1. Libros y videos
  2. Windows Server 2022
  3. El servicio DHCP
Extrait - Windows Server 2022 Administración avanzada
Extractos del libro
Windows Server 2022 Administración avanzada
2 opiniones
Volver a la página de compra del libro

El servicio DHCP

El trabajo práctico

En este capítulo, dispondremos de un controlador de dominio DC-COLE, un servidor Core sin interfaz gráfica de usuario, un equipo Windows 10 con RSAT instalados, un servidor que actuará como router y un segundo equipo cliente Windows 10.

El router conectará las dos redes 192.168.1.0/24 y 10.10.10.0/24, cada una de las cuales alojará un cliente. Se trata de dos redes virtuales separadas en su hipervisor. Configuraremos un agente de retransmisión DHCP en el servidor que actúa como router.

Se puede reutilizar el router del capítulo Active Directory. Los otros servidores tendrán que ser reinstalados.

images/esquema9.png

1. Configuración del servidor Core

Tras instalar el controlador de dominio, como vimos en el capítulo Active Directory, pasaremos a configurar el servidor Core, lo que haremos íntegramente en PowerShell.

Para configurar una tarjeta de red, necesitamos su índice. Podemos obtener esta información utilizando el siguiente comando:

Get-NetAdapter

En el resultado del comando, la columna ifIndex nos da el valor del índice de la tarjeta de red.

images/02EI02.PNG

Vamos a poner el resultado del comando Get-NetAdapter en una variable y extraer el valor del índice, que pondremos en otra variable. El último comando sólo está ahí para comprobar el contenido de la variable $index.

images/02EI03.PNG

Ahora podemos utilizar la variable $index en el comando utilizado para establecer...

Instalación del servicio DHCP

1. Instalación en PowerShell

Vamos a instalar el rol de servidor DHCP en el servidor core1, desde client1.

 Abra un símbolo del sistema PowerShell y abra una sesión remota en el servidor core1. Esto conectará el símbolo del sistema al servidor.

images/cap2_pag5.png

Una vez conectado, puede enviar comandos al servidor. Vamos a instalar el rol DHCP con el siguiente comando:

Install-WindowsFeature -Name DHCP        

No instalamos las management tools, puesto que ya están presentes en la máquina client1, a través de las RSAT.

A continuación, realizaremos las configuraciones posteriores a la instalación, es decir, crearemos los grupos de seguridad users DHCP y admins DHCP. A continuación, con un segundo comando, autorizaremos DHCP en el dominio.

Un servidor DHCP en Windows Server enviará un mensaje DHCPINFORM para averiguar si su dirección IP es una de las direcciones DHCP autorizadas. En caso contrario, el servicio no responderá a las solicitudes de los clientes. Una vez iniciado, el servicio continuará enviando estos mensajes regularmente.

 Envía el comando para crear los grupos de seguridad.

Add-DhcpServerSecurityGroup -ComputerName CORE1.cole.com

 A continuación, envíe la de autorizar el servicio en el dominio.

Add-DhcpServerInDC -DnsName CORE1.cole.com -IPAddress 192.168.1.100

 Por último...

Agente de retransmisión DHCP

El agente de retransmisión DHCP es un dispositivo que se instala en un router para que las solicitudes DHCP enviadas en una red, se transfieran a otra red. No se configura en el servidor DHCP sino en el router. Permite redirigir las peticiones DHCP de clientes de varias redes a un único servidor.

En nuestro trabajo práctico, vamos a implementarlo en el servidor que gestiona el enrutamiento entre la red 192.168.1.0 y 10.10.10.0. De esta forma, las peticiones DHCP de client2 se retransmitirán en la red del servidor Core.

1. Creación del ámbito

Lo primero que vamos a hacer en nuestra topología es añadir un ámbito DHCP en el servidor core1 para la red 10.10.10.0/24.

 Desde el equipo client1, en el administrador de servidores, vaya a la sección DHCP y haga clic con el botón derecho del ratón en el servidor core1/DHCP Administrator.

 En la ventana DHCP, vaya a IPv4, haga clic con el botón derecho del ratón y seleccione New Scope.

images/cap2_pag13.png

 Asigne el nombre el ámbito scope2 core1 y haga clic en Next.

 Introduzca el rango desde 10.10.10.10 hasta 10.10.10.60. Por defecto, el sistema rellenará previamente la máscara de clase, es decir, un /8. Esto no es lo que queremos. Esto no es lo que queremos, así que asegúrese de introducir un /24.

images/02EI23.PNG

En la siguiente ventana, se nos pregunta si queremos hacer exclusiones...

Actualización dinámica del DNS

En un entorno Active Directory, DHCP puede actualizar dinámicamente DNS informándole de los cambios de dirección de las máquinas a las que ha asignado direcciones IP.

En nuestro trabajo práctico, tal y como están las cosas, client2 no está en el dominio, por lo que no está en el DNS.

images/cap2_pag19_b.png

Poner client2 en el dominio debería hacer que aparezca en DNS. Como recordatorio, esto sólo es posible si el cliente tiene la dirección del controlador de dominio como su servidor DNS en su configuración de red.

 En client2, escriba el comando sysdm.cpl, haga clic en Change y cambie la configuración de la siguiente manera:

images/cap2_pag20.png

Una vez que la máquina client2 se ha integrado en el dominio, podemos ver que su registro de host se ha creado automáticamente en DNS.

images/cap2_pag21.png

Como el servidor DHCP y la máquina client2 están en el dominio Active Directory, si la máquina cliente cambiara su dirección IP, el registro DNS se actualizaría automáticamente.

Vamos a provocar este cambio de dirección creando una división en la dirección actual de la máquina cliente, es decir, 10.10.10.10:

 En la ventana de administración de DHCP, haga clic con el botón derecho del ratón en la carpeta del grupo de direcciones para el intervalo 10.10.10.0 y seleccione New Exclusion Range.

images/cap2_pag22.png

 A continuación...

Otros tipos de ámbito

Hasta ahora hemos hablado de los ámbitos DHCP tradicionales, pero hay otros tipos de ámbitos que se pueden gestionar en Windows Server: ámbitos multicast, ámbitos globales y ámbitos divididos.

1. Ámbitos de multicast

Los ámbitos multicast garantizan que dos grupos multicast no utilicen la misma dirección. Así, un servidor que necesitara una dirección multicast para comunicarse con un grupo de clientes, tendría la seguridad de utilizar un único grupo multicast y no crear un conflicto con otros posibles grupos multicast. El uso de DHCP multicast proporciona un mayor control sobre las difuciones multicast en la red. El DHCP multicastutiliza el protocolo MADCAP.

 Para crear un ámbito de multicast en Windows Server, vaya al administrador DHCP, haga clic con el botón derecho del ratón en IPv4 y seleccione New Multicast Scope.

 Lo primero que hay que hacer es dar un nombre al ámbito: elija Multicast Scope cole.

A continuación, se le pedirá que configure el ámbito y el TTL.

images/02EI42.PNG

El TTL en un ámbito de multicast se utiliza para determinar cuántos routers puede atravesar la comunicación de multicast.

A continuación, se nos preguntará si queremos hacer alguna división.

 Haga clic en Next.

 A continuación, se indica la duración del lease, que por defecto es de treinta días. Haga clic en Next.

 Se le pedirá que active el ámbito de multicast, seleccione Yes y haga clic en Next.

 En la última ventana, haga clic en Finish.

Se ha creado el ámbito de multicast:

images/cap2_pag28.png

2. Ámbitos globales

En términos sencillos, los ámbitos globales se utilizan para combinar varios ámbitos en una única unidad de gestión. Esto puede ser útil si tiene varias redes IP en la misma red física....

Directivas DHCP

Las directivas DHCP permiten realizar ajustes específicos en el servicio DHCP si los clientes cumplen ciertas condiciones. Por ejemplo, se les puede dar diferentes opciones DHCP dependiendo de su dirección mac o del agente que retransmite su petición.

Las directivas DHC se pueden aplicar a nivel de servidor o de ámbito.

1. Directiva con clases de usuarios

Es posible definir una clase de usuario en una estación de trabajo cliente como, por ejemplo, si una máquina se utiliza para la gestión de la red o una estación de trabajo de usuario y distribuirles diferentes opciones DHCP.

Hemos visto que las opciones DHCP se pueden aplicar a nivel de servidor, ámbito y reserva. Hay un cuarto lugar para definir opciones, llamado clase de usuario.

Las opciones definidas a nivel de clase de usuario tendrían prioridad sobre el servidor y el ámbito, pero no sobre las reservas.

 Para definir la clase de usuario en el servidor DHCP, haga clic con el botón derecho del ratón en IPv4 y seleccione Define User Classes.

images/cap2_pag36_b.png

 A continuación, haga clic en Add.

images/02EI59.PNG

 Asigne un nombre a su clase de usuario y, en la columna ASCII, introduzca el valor MGMT.

images/02EI60.PNG

Se ha creado la clase de usuario.

images/02EI61.PNG

 Ahora cree la directiva que se aplica a esta clase. Haga clic con el botón derecho del ratón en la carpeta Policies y seleccione New Policy.

images/cap2_pag37.png

La carpeta Policies utilizada en esta operación es la que se aplica a nivel de servidor. Es posible hacer los mismos ajustes a nivel de ámbito. Esto puede ser útil para ámbitos divididos, para evitar tener que hacer ajustes en ambos servidores o para hacer diferentes directivas para diferentes ámbitos.

 Asigne un nombre a su directiva.

images/02EI63.PNG

 A continuación, defina las condiciones de aplicación de la directiva. Haga clic en Add.

images/02EI64.PNG

 Elija User Class como criterio, Equals como operador y añada su clase MGMT PCs como valor.

images/02EI65.PNG

 Cuando haya terminado de establecer las condiciones...

Filtrado de direcciones MAC

En la ventana de gestión de DHCP, podemos ver una carpeta Filters a nivel de servidor, que nos permite activar una lista de direcciones MAC autorizadas o una lista de direcciones MAC prohibidas o ambas. Esta configuración se realiza a nivel de servidor y será heredada por todos los ámbitos.

images/cap2_pag57.png

Por defecto, estas dos listas de filtros están desactivadas. Si se activa la lista de direcciones MAC autorizadas y está vacía, ninguna dirección MAC y, por tanto, ninguna máquina recibirá una dirección IP del servidor. Del mismo modo, si se activa la lista de direcciones MAC prohibidas y está vacía, todas las direcciones estarán autorizadas.

Al igual que con las directivas DHCP, es posible hacer una lista sólo con la primera mitad de la dirección MAC, la que corresponde al fabricante, seguida de un asterisco.

 Active la lista para autorizar direcciones MAC. Haga clic con el botón derecho del ratón en la carpeta para filtros de autorización y seleccione Enable.

images/cap2_pag58_b.png

 Una vez activada la lista, vuelva a hacer clic con el botón derecho del ratón y seleccione esta vez New Filter.

images/02EI86.PNG

Podemos ver que el filtro se ha añadido a la lista.

images/cap2_pag58_b.png

El filtrado de direcciones MAC por fabricante se puede utilizar para garantizar que un servidor sólo distribuye direcciones a una categoría de máquinas...

DHCP IPv6

1. Conceptos básicos del protocolo IPv6

Echemos un rápido vistazo al protocolo IPv6, cubriendo los conceptos necesarios para implementar DHCP IPv6. El protocolo IPv6 no está muy extendido y se estima que sólo el 20% de la red mundial está equipada y configurada para IPv6. Sin embargo, algunas aplicaciones necesitan este protocolo para funcionar. Un buen ejemplo sería el servidor de correo Exchange.

a. Tipos de direcciones IPv6

Las direcciones IPv6 se expresan en hexadecimal, de 0 a F. Se codifican en 128 bits y la máscara se expresa en notación CIDR. Por ejemplo 2001:0db8:00d6:3000:0000:0000:6700:00a5/64

Direcciones Link-Local

Empiezan por FE80 y el sistema las asigna automáticamente. En cuanto se activa una tarjeta de red, tiene una dirección Link-Local. Estas direcciones no son enrutables y no se pueden utilizar para entrar en otra red. Se utilizan para comunicaciones dentro del mismo segmento de red.

Aunque el sistema las asigna automáticamente, también se pueden configurar por los administradores.

Direcciones Global Unicast

Las direcciones Global Unicast son direcciones enrutables, cuyo inicio va de 2000 a 3FFF. Se pueden utilizar en una red privada y en Internet. Se deben configurar manualmente o mediante DHCP. Es habitual tener una o varias direcciones Global Unicast, además de la dirección Link-Local.

Direcciones Unique Local

Equivalentes a las direcciones IPv4 privadas, sólo se pueden enrutar dentro de una red privada. Su uso no está muy extendido, ya que existen suficientes direcciones Global Unicast para dar una dirección a cada host del planeta. Las utilizan algunos administradores a los que les gusta tener direcciones privadas que se puedan enrutar en la LAN de la empresa, como ocurre con IPv4. Comienzan por FC o FD.

Direcciones multicast

Las direcciones de multicast empiezan con los ocho primeros bits a 1, es decir, FF en hexadecimal. En IPv6 no hay direcciones de difusión, por lo que en su lugar se utiliza la multicast, entre otras cosas para las solicitudes DHCP. La multicast es enrutable en IPv6, por lo que si quiere hacer multicast sin salir de un segmento de red, las direcciones deben empezar por FF02.

b. Notación de las direcciones IPv6

Existen mecanismos para abreviar la notación de las direcciones IPv6. Escribir las direcciones completas puede llevar mucho tiempo y ser una fuente...

Clustering DHCP

Ya sea para garantizar una alta disponibilidad o para equilibrar la carga, es posible configurar un clúster de servidores DHCP, con dos servidores Windows en los que se instale el servicio.

Empezaremos examinando el clúster de conmutación por error, también llamado failover, que garantiza la alta disponibilidad del servicio.

Clúster de conmutación por error DHCP

Es posible configurar la conmutación por error para la parte IPv4 del servicio, pero también para los ámbitos. Haciendo clic con el botón derecho del ratón en IPv4 o en una extensión se ofrece igualmente una opción para configurar la conmutación por error. Sin embargo, esta opción no está disponible en IPv6, a ningún nivel.

En nuestro trabajo práctico, vamos a implementar la conmutación por error a nivel IPv4. Las dos opciones son idénticas en su configuración, la única diferencia es, por supuesto, que la conmutación por error IPv4 puede replicar todos los ámbitos, mientras que si configuramos la conmutación por error directamente en una extensión, sólo se replicará la extensión seleccionada.

 Desde el gestor DHCP del servidor core1 en los RSAT del equipo client1, haga clic con el botón derecho del ratón en IPv4 y seleccione Configure Failover en el menú desplegable....