contador:

Discover/sec (Descubrimientos/seg). El número de mensajes de descubrimientos de DHCP (DHCPDISCOVER) que ha recibido el servidor por segundo. Los clientes envían estos mensajes cuando inician una sesión en la red y obtienen una nueva concesión de dirección. Una reducción repentina o anormal del número de solicitudes DHCP por segundo podría indicar que un enrutador o un Agente de retransmisión DHCP ha dejado de reenviar paquetes DHCP y que, por tanto, pronto caducarán las concesiones de los clientes. Con una alerta que le informe de esta condición podrá prevenir el problema y diagnosticarlo antes de que comiencen a caducar las concesiones de direcciones IP.

Ejemplo de la aplicación de directrices


Ejercicio: Supervisar DHCP


En este ejercicio, supervisará el rendimiento de un servidor DHCP mediante la consola Rendimiento. Tendrá la oportunidad de supervisar un servidor DHCP en tiempo real y crear una alerta.

Para completar este ejercicio, consulte el documento Valores del plan de implementación, incluido en el apéndice al final del cuaderno de trabajo.

Debe haber iniciado sesión con una cuenta que no tenga credenciales administrativas y ejecutar el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas apropiadas para realizar la tarea.

Se han quitado muchos equipos del departamento de laboratorio. Algunos de los equipos cliente que quedan están experimentando conflictos con las direcciones IP y otros no pueden conseguir la concesión de direcciones IP por parte del servidor DHCP.

El ingeniero de sistemas ha diseñado una estrategia de registro de auditoría del servidor DHCP. Habilitará y configurará el registro de auditoría del servidor DHCP y después consultará los registros de auditoría en busca de errores relativos a concesiones a clientes DHCP.

� Habilitar y configurar el registro de auditoría de DHCP

Complete esta tarea desde los equipos de ambos alumnos. Ruta del archivo de registro de auditoría: C:\Audit

� Renovar la concesión de la dirección IP del cliente DHCP

Realice esta tarea desde el equipo del alumno que tenga el número de identificación más alto.

En el equipo cliente DHCP, en el símbolo del sistema, utilice el comando ipconfig para liberar y después renovar la dirección IP.

Objetivo

Instrucciones


Ejercicio: Habilitar y configurar el registro de auditoría de DHCP


� Ver el registro de auditoría de DHCP

Complete esta tarea desde el equipo del alumno con el número de identificación más bajo.

Vaya a C:\Audit. Consulte el archivo de registro de hoy y responda a la siguiente pregunta:

• ¿Cuál es la marca de fecha y hora de la última concesión asignada? _________

Se han agregado nuevos equipos cliente al departamento de laboratorio. El ingeniero de sistemas desea que compare el número de direcciones IP concedidas actualmente según se indica en el servidor DHCP del departamento de laboratorio con el número de direcciones IP concedidas actualmente según se indica en el Plan de implementación. Consultará las estadísticas del servidor DHCP para comprobar el número de direcciones IP concedidas actualmente.

� Habilitar la actualización automática de las estadísticas de DHCP

Complete esta tarea desde el equipo del alumno que tenga el número de identificación más bajo.

Configure las estadísticas para que se actualicen automáticamente cada minuto.

� Ver las estadísticas de un servidor DHCP

Complete esta tarea desde el equipo del alumno que tenga el número de identificación más bajo.

Consulte las estadísticas y responda a las siguientes preguntas:

• ¿Cuánto tiempo se ha estado ejecutando el servidor DHCP? ________

• ¿Cuántas direcciones se están utilizando? _________

• ¿Cuántas direcciones están disponibles? ___________

Ha recibido algunas llamadas de los administradores del departamento de soporte debido a que algunos clientes DHCP no han recibido direcciones IP. Va a recopilar datos de DHCP con el fin de analizarlos. Creará un registro de datos de DHCP mediante la consola Rendimiento, el objeto del servidor DHCP y los contadores.


Ejercicio: Habilitar la actualización automática de las estadísticas de DHCP



� Configurar el Monitor de sistema para recopilar datos de un servidor DHCP en tiempo real

Complete esta tarea desde los equipos de ambos alumnos. 1. Abra la consola Rendimiento. 2. Elimine los contadores de la vista predeterminada Monitor de sistema. 3. Agregue los siguientes contadores desde el objeto de rendimiento Servidor

DHCP a la vista Monitor de sistema:

• Recs/s

• Descubrimientos/s

• Ofertas/s

• Paquetes recibidos/s

• Liberaciones/s 4. En el cuadro de diálogo Propiedades de Monitor de sistema, en la ficha

Gráfico, en el campo Máximo de Escala vertical, escriba 5 y haga clic en Aceptar.

No cierre la consola Rendimiento hasta que no haya creado un gráfico y una alerta, y haya guardado la consola.

� Crear una alerta

Complete esta tarea desde los equipos de ambos alumnos. 1. En la consola Rendimiento, seleccione Alertas en Registros y alertas

de rendimiento. 2. En el menú Acción, haga clic en Nueva configuración de alerta. 3. En el cuadro de diálogo Nueva configuración de alerta, escriba Alerta

de renovación de DHCP y haga clic en Aceptar. 4. En el cuadro de diálogo Alerta de renovación de DHCP, en el campo

Comentario de la ficha General, escriba Alertar cuando el cliente DHCP renueve la concesión de IP y, a continuación, haga clic en Agregar.

5. En el cuadro de diálogo Agregar contadores, en el campo Objeto de rendimiento, seleccione Servidor de DHCP, agregue el contador Recs/s. y, a continuación, haga clic en Cerrar.

6. En el cuadro de diálogo Alerta de renovación de DHCP, en el campo Límite de la ficha General, escriba 1

7. En el cuadro de diálogo Alerta de renovación de DHCP, en el campo Intervalo de la ficha General, escriba 1

8. En el campo Ejecutar como, escriba NombreDeEquipoAdmin y haga clic en Establecer contraseña.

9. En el cuadro de diálogo Establecer contraseña, escriba P@ssw0rd en los campos Contraseña y Confirmar contraseña, y haga clic en Aceptar.

Ejercicio: Configurar el Monitor de sistema para recopilar datos de un servidor DHCP en tiempo real

Importante


10. En la ficha Acción, seleccione Enviar un mensaje de red a y escriba NombreDeEquipoUser.

11. En la ficha Programación, compruebe que está seleccionada la opción Manualmente (usando el menú contextual) en Iniciar detección y haga clic en Aceptar.

12. Guarde la consola Rendimiento como DHCP y después guárdela en el escritorio de la carpeta All Users.

13. Minimice la consola Rendimiento. La utilizará en la práctica.

� Configurar el inicio del servicio Messenger

Complete esta tarea desde los equipos de ambos alumnos. 1. En la herramienta administrativa Servicios, configure el servicio Messenger

para que se inicie automáticamente. 2. En la herramienta administrativa Servicios, inicie el servicio Messenger.


Lección: Aplicar directrices de seguridad para DHCP


Es importante aplicar las prácticas recomendadas de seguridad cuando se utilicen servidores DHCP en la red. En esta lección se tratan problemas de seguridad conocidos de DHCP y de otros protocolos relacionados.


Aplicar directrices para impedir que un usuario no autorizado obtenga una concesión.

Aplicar directrices para impedir que un servidor DHCP no autorizado y que no es de Microsoft conceda direcciones IP a clientes DHCP.

Aplicar directrices para restringir quién puede administrar el servicio DHCP.

Aplicar directrices para proteger la base de datos DHCP.

Introducción



Directrices para impedir que usuarios no autorizados obtengan concesiones


Cuando un usuario se conecta a la red, no se le exige que proporcione las credenciales para obtener una concesión. Por tanto, un usuario no autenticado puede obtener una concesión para cualquier cliente DHCP siempre que esté disponible un servidor DHCP para proporcionarla.

Usuarios malintencionados con acceso físico a la red donde se usa DHCP pueden provocar un ataque de denegación de servicio en servidores DHCP solicitando muchas concesiones del servidor y agotando así el número de concesiones disponibles para otros clientes DHCP.

Las directrices para impedir que un usuario no autorizado obtenga una concesión son las siguientes:

Compruebe que no hay personas no autorizadas con acceso físico o inalámbrico a la red.

Habilite el registro de auditoría de cada servidor DHCP de la red. Compruebe con regularidad los archivos de registro de auditoría y

supervíselos cuando el servidor DHCP reciba un número anormalmente alto de solicitudes de concesiones por parte de clientes.

Utilice puntos de acceso inalámbrico o conmutadores de red de área local (LAN) compatibles con 802.1X para el acceso a la red.

• Cuando los clientes que ejecutan Microsoft Windows XP utilizan puntos de acceso inalámbrico o conmutadores LAN compatibles con 802.1X para el acceso a la red, la autenticación se produce antes de que el servidor DHCP asigne una concesión, proporcionándose así una mayor seguridad para DHCP.

Propósito

Directrices


Cuando el servidor DHCP se configura para actuar como servidor proxy del Sistema de nombres de dominio (DNS) para clientes DHCP y para realizar actualizaciones dinámicas de DNS, un usuario malintencionado puede provocar un ataque de denegación de servicio contra el servidor DHCP y contra el servidor DNS inundando el servidor DHCP con solicitudes de concesiones.

Para obtener más información acerca de cómo identificar un ataque de denegación de servicio, consulte la documentación de Ayuda de Windows Server 2003.

Las directrices para impedir que un usuario no autorizado obtenga una concesión a través del servidor DHCP son las siguientes:

Compruebe que no hay personas no autorizadas con acceso físico o inalámbrico a la red.

Utilice los registros de auditoría de DHCP, que se encuentran de forma predeterminada en %Systemroot%\System32\Dhcp, para supervisar las actualizaciones dinámicas de DNS que realiza el servidor DHCP. La dirección IP del cliente DHCP está incluida en el registro de auditoría de DHCP, lo que permite localizar el origen del ataque de denegación de servicio.

Para obtener más información, consulte la sección que trata el análisis de los archivos de registro del servidor y del registro de la auditoría en la documentación de Ayuda de Windows Server 2003.

Ataques de denegación de servicio contra el servidor DNS a través del servidor DHCP

Nota

Nota


Directrices para impedir que servidores DHCP no autorizados y que no son de Microsoft concedan direcciones IP


Sólo los servidores DHCP que ejecutan Windows 2000 o Windows Server 2003 se pueden autorizar en el servicio de directorio Active Directory®. Si un servidor DHCP que ejecuta Windows 2000 o Windows Server 2003 descubre que no está autorizado en Active Directory, dejará de atender a los clientes DHCP. Debido a este error de autorización, si un usuario malintencionado o incompetente instala un servidor DHCP no autorizado que ejecuta Windows 2000 o Windows Server 2003 en la red de la organización, el servidor no podrá asignar concesiones incorrectas o en conflicto, configurar clientes DHCP con opciones inadecuadas ni interrumpir servicios de red.

El software de los servidores DHCP que no son de Microsoft no contiene la característica de autorización incluida en DHCP para Windows 2000 y Windows Server 2003. Como los clientes DHCP difunden los mensajes DHCPDISCOVER al servidor DHCP más cercano, si un usuario malintencionado instala un servidor DHCP que no es de Microsoft en la red de la organización, los clientes DHCP cercanos recibirán concesiones incorrectas que podrían causar conflictos con las direcciones IP asignadas a otros clientes DHCP de la red. Además, el servidor DHCP que no es de Microsoft puede configurar clientes DHCP que obtengan concesiones a través de él con información de opciones incorrecta. De este modo se puede cambiar el enrutamiento del tráfico de la red y hacer que no funcione correctamente.

Para impedir que servidores DHCP no autorizados y que no son de Microsoft concedan direcciones IP, asegúrese de que las personas no autorizadas no tienen acceso físico ni inalámbrico a la red.

Servidor DHCP de Microsoft

Servidor DHCP que no es de Microsoft no autorizado

Directriz


Directrices para restringir quién puede administrar el servicio DHCP


Debe ser miembro del grupo Administradores o del grupo Administradores de DHCP para administrar servidores DHCP mediante la consola DHCP o los comandos de Netsh para DHCP. Además, de forma predeterminada, sólo los miembros del grupo Administradores de organización pueden autorizar o desautorizar los servidores DHCP en Active Directory. Los miembros de este grupo también pueden delegar el derecho a autorizar servidores DHCP en otros principales de seguridad.

Cuando se instala el servicio Servidor DHCP en un servidor miembro o un servidor independiente, se crean dos grupos locales: Usuarios de DHCP y Administradores de DHCP. Cuando se instala el servicio Servidor DHCP en un controlador de dominio, los dos grupos se crean como grupos locales del dominio. Los grupos creados no tienen miembros, ni tampoco son miembros de otros grupos; para que tengan valor, debe agregarles miembros.

Los miembros del grupo Usuarios de DHCP tienen acceso de sólo lectura a la consola DHCP en el servidor, que les permite ver, pero no modificar, datos del servidor DHCP, incluida la configuración del servidor, claves del Registro, archivos de registro DHCP y la base de datos DHCP. Los miembros del grupo Usuarios de DHCP no pueden crear ámbitos, modificar valores de opciones, crear reservas o intervalos de exclusión, ni modificar de ninguna otra manera la configuración del servidor DHCP.

Introducción

Usuarios de DHCP


Los miembros del grupo Administradores de DHCP pueden ver y modificar cualquier información del servicio DHCP. Los administradores de DHCP pueden crear y eliminar ámbitos, agregar reservas, cambiar valores de opciones, crear superámbitos o realizar cualquier otra actividad necesaria para administrar el servidor DHCP, incluidas la exportación e importación de la configuración del servidor DHCP y la base de datos DHCP. Los administradores de DHCP realizan estas tareas mediante los comandos de Netsh para DHCP o la consola DHCP. Para obtener más información, consulte la sección acerca de las herramientas DHCP en la documentación de Ayuda de Windows Server 2003.

Los miembros del grupo Administradores de DHCP no tienen derechos administrativos ilimitados. Por ejemplo, si un servidor DHCP también está configurado como servidor DNS, un miembro del grupo Administradores de DHCP puede ver y modificar la configuración de DHCP, pero no puede modificar la configuración del servidor DNS en el mismo equipo.

Puesto que los miembros del grupo local Administradores de DHCP tienen derechos sólo sobre el equipo local, no pueden autorizar ni desautorizar servidores DHCP en Active Directory. Únicamente los miembros del grupo Administradores de organización o aquéllos en los que éstos deleguen pueden realizar esta tarea. Si desea autorizar o desautorizar un servidor DHCP en un dominio secundario, debe tener las credenciales de administrador de organización para el dominio primario. Para obtener más información acerca de cómo autorizar servidores DHCP en Active Directory, consulte la sección correspondiente en la documentación de Ayuda de Windows Server 2003.

Pueden utilizarse grupos para administrar los servidores DHCP de un dominio. Cuando se agrega un usuario o grupo al grupo Usuarios de DHCP o Administradores de DHCP en un servidor DHCP, los derechos de los miembros de estos grupos no son aplicables a todos los servidores DHCP del dominio. Los derechos corresponden únicamente al servicio DHCP en el equipo local. Para asignar derechos a un usuario o grupo sobre todos los servidores DHCP del dominio, puede agregarlo al grupo Administradores de DHCP en cada servidor DHCP del dominio.

Para obtener más información acerca de cómo delegar la administración, consulte la sección que trata la delegación de la capacidad de autorizar servidores DHCP en un administrador que no sea de la empresa, en la documentación de Ayuda de Windows Server 2003.

Las directrices para restringir quién puede administrar el servicio DHCP son las siguientes:

Restrinja la pertenencia al grupo Administradores de DHCP al número mínimo de usuarios necesarios para administrar el servicio DHCP en ese equipo.

Si hay usuarios que necesitan el acceso de sólo lectura a la consola DHCP, agréguelos al grupo Usuarios de DHCP y no al grupo Administradores de DHCP.

Para obtener más información, consulte la sección acerca de los grupos DHCP en la documentación de Ayuda de Windows Server 2003.

Administradores de DHCP

Administrar servidores DHCP de un dominio

Nota

Directrices

Nota


Directrices para proteger la base de datos DHCP


Los permisos predeterminados para la carpeta de DHCP limitan el acceso a los archivos de la base de datos y los archivos de auditoría sólo a usuarios autorizados. Cambie estos permisos predeterminados según sea necesario para proporcionar acceso a los archivos a aquellas personas que vayan a realizar tareas administrativas (como el análisis y la copia de seguridad de los archivos de registro del servidor DHCP).

Para obtener más información acerca de cómo analizar los registros de servidores DHCP, consulte la sección referente a la administración de servidores DHCP en la documentación de Ayuda de Windows Server 2003.

Los permisos predeterminados para %Systemroot%\System32\Dhcp son los siguientes:

Administradores: Control total Creador/Propietario: Control total Usuarios avanzados: Leer y ejecutar Usuarios autenticados: Leer y ejecutar Sistema: Control total

Si el servicio Servidor DHCP se instala en un controlador de dominio, el grupo local Usuarios avanzados se reemplaza por el grupo global Operadores de servidores.

Propósito

Nota

Permisos predeterminados

Nota


Para proteger aún más la base de datos DHCP, aplique las siguientes directrices:

Considere la posibilidad de cambiar los permisos predeterminados para la carpeta de DHCP.

Proporcione únicamente los permisos mínimos necesarios para que los usuarios puedan realizar sus tareas.

Proporcione permisos de lectura a los usuarios responsables del análisis de los archivos de registro del servidor DHCP.

Quite los grupos Usuarios autenticados y Usuarios avanzados para reducir el acceso a los archivos de la carpeta de DHCP.

No cambie los permisos para los grupos Sistema o Administradores. La modificación de los permisos predeterminados puede causar un funcionamiento incorrecto del servidor DHCP e impedir que los administradores puedan realizar las tareas de mantenimiento de DHCP, como la copia de seguridad de la base de datos.

Directrices

Importante

Documents

29.- Administrar y supervisar DHCP.pdf