Archive for septiembre 2014

Configurar DHCP por VLAN

     Ya hable un poquito de la segmentación de redes en el post anterior sobre cómo realizar un relay dhcp, ahora vamos a ver como configurar ese dhcp para que acepte las peticiones que le reenvía el relay desde cada segmento de red y sea capaz de asignar el direccionamiento correcto al segmento en el que se encuentra el cliente.

     En realidad, la configuración del dhcp es lo más sencillo de todo el proceso de segmentación de una red, solo necesitamos un servidor que contenga un ámbito para cada vlan, con las opciones correspondientes al segmento de red de esta, al final veremos cómo se realiza la asignación.

     La instalación del servidor dhcp es la siguiente:

     Agregamos el rol desde el asistente como siempre.

02      Una vez hecho esto, deberemos completar la configuración del servidor autorizándolo en el dominio. Para llevar a cabo esta tarea, necesitaremos que el usuario que lo autorice pertenezca al grupo de administradores del dominio. ¡Atención!, si el dhcp está unido a un dominio secundario, etcétera, es decir cualquier dominio que dependa de uno superior, deberéis tener también pertenencia al grupo de administradores de empresa.

 03

04

05

     Una vez tengamos nuestro dhcp autorizado, deberemos generar un ámbito para cada vlan. Para lo cual pulsaremos botón derecho sobre IPv4 y nuevo ámbito. Y seguiremos los pasos del asistente para generar cada uno de los ámbitos. Recordar que cada vlan tiene que corresponder con un segmento de red. Una vez tengamos todos los ámbitos generados, nuestro dhcp debería tener un aspecto similar al siguiente:

07

Y las propiedades de nuestros ámbitos un aspecto similar a este:

06

     Con esto hemos terminado la configuración del servicio dhcp al completo. No es necesario realizar ninguna configuración más en el servidor.

     Cuando nuestro equipo se conecte a la red y emita el broadcast para realizar el descubrimiento de un servidor dhcp, este llegara a nuestro relay, el cual lo re-direccionara hacia el servidor dhcp, este, asignara una dirección ip al dispositivo, coincidente con el ambito  coincidente con la dirección de broadcast de la vlan en el que se ha originado. Es decir:

  • Si nuestro dispositivo está ubicado en la VLAN 10, la cual corresponde al segmento de red 10.163.10.0/24 este buscara mediante la dirección de broadcast correspondiente al segmento un ámbito coincidente con este entre los disponibles y asignara una dirección de este al dispositivo.

     A estas alturas, ya tenemos un dhcp capaz de asignar direccionamiento en segmentos de red diferentes al suyo gracias a nuestro dhcp relay. Ya solo nos quedaría la configuración de nuestros dispositivos de red para trabajar con vlan´s. Así que en el próximo post veremos la configuración necesaria tanto en dispositivos de capa 2 como de capa 3 para un correcto funcionamiento de nuestras vlan´s.

DHCP Relay en Windows Server 2012 R2

    A la hora de montar la infraestructura de una empresa, debemos tener muy en cuenta, entre otras muchas cosas, la arquitectura de red. Para poder llegar a unos niveles de seguridad, fiabilidad y servicio aceptables uno de los pasos es la segmentación de la red. Para llevar a cabo la segmentación de esta, normalmente, hacemos uso de Vlan´s, DMZ, etcétera.

     Todo esto conlleva que tengamos que hacer uso de dispositivos capaces de enrutar, para poder establecer comunicación entre nuestras subredes, garantizando asi el acceso de los clientes a los servicios.

     En el próximo post veremos cómo asignar direcciones desde un solo dhcp a todas las vlan´s, haciendo que este asigne una dirección correspondiente al rango de la vlan en la que se encuentre cada cliente.

     Pero para poder configurar esto, primero, debemos poder tener el servidor dhcp accesible desde cualquier segmento de nuestra infraestructura de red, para lo cual montaremos un relay para DHCP.

     Pongámonos en situación, cuando conectamos un dispositivo con dhcp habilitado a una red, este emite un broadcast para descubrir quien oferta el servicio dhcp y poder solicitar una dirección. El problema, nos lo encontramos cuando entre el cliente y el servidor tenemos dispositivos de capa 3, ya sea un simple router, un switch con funcionalidad de capa 3 o un servidor con el servicio RRAS levantado, ya que estos dispositivos al trabajar direccionando segmentos de red diferentes, también contienen e impiden la propagación de broadcast entre estos. Debido a esto el cliente nunca recibirá respuesta de un DHCP que se encuentre ubicado en otro segmento de red.

     Para dar solución a estos casos podemos hacer uso de una de las funciones que podemos encontrar dentro del rol de acceso remoto en Windows server 2012. Haciendo que nuestro dispositivo de capa 3, en este caso será un servidor con el servicio de enrutamiento y acceso remoto levantado sea capaz de retransmitir las peticiones que le llegan a la interfaz correspondiente al segmento 1 y reenviarlas al servidor DHCP.

clip_image002

     Para ello vamos a configurar nuestro DHCP Relay desde cero, para lo cual desde el administrador del servidor, accedemos a agregar roles y características e instalamos el rol de acceso remoto.

clip_image004

     En los servicios de rol elegimos enrutamiento, este también nos activara la instalación correspondiente a DirectAccess y VPN.

clip_image006

     Una vez instalado el rol, accedemos al panel de configuración de enrutamiento y acceso remoto y con botón derecho sobre el servidor procedemos a configurarlo mediante el asistente. Podeis seleccionar cualquiera de las opciones dependiendo de vuestros requerimientos, por ahora solo voy a explicar cómo configurar el relay, para lo cual usaremos configuración personalizada.

clip_image007

     Tras esto seleccionaremos la opción enrutamiento LAN, ya que lo que vamos a hacer es enrutar peticiones dentro de nuestra red local.

clip_image008

     Una vez tengamos ya configurado el servidor, desplegamos IPv4 y con botón derecho seleccionamos Nuevo protocolo de enrutamiento y dentro de este DHCP Relay Agent.

clip_image009

     El siguiente paso es decirle las dirección/es de los servidores dhcp a los que se desea mandar las solicitudes, dado que el agente cogerá la solicitud que le llega por el broadcast iniciado en el cliente y la retransmitirá al segmento correspondiente pero no como broadcast, si no como un tráfico unicast dirigido exclusivamente a los servidores que nosotros deseemos.

clip_image010

     Nos aparecerá en el desplegable correspondiente a IPv4 nuestro agente de retransmisión. Ya solo nos queda decirle en que interfaz recibirá las peticiones DHCP, para ello botón derecho sobre Agente de retransmisión DHCP y seleccionamos nueva interfaz. Aquí aparecerán todas las interfaces de las que disponga el servidor y, cuidado, debemos seleccionar cual escucha las peticiones y nunca por cual deseamos que se reenvíen, de eso se encarga el agente. Básicamente deberemos generar una interfaz nueva para el agente por segmento de red desde el que deseamos redireccionar peticiones.

clip_image011

     Con esto ya tendremos funcionando nuestro agente, reenviando las solicitudes a nuestro DHCP desde cualquier segmento.

     Podéis ver las estadísticas desde el propio agente, ordenadas por la interfaz desde la que se recibe la solicitud DHCP.

08

     Espero os sea de ayuda la información y en el próximo post veremos cómo asignar desde un solo DHCP direccionamiento a todas nuestras Vlan´s, haciendo uso de un DHCP Relay.

Limpieza de metadatos en dominios secundarios que no cuentan con controladores de domino

     Buenos días, tras el parón veraniego, me he encontrado con el siguiente caso: Durante las pruebas para generar un dominio secundario se había usado el nombre final que se deseaba otorgar a este, y al eliminar el dominio que se generó para las pruebas, no se hizo de la manera correcta y quedaron datos perdidos sobre la existencia de este dominio, en el dominio raíz.

     Esto produjo que al generar el domino secundario y ya que existían datos de este en los controladores del domino raíz, al que iba a pertenecer, nos dijese que el dominio que deseábamos crear ya existiese. Resumiendo teníamos un dominio que ya existía y el cual carecía de controladores, de manera que no podíamos generar el dominio de nuevo ni agregar controladores a este, ya que no contaba con ningún otro controlador sobre el que replicarse.

     Para el ejemplo voy a usar el dominio raíz Hades.local y sus dominios secundarios test.hades.local y Madrid.hades.local, siendo este último del cual queremos eliminar los metadatos para poder volver a generarlo desde cero.

     Este tipo de situaciones suele producirse porque durante la eliminación del domino secundario quedan metadatos sin limpiar en el domino raíz. Para limpiar estos metadatos deberemos proceder de la siguiente manera:

     Accederemos a la herramienta de línea de comandos ntdsutil, ejecutaremos metadata cleanup y listaremos el contexto:

ntdsutil: metadata cleanup

metadata cleanup: select operation target

select operation target: list naming context

Se han encontrado 9 nombres de contexto

      0 – CN=Configuration,DC=hades,DC=local

     1 – DC=hades,DC=local

     2 – CN=Schema,CN=Configuration,DC=hades,DC=local

     3 – DC=DomainDnsZones,DC=hades,DC=local

     4 – DC=ForestDnsZones,DC=hades,DC=local

     5 – DC=TEST,DC=hades,DC=local

      6 – DC=DomainDnsZones,DC=TEST,DC=hades,DC=local

     7 – DC=madrid,DC=hades,DC=local

     8 – DC=DomainDnsZones,DC=madrid,DC=hades,DC=local

     Podemos ver como las entradas 7 y 8 corresponden al domino que se había eliminado dejando metadatos presentes. A continuación seleccionamos la entrada correspondiente a la zona dns del dominio y la eliminamos:

select operation target: select naming context 8

No hay sitio actual

No hay dominio actual

No hay servidor actual

Contexto de nombres: DC=DomainDnsZones,DC=madrid,DC=hades,DC=local

select operation target: q

metadata cleanup: remove selected naming context

«DC=DomainDnsZones,DC=madrid,DC=hades,DC=local» quitado del servidor «DC-hades»

     Verificamos que ha desaparecido esa entrada:

metadata cleanup: select operation target

select operation target: list naming context

Se han encontrado 8 nombres de contexto

     0 – CN=Configuration,DC=hades,DC=local

     1 – DC=hades,DC=local

     2 – CN=Schema,CN=Configuration,DC=hades,DC=local

     3 – DC=DomainDnsZones,DC=hades,DC=local

     4 – DC=ForestDnsZones,DC=hades,DC=local

     5 – DC=TEST,DC=hades,DC=local

     6 – DC=DomainDnsZones,DC=TEST,DC=hades,DC=local

     7 – DC=madrid,DC=hades,DC=local

Y procedemos a eliminar la entrada restante:

     select operation target: select naming context 7

No hay sitio actual

No hay dominio actual

No hay servidor actual

Contexto de nombres: DC=madrid,DC=hades,DC=local

select operation target: q

metadata cleanup: remove selected naming context

«DC=madrid,DC=hades,DC=local» quitado del servidor «DC-hades»

     Verificamos la eliminación total de las entradas del dominio:

metadata cleanup: select operation target

select operation target: list naming context

Se han encontrado 7 nombres de contexto

     0 – CN=Configuration,DC=hades,DC=local

     1 – DC=hades,DC=local

     2 – CN=Schema,CN=Configuration,DC=hades,DC=local

     3 – DC=DomainDnsZones,DC=hades,DC=local

     4 – DC=ForestDnsZones,DC=hades,DC=local

     5 – DC=TEST,DC=hades,DC=local

     6 – DC=DomainDnsZones,DC=TEST,DC=hades,DC=local

     También podemos listar los dominios y ver que tampoco aparece ya en la lista:

select operation target: list domains

Se han encontrado 2 dominios

     0 – DC=hades,DC=local

     1 – DC=TEST,DC=hades,DC=local

     Espero os sea de utilidad la información y nos vemos pronto.

      Dar las gracias a mi compañero Felix Saenz-Lopez que ha colaborado para la publicación de este post.