Ttulo de la pista: Windows Server 2012 Detalles tcnicos de redes Mdulo 2: Administracin de la direccin IP

Manual del mdulo

Autor: James Hamilton-Adams, Content Master

Publicado: [introducir fecha]

La informacin contenida en este documento, incluidas las URL y otras referencias a sitios web de Internet, est sujeta a cambios sin previo aviso. Salvo que se indique expresamente lo contrario, los ejemplos de empresas, organizaciones, productos, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares y eventos aqu representados son ficticios, y no se pretende ni debe deducirse ninguna asociacin con ninguna empresa, organizacin, producto, nombre de dominio, direccin de correo electrnico, logotipo, persona, lugar o evento real. El cumplimiento de todas las leyes de propiedad intelectual aplicables es responsabilidad del usuario. Sin limitar los derechos derivados de la propiedad intelectual, no se puede reproducir, almacenar ni introducir en un sistema de recuperacin de datos ninguna parte del presente documento, ni tampoco transmitirla de ninguna forma o en ningn medio (electrnico, mecnico, fotocopias, grabacin, o cualquier otro) ni para ningn propsito sin contar con el permiso expreso por escrito de Microsoft Corporation. Microsoft puede tener patentes, solicitudes de patente, marcas registradas o derechos de propiedad intelectual de cualquier tipo que cubran el tema tratado en este documento. Salvo que se indique expresamente en algn contrato de licencia por escrito de Microsoft, disponer del presente documento no le transfiere a usted ninguna licencia sobre estas patentes, marcas registradas, derechos de propiedad intelectual o cualquier otro tipo de propiedad intelectual. 2012 Microsoft Corporation. Reservados todos los derechos. Microsoft es una marca registrada o bien una marca de Microsoft Corporation en Estados Unidos y otros pases. Los nombres de empresas y productos reales mencionados en este documento pueden ser marcas comerciales de sus respectivos propietarios.

Manual del estudiante de Microsoft Virtual Academy

ii

Contenido
CONTENIDO............................................................................................................................................................................................................... III MDULO 2: ADMINISTRACIN DE LA DIRECCIN IP............................................................................................................................... 4 Descripcin general del mdulo ................................................................................................................................................................... 4 NECESIDAD DE ADMINISTRAR LAS DIRECCIONES IP ................................................................................................................................ 5 QU ES IPAM? .......................................................................................................................................................................................................... 7 IMPLEMENTACIN DE IPAM EN WINDOWS SERVER 2012..................................................................................................................... 8 TAREAS AUTOMTICAS EN IPAM ....................................................................................................................................................................11 DELEGACIN DE CONTROL EN IPAM ............................................................................................................................................................12 OTROS RECURSOS Y LECTURAS .......................................................................................................................................................................13

Manual del estudiante de Microsoft Virtual Academy

iii

Mdulo 2: Administracin de la direccin IP

Mdulo 2: Administracin de la direccin IP Descripcin general del mdulo

En este mdulo se presenta la funcin de administracin de direcciones IP (IPAM) en Windows Server 2012. Se mostrar por qu IPAM es importante para las infraestructuras de red en las organizaciones modernas, y despus se presentar el proceso y los requisitos de instalacin de la nueva funcin IPAM. Tambin se estudiarn algunas de las opciones del servidor IPAM y cmo delegar el acceso a IPAM y tareas relacionadas.

Manual del estudiante de Microsoft Virtual Academy

Mdulo 2: Administracin de la direccin IP

Necesidad de administrar las direcciones IP

En las actuales infraestructuras de red TCP/IP, salvo en el caso de las redes ms pequeas, necesita tener un mtodo para administrar los requisitos de las direcciones IP. Los administradores deben tener un plan que describa qu intervalos de direcciones se usan, cuntas subredes hay y qu subredes corresponden a determinadas ubicaciones. El mtodo de IPAM tambin debera detallar tanto las configuraciones de asignacin dinmica de direcciones, como el protocolo de configuracin dinmica de host (DHCP) y los requisitos de reserva correspondientes. Tambin debe poder identificar claramente los intervalos de direcciones IP usados para la asignacin esttica de direcciones para los requisitos de dispositivo de red o de servidor. Finalmente, en funcin de estos registros, debe poder identificar qu parte del grupo de direcciones designadas est en uso y cuntas direcciones pueden usarse para responder a las necesidades de expansin de red y de los nuevos dispositivos.

Manual del estudiante de Microsoft Virtual Academy

Mdulo 2: Administracin de la direccin IP Normalmente, dispone de tres estrategias para administrar el estado de su direccin IP: Hojas de clculo. Los administradores de red capturan a menudo toda esta informacin en hojas de clculo. El coste inicial es prcticamente cero y, cuando la red es pequea, este mtodo suele ser eficaz. Sin embargo, actualizar la informacin supone mucho trabajo y, a medida que crece la red o se necesitan cambios "urgentes", los administradores a menudo no pueden dedicar el tiempo necesario para mantener la informacin actualizada, por lo que el resultado es difcil de administrar. Herramientas internas personalizadas. Algunas organizaciones tienen los recursos para confeccionar soluciones internas, como aplicaciones de base de datos o software personalizadas, que contienen la informacin relevante e incluso pueden proporcionar algunas funciones de automatizacin y flujo de trabajo para identificar direcciones libres o mostrar el uso del grupo de direcciones. Sin embargo, el desarrollo, mantenimiento o posterior ampliacin de estas herramientas puede resultar caro desde el punto de vista de los recursos del desarrollador. El mantenimiento de estas herramientas solo puede depender de la experiencia y el modelo de mantenimiento interno. Herramientas o dispositivos de software comercial. Normalmente, las herramientas comerciales son las que ofrecen las opciones con ms caractersticas y, a menudo, proporcionan la automatizacin e integracin con los componentes de la infraestructura existente, como servidores DNS y DHCP de Windows. Sin embargo, las herramientas comerciales suelen ser la opcin ms cara, a menudo con costes de mantenimiento o de compra de licencias que se tienen que sumar al coste inicial de las herramientas y su implementacin.

Manual del estudiante de Microsoft Virtual Academy

Mdulo 2: Administracin de la direccin IP

Qu es IPAM?

Windows Server 2012 proporciona IPAM como opcin. IPAM es una infraestructura que permite detectar, administrar y supervisar un espacio de direcciones IP en la red de una organizacin. IPAM presenta las siguientes caractersticas: Deteccin automtica de la infraestructura de direcciones IP, como los servidores DHCP, los servidores DNS y los controladores de dominio. Despus de la deteccin, puede usar las herramientas de IPAM para administrar estos servicios. Visualizacin y administracin del espacio de direcciones y generacin de informes sobre el mismo. La consola de IPAM permite buscar un intervalo especfico de direcciones IP mediante informacin asociada. Puede buscar y sustituir informacin especfica o actualizar varios mbitos al mismo tiempo. Puede administrar intervalos de direcciones IPv4 e IPv6 con IPAM. Supervisin del estado de los servidores DHCP y DNS. Puede visualizar informacin relacionada con el uso del mbito DHCP y el mantenimiento de la zona DNS. Auditora de los cambios de configuracin y seguimiento del uso de la direccin IP. IPAM recoge los cambios de configuracin efectuados en los servidores DNS o DHCP, y tambin permite efectuar un seguimiento de los eventos de concesin de DHCP.

Manual del estudiante de Microsoft Virtual Academy

Mdulo 2: Administracin de la direccin IP

Implementacin de IPAM en Windows Server 2012

La implementacin de IPAM en Windows Server 2012 puede efectuarse de forma centralizada, con un solo servidor, o de forma distribuida, donde cada emplazamiento puede tener un servidor IPAM. En una implementacin distribuida, los diferentes servidores IPAM de la organizacin no comparten la base de datos ni las comunicaciones. Cada servidor IPAM administrar nicamente una parte del espacio de direcciones de la organizacin, como una oficina o una ubicacin especfica. En caso necesario, puede usar las funciones de exportacin de IPAM para consolidar los datos de informes de una implementacin distribuida. Requisitos para la implementacin de IPAM en Windows Server 2012: Instalacin completa de Windows Server 2012 (IPAM est disponible en todas las ediciones de Windows Server 2012 excepto en las instalaciones Server Core). El servidor IPAM debe ser miembro de un dominio de Servicios de dominio de Active Directory (AD DS). No se puede instalar la funcin IPAM en un controlador de dominio. IPAM se instala automticamente en la base de datos interna de Windows del servidor IPAM. IPAM no es compatible con bases de datos externas. IPAM solo admite la integracin con controladores de dominio de Microsoft, servidores DHCP, DNS y servidores de directivas de redes (NPS) que ejecuten Windows Server 2008 o versiones posteriores. IPAM se comunica con los servidores administrados mediante interfaces de llamada de procedimiento remoto (RPC) o instrumental de administracin de Windows (WMI). Compruebe que los firewalls no bloqueen los puertos de comunicacin de IPAM.

Manual del estudiante de Microsoft Virtual Academy

Mdulo 2: Administracin de la direccin IP Para configurar un servidor IPAM ejecute los pasos siguientes: 1. Instale la funcin IPAM en el servidor. La funcin IPAM requiere los siguientes componentes de Windows Server 2012: Los componentes cliente DNS, DHCP e IPAM de las herramientas de administracin remota del servidor (RSAT). Base de datos interna de Windows. Servicio WAS (Windows Process Activation Service). Administracin de directivas de grupo. Microsoft .NET Framework 4.5. 2. Prepare el servidor IPAM. En este paso se selecciona si se quiere aprovisionar manualmente los servidores administrados o bien usar una directiva de grupo para automatizar la preparacin. 3. Configure la deteccin del servidor. En este paso se especifica para qu dominios se quiere recuperar informacin del controlador de dominio, el servidor DHCP y el servidor DNS. 4. Ejecute la deteccin del servidor. Tarea automatizada creada en el programador de tareas despus de aprovisionar el servidor IPAM. Tambin puede iniciarse manualmente. 5. Agregue los servidores que se deben administrar. En este paso se seleccionan los servidores detectados que IPAM administrar y tiene la posibilidad de agregar manualmente servidores a IPAM. Tambin puede verificar que IPAM tenga acceso a los servidores necesarios. 6. Recuperacin de datos. En este paso se recuperan los datos de DNS, DHCP y dems en los servidores que en el paso anterior se especificaron como administrados. Esto permite que IPAM empiece a visualizar y administrar bloques de direcciones IP. Aprovisionamiento manual y aprovisionamiento basado en directiva de grupo Si selecciona la opcin de aprovisionamiento manual, debe configurar manualmente todos los servidores que desee que administre IPAM. En la tabla siguiente se muestran los requisitos que deben cumplirse para cada tipo de servidor administrado: Tipo de servidor Requisitos de configuracin administrado Servidor DHCP La cuenta del equipo del servidor IPAM debe ser miembro del grupo de seguridad local de lectores del registro de eventos. La cuenta de equipo del servidor IPAM debe ser miembro del grupo de seguridad local de usuarios de DHCP. Deben habilitarse las siguientes reglas de firewall: Servidor DHCP (RPC de entrada) Servidor DHCP (RPCSS de entrada) Administracin remota de servicios (RPC) Administracin remota de servicios (RPC-EPMAP) Para auditar DHCP, existen los siguientes requisitos adicionales: Se debe crear un recurso compartido de archivos de red llamado Dhcpaudit con la carpeta de archivos de auditora DHCP, con acceso de lectura activado para la cuenta de equipo del servidor IPAM. Se deben activar las siguientes reglas de firewall: o Uso compartido de archivos e impresora (sesin NB de entrada) o Uso compartido de archivos e impresora (SMB de entrada)

Manual del estudiante de Microsoft Virtual Academy

Mdulo 2: Administracin de la direccin IP Tipo de servidor administrado Servidor DNS Requisitos de configuracin La cuenta de equipo del servidor IPAM debe ser miembro del grupo de seguridad local de lectores del registro de eventos. Debe agregar un acceso de lectura para la cuenta de equipo del servidor IPAM en la lista de control de acceso discrecional (DACL) de DNS. Se debe conceder acceso de lectura a la cuenta de equipo del servidor IPAM en la ACL que se mantiene con la siguiente clave de registro en el servidor DNS: MACHINE\System\CurrentControlSet\Services\Eventlog\ DNS Server\CustomSD Se deben activar las siguientes reglas de firewall: RPC de servicio de DNS Asignador de extremos de RPC de servicio de DNS Administracin remota de servicios (RPC) Administracin remota de servicios (RPC-EPMAP) La cuenta de equipo del servidor IPAM debe ser miembro del grupo de seguridad de dominio de lectores del registro de eventos. Se deben activar las siguientes reglas de firewall: Administracin remota de registro de eventos (RPC) Administracin remota de registro de eventos (RPC-EPMAP) La cuenta de equipo del servidor IPAM debe ser miembro del grupo de seguridad local de lectores del registro de eventos. Se deben activar las siguientes reglas de firewall: RPC de servicio de DNS Asignador de extremos de RPC de servicio de DNS

Controlador de dominio

Servidor NPS

O bien, puede usar una directiva de grupo que le ayude a aprovisionar los servidores administrados. Para usar la directiva de grupo para el aprovisionamiento de IPAM, debe ejecutar el cmdlet Invoke-IpamGpoProvisioning de Windows PowerShell usando una cuenta de administrador de dominio para crear los objetos de directiva del grupo (GPO) necesarios. Se crean los siguientes GPO: <prefijo>DC_NPS. Esta directiva de grupo se aplica a los controladores de dominio y a los servidores NPS. <prefijo>DHCP. Esta directiva de grupo se aplica a los servidores DHCP. <prefijo>DNS. Esta directiva de grupo se aplica a los servidores DNS. Los GPO se crean en el nivel de dominio y usan el filtrado del grupo de seguridad para asegurarse de que las directivas de grupo solo se apliquen a los servidores administrados. Cuando cree GPO con Invoke-IpamGpoProvisioning, puede especificar el <prefijo> que se agregar a todos los nombres de GPO.

Manual del estudiante de Microsoft Virtual Academy 10

Mdulo 2: Administracin de la direccin IP

Tareas automticas en IPAM

Al instalar la funcin IPAM en un servidor, el proceso de instalacin crea varias tareas automatizadas que IPAM usa para recopilar datos de los servidores administrados. La instalacin de IPAM crea las siguientes tareas automatizadas: Nombre de la tarea Descripcin DiscoveryTask AddressUtilizationCollectionTask AuditTask Detecta controladores de dominio, servidores DNS y servidores DHCP en los dominios seleccionados. Recopila informacin sobre el uso del espacio de direcciones de los servidores DHCP. Recopila informacin de auditora en los servidores DHCP e IPAM, y recopila registros de auditora de concesin de IP en los servidores NPS y los controladores de dominio. Recopila informacin de configuracin en los servidores DHCP y DNS. Recopila el estado de disponibilidad del servicio para los servidores DHCP y DNS.

Frecuencia predeterminada 1 da 2 horas 1 da

ConfigurationTask ServerAvailabilityTask

6 horas 15 minutos

Manual del estudiante de Microsoft Virtual Academy 11

Mdulo 2: Administracin de la direccin IP

Delegacin de control en IPAM

Durante la instalacin de IPAM en el servidor, el proceso de instalacin crea varios grupos de seguridad local. Puede usar estos grupos para conceder diferentes niveles de acceso a IPAM y permitir la delegacin de algunas tareas de administracin de IPAM. Se crean los siguientes grupos de seguridad en el servidor IPAM: Usuarios IPAM. Los usuarios que son miembros de este grupo pueden ver la informacin de deteccin de servidores, espacio de direcciones IP y administracin del servidor. Los miembros del grupo tambin pueden ver eventos operativos del servidor IPAM y DHCP, aunque no pueden ver informacin de seguimiento de la direccin IP. Administradores de MSM IPAM. Los miembros de este grupo tienen privilegios de usuarios IPAM y pueden realizar tareas comunes de administracin multiservidor (MSM) de IPAM y tareas de administracin del servidor. Administradores de ASM IPAM. Los miembros de este grupo tienen privilegios de usuario IPAM y pueden realizar tareas comunes de administracin del espacio de direcciones (ASM) IPAM y tareas de espacio de direcciones IP. Administradores de auditora IP IPAM. Los miembros de este grupo tienen privilegios de usuarios IPAM y pueden realizar tareas comunes de administracin de IPAM y ver informacin de seguimiento de direcciones IP. Administradores IPAM. Los miembros de este grupo tienen privilegios para ver todos los datos IPAM y realizar todas las tareas de IPAM.

Manual del estudiante de Microsoft Virtual Academy 12

Mdulo 2: Administracin de la direccin IP

Otros recursos y lecturas

Informacin general de la administracin de direcciones IP (IPAM) . Paso a paso: configuracin de IPAM para administrar su espacio de direcciones IP.

Manual del estudiante de Microsoft Virtual Academy 13