Instalacion de Entidad Certificadora de Empresa

Vamos a instalar una entidad certificadora en Windows Server 2008, para poder obtener certificados para nuestros objetos en Active Directory como usuarios, equipos, servidores etc.

En nuestro caso vamos a instalar una unica entidad, que va a funcionar tanto como raiz del esquema de AD CS como de entidad generadora de certificados, aunque el esquema recomendado es de una raiz y de entidades subordinadas de la misma que se encargan de generar certificados.

Esquema tipico de AD CS

 Entgen1

Como nuestra entidad es para generar certificados dento de AD DS debemos de escoger como tipo de entidad empresa no standalone.

Instalacion de AD CS

Comandos Windows Server 2008 Core

Aqui van algunos comandos para instalar roles y caracteristicas en un Server Core 2008


– Listar Roles y Caracteristicas : oclist

-Instalar Active Directory (AD DS):
 dcpromo /unattend:<unattendfile>
-Instalar Active Directory Lightweight Directory Services (AD LDS):
start /w ocsetup DirectoryServices-ADAM-ServerCore
Desinstalar: start /w ocsetup DirectoryServices-ADAM-ServerCore /uninstall
-Instalar Servicio DHCP:
start /w ocsetup DHCPServerCore
 Desinstalar: start /w ocsetup DHCPServerCore /uninstall
Para administrar los Roles lo mejor es utilizar un consola a partir de un cliente u otro Server.

Instalacion del role DNS en Server 2008 Core

Para instalar el role de DNS Server en un Windows Server 2008 Core que sea un servidor miembro o aislado, introduce el siguiente comando:

start /w ocsetup DNS-Server-Core-Role

Para desinstalar el role:

start /w ocsetup DNS-Server-Core-Role /uninstall

Una vez instalado el role, la administracion se puede hacer remotamente a traves de la consola Administrador DNS, haciendo boton derecho, conectar al Servidor …

 

Resolucion de nombres ¿Cómo?

Mi experiencia como MCT me ha llevado a colocar este post para indicar como funciona la resolucion DNS y como se realiza la consulta de un nombre, ya que la gran mayoria de la gente no sabe como va. Este es el esquema de peticiones de resolucion de cualquier nombre DNS:

dns.jpg

Q1: Pregunta cache local del cliente. Esta cache contiene ultimas resoluciones, más fichero HOSTS local de la maquina.

Q2,Q3: Si no resuelve cache, vamos a servidor DNS local, donde primero consultamos las zonas y reenviadores.

Q4: Si no hay zona entonces cache DNS del servidor

Q5:Sugerencias de raiz

ACL Reflexivas

esquema.jpgLas ACL Reflexivas tienen la ventaja de abrir automaticamente los puertos en interfaces externos,  para la vuelta del trafico originado en el interior de nuestra LAN.

Ejemplo Configuracion para R2:

R2(config)#ip access-list extended FILTROSALIDA

R2(config-ext-acl)#permit tcp 192.168.0.0 0.0.255.255 any eq 80 reflect WEB

R2(config-ext-acl)#permit tcp 192.168.0.0 0.0.255.255 any eq 443 reflect WEB

R2(config)#ip access-list extended FILTROENTRADA

R2(config-ext-acl)#evaluate WEB

R2(config)#interface s0/1/0

R2(config)#ip access-group FILTROENTRADA in

R2(config)#interface f0/0

R2(config)#ip access-group FILTROSALIDA in

Acceso remoto con Cisco Easy VPN (Pre Shared)

dibujo2.jpg

Configuracion Router:

!
hostname Router1
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
aaa new-model
!
!
aaa authentication login VPNAUTHEN local
aaa authorization network VPNAUTHOR local
!
aaa session-id common
!
resource policy
!
memory-size iomem 15
no network-clock-participate slot 1
no network-clock-participate wic 0
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.0.1.1 10.0.1.12
!
ip dhcp pool POD1_INSIDE
   network 10.0.1.0 255.255.255.0
   default-router 10.0.1.2
!
!
no ip ips deny-action ips-interface
no ip domain lookup
!
no ftp-server write-enable
!
!
!
username sdm privilege 15 password 0 sdm
username vpnstudent password 0 cisco
!
!
!
crypto isakmp policy 3
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp client configuration group SALES
 key cisco123
 domain cisco.com
 pool IPPOOL
!
!
crypto ipsec transform-set MYSET esp-aes 256 esp-sha-hmac
!
crypto dynamic-map DYNMAP 10
 set transform-set MYSET
 reverse-route
!
!
crypto map CLIENTMAP client authentication list VPNAUTHEN
crypto map CLIENTMAP isakmp authorization list VPNAUTHOR
crypto map CLIENTMAP client configuration address respond
crypto map CLIENTMAP 10 ipsec-isakmp dynamic DYNMAP
!
!
!
interface FastEthernet0/0
 description inside
 ip address 10.0.1.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description outside
 ip address 172.30.1.2 255.255.255.0
 duplex auto
 speed auto
 crypto map CLIENTMAP
!
router eigrp 1
 network 10.0.0.0
 network 172.30.0.0
 no auto-summary
 no eigrp log-neighbor-changes
!
ip local pool IPPOOL 11.0.1.20 11.0.1.30
ip classless
!
ip http server
ip http authentication local
no ip http secure-server
!
!
!
control-plane
!
!
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 password cisco
 transport input telnet ssh
!
!
end

Pasos:
1- Configuracion de autenticaion con AAA
aaa new-model
aa authentication login VPNAUTHEN local
aaa authorization network VPNAUTHOR local
2-Definimos la directiva para la VPN que va a ser puesta al cliente y el pool de ip que van a utilizar los ususarios remotos cuando se conecten
ip local pool IPPOOL 11.0.1.20 11.0.1.30
crypto isakmp policy 3
hash md5
authentication pre-share
group 2
crypto isakmp client configuration group SALES
key cisco123
domain cisco.com
pool IPPOOL
3-Configuramos y verificamos los Transforms y CryptoMaps
crypto ipsec transform-set MYSET esp-aes 256 esp-sha-hmac
(Creamos el cryptoMap dinamico)
crypto dynamic-map DYNMAP 10
set transform-set MYSET
reverse-route
(Creamos el cryptoMap estatico)
crypto map CLIENTMAP client authentication list VPNAUTHEN
crypto map CLIENTMAP isakmp authorization list VPNAUTHOR
crypto map CLIENTMAP client configuration address respond (Da respuesta a peticiones de clientes)
crypto map CLIENTMAP 10 ipsec-isakmp dynamic DYNMAP (asociamos crypto dinamico)

4-Aplicamos cryptoMap estatico a interfaz
interface FastEthernet0/1
crypto map CLIENTMAP

Y listo en el router.

Cisco VPN Site to Site con Preshared Keys

site2.jpg

Ejemplo configuracion RouterQ:

!
hostname Router2
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
no aaa new-model
!
resource policy
!
memory-size iomem 15
no network-clock-participate slot 1
no network-clock-participate wic 0
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.0.2.1 10.0.2.12
!
ip dhcp pool POD1_INSIDE
   network 10.0.2.0 255.255.255.0
   default-router 10.0.2.2
!
!
no ip ips deny-action ips-interface
no ip domain lookup
!
no ftp-server write-enable
!
!
!
username sdm privilege 15 password 0 sdm
!
!
!
crypto isakmp policy 110
 hash md5
 authentication pre-share
crypto isakmp key cisco1234 address 172.30.1.2
!
!
crypto ipsec transform-set MINE esp-des
!
crypto map MYMAP 10 ipsec-isakmp
 set peer 172.30.1.2
 set transform-set MINE
 match address 102
!
!
!
interface FastEthernet0/0
 description inside
 ip address 10.0.2.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description outside
 ip address 172.30.2.2 255.255.255.0
 duplex auto
 speed auto
 crypto map MYMAP
!
router eigrp 1
 network 10.0.0.0
 network 172.30.0.0
 no auto-summary
 no eigrp log-neighbor-changes
!
ip classless
!
ip http server
ip http authentication local
no ip http secure-server
!
access-list 102 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
!
!
control-plane
!
!
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 password cisco
 login local
 transport input telnet ssh
!
!
end

En este ejemplo de VPN con Pre Shared Keys , creamos yna directiva de creacion de VPN (110) con hash md5 y autenticacion preshare con contraseña cisco1234.

Utilizamos como transform-set el tipo de cifrado basico DES, de 64 bits ylo asociamos al crypto map MYMAP, en el cual definimos el trafico que va a pasar por nuestra VPN con la lista de acceso 102.

Por ultimo aplicamos el crypto map al interfaz y listo.

En el RouterP se configuraria exactamente igual, logicamente cambienado IP y nombres.

Crear CD de WindowsPE bootable

Vamos a crear un CD de WindowsPE que me va a permitir crear imagenes .wim de equipos e instalarlas en equipos nuevos. Los nuevos Windows Vista son independientes del hardware, excepto en procesador, con lo cual tu puedes sacar una imagen de 32 bits de un Vista de una maquina e instalarla en tantos equipos como quieras, siempre que sean de 32 bits, independientemente del hardware que tengan (siempre que cumplan los requerimientos de hardware).

Creacion de WindowsPE CD:

1-En una maquina de XP,Vista, Server 2003 o Server2008 instalamos el Windows AIK (http://www.microsoft.com/downloads/details.aspx?familyid=C7D4BC6D-15F3-4284-9123-679830D629F2&displaylang=esque ) incorpora el WindowsPE Tools Command Prompt.

2-En la linea de comanados del WindowsPE Tools escribimos:

copype.cmd x86 C:WinPE_x86

donde x86 es el procesador y C:WinPE_x86 la carpeta donde va a dejar los ficheros del WindowsPE.

Si es para procesadores de 64bits sustituyo el x86 por amd64 o por ia64 segun sea 64bits o Intel Itanium

3-Copio el archivo imagex.exe  al directorio C:WinPE_x86ISO

copy “C:Program FilesWindows AIKToolsx86imagex.exe” C:WinPE_x86ISO

Si es para procesadores de 64bits sustituyo el x86 por amd64 o por ia64 segun sea AMD o Intel

4-Creo un fichero llamado Wimscript.ini en el directorio ISO, que va a contener los ficheros que excluyo de la imagen y las extensiones de los ficheros que no voy a comprimir de nuevo. Un ejemplo de fichero seria:

[ExclusionList]
ntfs.log
hiberfil.sys
pagefile.sys

“System Volume Information”

RECYCLER

WindowsCSC

[CompressionExclusionList]

*.mp3

*.zip

*.cab

WINDOWSinf*.pnf

5- Copio el fichero winpe.wim a C:WinPE86ISOsources y lo renombro a boot.wim

6-Construyo la imagen de WindowsPE que va a ser bootable y desde la cual podre mas tarde crear las imagenes. Introduzco la siguiente linea de codigo:

oscdimg -n -bC:WinPE_x86etfsboot.com C:WinPE_x86ISO C:WinPE_x86winPE_x86.iso

-n : permite nombres largos

-b: indica sector de arranque

6- Finalmente quemamos la ISO y ya esta.