¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Windows Server 2016
  3. Implementar los servicios de red de la empresa
Extrait - Windows Server 2016 Administración avanzada
Extractos del libro
Windows Server 2016 Administración avanzada Volver a la página de compra del libro

Implementar los servicios de red de la empresa

Introducción

Este capítulo está dedicado a la definición y la configuración de los componentes necesarios para el correcto funcionamiento de la red de la empresa basada en Windows Server 2016.

En él, se abordan los componentes IP, DNS, DHCP, WINS, así como la implementación de una entidad de certificación (PKI). Como estaba previsto, ya no es posible configurar la cuarentena de red a partir de Windows Server 2016.

Seleccionar una infraestructura de red

La implementación de toda la arquitectura de red supone realizar un análisis de las redes existentes. A menudo, es difícil modificar el conjunto de una sola vez. La migración se lleva a cabo, habitualmente, implementando un nuevo direccionamiento de red y haciéndolo cohabitar con las redes existentes. La modificación del direccionamiento IP se ve, a menudo, como una tarea costosa que aporta pocas ventajas suplementarias.

Es, por lo general, durante el desplazamiento o la creación de un sitio cuando es fácil, o incluso necesario, repensar el direccionamiento IP y planificar un nuevo sistema.

El cambio de un dominio DNS es, todavía, más complicado, sobre todo cuando dicho dominio sirve como soporte a un dominio Active Directory. En este caso, una migración representa un estudio particular que se sale del marco de nuestra presentación.

1. La elección de la arquitectura de red

A este nivel, cabe estudiar bien dos puntos:

  • La elección de la zona DNS.

  • La elección de la clase de red.

a. La zona DNS

Existen dos aspectos importantes a la hora de escoger la zona DNS.

El nombre escogido para la zona DNS debe corresponderse con la integridad de la entidad (empresa, grupo, etc.) que se quiere gestionar. Este nombre debe poder ser aceptado por todas las entidades dependientes que tengan que alcanzar esta zona. ¡El problema es más de aspecto político que técnico!

Si alguna entidad no se encuentra en este marco, quiere decir que debe asociársele una zona DNS específica.

Si la zona DNS debe utilizarse en Internet, el dominio DNS tendrá que ser, obligatoriamente, público y estar registrado, es decir, debe utilizar una extensión reconocida de tipo .es, .com, .info...

En una red interna, el dominio puede ser público o privado. La elección más común es, por tanto, escoger un dominio DNS local con una extensión desconocida en Internet. La extensión .local se utiliza muy a menudo bajo la forma miempresa.local. El desacople entre la sección interna y la externa resulta mucho más fácil de llevar a cabo. Esta elección se desaconseja, pues los proveedores de certificados han decidido, de acuerdo con los grandes fabricantes, no distribuir más certificados a partir del 1 de Enero de 2014 que incluyan...

Implementar los sistemas de resolución de nombres

1. La resolución DNS

DNS se ha convertido en la piedra angular del funcionamiento de una red Windows basada en Active Directory, aunque no sólo esto.

Muchas de las actividades actuales (mensajería, Internet) se basan en un buen funcionamiento de la red y, en particular, del servicio DNS.

Ya no es, por tanto, posible obviar este sistema que hospeda cada vez más información vital para el buen funcionamiento del conjunto de la red.

a. Definición

DNS (Domain Name Server) es un protocolo que permite a los clientes (de la red) consultar una base de datos que contiene información sobre las máquinas y los servicios que hospedan.

DNS es un sistema que permite establecer una correspondencia entre una dirección IP y un nombre de dominio y, en términos generales, encontrar cierta información a partir de un nombre de dominio.

b. Instalación

La instalación del servicio DNS sobre una red Windows se hace, a menudo, en el marco de instalación del primer controlador de dominio Active Directory. Su configuración inicial se tiene en cuenta de manera automática en el asistente DCPROMO. Por defecto, la zona DNS utilizada por Active Directory está, ahora, integrada y administrada por Active Directory.

Para instalar el rol DNS mediante PowerShell:


Install-WindowsFeature DNS  
Install WindowsFeature RSAT-DNS-Server

La segunda instrucción instala las herramientas de administración de DNS.

Si el servicio DNS se agrega sobre un controlador de dominio, todas las zonas integradas con Active Directory se conocen automáticamente y se utilizan en el servicio DNS para llevar a cabo la resolución de nombres.

En los demás casos, el servicio DNS deberá gestionarse como un servidor DNS clásico. Podrá, por tanto, hospedar zonas y servir de caché o de redirector hacia otros sistemas DNS.

c. Los distintos tipos de zona

Zona de tipo principal

Este tipo de zona se utiliza principalmente para administrar zonas que no estén vinculadas a Active Directory. Las zonas DNS públicas, que contienen los servidores Web de la empresa y los servidores de mensajería son los ejemplos de uso más corrientes.

Cada zona se almacena en un archivo de texto específico con formato estándar y extensión .dns. Este tipo de archivo...

Implementar la cuarentena de red

Ya no es posible implementar la cuarentena de red pues no es una verdadera solución de seguridad, sino simplemente un elemento cuyo objetivo es mantener en un buen estado de mantenimiento los elementos presentes en la red.

El componente NAP (Network Access Protection) ya no existe en Windows Server 2016. Microsoft recomienda el uso de DirectAccess, que permite gestionar el equipo conectado "como" las demás máquinas de la red (AV, WSUS...). La solución aportada por DirectAccess es, por tanto, algo diferente del control de conformidad que proporciona el componente NAP.

Implementar una entidad de certificación

Los certificados ahora se implementan y utilizan prácticamente en la totalidad de los componentes, aplicaciones y comunicaciones de la empresa. El simple hecho de querer cifrar los archivos usando EFS puede implicar el uso de certificados emitidos por la empresa para aprovechar los operadores de recuperación.

Las razones para utilizar una entidad de certificación interna o al menos definida dentro de la empresa son muy numerosas: coste, simplicidad, automatización y una mejor seguridad. No existe ningún efecto adverso.

Lo más complicado no es la implementación de la solución, sino validar y gestionar correctamente todas las implicaciones relacionadas con su uso, principalmente definir todos los procesos relacionados con la PKI.

1. La instalación básica

Es relativamente sencilla a partir del asistente de instalación de roles y características.

images/5Pag128.PNG

 Valide las características necesarias.

images/5Pag1291.PNG

El rol está ahora correctamente seleccionado.

images/5Pag1292.PNG

Las características necesarias ya se han añadido.

images/5Pag130.PNG

Arranca el asistente específico para la configuración del rol de entidad de certificación.

images/5_Pag_131.PNG

 Indique los servicios de rol.

Una instalación clásica incluye a la Entidad de certificación y la Inscripción web de entidad de certificación.

images/5_Pag_132.PNG

Si la entidad debe poder entregar certificados bajo demanda o personalizados, es necesario el servicio de rol Inscripción web de entidad de certificación. Si la entidad llamada raíz debe permanecer fuera de conexión, solo es necesario el servicio Entidad de certificación.

El servicio de rol Inscripción web de entidad de certificación implica la necesidad del rol Servidor Web y nuevas características.

images/5Pag133.PNG

Se tienen que instalar los servicios IIS necesarios.

Encontramos los dos servicios de rol validados.

images/5Pag1341.PNG
images/5Pag1342.PNG

Encontramos los servicios de rol relacionados con Servidor web (IIS).

images/5Pag135.PNG

Valide el resumen de los componentes a instalar pulsando Instalar.

images/5Pag136.PNG

 Pulse Cerrar después de la instalación.

images/5Pag1371.PNG

La Configuración posterior a la implementación aparece en el Administrador del servidor.

images/5Pag1372.PNG

Se abre el asistente de configuración posterior a la implementación:

images/5Pag1381.PNG
images/5Pag1382.PNG

Cada rol se puede configurar de manera separada, si es necesario.

images/5Pag139.PNG

La opción de entidad independiente...

Conclusión

Como conclusión, la entidad de certificación es la base de la PKI. Dicho de otro modo, los certificados sirven para dar seguridad al funcionamiento de numerosas aplicaciones, cada una con sus propias necesidades: los controladores de dominio para el acceso LDAPS, el cifrado de los archivos con EFS, los servidores web, la mensajería Exchange, Skype for Business, los servidores de terminales RDS, SQL Server, por hablar solo de aplicaciones de Microsoft.

Es esencial un análisis inicial de las necesidades, principalmente en términos del nivel de seguridad deseado, con el objetivo de determinar la arquitectura de PKI necesaria. Cuando se necesita un nivel de seguridad mayor, es necesario prever la creación de una entidad raíz llamada Off-line (totalmente desconectada), a partir de la cual se crean las entidades subordinadas, que tienen funciones más limitadas.