TAGS
Este artículo no está destinado a describir la configuración del laboratorio final. En cambio, la atención se centra en un entorno de laboratorio que se pueden puso de pie rápidamente y fácilmente como una herramienta de aprendizaje. La mejor manera de aprender acerca de las redes de computadoras y la seguridad es tener un laboratorio casero. Lo bueno es que una casa de laboratorio ya no requiere de varios equipos físicos como lo hizo en el pasado. La virtualización permite que cualquiera pueda tener un ordenador con un procesador decente y suficiente memoria RAM para crear un entorno de laboratorio sin ser demasiado compleja. Por otra parte, es posible construir un entorno Windows a un costo mínimo para la prueba.
El Laboratorio de alojamiento
La nube:
Amazon AWS, Microsoft Azure, y otros proporcionan la capacidad de instalar y configurar máquinas virtuales en la nube que es muy útil cuando se viaja desde el laboratorio está disponible y accesible desde cualquier lugar (quizás ahorro de energía en el hogar).
El servidor:
Tengo amigos que compran servidores de edad de diversas fuentes de Internet (ebay, etc) a un descuento enorme y se ejecutan aquellos con matrices (potencialmente) masivas de disco duro. El gran inconveniente es el consumo de energía (y factura de energía asociada). Los componentes asociados son generalmente más caros, aunque lo hacen durar más tiempo.
La estación de trabajo:
Este es mi preferencia - a construir / comprar un sistema de tipo estación de trabajo pesado con un procesador Core i7. Le recomiendo usar un SSD como unidad de sistema operativo principal. También muy recomendable es el uso de un SSD separado para los archivos de máquina virtual. Los SSD son exponencialmente más rápido que los discos duros tradicionales y la diferencia es obvia cuando se ejecuta un laboratorio en ellos. Por ejemplo, mi equipo de laboratorio tiene 2 unidades SSD: una unidad C: y una unidad D:. Puedo construir una nueva máquina virtual en ~ 7 minutos. Instalación de un nuevo servidor de Windows desde un archivo ISO en la unidad C: (SSD) realiza ~ 12 minutos. Además, el servidor de máquinas virtuales arrancar desde casi al instante! Es extremadamente rápido!
La clave consiste en equipar el equipo de laboratorio con tanta RAM como sea posible. Mi recomendación es de 16 GB, como mínimo, 32 GB prefiere, con más de que incluso mejor! Lo que importa en el sistema:
También considero unidades externas tradicionales duros (1,5 TB y mayores) para copias de seguridad de laboratorio VM, aunque tiendo a mantener los archivos ISO del sistema operativo y los archivos de plantilla de máquina virtual OS (sistema operativo) Sysprep'd máquinas virtuales en un SSD para la velocidad máxima de instalación.
virtualización
Hay varias plataformas de virtualización disponibles en el mercado. Teniendo en cuenta que mi carrera ha consistido en la plataforma de Microsoft y el ecosistema, Hyper-V es la elección obvia para mí. VMWare es el gorila de 100 libras en este espacio, así que si no está enfocada de Windows, esto puede ser la mejor ruta para usted. Tenga en cuenta que tanto la tecnología Hyper-V y VMware tienen un * libre de virtualización que ofrece: y (anteriormente VMware ESXi). Hay otros como que se instalan en la parte superior de un sistema operativo existente.
* "Libre" es relativo y debe vuelva a comprobar lo que realmente significa la licencia. Yo no soy abogado (IANAL) y esta información es libre, por lo que no se dan garantías.
Opciones de entorno de laboratorio Directorio Activo
Obviamente hay muchas más opciones que los pocos que describo aquí, pero quiero llamar a éstos hacia fuera para ayudar a aquellos que tratan de averiguar qué es lo mejor para ellos.
Yo uso Windows 7 en el cliente (estación de trabajo) si yo no estoy probando algo de Windows 8 o Windows 10 específica. Tiendo a correr dos controladores de dominio (DC), uno con Windows 2008 R2 y el otro de Windows 2012 R2 para poner a prueba cuestiones específicas del sistema operativo. software beta está segmentada en su propio entorno para aislar problemas beta.
Configuración básica de Directorio Activo Laboratorio de Medio Ambiente:
Esta es la configuración básica que soporta la mayoría de los escenarios de prueba. La mayoría de los escenarios de seguridad que prueba requieren sólo un único DC y en el cliente (estación de trabajo).
Estándar de Active Directory Configuración de entorno de laboratorio:
Esta es mi configuración de laboratorio estándar que soporta un escenarios de prueba expandido. Al tener un DC que ejecuta Windows Server 2008 R2 y otro DC que ejecuta Windows Server 2012 R2, que permite realizar pruebas de dos sistemas operativos diferentes CC. Acabo cierro la que yo no estoy probando (por poco tiempo) y luego de pie de nuevo cuando haya terminado.
Configuración del directorio ampliado entorno de laboratorio activo:
Esta es mi configuración del laboratorio ampliado que soporta un varios escenarios de prueba, más avanzados. Corro tres países en desarrollo que apoyan un bosque de AD de dos dominios, así como dos sistemas operativos para servidores diferentes y dos sistemas operativos clientes diferentes.
Siendo realistas, usted puede conseguir más elegante que esto añadiendo un controlador de sólo lectura de dominio (RODC), la configuración de los países en desarrollo en diferentes subredes asociadas a diferentes sitios, añadiendo más variedad OS, la instalación de las aplicaciones empresariales comunes como SCCM, SCOM, Exchange, SQL, SharePoint , etc.
Laboratorio de Sistemas Operativos VM
Microsoft solía tener "TechNet Plus", que proporciona todos los sistemas operativos y la mayoría de las aplicaciones de Microsoft por $ 350 el primer año y $ 250 para las renovaciones. Este fue un gran acuerdo que Microsoft eliminó como una opción hace unos años. Microsoft suspendió TechNet Plus a favor de un enfoque de la nube que es. El Centro de evaluación de TechNet proporciona una ventanilla única para poner a prueba los productos de Microsoft (con laboratorios virtuales pre-construidos!) Y tiene versiones de prueba de productos (normalmente 180 días) para descargar. Esta es la mejor opción si usted no tiene dinero para gastar en las opciones de MSDN. Para obtener más información detallada sobre los productos de Microsoft, el es una gran cantidad de recursos - creo Khan Academy para productos de Microsoft.
El explica los beneficios de cada nivel de suscripción.
Es la opción que cubre todo, proporcionar versiones de desarrollo / pruebas de software, Visual Studio, Visual Studio Online, Windows Phone y almacén de cuentas dev, Microsoft Office Professional Plus 2013, e incluso un desarrollador de suscripción de Office 365. También recibe un Windows Azure crédito de $ 100 mensuales. La cuestión es que esta suscripción cuesta $ 6.000 para el primer año a $ 2,500 renovación / año. Usted conseguir casi todo con esta opción y debería hacerlo por más de 6 mil dólares el primer año. He oído que corren ~ $ 2500 para 2 años (varios amigos comprado MSDN de ellos y no tuvimos problemas), pero, como siempre, el comprador tenga cuidado.
es una escala reducida, opción más barata (~ $ 1.200 / año) que incluye sistema operativo y la mayoría de los productos de servidor (no incluye productos de Microsoft Office). Lo hace también incluye Visual Studio y Windows Azure Online crédito de $ 100 mensuales, por lo que esta es la opción más rentable para el sistema operativo de Microsoft y el trabajo de desarrollo / pruebas servidor. Si quieres pasar a ser una obra de caridad, las plataformas de MSDN gotas en precio a [link CDW].
corre $ 800 / año, aunque como su nombre indica, es sólo sistemas operativos ...
Si usted tiene una empresa, son un socio de Microsoft, y pagar ~ $ 500 para el, se obtiene 1 - 10 licencias para aplicaciones cliente (Office, Visio, etc), Windows estación de trabajo y servidor de OSS, y los servidores (Exchange, SQL, SharePoint) . Aunque las licencias para la mayoría de los productos de servidor se limitan a 1 instalar.
Hay una historia mejor de licencia de Microsoft, si usted es un estudiante. Echa un vistazo a donde se puede obtener una gratis.
Todos los planes y precios están sujetos a cambios.
NOTA: Si usted va la ruta de prueba del producto, la versión de prueba sólo es bueno para los 180 días. Sin embargo, ejecutar "slmgr.vbs -rearm" de una ventana de comandos como administrador extiende el ensayo de 30 días. Puede "rearmarse" Windows dos veces de esta manera lo que significa que el juicio es bueno para un total de 240 días después de lo cual usted tendrá que empezar de nuevo.
La gestión de las máquinas virtuales Lab
La mayoría de las plataformas de virtualización permiten la creación de un "interruptor" virtual en el que la comunicación de red puede ser limitado y aislado. Esto asegura que un entorno de laboratorio no se puede comunicar con la otra.
Hay dos enfoques diferentes para OS laboratorio construye. Uno de ellos es para realizar una instalación de Windows (cliente o servidor OS) y luego se ejecuta con la opción de generalizar. Esto establece Windows a un estado similar al justo después de la instalación se ha ejecutado garantizar una información específica cualquier ordenador se borra y se genera en el próximo arranque. Después de ejecutar Sysprep, apagar la computadora y guardar el archivo de VM. Ahora se puede utilizar como el "punto de partida" para cualquier nuevo sistema operativo instalar (la misma versión del sistema operativo). La concesión de licencias se restablece mediante Sysprep (SkipReam no restablece los datos de licencias).
Una vez instalado el VMS y configurarlos a su gusto, es importante hacer copias de seguridad de los datos. ¿Cómo se hace esto depende de la plataforma virtual, pero en general me parece que es mejor para exportar los datos de máquina virtual para facilitar su posterior importación. Me suelen copia de seguridad de máquinas virtuales después de hacer cambios significativos en el entorno de laboratorio (mi línea de base), así como antes de ejecutar cualquier ataque con "herramientas de hackers."
No apague algunos controladores de dominio durante un período prolongado de tiempo. De que estén apagados o tienen todos ellos en. Si usted necesita probar un escenario que implica apagar todos los DC, excepto uno o dos, asegúrese de que todos están en al mismo tiempo para replicar y después de que estén apagados. La ley de Murphy: Solución de problemas de Active Directory en un laboratorio a veces puede parecer más compleja que en la producción.
Especificaciones VM
La mayor laboratorio de máquinas virtuales sólo requieren una sola CPU virtual (CPU virtual) y yo normalmente establece cada disco duro virtual (VHD / VHDX en Hyper-V) de 250 GB que se expande dinámicamente (sin ningún tipo de problemas de rendimiento real).
Lab VM tamaños de disco (después de la instalación y configuración):
Obviamente, el espacio en disco VM no se aproxima al 250 GB fijado para los discos duros virtuales, pero eso es simplemente el tamaño máximo para el VHD. Esto proporciona espacio adicional si es necesario en el disco duro virtual.
configuración de RAM toma un poco más ajustes. Memoria dinámica (y) simplifica este ya que se puede configurar la memoria RAM de arranque de ser algo así como 2 GB (la mayor parte de mi laboratorio máquinas virtuales están situados a 2 GB de RAM para la puesta en marcha). Tras el arranque, el sistema operativo VM se instala en una cantidad menor. Aunque me he dado cuenta que Windows 8 / 8.1 y Windows 10 lo hacen mejor con 3 GB de RAM para la puesta en marcha. Cualquier sistema operativo que no tiene extensiones de virtualización (o) por lo general no son compatibles con estas características, por lo que la memoria RAM será la misma mientras el sistema está encendido (por lo general no son de Windows VM). Obviamente, cuanto más memoria suministrada a la máquina virtual, más rápido se opera (en términos generales), así que no hambre de las máquinas virtuales de memoria a menos que tenga que hacerlo. La mayoría de las máquinas virtuales de Windows corro asentarse en el uso de alrededor de 700 MB de RAM para 1,500MB y por lo general más nuevos sistemas operativos Windows lo hacen mejor con más memoria RAM.
La promoción de los controladores de dominio
Con Windows Server 2008 R2 y los sistemas operativos Windows para servidores de más edad, DCPromo se utiliza para promover un servidor miembro a controlador de dominio. A partir de Windows Server 2012, el cmdlet de PowerShell Install-ADDSForest crea un nuevo bosque e instalar-ADDSDomainController se utiliza para añadir un nuevo DC a un dominio existente. Install-ADDSDomain crea un nuevo dominio en un bosque existente.
Instalar los módulos apropiados:
Añadir WindowsFeature-AD-Domain-Servicios
Add-WindowsFeature RSAT-ADDS
Crear un nuevo bosque mediante la creación de la primera CC en el bosque:
Import-Module ADDSDeployment
$ SafeModeAdministratorPasswordText = '& P @ ssw0rd2013 &' $ = SafeModeAdministratorPassword ConvertTo-SecureString -AsPlainText $ SafeModeAdministratorPasswordText -Force
Install-ADDSForest -CreateDNSDelegation: $ False -DatabasePath "c: \ Windows \ NTDS" -DomainName -DomainMode 'Win2012' "LAB.ADSecurity.org" -DomainNetbiosName "ADSECURITYLAB" -ForestMode -InstallDNS 'Win2012': $ verdadera -logPath " C: \ Windows \ NTDS "-NoRebootOnCompletion: $ falsa -Sysvolpath" C: \ Windows \ SYSVOL "-Force: $ verdadera -SafeModeAdministratorPassword $ SafeModeAdministratorPassword
Añadir otra CC a un dominio existente:
Import-Module ADDSDeployment
$ SafeModeAdministratorPasswordText = '& P @ ssw0rd2013 &' $ = SafeModeAdministratorPassword ConvertTo-SecureString -AsPlainText $ SafeModeAdministratorPasswordText -Force
Install-ADDSDomainController -NoGlobalCatalog: $ falsa -CreateDNSDelegation: falsa -Credential (Get-Credential) -CriticalReplication $: $ -DatabasePath falsa "C: \ Windows \ NTDS" -DomainName "LAB.ADSecurity.org" -InstallDNS: $ verdadera - LogPath "C: \ Windows \ NTDS \ Logs" -SiteName "predeterminado-primer-sitio" -SYSVOLPath "C: \ Windows \ SYSVOL" -Force: $ verdadera -SafeModeAdministratorPassword $ SafeModeAdministratorPassword
Añadir un nuevo dominio de un bosque existente mediante la creación de la primera CC en el dominio:
Import-Module ADDSDeployment
Install-ADDSDomain -Credential (Get-Credential) -NewDomainName "NIÑO" -ParentDomainName "LAB.ADSecurity.org" -InstallDNS -CreateDNSDelegation -DomainMode Win2003 -DatabasePath "C: \ Windows \ NTDS" -SYSVOLPath "C: \ Windows \ SYSVOL "-logPath" C: \ Windows \ NTDS \ Logs "
Nota: Estos comandos AD DCPromo PowerShell están diseñados para guiar, no para ser utilizado pie de la letra. Utilizar Get-Help con el cmdlet deseada para identificar los parámetros adecuados.
Mi entorno de laboratorio "ADSecurity.org"
Mi entorno de laboratorio tiene varias configuraciones diferentes que se ejecutan simultáneamente. Tengo tres hosts de Hyper-V, cada uno con Core i7, 32 GB y un disco SSD de 256 GB. Dos de ellos se ejecutan Windows Server 2012 R2 y los terceros carreras.
En los dos anfitriones 2012 R2 Hyper-V, corro varios entornos de AD de laboratorio para probar una variedad de escenarios de prueba (incluyendo las variaciones de lo que he descrito más arriba). Normalmente un host de Hyper-V contiene mi laboratorio "estable" con las pruebas de VM largo plazo (incluida) y la otra tiene entornos de laboratorio más a corto plazo para la prueba rápida explotar escenarios de seguridad y validación de ideas / escenarios.
El host que ejecuta Hyper-V alberga máquinas virtuales con un servidor 2016 del bosque de Windows con Windows 2016 y de Windows miembros de los servidores de 10 clientes.
Automatización de laboratorio
Yo uso scripts de PowerShell personalizadas para hacer la mayor parte del trabajo para mí. Voy a publicar estos scripts en mi repositorio GitHub para su uso en un futuro próximo; sin embargo, deben ser considerados scripts de ejemplo y se utilizan sólo como un punto de partida para la automatización de su medio ambiente.
Comandos comunes de solución de problemas de Active Directory
DCDiag / c / v / e / fix /f:c:\DCDIAG.Log Ejecutar una prueba completa contra todos los DC en el bosque con el registro detallado
DCDiag replicación pruebas relacionadas:
NLTest / sc_query: DNSDomainName
Compruebe canal seguro
NLTest / sc_verify: DNSDomainName
Verifica canal seguro
NLTest / dsgetsite
Compruebe sitio de la computadora (también comprueba canal seguro)
Kllist -li 0x3e7
Lista de entradas de Kerberos para la cuenta de equipo
RPCDump
Muestra los puertos de replicación de RPC
portqry
Correr contra el puerto 135 para ver los puertos RPC mapeadas.
Repadmin / SyncAll / A / E / P Force una sincronización de replicación bosque lleno de todas las particiones de "empujar" los cambios fuera de la toma DC el comando se ejecuta en.
Repadmin / options *
Compruebe si está configurado correctamente las DC (Opciones)
Repadmin / replsummary
chequeo de la amplia replicación del bosque
Repadmin / KCC *
Fuerzas KCC se ejecute en todos los países en desarrollo
Repadmin / KCC / sitio: NOMBRESITIO
Fuerzas KCC para ejecutarse en todos los DC sitio especificado
repadmin / ServerName removelingeringobjects ServerGUID DirectoryPartition / advisory_mode
Repadmin / bind
Compruebe la conectividad de RPC
NOTA: Si LinkValueReplication = NO, entonces es funcional Modo Windows 2000 del bosque. Repadmin / cola <DCNAME>
Ver cola de replicación o mostrador Perf: NTDS_DRA pendientes de replicación sincronizaciones
Repadmin / showreps
Repadmin / showrepl / v
Información sobre los asociados de replicación - NUNCA muestra replicada DC
Repadmin / showutdvec
Información sobre el NC-arriba-a dateness vectorial
Repadmin / showconn
Información sobre el objeto de conexión
Repadmin / showsig
Muestra invocationID y Jubilados Invids
Repadmin / siteoptions NOMBRESERVIDOR / sitio: NOMBRESITIO Win2k3_Bridges_Required
Cuando BASL está desactivada, esta opción configura el sitio entre sitios Mesaging para desarrollar la matriz de costos entre sitios útiles para la DFS. Repadmin / showobjmeta <DNObjeto>
Ver historial del objeto dC
Ipconfig / all
Ping ##. ##. ##. ##
###### Nslookup. ###
Directorio de Puertos comunes activos utilizados:
Windows Server 2008 (y posteriores) DCS utilizan IANA rango de puertos RPC: 49152 - 65535
.
