Instalación y Configuración básica de un Servidor DHCP en Windows Server 2012 desde Powershell

Buenas.
En esta ocasión, explicaremos cómo Instalar y Configurar básicamente un Servidor DHCP en Windows Server 2012 utilizando los nuevos cmdlets de Powershell.

Comencemos.

Para ver todos los comandos disponibles en Powershell para DHCP debemos ejecutar:
Get-Command -Module DhcpServer

El Primer comando que ejecutaremos para instalar el Servidor DHCP es el siguiente:

Install-WindowsFeature -Name DHCP

Al finalizar nos aparecerá el mensaje de SUCCESS y que se necesita reinicio:

Ahora para que tengamos la consola de administración DHCP, deberemos agregar la característica ejecutando el siguiente comando:

Install-WindowsFeature -Name RSAT-DHCP

 

Al finalizar nos aparecerá el mensaje de SUCCESS y que se necesita reinicio:

Luego deberemos reiniciar el equipo, podemos hacerlo ejecutando el siguiente comando:
shutdown /r /t 0

Y esperamos a que se reinicie el servidor

Luego deberemos enlazar el Servidor DHCP a una Interfaz de Red para que pueda asignar direcciones IP dinámicamente. Esta interfaz debe estar configurada con una dirección IP estática.

Para realizar esa tarea ejecutaremos el siguiente comando (suponiendo que el nombre de nuestro dispositivo de red es Ethernet0):

Set-DhcpServerv4Binding -BindingState $true -InterfaceAlias “Ethernet”

En caso de que tengamos un Controlador de Dominio y necesitemos especificar el nombre DNS, deberíamos introducir el siguiente comando:

Add-DhcpServerInDC -DnsName “nombrededominio.com”

Como no tenemos DC en este ejemplo continuaremos.

Ahora tenemos que crear el ámbito.

Nuestro Ámbito tendrá las siguientes características:

-          Nombre del ámbito: “Ambito 1”

-          Rango 192.168.0.100 a 192.168.0.254

-          Máscara del ámbito: 255.255.255.0

Para crearlo ejecutaremos el siguiente comando:

Add-DhcpServerv4Scope -Name "Friendly Name of Scope" -StartRange 192.168.0.100 -EndRange 192.168.0.254 -SubnetMask 255.255.255.0

Ahora configuraremos una puerta de enlace para nuestro ámbito ejecutando el siguiente comando:

Set-DhcpServerV4OptionValue -ScopeID 192.168.0.0 -router 192.168.0.254

Si tuviésemos un Servidor DNS, nombre de dominio, tendríamos que ejecutar este comando:

Set-DhcpServerV4OptionValue -ScopeID 192.168.0.0 -router 192.168.0.254 -DnsDomain

dominio.com -DnsServer 192.168.0.2

Luego agregaremos (opcional) un rango de exclusión.

En este caso irá desde 192.168.0.200 a 192.168.0.254

Add-DhcpServerv4ExclusionRange 192.168.0.0 -StartRange 192.168.0.200 -EndRange 192.168.0.254

Ahora ya está creado nuestro ámbito, es hora de probarlo desde un equipo cliente ejecutando

ipconfig /renew

Y luego veremos la configuración completa ejecutando

ipconfig /all

Podemos ver las estadísticas del Servidor DHCP ejecutando el siguiente comando:

Get-DhcpServerv4Statistics

Nos dará información completa sobre el Servidor, por ejemplo: número de ámbitos, direcciones en uso, direcciones disponibles, etc.

 También podemos crear reservas.

Por ejemplo crearemos la reserva 192.168.0.8 para la dirección MAC 00-0C-29-4A-D1-1A

Ejecutando el siguiente comando:

Add-DhcpServerv4Reservation -ScopeID 192.168.0.0 -IPAddress 192.168.0.8 -ClientId 00-0C-29-4A-D1-1A -Description "Reserva para Julio"

También podemos negar la concesión de direcciones IP a una MAC en particular:

Add-DhcpServerv4Filter -List Deny -MacAddress ClientId 00-0C-29-4A-D1-1A -Description "Negando a Julio"

 Y si quisiéramos eliminar el ámbito 192.168.0.0 deberíamos ejecutar el siguiente comando:

Remove-DhcpServerv4Scope -ScopeID 192.168.0.0 –force

 Espero les sea útil.

Hasta la próxima.

Instalación y configuración básica de Active Directory Certificate Services

Active Directory Certificate Services:

Active Directory Certificate Services (AD CS) es utilizado para crear Autoridades Emisoras de Certificados (CA) y servicios relacionados que permitirán emitir y administrar certificados utilizados en una variedad de aplicaciones.

Sus principales componentes son:

-          Certificate Authority (CA): Componente principal de la infraestructura de servicios de certificado, es la entidad responsable de emitir certificados a los usuarios, equipos y otras entidades como a las Cas subordinadas. Es responsable de aceptar o rechazar una solicitud de certificado, verificar la información del solicitante, validar el certificado, revocar los certificados y publicarlos en las Listas de Revolación (CRLs).

-          Web Enrollment: Este nos permite solicitar los certificados desde la Web. Un ejemplo de uso de éste método es cuando tenemos clientes que no están conectados directamente a la red o bien no son clientes Microsoft.

-          Online Certificate Status Protocol (OCSP): Cuando un cliente envía una solicitud de información sobre el estado actual de un certificado, es el OCSP que se encarga de responder a la “pregunta”. OCSP sólo es responsable de responder a las solicitudes individuales, es decir, no distribuye las actualizaciones periódicamente.

-          Network Device Enrollment Service (NDES): Algunos dispositivos de red, como routers y switches, no podrán autenticarse en la red cuando quieran registrar un certificado X.509. Para hacer frente a este problema, Microsoft utiliza NDES que es una implementación de Protocolo de Registro de Certificados Simple (SCEP), un protocolo de comunicación que el software que se ejecuta en los dispositivos para obtener un certificado de una CA.

-          Certificate Enrollment Policy Web Server (CEP) y Certificate Enrollment Web Services (CES): Para permitir a los usuarios y equipos la recepción de una directiva de registro de certificados via Web, necesitaremos implementar un rol de AD CS llamado CEP. En conjunto con el Servicio web de inscripción de certificados, este servicio permite a la política basada en la inscripción de certificados en los siguientes escenarios:

o   Si el equipo cliente no es un miembro del dominio

o   Cuando un miembro de dominio no está conectado al dominio.

 

 

Mediante Powershell vamos a verificar si el rol y sus componentes están disponibles para la instalación y si están instalados.

Para eso ejecutaremos el siguiente comando:

Get-WindowsFeature | where {$_.name -like "adcs*" -or $_.name -like "ad-c*"}

 

Podemos instalar el servicio ejecutando:

Install-WindowsFeature adcs-cert-authority –IncludeManagementTools 

Si volvemos a ejecutar

Get-WindowsFeature | where {$_.name -like "adcs*" -or $_.name -like "ad-c*"}
veremos que ahora si tenemos la CA instalada 

 

Posteriormente si abrimos Server Manager nos aparecerá el signo de advertencia donde nos indica que AD CS debe ser configurado 

 

Hacemos clic en Configure Active Directory Certificate Services

En la primera ventana nos pedirá que introduzcamos las credenciales administrativas y luego haremos clic en siguiente: 

 

Luego nos pedirá que indiquemos que queremos configurar Certification Authority y hacemos clic en Next 

Luego tendremos que seleccionar qué tipo de CA instalaremos.

En este caso instalaremos un Enterprise CA porque de esa manera nos aseguraremos de emitir certificados solo para Dominio.

Hacemos clic en Next

 

En la siguiente ventana deberemos seleccionar el tipo de CA, en este caso es un CA Raiz.

Se recomienda (como buena práctica) que el CA raíz esté offline y que los certificados que emita tengan un tiempo de vida más grande que un CA subordinado.
Al estar offline el CA estará menos expuesto a riesgos y vulnerabilidades

 

Posteriormente deberemos crear una nueva clave Privada (podemos utilizar una existente si es que la tendríamos) 

 

 

En la siguiente ventana deberemos seleccionar el proveedor criptográfico, la longitud de la llave y el tipo de hash para firma de certificados que se utilizará

 

Luego introduciremos un nombre común para el CA, el sufijo y el Common Name (que generalmente es el mismo del equipo). Luego haremos clic en Next 

 

En la siguiente ventana deberemos el tiempo de validez de los certificados que emitirá este CA. Como es un CA Raíz yo le puse 20 años 

 

Luego deberemos seleccionar la ubicación de la Base de Datos y los logs del CA.

 

Por último deberemos seleccionar Configure para concluir con la configuración (podemos ir atrás para corregir o cambiar algunos de sus parámetros mostrados en resumen) 

 

 

Posteriormente deberemos volver a Server Manager y seleccionaremos nuevamente Add Roles and Features Wizard y seleccionaremos Active Directory Certificate Services y agregaremos los demás servicios necesarios

 

 

 

Luego en Server Manager, Tools podremos observar las nuevas herramientas instaladas. Listas para configurar y utilizar

 

 

En los siguientes post veremos cómo utilizar estas herramientas.

 

Espero les haya sido útil.

 

Saludos