lunes, 2 de marzo de 2015

Instalacion de DCHP en Windows Server 2012


La infraestructura de partida es muy sencilla, simplemente dos máquinas:
·         Un servidor Windows 2012 que es Controlador de Dominio y donde instalaré el servicio DHCP.
·         Un cliente Windows 8 miembro del Dominio, si desean probar que todo funcione de acuerdo a lo esperado.
Es necesario que un Controlador de Dominio tenga configuración IP fija, no cliente de DHCP, pero además es necesario para poder instalar la funcionalidad.
·         IP: 192.168.1.201/24
Comenzaremos desde Server Manager agregando el rol de DHCP Server y siguiendo el asistente:



Cuando seleccionemos DHCP Server nos pedirá agregar los componentes necesarios

Y seguimos adelante


Confirmamos …


 Podremos ver cuando finaliza la instalación que hay hacer configuraciones suplementarias así que elegimos el enlace “Complete DHCP Configuration”

Ahora que ya instalado y autorizado procederemos a la configuración básica, como es crear un Ámbito (Scope) que utilizaremos para asignarle configuración IP a los clientes que lo soliciten.
Para eso, ingresaremos en la consola de administración de DHCP.


Y comenzaremos creando un nuevo Ámbito (Scope) de IPv4 de acuerdo al direccionamiento IP que estamos usando en nuestra red, en mi caso 192.168.1.0/24.

 Podemos ponerle el nombre a nuestro gusto.


Debemos ingresar cuáles serán las direcciones IP inicial y final que proveerá el DHCP a los Clientes



Si dentro del Ámbito elegido tuviéramos alguna ya asignada manualmente deberemos excluirla
Por ejemplo yo estoy excluyendo desde la 1 a la 9





 El tiempo de alquiler (Lease) por omisión es 8 días, si deseáramos lo podríamos cambiar.


Y configuraremos opciones adicionales que necesitamos que tengan los clientes.


Por ejemplo la Puerta de Enlace (Default Gateway).


Y estando en ambiente de Dominio es necesario proveerle a los clientes la dirección IP del servidor DNS del Dominio, como así también por facilidad el sufijo de dominio de la conexión.


En este caso no se utiliza WINS.


Y por supuesto que queremos activarlo, de esta forma comenzará a operar.


Finalizamos.


 Para mostrar su funcionamiento, en el cliente, configuro para que obtenga los parámetros de IPv4 en forma automática (desde un DHCP).


Si ejecutamos IPCONFIG /ALL podremos verificar que nuestro DHCP le ha otorgado la configuración que hemos hecho en el servidor


Publicado por en No hay comentarios:
Etiquetas: ,

Dominio de solo lectura


Un Controlador de Dominio de Solo Lectura es un controlador de dominio que tiene como finalidad aumentar la seguridad en redes distribuidas geográficamente y para ello hace uso de algunos mecanismos.
Base de datos de Active Directory de solo lectura
Un RODC mantiene una copia de todos los objetos del directorio así como de sus atributos salvo por las contraseñas que no se almacenan en este, esto permite a los usuarios utilizar al RODC para validarse, en este proceso el RODC reenvía esta petición a un DC superior para llevar a cabo el proceso de autenticación, como resultado de este proceso algunas credenciales quedan cacheadas en el RODC pero esto a su vez tiene como ventaja el no comprometer todas las credenciales del dominio puesto que solo se almacenarán las utilizadas en esa ubicación especifica. Como remate, el DC de nivel superior mantiene un control sobre estas y en caso de un problema de seguridad podremos restablecer las contraseñas de los usuarios afectados.
Replicación unidireccional.
Aunque este tipo de controlador de dominio está pensado para evitar realizar cambios en el directorio es posible que algún chico o chica mala consiga hacer cambios sobre el RODC, en este caso no pasará nada ni se replicarán los datos al resto de controladores de dominio con lo que se mantendrá un buen nivel de seguridad.
Separación de la función de Administrador.
Será necesario llevar a cabo algún tipo de mantenimiento en el servidor en algún momento y claro, para esto será necesario hacerlo con una cuenta de usuario de Administrador.
Se puede configurar mediante la directiva de replicación de credenciales  mediante la cual podemos especificar que objetos podrán mantener una cache en el servidor.
Para poder llevar a cabo estas tareas administrativas sin comprometer más de lo necesario la seguridad podemos delegar sobre un usuario las tareas de administración del RODC dicho usuario podrá ejercer de administrador para ese servidor pero no podrá hacerlo en ningún otro DC o RODC cosa que contribuye a mantener la seguridad de la red.

Registros de DNS de solo lectura.
Podemos instalar un servicio de DNS en el dominio de solo lectura deberemos de tener en cuenta que no podremos configurarlo para que acepte actualizaciones dinámicos directas de los registros desde los clientes esto conlleva a que el cliente sea “derivado” a un servidor grabable que si pueda procesar la petición adecuadamente.
Anexo.
·         Video demostrativo de la creación de un controlador de dominio de solo lectura.

https://www.youtube.com/watch?v=44HuK9dA0oQ
Publicado por en No hay comentarios:
Etiquetas:

Uso del editor de directivas (Crear y configurarlas para OU y demás)



Las Directivas de Grupo (en adelante GPO), permiten implementar configuraciones específicas para uno o varios usuarios y/o equipos. Nos centraremos en cómo se debe hacer la gestión correcta de GPO en Active Directory de Microsoft Windows.


Para la configuración de GPO que sólo afecten a un usuario o equipo local se puede utilizar el editor de directivas locales gpedit.msc. En nuestro caso accederemos en el entorno de Servicios de Dominio de Active Directory, con la consola de administración gpmc.msc.


Las GPO permiten administrar objetos de usuarios y equipos, aplicando la más restrictiva en caso de existir más de una política. Se puede usar una GPO para casi cualquier cosa, como indicar qué usuario o grupo tiene acceso a una unidad de disco, o limitar el tamaño máximo que puede tener un archivo .


Las GPO se pueden diferenciar dependiendo del objeto al que configuran y se pueden entender en distintos niveles:
Equipo Local: tan solo se aplican en el equipo que las tiene asignadas independientemente del dominio al que pertenezca.
Sitio: se aplican a los equipos y/o usuarios de un sitio, independientemente del dominio.
Dominio: se aplican a todos los equipos y/o usuarios de un dominio.
Unidad Organizativa (OU): se aplican únicamente a los equipos y/o usuarios que pertenecen a la OU.




Dentro de la configuración de directiva se puede acceder a lo siguiente:
Configuración de equipo
Configuración de usuario





Ambos elementos se dividen en los mismos submenús, pero las políticas son distintas.


Vamos a ver un ejemplo de creación de GPO para que los usuarios monten una unidad de red al iniciar sesión.




Creación de una GPO
Dentro de Administrador del servidor seleccionar Herramientas y Administración de directivas de grupo:









Aparecen las GPO del dominio.
Para crear una nueva GPO desde cero, pulsar en Objetos de directiva de grupo con el botón derecho y seleccionar Nuevo:





No seleccionar ninguna GPO de origen. Pulsar Aceptar:


Pulsar sobre la nueva GPO con el botón derecho y seleccionar Editar…






Una vez dentro de la edición de la GPO hay que asignar la unidad de red que los usuarios deben montar, siguiendo las políticas adecuadas.
Navegar a Configuración del usuario->Preferencias->Configuración de Windows->Asignaciones de Unidades y editar la unidad que viene asignada en la GPO pulsando sobre ella con el botón derecho y seleccionar Propiedades:





Seleccionar la ubicación, el nombre con el que se quiere mostrar la unidad, la letra que se le asignará y el usuario que se conectará:





Activar una GPO


Para activar una GPO se debe seleccionar la OU, dominio, sitio o equipo local donde se quiere activar la GPO.


Un usuario, estará en un equipo local que a su vez se ubica en un sitio, y este sitio pertenecerá a un dominio que será miembro de una OU. Se puede dar la situación en la que en un equipo local se aplique una GPO, en el sitio otra, y en el dominio y la OU otras, respectivamente. Cuando se den casos así, las políticas se aplicarán según unas prioridades que atienden a una serie de reglas que se describen a continuación.


En las GPO, las políticas asignadas a una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las del sitio y estas, sobre las del equipo local. Esto no quiere decir que las políticas se anulen unas a otras, sino que siempre se suman y tan solo se anulan en caso de contradecirse entre ellas.





Se aplica el siguiente diagrama de flujo para leer las GPO y se comprueba si se contradicen o no, sumando las coherencias y prevaleciendo las más restrictivas.





Cada organización debe crear las GPO que más se acerquen a sus necesidades. Para añadir la GPO, por ejemplo al dominio, hacer click con el botón derecho y seleccionar Vincular GPO existente…





Y por ultimo personalizar a que usuarios o grupos se aplicará la política.
Publicado por en No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)