IP Security Monitor Console
Os Administrators podem usar o IP Security Monitor para confirmar se o IPSec está correctamente configurado. A consola mostra o número de pacotes que são enviados com os protocolos de segurança Authentication Header (AH) ou pelo Encapsulating Security Payload (ESP) e quantas associações de segurança e chaves foram geradas desde que o computador arrancou. A consola IP Security Console é uma MMC disponível no XP e no 2003.
L2TP/IpSec e VPNs
O T2TP/IPSec requer que uma infraestrutura de certificados ou uma preshared key sejam cedidas para emitir computer certificates a máquinas em vez de a utilizadores. Eles permitem que cada extremo da ligação possa autenticar os computadores envolvidos.
RRAS: IP Routing checkbox
A Enable IP Routing checkbox regula se o RRAS vai routear os pacotes IP entre um cliente remoto e as outras interfaces do RRAS server. Quando esta opção está seleccionada, um pacote de um cliente remoto pode chegar a qualquer host para o qual o RRAS server tenha uma rota. Esta opção está marcada por default! Desmarcando esta opção (Enable IP Routing) nas server propertoes vai restringir aos clientes remotos o acesso aos recursos que apenas existem no RRAS server. Desmarcando esta checkbox o cliente remoto vai perder o acesso aos outros computadores na rede mas não perderá o acesso ao RRAS server.
RRAS: Protocolos de Autenticação e Conexão
MS-CHAP v2 é um método de autenticação mútua que oferece encriptação de dados e da autenticação. Uma nova chave criptográfica é gerada em cada conexão e em cada direcção da transmissão. Está por defeito seleccionada em 2000, XP e 2003.
MS-CHAP v1 é um método de autenticação de uma via que oferece encriptação dos dados da autenticação e da conexão. A mesma chave de encriptação é usada em todas as conexões. Suporta 95 e 98.
PAP: é um método genérico de autenticação que não encripta os dados de autenticação. As user credentials são enviadas pela rede em plaintext. Não suporta a encriptação dos dados de conexão.
SPAP: é um protocolo de encriptação baixa que interage com Shivas. Não suporta a encriptação dos dados da conexão.
CHAP: É um modelo genérico de autenticação que oferece encriptação dos dados de autenticação pelo MD5 hash. É compatível com clientes não-MS.
Logons com UPN-Names
Os utilizadores só podem logar com UPNs quando existe uma Florest Trust. Uma External Trust entre duas florestas não será suficiente. Nesse caso, deve usar um UPN Name implicit. Alternativamente, podemos usar o pre-Windows 2000 logon name para logar.
CNAMEs
Um registo de tipo CNAME permite usar mais do que um nome para um só host. Isto pode simplificar a tarefa de ter na mesma máquina um ftp e um www. Por exemplo, ambos são registados como CNAMEs Rrs.
O ICS (Internet Connection Service) também inclui um DHCP Service
Quando se activa o ICS num computador, o endereço UP da local network interface muda para 192.168.0.1. O serviço DHCP oferece então endereços dentro do range 192.168.0.0/24. Se houver um DHCP na mesma rede este deve ser removido.
Os registos WINS-R no DNS
Quando configuramos o WINS lookup para uma forward lookup zone, um registo WINS resource record apontando para o WINS especificado na tab WINS vai ser adicionado à zone database. Quando se configura um WINS-R lookup para um reverse lookup zone, um registo WINS-R correspondente é adicionado à zone database. Isto vai facilitar a resolução de nomes NetBIOS a partir de um Domain 2000/2003 para antigos domains NT4.
VPNs e Lentidão de Navegação num Web Browser
Quando um utilizador se liga a uma VPN via RRAS e durante essa ligação navega na Internet via ISA interno de forma muito lenta, isso pode ocorrer porque no TCP/IP settings de cada VPN client connection está marcada a checkbox para “Make this connection the client default gateway”. Iso faz com que todo o tráfego para a Internet passe pelo VPN server. Desmarcar a checkbox vai impedir que isto aconteça.
DHCP e Telnet
É possível arrancar um DHCP service remoto com o comando dado via Telnet: “net start dhcp server”.
RRAS, Demand-Dial Routing e VPNs
Se nos conseguimos conectar a um RRAS via VPN, mas não conseguimos pingar nenhuma máquina da rede interna isso pode acontecer porque não está Enabled a “LAN and demand-dial routing”. Só assim conseguiremos ligar a rede remota à LAN.
Network Monitor
Para capturar tráfego de rede de forma a reduzir o tamanho dos pacotes capturados, capturando apenas packet headers e se fôr capturado um grande número de pacotes, reter todos no server sem esmagar os já capturados, devemos:
a. Aumentar o Network Monitor buffer size
b. Reduzir o Network Monitor frame size
DNS Delegation e Stub Zones
Uma Delegation ou uma Stub Zone vai permitir a um Domain DNS o forward de resoluções para um outro Domain. Uma Stub Zone é uma cópia parcial de uma zona que pode ser alojada num DNS Server e ser usada para resolver queries recursivas ou iterativas. As Stub Zone contêm os registos Start of Authority (SOA), que listam que servidor é autoritativo para uma dada zona; e os registos glue (A) Rrs que são necessários para contactar os servidores autoritativos de uma zona.
A Delegation é o processo de distribuir responsabilidade por Domain Names entre diferentes DNS Servers numa rede. Para cada domain name delegado, temos que ter criado pelo menos uma zona. Quantos mais Domains forem delegados, mais zonas terão que ser criadas.
NS records e os vários tipos de Zonas
Perante um conjunto de DNS Servers com Zonas:
Primary Zone (Active Directory-integrated)
Secondary ZonesStub Zone e
Conditional forwarding para <Domain>
Só temos que configurar na Tab de “Name Servers” da zona a replicar os NS dos Name Servers das Zonas Primary e Secondary, não os da Stub Zone, nem do Forwarding (este mais obviamente)
NS records e a configuração de Zonas Secundárias
Quando se adiciona um DNS Server a um domain, temos que adicionar um Name Server Record (NS) a essa zona para que este possa mapear o DNS Domain Name para os nomes dos hosts dos DNS Servers especificados no Domain Name.
Apagando uma Root Zone
Se queremos impedir que os clientes façam queries à Internet devemos configurar as Root Zones de forma a que tenham as suas próprias configurações, ou apagá-las de todo. Tipicamente configuramos um DNS Server para conter a sua própria Root Zone quando não queremos que os nossos servidores respondam a queries por nomes externos à nossa rede. Isto vai criar uma root zone vazia, tornando efectivamente o internal server um root server.
Configurando DNS Root Hints
Se temos um Internal DNS Root na nossa infraestrutura DNS, devemos configurar as root hints dos nossos servidores DNS internos para apontarem somente para os DNS Server que alojam o nosso root domain, e não para os DNS Servers que alojam os root domains da Internet. Isto vai impedir que os nossos DNS Servers internos enviem informação privada para a Internet quando tentam resolver nomes.
RRAS, NAT e Demand-Dial connection
Uma conecção Demand-Dial é uma conecção (tipicamente ligando à Internet uma LAN e formando uma WAN) que cria um Link quando os dados têm que ser enviados. A ligação Demand-Dial é tipicamente terminada quando não existe tráfico. Para permitir que os utilizadores se consigam sempre ligar à Internet temos que configurar a ligação demand-dial como persistente de forma a evitar que este problema ocorra.
Network Monitor em Dedicated Capture Mode
É possível correr o Network Monitor em Dedicated Mode de forma a garantir que máquinas saturadas (por exemplo, com o cpu a 95%) não perdam frames.
Porque apagaríamos o Cache.dns?
O ficheiro cache.dns contêm uma lista de todos os root servers da Internet. Se a rede onde está o DNS server não está ligada à Internet quando o DNS Server recebe um pedido de resolução para um hostname externo ele tentará conectar-se a um root server da Internet. Quando a conecção dá time-out, o DNS Server tenta contactar outro root server da Internet. O processo é repetido até serem contactados todos os root servers da cache.dns. Assim, a resolução de nomes fica muito lenta na rede interna. O problema pode ser resolvido apagando o ficheiro cache.dns.
Comentários Recentes