Windows Server 2008 R2:Servicios de red

Ignacio Sánchez-Beato Paredesisanchezbeato@informatica64.com

Código: HOL-WIN64

Agenda

► Introducción► Servicios de Red. Necesidades de implementación en entornos Windows.► Servicio DNS. Funcionalidad y administración.

DNSsec► Servicio DHCP. Implementación, integración con Directorio Activo.

Failover DHCP► Servicio Branch Caché. ► Direct Access (Introducción).► Servicios de acceso a la red: NAS

VPN y RADIUS NAP (Introducción)

Funcionalidad DNS

►Nombres DNS DIRS. IP => AGENDA TELEFÓNICA►Dominios:

Raíz . “dot” Nivel superior net, com, org,.. Segundo nivel microsoft, terra Subdominio www, nort, east…. FQDN server1.nort.microsoft.net(.) Nombre

inequívoco►Estándares A-Z, a-z, 0-9, Guión (-)

Tipos de zona en DNS

►Zonas de resolución directaZona primariaZona secundariaZona de código Auxiliar

►Zonas de resolución inversaZona primariaZona Secundaria

Tipos de registros DNS

►SOA (Start Of Authority)Principio de autoridad de una zona DNS

►NS (Name Server)Identifican los servidores de nombres de una zona

►Host A o AAAAPara identificar un equipo

►CNAMEAlias para cualquier registro

►MXMail Exchanger – Para los servidores de correo

►PTRRegistro de resolución inversa

Administración DNS

►Configurar el valor del período de vida►Configurar la caducidad y el borrado►Probar la configuración del servidor DNS►Comprobar que un registro de recursos existe

mediante Nslookup.

Cómo funciona el valor del período de vida

Los registros de la zona se envían a otros servidores y clientes DNS como respuestas a consultasLos registros de la zona se envían a otros servidores y clientes DNS como respuestas a consultas11

Los servidores y clientes DNS que almacenan el registro en su caché lo mantienen durante el período de vida que se indica en élLos servidores y clientes DNS que almacenan el registro en su caché lo mantienen durante el período de vida que se indica en él22

Cuando el TTL caduca, el registro se quita de la cachéCuando el TTL caduca, el registro se quita de la caché33

El período de vida (TTL) es un valor de tiempo de espera expresado en segundos que se incluye con los registros DNS devueltos en las consultas DNS

El período de vida (TTL) es un valor de tiempo de espera expresado en segundos que se incluye con los registros DNS devueltos en las consultas DNS

Zona

TTL configuradoen la zona

Servidor DNS 1 Servidor DNS 1 Cliente DNSCliente DNSServidor DNS 2autorizado

Servidor DNS 2autorizado

Caché Caché Caché Caché

Registro de recursos Registro de recursos Registro de recursos Registro de recursos

Cómo configurar el valor del período de vida

DEMO:DEMO:

Ajustar el valor del período de vida para una zonaAjustar el valor del período de vida para un registro de recursos

Ajustar el valor del período de vida para una zonaAjustar el valor del período de vida para un registro de recursos

Qué son los parámetros de caducidad y borrado

Parámetro Descripción Ejemplo

Intervalo de no actualización

Período durante el que el servidor DNS no acepta intentos de actualización

7 días (valor predeterminado)

Intervalo de actualización

Período durante el que el servidor DNS acepta intentos

de actualización

7 días (valor predeterminado)

La caducidad es el proceso que determina si un registro de recursos DNS anticuado debe quitarse de la base de datos DNSLa caducidad es el proceso que determina si un registro de recursos DNS anticuado debe quitarse de la base de datos DNS

El borrado es el proceso de limpieza y eliminación de datos de nombres anticuados o extintos de la base de datos DNSEl borrado es el proceso de limpieza y eliminación de datos de nombres anticuados o extintos de la base de datos DNS

Un intento de actualización es el proceso en el que un equipo solicita una actualización de su registro DNSUn intento de actualización es el proceso en el que un equipo solicita una actualización de su registro DNS

Cómo funcionan la caducidad y el borrado

1 ene 15 ene8 ene

BorrarBorrarIntervalo de no actualización

Intervalo de no actualización

Intervalo deactualizaciónIntervalo deactualización

Marcade tiempoMarcade tiempo

CaducidadCaducidad

7 días 7 días

Cómo configurar la caducidad y el borrado

DEMO:DEMO:

Configurar los parámetros de caducidad y borrado en el servidor DNSConfigurar los parámetros de caducidad y borrado en una zona DNSHabilitar el borrado automático de los registros de recursos obsoletos en un servidor DNSIniciar inmediatamente el borrado de los registros de recursos obsoletosVer cuándo una zona puede empezar a borrar los registros obsoletosConfigurar la marca de tiempo en un registro de recursos DNS

Configurar los parámetros de caducidad y borrado en el servidor DNSConfigurar los parámetros de caducidad y borrado en una zona DNSHabilitar el borrado automático de los registros de recursos obsoletos en un servidor DNSIniciar inmediatamente el borrado de los registros de recursos obsoletosVer cuándo una zona puede empezar a borrar los registros obsoletosConfigurar la marca de tiempo en un registro de recursos DNS

Nslookup

Nslookup es una utilidad de línea de comandos que se emplea para diagnosticar la infraestructura DNSNslookup es una utilidad de línea de comandos que se emplea para diagnosticar la infraestructura DNS

Esta muerto Netbios?

WINS?

►En Windows 2008 Server Wins es una caracteristica

►Un gran problema: IPv6 doesn't no entiende de WINS/NetBIOS y vice versa

IPv6 y AAAA

►IPv6 trae registros AAAA ("quad-A") , que mapea nombres de equipo con direcciones IPv6

►Clientes DNS de Vista y 2008 registran automaticamente recursos AAAA

►Aunque las direcciones que comienzan con "FE80" no se registran en DNS

Carga de zona en segundo plano

Proceso de carga de zonas en Windows 2003

1

•Enumerar zonas

2

•Carga de sugerencias raiz

3

•Carga archivo de zonas (system32\dns\*.dns)

4

•Abre puertos RPC para consultas

5

•Carga las zonas integradas en AD

DNS no puede responder hasta

que se cargan las zonas de AD

Cambios en DNS serverSoluciones

►DNS es ahora multitarea.

►No acepta acctualizaciones hasta que se cargan todas las zonas

Post-WINS Single Label Names

►Con WINS nos podiamos refererir a un servidor con server44 en vez de server44.eastcoast.sales.bigfirm.com

►En un AD simple, todavia tenemos esta caracteristica

►Que pasa en otros entornos?

Etiquetado simple(en 2003)

►Podiamos implementar una lista de sufijos DNS via GPOs (Computer Config / Admin Templates / Network / DNS Client)

►Pero….

Que pasa si hay multiples server44s?

El cliente para la resolucion DNS tras 12 segundos y despues acude a WINS

Etiquetado simple en 2008Crear GlobalNames

►Crear una zona llamada "GlobalNames"►Todos los servidores DNS autoritativos deben ser Server 2008 ►En cada servidor que posea la zona, hay que habilitar la

resolucion global namednscmd /config /enableglobalnamessupport 1

►Añadir CNAMEs►Para asegurarnos de que "server44" siempre devuelva

server44.sales.bigfirm.com, crear este GlobalNames:server44 CNAME server44.sales.bigfirm.com

DNAME Simplificando la Migracion

Dom2003.local Dom2008.local Change

Config Files

Change Reg

Change

Code

►Poner el registro DNAME en el dominio antiguo

►Deberia apuntar al nuevo dominio

►Por ejemplo: Migrar de Dom2003.local->Dom2008.local

Editar la zona Dom2003.local

Añadir un registro “Dom2003.local. DNAME Dom2008.local.”

Efecto: la busqueda de www.Dom2003.local en el servidor DNS retornara el registro de tipo A de www.Dom2008.local

DNAME Detalles

►No GUI!

dnscmd servername /recordadd Linux.com @ DNAME Microsoft.com

DNAME

►dnscmd /zoneadd Dom2003.local /primary►dnscmd /zoneadd Dom2008.local /primary►dnscmd /recordadd Dom2008.local S2008M1 A 10.10.1.2

►dnscmd /recordadd Dom2003.local @ dname Dom2008.local

►nslookup S2008M1.Dom2003.local

DNAME

DNSsec

►¿Qué es? Es una suite de extensión de DNS

RFCs 4033, 4034, y 4035►¿Qué hace?

Añade autoridad de origenIntegridad de datosDenegación autenticada de existenciaNuevos registros:

DNSKEY (guarda la clave pública)RRSIG (Resource Record Signature)NSEC (Next Secure)DS (Delegator Signed)

DNSsec

►SeguridadSSLIPsec

►Recursos y rendimientoAumenta el uso de CPU para la validación de datosAumenta el uso de la red, mayor número de

paquetesTarda de 3 a 5 veces más en cargar una zona segura

con DNSsec que una zona no segura.Si hay zonas grandes ADI, la base de datos de AD

aumenta considerablemente

Desplegando DNSsec

►ProcedimientoFirmar una zona

Generar los pares de claves para la zonaoDnsCmd /OfflineSign /GenKey /Alg rsasha1 /Flags KSK /Length

<length> /Zone <zone name> /SSCert /FriendlyName KSK-<zone name>oDnsCmd /OfflineSign /GenKey /Alg rsasha1 /Length <length> /Zone

<zone name> /SSCert /FriendlyName ZSK-<zone name>Copia de seguridad de las claves

oDesde la consola de certificados (MS-DNSSEC)Firmar la zona

oDnsCmd /OfflineSign /SignZone /input <input zone file> /output <output zone file> /zone <zone name> /signkey /ValidTo <validtodate> /ValidFrom <validfromdate> /cert /friendlyname ksk-<zone name> /signkey /cert /friendlyname zsk-<zone name>

Si es ADI: dnscmd /ZoneExport <zone name> <input zone file>

Desplegando DNSsec

►ProcedimientoFirmar una zona

Recargar la zonaodnscmd /ZoneDelete <zone name> /fodnscmd /ZoneAdd <zone name> <zone type> /file <zone file name> /load

Si es ADIodnscmd /ZoneDelete <zone name> /dsdel /fodnscmd /ZoneAdd <zone name> <zone type> /file <zone file name> /loadodnscmd /ZoneResetType <zone name> /dsprimary

Comprobar la zonaMediante nslookupBuscar registro DNSKEY en la consola DNS

DHCP (Dynamic Host Configuration Protocol)

►Protocolo de configuración dinámica de Host►No sólo configura la IP►Integrado con DNS►Compatible con IPv6►Preparado para WDS y PXE►Ahora Failover cluster

DHCP – Instalación y configuración

►Es un rol de Windows Server 2008 R2Configurar los interfaces que responderán

peticiones de DHCPConfiguración IPv4 e IPv6Añadir ámbitos de DHCPAutorizar el servidor en un dominioConfigurar opciones de servidor

DHCP - FailOver

►Antes para poder disponer de alta disponibilidad de DHCP se tenía que usar la regla del 70-30

Un servidor con el 30% del ámbito excluidoOtro servidor con el 70% del ámbito excluido

►Ahora es posible clusterizar el servicio de DHCP

Servicios de Ficheros en Red

►Novedad: Branch CacheModelo DistribuidoModelo Hospedado

►Frente a DFS (Distributed File System)Espacio de nombresReplicación de ficheros

►DiferenciasReducción del trafico de redReducción del espacio de almacenamiento

Branch Cache

►Modelo Distribuido

Branch Cache

►Modelo Hospedado

Branch Cache - Configuración

►Configurar el servidor de Branc CacheInstalar característica de Branch CacheConfigurar los servidores de Branch Cache

mediante GPOConfiguración de equipo, Directivas, Plantillas administrativas, Red, Servidor Lanman.Habilitar publicación de HASH para BranchCache.

►Configurar el servidor de ficherosInstalar el servicio de rol Branch Cache para el

servidor de ficherosHabilitar Branch Caché para los recursos

compartidos

Branch Cache - Configuración

►Configurar los equipos para usar Branch CacheHabilitar BrachCache distribuido a través de las

GPOsConfiguración de equipo, Directivas, Plantillas administrativas, Red, BranchCache.

oActivar BrachCacheoEstablecer el modo de Branch Caché

(distribuido/hospedado)oConfigurar BranchCache para archivos de red

Habilitar reglas de firewall a través de GPOsReglas de entrada predefinidas

oBranchCache: recuperación de contenido (usa HTTP) oBranchCache: detección del mismo nivel (usa WSD)

(NAS) - Servicios de acceso a redes

►Ofrecen acceso a la red de manera local o remota►Permite definir directivas para (NPS):

AutenticaciónAutorizaciónMantenimiento de clientes

►Servicios de enrutamiento y acceso remotoVPNRouting

►Autoridad de registro de mantenimiento (HRA)►Protocolo de autenticación de credenciales de host (HCAP)

Direct Access – Novedad frente a VPN

VPN DirectAccess

DirectAccess Server(Server 2008 R2)

DirectAccess Client(Windows 7)

Internet

Native IPv6

6to4

Teredo

IP-HTTPS

Tunnel over IPv4 UDP, HTTPS, etc.

Encrypted IPsec+ESP

IPsec Gateway

Encrypted IPsec+ESP

IPsec Hardware Offload Supported

Network Access Protection (NAP)

►Redes Interconectadas►Datos Distribuidos►Trabajadores Móviles►Extranet de Negocio►Acceso Remoto►Servicio Web►Wireless►Dispositivos Móviles

Internet

Intranet

`

Remote Employees

Remote Access Gateway

Web Server

Customers

Perimeter

X Infrastructure ServersExtranet

Server

`

Network Access Protection (NAP)

Validación de PolíticasDetermina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables”

Restricciones de RedRestringe el acceso a la red a los equipos en función de su salud

RemediaciónProvee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red

Cumplimiento sobre la marchaLos cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red

Network Access ProtectionFuncionamiento

No Cumplela Política

1

RedRestringida

El cliente solicita acceso a la red y presenta su estado de salud actual

1

4Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4)

2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS)

5 Si cumple la política al cliente se le permite el acceso total a la red corporativa

MSFT NPS

3

Servidor de Políticas e.g. Patch,

AV

Cumple laPolítica

3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT

2

Cliente Windows

DHCP, VPNSwitch/Router

Fix UpServerse.g. Patch

Red Corporativa5

4

Forzado Cliente Saludable Cliente no Saludable

DHCPConfiguración IP completa. Acceso Total

Conjunto de rutas restringido

Direct Access Acceso Total VLAN Restringida

HTTPS Acceso Total VLAN Restringida

802.1X Acceso Total VLAN Restringida

IPsec

Puede comunicar con cualquier nodo en que confie

Nodos saludables rechazan la conexión de sistemas no Saludables

•Complementa la protección a nivel 2•Funciona con la infraestructura existente•Aislamiento Flexible

Protección LAN con NAP

Solicitando Acceso.

Mi estado de salud

MS NPS

Cliente Switch 802.1X

Servidores de Remediación

¿Puedo acceder? Aquí esta mi estado de Salud

¿Debe este cliente ser restringido basándonos en su estado de salud?

Actualización de políticas al servidor

NPS

Tienes acceso restringido hasta que te actualices

¿Puedo obtener Actualizaciones?

Aquí las tienes.

Según las políticas, el cliente no esta al día.Poner en cuarentena y solicitar actualización.

Red Restringida

Se permite el acceso total al Cliente

Servidores de Chequeo de Salud

Según las políticas, el cliente cumple. Permitir Acceso.

PatchStatusAV

Status

¿Preguntas?

TechNews

Contactos

►Informática 64http://www.informatica64.comi64@informatica64.com+34 91 665 99 98

►Ignacio Sánchez-Beato Paredesisanchezbeato@informatica64.com