TS: Windows Server 2008 Network Infrastructure, Configuring

Page 1

DHCP Dynamic Host Configuration Protocol Actualiza los registros en un servidor DNS. Se encarga de generar y asignar direcciones IP de forma automática así como una correcta configuración TCP/IP. El proceso de solicitud y asignación se realiza en 4 pasos. 1. Descubrimiento 2. oferta 3. solicitud 4. reconocimiento. Deben estar disponibles los puertos UDP 67 y 68. DESCUBRIMIENTO: Todo equipo cliente que se conecta a una red y tiene TCP/IP automática. Solicita una dirección IP mediante un paquete broadcast denominado DHCP discover. Este paquete es un paquete de localización para descubrir un servidor DHCP. Una vez que el DHCP recibe un DHCP discover, pasamos a la oferta. el DHCP lanza un paquete DHCP offer tanbuen broadcast que incluye IP, de donde viene y periodo de concesión. Si el cliente lanza 4 discover y no recibe nada, se autoconfigura una APIPA y cada 5 minutos vuelve a lanzar 4 discover . Cuando el cliente recibe el offer entramos en la solicitud. El cliente difunde un paquete denominado DHCP request que se envia por broadcast que confirma el paquete (confirmación o renovación). Si dos clientes aceptan el mismo request aparece el DHCPNACK, este paquete lo envía el DHCP cuando?, al lanzar un DHCP offer recibe varios request, para que vuelva a mandar una solicitud. RECONOCIMIENTO: El servidor DHCP recibe el request y lanza un DHCPACK que incluye: a. IP que se asigna al cliente relacionada con su MAC. b. Configuraciones TCP/IP. c. Validez (defecto 8 días). * Todo por broadcast menos el DHCPNACK.


Cuando el cliente recibe el paquete de reconocimiento se configura las propiedades TCP/IP. El cliente necesita comprobar que esta dirección no está duplicada mediante NDP o ARP. Esa IP no es permanente. El período de renovación utiliza 2 pasos ( paquetes). 1. DHCP Request. 2. DCHPACK Cuando se supera el 50% del período de concesión, osea, 4 días. Si se reinicia la maquina también pasaría esto. Si no consigue renovar la IP, la mantiene hasta el 85% del periodo de concesión, una vez superado vuelve a realizar los 4 pasos anteriormente mencionados. AGENTE RELE: se encarga de convertir los paquetes broadcast de los clientes en unicast para poder traspasar un router (el router hecha abajo los broadcast).

AUTORIZACIÓN DE SERVIDOR DHCP EN DOMINIO: Proceso por el cual el servidor DHCP es registrado en el Active Directory con el fin de que pueda atender a las máquinas de ese dominio 2000, 2003, 2008. Solo se realiza una vez siempre antes de que empiece a emitir. Este proceso solo se puede realizar por el administrador “general”.

■ ■ ■ ■ ■

SCOPE (ámbitos): intervalo de direcciones IP con el que el DHCP cuenta como IP válidas. PROPIEDADES Nombre: engloba las configuraciones bajo ese nombre. ID de red: configurando la mascara nos determinará cual es la red de esas máquinas (IPv4). Prefijo: determina la red en la que se encuentran las máquinas. (IPv6). Duración de concesión: duración de IP. Intervalo de Exclusión: direcciones IP dentro de un ámbito excluidos del DHCP. Una vez instalado el DHCP. Identificador de cliente: seria la MAC. Las opciones de servidor se heredan por todos los ámbitos.


■ ■ ■

Reserva: Dirección IP que especifica dentro de el conjunto de direcciones que cuenta mi DHCP para asignar a los clientes (ámbito). Esa dirección se establecerá de forma definitiva a una máquina o interface. Servidores de impresion. Servidores de archivos. Servidores de aplicaciones. Utilizan el mismo periodo de concesión. Esta tarea se realiza a través de la MAC.

PROTOCOLOS DE CONFIGURACION Intercambio de mensajes de solicitud entre servidor y cliente. BOOTP: no será renovada hasta reiniciar la máquina (30 días de duración). Para máquinas sin sistema operativo. DHCP: enfocado a máquina con sistema operativo. Concesión de 8 días. No necesita reinicio de máquina. Las reservas heredan las configuraciones establecidas a nivel de servidor y de ámbito. Pero las reservas también tienen sus parámetros de configuración que machacarían las configuraciones de servidor y ámbito.

Clases: conjunto de configuraciones adicionales que permiten diferenciar o agrupar una serie de equipos dentro de un ámbito determinado. DOS TIPOS Vendor Class (proveedor): clase de proveedor, se emplean para establecer configuraciones a maquinas con diferente sistema operativo o hardware. User class (usuario): establecen configuraciones TCP/IP a distintos clientes DHCP. Se asignan en función a su identificación de usuario o máquina. Para establecer clases se utiliza ipconfig:

ipconfig/ setclassid *infor infor: seria la clase creada *: cualquier adaptador del equipo. ipconfig / setclassid (volveria a dejar la clase anterior).


Habría que añadir a los clientes a esta clase de forma local o mediante un script. AUDITORIA DHCP: DHCP crea una carpeta en SYSTEM 32 denominada DHCP donde está la BBDD del servidor DHCP y las copias de seguridad que DHCP hace de forma automática. ○ dhcp.mdb: contiene dos tablas: 1. Asignación de direccionamiento IP y nombre. 2. Asignación de IP e ID de propiedatario (MAC). ○ temp.edb: archivo temporal para el intercambio de datos durante las operaciones de actualización y mantenimiento de BBDD. ○ j50.log: registros de todas las transacciones que realiza la BBDD que realiza el servidor DHCP. ○ j50res.....log: archivos que se utilizan como soporte para que el servidor DHCP si se queda sin espacio reserva espacio libre para transacciones. ○ j50.chk: contro indica a DHCP donde está la última información optima a la ultima transaccion que se realizo en la BBDD. ○ dhcp srulog...auditoria dhcp. El servidor DHCP hace una copia de seguridad cada 60 min y la almacena en system32-DHCP-Backup-new. Para modificar la auditoria se puede hacer en el registro de windows: HKEYLOCALMACHINE-SYSTEM-CURRENT CONTROL SETSERVICES-DHCPSERVER-PARAMETERS DIRECTRICES DE DHCP ○ Proteger BBDD del servidor DHCP: La carpeta DHCP cuenta con permisos NTFS de forma predeterminada asignados a administradores, creator owner, operadores de servidores, usuarios autenticados y system. copia de seguridad DHCP: se realiza en la misma ubicación (procurar darle otro destino).


○ Restringuir acceso a administracion DHCP: para que un usuario administre DHCP hay que darle permisos de usuario del grupo administradores DHCP (no administradores porque podrían administrar cualquier cosa). ○ Impedir direccionamiento IP a usuarios no autorizados: Mediante sistemas de NAP (protección de acceso a redes), NAP permite que un servidor DHCP cuando una máquina le pide la configuración TCP/IP, lo que hace el DHCP es que se ponga en contacto con un servidor NPS quien le dirá que requisitos debe cumplir para que le de ese direccionamiento IP. ○ Impedir que DHCP no autorizados concedan direccionamiento IP a máquinas de mi domino: Solo una maquina W2000 en adelante se puede autorizar en DC. Un equipo que no tenga sistema operativo windows si podría lanzar un servidor DHCP. Para que esto no nos corrompa el DHCP ok se podría instalar el DHCPLOC que sirve para ○ localizar todo paquete DHCP broadcast. Lo que hace es poner el adaptador de red en modo escucha. Habría que instalarlo en un equipo que no sea el servidor DHCP. Mirar en apuntes un ejemplo DHCPLOC 192.168.2.1 D(para discover) (ip de la maquina donde esta la aplicacion dhcploc).

CARACTERISTICAS DE WINDOWS 2008

■ ■

1. Proporciona consola de administración unificada. Instalo el sistema y después todo lo demás. SERVER MANAGER. Configuración, monitorización y administración del servidor. 2. Monitor de sistema. Performance Monitor. 3. Monitor de confiabilidad y rendimiento. Herramientas de diagnostico y muestra lo que el sistema es de confiable. 4. Nueva linea de comandos. Power Shell. Distinto a CMD 5. WDS en vez de RIS. RIS: remote install service. WDS: Windows deployedment service.


Instalaciones a través de s.o de imágenes pudiendo agregar a que quieras sin tener que montar de nuevo la

la imagen lo imagen. 6. Instalación del s.o de servidor que lleve a cabo en una maquina este enfocado a lo que se va a usar. No necesitas más servicios de los que vas a usar. 7. Instalación completa. SO con entorno gráfico. 8. Server Core: S.O. no disponen de entorno gráfico pero si disponen de los servicios para implementar un servidor. 9. Copias de seguridad. Shadow copy (instantaneas). 10. Virtualización HiperV (importante tener DEP en placa, virtualización hardware). 11. Terminal Server: mejorado. Terminal Server Gateways, Remote APP. 12. IIS: mejorado. Servidor de aplicaciones Web, version 7.0. Tecnologias ASP.NET. 13. NAP: protección de acceso a redes. 14. IDA: Solución IDA. Identificación y acceso. Autenticación y validación. 15. Bitloocker: tecnología capaz de cifrar el contenido de un disco. Solo cifra la partición que tiene el sistema operativo. Tiene que tener TPM en placa. 16. Categorías de funcionabilidad.

ROLES Y CARACTERISTICAS ROLES: describen la función principal de tu servidor. Incluyen subfunciones. Traen consigo un conjunto de configuraciones de seguridad por defecto que se pueden aumentar. Dependen de las versiones de Windows 2008. ● Standar ● Enterprise ● Data Center ● Fundation ● Web server ● Itanium


Standar: esta enfocada a entornos de configuración de red de pequeñas empresas. incluye herramientas de seguridad den protección de datos y red. Roles: dhcp, dns, servidor de aplicación, servidor web, de impresión, de AD, hyperV, servicios de gestión de derechos de usuarios, de UDDI, WDS. Limitados: servicio de certificado de AD, servicio de archivos, de políticas de acceso a red y terminal server. etc... Enterprise: diseñada para pequeñas y medianas empresas. Sustentan aplicaciones críticas. Herramientas que ofrecen disponibilidad de servicio en red (clusterización). Roles: todos los standar sin límite. Data Center: enfocada a mantener aplicaciones con posibilidad de virtualización. Es capaz de soportar mas de 64 procesadores. Soportan hasta dos teras de memoria ram en sus versiones de 64 bit y 64gb en sus versiones de 32 bit. Roles: sin limite. Web Server: el servidor en el que instalas solo funciones como servidor web, Roles: servidor web. Itanium: procesador itanium, aplicaciones en red. Roles : Web server, Servidor de APP. Windows Server Fundation Edition: diseñada para pequeñas empresas capaces de ofrecer servicios de red tales como dhcp, dns, ad. Viene ya implementada en el servidor.

ROLES PRINCIPALES ADDS: active directory domine service: diseñada para ofrecer el almacén de cuentas de usuarios, cuenta con directivas de seguridad. ADCS: Servicios de certificado de AD. Ofrece PKI (Public Key Infraestructure) entidad que emite certificados a usuarios y equipos.


ADFS: servicios de federación de AD: permite el poder crear sistema de comunicación autenticada entre servidores de aplicaciones. ADRMS: righ management services. Implementa protección a los datos por medio de directivas de seguridad. ADLDS: AD Litewheigh services: versión de servicio de directorio independiente de AD, permite dar soporte que necesitan para poder trabajar de servicio de directorio. Múltiple almacenes de datos. Trabaja con protocolos LDAP. Protocolo de acceso ligero a directorios. CARACTERISTICAS

Funciones auxiliares que se pueden implementar en un servidor. ○ Copias de seguridad. ○ Balanceo de carga NDB. ○ Cliente telnet.

DNS Servicio de Resolución de Nombres Archivo Host: guardaba un mapeo de nombre y dirección IP de cada una de las máquinas de la red de ARPANET. NIC: administrador de creación de nombres para ARPA. DNS es un servicio crítico. ○ Ofrece un sistema de bbdd jerárquico y distribuido. Jerárquica: capaz de crear un espacio de nombres padres e

■ hijos. ■

Distribuida: la tarea de resolución de nombres no recae en un único servidor. La estructura DNS, se asemeja a un árbol invertido. Cada hoja es un nodo y ese nodo en ese árbol es un dominio. Todos los dominios parten del tronco o raiz identificada por “.”.


Cada dominio puede subdividirse en subdominios. Todo equipo tiene nombre asociado a él llamado FQDN (nombre de dominio totalmente cualificado); que incluye el nombre de la maquina y el dominio al cual pertenece ejemplo: PC.tal.com PC: nombre host tal.com: dominios a los que pertenece. Toda maquina en la red tiene asociados varios tipos de nombre FQDN, URL, Nombre de host, UNC. UNC: identifica un recurso en una maquina concreta por medio de \ PC \tal URL: Localizador de recursos universal http://www.google.com www: nombre de host (maquina dentro de google) google.com: sufijo DNS NOMBRE DE HOST: identifica un equipo o dispositivo en una red. Situado a la izquierda dentro de FQDN. También conocido como nombre relativo de maquina, dependen de la red en la que se encuentran. No puede repetirse en la misma red. NOMBRE NETBIOS: interface de programación de red y transporte. Permite la gestión de nombres. Toda máquina se identifica en una red por el nombre de host, relativo o netbios. La actualización de la bbdd que guarda los registros se hace de forma automática. A diferencia del archivo host. Dominio: para DNS. Es un índice dentro de la bbdd que apunta a una máquina. Cada unidad de datos dns está indexada. Nombres de dominio son rutas de localización en un árbol invertido. Hasta 63 caracteres en el nombre. Espacio de nombres de dominio: rutas de localización disponibles en el árbol DNS. Dominios Genéricos o de nivel: creados por INTERNIC. .com, .edu,.gov,.mil,.net,.org Nuevos dominios. .firm: firmas comerciales, comercios .store: ofrecen productors. .Web: actividades de comunicación Web. .arts: organizaciones de entretenimiento. .nom: empresas con nomenclatura personal o individual. Dominios geográficos: .es, .fr,.gr.


- Delegación de dominios: descentralización de la administración: Reparte las tareas y responsabilidades de un dominio a una organización o grupo de maquinas distinta a la que administra la principal. - Zona: parte de espacio de nombre de dominio con las que puede trabajar un servidor DNS. Tiene toda la información de los nombres de dominio existentes del dominio. - DOMINIO: es una red de identificación asociada a un grupo de dispositivos o equipos conectados a la red. SERVIDOR MAESTRO PRIMARIO: Toda la información de la bbdd de su zona de búsqueda la contiene él y es propietario y autoridad para administrarla. SERVIDOR MAESTRO SECUNDARIO: Contiene la información de la bbdd de una zona pero no tiene autoridad para administrarla. Contiene una copia de solo lectura que se la pasa el servidor maestro primario o principal. PROCESO DE RESOLUCION DE NOMBRES DE UNA MAQUINA Consta de siete pasos: Consultar caché DNS. Consultar archivo host ( en la ruta drivers/etc). Consultar Servidor DNS. Consultar Netbios. Caché netbios NBTSTAT? -R purgar la cache, -N muestra la tabla de nombres netbios local, -C consultar. 5. Tipo de nodo: B: versiones anteriores a wVista (Broadcast). M: mixto. P: peer to peer. H: Hibrido: Vista en adelante. 6. Broadcast 7. LMHOST: archivo estático del sistema. Este archivo tiene la extension .sam, hay que quitar la extension para que consulte aquí y habilitar en propriedades tcp/ip en WINS. netstop dnscache: para el servicio de almacenamiento DNS. Modificando el registro de windows podremos indicar el tiempo maximo que almacena cache DNS, HKEYLOCALMACHINE/SYSTEM/CURRENTCONTROLSET/SERVICES/DNSCACHE/PARA METERS creamos doble palabra MAXcache TTL e indicar el tiempo en segundos HKEYLOCALMACHINE/SYSTEM/CURRENTCONTROLSET/SERVICES/NETBT/PARAMETE R: cache time out 60000 tiempo de purga automática de cache netbios. 1. 2. 3. 4.

■ ■ ■ ■


■ ■ ■ ■

NODO PEER TO PEER: maquina que no utiliza broadcast. Se basa en sus caches y del servicio DNS y servicio de Netbios denominado WINS. Si no funciona mira su archivo LMHOST. MIXTO: es un B + P: equipo cliente, lo primero que hace es un broadcast y luego WINS. HIBRIDO: P + B: primero WINS y luego Broadcast, Versión WVista en adelante. El tipo de nodo lo determinamos en: HKEYLOCALMACHINE.../netbt/PARAMETERS/ nodetype crearíamos nueva clave DWORD 32 o 64 bit, y los valores pueden ser: 1: broadcast. 2: P to P. 4:Mixto. 8:Hibrido. También se determina mediante el DCHP. SERVIDOR DNS: proceso de resolución de nombres, empieza desde la parte superior del árbol de dominio hasta llegar a la rama que contenga la información en concreto.

■ ■ ■

RESOLVER: conjunto de bibliotecas dll que se emplean en las aplicaciones que lanzan búsquedas DNS. TAREAS: Consultar servidores DNS Interpretar las respuestas: resolución u error. Devolver la información a la aplicación que le solicito. Servidores DNS raiz o RNS route name server: servidores que tienen autoridad sobre dominios superiores. Facilitan nombres o direcciones IP de los servidores DNS que tengan autoridad sobre sus dominios. Facilitan punteros desde los dominios superiores a los inferiores o genéricos. METODOS DE BUSQUEDA RECURSIVA E ITERATIVA. RECURSIVA: se realiza a un servidor DNS en la que el cliente y el servidor DNS solicitan al servidor DNS la respuesta completa a su consulta. ● 2 posibles respuestas: ● Valida. ● No pudo resolver. El servidor DNS utiliza su caché para ir guardando.


ITERATIVA: Solo la realiza el servidor DNS. Proporciona la mejor respuesta posible a quien realizó la consulta.

A la hora de realizar una búsqueda para resolver un nombre, los servidores podrán realizarla de dos formas posibles Todo servidor DNS consulta zonas de búsqueda (bbdd de direcciones). Las zonas de busqueda son bbdd que almacenan los nombres de equipo que se encuentra en cada domino. ZONA DE BUSQUEDA PRINCIPAL: BBDD que contiene información principal o maestra de los datos de la zona en la que se encuentra esa maquina. Es una base de datos editable. El servidor DNS puede editarla y también el servidor DHCP para actualizar los registros de manera automática. ZONA DE BUSQUDA SECUNDARIA: es una copia de una principal que se encuentra en otro servidor maestro secundario pero de solo lectura. Replica información. ZONA DE RUTA INTERNA (STUBZONE, CODIGO AUXILIAR): una bbdd que solo contiene los registros necesarios para identificar servidores DNS autorizados para resolver nombres en dicha zona. Enrutamiento interno. ZONA DE BUSQUEDA DIRECTA: bbdd que se encarga de almacenar registros que relacionan nombre equipo y dirección IP. ZONA DE BUSQUEDA INVERSA: IP, Nombre equipo (nombre DNS de maquinas). ZONA DE BUSQUEDA DE NOMBRES GLOBALES (global zone): forma de almacenamiento dentro de la zona de búsqueda directa. Permite que los clientes de un dominio puedan utilizar el nombre de etiqueta única (nombre de host). Permite que un equipo pueda localizar recursos que se encuentran en un bosque pero sin identificar el domino en la que se encuentra. Solo pueden contener un tipo de registro denominado CNAME canonical names. No viene habilitado por defecto. Solo compatible con servidores 2008 y no se pueden replicar en 2003. Se habilita desde DNSCMD (linea de comando). dnscmd/config/enablesglobalnamessupoport 1. Creado para eliminar WINS. mirar apuntes.


REENVIADORES CONDICIONALES: Servidores DNS que se utilizan para realizar consultas teniendo en cuenta únicamente el nombre de dominio que se consulta. Ejemplo de google.com y telefónica.es. REGISTROS DE BBDD DE DNS A o AAAA (IPv4 o IPv6): se usa para asignar un nombre FQDN, DNS o absoluto de maquina a una dirección IP. Solo aparecen en la zona de búsqueda directa. Se utilizan para esa traducción. PTR puntero o pointer (indicador): sólo aparece en zonas de búsqueda inversa. Igual que el registro A pero al revés, IP y nombre de maquina. CNAME: para crear nombres de maquina adicionales que hagan referencia a un equipo en concreto. También conocido como registro alias. NS NAME SERVER: Define la máquina en concreto que es capaz de resolver nombres en dicha zona. Identifica los servidores DNS autorizados a resolver nombres en dicha zona. MX Mail Exchange: intercambio de correo. Asocia un nombre de domino a un conjunto de máquinas encargadas de enviar correo electrónico (servidores smtp). Enrutadores de correo electrónico. SRV: especifica una serie de máquinas o equipos dentro de la bbdd que ofrecen un tipo de servicio en concreto bajo un mismo nombre o nombre dns. Permiten a los clientes DNS o a toda maquina el poder localizar controladores de domino o servidores ftp … También se utiliza cuando un usuario cambia la contraseña o se realiza una consulta al AD. Compuesto por: ● Servicio: aquel componente que identifica el servicio que ofrece la maquina identificada bajo este registro. ● Protocolo: el protocolo que utiliza el servicio. ● Tiempo de vida en segundos: cuanto se puede encaminar la solicitud. ● Tipo de registro: si es un catalogo global GM o un controlador de dominio. ● Prioridad: determina que controlador de dominio o equipo es prioritario. ● Peso: determina cual es el servidor que tiene que coger primero en un proceso de autenticación por ejemplo si es un servidor de controlador de dominio.


i. ii. iii. iv.

v. vi.

REGISTRO SOA : Aquel registro que se encarga de almacenar o indicar cual es el servidor dns que administra-gestiona una zona en concreto. La información la contiene en fichas: ● General: muestra el estado de la zona de búsqueda y tipo de zona que es. ● SOA: Serial number: este nº es el que se compara al sincronizar bbdd y servidores dns. Primary Server: servidor principall. Refresh interval: indica cada cuanto tiempo se ponen en contacto los servidores secundarios con los principales para transferirles las zonas.(15 min). Retry interval: tiempo que el servidor secundario espera antes de volver a solicitar la transferencia si falla la primera. (10min). Expire After: tiempo que un servidor dns secundario espera antes de caducar cualquier registro de su bbdd por registros que no ha podido comprobar con el servidor principal. Minimun default TTL: tiempo que el servidor secundario espera antes de borrar el registro que no ha podido comprobar con el principal. TTL for this record: tiempo que el registro o resolución le manda al servidor dns, en su caché dns (para que no cargue nuestro servidor dns). ● ● ●

las tiene ●

Name Server: nombre de servidores que resuelven DNS. Con el nombre FQDN autorizados. WINS: permite a un servidor DNS poder consultar un servidor WINS. Zone Transfer: configuran aquellos servidores DNS a los que quiero transferir mi zona. - Notify: notificaciones: si el servidor Primario DNS tiene cambios, comunica al servidor secundario con las notificaciones y así no que esperar los 15 min. Security: administración de permisos. Permite indicar usuarios o grupos de usuarios que administren el servidor DNS.

TRANSFERENCIA DE ZONA Protocolos de consulta: AXFR e IXFR. AXFR: transferencia de zona completa. Se realiza la primera vez que un servidor DNS se actualiza o porque se solicite explícitamente. IXFR: incremental. Depende de los cambios que se realizan en una zona. Solo transfiere cambios. PROPIEDADES DE SERVIDOR DNS Configuración de pestañas (fichas) pág 176.


Interfaces: indicamos la dirección IP que se encarga de enviar y recibir consultas DNS. Forwarders (reenviadores): especificar direcciones IP de servidores dns que se encargan de resolver nombres cuando mi servidor dns no lo puede hacer. Root Hints (Sugerencias de raiz): servidores DNS raices que mi servidor dns podrá consultar para resolver nombres. Están a nivel de “.”. Advanced: ● Round robin: balanceo de carga por turnos. ● Disable recursion: deshabilita que un servidor dns realice consultas recursivas. ● Bind secundaries: formato especial para transferencias de servidores secundarios. ● Fail on load if bad zone data: si hay un error en los datos de la zona no guarda ese registro. ● Enable netmask ordening: consulta la zona de busqueda directa, no por nombre, sino por la dirección IP. ● Secure caché against pollution: sistema de limpieza de caché DNS sobre consultas. ● Event logging : se almacena en el nivel log del dns.

13-12-10

SERVIDOR WINS (parte cogida de internet) Windows Internet Naming Service (WINS) es un servidor de nombres de Microsoft para NetBIOS, que mantiene una tabla con la correspondencia entre direcciones IP y nombres NetBIOS de ordenadores. Esta lista permite localizar rápidamente a otro ordenador de la red. Al usar un servidor de nombres de internet de Windows en una red se evita el realizar búsquedas más laboriosas (como peticiones broadcast) para obtenerla, y se reduce de esta forma el tráfico de la red. A partir de Windows 2000 WINS ha sido relegado en favor de DNS y Active Directory, sin embargo, sigue siendo necesario para establecer servicios de red con versiones anteriores de sistemas Microsoft. En entornos Unix y GNU/Linux, Samba (programa) puede actuar también como servidor WINS.


Instalar Servidor WINS en windows server 2008 Martes, 8 de Junio de 2010 Dejar un comentario Ir a comentarios

Como instalar servidor WINS en windows server 2008, y usar luego un cliente para captar los nombres de red que tengamos configurados en el servidor sin tener que usar el archivo hosts en nuestro equipo local y sin tener que usar “importar lmhosts”. ● >Abrimos Panel de control. ● >Elegimos Herramientas administrativas. ● >Dentro de herramientas administrativas seleccionamos administrador de servidor . ● >Ahora seleccionamos características y aceptamos el mensaje que sale. ● >Pinchamos en agregar características. ● >Seleccionamos Servidor WINS de la lista y le damos a siguiente. ● >Ahora le damos a instalar. ● >Esperamos que acabe el proceso y ya estará instalado. Ahora el siguiente paso es configurar el servidor wins en el equipo cliente. ● Nos vamos a mis sitios de red con el boton derecho del raton y le damos a propiedades, (en caso de vista o windows 7) nos vamos a configurar adaptador, seleccionamos el que estamos usando con el boton derecho y propiedades otra vez ● Ahora nos vamos a propiedades de TCP-IP. y nos vamos al boton opciones avanzadas. ● Ahora nos vamos a la pestaña WINS y agregamos la direccion ip del servidor wins que hemos instalado.


Y esto es todo. Os pongo unos pantallazos para que os hagais una idea. Ya podemos hacer ping a los nombres sin tener el archivo hosts.



(Parte de AZPE) 15-12-10 Wins: servicio capaz de ofrecer servicios a otros servidores que asignan dirección IP y nombre de máquina, se encarga de resolver nombres NETBIOS. Evita el broadcast. Tiene 4 componentes: ○ Servidor WINS ○ Cliente WINS ○ Agente Proxy WINS ○ Base de Datos WINS SERVIDOR WINS: Encargado de ejecutar una función de WINS, en 2008 es una característica. Gestiona las solicitudes de registro de clientes WINS. CLIENTE WINS: aquella maquina que está configurada en mis propiedades TCP/IP para que el proceso de resolución se haga mediante un servidor WINS. AGENTE PROXY WINS: equipo encargado de atender consultas de resolución NETBIOS de los clientes en una red donde no tenemos un servidor WINS. Se comunica con servidores wins de otras redes para resolver direcciones y las guarda en su caché para así agilizar posteriores consultas. BBDD DE WINS: se guarda en wins.mdb windows/system32/wins. XP, 2003, 2000 anterior a Windows vista su nodo es broadcast. El cliente solicita y recibe un nombre NETBIOS para comunicarse en la red. Este nombre tiene que ser único en la red donde se encuentra la máquina. Se puede registrar en Wins pero a parte el cliente hará un broadcast. Los registros en un servidor WINS también son temporales. El periodo de vida de un registro en la bbdd en servidor WINS son 6 días. Cuando un cliente intenta registrarse en WINS, crea 3 registros automáticamente. ○ Estación de Trabajo 00H- Nombre de maquina 03H- Servicios. 20H. Servicios.


○ Mensajero. ○ Servidor de archivos.

RAFAGAS (HANDLING) Respuestas que envía un servidor WINS y da en un momento determinado cuando tiene que atender a un gran nº de clientes que se quieren registrar. Emite registro válido con tiempo limitado para que el servidor WINS pueda ir registrando poco a poco. Tiene un umbral para entrar en ráfagas que puede configurarse (500-1000 maquinas.) VENTAJAS WINS ○ BBDD centralizada. ○ Reduce la difusión netbios. No tendríamos que tener archivo LMHOST ○ Compatibilidad con clientes DNS o servidores DNS PROCESO DE RESOLUCION WINS A partir del cuarto paso DNS. Se instala por el server manager Features-añadir-servidor WINS. REGISTROS QUE SE ALMACENAN EN WINS ÚNICO: asocia nombre netbios con una dirección IP. Nota: los registros se pueden crear de forma estática o no, si es estática su caducidad es infinita. GRUPO: para englobar varios equipos bajo un mismo nombre. NOMBRE DE DOMINIO: para determinar el nombre de dominio de una red así como el controlador que lo controla. INTERNET GROUP: agrupa varios equipos. Servidores Web. Varios servidores identificados bajo un nombre.


PROPIEDADES DEL SERVIDOR WINS ● Actualizar estadísticas. ● Data base backup: hay que poner la ruta, sino no hace nada. Se realiza cada 60 min. Se modifica en el registro. ● Intervalos: permite establecer intervalos en los que los registros van a ser renovados, verificados y eliminados (caducidad y borrado de servidores WINS). ● Data base verification: permite activar la verificación e indicar los tiempos para comprobar su base de datos con respecto otros servidores WINS. ● Avanzadas: habilita el control de ráfagas. También puedes activar un log para que se registre en el visor de windows. COMPACTAR BASE DE DATOS WINS Lo primero es parar el servicio con el comando “net stop wins” jetpack(c:\windows\system32\wins\wins.mdb esta es la ruta de bbdd) + nombre de un archivo que será temporal para que vaya compactando la bbdd como cuando se hace un defrag. Después hay que arrancar el servicio wins net start wins. COPIA SEGURIDAD SERVICIO WINS. ○ wins-bak/new dentro del menu-copia de seguridad ○ ...services/wins/parameters tiempos de intervalos de copia de seguridad Restaurar: en un servidor wins opcion de resturar base de datos, siempre con el servicio parado. Hay que seleccionar la ruta general para que él busque el archivo wins.bak. DAR DE BAJA UN SERVIDOR WINS


1.- DESECHAR 2.- REPLICAR 3.- QUITAR 1. Localizar todos los registros de los cuales el es propietario y desecharlos. 2. Forzar la replicación. La de inserción. Iniciar replicación por inserción y comprobamos que los otros servidores WINS ya tienen replicada la información dependiendo del tiempo de replicación. 3. Tirar abajo el wins, teniendo en cuenta también las opciones que tengamos en DCHP. COMANDOS Nslookup: realiza consultas o testeos sobre zonas de los servidores DNS, para poder ejecutarlo siempre tiene que tener nuestro servidor DNS zonas de búsqueda inversa. Nos permite consultar propiedades de la SOA. Ipconf: muestra los valores de configuración de red de TCP/IP actuales y actualiza la configuración dinámica de host protocolo DHCP y sistema de nombres de dominio DN. DNSCMD: línea de comando que nos permite ejecutar scripts adicionales para realizar tareas de soporte sobre el servicio DNS. En 2003 había que instalarlo. En 2008 ya viene implementada. Genera registros. Administra problemas y soporte de las zonas. NSLINT: verificación de servidores que están configurados en las zonas. Esta herramienta hay que descargarla. NBTSTAT: como flushdns pero para netbios. Hay varias formas para supervisar el servicio DNS. - Visor de eventos a tiempo real o registrada. COPIA DE SEGURIDAD DNS


Copiar carpeta DNS pero en 2008 no podemos hacerlo con el asistente de copias de seguridad, si podríamos copiarla a mano y guardarla en otra ubicación, la copia con 2008 y el asistente se hace de volúmenes concretos, no de carpetas sueltas. La ruta de la carpeta seria ...windows/system32/dns Después hay que hacer una exportación de la clave dns y guardarla con .reg la ruta es hkeylocalmachine...../services/dns. Para restaurarla, parar servicio, copiar carpeta si la hemos copiado y luego restaurar la clave haciendo dobleclick en el archivo .reg.

20-12-10 CAPITULO 10 LIBRO

MONITORIZACION La monitorización del rendimiento y de la confiabilidad es útil en muchos casos. ● Para mejorar el rendimiento de los servidores identificando el cuello de botella de rendimiento y actualizar el recurso que se encuentra en él. ● Para identificar el origen de problemas críticos de rendimiento que hacen que los servicios no sirvan o que no estén disponibles. ● Para relacionar eventos como instalaciones de aplicaciones con fallos.

MONITOR DE RENDIMIENTO Muestra gráficamente los datos de rendimiento en tiempo real. Incluyendo el uso del procesador, el uso del ancho de banda de red y cientos de otras estadísticas. MONITOR DE CONFIABILIDAD


Realiza un seguimiento de la estabilidad del sistema. Los ordenadores que no tiene instalaciones de software o datos se consideran estables y puede alcanzar el índice máximo de estabilidad del sistema (10). Es útil para diagnosticar problemas intermitentes y a largo plazo. Muestra datos recopilados por el Componente de Análisis de Confiabilidad (RAC), que se implementa utilizando el archivo RACAgent.exe. CONJUNTO DE RECOPILADORES DE DATOS Recopilan información del sistema, incluyendo las opciones de configuración y datos de rendimiento y los almacena en un archivo de datos. Posteriormente puede utilizar el archivo de datos para examinar los datos de rendimiento detallados en el Monitor de rendimiento o ver un informe que resume la información. Server Manager: consola que centraliza muchas herramientas. Administrative Tools: Computer Manager: centraliza herramientas administrativas como maquina no como servidor. Mmc: para crear nuestra propia consola.

INFORME DE PROBLEMAS Y SOLUCIONES Herramienta capaz de buscar soluciones a cualquier problema que surja en tu software o hardware. Te informa del problema e intenta buscar una solución. Esta herramienta guarda estos problemas y soluciones para poder verlos con posterioridad. En el panel de control “informe de problemas y soluciones”. Con la monitorización podemos comprobar que los cambios de configuración no afectan a lo que desempeña el servidor. Permite descubrir cuellos de botella cuando un único recurso del sistema tiene toda la demanda, mala gestión del procesador, memoria, disco. La línea base representa los datos que se recopilan durante un periodo de tiempo.


2 formas: a tiempo real y de forma registrada. Monitor de eventos o sistema – a tiempo real. Recolectores de datos – de forma registrada. DEFINIR UNA MONITORIZACION Identificar: • Objeto • Recopilador de datos • Instancia

OBJETO Aquel elemento que identifica un recurso a monitorizar y que está definido por un conjunto de recopiladores de datos. RECOPILADOR DE DATOS Elementos asociados a un objeto, encargados de recopilar los datos con respecto al objeto en concreto.

INSTANCIA Diferencian los distintos objeto a monitorizar (C:\, D:\). NOTA: Mirar propiedades del monitor de rendimiento.

ADMINISTRADOR DEL SISTEMA: visión general del sistema. APLICACIONES: activas, estado. Finalizamos, arrancamos, cambiamos.


Crear archivo de volcado: guarda con extensión .DMP. Ver apuntes.

ARCHIVO DE PAGINACION

Espacio que se reserva en el HDD utilizado por los programas cuando no hay suficiente RAM (en teoría). Pagefile.sys Son archivos ocultos en el HDD. Podemos administrar la memoria virtual en la opción de rendimiento. Este archivo no es volátil como la RAM. El tamaño inicial es de 1,5 veces el tamaño de la RAM. Prevención de ejecución de datos (DEP), para que los programas no puedan ejecutarse en 2º plano o desde la UAC.

22-12-10

VISOR DE EVENTOS Infraestructura basada en archivos XML. Se almacenan en %SystemRoot%\System32\Winevt\Logs\aplication.evtx.


Formato más gráfico. Suscripciones: ver eventos que se producen en otros equipos en una única herramienta. Tu visor de eventos. La suscripción tiene que estar configurada en ambos equipos. Estos equipos tienen que tener dos servicios iniciados: • WINRM: servicio de administración remota de Windows • WECSVC: servicio de recopilador de eventos de Windows. La información del equipo remoto (de su Vidor de eventos) se guarda localmente en el mio.

ASISTENCIA REMOTA

Herramienta capaz de permitirnos la conexión de forma remota a un equipo para administrarlo. El equipo tiene que tener activada la opción de acceso remoto. Con la asistencia remota se comparte el control de la máquina. Esta muy limitada ya que lo haces bajo credenciales del usuario local, sino, hay que utilizar el inicio de sesión secundario (run as).

ESCRITORIO REMOTO Basado en el protocolo RDP ( Remote Desktop Protocol) que utiliza el puerto 3389. Los firewall de los equipos generan una excepción para ese puerto.


Tienes control total de la máquina con respecto a las credenciales que pones antes de conectarte. Hay que habilitarlo en los equipos. En propiedades de sistema. NLA: Network Layer Authentication-. Finaliza la autenticación de usuario antes que se establezca la conexión de acceso remoto al escritorio. TS GATEWAY: establece configuración para poder conectarte a través de Terminal Server cuando esté trabajando de forma remota. A través del puerto 443, seguridad SSL. En opciones avanzadas de Windows 2008.

27-12-10

SEGURIDAD Clasificación en seis niveles de seguridad englobados bajo los procedimientos de seguridad y concienciación. •

Seguridad Física: cualquier sistema de protección ante desastres físicos (fallo en suministro de luz, protección de acceso a servidores-físicamente, protección ante el robo). Seguridad Perimetral: configuraciones en tu red que disponen los servidores principales a través de otros servicios (firewalls) DMZ. Compromisos de seguridad de la red interna: establecer seguridad para determinar que equipos de mi red se pueden comunicar unos con otros (IPsec). Protección de comunicación entre servidores. Evitar que máquinas no autorizadas puedan conectarse a mi red interna (con técnicas de NAP) o WPE, WPA en redes inalámbricas.

Seguridad a nivel de equipo: supone establecer una buena configuración a nivel de equipo mediante contraseñas, derechos de usuario en dicha máquina. Implementación de la seguridad con respecto al sistema.


Seguridad a nivel de aplicaciones: implementación de herramientas-aplicaciones que proporcionen seguridad a mi red (antivirus, configuración de los firewalls). Seguridad a nivel de datos: desde encriptación EFS(cifrado de archivos a nivel de sistema Encrypting File System), implementación de permisos DACL( lista de control de accesos discrecional), copias de seguridad.

BITLOCKER Encriptación de unidad por bloqueo de Bit. Proporciona un sistema de protección de archivos y datos que se encuentren en el volumen donde se encuentre el sistema operativo. Garantiza que los datos permanezcan encriptadas aunque se intente visualizar en otro equipo (pinchando el HDD en otro equipo), La placa base tiene que tener TPM (Trusted Platform Module). A diferencia de EFS (cifrado de archivos a nivel de sistema Encrypting File System) bitlocker cifra toda la unidad de sistema incluidos los archivos de Windows. Protege a los ataques offline. Cifra los datos según se van creando de forma automática. Todo dato que se extraiga a otra unidad automáticamente bitlocker lo desencripta. Necesita almacenar su propia clave de encriptación y desencriptación en un dispositivo hardware independiente del HDD. TPM incorporado en la placa y reconocido en la bios que interactúa con bitlocker para proporcionar la protección de la unidad del sistema. Si el TPM no se encuentra en la placa o ha cambiado (actualizar bios), bitlocker entra en un modo de recuperación que no deja acceder a menos que tengas la clave de recuperación que debes guardar en caso de fallo de TPM u otro fallo. Tenemos que disponer de una memoria USB para que bitlocker pueda almacenar claves. Requisitos de hardware: TPM versión 1 activada. Bios compatible con TCG Trusted Computing Group. El HDD debe tener como mínimo 2 particiones NTFS, una de ellas debe incluir la unidad donde se encuentre instalado Windows y la otra debe ser la activa descifrada para que el sistema operativo pueda arrancar. La partición de volumen debe tener 1.5 Gb (la activa como volumen de sistema D:\). La configuración de la bios debe arrancar siempre desde el HDD. Nota: en d:\ Windows siempre guarda 100 MB para archivos de arranque.


La bios tiene que reconocer el poder arrancar desde USB.

Bitlocker es una característica de Windows, no un rol. Para saber si nuestra placa tiene TPM hay que instalarlo (también miran el manual claro). La clave de recuperación solo se crea la primera vez que activas bitlocker, se puede generar otra clave de recuperación? No hay que hacer una copia de clave, otra copia de clave… no se puede generar una nueva a no ser que desinstales el bitlocker y lo vuelvas a instalar. Una vez instalado el bitlocker, para activarlo tienes que hacerlo desde el panel de control y poner la clave generada. Se puede utilizar bitlocker cuando no tenemos TPM. Ejecutamos gpedit.msc. Configuración equipos-plantillas administrativascomponentes de Windows-cifrado de unidad bitlocker-configuración en configuración de panel de control.-configuración de inicio avanzadas-permitir bitlocker sin TPM y permitir a usuarios la configuración de claves.

29-12-10

SMIME: Secure Multipurpose Mail Exchange – extensiones de correo de Internet de multipropósito seguro. Se utiliza para el intercambio de correo electrónico garantizando una autenticidad y confidencialidad. Basado en el standard mundial MIME que permite que los usuarios puedan adjuntar cualquier tipo de archivos. SMIME fue desarrollado por RSA. (Rivest, Shamir y Adleman). El standard SMIME se basa en el principio de cifrado de clave pública (cifra el contenido pero no la comunicación). Siempre emplea dos tipos de claves una pública y otra privada, una para firmar y la otra para comprobar la firma. Solo aquel que disponga de clave privada podría descifrar el contenido. Garantiza la integridad del mensaje recibido. La firma electrónica garantiza la fiabilidad y la confidencialidad del correo.

EFS: Encription File System: permite proteger archivos y garantiza que los datos no se puedan leer por ningún otro usuario que no sea el destinatario


(creador) ni el “administrador”. También se pueden cifrar carpetas, lo que hace es marcarla y así todo lo que guardes en ella se cifra aunque no necesariamente todo el contenido. No necesariamente se tiene que cifrar el contenido de una carpeta. EFS está vinculado a la contraseña del usuario CIPHER: comando que nos permite encriptar /e cifra, /d descifra. En un grupo de trabajo cuando encriptas una carpeta ni el administrador podría visualizar el contenido a no ser que estuviera dentro del grupo de “Agentes de recuperación”. El un dominio, el Administrador por defecto ya es Agente de recuperación. Para hacer al usuario Administrador de un grupo Agente de recuperación hay que seguir estos pasos: En grupos de trabajo se realiza con el comando CIPHER. En el cmd ponemos CIPHER /R:c:\ard (nombre por ejemplo que le ponemos al agente de recuperación). Después nos pide la contraseña para el archivo .PFX y .CER. Con eso conseguimos los certificados para las claves de desencriptación, en c:\arp tienes el .CER y .PFX, que tenemos que importarlos, ¿Cómo?, instalarlos pulsando dos veces sobre él. Después, gpedit.msc, configuración de equipo-configuración Windows-configuración seguridad-directivas de claves públicas-sistemas de archivos de cifrado botón derecho y agrega agente de recuperación de datos. Todo archivo encriptado con EFS si lo pasas a FAT se desencripta, aplicando la clave.

SERVIDOR PROXY Aquel equipo que actúa como intermediario entre varias máquinas dentro de una red LAN o fuera. También sirve para proteger a tu red interna frente a un ataque. Gestiona el acceso Web, capaz de gestionar varios protocolos y restringir direcciones etc… El servidor Proxy se encarga de enviar todas las solicitudes de recursos a Internet o a otras máquinas.


CARACTERISTICAS -

Almacenamiento en caché: menos tráfico y mayor rapidez. Disminuir el ancho de banda, hay que configurarlo. Filtrado: puede rastrear las conexiones al exterior y crear una serie de registros para evitar que se puedan solicitar ciertos recursos. Autenticación: capaz de solicitar credenciales a aquel que quiera salir. Supervisión: quién accede, a donde etc, puede hacer informes. Servidor Proxy inverso: aquel servidor que cachea información para clientes externos.

FIREWALL DE WINDOWS CON SEGURIDAD AVANZADA (Windows Vista en adelante) Ha unido Firewall e IPsec. Sustituye a las herramientas de configuración del firewall antiguo y los de IPsec. Puede configurarse y supervisarse con las antiguos herramientas. Comando NETSADV Firewall, permite configurar el firewall de Windows con seguridad avanzada. Filtra el tráfico IPv4 e IPv6 entrante y saliente. Bloquea todo el tráfico entrante a menos que provenga de una petición previa que nosotros hagamos, sin embargo, tiene el tráfico saliente abierto de manera predeterminada. En todo momento se puede proteger el tráfico entrante y saliente con IPsec. Puede configurarse de forma gráfica o por consola de comandos, también mediante directivas de grupo. Los equipos con sistemas operativos anteriores a Windows Vista también tienen opciones predeterminadas que se mantienen aunque se actualice a otra versión superior. El Aislamiento de máquina se lleva a cabo mediante IPsec que requería que se crearan gran cantidad de reglas por directiva para poder proteger un determinado tráfico (en versiones anteriores a WVISTA). Esta nueva herramienta simplifica el funcionamiento de IPsec. Una máquina en todo momento intenta una comunicación aislada pero si no tiene IPsec también se comunicará. Admite una nueva extensión del protocolo IKE.


IPSEC

Pag 339

Internet Protocol Security: es un conjunto de protocolos y standares desarrollados por IETF mundialmente conocidos. Permite comprobar, cifrar y autenticar cualquier comunicación entre dos maquinas en redes no protegidas soportando IPv4 e IPv6. Proteger los paquetes IP o datagramas IP y servir de defensa contra ataques en la red. Para que establezca su cometido lo que hace es proteger la información con cifrado y firmado de los datos. Una de sus ventajas es que el nivel de protección lo hace a nivel de capa de red, transparente para cualquier protocolo por encima de él capaz de encapsularlo. Cualquier sistema operativo puede implementarlo. Proporciona la autenticación mutua. Obliga a los equipos a tener que identificarse antes de iniciar una comunicación, incluso al finalizarla. Utiliza varios algoritmos para proteger la comunicación como DES, 3DES, MD3, MD4, MD5, Diffie Helman, RD5. Para establecer la confidencialidad utiliza tres componentes: • • •

ESP AH IKE

ESP: Encapsulating Security Paiload, carga encapsuladora de seguridad. Encargado de cifrar tráfico IP incorporando autenticación.

AH: Cabeza autenticadora. Se encarga de autenticar y controlar el acceso del tráfico IP. Firma los datagramas IP. Protección contra replica a todo el paquete IP.

Estos dos componentes se encargan de la integridad del tráfico. AH incorpora una cabeza de encapsulamiento que tiene la firma generada con la


información del datagrama de modo que si cambia, la información del datagrama no coincide y por lo tanto no llega a su destino. Si necesita cifrado utilice ESP, si solo necesita autenticar el origen de los datos o verificar la integridad de los datos utilice AH. •

IKE: Internet Key Exchange. Intercambio de claves de Internet: está diseñado para que de manera segura se establezca una relación de comunicación entre dos máquinas. Negocia la seguridad. Protege la comunicación previa y el acuerdo mutuo de la protección de la comunicación generando claves de manera dinámica para que sean usadas por ambos equipos en la comunicación. Utiliza dos protocolos. -ISAKMP e OAKLEY

ISAKMP: Protocolo de administración de claves encargado de negociar las claves secretas de la comunicación. OAKLEY: Una vez creada la clave de protección, gestiona los demás parámetros, métodos de cifrado, algoritmos de firma, métodos de autenticación. Asociación de seguridad de nodo principal: utilizada para proteger la asociación. Asociación de seguridad de modo rápido: los demás parámetros. IPSEC se configura mediante directivas de seguridad Una directiva consta de una o varias reglas, a su vez una regla consta de varios componentes. Los componentes de una regla son: Tipo de conexión que permite establecer si IPSEC protegerá la comunicación a través de la misma LAN, RAS o ambas (RAS remote access Service). Filtro IP: opción que permite indicar el comportamiento de IPSEC con respecto a un tráfico determinado. Determina qué protocolo se ve afectado por esta acción. Acción de filtrado: indica a la directiva que tiene que hacer en caso de que el tráfico coincida con la directiva. Permite, bloquea o negocia.


Autenticación: permite especificar el método que los equipos van a utilizar para validar sus identidades, kerberos, PSK, certificados. Túnel: determina una IP, solo protegerá la comunicación ante la comunicación con esa máquina.

10-01-11

PERFILES DE FIREWALL Almacén de configuraciones que depende de la red a la que está conectada la máquina. Para dominio una configuración, para Privada otra y para Pública otra. • Dominio: cuando una máquina es miembro de un dominio. • Privada: cuando un equipo se encuentra en una red que no es dominio. La configuración de firewall es más restrictiva. • Pública: la más restrictiva, determina que todo el tráfico entrante está bloqueado pero el saliente no, se crean excepciones en el firewall. El firewall se autoconfigura dependiendo el perfil que sea. Estos perfiles son importantes para equipos portátiles. Toda aplicación que se vaya a instalar en S.O. superior a Windows Vista debe conocer estos perfiles y poder configurar el firewall para poder general el tráfico de red si es necesario. (Antiguos problemas de compatibilidad de firewall). Genera protección a nivel de máquina. Windows/system32/logfile/firewall/pfirewall.log almacena toda la información que genera el firewall cuando no coincide sus reglas de entrada y salida (registra los paquetes que descarta). TIPOS DE REGLA DE FIREWALL

• • •

Programas: controla la comunicación de un programa. Puerto: para permitir una conexión basada en puerto TCP o UDP. Predefinida: basada para programas localizados en Windows.


IpSec también se puede configurar por gpedit.msc—configuración equipo—configuración Windows—configuración seguridad---directiva de seguridad ip en equipo local.

DIRECTIVAS DE IPSEC •

Cliente: solo responde con IPSEC si alguien se lo pide. Incorpora la regla de respuesta predeterminada que es la que habilita IPSEC si alguien lo solicita. Servidor: es capaz de responder con IPSEC si alguien se lo pide y solicita IPSEC. Siempre intenta proteger la comunicación. También incorpora la regla de respuesta predeterminada (con sus componentes correspondientes). Servidor Seguro: requiere IPSEC.

Gpupdate -- actualiza directivas

NPAS Servicio de acceso de políticas de red. Rol enfocado a la gestión de conexiones a redes. Subfunciones: RRAS, NPS, NAP, HCAP, HRA. RRAS: servicio de acceso y enrutamiento. ROUTING AND REMOTE ACCESS NPS: servicio de políticas de red. NAP: políticas de acceso a red. NETWORK ACCESS PROTECTION HCAP: protocolo de autorización y acreditación. HRA: autoridad de registro de mantenimiento.


RRAS Servicio multiprotocolo integrado en versiones anteriores a Windows Vista y que hay que implementar en las siguientes versiones (instalar y habilitar). Permite conexiones remotas a usuarios a mi LAN. Incluye soporte para varios protocolos como: RIP: routing information protocol. En sus versiones V1 y V2. Proporciona también el servicio de NAT. Tipos de conectividad VPN y DUM

DUM Dial Up Networking. Marcación de redes que permite a las máquinas poderse conectar a un puerto de un servidor. Utiliza varios métodos de conexión: POTS: permite el envio de datos a través de redes analógicas. Principio de comunicación remota. También admite conexiones con RDSI. PPP: protocolo capaz de negociar la conexión remota entre dispositivos para que se pueda utilizar en redes TCP/IP. Incorpora autenticación. SLIP: no incorpora autenticación.

CHAP: protocolo de autenticación, con el que trabaja PPP. Garantiza que quien intente conectarse se identifique. LCP: protocolo de control de enlace. Permite llegar al acuerdo de a quien se conecta, que puerto. Mantiene el enlace establecido. Trabaja con PPP. CBCP: Protocolo de control de llamada. CCP: protocolo de control de compresión de datos. Se encarga de negociar si la información se tiene que comprimir. BAP: protocolo de asignaciones de ancho de banda. Gestiona entre cliente y servidor si el enlace remoto necesita más puertos para ampliar el ancho de banda. IPCP: negocia los parámetros de los datagramas que emplea PPP.

12-01-11


VPN Una red privada virtual o VPN (siglas en inglés de virtual private network), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. Ejemplos comunes son, la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.

PPTP L2TP SSTP PPTP PPP cuando añade seguridad en el datagrama sería PPTP o L2TP. PPTP trabaja a nivel de capa 2 al igual que L2TP, utiliza como puerto TCP 1723, para L2TP el 1701. Para cifrar la información se utiliza MPPE (protocolo de encriptación de Microsoft). PPP cifrado con MPPE sería PPTP. GRE, a través de él, añade una cabecera de seguridad al datagrama. Del libro Protocolo para paso de punto a punto (PPTP): es una tecnología de Microsoft que está ampliamente soportada por sistemas operativos no Microsoft. PPTP utiliza métodos de autenticación Protocolo Punto a Punto (PPP) para autenticación a nivel de usuario y Cifrado Microsoft Punto a Punto (MPPE) para el cifrado de datos. PPTP no necesita certificado de cliente cuando se utiliza PEAP-MS-CHAP v2, EAP-MS-CHAP v2, o MS-CHAP v2 para la autenticación. L2TP: Utiliza para proteger los datagramas IP IPSec. Encripta la información con IPSec, incrementa la seguridad de PPTP. Es la forma más segura de crear una VPN.


Del libro Protocolo para paso de punto a punto (L2TP): utiliza métodos de autenticación PPP para la autenticación a nivel de usuario e IPSec para autenticación del cliente a nivel de equipo, autenticación de datos, integridad de datos y cifrado de datos. L2TP requiere que los clientes y servidores VPN tengan certificados de equipo. SSTP: Utiliza el puerto 443-SSL para hacer conexiones remotas. Protocolo de tunelado de conexión segura. Se incorpora a partir de Windows Vista, permite acceder a un equipo cliente a la red coorporativa por medio de conexiones VPN a través de conexión https. El tráfico siempre pasa a través del puerto 443. Del libro SSTP utiliza métodos de autenticación PPP para autenticación a nivel de usuario y encapsulado Hypertext Transfer Protocol (http) sobre un canal Capa de Conexión Segura (SSL), para la autenticación de datos, integridad de datos y cifrado de datos. Ofrece soporte para IPv4 e IPv6. Encapsula el tráfico PPP sobre un canal SSL. Canal VPNSSL y por dentro viaja PPP. Necesitamos máquinas certificadoras (entidades certificadoras CA). Utiliza el navegador para hacer una conexión https. Crea una sesión SSL y después el servidor envía PPP. Se extrae del certificado la clave pública y se la envía al servidor, esta clave es simétrica a la del servidor y está encriptada. (este párrafo no está completo). El sistema de enrutamiento que ofrece NPAS es estático y dinámico.

Estático: cuando le dices al router por donde tienen que ir los paquetes. Hay que configurar tanto la ida con la vuelta de la comunicación. Dinámico: lo realizan automáticamente los router. Se utilizan varios protocolos. RIP: cada 30 segundos anuncia las tablas de router aunque no cambien. OSPF: desaparece en W2008, no anuncia tablas. Permite crear áreas de replicación de enrutamiento. Hay que decir a cada uno de los router que redes vas a anunciar (todas las que tienen conectadas).


VPN garantiza una conexión remota confidencial. Genera un enlace punto a punto seguro. Ofrecen varias ventajas: 1. Seguridad y confidencialidad. 2. Movilidad. 3. Acceso a servicios de red, recursos compartidos, servicios web…. 4. Compatibilidad con cualquier protocolo de red. ELEMENTOS DE INFRAESTRUCTURA DE VPN • • • • •

Servidor. Cliente: cualquier máquina configurada para establecer una conexión a servidor de enrutamiento remoto. Red de trámites: cualquier red pública o privada por la que se llevan los datos entre el cliente y el servidor. Tunel VPN: parte de la red de tránsito por la que circulan los paquetes de datos cifrados. Protocolos: 1. PPOE: conexiones punto a punto sobre una red Ethernet. Crea enlaces PPP sin protección. 2. L2TP. 3. SSTP: protocolo de encriptación SSL. 4. PPTP.

DIRECTIVAS DE ACCESO REMOTO (2003) DIRECTIVAS DE RED (2008) 2003 Gestionadas por RAS o RADIUS 2008 Gestionadas por RADIUS pero se llama NPS (Servidor de Políticas de red---Servidor IAS) Conjunto de reglas que definen la autorización o denegación de la conexión de una máquina. Consta de varios componentes: • • • •

Condiciones Permisos Perfiles o restricciones ( en 2008) Configuraciones (2008)


1. Condiciones: serie de parámetros (día que se va a acceder, IP del intento de conexión, etc.). Se comparan con los parámetros del servidor (mismas condiciones) para que se pueda conceder conectarse al cliente.

17-01-11 2. Permisos: conceden o no a un usuario conectarse en remoto. Se pueden configurar en varios sitios, dentro de la propia directiva de acceso, o el controlador de dominio dentro de AD en las propiedades de cuenta de usuario en una ficha llamada acceso remoto. 3. Perfiles y restricciones: conjunto de propiedades que se aplican a una conexión en el momento de su enlace, se incorporar dentro de una directiva (que día y que hora tiene el acceso, tiempos de acceso, tipo de conexión). 4. Configuraciones: otras opciones que se aplican cuando la conexión ha sido correcta. (Que métodos de cifrado se pueden emplear, que configuración IP se le va a dar al cliente, si se aplicarán filtros al cliente, si la máquina que se ha conectado tiene que cumplir unos requisitos de seguridad). Para que un usuario pueda tener un acceso remoto a una red coorporativa tiene que cumplir una directiva aplicando sus 3 parámetros: condiciones, permisos y restricciones. Aquí viene el diagrama

RADIUS

Servicio de marcado y autenticación de usuarios remotos .

RADIUS (acrónimo en inglés de Remote Authentication Dial-In User Server). Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1813 UDP para establecer sus conexiones.


Protocolo basado en el modo cliente/servidor. Gestiona la autenticación, autorización y gestión del cliente que se conecta a una red remota.

IAS: Internet Authentication Services en 2008 NPS anteriores puede ser IAS o RADIUS. Permite la centralización de directivas de acceso remoto a tu red. Utiliza de conexión a los servidores varios puertos. 2 para autenticación y 2 para administración de cuentas.( 1812 y 1645) para autenticación y (1813 y1646) para la administración de cuentas. Todos los RADIUS tienen clientes--- cualquier equipo o servidor de enrutamiento y acceso remoto o NPS que este conectado a un servidor NPS para el envio de autenticación y autorización.

QoS

Calidad y servicio

QoS o Calidad de Servicio (Quality of Service, en inglés) son las tecnologías que garantizan la transmisión de cierta cantidad de información en un tiempo dado (throughput). Calidad de servicio es la capacidad de dar un buen servicio. Es especialmente importante para ciertas aplicaciones tales como la transmisión de vídeo o voz. Conjunto de standares que garantizan que cierto tipo de tráfico que envian nuestras máquinas tengan una determinada prioridad en la red. También una cierta calidad en el enlace. Establece una serie de requisitos que la red debe cumplir. QoS se configura a través de directivas. Enfocado a programas que envian información a tiempo real. DSCP servicio que trabaja con QoS. Punto de código de servicios diferenciados. Es un campo que se incluye en los datagramas IP que permite especificar los distintos niveles de calidad de servicio que se le va a dar a dichos datagramas. Incluye en el datagrama cabeceras de calidad y tipo de servicio. Los programas tienen que estar habilitados para trabajar con QoS.


DSCP es un campo de 6 bits que establece la prioridad de tráfico. En el valor de DSCP a mayor nº, mayor prioridad, de 0 a 63. En editor de directivas de grupo (gpedit.msc)---configuración de Windows---QoS basado en directiva---nueva. 19-1-11

NAP Network Acces Protectíon

Protección de acceso a redes. Es proporcionado a través de NPAS (el rol que nos permite configurar servicios de RRAS o sistemas de protección de acceso a redes NAP) El control de acceso a red NAP se proporciona mediante el rol NPS y quien gestiona NAP es un rol determinado llamado NPS que se instala desde el rol NPAS. NPS reemplazaría a RADIUS o Servidores IAS. NPAS también proporciona RRAS o HCAP o HRA. HCAP protocolo de autenticación y autorización de máquinas. HRA autoridad de registro de mantenimiento.

HCAP permite una compatibilidad con las soluciones de autorización de tecnologías CISCO o que implementan los router CISCO. HRA es el rol encargado de validar solicitudes de certificados en función al cliente que se conecta.

NAP es un conjunto de componentes que permiten o proporcionan un sistema para que equipos que quieran conectarse a una red corporativa a través de vpn o tu red de area local, tengan que cumplir con una serie de requisitos de seguridad previamente establecidos por ti y que tienen que cumplir para poder conectarse.


Podemos indicar a nuestros equipos cliente que antes que se conecten a mi red corporativa tengan antivirus o tengan el antivirus actualizado o un sistema antispyware o que tenga el firewall de Windows activado etc.

La funcionalidad de NAP está enfocada a proteger tu red LAN de equipos mal configurados en lo que a seguridad se refiere. NAP es capaz de supervisar y determinar en todo momento cual es el estado de salud en el que se encuentra un equipo que intenta conectarse a una red o que está conectado a la red y si esa máquina no cumple con los requisitos que previamente he establecido lo que hace NAP es mandarle a una red de cuarentena y esperar a que se configure esa seguridad para poderse conectar a mi red. (Una red de cuarentena es cuando se te detecta algo, te deposito en un sitio apartado y continuamente te voy revisando y cuando estés bien te saco) y solo se le permite acceder a ciertos servidores de donde poder sacar la configuración. De esta manera garantizamos que los equipos que se conectan a mi red tengan salud. Para poder hacer efectivo NAP es necesario que todos los equipos clientes así como servidores que trabajan con él, para poder trabajar con el NAP, como mínimo tiene que tener Windows XP Service Pack 3. A la hora de crear esos entornos de NAP el servidor encargado de aplicar esa seguridad es NPS que sustituye a RADIUS E IAS. NPS es RADIUS e IAS en un sistema operativo Windows 2008. El servidor NPS es el encargado de gestionar la autenticación y autorización en todo intento de conexión a la red y basándose en las directivas configuradas que determinan si una máquina cumple o no cumple los requisitos y si la deja o no entrar o la deposita en una de cuarentena. El servidor NPS nos permite gestionar las directivas de acceso a red. A la hora de implementar el servidor NPS en una red si es de dominio, el servidor NPS puede trabajar tanto con AD como con sus SAM locales. NPS trabaja conjunto a ADDS. Puede utilizar también certificados, podemos implementar un acceso a la red por medio de enlaces inalámbricos y también certificados (necesitamos una entidad certificadora). NPS se puede administrar por una línea de comandos denominada Netsh.


Puede trabajar con IPv4 e IPv6 NPS tiene compatibilidad con autenticación EAP enfocado a las conexiones inalámbricas.

napclcfg.msc Configuración del cliente de NAP (solo se puede entrar aquí mediante este comando) desde aquí se habilita el cliente de NAP. 24-1-11 COMO TRABAJA NAP COMPONENTES NAP hace cumplir a los equipos clientes los requisitos de mantenimiento o configuración que previamente se han configurado y para ello supervisa en todo momento el estado del equipo, si no lo cumple lo saca de la red entre comillas. Para implementar NAP se requieren los servidores NPS. Para instalarlo, desde el Server Manager implementamos el servicio de políticas de red. En roles, seleccionamos Network Policy Server e instalamos. La plataforma de NAP es una tecnología de validación. Para que NAP funcione adecuadamente se necesitan varios procesos que se estén ejecutando en la red: Validación de directivas. Validación de cumplimientos de NAP. Actualizaciones Supervisiones de cumplimiento de NAP Para que NAP se pueda ejecutar utiliza una serie de componentes de validación tanto el servidor como los equipos clientes. El servidor NPS utiliza el SHV (System Health Validator) validadores de mantenimiento de sistema, para analizar o determinar cuáles son las características necesarias para poderse conectar a la red. Los SHV lo que van a hacer es informar al equipo de las características que tienen que tener habilitadas para conectarse a la red. Los SHV se incorporan en las directivas de acceso a la red y determinan basándose en el estado del cliente si se le permite o no conectarse a la red. Si el SHV se incorpora en una directiva de red tiene que haber algo en el cliente que se encargue de informar cual es su estado de mantenimiento o saludo. El estado de salud en una máquina cliente es supervisado por SHA (System Health Agent) agente de mantenimiento de sistema que hay que habilitar en los equipos clientes. NAP utiliza tanto los SHA como los SHV para supervisar y aplicar en todo momento las configuraciones de salud que necesita una maquina cliente para conectarse a la red. El SHA se configura en equipos cliente con XP service pack 3 en adelante.napclcfg.msc.


NAP determina que la red va a estar siempre protegida con respecto a la configuración que tú estableces. Métodos de cumplimiento: se seleccionan en el cliente de cumplimiento (osea clientes) que son los encargados de solicitar el acceso a una red comunicando al SHV su estado con respecto a DHCP, etc...

Recursos compartidos

26-01-11

SERVICIOS DE DFS (Distributed File System, sistema de archivos distribuidos) Carpetas compartidas: carpetas accesibles a ciertos usuarios en la red. Cuando compartes una carpeta normalmente tiene ciertas características. Cuando nosotros compartimos una carpeta vamos a decir quién podrá o no podrá acceder a esa carpeta o realizar tareas dentro de esa carpeta. Solo se pueden compartir carpetas, no ficheros. Cuando compartes una carpeta automáticamente existe un grupo denominado “Todos” que automáticamente se agrega a esa carpeta para conceder el acceso con un permiso de solo lectura, ese grupo de sistema (todos), lo que hace es que integra a todos los usuarios que quisieran acceder a esa carpeta. Cuando tu copias una carpeta compartida la original sigue compartida pero la tuya no. Cuando compartimos una carpeta la podemos ocultar a la vista de la red o usuarios, para ocultarlo se utiliza el símbolo $. No se pueden compartir carpetas con el mismo nombre, el sistema no lo permitiría. Varios recursos una única carpeta distintos tipos de accesos. Windows se encarga de compartir carpetas necesarias para el sistema pero ocultándolas. Las carpetas que Windows comparte de manera automática y de forma oculta son lo que se conocen como las carpetas compartidas administrativas, estas carpetas tienen una serie de permisos que no se puede modificar, el grupo administradores siempre tiene un control total sobre estas carpetas. (ADMIN$,PRINT$,IPC$ ADMIN$ corresponde a la carpeta Windows IPC$ no es una carpeta, se utiliza para todos los sistemas de administración remota, todos aquellos programas de conexión remota a sistemas de Microsoft emplean ese acceso a IPC$ que concede acceso a servicios. Print$ porque tengo una impresora compartida, cuando comparte una impresora pones a disposición los drives de la impresora para los demás usuarios. Las letras de unidad se comparten en oculto. Cualquier unidad o disco, partición que tú tengas en la máquina de manera predeterminada se comparte en oculto, es un agujero de seguridad pero no grande. Esta compartición automática se puede quitar desde el registro de Windows. Porque comparte estas carpetas, porque existen


herramientas de administración que enlazan con las unidades en oculto como por ejemplo DFS. Netlogon es una carpeta donde los usuarios acceden en sus procesos de inicio de sesión para comprobar si tiene algún tipo de script o directiva de seguridad que tengan que implementarse en su sesión. El comando NET SHARE me permite compartir una carpeta.Ej: net share nombre recurso compartido=c:\nombre carpeta /grant es un modificador que me permite dar permisos /grant:nombre del usuario, change o read o write o full net share nombre recurso compartido=c:\nombre carpeta/grant:nombre del usuario, change o read o write o full Para descompartirla se utiliza net share nombre recurso /delete borra el nombre del recurso compartido

Cuando trabajamos en un dominio. Publicar en el servicio de AD, lo que realmente hacemos es hacer a AD que tenga una referencia a esa carpeta como si fuera un objeto de administración. Generamos un objeto (objeto carpeta) en el AD que lo que hace es una referencia al recurso compartido que hemos creado. Nos sirve para poder identificar en una herramienta de administración u organización que recursos compartidos hay en un determinado departamento u otro, o que impresoras hay etc. Unidades de red: la identificación de un recurso compartido en un sistema con una letra. El usuario lo ve como una unidad local aunque realmente lo que hace es apuntar a un recurso compartido. Hay muchas formas de generar una unidad de red. ( boton dcho sobre conectar a unidad de red sobre el recurso compartido). desde el centro de recurso de redes y recurso compartidos o tambien con linea de comandos: net use z: \\nombre equipo o IP\recurso compartido net use z: \ delete Para indicar que en el próximo inicio de sesión no se desconecte net use z: \\nombre equipo o IP\recurso compartido /persistent:yes

DFS sistemas de archivos distribuidos distributed file system Es un servicio de Windows que nos permite organizar los recursos compartidos de una red en una estructura única o de espacio de nombres único. Los usuarios van a poder acceder a todos los recursos de una red sin tener que aprenderse las direcciones de los servidores en donde están. El DFS crea un recurso compartido raíz(o espacio de nombres DFS en 2008) sobre sistemas NTFS. A través de una única localización, un usuario, en una estructura única de espacio de nombres va a acceder a todos los recursos de la red. El usuario desde su equipo solo accederá a ese servidor. Dependiendo de la versión de Windows, si es estándar o enterprise. Si mi versión es


2003 o 2008 Enterprise o datacenter voy a poder crear varios espacios de nombres DFS o varios puntos de acceso a diferentes puntos, pero si trabajo con standar o web edition, un único espacio de nombres o punto de acceso. Los permisos no se gestionan en el DFS sino en los propios recursos compartidos. Espacio de nombres DFS independiente: la configuración solo se almacena en un único servidor y no admite replicación. Es uno de los sistemas que no ofrece tolerancia a errores, si cae el servidor caen todas las referencias hacia mis recursos compartidos. Espacio de nombres DFS basado en dominio: esta configuración lo que hace el sistema al estar basado en dominio es que la configuración de la raíz DFS se almacena en el AD servicio de directorio. La localización ya no se hace por nombre de servidor sino por nombre de dominio. Una de las características es que la raíz DFS se puede sustentar en dos o más servidores, podemos usar el sistema de tolerancia a errores con replicación de servidores raíz DFS. Para configurarlo es en agregar funciones que se llama Servicios de Archivo, dentro tenemos una subfunción denominada Sistema de Archivos Distribuido que incluye espacios de nombre DFS y replicación DFS.

02-02-11

Administración de Discos IDE,SCSI,SSD pio dma ultradma scsi scsi utiliza una controladora que libera totalmente de cualquier operación de transferencia de datos al procesador. Sin embargo los discos IDE no lo liberan y queda repartida entre la controladora y el procesador. Sistemas de archivo: Forma de poder depositar la información (Sistema de archivos) una estructura de organización de directorios el cual nos permite crea, modificar,


eliminar archivos de diferentes formatos - FAT (file alocation table) enfocado a MSDOS, forma de administrar el disco en la que solo permite generar particiones no mas de 4 GB. No ofrece seguridad a nivel de archivo ni compresión de datos. La información del cluster está comprendido entre 16 a 64kbyte. -FAT32 ventaja principal es que a la hora de establecer el tamaño de sector siempre va a ser de 4kbytes, esto nos permite un acceso más rápido y una eficiente organización de la información. Cuando trabajamos con FAT32 nos permite trabajar con particiones de hasta 32gb aunque es el mas eficiente con 512MB. No ofrece seguridad ni cifrado ni compresión de datos. No admite ficheros de mas de 4GB. -NTFS sistema de archivos creado por Windows NT que ofrece sistema de seguridad a nivel de archivos, permisos, cifrado y compresión de archivo, cuotas de disco. Este sistema no es compatible con todas las versiones de Windows (Mileniun para abajo) tampoco se puede utilizar en diskettes. Permite trabajar con particiones mayores a 2Gb hasta un máximo de 2 Teras. Disco básico: cuenta con una tabla única de asignación de particiones que se encuentra en el sector 0 del disco (MBR Master boot Record) que tiene una característica dentro de estos discos y es que está limitada a 4 espacios de organización conocido como particiones. Estas particiones son primarias no se pueden extender, ni ampliar ni reducir. Partición extendida: nos permite gestionar una de las 4 espacios y asignarle mas particiones digamos, estas particiones serian unidades logicas. Disco Dinámico: se caracteriza porque proporcionan más flexibilidad de configuración que un disco básico. Ventajas: se pueden crear espacios de almacenamiento que abarquen más de un disco, ya no hablamos de particiones sino de volúmenes. No hay limite a la hora de crear volúmenes, el limite lo pone la cantidad de espacio disponible y la cantidad de letras de unidad que puedo asignar ( y ni eso). También permite generar sistemas de tolerancia a errores.

DISKPART comando para administrar discos. format /fs: (fat fat32 ntfs) g:---unidad Unidades montadas, espacio de disco asignado a una carpeta. diskpart> list disc listado de discos diskpart> create partition primaty size (cantidad MB)


diskpart> assig letter x diskpart> conver dynamic diskpart> detail diskpart> create volume simple size 100 Dentro de diskpart Convert dinamic convierte disco basico a dinamico pero no podrém os volverlo poner basico. TIPOS DE VOLUMENES

Se pueden crear varios tipos de volumenes: - Volumen simple. espacio determinado dentro de un disco dinamico. No está delimitado con el espacio inicial con el que se configura, se va a poder ampliar. - Volumen extendido. Cuando un volumen simple se ha expandido dentro del mismo disco fisico. - Cuando expandimos un volumen simple a otro disco físico distinto al cual se ha creado se habla de volumen distribuido. - Volumenes seccionados: como minimo necesitamos dos discos para poder crearlo, dos discos fisicos y dinamicos. Forma de almacenamiento en la que necesitamos dos discos en el que se han establecido una partición c: y lo que hace es que toda la información la secciona para ir dando información en cada sección repartiendola de uno a otro. No tolerante a errores. El volumen seccionado es un RAID 0. La ventaja es la velocidad. - Volumen espejo: (mirror) RAID 1: necesita como minimo dos discos. Se pierde el 50 por ciento de la capacidad del volumen que creas. Sistema con tolerancia a errores. Si cae un disco la información está en el otro. - Volumen RAID5: hace un calculo matematico entre la información para tener una imformación de recuperación de parte de la información si faltara. Como minimo se necesitan 3 discos. La información que va a depositar en un disco lo divide y uno lo deposita en uno de los discos la otro en otro y despues hace un calculo matematico llamado paridad y lo deposita en el otro. Realizando un calculo matematico con la información de un disco y la paridad genera la otra parte.Va repartiendo la paridad entre los diferentes discos. Unidad montada: espacio de almacenamiento independiente que se asigna a una ruta de carpeta. No utiliza una letra sino que emplea una ruta de un volumen ya existente. Para poder crear una unidad montada esa carpeta tiene que estar vacia.


Instantaneas de Volumén y cuotas de disco. Cuota de disco: un espacio que se designa y se limita a un usuario o grupo de usuarios. Se utiliza normalmente para denegar que puedan depositar mas información de la que tu delimitas. Cuando habilitamos la cuota un usuario que almacena información en ese volumen reduzca o no la información, esa información va a seguir ocupando en el disco lo que originalmente ocupaba. Se almacena realmente lo que pesa, la información no se reduce aunque la comprimas. Siempre ve el peso del documento original. Cuando se establece una cuota de disco se hace a nivel de volumen dentro del sistema NTFS. Para generar una cuota de discos nos vamos a las propiedades de un determinado volumen a la pestaña de cuota. Instantaneas de volumen : Fue una funcion que apareció a partir de las versiones de Windows 2003.Permitia al sistema poder hacer una copia de seguridad de manera automatica de unica y exclusivamente las carpetas compartidas que se encuentran en el volumen en el que se habilita la instantanea. También nos permite que una vez que se habilitan de manea automatica se hará la copia de seguridad a las 7 de la mañana y cualquier usuario podrá recuperar cualquier documento que haya sido borrado, reemplazado o modificado. Esta estructura seria una pila FIFO. Son de solo lectura. La cantidad minima para crear una instantanea de volumen por defecto son 100 MB y el maxímo la cantidad de espacio de disco. Normalmente 10% del tamaño original del volumen en el que haces la instantanea. El cliente de instantaneas en versiones anteriores a Windows Vista se encuentra en la ruta c:\windows\sistem32\clients\twclients\x86\twcli32.msi. Donde se habilitan las instantaneas: En el volumen, propiedades Shadow Copy. Para restaurarla en propiedades de la carpeta y despues Previus Version.

Ficheros fuera de linea o carpetas sin conexion Permite que un usuario pueda trabajar con documentos que se encontraban en recursos compartidos incluso si el servidor o maquina que lo sustentaba ha caido. Si el servidor en ese momento arranca, se sincroniza automáticamente. Configuracion: Desde propiedades carpetas, advance setting en la compartición avanzada seleccionar


caching (caché). carpeta compartir opciones avanzadas de comparticion caching

Hay que habilitarlo en el servidor en panel de control.(WINDOWS 2008) Después en el usuario. FSRM FILE SERVER RESOURCE MANAGER Administrador de recursos de archivo server Un conjunto de herramientas en una única consola de administración de datos almacenados en tu servidor. Este servicio hay que instalarlo. Esta en Select Role Services. Posibilidad de crear un sistema de filtrado a nivel de carpeta que determinará que tipos de archivo van ha poder dejar un usuario en esa carpeta, por extensión.

07-02-11 FSRM FILE SERVER RESOURCE MANAGER Administrador de recursos de archivo server Un conjunto de herramientas en una única consola de administración de datos almacenados en tu servidor. Este servicio hay que instalarlo. Esta en Select Role Services. Posibilidad de crear un sistema de filtrado a nivel de carpeta que determinará que tipos de archivo van ha poder dejar un usuario en esa carpeta, por extensión. Esta herramienta es una subfuncion de File Server denominada File Server Resource Manager. Permite gestionar cuotas de discos (habilitar cuotas a nivel de carpetas de manera independiente), posibilidad de crear sistemas de filtrado que nos permiten indicar que tipos de archivos va a poder el usuario guardar en ciertas carpetas. Esta herramienta también nos permite crear una estrategia de seguimiento, pudiendo generar informes de que archivos son los más usados, que uso se hace de cuotas, cuales se modifican más etc, nos permite algo asi como gestionar una auditoria de una carpeta. Todos los informes se pueden almacenar en distintas extensiones como dhtml, html, xml, csv o txt.Todo informe se puede enviar por correo electrónico.

PERMISOS Y DERECHOS Los permisos: son las normas o reglas que rigen el uso que un usuario puede realizar con respecto a un determinado recurso. Se gestionan en los recursos. Derecho: son las acciones que un determinado usuario o grupo de usuarios puede realizar con respecto al sistema operativo (iniciar sesion, cambiar hora de sistema). Se gestionan en las directivas de seguridad del sistema. Permisos


Cuando hablamos de permisos existen dos tipos. Carpeta compartida y NTFS Los permisos de carpeta compartida son aquellos que solo se asignan a una carpeta que se comparte y son los que rigen el tipo de acceso que se le concede a un usuario a un recurso cuando accede por la red. Solo se aplican cuando se accede a dicho recurso a través de la red, si no se aplican los de NTFS. Leer, cambiar, control total tres permisos o tipos de acceso. •

Leer: se asigna siempre de forma predeterminada al grupo todos en el momento que se comparte una carpeta y este permiso concede a un usuario el poder ver todos los archivos y carpetas que se encuentran dentro de dicha carpeta, ver sus nombres, ejecutar archivos de programa (ficheros dentro de esa carpeta), ver todos y cada uno de los atributos que tienen cada una de los archivos que se encuentran en dicha carpeta.

Cambiar: aparte de lo que concede el permiso de leer tambíen concede a un usuario el que pueda crear o agregar archivos o carpetas dentro de esa carpeta compartida, modificar datos o parametros de los archivos y poder eliminar carpetas y archivos que se encuentren dentro de dicha carpeta compartida.

Control total: este permiso ademas de el permiso de leer y cambiar permite el cambio de permisos y la toma de posesión.

Permisos NTFS Dos tipos, NTFS de archivo y NTFS de carpeta: •

NTFS de archivo: uno de sus principales permisos es el de leer o lectura que concede a un usuario el que pueda ver los atributos de dicho archivo asi como cuales son los permisos que tiene asignados y cual es su propietario.

Lectura y ejecucion a parte de leer permite a un usuario el poder obtener las propiedades de un archivo, ver un archivo e incluso ejecutarlo. Escribir o escritura: concede a nivel de archivo a un usuario el poder cambiar atributos del archivos como a sobreescribir lo que tiene. Modificar: este permiso concede a un usuario leer, ejecutar, escribir y eliminar. Control total: concede modificar los permisos de ese archivo asi como también hacer tomas de posesión. •

NTFS de carpeta:

- Mostrar contenido de la carpeta: permite a un usuario el que pueda ver los nombre de los archivos y subcarpetas de la carpeta en concreto.Permite recorrer todas las carpetas viendo los archivos contenidos en esa carpeta. Muestra atributos de las carpetas, atributos extendidos. - Leer o lectura: concede al que un usuario pueda mostrar la lista de carpetas, leer datos de carpetas y archivos.


- Leer y ejecutar: permite el poder ver archivos, atributos, permisos extendidos y ejecutar ficheros. -Escribir: no depende de ningún otro permiso, es autonomo. Se puede asignar conjuntamente o individualmente, concede la capacidad de poder crear documentos o archivos o carpetas dentro de dicha carpeta, incluso cambiar atributos. - Modificar: concede a un usuario o grupo de usuarios el poder eliminar archivos y carpetas dentro de dicha carpeta. - Control total: a parte de todo lo que conceden lo demás concede el que puedan hacer tomas de posesión y modificar los permisos de cualquier archivo o carpeta dentro de dicha carpeta. Cuando hablamos de permisos hay que hablar de sus estados y son tres: •

Permitir

Denegar

Revocado

Para gestionar permisos se realiza con las DACL listas de control de acceso discripcional, que tiene ACE entrada de control de acceso identificada por un SID nº único que identifica a cada usuario de manera única. Los permisos se asocian a los SID. Entidad principal de seguridad (una cuenta de usuario, cuenta de equipo, grupo de usuarios, grupo de equipos). Se considera que una entidad principal de seguridad tiene los permisos revocados cuando no cuenta con una ACE en la DACL. Dicho grupo o usuario tiene los permisos revocados. Cuando se conceden los estados se hacen de dos formas explicita y implicita. Explicito cuando se deniega o permite el tipo de acceso que concede dicho permiso. Implicita: cuando tu no concedes de forma explicita el estado de un permiso se considera denegado implicitamente. Un permiso se considera denegado implicitamente cuando ninguno de sus estados ha sido concedido de manera explicita. Los archivos o carpetas pueden heredar los permisos que tiene aplicados las carpetas raiz, si se hereda el permiso de permitir, de manera explicita voy a poder denegarselo, si lo que heredas es el estado de denegar se lo podrás conceder de manera explicita. Si copiamos una carpeta o archivo a otra carpeta dentro del mismo volumen NTFS automaticamente hereda los permisos de la carpeta a la cual han sido destinados. Si copiamos otra carpeta o archivo a otro volumen, automaticamente heredarán los permisos de dicha carpeta.


Si movemos una carpeta o archivo a otra carpeta dentro del mismo volumen NTFS automaticamente mantienen sus mismo permisos. Si movemos una carpeta o archivo a otra carpeta que se encuentra en otro volumen NTFS, se heredan los permisos de la carpeta de destino. La herencia si no se gestionan de forma organizada los permisos puede suponer un problema, para evitar que usuarios o grupos de usuarios puedan acceder a recursos que se encuentran dentro de una herencia establecida podemos encontrarnos con lo que se conoce como el corte de herencia. Con los cortes de herencia evitamos que los permisos se sigan propagando por las demas carpetas hijas. Podemos realizar dos operaciones que son: Quitar o copiar. - Quitar: establecemos un borron y cuenta nueva, a partir del corte de herencia establecido limpio la DACL para administrarla como quiera. - Copiar: establecer el corte de herencia a nivel de una carpeta y copiar las entradas de la DACL de la carpta raiz para que se puedan editar porque las DACL heredadas no se editan.

Todo usuario que genera un documento pasa a ser el usuario propietario con lo cual un propietario puede administrar sus documentos o DACL como quiera pero eso se lo concede una entidad denominada CREATOR OWNER. Para que esto no ocurra lo que podemos hacer es darle a CREATOR OWNER permiso de modificar no de control total.

14-02-11 COPIAS DE SEGURIDAD Es una caracteristica, de manera predeterminada no viene en Windows 2008 implementada, hay que instalarla desde el Server Manager. No es una funci贸n. Est谩n dise帽adas para ofrecer un sistema de protecci贸n de datos ante las perdidas accidentales tanto de hardware o software. Hay que distinguir entre las copias de seguridad en Windows 2008 y en 2003. En 2003 te permitia hacer una copia de archivos y carpetas, o seleccionar un archivo o una carpeta concreta, tambien los SO anteriores a WVista podias hacer copias de seguridad de datos del sistema o programar un sistema de copias de seguridad. En 2008 cambia, ya no se puede hacer copia de seguridad de un archivo o carpeta, sino que directamente podremos hacer copias de un volumen completo o un disco completo. Copias de seguridad de estado del sistema. En Windows anteriores a Windows Vista tenemos. Total (normal), copia de copia, diferencial, incremental y diaria.


Las copias de seguridad se basaban en el atributo A o atributo de archivo, utilizado por todos los metodos de copia de seguridad. Que especifica el atributo A, establece que el archivo ha sido modificado en algún momento, con lo cual, las copias de seguridad en ciertos momentos borraran o no este atributo. Atributo de archivo modificado. - Total: cuando seleccionamos una copia de seguridad total o normal, lo que hace el sistema es realizar una copia de seguridad de aquellos archivos seleccionados independientemente del atributo A y una vez realizado el sistema borraba automaticamente el atributo A de todos esos archivos independientemente que lo tengan o no. Siempre es la referencia para un conjunto de copias de seguridad. Punto de partida. Son copias de seguridad lentas. Ocupa muchos medios( cualquier dispositivo donde se puede almacenar una copia de seguridad). - Copia de copia: al igual que la copia de seguridad completa realiza una copia de todos los documentos que nosotros seleccionemos, incluye todo independientemente del atributo que tiene el archivo pero no toca para nada el atributo A (atributo de archivo modificado). -Diferencial: realiza una copia de todo aquel documento que ha sido modificado desde la última copia de seguridad completa o normal, una vez realizado no modifica para nada el atributo de archivo. Desventaja: tiempo y cantidad de medios que emplea. - Incremental: está diseñada para hacer copia de archivos especificados que hayan sido modificados desde la ultima copia de seguridad normal o incremental mas reciente, una vez realiza la copia de seguridad modifica el atributo de archivo A. Ventajas: más rápidas ya que solo incluyen modificaciones. Utilizan una minima cantidad de medios. -Diaria: es una copia de seguridad que le da exactamente lo mismo el atributo que tengan los archivos pero si que se basa en la fecha de modificación. Una copia de seguridad diaria solo guarda aquellos documentos que hayan sido modificados la misma fecha en la que se realiza la copia de seguridad. documentseting/usuario/configuracionlocal/datosdeprograma/microsoft/winnt/ntbackup/d ata.log informes de copia de seguridad o ver informes Ofrecen la capacidad de realizar una copia del estado del sistema (componentes esenciales del sistema) asi como poder restaurarlos. Copia de seguridad del System State, que incluye: - Configuración del sistema en base al registro de Windows - Base de datos del sistema de Windows - Archivos de carga del sistema operativo Te incluye los archivos protegidos del sistema que son necesarios para que el sistema arranque (lo esencial para poder trabajar, win32 (lanza la lsass.exe, sistemas de seguirdad de DACL) lanza también los Winlogon(pantalla de meter credenciales). Si estos archivos se tocan, el sistema puede corromperse (Dll, ejecutables, fuentes). No pueden ser modificados por nadie excepto por Service Pack, Windows Update, actualización


de Windows por CD o por la consola de recuperación. Si uno de estos archivos ha sido modificado por alguna aplicación, hay una herramienta que comprueba que estos archivos no están corruptos SFC /? hkeylocalmachine/sofware/microsoft/windows/cuurrenversion/setup hay pones la ruta del cd de instalacion La copia de seguridad del System State dependiendo de la función que desempeña un servidor incluirá ciertas cosas más. Si es un DC esta copia incluye: AD al completo y la carpeta SYSVOL Si es un Servidor Web o un Internet Information Service, inlcuye la metabase del IIS. Si es un Servidor de Certificados incluye la bbdd de certificados del servidor. Si es un Cluster aquella maquina que pertenezca al claster incluirá toda la información de configuración del cluster. ntbackup comando de copia de seguridad.

Windows Vista en adelante En 2008 Comando WBADMIN.msc o exe Nueva tecnologia de copia de seguridad, la mayor diferencia es que nos permite realizar copias de seguridad disco a disco como sistema de imagen y volcados, podremos crear imagenes de copias de seguridad de volumenes directamente a otro disco conectado incluso a un dvd o usb. Las copias de seguridad para windows 2008 no permite realizar copias de seguridad de archivos o carpetas de manera independiente, siempre el origen de copia serán volumenes. Este sistema permite realizar instantaneas para poder recuperar informacion a tiempo real. Copia predeterminada total o indicarle que sean incrementales. La copia de seguridad lo va a almacenar en imagenes de copia con extensión vhd, la ventaja que nos ofrece esto es que la extensión vhd es una extension de disco duro virtual, vas a poder cogerlo y montarlo en un equipo virtual y recuperar la información, pero hay que tener en cuenta que realizar una copia de seguridad de un volumen o disco en el que la imagen es vhd no se puede capturar como sistema de migración, no se puede utilizar para crear un sistema de migración porque no corresponde la configuración de equipos ni de la copia. Las copias de seguridad en windows 2008 consta de dos caracteristicas y cuatro componentes: •

Caracteristicas:

1. herramienta o copia de seguirdad de windows server 2. herramientas de linea de comandos 3. •

Componentes

 

MMC interface de usuario WBADMIN.msc

interface de linea de comandos WBADMIN.exe


servicio de copias de seguridad WBENGINE.exe

conjunto de cmdlets Herramientas de Power Shell

Copias de seguridad de Windows se podría instalar como caracteristica en un Server Core, la administración de copias de seguridad en un server core, no tendria MMC interface de usuario WBADMIN.msc. Si se quiere implementar esta caracteristica en un server core utilizaremos la linea denominada servermanagercmd -install backup -features. La copia de seguridad de forma remota si permitiria una administracion grafica pero el server core no. Todos los programas clientes tienen que dar a conocer el estado de la copia de seguridad para ello se pone en contacto con WBENGINE.exe y gestiona la copia de seguridad. Para realizar copias de seguridad programadas siempre se necesitará un disco independiente y dedicado, inaccesible por el explorador de Windows. sobre volumenes NTFS. No podrémos almacenar ninguna imagen de copia de seguridad en ningún volumen que esté incluido en la copia de seguridad que estemos realizando. Si quieres implementar el sistema de instantaneas de volumenes aplicadas a las copias de seguridad solo se podra utilizar cuando la copia de seguridad esten en volumenes en la misma máquina. Si decides realizar una copia de seguridad y almacenas la copia en un recurso de red se debe tener en cuenta que cada copia de seguridad se sobreescribira, para evitar esto se tiene que trabajar con el programador de tareas. (coger apuntes) Si decides almacenar la copia de seguridad en un dvd, la recuperación que realices desde el dvd será del volumen completo siempre. El sistema de copias de seguridad de windows no permite restaurar ni realizar copias de seguridad del estado del sistema a un dvd. Como minimo tiene que tener un gb de espacio libre el medio donde vamos a depositar la copia. El sistema va realizando copias de seguridad bloque a bloque y despues crea una instantanea del volumen donde deposita la información, se van creando copias de seguridad incrementales, instantanea de antes del backup, despues y del volumen. La copia de seguridad de windows no permite realizar copias de seguridad superiores a un dia. Las copias de seguridad quedan identificadas por el dia y la hora en el que se realizan. Programar copia de seguirdad desde el programador de tareas. wbadmin start systemstatebackup -backuptarget :d:\

Gestión de Impresoras

16-02-11

Una impresora es un software que pone en comunicación el sistema operativo con el dispositivo de impresión. Para Microsoft una impresora es ese software que pone en comunicación con un dispositivo de


impresión. Impresoras lógicas: icono que aparece como hp.... Impresora física: hardware A la hora de enviar un documento a imprimir, ese documento se envía a la impresora (no dispositivo de impresión) cuando la impresora lo maneja lo envía al dispositivo por el puerto que se le ha indicado. Cuando se trabaja con impresoras a las cuales se les envía los documentos, toda impresora cuenta con un almacén como buffer para ir almacenando documentos que están a la espera de ser impresos llamado cola de impresión. Cola de impresión: el sof que se encarga de almacenar los documentos que están a la espera de ser procesados o enviados a un dispositivo de impresión. La cola de impresión es gestionada por las impresoras y depositan los documentos en c:\windows\system32\spool\printers La cola de impresión es un servicio llamado spooler. Normalmente se trabaja con un servidor de impresión: una maquina que se encarga de administrar impresoras (no dispositivos de impresión). Un servidor de impresión puede ser toda máquina que comparte una impresora. Normalmente el servidor de impresión tiene todas las impresoras, el software en sí. Puede trabajar con dos tipos de impresoras: locales o impresoras de red. Locales: ese software que especifica el que está instalado en la propia maquina y determina que el puerto de comunicación es directo a la máquina USB o LPT. Red: soft que pone en comunicación con un dispositivo que se encuentra conectado a la red de área local. La impresora envía los documentos a una dirección ip. Ventajas de trabajar con un servidor de impresión - Herramienta que centraliza la administración de impresoras - Único punto de compartición de controladores - Solo existe una cola de impresión que permite a los usuarios gestionar su documento. - Permite configurar sistemas de tolerancia a errores, los errores que se produzcan en los dispositivos de impresión son reflejados en el servidor de impresión y el mensaje de a conocer el estado en el que se encuentra dicho dispositivo de impresión. El proceso de impresión siempre queda a cargo del servidor de impresión no del cliente, eso nos permite que si tienes una única maquina que es la que almacena los documentos lo que puede hacer es gestionar una cuota de disco para que la gente que envía documentos no exceda cierto tamaño y filtros. - Permite generar auditorias, determinar que documentos envía un usuario. Cuando compartes una impresora lo que haces es compartir el driver, lo que comparte es la carpeta PRINT que está oculta ($), donde está el driver.

Ruta de PRINT$ c:\windows\system32\spool\drivers Propiedades de impresoras General: nombre con el que identificamos la impresora, ubicación, comentario. Preferencias de impresión Compartir: el nombre que aparece en la red. Procesar trabajos de impresión en equipos cliente. Controladores adicionales, compatibilidad con sistemas operativos. Puertos: especifica los puertos que tengo y sobre qué puerto tengo conectada la impresora, que


puerto es el que maneja dicha impresora. Habilitar la cola de la impresora, no es la cola de impresión, este checkbox permite configurar los pool de impresoras. Un servidor de impresión y varios dispositivos de impresión (en un centro de impresión, tema de impresoras en varias plantas de edificios). Opciones avanzadas: siempre disponible (disponibilidad de impresoras) Prioridad: establece una política de envió de documentos. Controlador nuevo: actualiza el controlador Imprimir usando la cola para que el programa termine más rápido:


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.