none
DHCP WINDOWS SERVER 2003 STD. RRS feed

  • Pregunta

  • Amigos, ojala alguien me pueda ayudar. Tengo un Lan con aproximadamente 600 dispositivos conectados (pcs), estoy habilitando DHCP, pero me surgio la siguientes dudas :

    - RESERVAS: se podra reservar toda la subred, por un tema de seguridad, es decir, cada una asociada a su mac. Por lo que entiendo, siempre asignaria la misma ip a la mac especificada.

    No se si podra o habra alguna otra alternativa, cosa de responsabilizar a cada usuario con su maquina y evitar la asignación de ip a intrusos.

    ¿o habra alguna otra forma (macfilter*.dll)?

    Ojala me puedan colaborar, desde ya mis agradecimientos.

     


    Amigable
    martes, 14 de julio de 2009 21:31

Respuestas

  • Itacom,

    registrando todas las entradas de tu excel en las reservas del dchp controlas TODOS tus equipos de red incluso lo usuarios móviles y como bien dices con una GPO general quitas a tus usuarios la posibilidad de ver las propiedades del TPI/IP de las conexión de red local usada en la red interna. Pero si los usuarios se pueden cambiar la ip, ¿son administrador de la máquina?

    Saludos
    elEdu
    • Marcado como respuesta Itacom viernes, 14 de agosto de 2009 21:13
    lunes, 27 de julio de 2009 9:28

Todas las respuestas

  • Hola que tal

    En este caso no veo mucho la necesidad de utilizar el servicio de DHCP por que no administras los equipos asignando las IP de forma manual suena un a poco de trabajo verdad, pero a fin de cuentas terminaras haciendo el mismo trabajo al momento de realizar las 600 reservaciones en este caso tu contarias con toda la administracion de las IP's asignadas a cada PC, User, Printer etc.. y no dependerias de un equipo corriendo el servicio DHCP que suponiendo que fallase necesitarias tener al menos 2 servidores como DHCP para garantizar la disponibilidad del servicio.

    Valida bien los pro y los contra y toma tu mejor desicion


    Saludos
    Ruben Rosales Matamoros MCSE + M / MCTS
    miércoles, 15 de julio de 2009 23:01
  • Ruben
    Gracias por tu respuesta.
    No se si me exprese bien, pero el problema que tengo es que actualmente las ip se asignan manualmente, por un "problema de seguridad", pero como tu mencionas es un trabajo de locos, todas las semanas se producen problemas debido a conflictos de ip, por mal uso de las mismas, ademas que esta asignanción se controla a trave de una simple planilla excel.
    La idea de implementar el DHCP es para evitar tal problema y otros, sobretodo en la administración de las mismas.
    La consulta va por el tema de asignación, al habilitarlo uno puede determinar el tiempo de asignación de la ip, pero no se si puedo controlar que algun usuario coloque la ip de forma manual y cause conflicto, ademas de tener bien determinado el usuario encargado de tal dispositivo y/o ip.
    Se que junto al DHCP puedo utilizar las gpos para restringir algunos atributos del SO, como por ejemplo la posibilidad de cambiar la ip, pero que pasa si llega un usuario movil y asigna una ip validad de mi red, puedo controlar esto.
    Espero que me puedas entender, si requieres mayores antecendentes me lo indicas, haber si me puedes colaborar para poder llevar a buen termino esta situación y sirva de ejemplo para otros.
    Desde ya reitero mis agradecimientos por tu colaboración y me encuentro a tu disposición.


    Amigable
    sábado, 18 de julio de 2009 20:32
  • Hola que tal compañero

    Claro que te ayudaremos y veras que encontraremos solucion a este detalle, bien ahora analizaremos tus objetivos, uno de ellos tener una administracion controlada en base a las direcciones IP asignadas, controlar los permisos de los usuarios en base a directivas GPO para que estos no puedan utilizar o modificar parametros especificos del OS.


    Propuesta administracion mediante IP's estaticas

    En verdad yo te recomiendo que sigas administrando tus equipos mediante IP's estaticas, ya que el implementar la solucion DHCP seria realizar el trabajo de manera doble y tambien dependiendo de la arquitectura de tu red pudiese complicarse un poco mas si no tienes bien definido el funcionamiento del DHCP, en cambio ahora ya cuentas con un 70 u 80 % de tu objetivo ya realizado.

    1.- cuentas con tu plantilla de Excel, correcto nos servira

    2.- Puedes controlar los permisos de los usuarios mediante directivas o politicas GPO para que no puedan modificar las propiedades de la conexión de redes, sin necesidad del DHCP puede ser de forma local o mediante el Active Directory yo recomiendo que crees el grupo o grupos necesarios para que a su ves les asignes una plantilla con las reestricciones que creas convenientes donde estipules que permisos tendran

    Prácticas recomendadas para permisos y derechos de usuario

    http://technet.microsoft.com/es-es/library/cc782677(WS.10).aspx

    Plantillas de seguridad predefinidas

    http://technet.microsoft.com/es-es/library/cc787720(WS.10).aspx

    Se recomienda crear una plantilla de seguridad nueva y dejar intactas las predefinidas para hacer esto mas facil realizalo desde tu controlador de dominio ya que es donde importaremos la plantilla de seguridad al GPO muy bien el procedimiento es el siguiente:

    Definir una plantilla de seguridad

    http://technet.microsoft.com/es-es/library/cc738340(WS.10).aspx

    Una ves creada nuestra plantilla y despues de guardarla con un nombre con el cual la identificaremos, podremos editarla para cambiar los atributos necesarios en base a nuestras necesidades, te dejo una lista de los atributos que puedes modificar en tu planilla de seguridad seguido de el procedimiento para editar nuestra plantilla de seguridad

    Atributos que puedes modificar

    http://www.joacomputacion.com/?q=node/109

    Personalizar una plantilla de seguridad predefinida

    http://technet.microsoft.com/es-es/library/cc737422(WS.10).aspx

    Ahora solo queda aplicar la plantilla de seguridad a nuestra unidad o unidades organizativas donde se encuentran nuestro usuario o grupo de usuarios al cual queremos aplicarle la politica.

    Importar una plantilla de seguridad a un objeto de directiva de grupo

    http://technet.microsoft.com/es-es/library/cc780557(WS.10).aspx

    Con esto finalizamos los requerimientos necesarios para evitar que los usuarios modifiquen ciertos atributos de sistema en los cuales pudisen afectar el funcionamiento del mismo, veras con estos ejemplos de la platilla de seguridad le puedes sacar aun mas provecho y tener mejor administrados a tus usuarios, de igual manera por si decidieras implementar la solucion DHCP en tu empresa te dejo los siguientes enlaces donde se explica como hacerlo.

    Lista de comprobación: Instalar un servidor DHCP

    http://technet.microsoft.com/es-es/library/cc759445(WS.10).aspx


    Prácticas recomendadas de DHCP

    http://technet.microsoft.com/es-es/library/cc780311(WS.10).aspx


    Lista de comprobación: administrar un servidor DHCP

    En la siguiente tabla encontrará las acciones adicionales que puede realizar para administrar el servidor DHCP, según la configuración de la red.

    http://technet.microsoft.com/es-es/library/cc787390(WS.10).aspx


    Espero esta informacion te ayude a solventar tu requerimiento y nos platiques como te fue.


    Saludos,


    Ruben Rosales Matamoros MCSE + M / MCTS
    lunes, 20 de julio de 2009 16:54
  • UUUffff Ruben

    Gracias, mil, excelentes tus comentarios, tengo bastante para estudiar, algunos enlaces ya los habia visto.

    Tu recomendación se agradece, pero te comentare, que existen varios motivos que he considerado para migrar a DHCP, si me permites, te los comentos, por tus posibles comentarios :

    - Al haber cambio de trama de subredes, (ya nos paso), el trabajo fue de chino, tener que pasar maquina por maquina, fue una locura. En cambio con DHCP, me imagino seria mas facil.

    - Migración de sistema operativo, nuestra demora de migrar de windos NT a 2003, se debio a un estudio preeliminar de todas las posibles fallas que se pudieran encontrar y la lista fue larga, por eso se dilato el tema.

    - La evolución de los SO, desde 2000 en adelante no estan complicada, sobretodo si se tiene bien configurado el dominio y centralizado.

    - El DHCP, va por el tema de lo que incorpora windows server 2008, NAP, que por lo que he visto estaria solucionando el problema que te presente al comienzo, que es tener mayor seguridad con las incorporaciones de dispositivos autorizados a mi red.

    - Ademas, es mi firme pensamiento, que con un solo pilar no se logra la segurida, si no son varios entrelazados, como DHCP, GPO, Anitvirus, etc.. por eso me permito comentar estos temas, con la firme finalidad de recivir comentarios y que ademas le puedan servir a otros colegas.

    Reiterando mis agradecimientos, sin pasar de patero (como se dice en chile), agradezco tus comentarios y estare a la espera de cualquier otro que pueda contribuir a finalizar de buena forma mi dilema.

    Afectuosamente

    Tu servidor

     

    Italo Lanino M.

     


    Amigable
    lunes, 20 de julio de 2009 19:35
  • Hola Italo

    Espero estes de lo mejor, leyendo tus comentarios y viendo que posiblemente implementes w2k8 para tu solucion DHCP y en base a tus necesidades esta opcion seria la idonea para realizar tu objetivo, tal vez en un principio nos falto enfocarnos un poco mas en la version del OS con la cual se trabajaria, y estoy de acuerdo contigo con w2k8 configurado de manera correcta en realidad se solucionaria tu dilema, ya que incorpora muy buenos metodos de seguridad ideales para tu servidor DHCP, no se si ya tengas realizado el analisis y la planeacion yo creo que en realidad cumple con todos los requisitos, seguidad NAP with DHCP enforcement, NAP Agent, Compliant computer, Health status, NAP health policy server, esto mas la seguridad en cuanto a permisos de usuario, control de accesos, politicas etc... cualquier usuario no valido o sin los permisos necesarios no podria accesar ni hacer nada.

    En realidad solo haria falta implementarlo en algun ambiente de pruebas o laboratorio e ir realizando las pruebas correspondientes en cuanto la funcionalidad y el nivel de seguridad del ambiente en base a las necesiades.

    una ves configurado, realizadas las pruebas y funcionando, pudes colocar el server dentro de tu red como un equipo de no produccion y realizar pruebas de comunicacion mas reales para evitar cualquier imprevisto, asignando un minimo de direcciones DHCP y validando que estas se entreguen al menos a un equipo PC de cada area previamente seleccionado para hacer esta prueba, esto con la finalidad de que el servidor este entregando y comunicandose de manera correcta a cada una de las areas de trabajo o sucrusales claves dividadas por algun router o firewall a las cuales estara dando servicio, una ves validado esto solo faltaria meterlo a produccion.

    y como tu bien lo comentas Italo, este tema nos servira a muchos compañeros que tal ves estan buscando implementar una solucion como la tuya


    Saludos, que estes bien


    Ruben Rosales Matamoros MCSE + M / MCTS
    martes, 21 de julio de 2009 14:23
  • Itacom,

    registrando todas las entradas de tu excel en las reservas del dchp controlas TODOS tus equipos de red incluso lo usuarios móviles y como bien dices con una GPO general quitas a tus usuarios la posibilidad de ver las propiedades del TPI/IP de las conexión de red local usada en la red interna. Pero si los usuarios se pueden cambiar la ip, ¿son administrador de la máquina?

    Saludos
    elEdu
    • Marcado como respuesta Itacom viernes, 14 de agosto de 2009 21:13
    lunes, 27 de julio de 2009 9:28