La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Código: HOL-WIN64. ► Introducción ► Servicios de Red. Necesidades de implementación en entornos Windows. ► Servicio DNS. Funcionalidad y administración.

Publicada porChickie Quijano Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Código: HOL-WIN64. ► Introducción ► Servicios de Red. Necesidades de implementación en entornos Windows. ► Servicio DNS. Funcionalidad y administración."— Transcripción de la presentación:

1 Código: HOL-WIN64

2 ► Introducción ► Servicios de Red. Necesidades de implementación en entornos Windows. ► Servicio DNS. Funcionalidad y administración.  DNSsec ► Servicio DHCP. Implementación, integración con Directorio Activo.  Failover DHCP ► Servicio Branch Caché. ► Direct Access (Introducción). ► Servicios de acceso a la red: NAS  VPN y RADIUS  NAP (Introducción)

3 ► Nombres DNS  DIRS. IP => AGENDA TELEFÓNICA ► Dominios:  Raíz . “dot”  Nivel superior  net, com, org,..  Segundo nivel  microsoft, terra  Subdominio  www, nort, east….  FQDN  server1.nort.microsoft.net(.)  Nombre inequívoco ► Estándares  A-Z, a-z, 0-9, Guión (-)

4 ► Zonas de resolución directa  Zona primaria  Zona secundaria  Zona de código Auxiliar ► Zonas de resolución inversa  Zona primaria  Zona Secundaria

5 ► SOA (Start Of Authority)  Principio de autoridad de una zona DNS ► NS (Name Server)  Identifican los servidores de nombres de una zona ► Host A o AAAA  Para identificar un equipo ► CNAME  Alias para cualquier registro ► MX  Mail Exchanger – Para los servidores de correo ► PTR  Registro de resolución inversa

6 ► Configurar el valor del período de vida ► Configurar la caducidad y el borrado ► Probar la configuración del servidor DNS ► Comprobar que un registro de recursos existe mediante Nslookup.

7 Los registros de la zona se envían a otros servidores y clientes DNS como respuestas a consultas 1 1 Los servidores y clientes DNS que almacenan el registro en su caché lo mantienen durante el período de vida que se indica en él 2 2 Cuando el TTL caduca, el registro se quita de la caché 3 3 El período de vida (TTL) es un valor de tiempo de espera expresado en segundos que se incluye con los registros DNS devueltos en las consultas DNS Zona TTL configurado en la zona Servidor DNS 1 Cliente DNS Servidor DNS 2 autorizado Servidor DNS 2 autorizado Caché Registro de recursos

8 DEMO: Ajustar el valor del período de vida para una zona Ajustar el valor del período de vida para un registro de recursos Ajustar el valor del período de vida para una zona Ajustar el valor del período de vida para un registro de recursos

9 ParámetroDescripciónEjemplo Intervalo de no actualización Período durante el que el servidor DNS no acepta intentos de actualización 7 días (valor predeterminado) Intervalo de actualización Período durante el que el servidor DNS acepta intentos de actualización 7 días (valor predeterminado) La caducidad es el proceso que determina si un registro de recursos DNS anticuado debe quitarse de la base de datos DNS El borrado es el proceso de limpieza y eliminación de datos de nombres anticuados o extintos de la base de datos DNS Un intento de actualización es el proceso en el que un equipo solicita una actualización de su registro DNS

10 1 ene15 ene8 ene Borrar Intervalo de no actualización Intervalo de actualización Intervalo de actualización Marca de tiempo Marca de tiempo Caducidad 7 días

11 DEMO: Configurar los parámetros de caducidad y borrado en el servidor DNS Configurar los parámetros de caducidad y borrado en una zona DNS Habilitar el borrado automático de los registros de recursos obsoletos en un servidor DNS Iniciar inmediatamente el borrado de los registros de recursos obsoletos Ver cuándo una zona puede empezar a borrar los registros obsoletos Configurar la marca de tiempo en un registro de recursos DNS Configurar los parámetros de caducidad y borrado en el servidor DNS Configurar los parámetros de caducidad y borrado en una zona DNS Habilitar el borrado automático de los registros de recursos obsoletos en un servidor DNS Iniciar inmediatamente el borrado de los registros de recursos obsoletos Ver cuándo una zona puede empezar a borrar los registros obsoletos Configurar la marca de tiempo en un registro de recursos DNS

12 Nslookup es una utilidad de línea de comandos que se emplea para diagnosticar la infraestructura DNS

13

14 ► En Windows 2008 Server Wins es una caracteristica ► Un gran problema: IPv6 doesn't no entiende de WINS/NetBIOS y vice versa

15 ► IPv6 trae registros AAAA ("quad-A"), que mapea nombres de equipo con direcciones IPv6 ► Clientes DNS de Vista y 2008 registran automaticamente recursos AAAA ► Aunque las direcciones que comienzan con "FE80" no se registran en DNS

16

17 1 Enumerar zonas 2 Carga de sugerencias raiz 3 Carga archivo de zonas (system32\dns\*.dns) 4 Abre puertos RPC para consultas 5 Carga las zonas integradas en AD DNS no puede responder hasta que se cargan las zonas de AD

18 ► DNS es ahora multitarea. ► No acepta acctualizaciones hasta que se cargan todas las zonas

19 ► Con WINS nos podiamos refererir a un servidor con server44 en vez de server44.eastcoast.sales.bigfirm.com ► En un AD simple, todavia tenemos esta caracteristica ► Que pasa en otros entornos?

20 ► Podiamos implementar una lista de sufijos DNS via GPOs (Computer Config / Admin Templates / Network / DNS Client) ► Pero….  Que pasa si hay multiples server44s?  El cliente para la resolucion DNS tras 12 segundos y despues acude a WINS

21 ► Crear una zona llamada "GlobalNames" ► Todos los servidores DNS autoritativos deben ser Server 2008 ► En cada servidor que posea la zona, hay que habilitar la resolucion global name dnscmd /config /enableglobalnamessupport 1 ► Añadir CNAMEs ► Para asegurarnos de que "server44" siempre devuelva server44.sales.bigfirm.com, crear este GlobalNames: server44 CNAME server44.sales.bigfirm.com

22 Dom2003.local Dom2008.local Change Config Files Change Reg Change Code

23 ► Poner el registro DNAME en el dominio antiguo ► Deberia apuntar al nuevo dominio ► Por ejemplo: Migrar de Dom2003.local->Dom2008.local  Editar la zona Dom2003.local  Añadir un registro “Dom2003.local. DNAME Dom2008.local.”  Efecto: la busqueda de www.Dom2003.local en el servidor DNS retornara el registro de tipo A de www.Dom2008.local

24 ► No GUI! dnscmd servername /recordadd Linux.com @ DNAME Microsoft.com

25 ► dnscmd /zoneadd Dom2003.local /primary ► dnscmd /zoneadd Dom2008.local /primary ► dnscmd /recordadd Dom2008.local S2008M1 A 10.10.1.2 ► dnscmd /recordadd Dom2003.local @ dname Dom2008.local ► nslookup S2008M1.Dom2003.local

26 ► ¿Qué es?  Es una suite de extensión de DNS RFCs 4033, 4034, y 4035 ► ¿Qué hace?  Añade autoridad de origen  Integridad de datos  Denegación autenticada de existencia  Nuevos registros: DNSKEY (guarda la clave pública) RRSIG (Resource Record Signature) NSEC (Next Secure) DS (Delegator Signed)

27 ► Seguridad  SSL  IPsec ► Recursos y rendimiento  Aumenta el uso de CPU para la validación de datos  Aumenta el uso de la red, mayor número de paquetes  Tarda de 3 a 5 veces más en cargar una zona segura con DNSsec que una zona no segura.  Si hay zonas grandes ADI, la base de datos de AD aumenta considerablemente

28 ► Procedimiento  Firmar una zona Generar los pares de claves para la zona o DnsCmd /OfflineSign /GenKey /Alg rsasha1 /Flags KSK /Length /Zone /SSCert /FriendlyName KSK- o DnsCmd /OfflineSign /GenKey /Alg rsasha1 /Length /Zone /SSCert /FriendlyName ZSK- Copia de seguridad de las claves o Desde la consola de certificados (MS-DNSSEC) Firmar la zona o DnsCmd /OfflineSign /SignZone /input /output /zone /signkey /ValidTo /ValidFrom /cert /friendlyname ksk- /signkey /cert /friendlyname zsk- Si es ADI: dnscmd /ZoneExport

29 ► Procedimiento  Firmar una zona Recargar la zona o dnscmd /ZoneDelete /f o dnscmd /ZoneAdd /file /load Si es ADI o dnscmd /ZoneDelete /dsdel /f o dnscmd /ZoneAdd /file /load o dnscmd /ZoneResetType /dsprimary  Comprobar la zona Mediante nslookup Buscar registro DNSKEY en la consola DNS

30 ► Protocolo de configuración dinámica de Host ► No sólo configura la IP ► Integrado con DNS ► Compatible con IPv6 ► Preparado para WDS y PXE ► Ahora Failover cluster

31 ► Es un rol de Windows Server 2008 R2  Configurar los interfaces que responderán peticiones de DHCP  Configuración IPv4 e IPv6  Añadir ámbitos de DHCP  Autorizar el servidor en un dominio  Configurar opciones de servidor

32 ► Antes para poder disponer de alta disponibilidad de DHCP se tenía que usar la regla del 70-30  Un servidor con el 30% del ámbito excluido  Otro servidor con el 70% del ámbito excluido ► Ahora es posible clusterizar el servicio de DHCP

33 ► Novedad: Branch Cache  Modelo Distribuido  Modelo Hospedado ► Frente a DFS (Distributed File System)  Espacio de nombres  Replicación de ficheros ► Diferencias  Reducción del trafico de red  Reducción del espacio de almacenamiento

34 ► Modelo Distribuido

35 ► Modelo Hospedado

36 ► Configurar el servidor de Branc Cache  Instalar característica de Branch Cache  Configurar los servidores de Branch Cache mediante GPO Configuración de equipo, Directivas, Plantillas administrativas, Red, Servidor Lanman. Habilitar publicación de HASH para BranchCache. ► Configurar el servidor de ficheros  Instalar el servicio de rol Branch Cache para el servidor de ficheros  Habilitar Branch Caché para los recursos compartidos

37 ► Configurar los equipos para usar Branch Cache  Habilitar BrachCache distribuido a través de las GPOs Configuración de equipo, Directivas, Plantillas administrativas, Red, BranchCache. o Activar BrachCache o Establecer el modo de Branch Caché (distribuido/hospedado) o Configurar BranchCache para archivos de red  Habilitar reglas de firewall a través de GPOs Reglas de entrada predefinidas o BranchCache: recuperación de contenido (usa HTTP) o BranchCache: detección del mismo nivel (usa WSD)

38 ► Ofrecen acceso a la red de manera local o remota ► Permite definir directivas para (NPS):  Autenticación  Autorización  Mantenimiento de clientes ► Servicios de enrutamiento y acceso remoto  VPN  Routing ► Autoridad de registro de mantenimiento (HRA) ► Protocolo de autenticación de credenciales de host (HCAP)

39 VPNDirectAccess Manageability Granular Security Ease of use Ubiquitous Easy to install

40 DirectAccess Server (Server 2008 R2) DirectAccess Client (Windows 7) Internet Native IPv6 6to46to4 TeredoTeredo IP-HTTPSIP-HTTPS Tunnel over IPv4 UDP, HTTPS, etc. Encrypted IPsec+ESP IPsec Gateway Encrypted IPsec+ESP IPsec Hardware Offload Supported

41 ► Redes Interconectadas ► Datos Distribuidos ► Trabajadores Móviles ► Extranet de Negocio ► Acceso Remoto ► Servicio Web ► Wireless ► Dispositivos Móviles Internet Intranet Remote Employees Remote Access Gateway Web Server Customers Perimeter X Infrastructure Servers Extranet Server

42  Validación de Políticas Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables”  Restricciones de Red Restringe el acceso a la red a los equipos en función de su salud  Remediación Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red  Cumplimiento sobre la marcha Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red

43 No Cumple la Política 1 Red Restringida El cliente solicita acceso a la red y presenta su estado de salud actual 1 4 Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4) 2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS) 5 Si cumple la política al cliente se le permite el acceso total a la red corporativa MSFT NPS 3 Servidor de Políticas e.g. Patch, AV Cumple la Política 3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT 2 Cliente Windows DHCP, VPN Switch/Router Fix Up Servers e.g. Patch Red Corporativa 5 4

44 ForzadoCliente SaludableCliente no Saludable DHCP Configuración IP completa. Acceso Total Conjunto de rutas restringido Direct AccessAcceso TotalVLAN Restringida HTTPSAcceso TotalVLAN Restringida 802.1XAcceso TotalVLAN Restringida IPsec Puede comunicar con cualquier nodo en que confie Nodos saludables rechazan la conexión de sistemas no Saludables Complementa la protección a nivel 2 Funciona con la infraestructura existente Aislamiento Flexible

45 Solicitando Acceso. Mi estado de salud MS NPS Cliente Switch802.1X Servidores de Remediación ¿Puedo acceder? Aquí esta mi estado de Salud ¿Debe este cliente ser restringido basándonos en su estado de salud? Actualización de políticas al servidor NPS Tienes acceso restringido hasta que te actualices ¿Puedo obtener Actualizaciones? Aquí las tienes. Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Red Restringida Se permite el acceso total al Cliente Servidores de Chequeo de Salud Según las políticas, el cliente cumple. Permitir Acceso. Patch Status AV Status

46

47

48 ► Informática 64  http://www.informatica64.com http://www.informatica64.com  i64@informatica64.com i64@informatica64.com  +34 91 665 99 98 ► Ignacio Sánchez-Beato Paredes  isanchezbeato@informatica64.com isanchezbeato@informatica64.com

Descargar ppt "Código: HOL-WIN64. ► Introducción ► Servicios de Red. Necesidades de implementación en entornos Windows. ► Servicio DNS. Funcionalidad y administración."

Presentaciones similares

Microsoft Windows Server 2008: “Network Access Protection”

Microsoft Windows Server 2008: “Network Access Protection”
Código: HOL-WIN41. Introducción Servicios de Red. Necesidades de implementación en entornos Windows. Servicio DNS. Funcionalidad y administración. Servicio.

Código: HOL-WIN41. Introducción Servicios de Red. Necesidades de implementación en entornos Windows. Servicio DNS. Funcionalidad y administración. Servicio.
Introducción a servidores

Introducción a servidores
Servidores Windows Http Ftp …

Servidores Windows Http Ftp …
DIRECT ACCESS.

DIRECT ACCESS.
SERVIDOR DNS Y WINS INTEGRANTES: Farroñan Beltran Brenher

SERVIDOR DNS Y WINS INTEGRANTES: Farroñan Beltran Brenher
SERVICIOS DE TCP/IP.

SERVICIOS DE TCP/IP.
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
Los servicios de red son la fundación de una red de trabajo en un ambiente de computadoras. Generalmente los servicios de red son instalados en uno o.

Los servicios de red son la fundación de una red de trabajo en un ambiente de computadoras. Generalmente los servicios de red son instalados en uno o.
Protocolos de alto nivel

Protocolos de alto nivel
Registros de recursos DNS: - Formato general

Registros de recursos DNS: - Formato general
Clientes DNS (Resolutores – “resolvers” de nombres) .

Clientes DNS (Resolutores – “resolvers” de nombres) .
Servidores de nombres de dominio (DNS):

Servidores de nombres de dominio (DNS):
Transferencias de Zona:

Transferencias de Zona:
Servidores de nombres de dominio (DNS)

Servidores de nombres de dominio (DNS)
Implementación de la resolución de nombres con WINS.

Implementación de la resolución de nombres con WINS.
Implementación y administración de DHCP

Implementación y administración de DHCP
Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security

Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security
Código: HOL-WIN65 Microsoft Windows Server 2008 R2. Network Access Protection.

Código: HOL-WIN65 Microsoft Windows Server 2008 R2. Network Access Protection.
Introducción Presentación multimedia: Función de DNS en las infraestructuras de redes Instalar el servicio Servidor DNS Configurar las propiedades del.

Introducción Presentación multimedia: Función de DNS en las infraestructuras de redes Instalar el servicio Servidor DNS Configurar las propiedades del.

Presentaciones similares

Anuncios Google