Continuación Apuntes MCTS 21-02-11
Propiedades de impresoras General: nombre con el que identificamos la impresora, ubicación, comentario. Preferencias de impresión Compartir: el nombre que aparece en la red. Procesar trabajos de impresión en equipos cliente. Controladores adicionales, compatibilidad con sistemas operativos. Puertos: especifica los puertos que tengo y sobre qué puerto tengo conectada la impresora, que puerto es el que maneja dicha impresora. Habilitar la cola de la impresora, no es la cola de impresión, este checkbox permite configurar los pool de impresoras. Un servidor de impresión y varios dispositivos de impresión (en un centro de impresión, tema de impresoras en varias plantas de edificios). Opciones avanzadas: siempre disponible (disponibilidad de impresoras) Prioridad: establece una política de envió de documentos. Controlador nuevo: actualiza el controlador Imprimir usando la cola para que el programa termine más rápido: Seguridad: permite gestionar los permisos de impresión. Tenemos 3: o Imprimir: permite el que todos puedan conectarse a esa impresora y enviar documentos a imprimir a esa impresora. o Administrar impresoras: control total de los permisos en la impresora. Concede principalmente gestionar todas las propiedades de la impresora, pausar y reiniciar la impresora, administrar cola de impresión, cambiar permisos de impresora etc. o Administración de documentos: concede el que pueda administrar los documentos que ha enviado a una cola de impresión, pausar, reiniciar cancelar. o Todo usuario que manda un documento a imprimir a una impresora por ser el CREATOR OWNER recibe el permiso de administrar única y exclusivamente la administración de sus documentos. Permisos especiales: desglose de los generales. Microsoft XPS Document Writer: XPS formato de documentos creado por Microsoft pero no dependiente de él. Es un formato independiente de plataforma de Windows. . Viene integrado con las versiones Windows Vista en adelante. La integración de XPS ya tiene una impresora de manera predeterminada preparada para imprimir cualquier documento desde cualquier programa al igual que las impresoras PDF. Te permite crear documentos XPS, con ello conseguimos esos archivos con esa extensión que se puede leer desde cualquier sistema siempre y cuando tengas ese visor para poder verlos. El formato es una apuesta de Microsoft para competir con PDF. Como XPS está basado en xml permite ventajas de ese lenguaje. A un usuario le facilitaremos poder enviar ese formato. Nuevo servicio denominado LPD Line Printer Daemon: nos permite que equipos basados en UNIX o que usan el servicio LPR Line Printer Remote, puedan imprimir en impresoras compartidas de nuestro servidor de impresión. Facilita compatibilidad con sistemas UNIX.
Cuando instalas este servicio LPD automáticamente se inicia un servicio llamado LPDSVC y en el firewall de Windows se habilita el puerto 515 para permitir las conexiones a este servicio. Solo se puede iniciar o detener, si se detiene el LPD también se detiene el LPDSVC y también habrá que iniciarlo más tarde. Rol Print Service; nos permite establecer la herramienta del servidor de impresión, habilitar el servicio LPD e Internet Printing, poder localizar impresoras mediante http. Se puede asignar impresoras a usuarios por directiva de grupo con la herramienta explicada antes. Pushprinterconexion.exe permite implementar impresoras por directiva de grupo para equipos que trabajen con versiones anteriores a Windows Vista. Windows Vista en adelante ya lo implementa.
Herramientas de clusterización Una serie de sistemas que ofrezcan disponibilidad de servidores o servicios, más cuando una organización va creciendo. Los sistemas de clusterización o balanceo de carga ofrecen disponibilidad y escalabilidad. A la hora de implementarlo vamos a ofrecerlo tanto hardware como software (RAID). Disponibilidad: el porcentaje de tiempo que un servicio o sistema se está ejecutando en la red. Se ofrece a través de mecanismos o sistemas que ofrezcan tolerancia a fallos tanto hard como soft para poder seguir ofreciendo esos servicios que ofrece un servidor. Escalabilidad: la capacidad que tiene un sistema para poder aumentar su actividad. Dentro de la escalabilidad tenemos dos conceptos. • Ampliación: capacidad que tiene un servidor o sistema para poder aumentar su carga de trabajo mejorando el hardware. • Escala salida: capacidad de poder aumentar el volumen de trabajo de mis servicios o servidores por medio de configuración de servidores adicionales. La incorporación de nuevos servidores ofreciendo el mismo servicio trabajando conjuntamente. Hay tres tipos de clusterización: Failover clustering, NLB (balanceo de carga), Round Robin. Failover Clustering: MSCS (Microsoft Cluster Service) en sistemas anteriores a Windows 2008. Es una solución en la que un grupo de servidores (como mínimo dos), comparten un almacenamiento de configuración e información para ofrecer de forma conjunta un determinado servicio. Todo servidor que pertenece a un cluster recibe el nombre de “nodo” y todos los nodos están conectados entre sí siempre de forma física. (a través de la red), así si uno de los nodos cae, lo que haría en principio el otro sería comenzar a ofrecer el mismo servicio. También están conectados de forma lógica a través de software. La comunicación que se establece entre los nodos de un clúster recibe el nombre de Failover, pero failoverclustering se conoce como solución activo/pasivo. La solución activo/pasivo significa que hay uno que siempre está funcionando mientras que el otro está a la espera de que haya algún error para ponerse a funcionar. Esta solución ofrece disponibilidad no balanceo de carga. Si ofrece un balanceo de carga relativo ya que se reparte de alguna manera los servicios, uno es activo para ciertos servicios y viceversa. No es un sistema que ofrezca servicios mucho mas rápidos ni impide que caiga un servicio, lo que nos aporta es que en el caso de caída de nodo, otro nodo ofrezca esos servicios. Cuando cae un nodo siempre hay un tiempo de interrupción.
Normalmente todos los nodos deben ser miembros del mismo dominio, misma versión e idéntico hardware a ser posible. Hay que tener claro el concepto de recurso: cualquier componente ya sea hard o soft que queramos clusterizar, con lo cual, por medio de recursos identificamos una dirección ip, lo que sea. Otro de los conceptos es el que se llama grupo de recursos: un recurso como tal no tiene vida propia, necesitamos que los recursos estén agregados a grupos y esos grupos son los que sirven para configurar las dependencias, osea, quien de los nodos va a ofrecer el servicio. Un grupo de recursos en clusterización es la unidad básica de ejecución, se podrá ejecutar en un nodo del clúster o en el otro, pero solo en uno. Lo bueno es crear múltiples grupos de recursos para distribuirlos entre los distintos nodos y así distribuir los servicios entre varios nodos con lo que sería una forma de trabajo similar a NLB. Otro de los componentes es el servidor virtual: en cada grupo de recursos lo que hace es englobar recursos (del tipo dirección ip, nombre de red, discos, servicios) con lo cual lo que estás consiguiendo es construir como un servidor virtual, ya que permites accesos a recursos bajo un nombre, en este caso, se tratará dicho nombre a través de la red como si fuera un servidor físico. Quorum: es vital para el funcionamiento del cluster. Todo cluster necesita un quorum que contiene toda la configuración del cluster, los registros, los cambios de configuraciones. Es el corazón del cluster y es toda configuración o cambio que se produzca en cualquier nodo, siempre va reflejada al Quorum. Hay varios tipos de configuraciones de Quorum. Shared Quorum: hay una maquina en la cual mantiene la configuracion de todo el cluster, un único disco para todos, si cae esa máquina se acabo el clúster. Es la configuración predeterminada que se suele establecer. Local Quorum: se utiliza para almacenamiento local. Cada nodo lo que tiene es una réplica del Quórum. En lugar de utilizar un disco compartido lo que hace cada nodo es en la ruta C:\Windows\cluster\mscs almacena los Quorum, por lo que no requiere de ningun disco que este compartido pero si un sistema de replicación para tener actualizado la configuración del Quourm. Los nodos normalmente deben tener dos adaptadores de red con el fin de crear entre los nodos una red paralela de comunicación independiente de la red de área local, aunque no es necesario lo suyo es que lo tengan para crear dos redes que se llaman o pública o privada. Publica: aquella por la que los usuarios acceden al clúster. La que tiene la configuración de nuestra área local. Privada: aquella red que está destinada a la comunicación entre los clúster. Se conoce como la Heart-beat. El fin de esta red es que los nodos puedan detectar si otro nodo a caído y poder identificar cuando se debe iniciar el balanceo de carga para uno de estos nodos tomar posesión del otro y seguir ofreciendo los servicios por la red. Los direccionamientos de la red privada no tienen por qué ser los direccionamientos de la red pública. Si utilizamos un único adaptador, la red pública y privada irían por la misma red, por lo cual, las difusiones de nuestra red pueden afectar a que un paquete de datos heartbeat y que un nodo coja los servicios de otro, tendríamos que configurar el tiempo de latencia del clúster. Split Brain: es un problema que aparece cuando tenemos un clúster con dos nodos y se produce un error total de la red o incluso un error porque estemos utilizando un único adaptador y significa que ambos nodos lo que harían es detectar que el otro ha caído a la vez y cuando lo detectan intentarían apoderarse de los recursos, con lo cual el Quorum es aquel que evita este problema, porque cuando un nodo intenta apoderarse de los recurso del otro lo que tiene que hacer es acceder al quorum e
informar de ello y este es quien determina a quien ofrecer dichos recursos. Puede pasar cuando no tienes quorum o tienes un sistema de quorum locales.
23-02-11
Failoverclustering es una caracterรญstica, a la hora de implementarlo tenemos que ir a caracteristicas no roles.Para trabajar con el tienes que estar en dominio y tener una cuenta con privilegios para administrarlo. NLB Network Load Balancing (Solucion para terminal server) Es una soluciรณn que ya estaba disponible desde NT, lo que nos permite es un sistema de alta disponibilidad de aplicaciones o servicios de servidor, vamos a poder despachar ciertos servicios entre varios servidores, cualquier nodo que forme parte del cluster va a poder ofrecer dichos servicios. Es una soluciรณn activo/activo, todos los nodos estรกn siempre en funcionamiento. No ofrece ninguna funcionalidad para replicar datos entre los distintos nodos que formen parte del cluster. La aplicaciรณn que se ejecute en un cluster tiene que estar instalada en todos y cada uno de los nodos que formen parte del cluster con la misma configuraciรณn o servicio. NLB si se produce una caida de la aplicaciรณn que no de la maquina, en este caso no informa, para el cluster nlb ese nodo sigue operativo aunque la aplicaciรณn haya caido, solo informa de la caida total del servidor. Si la aplicacion deja de funcionar en uno de los nodos pero este nodo sigue vivo, el cluster sigue contando con esa maquina. NLB no monitoriza servicios de Windows, ni ofrece nombres netbios, en su lugar lo que hace NLB es poner delante de todos los nodos una VIP (Virtual Internet Protocol) direcciรณn IP virtual. NLB no realiza un balanceo de la carga de trabajo en funciรณn a lo mal que estรก un nodo sino a la carga de red o solicitud que se hace a un determinado puerto. NLB nos permite crear agrupaciones de 32 nodos, vamos a poder crear varios cluster NLB de 32 nodos cada uno de ellos y balancear la carga por ejemplo con Round Robin. Un nodo puede pertenecer a distintos cluster cosa que en failoverclustering no. Desde el punto de vista del cliente el cluste NLB se le muestra siempre como un unico servidor que ofrece unos servicios. NLB lo que nos estรก permitiendo es principalmente garantizarte el balanceo de la carga de trabajo de red. Cuando un nodo cae en uno de los cluster NLB, lo que va ha hacer el cluster es repartir o reconfigurar el cluster para determinar quien tiene que ofrecer los servicios y esto se consigue por medio de lo que se conoce como la convergencia. NLB esta enfocado a aplicaciones WEB, firewalls, terminal services, servidores Radius, acceso remoto. Round Robin es una balanceo por turnos. Es una de las funciones de clusterizaciรณn enfocadas a trabajar con NLB. NLB utiliza para determinar que ha caido una maquina un algoritmo de mapeo de
conexiones que se encarga de realizar el mapeo de las conexiones entrantes al cluster, es decir, el balanceo de carga se hace de red, el algoritmo lo que hace es que permite a cada nodo del cluste realizar de forma rapida la decision de que tal paquete de datos va para este, este para este otro. El balanceo de carga en NLB depende de la configuración establecida conocida como afinidad, osea, el nodo al cual se va a enviar dicho paquete de datos. El balanceo se realiza en funcion a la carga de red y no a la carga que soporta una maquina. Todo paquete de datos entrante que se solicita a un cluster del nodo es atendido y examinado simultaneamente por todos los nodos que forman parte del cluster y cada uno de los nodos lo que hace es determinar que nodo del cluster tiene que atender dicho paquete de datos. Esta decisión se realiza de forma aleatoria por los nodos del cluster pero tomando como referencia la afinidad. Una vez que se realiza el mapeo las restantes peticiones de servicio que se hagan al cluster siempre serán atendidas por el mismo nodo y rechazada por los demás. Cada nodo tiene una tabla interna de mapeos, por la que conoce las peticiones que tiene que atender y las que tiene que rechazar, esa tabla se mantiene de forma indefinida hasta que se produzca algún cambio (error de alguno de los nodos) en ese momento se produce el proceso de convergencia que implica que todos los nodos miembros de nuestro cluster vuelvan a crear una tabla de mapeos incluso una nueva lista de los nodos que pertenecen al cluster. El proceso de convergencia permite al cluster reconstruir el cluster de nuevo y distribuir en este caso de nuevo otra vez el tráfico de red entrante (balanceo de carga de red). Para que un cluster funcione entre todos y cada uno de los nodos ha de enviarse una paquete denominado heart beat, estos paquetes se utilizan para determinar el estado de los nodos pertenecientes a un cluster ( para que sepan que están vivos) todo nodo esta vivo en el cluster cuando los demás nodos reciben sus paquetes. Si un nodo deja de recibir el paquete heart beat determina que el nodo ha caido y comenzaría la convergencia, los paquetes heart beat se envian por defecto cada segundo, es un paquete broadcast ( cada paquete es de 1500bytes) pero cuando dice una maquina que la otra no contesta cuando no recibe cinco paquetes de él. Como los paquetes son broadcast los nodos tiene que estar en la misma red porque si no, no pasarían el router. REGLAS DE PUERTO Definen que puertos de una máquina o de un nodo van a ser administrados por un cluster y como van a ser balanceados. Por defecto las reglas de puerto incluyen todos los puertos desde el 0 a 65535 pero lo suyo es definir multiples reglas de puerto que contengan uno o mas puertos que luego sean atendidos por un determinado nodo u otro y luego si queremos cada regla de puerto tendrá una afinidad. Se pueden crear hasta 32 reglas de puerto. Como un cluster NLB puede utlizar uno o varias VIPs quiere decir que nosotros vamos a poder configurar reglas de puerto para que afecten a una VIP u a otra. Todo puerto que no incluyamos en una regla de puerto será atendido por lo que se conoce como el nodo por defecto que suele ser el que primero define el cluster NLB. Si queremos que las conexiones de algún puerto sean rechazadas lo tendrás que meter en una regla de puerto con un filtrado para dicho puerto o indicarle en dicha regla que ese puerto está
deshabilitado. A la hora de definir y configurar las reglas de puerto hay que establecer varios parametros como: definir la ip virtual del cluster que va a atender dichos puertos, rango de puertos establecidos en esa regla. Rango de puertos es la especificación de los puertos a los cuales se les va a aplicar dicha regla, tendremos dos campos desde-hasta, si quieres poner el mismo en los dos campos. Otro de los parametros de configuración de una regla de puerto es lo que se llama protocolo, que nos va a permitir especificar si los puertos que vamos a atender son TCP o UDP o ambos. Por ultimo otra de las caracteristicas o propiedades que vamos a definir son la afinidad: que es una propiedad de regla de puerto ( afinidad o modo de filtrado) que es el modo en el que se va a balancear la carga de red entre los distintos nodos, es una propiedad de las reglas del puerto no del cluster, por eso dependen de los puertos que tu definas. Cuando vas a definir afinidades es necesario estudiar el tipo de peticiones que va a recibir nuestro cluster para definir el tipo de afinidad que le vamos a establecer. Si nuestro cliente se conecta a un proxy y estos proxy utilizan NAT utilizan una o varias direcciones externas. La afinidad nos permite amoldar NLB a cualquier tipo de acceso. Hay varios tipos de afinidad: NONE: el balanceo se realiza en funcion de la dirección IP y puerto de la conexión entrante. Este tipo de afinidad está enfocada a conexíones o aplicaciones que no mantiene estados, que no necesitas establecer una conexión constante, cada petición puede ser resuelta por cualquiera de los nodos de mi cluster. No hay ningun nodo que se apodere siempre de una entrada, es una de las mejores maneras de balanceo de carga pero hay que tener en cuenta que esta opción es eficiente pero no en aplicaciones que necesiten estado. HOSTMULTIPLE. SINGLE: este balanceo de carga se realiza en función de la dirección IP del cliente, con lo cual el balanceo de carga lo que hace es que siempre redirigira esa dirección IP al mismo nodo del cluster. Es recomendable si los servicios utilizan multiples puertos. Recomendable para los servicios de VPNs, garantizando que todas las conexiones de un mismo cliente sean siempre dirigidas a un cluster NLB, Tambien es recomendable para servidores WEB seguros por que necesitan conexiones ssl https. CLASE C: en esta afinidad lo que se tiene en cuenta son los bits significativos de una dirección IP, toda conexión de esa misma subred va ha ser atendida por un mismo nodo del cluster.
28-02-11 SCW Herramienta SCW o asistente para configuración de seguridad . Ya existia desde Windows 2003 Service Pack 1. Permite crear, editar, aplicar o revisar directivas de seguridad. Toda directiva de seguridad que se genere con esta herramienta siempre se almacenará en un archivo con extensión XML en la ruta
Windows/security/msscw/policies. La aplicacion de estas directivas permiten modificar servicios, valores del registro de windows, deshabilitar o habilitar servicios, crear reglas dentro del firewall de windows o generar auditorias. Podemos aplicar seguridad aplicada a la red. SCW cuenta con tres componentes: - Interface de usuario - Herramienta de linea de comandos SCWCMD - Base de datos de configuración Interface de usuario: herramienta que te guia graficamente para la configuración de directivas. Para poder trabajar con esta herramienta y poder aplicar, modificar o revertir directivas de seguridad antes tienen que haberse creado con esta herramienta. Herramienta de linea de comandos: nos permite analizar e incluso configurar varios servidores .
Base de datos: documentos XML que indican las funciones que ya hay implementadas en un servidor. Todos los archivos de la base de datos de configuracion se encuentran en c:windows/security/msscw/kbs. Herramienta enfocada a servidores.
DIRECTIVAS DE SEGURIDAD gpedit.msc Definen el comportamiento del sistema operativo en temas como su seguridad o su entorno de trabajo, o la gestión de los derechos que un usuario puede tener con respecto al sistema. Esta herramienta se queda corta, podemos configurar la directiva al momento, pero no permite analizarlo. Podemos trabajar a dos niveles, equipo y usuario. En equipo no te vas a dar cuenta de la diferencia que es trabajar en los dos niveles. Trabajar sobre equipo significa que toda configuración que tu estableces a este nivel afectará a cualquier usuario que use esa maquina, independientemente el usuario que sea. Trabajar sobre usuario lo que estableces es que toda configuración afectará a usuarios independientemente de la máquina que utilicen.
03-03-11 Dentro del mmc que hemos creado. Plantillas de seguridad: es un archivo de texto con extensión punto inf que contiene
todas las configuraciones de seguridad que vayamos aplicando o que queramos aplicar a una maquina. Donde se guardan c:\ Users\administrator\documents\security\templates pero se puede guardar donde quieras. Administrator es el usuario logado. Para crearlas con boton dcho crear nueva plantilla. Esta plantilla tiene: Directivas de cuenta: Directiva de contrase帽as Directiva de bloqueo de cuenta Directiva de Kerberos Directivas locales: Directivas de auditoria: habilitamos que el sistema pueda registrar sucesos que se produzcan, Asignaci贸n de derechos de usuarios. Opciones de seguridad. Registro de eventos: Conservar el registro de aplicaciones Conservar el registro de seguridad utilizar el registro de eventos en general Grupos restringidos: nos permiten crear grupos restringidos en las SAMs locales de las m谩quinas. Servicios del sistemas: ejemplo WSUS(sistema de actualizaciones automaticas) necesita windows instaler habilitado y con estos servicios se pueden dar. Registro: agregar claves del registro de windows y aplicar seguridad sobre ellas. Sistema de archivos: lo que podemos hacer es crear elementos en el sistema de archivos de los equipos. gpupdate /force actualiza directivas de seguridad recientes gpupdate /target directivas a nivel de equipo o usuario secedit permite configurar la seguridad de una maquina local (directivas de seguridad). escuchar grabacion
WSUS Windows Software Update Service Herramienta de administraci贸n de actualizaciones, nos garantiza que los productos que tengamos implementados en nuestra empresa asi como los so que tienen las maquinas de mi red cuenten con las actualizaciones de seguridad mas actualizadas de windows. Tambien nos permite revisar y probar esas actualizaciones antes de poderlas ofrecer en tu entorno. El implementar un WSUS esta enfocado a mejorar la seguridad de tu red. Reducimos el tiempo de inactividad del servidor. Podemos aprobar aquellos paquetes que queremos implementar en tu red corporativa no ofrecer a un cliente que instale la que quiera.
Herramientas que trabajan en el entorno de WSUS. 1. 2. 3. 4.
Windows Update Cliente de actualizaciones automรกticas. (windows update en panel de control) Servidor SUS MBSA Microsoft Baseline Security Analizer Analizador de linea base del sistema 5. Directivas de grupo
1 Windows Update, sitio web de microsoft que contiene un catalogo de todas las actualizaciones que tiene microsoft hasta el momento. 2 Servicio que implementan los sistemas operativos a partir de service pack que si no viene instalado se puede instalar mediante un paquete msi llamado WAU Windows Automatic Update. que lo que hace es descargarlas y determinar si la quieres instalar, cuando se conecta, si lo instala o no lo instala, etc... Se puede configurar.
MBSA herramienta que sirve para detectar vulnerabilidades de seguridad ya sea por ejemplo en sistemas operativos NT4.0 en adelante, o incluso buscar vulnerabilidades en servidores IIS, SQL o Internet Exchanges. Para poder implementar WSUS se necesitan ciertos requisitos: 1. Sistema operativo minimo W2003 sp1 en adelante. 2. Tener instalado Internet Information Service 6.0 o posterior. 3. NetFramework 2.0 4. Toda maquina cliente necesita el servicio de windows instaler habilitado e iniciado.
Para que una maquina puede tirar de WSUS necesita. 1. SO WXP sp2 en adelante.
Para servidores Windows 2000 para que puedan recibir WSUS tiene que tener sp4. Cuando trabajamos con WSUS necesita IIS porque lo que va a generar la implementacion de WSUS en IIS es un sitio web que simula windows Update y es donde tendran que conectarse los clientes para descargarse las actualizaciones que nosotros hayamos aprobado. Tambien nos ofrece ese sitio web una herramienta de administrador del servidor. Administrar WSUS desde dos formas. Herramientas administrativas o desde un sitio web que generar el WSUS y que accedemos cuando no estemos logados en nuestra maquina y queramos administrar nuestro WSUS. http:\\servidor wsus\wsusadmin Podemos hacer distribucion de actualizaciones por grupos de maquinas que antes no se podia, siempre eran a todas. Establecer reportes.
Windows update y WSUS maneja archivos ejecutables que se implementan en tu maquina que son. 1. Revisiones de seguridad 2. Actualizaciones criticas 3. Actualizaciones 4. Hotfix 5. Paquetes acumulativos de actualizaciones 6. Service Packs 7. Feature Packs
1 archivo que corrige vulnerabilidades de un sistema operativo o producto. 2 correccion de un determinado problema no relacionado con la seguridad. 3 corrige un problema especifico no relacionado con seguridad pero no es un problema critico, correcciones en el entorno de gestion de un producto etc. 4 correccion rapida, paquete que consta de varios archivos que solucionan un problema de ejecucion de un producto o servicio que se ejecuta en tu sistema y que no interrumpe el servicio que ofrece dicha maquina, arreglo en caliente. 5 una coleccion de todo lo anterior y microsoft lanza como oferta 6 conjunto de de revisiones de seguirdad, actualizaciones criticas, rapidas etc que han ido apareciendo desde que aparecio el producto. Tambien puedo aplicar cambios en el dise帽o del producto. 7 ejecutable que implementa una nueva version de caracteristicas de funcionalidad a un determinado producto o sistema operativo. Todos los archivos que tu WSUS baja para ofrecer a sus maquina de la red se guardan en WSUSCONTENT c:\WSUS\WSUSCONTENT de manera predeterminada. Nosotros vamos a poder realizar copia, es bueno ya que podemos cogerlo y llevarnoslo a otra maquina y ya tendra el servidor WSUS ejecutables con los que trabajar. WSUS una vez implementado lo bueno seria hacer un backup, de dos elementos importantes Elementos principales, Los METADATOS y los archivos de actualizacion. Los METADATOS se encuentran en la BBDD del WSUS que incluyen: La informaci贸n de configuracion del WSUS Los metadatos de actualizaciones incluidos los terminos de licencia de productos que va a implementar. Informaci贸n de los equipos clientes incluidas las actualizaciones que tiene implementado en ellos. La copia de seguridad se haria mediante la herramienta de copia de seguridad de Windows. WSUSCONTENT Tambien se puede hacer mediante el comando TRANSACT-SQL BACKUP wauclt.exe /detectnow indica al cliente que automaticamente se ponga en contacto con
el servidor WSUS de inmediato ( se haria mediante un script). Las actualizaciones tardan unos 20 min. Las directivas de grupo se actualizan cada 90 minutos, se suelen forzar con gpupdate. GPO directivas de seguridad a nivel de equipo, plantillas de seguridad --componentes de windows--windows update--configura actualizaciones automaticas y especificar la ubicacion del servicio windows update . nombre servidor http:\nombreservidorWSUS\selfupdate
EXAMEN 70-640 07-03-2011
Cualquier usuario en una red en la que inicia sesion necesita hacer uso de recursos de una red, necesita acceder a una carpeta compartida, a una impresora, a un servidor de aplicaciones, de archivos de bases de datos y poder utilizar esos recursos de la red. Como se encuentran esos recursos?, un servicio de directorio es ese servicio que se encarga de identificar todos y cada uno de los recursos de una red y hace que toda la información de la red este disponble para los usuarios, así, un usuario que busca una carpeta podrá encontrarla a traves del servicio de directorio que gestionará esa petición. AD es el servicio de directorio de Windows, AD es el servicio que dentro de tu red corporativa identifica los recursos de la red y gestiona los accesos a ellos. AD proporciona varias ventajas: Integración DNS 1. Escalabilidad 2. Administracion centralizada 3. Administración delegada. a: AD necesita de los servicios de DNS para utilizar sus nomenclaturas y crear una estructura jerarquica de localización de recursos. Emplea esa nomenclatura para identificar todos y cada uno de los recursos de una red. b: Al estar AD organizado en secciones nos van a proporcionar un sistema de almacenamiento que ofrece crecimiento, no limitado. AD sera capaz de ir identificando todos los nuevos recursos que vayamos agregando a la red y crecer según crece tu empresa. c: AD proporciona una herramienta al administrador capaz de gestionar de forma centralizada poder gestionar y administrar servicios de red, aplicaciones, recursos
desde una unica herramienta. Ofrece al administrador un control total centralizado de los recursos de tu red y el control centralizado de los accesos a estos. d: como la estructura del servicios AD esta gestionado en secciones, podemos gestionar quien o quienes van a poder administrar parte del servicios del directorio, dando autorización para poder realizar ciertas tareas. Cuando trabajamos con el servicio de directorio existen roles que están totalmente relacionados con AD: ADDS domine services ADLDS ADCS certificate service ADRMS ADFS federecion services Capaces de trabajar conjuntamente con el servicio de directorio. ADDS: Servicios de dominio de AD, gestiona o permite el control y acceso a los recursos. Gestiona la solución IDA. Identificacion y acceso, Esta diseñado para ofrecer un almacen centralizado de la administracion de cuentas de usuario asi como de recursos de la red. Proporcionando la autenticacion y validación de los usuarios. ADLDS: servicio de directorio ligero de active directory, es una miniversión de AD, un servicio de directorio independiente de AD pero capaz de trabajar conjuntamente a él. Es la version miniAD mínima que se conocía como ADAM active directory aplication mode. Este servicio se encarga de almacenar información de aplicaciones sin modificar para nada AD, la función es ofrecer multiples servicios de directorios para multiples aplicaciones y que ninguno de ellos interfiera con los demás incluso utilizando los mismos protocolos de acceso que AD como LDAP. No gestiona seguridad, solo almacenamiento de configuraciones.
ADCS: servicios de certificados de AD, (PKI), aquel rol que utiliza AD y proporciona PKI public Key infraestructure (toda la gestión de certificados). ADRMS: servicio de administración de derechos de AD, nueva tecnologia a partir de Windows 2008 que permite proteger información por medio de directivas de seguridad que se integran junto a la información y viajan con ella siempre ya sea dentro como fuera de mi empresa, aplica derechos de uso sobre información. Garantiza la integridad de la información (como pdf podemos leer pero no imprimir ni modificar) ADFS: servicio de federación de AD, permite gestionar relaciones de confianza entre aplicaciones web de distintos dominios o empresas.
AD se caracteriza porque tiene dos estructuras: FISICA Y LOGICA y dentro un conjunto de componentes. Lógica: es la que emplea el AD para porporcionar un metodo de diseño de organizacion logica. Física: se utiliza para hacer referencia a las comunicaciones físicas entre distintos dominios, sucursales, equipos etc... organiza la comunicacion fisica de la red. Dentro de las logicas tenemos varios componentes:
Objeto, Unidad organizativa, dominio, árbol, bosque y esquema de AD. Objetos: ejemplo, cuenta de usuario, cuenta de equipo, impresora, carpeta compartida o una UO. Es la estructura basica de administración de AD que representa un recurso de la red mediante una serie de atributos. Unidad organizativa: es un tipo de objeto dentro de AD que se utiliza para organizar otros objetos o incluso UO, pero tiene una diferencia con lo que se conoce como contenedores (containers). La diferencia es que un contenedor es creado de manera predeterminada por el sistema, no puedes crearlos ni eliminarlos, los contenedores no ofrecen administración ni seguridad. Mientras que una UO si la podemos crear, eliminar, administrarla y aplicar seguridad en ella. Dominio: unidad principal de la estructura lógica de AD, un conjunto de objetos que comparten una misma base de datos, unas mismas directivas de seguridad y las mismas relaciones de confianza con otros dominios. Para AD es su unidad de replicación de objetos. Un dominio es limite administrativo: las directivas aplicadas de seguridad a un domino no repercuten en otros dominios y no en dominios que formen parte de un bosque. Centralización de todas las cuentas de usuarios. Arbol: una estructura gerarquica establecida por un conjunto de dominios que comparten el mismo nombre DNS.( .com) microsoft.com, iberica.microsoft.com Bosque: limite para la información en AD, los bosques son independientes administrativamente hablando. Son los limites de la información. Conjunto de arboles de dominio que comparten una configuración de esquema comun del servicio de directorio. Contiene una instancia completa de AD, una base de datos completa de AD. Nomenclaturas que utiliza AD. Para la identificacion de objetos. UNC: recursos dentro da red \\ FQDN: nombre totalmente cualificado de dominio capaz de identificar recursos fuera de nuestro dominio www.google.com URL: http:\\fqdn fqdn mas servicio que se solicita a una maquina. LDAP: protocolo de acceso ligero a directorios, se utiliza en administración del servicio de AD para localizar recursos en su base de datos, el nombre completo LDAP de identificacion de recursos localiza un objeto en la bbdd de AD dentro de los objetos que lo contienen. CN=W7,OU,OU=EQUIPOS, OU=VENTAS,DC=DOMINIO,DC=COM
Esquema de AD : base principal de configuraciones basica de todos y cada uno de los objetos de AD, los pilares de configuracion de AD. Podemos crear un objeto usuario porque el esquema establece que puedo crear un objeto con una serie de caracteristicas. Estructura Fisica: tenemos varios componentes BBDD de AD, los sitios y los controladores de dominio. BBDD DE AD: es un archivo denominado NTDS.dit servicio de domino de NT que se encuentra en c:\Windows\NTDS. La bbdd de AD se divide en particiones, cada una de ellas almacena información de parte o completa de un domino o de un bosque. Las
particiones que contiene la BBDD incluyen la de esquema, particion de domino, partición de configuración y la particion de aplicación. Todo controlador de dominio tiene una BBDD, establecida en 4 particiones. Partición Dominio: contiene la información de todos y cada uno de los objetos de dicho dominio al que pertenece un controlador de domino que contiene esa base de datos. Un controlador de domino solo replica esta particion con los controladores de dominio que pertenecen a su mismo dominio. Partición de Esquema: contiene la estructura base y composicion de todos los objetos de todos y cada uno de los dominios de un bosque. El esquema es identico dentro de un bosque. Contiene la clase de objeto, que atributos tiene. Todo controlador de dominio de todo dominio de un bosque replica la información de esta particion con todos los controladores de dominio que existan en mi bosque. Partición de configuración: almacena en la BBDD de AD toda información referente a todos los controladores de dominio que existen en un bosque, asi como tambien informacion referente a que conexión existe entre ellos. Se conoce como la partición de la topología del bosque y es la que almacena las información de replicacion de los controladores de domino y comunicación entre ellos. Partición de aplicación: contiene información de objetos sin incluir información de seguridad, se utiliza para almacenar información de determinadas aplicaciones que utilizan AD para beneficiarse de su replicación, se replica con ciertos controladores de un dominio o del bosque. por ejemplo DNS. CONTROLADORES DE DOMINIO DC Toda máquina que ha sido designada para ejecutar el rol ADDS. Maquina promocionada con comando DCPROMO. Es el encargado de mantener el servicio de KDC (KEY DISTRIBUTION CENTER que gestiona la distribución de las claves Kerberos. Es el encargado de almacenar y replicar toda la información de la BBDD de AD. Almacena el NTDS.dit Almacena una replica del servicio de AD y es almacenado en los controladores de dominio en un sistema de particiones. Ofrece la solucion IDA. Identidad y Acceso. La solucion IDa se encarga de gestionar el acceso a recursos de la red proporcionando seguridad. Realiza varias tareas en un entorno de dominio, una de ellas es almacenar información de los usuarios, equipos, grupos u otros objetos en AD. Identifica cada objeto de forma única, cada objeto es una entidad de seguridad (para IDA), toda entidad de seguridad esta identificada por un conjunto de propiedades únicas como por ejemplo su SID, los grupos a los que pertenece. Almacena toda la informacion de una entidad de seguridad en una informacion unica que es su SID y es la identificación unica la que se utiliza para el acceso a los recursos. IDA se encarga de proteger la información trabjando junto a las DACL y a la LSA de cada maquina (Local Security Authority). Controla el acceso a los recursos. Determina el acceso que se le concede a una entidad de seguridad a un recurso por medio de los permisos. Autentica identidades, todo usuario que intenta acceder a un recurso de cualquier maquina de un dominio necesita ofrecer a dicha máquina información unica de dicho usuario con lo que esa información que se muestra al servidor y que es unica se tiene que verificar para poder validar el acceso al recurso. Rastreo de auditoria: la infraestructura IDA también lo que hace es guardar información de los usuarios que acceden, IDA ofrece mecanismos que registran las acciones que realiza una entidad de seguridad cuando accede a recursos. Un DC es ejecuta servicios de KDC se encarga de gestionar las claves.
TGT
09-03-11
La autenticación consta de dos pasos, ofrecer credenciales y validadarlas. El proceso de autenticación es el proceso de comprobar la identidad de algo o alguien para que pueda obtener un acceso. Inicio de sesion local: utiliza credenciales y esas se tiene que validar contra la SAM Security Account Manager. SAM local Inicio de sesión en dominio: un usuario es autenticado por medio de un controlador de dominio para poder tener acceso a los recursos del dominio o de cualquier dominio de confianza. Inicio de sesión secundario: se autentica por medio de un controlador de dominio, se puede tener acceso a recursos del dominio y de cualquier dominio de confianza. (run as). Los administradores pueden iniciar sesión en una cuenta no administrativa. Finalidad, realizar operaciones con privilegios que en principio no tiene el usuario, ejecutar como. Inicio de sesion de tarjetas inteligentes: se pueden utilizar tarjetas inteligentes para iniciar sesion solo en las cuentas de dominio. Se puede tener acceso a los recursos del dominio y de cualquier dominio de confianza. ADCS Winlogon: servicio responsable de administrar las interacciones del usuario en materia de seguridad que coordinan los procesos de inicio y cierre de sesión e inician en el shell del usuario. LSA: porporciona los servicios de autenticacion de usuario y administra la seguridad del sistema operativo. Además de proporcionar servicios interactivos de autenticacion de usuario. Kerberos: gestiona la autenticación, cifra las credenciales y las lanza a un DC, se las manda al KDC que proporciona al usuario una respuesta en concesion de vales TGT, cuando el usuario intenta tener acceso a un recurso de red, la sesion de usuario presenta el TGT al servicios de concesion de vales TGS en el controlador de domino, El tgs emite un vale de servios al cliente tambien denominado vale de sesion para el servidor en el que se encuentra el recurso, el vale de sesion contiene el SID de los grupos a los que pertenece el usuario. El cliente presenta el vale de sesion al servidor en el cual se encuentran los recursos, ese vale se utiliza para crear esa pertenencia a grupos. Los SID de la pertenencia a grupos se compara con los grupos a los que se les ha asignado permisos en la lista de control de acceso discrecional de recursos DACL. KDC: controlador de domino que utilizado junto a kerberos gestiona el proceso de autenticacion y validacion de inicio de sesion. Certificados x.509 v3: pack que guarda la información de certificados. NTLM: autentica usuarios y equipos mediante un mecanismo de desafio. Protocolo que se encarga de autenticar cuentas de usuario o servicios cuando tenemos sistemas anteriores a Windows 2000. Sitio. Herramienta base del sistema de replicacion entre los controladores de dominio, vamos a configurar los tiempos con los que los DC van a lanzar las replicaciones. Los controladores de un sitio están replicando constantemente.
Catalogo global: gestiona los procesos de inicio de sesión.
COMPONENTES DE AD Domino: colección de objetos que comparten una misma base de datos de directorio y unas mismas directivas de seguridad, y las mismas relaciones de confianza. Cada dominio está definido con un nombre DNS único, cada dominio solo almacena información de los objetos de su dominio y parte de información de objetos de otros dominios. Para un controlador de dominio, un dominio es la unidad basica de replicación de información. Permite: organizar objetos, segmentar AD para mejorar el acceso a la información o poder establecer diferentes directivas de seguridad, delegar tareas administrativas.
Bosque: colección de uno o varios dominios. Definición de la configuración de AD, es un limite administrativo y de replicación. No hay configuraciones o informaciones entre controladores de dominio que repliquen fuera de dicho bosque.
Arbol: espacio de nombres que nos permite organizar dominios en una estructura j erarquica.
Nivel funcional: configuracion que establece u ofrece a AD una serie de nuevas caracteristicas de funcionalidad. Dependiendo el nivel que nosotros seleccionemos contaremos en AD con nuevas herramientas o caracteristicas o funciones con las que podremos trabajar. Niveles funcionales han sido modificado a partir de las versiones windows 2008, a partir de aqui solo existen tres niveles funcionales: 2000 nativo, 2003 y 2008 tanto para dominio como para bosque. En sistemas operativos anteriores a 2008 teniamos: 2000 mixto, 2000 nativo, 2003 Server.
DC
Mixto
Nativo
2003
2008
nt 4.0 2000
2000 2003
2003 2008
2008
Un dominio puede incluir uno o mas DC pero el primer DC que implementas a un dominio pasa a ser el Maestro. Cuando hay mas DC en un dominio, esos nuevos se configuran de forma automatica para replicar las configuraciones entre ellos. El primer controlador que implementamos en un dominio se denomina a si mismo como Catalogo Global, todos los demás no serán Catálogos Globales. Un Catalogo Global es un DC que se encarga de permitir los inicios de sesión de usuarios en la red, son los encargados de gestionar los accesos a recursos, y de todos los recursos que se encuentran en un bosque. Almacena una copia
completa de todos y cada uno de los objetos existentes en dicho dominio y una copia parcial de los objetos de otros dominios. Podemos repartir los procesos de inicio de sesion poniendo a dos DC como Catalogo Global, mejoraríamos los tiempos del proceso de inicio de sesión, quien lo repartes es DNS mediante los registros SRV mediante Round Robin. UN GC debe estar perfectamente comunicado con aquel controlador de dominio que actue como maestro de infraestructura. El maestro es el primer DC del dominio. Un maestro de operaciones es un DC al que se le ha asignado una o varias funciones de maestro único. No puede haber varios maestros del mismo tipo, es único. Podemos transferir las operaciones de maestro u asumirlas. Podremos transferir operaciones de maestro cuando el maestro este vivo, podre asumir funciones de maestro cuando caiga pero si se levanta de nuevo tendremos un problema. Todos los bosques de AD deben tener controladores de dominio que cumplan 2 de las 5 operaciones de maestro unico pero un dominio tiene que contar con 3 de las 5. Maestro de esquema. Maestro de nombres de dominio. Maestro de RID (de identificadores relativos). Maestro de infraestructura. Maestro emulador de controlador de dominio principal o maestro de PDC. (Principal Domine Controler)
MAESTRO DE ESQUEMA Controla todas y cada una de las actualizaciones o modificaciones del esquema de AD. Toda aplicacion o servidor que vaya a modificar el esquema de AD tiene que tener comunicacion con este maestro. Para consultar las funciones de un maestro se puede hacer de dos formas. Comando dsquery server -hasfsmo schema name
MAESTRO DE NOMBRES DE DOMINIO Se encarga de controlar todas las operaciones de agregado o eliminado de dominios en un bosque. Garantiza que todo dominio que agregues o elimines de tu bosque sea único en tu bosque.
MAESTRO DE RID Aquel que se encarga de asignar secuencias numericas de identificacion a cada uno de los distintos controladores de dominio que cuente mi dominio. Cuando un controlador de dominio crea un objeto automaticamente se le asigna a ese objeto un identificación de seguridad único SID, este identificador unico está formado por el identificador de seguridad del controlador de dominio que crea dicho objeto.
11-03-2011 Administración de funciones de maestro La forma gráfica solo deja transferir, siempre y cuando el maestro esté operativo. Mediante la consola de comando ntdsutil entras en el pront ntdsutil: roles fsm maintenance: connections server conections: connect to server “nombre dns del servidor” server connections: quit fsmo maintenance: opciones transfer u seize(sobreescribir)asumir. Solo pueden iniciar sesion aquellos que pertenezcan al grupo de administradores cuando un catalogo global ha caido, los usuarios no. pueden logarse. Se puede evitar la dependencia de un catalogo global para que los usuarios puedan iniciar sesión y es la de configurar un RODC read only domine controller o configurar a un servidor como almacenamiento en caché de pertenencia a grupos universales. Esto permite que aquel controlador de dominio que no sea CG pueda resolver procesos de inicio de sesion. Lo que hace es que almacena en cache la pertenencia a grupos universales de los usuarios para concederles un inicio de sesión. Actualiza sus bbdd cada ocho horas. se hace mediante sitios y servicio de AD, una vez dentro nos vamos al servidor y en sus ntds setting propiedades y habilitamos universal group membership caching. Para que los procesos de inicio de sesión sean mas rapidos.
Como se crea un dominio. A la hora de crear los controladores de domino tenemos que saber si tenemos sistema operativo completa o server core ( en 2008). Si es completa a traves de consola de comando y un asistente. A la hora de implementar AD es necesario tener un servicio DNS SYSVOL se encuentran las directivas de seguridad aplicables en mi entorno de un dominio. otra opcion de dcpromo IFM INSTALL FROM MEDIA ntdsutil: activate instance ntds ntdsutil: ifm ifm: create full c:\ifm despues para lanzar la instalación hay que hacer un dcpromo, en el asistente llega un momento en el que podemos hacer la replicación desde la carpeta que hemos creado c:\ifm. Esto sirve para que replique los datos desde los objetos principales del servicio de directorio y o desde los controladores de domino ya existente con lo que no saturamos la red. Contiene la bbdd de AC y su registro. ntds.dit y registro.
La herramienta de AD nos permite organizar los recursos de nuestra empresa de una manera logica. 2 Herramientas de consulta avanzada para la localización de recursos. Saved queries 16-03-11 Crear Consola con elementos de AD cmd y ejecutamos regsvr32.exe schmmgmt.dll comando para administración de esquema. Dll que hay que registrar. No se puede implementar por rol. Ese registro de la dll te permite crear una mmc para gestionar la administracion del esquema. Ejecutamos mmc, añadimos caracteristicas, add/remove Snap in, aparecen todas las caracteristicas registradas y nos aparece una que es la de Active Directory Schema, que es la que añadimos junto con varias mas.( añadimos todas las que ponen AD y ADSI edit, group policy management). Poner nombre. Varios modos: modo autor, modo full acces etc...(leer descripciones de cada una). Podemos delegar tareas administrativas para el servicio de Active Directory. Para ello tenemos que ir a ADUsersComputers y en las unidades organizativas o contenedores podemos delegar control, entramos en un asistente. ( delegamos a usuarios que puedan realizar tareas de AD como por ejemplo meter equipos en dominio, crear/ eleminar usuarios etc). Para eliminar una tarea delegada tenemos que ver las opciones avanzadas de tu AD en ver de AD seleccionamos opciones avanzadas, si damos boton dcho propiedades de nuestro dominio contamos con una ficha llamada seguridad y podemos eliminar ese usuario,(también podríamos delegar desde aqui),
COMANDOS DE ADMINISTRACIÓN DEL SERVICIO DE ACTIVE DIRECTORY dsquery permite realizar consultas de varios elementos /? encuentra objetos es una forma de realizar consultas. dsget muestra objetos (la diferencia con dsquery es que dsget es capaz de encontrar objetos dentro de objetos, consulta propiedades de los objetos de AD ej: buscar todos los usuarios que se encuentran en la UO tal y los pone en pascual seria con dsquery, pero localiza a los usuarios del grupo tal y cuando los tengas ponlos en pascual, eso seria un dsget) dsadd dsmod modificar propiedades de objetos dsmove dsrm eliminar
dsadd permite agregar/crear objetos(cuentas de usuario). Las rutas LDAP son las que vamos a emplear para trabajar con las consultas de objetos. RDN relative distingued name cuando creamos cualquier objeto en AD queda registrado con un RDN. Una cuenta de usuario tambien tiene su CN common name que lo identifica como objeto. CN=haria referencia si es una cuenta de usuario sería PEPE, se puede repetir siempre y cuando no esté dentro del mismo objeto contenedor. El RDN identifica una cuenta de usuario tambien dentro del contenedor que lo contiene, cn=pepe,ou=ventas,dc=tal.... esto sería tanto su ruta LDAP como su RDN. DN distingued name, el DN (normalmente idenficacion de usuarios o cuentas de usuarios o cuentas comunes o grupos) RDN suele relacionar la identificación de donde se encuentra el objeto. DN=CN+RDN DN ruta completa con el CN (cn=pepe,ou=ventas,dc=tal..)
Una cuenta de usuario es un objeto dentro de AD y contiene toda la información que define a un usuario (es una clase de objeto con una serie de atributos). Toda cuenta de usuario cuando se crea va a contar con cinco tipos de nombre asociados a ella: 1. 2. 3. 4. 5.
Nombre inicio de sesión. Nombre inicio sesión en versión anterior a Windows 2000. Nombre de usuario principal de inicio de sesión. Nombre completo LDAP. Nombre RDN.
Nombre de inicio de sesión: debe ser único en el dominio en el que se crea. Es el que AD utiliza para permitir a un usuario hacer uso de los servicios, también lo utiliza para identificar la cuenta relacionada con ese inicio de sesion y aplicar todas sus propiedades. Nombre inicio de sesión versiones anteriores a Windows 2000. Emplea Netbios para poder iniciar sesión el usuario, se ejecuta con maquinas con versiones anteriores a W2000, que emplea localización NETBIOS utilizaria nombre dominio\nombre inicio sesion. Nombre principal de inicio de sesion de usuario UPN: tiene que ser único en el bosque, es aquel que se emplea para poder acceder a recursos dentro de otros dominios de un bosque. Compuesto por nombre inicio sesion usuario + sufijo del dominio unico con @. (jose@tal.com).No es la cuenta de correo. Nombre RDN: identifica de manera única la ubicacion de una cuenta en un contenedor o una OU. Nombre LDAP: cuando tenemos un dominio y dentro de él tenemos una estructura
con unidades organizativas, ruta ldap cn=pepe,ou=usuario etc...dc=com. La cuenta de usuario lleva consigo una serie de opciones de cuenta.
IMPORTANTE Generar cuentas de usuario a traves de linea de comanda: dsadd /? sale todo lo que se puede hacer dsadd user “cn=nombrecuenta;ou=primeraou,dc=loquesea,dc=com” crearia la cuenta pero no implementa una serie de opciones. no tiene contraseña por ejemplo. no tiene un first name creado, si gestiona un SAM ID identificacion de servicio de administracion de cuentas dsmode user “cn=nombrecuenta;ou=primeraou,dc=loquesea,dc=com” -pwd Alfa1234 - upn pedro@fip.com -disabled no ya tendria contraseña. se podria hacer todo lo que se puede hacer en las contraseñas graficamente. Para eliminar cuenta de usuario dsrm “cn=pascual,ou=ventas,dc=fip,dc=com” tambien te deja sin “ si ponemos -nopromt no nos haria la pregunta de confirmacion. El objeto todavía existe y se podría recuperar. En W2008 R2 incorpora una papelera para poder recuperar cualquier objeto recuperado en W2008 seria de otra manera que ya veremos. 23-03-11 CREAR GRUPOS dsadd group “cd=tal,ou=ventas,,dc=fip,dc=com” si ejecutamos ese comando como está nos crea un grupo pero no especificamos ni el ámbito ni el tipo de grupo, de manera predeterminada será global de seguridad. “cd=tal,ou=ventas,,dc=fip,dc=com”-scope l setgroup yes L = local de dominio U= universal G= global de dominio Con setgroup le podemos cambiar a grupo distribución.( yes o no) por defecto es de seguridad. El tipo por defecto es de seguridad, sino habria que ponerlo de distriución con el comando -members y tendriamos que meterlos con LDAP - member of Solo se pueden emplear cuando estas creando el grupo porque si ya está creado, la unica manera seria mediante la linea de comandos dsmod con el modificador -addmbr. dsquery user “ou=infor,dc=fip,dc=com” | dsmod group “ldap del grupo” -addmbr tal consigue todos los usuarios de la unidad organizativa y modifica el grupo tal añadiendo a todos como miembros.
csvde: nos permite exportación e importación de cuentas de usuarios a archivos con extensión csv (delimitados por comas). /?
csvde -f c:\ventas.csv -d “ou=ventas,dc=fip,dc=com” -v (-v modo detallado) exporta csvde -i -f c:\venta.csv i mporta -k ignorar errores
ldifde:
importación, exportación, crear y modificar, -i importacion, -f ruta de archivo, con extensión ldf /? Delimitado por tabulaciones.
gestionar una estructura de departamentos mediante un .bat ventas informatica marketing en cada una de estas ou, tendrá una estructura con jefes, secres, curris crear en cada unidad organizativa un grupo del tipo global de seguridad para cada departamento. en cada ou a parte del grupo vamos a crear un usuario y en la general vamos a crear un grupo local de dominio que será el general de cada departamento. crear cinco curritos de cada departamento cada usuario pertenezca a su correspondiente grupo y que los grupos de las unidades organizativas pertenezcan al general realizar consulta a un general cualquiera, estraer miembros y añadirlos a cualquiera. utilizar pause, msg en el bat crea ou, dentro crea un grupo, dentro 10 usuarios y los mete en AD 28-03-2011 AD siempre aloja un nuevo equipo en un mismo contenedor User o Computers. User y computer se quedan cortos, estos contenedores no pueden aplicar seguridad sobre ellos, no se pueden eliminar, no los hemos creado nosotros, no podemos aplicar una GPO. Para decirle al servicio de AD que en vez de utilizar dichos contenedores utilice una unidad organizativa que nosotros hayamos generado. La redirección es general y lo podemos realizar por el comando netdom /? join. (para versiones anteriores a Windows 7). A partir de Windows 7 y W2008R2 el comando pasa a ser djoin /? aparecen todas las opciones. La redirección se hace a través de un comando llamado redir que irá acompañado redircmp: permite redirigir computers redircmp ou=equipos,dc=fip,dc=com desde el controlador de dominio, pasariamos todos los equipos del contenedor computer a la unidad organizativa equipos. El nivel funcional para redirigir contenedores debe ser 2003 en adelante. redirusr redirigir contenedor users. whoami te dice quien eres whoami /group a que grupo perteneces
DIRECTIVAS DE GRUPO 30-03-11
DIRECTIVAS DE GRUPO GPO Son un conjunto de configuraciones o políticas que van a determinar el comportamiento tanto del sistema como del entorno de un usuario. Cada una de las directivas perteneciente a una GPO lo que hace es establecer una configuración determinada del SO, del sistema en si o algún elemento del SO. Compuesta por multitud de directivas. DIRECTIVAS Se distinguen por su función. Hay dos tipos, de seguridad y las de entorno. Directivas de seguridad: pueden ser aplicadas a nivel de dominio, controlador de dominio. Determinan la seguridad para mis SO. Directivas de entorno: GPO que nos permite configurar el entorno en si de trabajo de tus usuarios. Una GPO puede ser vinculada a muchos objetos de directorio activo, a un equipo de forma local, a un sitio, a un dominio o una unidad organizativa. Unicos elementos a los cuales puedo vinculas una GPO. Una directiva puede aplicar su configuración a dos elementos: equipo o usuario. A nivel de equipo afecta a cualquier usuario que utilice dicho equipo. A nivel usuario afecta a unicamente el usuario en cuestión independientemente de la máquina que utilice. PROCESAMIENTO DE GPO Una maquina cuando arranca lo que hace es mirar las GPO aplicadas a nivel local pero también consulta al DC para determinar si el sitio al que pertenece la maquina tiene vinculada alguna directiva de grupo, determina que directivas hay normalmente aplicadas a nivel de entorno de dominio, después determina si a nivel de UO tiene una GPO y tambien las compara para si no hay conflicto se suman y si lo hay las de la superior machacan el nivel. El orden de preferencia juega con un sistema de herencia, toda configuración que tu estableces sobre objetos directos de dominio, lo que hace es heredarse por todos los objetos contenidos. Un objeto configurado a nivel raiz de UO extiende su herencia sobre los objetos contenidos. Los filtros se configuraran en la DACL de la propia directiva, permitiendo o denegando. CORTE DE HERENCIA y Forzar Toda directiva de grupo configurada en niveles superiores ante un corte de herencia no puede aplicar sus configuraciones. Forzar una directiva significa hacer que atraviese cualquier corte de herencia que haya en el dominio, la GPO será imperativa.
Las directivas de grupo se almacenan en una única ubicación por defecto común para todos tus elementos de tu entorno de dominio y desde hay poder vincular tantas veces como quieras una GPO. CARACTERISTICAS DE GPO
c :\windows \sysvol\ sysvol\ policies almacena todas las directivas de grupo con su nombre único. Se puede copiar. FILTRO WMI Para instalar aplicaciones siempre y cuando cumplan Permite interactuar con el equipo a la hora de aplicar políticas. Esos filtros decidirán si se aplica o no a una maquina dicha directiva de grupo. Ejemplo: espacio en disco cuando instalas un office. wmi creator: herramienta gratuita para realizar consultas wmi Podemos filtrar hasta por marca de fabricante, zona horaria, etc...
Starter GPO: configuración GPO de solo lectura que son una base que hemos configurado para la creación de directivas de grupo. Solo se pueden hacer con elementos de plantillas administrativas, solo entorno no seguridad. Son un apoyo para creación nueva de directivas. En Windows 2008R2 hay System Starter GPO que también son para sistema. Para tener control total sobre los equipos de aulas, laboratorios etc. se utiliza un mecanismo que alterar la forma del procesamiento de la directiva para hacer que las configuraciones de usuario y equipo se apliquen siempre independientemente del usuario y equipo que sea. Podremos combinar las dos PROCESAMIENTO DE BUCLE INVERTIDO. Para activarlo nos vamos a la directiva que estamos habilitando para los equipos en cuestión y habilitar una directiva, en configuración de equipo, policies, plantillas administrativas, system, directivas de grupo, tenemos user group policy loopback processing mode. Hay dos modos de procesamiento de bucle invertido: sustituir o sumar. Sustituir: lo que hay en la directiva que configuremos es la que se aplica.. Conbinar: las propias del usuario mas las que hay en la directiva. Si hay conflicto se aplican las que trae el usuario.
Pulsando en directiva boton derecho. Se pueden hace backup de directivas que se agrupan en group policy object también podemos hacer reporte de una directiva para ver que hace. También tenemos una herramienta de Migración de directivas de grupo entre 2008, 2003.
13-04-11
RODC read only domain controller Solo para windows 2008 aunque pueden trabajar conjuntamente con servidores 2003(preparando el bosque y el dominio)
Poder desarrollar facilmente controladores de dominio en sitios donde no podamos garantizar la seguridad fisica de ese dominio o servidor. Para oficinas principalmente. Se encarga de contar con una bbdd que sincroniza con controladores de dominio que si que son de escritura lectuar. tipo de controlador de dominio que desplegamos en algun sitio donde no podemos mantener la seguridad fisica de la maquina y que lo hagamos catalogo global facilita la mejora del proceso de sesion para aquellos usuarios que se encuentren en dicha oficina. Mejora el proceso de inicio de sesión. Aumenta la seguridad. La bbdd de esta maquina es de solo lectura, no es editable, no se puede manipular. No almacena toda la información de AD, solo ciertas características. Es necesario contar con que tu dominio este sobre el nivel funcional windows 2003 como minimo. Hay que preparar al dominio para poder aceptar RODC. preparar el esquema del 2008 para que acepte controladores de dominio 2008 mediante el comando Adprep que se encuentra dentro del dvd de instalación de windows 2008 en una carpeta denominada Sources. Extraemos todo lo que tiene adprep a una carpeta que queramos, y ejecutarlo en el maestro de nombres de dominio o maestro de RID. El maestro de PDC cuente con una cuenta de servicio denominada KBRTGT necesaria porque es la cuenta que empleara el RODC y los DC de mi empresa para gestionar las peticiones de autenticación y validación. Es un controlador de domino adicional para un dominio ya existente. La bbdd de AD todas sus particiones son de solo lectura, lo unico que hace es sincronizar información con DC de escritura lectura. Hay que tener en cuenta que el controlador de dominio que ejecuta el PDC también debería de ser un servidor Windows 2008. Exceptuando las contraseñas un RODC contiene todos los objetos y atributos que tiene un controlador de dominio típico. Sobre este tipo
de controlador de dominio no puede hacerse ningún tipo de modificación que afecte a la propia base de datos de AD. Todo cambío que quieras realizar en un RODC lo tienes que llevar a cabo en un controlador de domino y luego replicarlo en el RODC. Aquellas aplicaciones que necesiten solo acceso lectura no tendrán problemas al conectarse a RODC pero si necesitan escritura necesitarán una configuración para que a traves de LDAP accedan a un controlador de dominio que no sea RODC. La administración delegada: vamos a poder delegar permisos administrativos unicamente para administrar un RODC, el usuario al cual le delegamos la administración de un RODC no podrá administrar ningún otro controlador de dominio que no sea RODC.
DNS de solo lectura:
se replica con los dns de los controladores de dominio para agilizar la busqueda. No soporta actualizaciones de clientes directas. Tampoco registra o genera registro NS de ninguna zona integrada. Cuando una maquina cliente intenta actualizar su registro en un servidor dns de solo lectura lo que hace el RODC es devolver una referencia al cliente que es actualizado con posterioridad por el equipo cliente actualizando su registro. Almacenamiento en caché de credenciales: por defecto no almacena credenciales de ningun equipo ni usuario, exceptuando la correspondiente a la cuenta de RODC y la del KBRTGT. Si quieres almacenar otro tipo de credenciales lo tendrás que hacer de forma explicita, limitar o gestionar el almacenamiento en caché de las credenciales lo que hace es limitar la seguridad de las cuentas que tu almacenas. Podemos deshabilitar el almacenamiento en caché de credenciales y lo que cualquier solicitud de credenciales se tendrá que redireccionar a otro controlador que no sea RODC y no es el objetivo. Toda la gestion de contraseñas se hace a traves de policitas. Con el fin de soportar esa replicación de contraseñas Windows incorpora nuevos atributos a las cuentas de usuario, modifica el esquema para agregar dichos atributros que son los que me permiten especificar si las credenciales del usuario se almacenarán o no. La replicación entre el RODC y el DC es unidireccional, permite que en el caso que se realice algún cambio con la intención de modificar
la BBDD de AD no se replica con los controladores de dominio sino solo con el RODC, reduces la sobrecarga de replicacion entre controladores de dominio. adprep /rodcprep dentro de c:\adprep que es la carpeta que hemos copiado del cd de windows. promocionar maquina a rodc con dcpromo 25-04-11 Server Core: Un server core, no disponen de un entorno grafico para configuracion. Enfoca el servidor a que ofrezca todos sus recursos de maquinas al rol que esta desempeñando. Un server core, reduce las vulnerabilidades de una maquina. Solo ejecuta servicios minimos (puertos mínimos abiertos, solo necesarios para su función) Un server core no es una plataforma para ejecución de aplicaciones. Con lo cual, no seria posible por ejemplo compatible con terminal Server porque requiere interfaz gráfica. Solo permite ejecución de roles y sus herramientas de administración (caracteristicas) No admite todos los roles, admite los siguiente roles: -ADDS -ADLDS -DHCP -DNS -File server -Servidor de Impresion -Servicios de streaming media. -Hyper V -Web server (pero solo HTML; Ni correo ni FTP), solo si se ejecuta en el cliente Tambien admite ciertas caracteristicas: -Copias de seguridad -File over clustering -NLB -WINS -Telnet client -QoS -SNMP -Administracion de medios estraibles -Subsistemas para aplicaciones UNIX -------------------------------------------------------------------------Server core: tiene un mantenimiento reducido, asi como las “superficies de vulnerabilidad” para posibles ataques. la administracion se reduce. La instalacion requiere un minimo de espacio en disco (3Gb de espacio libre) 256Mb de RAM. A la hora de poner en funcionamiento en un server Core, se han de realizar 5 pasos importantes. 1º establecer la contraseña del administrador netuser [nombre administrador] [contraseña]
2º renombrar la maquina Netdom renamecomputer (al cambiar nombre hay que reiniciar) 3º Establecer config TCP-IP Netinterface ipaddres … 4º integracion en el dominio Netdom join 5º Activar el server core CSCRIPT slmgr.ubs -> desde system32 /DLI - poder ver la licencia actual /XPR cuando keda para k caduke -rearm para rearmar una licencia -ATO el server de forma automatica se reactive -IPK: mete clave de licencia 27-04-11 ntdsutil transfiere funciones de maestro o las asume netdom consultar netdom query fsmo consulta las funciones de maestro dsquery server -hasfsmo consulta funciones de maestro dcdiag permite diagnostico de controladores de dominio
D_FSR El sistema de replicacion de los servicios de directorio es el FSR, replica archivos entre servidores o DC y es el servicio que se encarga de replicar entre los DC una carpeta denominada SYSVOL. Todo DC que está ejecutando w2003 o 2008 sus sistema de replicacion de archivos es el FSR que es actualizado a DFS_R, unicamente para windows 2008, no se puede hacer este tipo de replicación en niveles funcionales inferiores a 2008. No se podría actualizar el servicio de replicación del dominio. DFS_R es el sistema de replicacion para la carpeta SYSVOL en Windows 2008 y sustituye al anterior FSR. El proceso de cambiar al nuevo sistema DFS_R implica una serie de pasos que lo que hacen es que si tengo dos controladores de dominio que están replicando con sistema FSR para poder pasar a DFS_R y que no afecte al sistema lo que hay que hacer es montar en paralelo el sistema de replicación DFS_R y una vez que está montado se elimina el sistema antiguo, se consigue mayor velocidad a la hora de replicar la carpeta de SYSVOL.( que contiene directivas de seguridad y de grupo que se aplican en el procedo de inicio de sesión de los usuarios), El proceso de modificación consta de cuatro etapas: INICIO, PREPARACIÓN, REDIRECCIÓN Y ELIMINACIÓN. por consola de comandos (0)--inicio (1)--preparación (2)--redirección (3)--eliminación
El comando para migrar la carpeta sysvol a dfs_r se hace con dfsrmig.exe, que utiliza una serie de modificadores que establecen los estados de la migración. el comando para conocer los estados de la migración es /setglobalstate. El valor 0 es el que avisa a todos los DC para que de momento aquellos DC que están utilizando el antiguo FSR sigan utilizandolo pero esten preparados para la modificación. En el momento que ejecutamos el dfsrmig.exe /setglobalstate hay que esperar a que ese estado se replique en mis controladores de dominio, para conocer el estado se utiliza /getmigrationstate. Cuando pasamos a la opcion 1 lo primero que hay que hacer es realizar una copia de la carpeta de SYSVOL y cuando se copia esta carpeta se deposita en una carpeta en la misma ubicación que la carpeta SYSVOL pero se tiene que llamar Sysvol_DFSR, ejecutamos el dfsrmig.exe /setglobalstate 1. Despúés tendríamos que pasar al paso 2 redirección dfsrmig.exe /setglobalstate 2 que suele tardar. Por ultimo ejecutamos la eliminacion dfsrmig.exe /setglobalstate 3, también podemos eliminar la carpeta SYSVOL a mano. Todo el proceso de migración de la replicación se puede ir comprobando a través del visor de eventos. Para ello el ID 8014 es el que nos ira informando, tendríamos que ir al visor de eventos en la opción de eventos de servicios de aplicación y dentro tenemos lo que se llama DFS replicatión. Otra forma de ver que ha cambíado el sistema de replicación el yendonos a un controlador de dominio y ejectuar el comando net share para comprobar que la referencia del recurso compartido ya no es a netlogon sino que hace referencia a sysvol_dfsr. Solo replica la carpeta de SYSVOL no la base de datos de AD.
SITIOS Y SERVICIOS DE AD Un sitio es un objeto que contiene una serie de configuraciones, un sitio no es nada mas que un objeto que contiene maquinas o equipos y subredes conectadas entre si por conexiones de alta velocidad y que al menos disponen de un controlador de dominio. Todo bosque debe incluir un sitio porque es el que ejecuta los sistemas de replicación entre DC. Los sitios se utilizan principalmente para gestionar la replicación y la autenticación. Cuando un equipo cliente inicia la sesión en un dominio, el primer lugar al que se dirige es a buscar un controlador de dominio que se encuentre en su mismo sitio o en la misma red en la que se encuentra esa maquina para poder lanzar la autenticación, pero, quien le dice a un equipo cliente a quien se tiene que dirigir, el DNS. El usuario recibe una lista y va a ir a los DC de su misma red. También nos sirven para ubicar servicios como puede ser DFS, Exchange, DNS... Los sitios se caracterizan porque son objetos de configuracion de topologia de replicaciones. Replicación es la transferencia de datos entre DC.
Toda la información del servicio del directorio se replica por todo el bosque con los controladores de dominio que el crea o que tu vas configurando. La información contenida en AD se replica con mayor frecuencia dentro de un mismo sitio, aquellos que se encuentran en sitios distintos dependen de una configuracion termporal que puede modificar. ( la otra tambien). Un sitio permite repartir el proceso de autenticación. Controla los tiempos de replicación y determina que controladores replican con quien. ADSI Edit en particiones, vemos las partes que replica.
La replicación para el transporte IP utiliza el servicio llamada a procedimiento remoto RPC, pero se puede utilizar SMTP. Sirven para crear vinculos a sitios que son la dirección o flujo de la replicación entre los distintos sitios. Este elemento determina con que sitio replica, cuando y como y si tiene mas preferencia o no con respecto a otro enlace.
Puertos y servicios que utiliza la replicación,. Hay que permitir la conectividad con esos puertos UDP/TCP 53 que hace referencia a DNS UDP/TCP 88 referente a kerberos TCP 135 RPC llamada a procedimiento remoto UDP/TCP 389 puerto LDAP TCP 636 LDAP seguro TCP 3268 Catalogo Global TCP 464 Protocolo de contraseña de kerberos kpasswd UDP/TCP 445 SMB Si la replicacion es por el puerto smtp seria por el puerto 25. RPC asigna de manera aletoria puertos para la replicación sobre IP, para lanzar la replicación lo que hace es aleatoriamente elegir puertos que van desde el 1024 al 65536 para el sistema de replicación. Pero por smtp siempre utiliza el 25. Para gestionar el sistema de replicación se utiliza una linea de comandos denominada REPADMIN Nos permite reparar problemas de replicación etc... REPADMIN /SHOWREPL nos dice el sistema de replicación. Mostrar conexiones de DC en la replica con /SHOWCONN /SHOWOBJMETA /kcc recalco de la topología entre los controladores de dominio. /syncall fuerza la sincronización a todos sus socios. El comando dcdiag /?
04-05-11 La base de datos de Ad esta formada por una serie de archivos que se encargan de procesar y ejecutar todas las operaciones de modificación de datos. Los archivos principales de la BBDD de AD son: La base de datos de AD están en la carpeta NTDS, NTDS.dit es la BBDD de AD. Almacena las particiones y todos los objetos a los que pertenece un controlador de dominio. EDB.log es el archivo de registro de todas las operaciones de modificación de objetos que se llevan a cabo en la BBDD de AD, el tamaño de este archivo siempre es de 10 MB cuando se completan estás megas se crea uno nuevo. EDB.CHK o archivo de control, es el que almacena el cambio o los cambios que se producen en el NTDS.dit. EDBres.jrs son archivos de reserva para el archivo EDB.log, se utilizan para si en un posible caso se queda el disco sin espacio de almacenamiento.Espacios reservados.Se van creando automaticamente a la vez que los EDB.log.
El tamaño del NTDS.dit es variable en todos de los controladores de dominio de un dominio. NTDS.dit no es igual entre todos los controladores, varia dependiendo la estructura del AD. El servicio de AD es un servicio multimaestro, donde las actualizaciones ocurren en cada uno de los controladores de dominio de un dominio y se replican entre los controladores de dominio del mismo bosque. Los cambios que se producen en AD son también llamados transacciones. Ese cambio es replicado por todos los DC, pero solo esos cambios, no la base de datos. Todas las BBDD de directorio de los DC de un bosque normalmente tienen diferente tamaño, al final se consigue una estructura única. De forma predeterminada el servicio de AD realiza una desfragmentación cada 12 horas, solo mueve información dentro de la BBDD, lo acomoda, la organiza. No reduce el tamaño. La BBDD de AD mientras este en ejecución no hace una defragmentación completa. La desfragmentación es coger toda la información del archivo NTDS.dit. Una de las razones para desfragmentar es la recuperación de espacio fisico cuando se han eliminado objetos y agilizar el acceso.
Para hacer una desfragmentación en indispensable tener copia de seguridad de AD y que el servicio de AD este parado. 1.- Reinicias el CD y con F8 DSRM modo de restauración de AD. Directory Service restore mode. No arrancaría el servicio de AD y nos pide unas credenciales que son
las que pusiste cuando promocionamos el DC. 2.- Desde la MMC de los servicios de AD, services.msc, y paramos el servicio de AD, AD domine service. Para activarlos lo mejor es reiniciar el DC. Con NTDSutil podemos lanzar la desfragmentación. OFFLINE en linea de comandos ponemos ntdsutil ntdsutil: activate instance ntds ntdsutil: podemos consultar con help ntdsutil: files file maintenance: info file maintenance: compact to c:\”nombre de carpeta que creará automaticamente” file maintenance: quit ntdsutil: quit copy c:\nombre carpeta\ntds.dit %systemroot%\ntds y la copiamos. Después tenemos que reiniciar el Controlador de dominio.
09-05-11 COPIA DE SEGURIDAD DE LOS SERVICIOS DE AD Copias de seguridad de un volumen total. Copias de seguridad del System State copiaria el AD. A la hora de restaurar AD se va ha hacer desde el modo DSRM (F8 etc, con la contraseña que pusimos en el proceso de instalación), la restauración se hace como siempre pero hay varios tipos:
Restauración Principal, Normal y Autoritaria. (normalmente para W2003) en 2008 la normal y la autoritaria. Restauración Principal: lo utilizaremos si lo que queremos es restaurar un entorno de dominio a partir de una copia de seguridad. Marca a todos los objetos de AD como principales o autoritarios, lo que hace es elevar el numero de versión de todos sus objetos mas de 100000, cuando esta máquina arranque, lo que haré es que los demas DC se repliquen con él y sus datos. Normal: se replicaría con los controladores que ya hay en el dominio. Autoritária: dos tipos de herramientas, restaurar la copia de seguridad, una vez que restauro no voy a reiniciar la máquina ( seria una restauración normal), lo que se hace
es mantenerse en el modo de restauración y entrar en el sistema a través de la herramienta NTDSUTIL que lo que nos permite es seleccíonar que objeto de la base de datos AD lo quieres marcar como autoritario, authoritative restore y con ldap marcar aquel objeto que queremos restaurar de forma autoritaria, por ejemplo, si tenemos una copia de seguridad y una UO que nos interesa restaurar porque esta bien organizada, lo hariamos con esta herramienta. ntdsutil: activate instance ntds authoritative restore: help restore subtree ou=ventas, dc=fip, dc=com ó restore object cn=
GENERAR INSTANTANEAS DE AD Estas instantaneas son muy ligeras, son puntuales, fotografias de un momento determinado de solo AD, vamos a utilizar la herramienta NTDSUTIL. Para crear una instantanea hay que entrar en el pront, ntdsutil ntdsutil: activate instance ntds ntdsutil: snapshot snapshot: help podemos listar las instancias que tenga snapshot: list all para crear una instantanea snapshot: create crearia una fotografia de AD, como está en este momento. podemos eliminarla con delete y el numero que nos asigna. una vez creada lo suyo es montarla. snapshot: mount y tenemos que poner el numero y en c: nos apareceria. Es una copia exacta de lo que tenemos en c: La recuperación de los datos de una instantanea de AD se lleva a cabo por un comando llamado DSAMAIN en el pront ponemos dsamain es un ejecutable que vale para adds adls, es un servidor ldap independiente que comparte el mismo codigo de acceso que el adds. Nos permite el acceso a las instantaneas montadas. dsmain-dbpath ( entrar al path donde se encuentra la bbdd en la ruta de la instantanea creada) \ntds.dit -ldapport 10000 y automaticamente crea el 10001 para ldap seguro. ahora puedo utilizar cualquier herramienta de AD para entrar en esa instantanea. desde el ADSI edit, desde user and computers, desde users and computer en cambiar servidor, podemos cambiar a contro:10000 y tendriamos el DC de la instantanea, podemos modificar etc y despues restaurar desde ella. Para desmontarla en ntdsutil:activate instance snapshot: unmount el numero que sea LIMITACIONES DE LAS INSTANTANEAS
Cada instantanea asocia al disco un sistema de escritura y lectura extra a la que ya tiene AD, por lo que no se deberia nunca dejar instantaneas activas. Cuanto más tiempo mantengas activa la instantanea mas se va ampliando con lo cual afecta al rendimiento. Recuperar un objeto desde una instantanea supone recuperar todos sus atributos, también tendrás que recuperar los atributos que tiene dicho objeto. La instantanea en si es de solo lectura. Para restaurar o recuperar objetos parte de que estén en un contenedor oculto denominado TOMBSTONE. El sistema de LDAP de AD tiene un sistema de recuperación de aquellos objetos borrados de forma accidental, se almacenan automaticamente en un almacen llamado tombstone container (oculto).
ADRESTORE herramienta para poder restaurar objetos de AD eliminados.
los objetos aparecen 90 dias en este contenedor, solo está el SID y el GUID. El servicio de garbagecollector es el servicio encargado de eliminar aquellos objetos que se encuentran en tombstone cada 12 horas. Es el servicio que hace la desfragmentación de AD. Windows 2008R2 ya incorpora un sistema de recuperación de objetos eliminados. RECUPERAR UN OBJETO ELIMINADO ldp, entramos a una consola connect directamente ()sino ponemos dominio, puerto. en connection, bind con las credenciales logadas ok en options, controls, load predefinided: return delete object en view, tree, ok si expandimos el arbol, podemos ver todos los objetos, en delete object es donde tengo todos los objetos eliminados. si queremos recuperar un objeto, lo elegimos y boton derecho modificar, en atributo ponemos isDeleted operación delete enter despues en el atributo ponemos distinguishedname en el valor ponemos el nombre que le vamos a dar y donde lo vamos a recuperar ejemplo cn=rrhh, ou=ventas,dc=fip,dc=com en operación ponemos replace después marcamos extended y run y cerramos el ldp En Ad en users an computerss en fip, ventas tenemos el usuario rrhh
RELACIONES DE CONFIANZA Comando netdom y nltest.exe
16-05-11
RELACIONES DE CONFIANZA ¿Quien lo puede crear?. Lo pueden crear los creadores de confianza del bosque de entrada. El comando netdom y nltest.exe. nos valen para co-administrar relaciones de confianza. Las relaciones de confianza es un vinculo que se establece entre dos dominios. Esa relación entre dos dominios permite a un dominio confiar en el servicio de autenticación del otro y emplear aquellas entidades de seguridad autenticadas por un dominio y permitirlas el acceso a los recursos. La relación de confianza es un vinculo que permite el traspaso de la información de la autenticación del cliente o usuario. En toda relación hay dos dominios que crean el vinculo, se conocen como el dominio que confía y el de confianza. Un dominio de confianza es el dominio donde se crea la relación de confianza, es el dominio que autentica usuarios y el encargado de mantener la información de identidad de cada usuario.
Un dominio que confia es el que se especifica en la relación de confianza, donde se encuentran los recursos que van a ser visitados. Confia en la autenticación que ha realizado otro dominio para permitir el acceso a sus recursos. Hace posible que los usuarios del dominio de confianza puedan recibir derechos del domino que confia e iniciar sesiones en equipos de dicho dominio.
Si un dominio A confia en un dominio B, el dominio de confianza es B y confia A. Los usuarios de B se pueden integrar en las DACL de A. A partir de Windows 2000 entra AD y está basado en el concepto de relación de confianza entre dominio, la relación de confianza se lleva a cabo a través de conexiones de confianza que se establecen a través de los protocolos de confianza que son dos: NTLM ntlanmanager KERBEROS V5
El protocolo NTLM se utiliza cuando en una relación de confianza uno de los equipos no es compatible con el protocolo de kerberos v5. Kerberos v5 es el protocolo de confianza predeterminado que utilizan todos los equipos a partir de sistemas operativos Windows 2000 en adelante. Las relaciones de confianza entre dominio se caracterizan por la transitividad y la dirección. Confianza transitivas: la confianza es aplicable a cada domino implicado en la confianza. Es una caracteristica propia del protocolo de kerberos y proporciona autenticación distribuida y autorización en Windows. A confia en B y B en C por lo tanto A confia en C. Como resultado el dominio que se une a un arbol de dominios tiene relaciones de confianza con el resto de los dominios del arbol, en un arbol de dominios la relación de confianza hace que todos los objetos de todos los dominios del arbol estén disponibles para todos los dominios del arbol. Confianza intransitiva: termina con los dos dominios que crean la relación. Una confianza es intransitiva son las confianzas que se crean entre dominios que no forman parte de un mismo arbol. No se transmite entre más dominios. Se crea de forma explicita en la mayoria de los casos. Dirección: Pueden ser unidireccionales o bidireccionales Unidireccional: esta relación está basada en la dirección de la confianza, se pueden dividir de dos formas, de entrada o de salida. Entrada: se crea en el dominio de confianza y los usuarios de este dominio (de confianza) pueden acceder a los recursos que se encuentran en el dominio que confía. Los usuarios del dominio que confia no pueden acceder a los recursos de dominio de red del de confianza.one way two way Salida: cuando en el dominio que configuramos la relación se pueden autenticar usuarios de otro dominio u otro bosque. Los usuarios de otro dominio pueden acceder a los recursos de red del dominio en el que configuramos. Cuando en el dominio que configuramos esa relacion se puede autentificar usuarios de otro dominio Bidireccionales: las confianzas son reciprocas en ambos dominios.
(traspasa información UPN pepe@dominio.es) Las relaciones de confianza pueden ser Implicitas y explicitas. Implicita: la relación que se crea de forma automática y se llama confianza implícita,
por ejemplo cuando se crea un nuevo dominio dentro de un árbol de dominios o dentro de un bosque. Explicitas: relaciones que como administrador creas de forma manual. Que se suele dar entre dominios de diferentes bosque o arboles. La confianza de los bosques es una caracteristica que apareció desde Windows 2003. Existen diferentes tipos de relaciones de confianza. CONFIANZA DE ARBOL RAIZ : se hace de forma automática o implícita que se crea cuando un nuevo dominio raiz de arbol se añade a un bosque. Normalmente es transitiva y bidireccional. CONFIANZA PADRE HIJO: se crea de manera implícita y se crea cuando un nuevo dominio se agrega a un árbol de dominios. Es transitiva y bidireccional. Un dominio secundario que se añade a uno padre es un domino hijo con relación transitiva bidireccional. Los dominios hijos pasan a través de sus dominios padres para autenticar a sus usuarios. CONFIANZA DE ACCESO DIRECTO: se crea de manera manual o explicita, tu defines si va a ser unidireccional o bidireccional transitiva. Se crean para mejorar los procesos de autenticación y solicitud de vales de sesión de dos dominios de arboles diferentes. Para crear este tipo de confianza debemos ser miembro del grupo administradores de los dos dominios implicados. Usuarios de ambos dominios acceden a recursos de ambos dominios. CONFIANZA DE TERRITORIO: la creas como administrador de forma explicita, puede ser transitiva o intransitiva unidireccional. Si creamos una relacion unidireccional de territorio en cada uno de los dominios creamos una bidireccional. Permite crear una relación de confianza entre un dominio Windows y uno no Windows pero que emplee el protocolo de kerberos. Normalmente entre UNIX y Windows con kerberos v5. Cuando un usuario se autentica por un domino no windows, los datos de kerberos no tiene todos los datos de aurización que utiliza windows, con lo cual estas relaciones necesitan una cuenta como enlace o mapeo. Hay que crear una cuenta en los dos dominios que gestione el acceso a los recursos.
23-5-11 RELACIONES DE CONFIANZA EXTERNAS Se configura de forma explicita, es para generar una relación de confianza entre dominios de distinto bosque o para crear relaciones de confianza entre dominios que tienen AD y/o dominios que están con Windows NT. Son intransitivas y serán unidireccionales o bidireccionales, pero la relación termina entre los dominios de los diferentes bosques. RELACIONES DE CONFIANZA DE BOSQUES Es explicita, transitiva, unidireccional
o bidireccional, solo estรก disponible a partir de las versiones Windows 2003. Antes de crear una relacion de confianza de bosque, cada uno de los bosques tiene que tener elevado su nivel funcional a 2003. Como la relaciรณn de confianza de bosque se crea normalmente entre los raices de bosque puede generarse de forma bidireccional. Permite que los usuarios de un arbol de dominio de un bosque pueda acceder a otro arbol de dominio de otro bosque. Para poder crearlas a parte de ser miembro de los grupos que expusimos (Lo pueden crear los creadores de confianza del bosque de entrada). Active directory domains and trusts Podemos hacer operaciones, operaciones de maestro Elevar nivel funcional Botรณn derecho sobre dominio, propiedades, ficha en la que nos indica los niveles funcionales, ficha confianza(Trusts),y creamos las relaciones de confianza con el asistente
23-05-11 http://www.microsoft.com/spain/windowsserver2008/roles/apps_lds.mspx ADLDS es un rol, funcion de windows 2008 Active Directory Lightweight Directory Services Utiliza LDAP Se emplea para poder almacenar y recuperar informaciรณn de aquellas aplicaciones que necesitan de uso de servicios de directorio para poder trabajar. (Ej: Isaserver, exchange( no se puede integrar en adlds porque necesita autenticaciรณn, por lo tanto necesita AD,) Permite el poder almacenar informaciรณn y permitir a las aplicaciones poder recuperarla sin depender de AD. ADLDS se parece a los servicios de AD, tanto ADLDS como ADDS utilizan los mismos codigos de acceso, mismo protocolo de acceso (LDAP) y muchas de las funciones de replicaciรณn. ADLDS es para Windows 2008 lo que era ADAM en versiones anteriores. (modo de aplicaciones de AD). Exchange es una aplicacion que se integra en AD e incluso modifica su esquema, existen ciertas aplicaciones que al modificar el esquema de AD modifican atributos y lo que hace es replicar todos esos cambios entre todos lo DC de un bosque, el problema es que cualquier modificacion que se haga en el esquema de AD es replicada e irreversible, con lo que si una aplicacion que necesita un servicio de directorio y modifica el esquema, si la desinstalas, la modificaciรณn del esquema se queda, con lo que constantemente gestionarรก un sistema de replicaciรณn. Por ese motivo ADLDS se aconseja cuando vamos a implementar una aplicaciรณn que necesita un servicio de directorio que no queremos que modifique el esquema del servicio de directorio. ADLDS a veces no es la mejor soluciรณn. ADLDS permite crear varias instancias en un รบnico servidor (crear varios servicios de directorio independiente).
Para poder instalar ADLDS no necesitas privilegios administrativos del dominio, tienes que tener privilegios administrativos en el equipo local en el que vas a implementarlo, no modifica la configuración del equipo como hace una instalación de AD. Es una aplicación que no necesita ningún cambio de seguridad ni reinicio de máquina. Es de solo lectura y van a permitir crear una estructura jerarquica basada en espacio de nombres de dominio y distribuida (soportada en varios equipos). Diferencias entre ADLDS y ADDS ADLDS Soporta varias instancias (puede configurarse con varios esquemas). Se puede instalar sin reinicio de maquina ni modificación de seguridad. No necesariamente tiene que ser controladores de dominio (donde instalas) ADLDS no soporta los servicios de Catálogo Global. No soporta autenticación ni validación. Se puede instalar incluso en Server Core. Para poder instalar ADLDS se necesita un Windows 2008 standar, datacenter o interprise. Standar-- nos quita la clusterización. Instalar en un server core tendría que ser con ocsetup directory service -adam -servercore Una instalacion de ADLDS automáticamente en el server core crea una carpeta en el system root denominada ADAM y una base de datos denominada ADAM.dit,. pero genera una diferncia con la instalación completa que crearia la herramienta de analizador de ADLDS. Para instalar ADLDS dentro de roles tenemos ADLDS, Para administrar ADLDS lo podemos hacer desde sitios y servicios de AD para gestionar sistemas de replicación entre servicios de directorios. La herramienta administrativa para poder realizar instancias y modificar esquemas de los servicios de directorio de AD. Y tambien tenemos linea de comandos ADAM install, ADAM sinc, ADAM uninstall, ADschemaanalizer para pasar contenidos de AD a ADLDS y de ADLDS a AD. ldifde.exe para crear o importar datos. ADLDS utiliza LDAP, si utiliza ldap puerto 389, también el 636 ldap seguro. Los mismos que AD. AD aparte de esos dos puertos utiliza dos puertos mas para GC 3268 y 3269. Cuando instalamos ADLDS en un controlador de dominio que tiene abiertos los puertos te da el 50000 para ldap y 50001 para ldap seguro. ADSI o LDP( recuperación de objetos) DSACLS No admite entidades de seguridad, no hay SID, almacena información, ni grupo ni cuenta de equipo ni cuenta de usuario. ADLDS no cuenta con la partición de dominio. Tiene esquema, configuración y aplicación. No emplea kerberos.
25-05-11 ADCS active directory certificate service Infraestructura de PKI infraestructura de claves publicas: forma de referirse a un sistema de gestión de certificados y aplicaciones de firma digital. PKI debe proporcionar tres puntos principales: autenticidad, confidencialidad e integridad. Autenticidad: Aquel documento que me envían es autentico, proviene de la persona que dice ser. ( con la firma). Confidencialidad: la información que se transmite entre las dos partes solo es legible por dichas partes, lo garantiza con la encriptación. Cifrado. Integridad: no ha sido tocado en ningún momento, lo garantiza con la firma digital también. Para todo ello PKI maneja algoritmos de claves: Algoritmos Simétricos: también conocido como clave secreta o privada, (FEK), se caracterizan porque utilizan una sola clave de encriptación tanto para encriptar como para descifrar la información. Cuanto mayor sea la clave, mayor será su protección pero también será mayor el tiempo que emplea en encriptar y desencriptar. Algoritmos como DES, 3DES o RC4, también IDEA. DES data encription standard: genera bloques cifrados de 64bit 3DES: igual pero ejecutado tres veces sobre el mismo resultado. RC4: mas utilizado hoy en dia en internet, para el protocolo SSL, ROMS CODE FOUR, desarrollado por RSA. Utiliza claves que van de 40 bit a 256bit, utilizando 128bit para la codificación. IDEA: internacional data encription algorith. usando también la clave de 128bit. PKI utiliza tambien los algoritmos de clave asimétrica Algoritmos Asimétricos: utiliza dos claves, una para cifrar y otra para descifrar. De esas dos claves una es pública y otra privada. Pública: esta clave es no secreta, sirve para cifrar información al usuario propietario de dicha clave. Sirve para la comprobación de firma. (Algoritmo de clave pública RSA de 512 a 2048 bits). Privada: nunca viaja, se instala en el equipo de cliente permitiendo o no el poderse exportar y sirve para descifrar todo aquello que ha sido cifrado con la pública, también sirve para firmar.
Certificado digital: es un documento que contiene una serie de información: identificación del usuario: nombre, dni, etc.. Clave pública del usuario Periodo de validez. Indica cuanto tiempo se puede utilizar dichas claves.
Propositos: para que me sirve ese certificado. CA: entidad certificadora, identificación de la entidad certificadora que generó dicho certificado. Clave publica de la CA. Firma de la entidad certificadora CA. Este documento que puede ser con extension cer, pfx( que lleva clave privada integrada), está definido por ISO con el formato X.509 v3 en adelante, siempre habrá un repositorio donde estén dichos certificados. Podemos enviar el certificado mediante un correo, enviando un correo firmado. Quien emite certificados FNMT fabrica nacional de moneda y timbre. Verising: seria la entidad certificadora que emite certificados incluso a entidades certificadoras. La firma digital: solo puede ser generada por el poseedor de la clave privada, solo puede ser verificada por cualquier usuario que conozca la pública del firmante. El documento que se firma es dependiente de la firma en si. La firma que se genera a la hora de aplicarla a un documento, no se puede utilizar para firmar otro, las firmas son distintas. El proceso de generar firmas digitales se lleva a cabo mediante dos pasos: La utilización de algoritmos Hash que generan a partir de un documento un valor matemático único, el otro paso es coger el resultado del algoritmo y cifrarlo con la clave privada de dicho usuario. Normalmente, la firma es un paquete de información de tamaño fijo dependiente del mensaje original. El algoritmo hash crea una reseña, esa reseña hay que cifrarla. MD5, MD4, SHA1 algoritmos de firma.
30-05-11 Cuando firmo, lo que hago es decir que ese documento es integro. Hacemos una reseña con el algoritmo hash y ciframos, esa reseña se queda cifrada y se incorpora al documento junto con el certificado, todo esto se envia, cuando el usuario recibe el documento con una reseña y un certificado lo que hace es extraer del certificado la comprobación de que es valido y de el extrae la publica del usuario ( del usuario) el sistema aplica el algoritmo hash para generar una reseña, cuando tiene la publica, la publica se aplica a la reseña cifrada para obtener la reseña sin cifrar, el sistema lo compara y si las reseñas coinciden el documento es integro.
AUTORIDAD REGISTRO Es la entidad que asegura la identidad de los usuarios de los certificados
digitales. En todo sistema de infraestructura de clave publica tiene que haber una maquina que se encargue de gestionar el registro de los usuario, el que proporcione a los usuarios poder identificarse, generar un registro ya sea manual o automatico. Registro clasico: el solicitante va a una oficina de registro. Registro remoto: por internet, petición a una entidad certificadora. AUTORIDAD CERTIFICADORA Genera certificados y los firma con su clave privada. Procesa toda petición de certificado a través de la autoridad de registro. Valida aquellos certificados o peticiones de certificados que provienen de una autoridad de registro. Genera certificados y los almacena en un repositorio público. Gestiona la caducidad y renovación de los certificados. Seria la entidad certificadora raiz. La fiabilidad de esta entidad se basa en la inmovilidad de su clave privada. Tiene que estar protegida. A la hora de implementar una entidad certificadora tenemos dos tipos: Entidad emisora de certificados empresarial (cuando se dispone de un dominio.). Entidad emisora de certificados independiente (no hay dominio). Entidad emisora de certificados empresarial requiere AD, es capaz de emitir certificados de forma automática utilizando las credenciales de los usuarios autenticados en el dominio. Entidad emisora de certificados independiente no requiere AD, se puede implementar en un grupo de trabajo pero deberá ser de forma manual. Para que una entidad certificadora emita certificados lo tiene que hacer mediante plantillas de certificado: conjunto de reglas y parámetros que definen como se generará o solicitará o enviará un certificado. Las entidades certificadoras solo pueden emitir certificados basados en plantillas. Las plantillas se pueden personalizar para dar el uso o los propósitos para los que quieres que se utilice dicho certificado. Existen varias versiones de plantillas: Windows 2000 normalmente no son editables, para editarlas lo que hay que hacer es duplicarla (boton derecho). Windows 2003-2008 son editables Para crear un path de confianza hay que descargar de tu entidad certificadora la cadena de certificados o cadena de revocación.
CRL certificate revocation list Es una lista de todos los certificados que ya no son válidos y los que no puede confiar ningún usuario. Cuando una CA emite un certificado lo hace con un periodo máximo de validez, el objetivo es tener que renovarlo porque a lo mejor tenemos que modificar algún parámetro, con esto disminuimos el riesgo de que el certificado quede obsoleto cuando hay modificaciones de la industria informatica, por ejemplo, version del certificado. PKI nos permite crear sitios web seguros. Mediante SSL Trabaja junto a PKI, trabaja con algoritmos simétricos pero garantizando que la clave simetrica esté protegida en todo momento. nuestro Servidor Web tiene que tener un certificado solicitado a una CA, mi sitio Web o mi servidor Web dispone de dos claves una publica y otra privada, (HTTPS), el usuario hace su https, en el momento que el cliente solicita la pagina Web segura, lo siguiente que hace el servidor Web es descargar en el cliente el certificado del servidor Web, este certificado según llega al sistema es comprobarlo con la CA que lo generó, cuando lo valida, del certificado se extrae la clave publica del servidor web, el sistema genera una clave de sesión secreta, RC4 de 128bit, que nos va a servir para cifrar y descifrar información, el sistema después aplica la clave publica sobre la secreta para conseguir la secreta encriptada y se envía al servidor, cuando la recibe lo que hace es aplicar su privada para conseguir la clave secreta que es la que utiliza el servidor y el cliente para enviarse toda la información encriptada, la clave secreta es clave secreta de sesión o simétrica de sesión, cuando el usuario cierra la sesión esa clave se desecha. Migrar entidad certificadora, tenemos que hacer una copia de seguridad, todas las tareas, hacer copia de seguridad y despues tenemos que ir al registro regedit, hklm\system\currentcontrolset\services\certsvc\configuration , boton derecho exportar clave, la rama seleccionada, la exportamos a la misma carpeta que el backup. habria que desconectar la CA de la red, En otra máquina restauramos todo lo anterior, agregamos una entidad certificadora del mismo tipo, ponemos el mismo nombre a la maquina y a la CA y una vez que la generamos y la arrancamos tenemos que para el servicio de CA, meter la clave de registro y despues boton derecho todas las tareas restaurar en la CA.
ADRMS active directory right management services AD RMS es una tecnología independiente de formatos y aplicaciones que se
implementa en forma de servicios para la creación de soluciones de protección de la información. Puede funcionar con cualquier aplicación compatible con AD RMS, aplicando sobre la información sensible una serie de políticas persistentes. Entre los contenidos que pueden protegerse con AD RMS están, por ejemplo, los sitios Web de intranets, mensajes de correo electrónico y documentos. Las organizaciones pueden diseñar plantillas de derechos de uso del tipo "Confidencial - Solo lectura" que se aplican directamente a los documentos, por ejemplo informes financieros, especificaciones de producto, datos de clientes y mensajes. AD RMS incluye una serie de funciones básicas que permiten a los desarrolladores añadir medidas de protección de la información a las aplicaciones actuales. Un sistema RMS, que incluye componentes de servidor y de cliente, realiza los siguientes procesos: • Licencia de información con protección de derechos: Un sistema AD RMS expide certificados de cuentas autorizadas, que identifican a entidades de confianza (por ejemplo usuarios, grupos y servicios) que pueden publicar contenidos protegidos. Estos derechos de uso especifican quién puede acceder a este tipo de contenidos y de qué forma. Cuando un contenido se protege, se genera una licencia de publicación para él. Esta licencia asocia derechos de uso concretos a un bloque específico del contenido, de manera que dicho contenido puede distribuirse. Por ejemplo, los usuarios pueden enviar documentos con derechos restringidos a otros usuarios dentro o fuera de su organización sin que ese contenido pierda los derechos protegidos. • Adquisición de licencias para descifrar los contenidos con derechos restringidos y aplicar las políticas de uso: Los usuarios que disponen de un certificado de cuenta autorizada pueden acceder a contenidos de acceso protegido utilizando alguna aplicación de cliente compatible con AD RMS que les permita ver y trabajar con dichos contenidos. Cuando un usuairo intenta acceder a contenidos protegidos, las peticiones se envían al servidor AD RMS para acceder (o "consumir") ese contenido. Cuando se intenta consumir el contenido protegido, el servicio de licencia AD RMS del servidor AD RMS expide una licencia de uso exclusivo que lee, interpreta y aplica los derechos de uso y condiciones que se especifican en las licencias de publicación. Los derechos y condiciones de uso son persistentes, y se aplican de forma automática allí a donde viaje el contenido. • Creación de archivos y plantillas protegidos: Los usuarios que se consideran entidades de confianza en un sistema AD RMS pueden crear y gestionar archivos protegidos utilizando herramientas de autor muy familiares, dentro de alguna aplicación compatible con AD RMS que incorpore esta tecnología. Además, las aplicaciones compatibles con AD RMS pueden utilizar plantillas de derechos de uso definidas y autorizadas de forma oficial y centralizada para que los usuarios puedan aplicar, con la máxima facilidad, una serie de políticas de uso predefinidas. Directivas de exclusión, especificando quien no puede usar este sistema. Podemos hacer que no haya gente que proteja información.
Es una tecnología capaz de proteger la información del uso no autorizado. Es un rol. Permite que los usuarios que son propietários de cierta información, determinar el modo de uso que se va a poder hacer de dicha información, quien puede abrirlo, modificarlo, imprimirlo o reenviarlo. Los permisos NTFS aplican seguridad a ciertos documentos pero ADRMS aplica derechos de uso, el que un usuario pueda ver pero no copiar, pueda ver pero no imprimir, pueda editar y no imprimir etc. Implementa una forma de aumentar la seguridad porque aplica
directivas que determinan que es lo que se puede hacer con esa información, la ventaja es que las directivas quedan asociadas permanentemente a esa información independientemente del lugar a donde vaya la información. ADRMS nos permitirá proteger sitios web, docuentos etc. aplicable a cualquier formato o aplicación siempre y cuando este habilitada para ello. El servidor ADRMS es capaz de generar su propio certificado que le va ha permitir otros certificados e incluyo licencias de uso, no necesita ADCS porque puede interoperar el mismo generando su propio certificado capaz de generar sus propios certificados. Nos va ha permitir trabajar con tecnologías como ADFS. La gestión o administración de los servicios de ADRMS se puede hacer por medio de unas funciones llevadas a cabo por medio de las incorporación de los usuarios en ciertos grupos. - todos son locales - grupos de servicios de ADRMS - grupos de administradores de empresa de ADRMS - grupo de administradores de plantillad e ADRMS - grupo de auditores de ADRMS GRUPO DE SERVICIOS DE ADRMS: Se crea de manera predeterminada por el servicio de ADRMS y solo contiene la cuenta de servicio ADRMS que permite a los servidores ADRMS gestionar informaciónes sobre ellos. ADMINISTRADORES DE EMPRESA: pueden adminstrar todas las opciones y directivas de un servidor ADRMS así como configuración y politicas. grupo de administradores de plantilla de ADRMS todos los usuarios que tengamos que determina con que informacion van a poder trabajar otros usuarios, podrán leer en todo momento la información del cluster ADRMS. El o los cluster son los servidores ADRMS que ejecutan ese servicio ADRMS, están conectados a un cluster ADRMS, comparten tareas de atender las solicitudes de certificados publicando información procedente de diversos clientes, cuando se instala el primer servidor ADRMS en un bosque ese servidor se convierte en cluster ADRMS, a ese cluster se podran agregar otros servidores mas, existen dos tipos de cluster; cluster raiz y de solo para licencias. El primer servidor que se instala en un bosque o dominio se define de forma automatica como el cluster raiz, es el que controla todas las solicitudes de licencias de certificación del dominio en donde ha sido instalado. uno solo para licencias es un tipo de servidor o cluster que es opcional, cuando necesitamos un cluster independiente por ejemplo para un departamento. No se puede usar para crear un entorno de equilibrio de carga junto a otros cluster del raiz. Lo recomendable es usar un unico cluster raiz y unir mas servidores, los cluster de solo licencias generan sus propios certificados de emisores de licencias. Todo esto lo puede generar los enterpriser y los de plantilla. GRUPO AUDITORES: concede a los usuarios administrar toda la gestion de informes y registros que genera un servidores, monitorización o auditoria, delegación de solo lectura.
Un servidor ADRMS realiza una serie de tareas que determinan como proteger la información. Concede licencias a la información protegida por derechos. ADRMS establece un sistema de path de confianza por medio de certificados, toda información protegida por derechos se publica con una licencia o certificado que indica las reglas de uso de dicha información- Todo usuario que quiera hacer uso del contenido recibirá una licencia única de uso que se encarga de interpretar las reglas incorporadas en el certificado aplicando a dicha información, obligando al usuario a tener que cumplirlas. Un servidor ADRMS cuando se instala genera un certificado conocido como Certificado de emisor de licencias de servidor. ese certificado contiene una clave pública, la identidad del servidor, el periodo de validez que suele ser de 250 años, que se genera cuando lo instalas, esta autogenerado se llama autosuscripción, este certificado le permite al servidor el derecho de validar certificados, comprobarlos y emitirlos, ese certificado es compartido por todos los servidores ADRMS que se incorporen al cluster. Este certificado se conoce como SLC. Otro certificado es conocido como RAC (certificado de cuenta de derechos), solo se genera a usuarios de confianza, cuando está autenticado o por un servidor ADRMS o AD, es generado por ADSRM cuando un usuario intente abrir un documento protegido por derechos. Solo se generará al usuario siempre que tenga cuenta de correo sino no. Dentro del RAC tenemos dos tipos de certificados:
standar y temporal. Standar es concedido a un usuario que intenta abrir un documento protegido y ese rac standar lo que hace es establecer la identidad del usuario en base a las credenciales de la cuenta de un equipo. El periordo de validez es de 365 dias por defecto. Temporal identifica a un usuario en función a las credenciales de cuenta, el periodo de validez es de 15 minutos, no asocia al usuario con ningún equipo. El RAC Contiene una clave publica del usuario y una clave privada cifrada con la publica del equipo. El certificado de equipo: se crea en el equipo cliente la primera vez que se usa una aplicación habilitada para ADRMS, el cliente ADRMS es un servicio que se activa de forma automatica en sistemas operativos WVista en adelante y que permite inscribirse en un ADRMS o un cluster, con el fin de solicitar o generar dicho certificado. El certificado de equipo identifica al equipo y se almacena localmente dentro de la sesión del usuarios, contiene una clave pública que es la que utiliza para cifrar la clave privada de la RAC, a parte tiene una clave privada para firmarla instalada en la propia máquina. Certificado de emisor de licencias de cliente CLC es generado por un
ADRMS en respuesta a una solicitud procedente de una aplicación compatible con ADRMS para proteger información, permite a un cliente por medio de dicha aplicación que solicita el certificado pueda este usuario publicar contenido protegido. Este certificado está vinculado al certificado RAC por lo que si el RAC no es válido o no existe el usuario no tendrá acceso al ADRMS. Contiene una clave pública, una clave privada que sirve para firmar licencias de publicación, una clave pública del servidor ADRMS que sirve para cifrar cualquier tipo de contenido.
01-06-2011 Existen una serie de licencias: Licencia de publicación: se crea cuando el usuario protege el contenido. Esa licencia especifica que usuarios pueden abrir el contenido... las condiciones con las que tiene que contar un usuario para poder abrir un usuario y que derechos tiene con respecto a dicha información. Contiene una clave simétrica, esa clave permite descifrar cualquier tipo de contenido que se cifro con una pública de servidor que emitió dicha licencia(contiene la pública del cluster ADRMS). Licencia de uso: se concede a un usuario que abre un contenido que esté protegido. Es la que determina los derechos que tiene ese usuario al abrir el contenido, está vinculada al RAC, si el usuario no tiene un RAC o no es válido, no podrá abrir en ningún momento un contenido protegido. La licencia de uso contiene la clave simétrica que descifra todo aquel contenido que se cifro con la pública del usuario o con la licencia de publicación.
Para trabajar con ADRMS necesitamos como minimo Windows 2008 con RAM minima de 512 MB, espacio minimo de HDD 40GB recomendable 80 GB, sistemas operativos standard, enterprisa y datacenter con formato ntfs e instalado en la máquina IIS con ASP.NET y MessageQueving (servicio para mensajeria y comprobación de servicios de mensajeria y protección). AD ejecutado en servidores 2003 sp3 en adelante. Debe estar instalado en el mismo dominio que los usuarios que van a hacer uso de el. Todos los usuarios tiene que contar con una cuenta de correo. Para poder instalar ADRMS también se necesita los servicios de la aplicación SQL Server Service Pack 2 en un equipo a parte(para el almacenamiento del cluster ADRMS), certificados SSL para el cluster ADRMS, los equipos clientes necesitarán aplicaciones compatibles con ADRMS, officce2007, oneNote.
06-06-11 ADFS es la implementación de Microsoft del protocolo WS-Federation, y su funcionamiento se podría resumir muy brevemente de la siguiente manera: cuando un usuario desde una empresa A navega a una aplicación de una empresa B, su
navegador es redirigido automáticamente a un sitio web de la empresa A, donde será autenticado. Este sitio le redirigirá de nuevo a la aplicación de la empresa B, pero esta petición irá acompañada de una serie de datos (firmados por la empresa A) que le identifican como un empleado autorizado para usar la aplicación de la empresa B, además de contener una lista de derechos que la empresa A le otorga.
http://technet.microsoft.com/es-es/library/cc772313(WS.10).aspx
Servicios de federación de Active Directory (ADFS) Relaciones busines to busines B2B Tecnología que viene implementada a partir de las versiones W2008, establece un servicio de relación de confianza entre servidores de distintos dominios utilizando en vez de puertos LDAP, puertos HTTP, con lo cual están basadas en arquitectura WEB, asi, ADFS utiliza HTTP junto a protocolos como SSL ( 443) para establecer esa comunicación de relación de confianza. Vamos a poder extender la autoridad de una red a otra (igual que una relación de confianza), la ventaja es que en ADFS la relación de confianza se establece entre servidores de aplicacíones por lo que no es necesario abrir puertos LDAP para este sistema, asi con los puertos 53, 443, 80, 25 un usuario va a poder acceder a los recursos de otro dominio, siempre y cuando esos servidores de aplicaciones estén habilitados para ADFS. Trabaja junto a AD para AD autenticar a los clientes y es informada o pasada a los servicios de ADFS para que con las credenciales del cliente puedan acceder a esas aplicaciones. A la hora de desarrollar ADFS tenemos que tener claro que trabaja con 4 funciones Servicios de Federación Sercicio Proxy de Federación Agente de notificaciones Agente de Windows basado en tokends.
Servicios de Federación Está formado por todos los servidores que comparten directivas de confianza comunes, se encargan de reenviar las peticiones de autenticación de clientes hacia otros dominios u otros servicios de directorio. Esos servicios de directorio crearán tokens de seguridad para ese usuario que quiere acceder a unos determinados recursos.
Servicios Proxy de Federación Se suele implementar en entornos de redes protegidas a través de DMZ o perimetrales o protegidas por Firewall, son los encargados de redirigir las peticiones de
autenticaciรณn de los exploradores web de los usuarios hacia los servidores ADFS. Para hacer este reenvio utilizan un protocolo denominado ws-fprf.
Agente de notificaciones claims aware agent Son servidores Web que estรกn a la espera de recibir tokens de seguridad para conceder o denegar el acceso a una aplicaciรณn web.
Agente de Windows Basado en Tokens Es un servicio que se encarga de poder convertir los tokens ADFS en tokens WindowsNT para poder conceder a un usuario la autenticaciรณn no basada en Web.
ADFS depende de tres componentes: Notificaciones ADFS Cookies Certificados
โ ข
Notificaciones:
son la comunicaciรณn que se establece entre los distintos socios ADFS, esas notificaciones van a estar basadas en unos valores configurables como pueden ser: nombre usuario, clave certificado, pertenencia a grupos, DNI. ADFS puede consultar a ADDS en busca de notificaciones y ofrecerselas a sus socios. Existen tres tipos de
notificaciones que podemos establecer: Notificación de identidad: al menos debe de existir esa notificación para poder generar tokens de seguridad. Define al usuario o identifica al usuario. Ej: correo electrónico, UPN, common name.(CN). Solo existen tres tipos de identificación de usuario que son estos. Notificación de grupo: se utilizan para identificar a un conjunto de usuarios y por medio de la identificación de la pertenencia a ese grupo generar una notificación de pertenencia a ese grupo. Personalizada: tu como administrador decides que parametros usar para la identificación del usuario, un nº de c/c, dni, etc... cuando dos ADFS empiezan a hablar lo hacen mediante notificacíones. Hay tres tipos de agrupación de notificaciones. de organización, entrantes y salientes. Entrantes: las que recibe nuestro servidor. Salientes: las que se envian al servidor de recursos en concreto. Organización: enfocadas a crear un conjunto de notificaciones para que hagan referencia a un determinado grupo de usuarios. pertenecientes a una cierta UO, a ciertos grupos etc.. • COOKIES
documentos que se cargan en un cliente durante una sesión de un cliente, mantiene la sesión identificada del usuario en una aplicación web. Tres tipos: de autenticación, de asociado de cuenta, de cierre de sesión Autenticación: generada por una ADFS, coloca esa cookie en el navegador del cliente, sirve para no tener que volver a logarse cuando se requiera autenticación. Asociado de cuenta: en el proceso de autenticación el cliente anuncia su suscripción intento de suscripción hacia un asociado de cuenta con la que el servidor ADFS genera esta cookie que contiene está información del usuario para que el usuario no tenga en un siguiente inicio de sesión volver a buscar un asociado de cuenta. Cierre de sesión: la genera adfs para que todos los procesos de finalización en el explorador web cierren sesión e incluso redirijan al cliente a una página web principal. •
CERTIFICADOS
http://64.4.11.252/es-es/library/cc757100(WS.10).aspx. Para que las comunicaciones entre los ADFS sean seguras se utilizan los certificados. Trabaja junto con ADCS para crear comunicación segura hacia servidores web. Existen varios tipos de certificados:
De servidor de federación:Todo servidor ADFS necesita de un certificado de autenticación para poder llegar a firmar tokens que requieren los usuarios que intentan utilizar aplicaciones web, si no tiene certificado de servidor un ADFS no puede trabajar. Certificado de autenticación de servidor: este se encarga de asegurar el tráfico web entre el ADFS y los proxy o los usuarios. Certificado de firma de tokens: asegura que el token emitido para el uso de una aplicación web a un usuario no va ha ser alterado cuando se envie. Certificado de proxy de servicio de federación: todo servidor proxy debe tener su certificado de autenticación para poder emitir o permitir comunicaciones SSL con los clientes Web. Certificado de Agente Web: todo servidor web que vaya a trabajar con ADFS necesita un certificado de autenticación de servidor para proteger la comunicación web con los clientes, el agente web se encarga de interpretar los tokens y las notificaciones provenientes de un servidor adfs. Todos los certificados se pueden solicitar de tres maneras diferentes: emitidos con entidades certificadoras de terceros, crear tu propia entidad certificadora ( para administrar todos los certificados pero necesitas un sistema de path de confianza para todo certificado emitido por dicha entidad certificadora, estableciendo la autoinscripción o certificados autoconfirmados.( el propio servidor ADFS puede generar su propio certificado).
ADFS utiliza dos terminos como son el asociado de cuenta y el asociado de recurso, se utilizan para identificar las organizaciones que alojan las cuentas de usuario ( asociado de cuentas de usuario) que quieren hacer uso de recursos ya sea por ADLDS o ADDS o la organización que aloja tenga los recursos basados en web o apliaciones web( asociado de recursos). El asociado de cuenta es el responsable de recopilar y autenticar las credenciales de un usuario que intenta acceder a un recurso, es el encargado de generar notificaciones (tokens) para dicho usuario y empaquetarlas en tokens de seguridad, ese token se presenta para poder tener acceso a los recursos basados en web ubicados en las organizaciones del asociado de recursos. El asociado de recurso concederá la autorización a dicho recurso ( aplicacion web). Un asociado de recurso es ese segundo socio de una infraestructura de relación de confianza federada. Es la ubicación en la que residen los servidores web que alojan las aplicaciones. Un asociado de recurso lo que hace es confiar en un asociado de cuenta para autenticar a los usuarios, el asociado de recurso para autorizar el acceso a una aplicacion web utiliza las notificaciones empaquetadas como token para permitir el acceso a dicho recursos. sso single sesion on
Existen diferentes directivas de confianza que van ha definir como se configura la confianza federada entre los servidores. URI de servicio de Federación (universar resource identifier) cadena de texto que identifican un recurso. Dirección URL podemos especificar la dirección del extremo de la relacion federada para tener en cuenta cuando solicita un determinado recurso. Token Life-Time: define cuanto tiempo será válido un token de seguridad emitido a un usuario. Por defecto 10 horas. SID: especifican que los servicios de federación pueden usar los sid de usuarios para establecer la comunicación o generar tokens.
INTERNET INFORMATION SERVICE IIS Examen 70-643 Internet Information Services o IIS es un servidor web y un conjunto de servicios para el sistema operativo Microsoft Windows. Originalmente era parte del Option Pack para Windows NT. Luego fue integrado en otros sistemas operativos de Microsoft destinados a ofrecer servicios, como Windows 2000 o Windows Server 2003. Windows XP Profesional incluye una versión limitada de IIS. Los servicios que ofrece son: FTP, SMTP, NNTP y HTTP/HTTPS. Este servicio convierte a una PC en un servidor web para Internet o una intranet, es decir que en las computadoras que tienen este servicio instalado se pueden publicar páginas web tanto local como remotamente.
08-06-11
INTERNET INFORMATION SERVICE IIS Nos permite mediante el uso de herramientas de administración poder configurar servidores para ofrecer a nuestros usuarios sitios web y aplicaciones web. El rol de servidor web nos permite el poder compartir información con usuario dentro y fuera de nuestra organización ofreciendo servicios a internet. Incorpora una plataforma integrada con tecnologias ASP.NEt y también con Windows Comunication Fundation WCF. El rol de IIS está formado por un conjunto de 40 modulos, pudiendo agregar módulos de otros fabricantes para poder personalizar la instalación con respecto a las necesidades. El servicio de FTP e IIS no viene implementado. Incorpora una nueva MMC que nos va a mostrar esa administración de forma detallada. La versión IIS 7.0 no es un componente único, está formado por varios módulos ( + de 40), cada uno de estos módulos ofrece una arquitectura de administración diferente. Módulos de caché, si quieres que tu IIS ofrezca servicios para almacenar en cache sitios web que ofrece. Ventaja que ofrece IIS 7.0 desarrollado en un sistema de módulos, principalmente, la
instalación es totalmente personalizable, mejora la seguridad de tu servidor ( la administración modular permite elegir lo que quieres instalar y lo tienes controlado), Modulos Nativos: aquellos que se encargan de procesar las peticiones de los clientes que realizan hacia un objeto web utilizando dll implementadas nativamente en el servidor en el que se procesa. Modulos manuales: se ejecutan junto a los nativos, son gestionados por administradores, permiten solicitar y manejar código o aplicaciones que han sido desarrolladas por terceros. start/ocsetup ocslist para instalarlo en server core.
Cuando instalamos IIS en la carpeta raiz se crea una carpeta llamada inetpub, dentro tenemos: temporales, wwwroot, log, custerr, AdminScripts, history etc... En custerr tenemos todas las páginas de error. History modo de registro y almacenamiento de configuraciones. AdminScripts herrramientas de administración y acceso sobre errores, wwwroot es la carpeta que por defecto el IIS utiliza para almacenar el sitio web predeterminado Default Web Site, es un sitio web predeterminado que hace una consulta a esa carpeta, normalmente se emplea porque tiene la gestión de permisos para que sea accesible por todos los usuarios tanto de dentro como fuera. Para probar que funciona se hace una peticion http://localhost Una de las caracteristicas de IIS 7.0 con respecto al 6.0 es que desaparece la metabase, los metadatos son sustituidos por los almacenes de configuración: archivos con extension xml que están almacenados en el sistema, en rutas como inetpub\wwwroot o c:\windows\system32\inetsrv\config Los archivos de configuración son administration.config, applicationHost.config, redirection.config, machine.config, Los almacenes de configuraciones son los archivos que se encargan de almacenar toda la configuración que se haga en el IIS, ya sea a nivel de caracteristicas de servidor, como a nivel de caracteristicas de un sitio web o un directorio virtual. La modificación de uno de estos archivos interfiere con los demás, hay un orden de preferencia de configuración y herencia de configuración. applicationHost.config: es el archivo de almacenamiento de configuración que contiene toda la información del sistema, sería la configuración del propio IIS. Un sitio web en concreto. Esta establecido en dos grupos de configuración Systemaplicationhost System.webserver: almacen las opciones de configuración de seguridad, compresion, registro, etc. Redireción.Config: almacena todos los sistemas de redirección de replicación o redirección hacia otros servidores, proveedores. Redirige solicitudes a aplicaciones web.
Administration.Config: almacena todas las delegaciones administrativas. Autorizaciones sobre IIS. Web.config: almacena configuraciones de determinado sitio web. Machine.config: archivo de almacenamiento de configuraciones que tiene todas las caracteristicas de configuracion NETframework para las aplicaciones ASP.net. Para implementar IIS en linea de comando es: PKGMGR Permite instalar y desinstalar modulos para un IIS START /w PKGMGR /IU: IIS-WebServerRole Para instalación desatendida START /w PKGMGR /n:c:\unattend.xml
para crear un sitio web podemos hacerlo desde la carpeta inetpub, dentro del wwwroot, ponemos una carpeta y creamos un documento de texto, y lo ponemos algo dentro, cambiamos la extension html, nos vamos a IIS, aparece en default web site, con el nombre de la carpeta.
Para implementar un servidor de correo, tienes que instalar una caracteristica que se llama Servidor SMTP gestiona servicios de correo saliente. Para el correo entrante tendría que ser con Exchange o un servicio de POP3.
Aplicación web : un programa diseñado para funcionar a través de navegadores, aplicaciones que pueden ejecutarse de forma online. Aquella aplicación cuya interface grafica se construye a partir de paginas web: ficheros de texto con el extensión html, estos ficheros se suelen almacenar en los servidores web al cual se accede solicitando peticiones http, la creación de aplicaciones web requiere la existencia en el servidor de un determinado software que se encargue de ejecutar y generar de forma automatica ficheros o archivos con extensión html que son visualizados por el explorador web. Podemos encontrarnos con dos tipos de aplicaciones online y offline. Según donde se ejecute la aplicación web. Offline: aquella que se ejecuta en el cliente.Para poder iniciar dicha aplicación es necesario que esa aplicación esté presente en el equipo cliente, tiene una serie de ventajas e inconvenientes. Su ejecución no requiere de conexión externa, se realiza de formal local en el cliente, ofrece mayor velocidad de procesamiento, pero está limitada porque es solo para el pc en el que está implementada. Son dependientes del sistema operativo y hardware que tenga el usuario.
Online: aquella que reside en el servidor y que es ejecutada en remoto desde un explorador web, para tener acceso a ella un equipo necesita conexión a internet y un navegador. Tiene la ventaja es que ofrecen movilidad, se puede ejecutar desde cualquier máquina con conexión a internet, mantenemos un unico punto de administración de dicha aplicacion para poder establecer actualizaciones , seguridad, ningún usuario puede modificar el codigo.etc. Desventajas: un cliente necesita un buen ancho de banda y siempre una conexión. El servidor que ejecuta dichas aplicaciones debe ser una maquina con buenas prestaciones. ASP.net seria el promotor de aplicaciones .net que permite ese desarrollo de aplicaciones web y servicios web. Cada vez que un usuario accede a una aplicación, el explorador web se conecta al servidor y es la aplicación la que va generando esos archivos html que forman en si lo que seria el sitio web. Existen diferentes técnologias para apliaciones offline. dhtml, javascripts,activex, applets, plugins son aplicaciones en la parte del cliente. El formato html es muy limitado, no fue diseñado para generar un entorno grafico atractivo, por medio de estas tecnologias se consigue que los entornos web genere una interface algo mas dinamica, se consigue mejorar la escalabilidad de las aplicaciones ya que se realiza menos trabajo en el servidor y podemos atender a muchos más clientes. dhtml: html dinamico: javascripts herramientas más utilizadas para dar ese dinamismo a las web. la modificación dinamica de las paginas html se realiza por medio de scripst o macros que suelen incluirse en el mismo fichero que la pagina web, esos scripts son generados por javascripts. Fue desarrollados por netscape para dotar a las paginas html de funcionalidad dinamica por medio de scripst, para ello tiene que tener un motor java para que pueda dotar a la pagina de un entorno dinamico. ActiveX: Tecnología que se puede implementar en el lado del cliente enfocado al desarrollo de aplicaciones windows, construidos sobre el COM (desarrollo de componentes anterior a arquitectura .net), estos controles se ejecutan previamente antes de ejecutar la pagina, son más rapidos que javascripts, (javascrp es mas insegura ya que a veces tenemos que modificar la seguridad del explorador para poder trabajr y asi crar algún agujero). Es especifica de microsoft, solo hay en internet explorer. Limitada a aplicaciones web de intranets. Fueron una apuesta de Microsoft para competir con Java y los applets de SunMicrosystem. Applets: aplicaciones escritas en java, y se ejecutan en el explorador web. Es una aplicación completa (compilada) adjuntada a una pagina web y que puede ejecutarse en cualquier explorador que tenga un compilador java. Ventaja: puede funcionar sobre cualquier navegador, su seguridad (las aplicaciones se implementan en un espacio independiente que no permite acceso a ningun entorno de la máquina a no ser que lo permita el cliente, requieren de la interactuación del cliente para su ejecución. Plugins: componentes implementados en los exploradores web que permiten alterar y
mejorar o modificar la ejecución de aplicaciones. Aplicaciones online: Ofrecen mas alternativas, un usuario no necesita ningún tipo de plugins instalado en el equipo para poder ejecutar dicha aplicaciones, las aplicaciones son ejecutadas en el propio servidor. Pueden almacenar cadenas de texto en el equipo cliente para mantener al cliente en una sesión constante hacia dicha aplicación (cookies de sesión). Tecnologías para construir aplicaciones online: compiladas e interpretadas. CGI common gateway interface: aplicacion web que se ejecuta en el servidor que establece como ha de comunicarse una aplicación con el servidor web y permite que ciertas aplicaciones externas puedan interactuar con un servidior web. se encarga de implementar la respuesta de una aplicación web ante la solicitud proveniente de un explorador. Una aplicación web está generada por muchos CGI que generan documentos html y los redirigen al usuario o redirigen al usuario a otro url. ServerLets: una aplicación escrita en java que se ejecuta en el servidor en vez de en el navegador del cliente como lo hace los applets. Ofrece el mismo comportamiento que un CGI pero los serverlets ofrecen mayor entorno de configuración, mayor herramientas o biblioteca de trabajo para dotar a las aplicaciones web de mayor dinamismo. ASP,JSP: lenguajes de programación interpretado que permiten preparar documentos html en los cuales se pueda introducir código para generar esas paginas html. Son las aplicaciones online mas utilizadas. para generar documentos html de forma más dinamica. Las aplicaciones se suelen agrupar en un grupo de aplicaciones (pool de aplicaciones): un conjunto de aplicaciones que comparten una configuración comun, es también un conjunto de una o mas direcciones url que son mostradas por un proceso de trabajo, establece el comportamiento de una o varias aplicaciones. Se utilizan para establecer limites entre las aplicaciones y evitar que se pisen para que se ejecuten de forma correcta. Organizan la ejecucion de aplicaciones que generan sitios web. Todo grupo de aplicaicones tiene una serie de propiedades que son: su nombre descriptivo (no se puede cambiar), version de framework (motores que cargaran dicha aplicacion), modo de canalización Integrada: toda solicitud es gestionada por los motores del IIS, y la clasica: permite ejecutar aplicaciones de forma separada establece accesos a otros servicios.
isapi
15-06-11 asp.dll se encuentra en inetsrv y es la que establece como ha de ejecutarse la aplicación estructurada con asp. asp.net le termite a IIS que las solicitudes que reciba sean antendidas no por esta dll sino por otra dll que depende de netframework y se encuentra en c:\Windows\Microsoft.net\framework\aspnet_isapi.dll. La dll es la que determina como interpreta la aplicación asp para mostrar al explorador web del cliente una pagina http. Para poder ejecutar paginas ASP en IIS primero tenemos que decirle a IIS como gestionar las aplicaciones con extension .aspx con lo cual, para establecer eso configuramos sobre la aplicación lo que se llama el framework que se encarga de ejecutarla. Cuando compilamos aplicaciones web el IIS mediante su categoria application Development configura todas las opciones de configuración. compilación, globalización.net ; especifica el tipo de lenguaje y cultura con el que queremos ejecutar dicha aplicacion, los proveedores: son los distintos servicios y roles implementados que se encargar de ejecutar todas las apliicaiones web. Estado de sesión: configura el comportamiento respecto a las sesiones que un cliente tiene que establecer en la aplicación. Paginas y controles, valores que controlan el comportamiento de una pagina ASP y establece como se componen o estructuran todas esas páginas ( como se complilan, información de usuario necesaria etc...), La seguridad a nivel ASP: es algo esencial a tener en cuenta, restringir el acceso a determinados recursos de nuestras aplicaciones, lo normal es que al usuario se le identifique (pedir credenciales) se realiza solicitando esas credenciales, para poder pedir esas credenciales tenemos que configurar nuestro servidor con los distintos tipos de autenticación que vamos a poder tener. Configuramos gráficamente dentro de la seguridad o configurando el archivo Webconfig de cada aplicacion o sitio web. Modos de autentificación: Formularios: solicitud solicitando que tipo de información se solicita al suaurio Basica: se caracteriza porque emplea el protocolo http y las credenciales que se solicitan a un usuario se codifican en base 64 pero se envian en texto plano por lo que son muy faciles de decodificar. Es el método mas inseguro que hay porque no cifra la información solo la codifica. La ventaja es que forma parte de la especificación http por lo que cualquier navegador puede utilizarla. Es la más compatible. Passport: establece la autenticación por medio del UPN del cliente ( nombre de usuario@nombre del dominio). None Digest(implicita): se solicitan credenciales al usuario y se cifran con algoritmos hash, es un sistema que ofrece la misma autenticación que la básica pero transmite las credenciales cifradas con hash. No todos los exploradores admiten dicha autenticación, dependen de la versión 1.1 de http. Normalmente está enfocada a entornos de dominios Windows. Como la credencial se cifra el controlador de dominio tiene que poder descifrar dichas credenciales
( almacenar contraseñas usando cifrado reversible en las cuentas de usuario) para poder autenticar son sistema Digest. Wdigest: ya no necesita almacenamiento de contraseñas en AD. Windows Authenticatión (integrada): se caracteriza porque al igual que la digest utiliza algortimos hash para poder enviar las credenciales a traves de la red. Es dependiente de AD, para poder validar credenciales. La ventaja es que aquellos usuarios logados en un dominio no se les suele pedir usuario y contraseña sino que lo que hace es validar a un cliente con respecto a la información de autenticaciójn previamente en el dominio con respecto a los tikest de sesión de Kerberos. Anonima: sin credenciales. ASp.net: junto a la de formularios, establece un sistema de solicitud de usuarios enfocado a aplicaciones configuradas en plataforma asp.net. Filtro Isapi: Api: interface de programación de aplicaciones. Determina a que dll se tiene que solicitar la interactuación para ofrecer un servicio. ISAPI: es api para internet o servidor de internet Internet Server Application Programíng Interface. Niveles de confianza .net: configurar el nivel de seguridad con respecto al codigo de la aplicación, varias opciones: total, alto, medio, bajo,minimo.
20-06-11 Herramienta de comando para administrar nuestro servidor web a través de conjunto de objetos appcmd para IIS,podremos crear y configurar sitios, aplicaciones, directorios virtuales, iniciar o detener sitios, reciclar grupos de aplicaciones etc... está dentro de c:\windows\system32\inetsrv y ejecutamos appcmd appcmd site /? appcmd list site /state:stoped lista los sitios parados appcmd list site /state:starter lista sitios ejecutandose appcmd add site /name:lunes /bindings:”http/*:80:” /physicalpath:”c;\lunes” crearia un nuevo sitio llamado lunes, y cogería como origen la carpeta que se encuentra en lunes con un archivo htm creado también. modificar propiedades de un sitio ya creado con el comando set appcmd set site /?
appcmd set site “sitio web de fip” /id:200 cambiaria el id a 200 appcmd /? appcmd start site “lunes” Eliminar un sitio appcmd delete site “lunes” Esta consola nos permite añadir módulos, y nos permite hacer copias de seguridad de IIS Permite crear y restaurar copias de seguridad de la configuración de IIS no las páginas web o las carpetas donde están las páginas web, para ello tendríamos que realizar otra copia de seguridad. Qué contiene un acopia de seguridad realizada con este comando??: uno de los archivos esenciales de IIS, aplicationhost.config que contiene todas las configuraciónes a nivel general del IIS. Para crear una copia de seguridad tenemos el objeto BACKUP. appcmd add backup crearía una con fecha y hora sin nombre appcmd add backup nombre y se crearia con el nombre que queramos.
La copia contiene: applicationhost.config administration.config redirection.config MBSchema.xml MetaBase.xml Como se restaura una copia de seguridad de IIS. appcmd restore backup “nombre” ADMINISTRACIÓN REMOTA DE IIS Administración remota de un servidor: determinar que màquina se encargara de administrar remotamente el IIS, implementando en esa máquina la herramienta de administración del IIS. Desde el server manager, nos vamos a roles, rol de IIS, añadimos el IIS Management Console. En nuestro servidor nos iriamos al server manager y dentro del rol de IIS, en web server tenemos un rol implementado que se llama IIS Management Service y si no está hay que instalarlo. Después, nos vamos a la herramienta de IIS, dentro nos vamos a seguridad y tenemos una opción llamada Management Service, dentro, comprobamos que tenemos habilitado o habilitamos el Enable remote connections,
En IIS Manager Users ponemos los usuarios que pueden conectarse a mi sitio que pueden ser desde este o los usuarios de windows ( según pongamos cuando configuramos la administración remota). Administración remota a nivel de sitio: nos vamos al IIS, al sitio web en concreto y nos vamos a conectar sitio. Administración remota a nivel de aplicación web: navegaríamos hasta la aplicación en concreto e irnos al IIS manager permisions y permitir un usuario. Vamos a poder decir que caracteristicas vamos a delegar a un usuario en concreto. En IIS seguridad, tenemos Feature Delegation, y aqui podemos delegar con respecto a todas las opciones que tenemos si le doy que permisos delegadas tenemos o no poniendo read/write en delegación total y read solo obtiene información y no delegada no obtendrá nada.
27-06-11
Power Shell: se instala como caracteristica en 2008 y ya viene instalada en R2, trabaja con lenguaje script e incluye 130 herramientas, que se conocen como cmdlets o comandlets que cuentan con una sistaxis y convenciones de nombre que nos permiten el poder crear nuestros propios comandos cmdlets. Es muy similar al cmd de windows, podemos ejecutar cualquier comando identico al cmd de windows ( es compatible con todos esos comandos), permite manipular directamente objetos .net. Cuando entramos a power shell su sintaxis permite trabajar con comandos como dir, copy, atrib, se caracteriza porque utiliza directivas para trabajar, esas directivas en si son los cmdlets que utilizan la siguiente sintaxis; verbonombre. start-service, get-help, format-list etc... Los cmdlets operan sobre objetos, de forma única o encadenada. get-help cmdlets en concreto nos daria la información de ayuda del comando. get-help get-service
Variables: toda variable en power shell empieza con el símbolo $. $ayuda=get-help get-service -detailed y le damos a intro. cuando ejecutes $ayuda es como si ejecutasemos toda esa linea.
Alias:
como sabemos si un cmdlets tiene un alias o a que cmdlets corresponde ese alias. Para conocer el alias de un comando get-alias dir seria get-childitem. si ponemos get-alias nos mostraría todos los alias que tenga. dir -recurse inetpub mostraría toda la información del directorio inetpub, una lectura de todo lo que tiene dentro de esa carpeta. Para hacer consultas sobre AD pondriamos sobre la linea de comandos: [adsi]
$ouventas=[adsi]”ldap://ou=ventas,dc=fip,dc=com” dariamos un alias a este comando para conectarnos a la unidad organizativa ventas. para crear un usuario seria $user=$ouventas.create.user,”cn=pepe,ou=ventas,dc=fip,dc=com” $user.put (“setpassword”,”Alfa1234”) estableceriamos una contraseña get-command conseguimos todos los comandos get-process consulta de los procesos activos y parados get-eventlog nos muestra sucesos de seguiridad de windows format-custom nos permite establecer los formatos de los comandos que vamos a consultar. Windows Management Intrimentation los scripst de wmi se encuentran en el directorio de Windows y son iisweb.vbs( en la linea de cmd no en power shelll para creación/eliminación o listado de sitios web. Otro de los scripts que proporciona windows es iisback.vbs para hacer copias de seguridad. iisapp.vbs maneja listado de aplicaciones. iiscnfg.vbs importar o exportar configuraciones de iis a archivos xml. iisext.vbs para listado de aplicaciones, agregar o quitar dependencias de aplicaciones, activar o desactivar extensiones de servicio. iisftp.vbs para listar sitios ftp, crear/eliminar ftp previo instalacion de ftp. Administración ftp. iisftpdr.vbs para crear y eliminar directorios virtuales de ftp. iisweb.vbs / create nos permitirá crear un sitio web. Para hacer una copia de seguridad serian todas las .config explicadas en el dia 8-6-11, la carpeta framework c:\windows\microsoft.net\framework y nos llevariamos esta carpeta. También nos llevaríamos los archivos de registro del IIS, que están en inetpup/log. Cuando trabajamos con IIS en granjas: IIS7 nos aporta la configuración compartida que nos permite configurar un servidor web para que pueda utilizar archivos de configuración que se encuentren en un recurso compartido o en una ubicación central tener todos los archvios de configuración y que todos nuestros servidores tiren de él, para que todos utilicen la misma configuracion. Teniendo la configuración en un recurso compartido sabemos que la modificación que nosotros hagamos en cualquier servidor que tengamos en el cluster se verá en los demás. Requisitos para poder realizar esta configuración: - Deberemos ser administradores del servidor web y solo está disponible cuando se trabaja sobre el IIS de forma local como administrador y nunca en remoto.(siempre con el servicio parado ) - Una vez se establezca esta configuracion siempre se ha de reiniciar el servicio de administración de IIS y refrescar la MMC. Lo primero que tenemos que hacer es exportar los archivos de configuracion he incluso las claves de cifrado(certificados etc).
Nos vamos a nuestro IIS y en el servidor tenemos dentro de la categoria other tenemos Shared Configuration y tenemos Export Configuration le pinchamos y le damos la ruta a donde vamos a exportarlo, después tenemos que utilizar una pasword para encriptar las claves de encriptación del IIS. Nos llevariamos administration.config, applicationhost.Config y ConrfigEnckey.key Lo siguiente es configurar los IIS que queremos que utilicen esa exportación, en nuestro servidor donde pone management service le decimos parar, nos vamos a shared configuration y le decimos habilitar configuración compartida y le indicamos la ruta de la exportación anterior, nos pide usuario, password y confirmar password. y le damos a aplicar, nos pide la password de encriptación. Reiniciamos el IIS manager server y el management service.
Afinidad none, single y network None: realizaba el balanceo de carga en funcion a la conexion IP y puerto de la conexión entrante, el preferido para aplicaciones que no necesitan de mantenimiento de estado. Cada petición puede ser resuleta por cualquier nodo del cluster NLB. Cualquier nodo del cluster puede contestar. Single: el balanceo se realiza teniendo en cuenta la IP del cliente redireccionando todas las conexiones de esa misma dirección ip a un mismo nodo del cluster, la configuración single en una granja de servidores vendrá bien para servidores web o aplicaciones web que emplean sesiones.Independientemente del puerto que sea. Aplicaciones con estado. Para conexiones VPN. Network: o clase C: teniendo en cuenta los bit caracteristicos de la dirección IP, lo que la mascara le dice que dirección es la red. Todo cliente que proceda de esta red va al mismo nodo.
04-07-11 IIS nos da la posibilidad de realizar un seguimiento de errores, procesos del servidor. Es necesario implementar los módulos de seguimiento. Al conocer estos errores nos permite poder registrarlos para su posterior análisis. El work process nos permite ver los procesos de trabajo que se están ejecutando en nuestro servidor con respecto a las aplicaciones de nuestro servidor. Dentro del server manager hay que implementar los modulos de salud y diagnostico que son los, procesos de trabajo, los log, y el seguimiento de fallos. Formatos de los log: W3C: www consortion, los registros que se obtiene mediante este formato se caracterizan porque están formados por datos y directivas. El formato de registro se basa en una serie de directivas para decirle que es lo que queremos que se registre,version, dia y hora etc.. lo que seleccionemos.
IIS: este formato solo contiene datos, y no directivas. Siempre se registran todos los campos que en select files existen pero aquellos que en un principio selecionemos son los que mantiene información mientras que en los que no hay selección, los almacena como campo pero vacio. NCSA: national center for supercomputing application, formato de texto separado por espacios y que permite almacenar todos aquellos campos que están definidos en select files. CUSTOM: almacena información en base de datos, no se puede configurar sobre el IIS manager. Work Process: vemos que procesos se están ejecutando en nuestro servidor. Failed Request Tracing Rules: con respecto a ejecutables (paginas ASP, dll) podemos establecer un seguimiento a todo ese contenido.
Codigos de error. Los código 100 son informativos, indican una respuesta provisional, el cleinte va ha recibir una respuesta inmediata en respuesta a una solicitud enviada al servidor. Los códigos 200,. tenemos de 200 al 207, su valor es el servidor ha aceptado la petición del cliente correctamente. Es un codigo de ejecución correcto. 201 objeto creado, 202 aceptado, 203 la información no concede la autorización, 207 codigos de estado de error con respecto al servicio WebDav: un servicio ofrecio por IIS que permite que tu servidor trabaje como ftp a traves de http. Los códigos 300 son errores de redirección, este codigo le indica al cliente que necesita realizar una operación extra para solicitar una página. 301,302, 304, 307. Los códigos 400 son errores que se ofrecen al cliente, son errores del cliente, se producen por el usuario ejemplo. el cliente solicita pagina que no existe, no está proporcionando la información debida. 400 solicitud incorrecta, 401 error de acceso denegado pero dentro del 401 IIS ofrece diferentes codigos de error. 401.1, acceso denegado por error en el inicio de sesión, 401.2, error al intentar iniciar sesión porque la configuración del servidor es erronea, 401.3, error de acceso producido por el permiso no concedido en la dacl en la que se encuentran depositados dichos archivos.( no tiene permisos de lectuara o ejecución) 401.4 errores producidos por filtros ejecutados sobre dlls o ejecutables. 401.5 se han grestionado filtros ISAPI o CGI (filtros aplicados a dlls). 401.7 acceso denegado por una directiva de autorización sobre una URL.Error tipico de IIS 6.0
Los 403 normalmente conocido como prohibido. Suelen ser prohibiciones de ejecución, ejemplo; acceso de ejecución denegado o lectura denegado. 403.4 prohibido por solicitud de página incorrecta por no pedirse con https. 403.5 intento de acceso a pagina web segura ejecutado con http sin requerir el ssl 128 bits. 403.7 el cliente necesita un certificado para poder conectarse a un sitio web seguro. Los 404 son los codigos de error de objetos no encontrados. 404 archivo o directorio no encontrado. 404.1 no se puede tener acceso al servidor a través del puerto solicitado. 404.2 directiva de bloqueo de extensión. impide al usuario el acceso al objeto. Los 500 errores del servidor. Error interno del servidor. 500.12 la aplicación está ocupada, reiniciando el servidor. 500.13 servidor web demasiado ocupado. 500.100 error interno de ejecución de motores ASP. 503 el servidor no está disponible. 504 tiempo de espera agotado para la conexión con respecto al cliente. inetpub custerr, en-us tenemos todas las paginas de error.
examen 6428A TERMINAL SERVER Fueron desarrollados y basados por IBM que inició una empresa llamada CITRUS que más adelante con la incorporación de UNIX en el desarrollo de Terminal, termino denominandose CITRIX. La primera versión del producto no tuvo exito hasta que se amoldó al sistema operativo MS-DOS y así CITRIX sacó lo que se conoció como WINVIEW. Empezo a mejorar ese producto y lo hizo independiente de Windows que se llamo WINFRAME y que le permitia ejecutarse también con Windows. Windows se dió cuenta de que este nuevo software desarrollado por CITRIx se vendía mejor que el suyo y soportaba mayor sistema de conexiones. Windows se reunió con CITRIX para llegar a un acuerdo de licencias con las que Windows le dio a CITRIX los derechos de
licencia del codigo fuente del Windows Server y CITRIX les dio los suyos a Windows. Con este acuerdo ni uno ni otro se crearían competencia asi Citrix desarrollo protocolos de conexión independientes a Windows como es IKA y Windows desarrollo su propio protocolo de conexión remota RDP. Tanto Microsoft como Citrix comparten tecnología pero los productos que desarrollan no pueden interoperar juntos. Citrix es socio codesarrollador de Terminal Server.
Terminal Server es un equipo que ofrece a los usuarios la posibilidad de poder acceder a programas, escritorios etc como si estuviesen en su propia máquina. El acceso remoto que se concede a un usuario se lleva a cabo por un software de emulación de terminal. La caracteristica de los emuladores de terminal es que solo envia a un servidor de terminal pulsaciones de teclado y movimientos de ratón con lo que toda la ejecución de operaciones se realizan en el propio servidor localmente. Esto permite establecer un unico punto de administración de aplicaciones con un minimo coste en lo que a anchos de banda se refiere. No es necesario instalar terminal server para conectarte de forma remota a un servidor y poderlo administrar. La caracteristica de escritorio remoto proporciona un acceso a escritorio pudiendo gestionarlo a traves del protocolo RDP. Utilizar terminal server nos permite tener mas de una conexión, gestionar permisos de conexión, crear distintos perfiles de conexión etc. Normalmente la opción de escritorio remoto ya viene implementada por defecto en todos los equipos pero no viene habilitada. Los servicios de terminal constan de varios servicios de función: • Terminal server: permite a un servidor el que pueda hospedar programas basados en Windows. • Acceso Web a Terminal Server: permite a los usuarios obtener acceso a programas de un terminal server a través de una conexión de sitio web, peticion http. • Administrador de licencias de Terminal: encargado de administrar esas licencias que permite a los clientes el poder conectarse a un Terminal Server. Tanto a los equipos como
clientes. Se usa para emitir y supervisar la disponibilidad de las licencias de conexion a terminal server (CALs). Un servidor de licencias puede gestionar hasta 6000 licencias de acceso a clientes. El servidor de licencias solo se activa cuando el terminal server le solicita una licencia para un usuario o equipo. Las licencias son de dos tipos: CALs por usuario y por dispositivos. Por usuario: cada cuenta de usuario debe de tener su propia licencia. Solo es soportada en AD no valida para grupo de trabajo. Las licencias de usuario son distribuidas por el servidor de licencias y almacenadas en AD, y concede que el usuario que tenga dicha CAL puede conectarse al terminal server independientemente del dispositivo que utilice. Por dispositivo: es una licencia que no permite movilidad. No necesita de AD, se puede utilizar en grupos de trabajo. No son asignadas al usuario sino a la máquina cliente. Cada licencia se almacena localmente con lo que cualquier usuario va ha poder conectarse a un TS desde ese dispositivo en particular. • TSGateWay: puertas de enlace de Terminal Server: es un servidor que permite a los clientes autorizados el poder conectarse a recursos de una red desde cualquier dispositivo que se encuentre en internet o fuera de la red corporativa. Crea un enlace https y sobre ese enlace mete RDP, de esta manera crea una conexión remota a través de un enlace seguro. • Sessión Broker agente de sesiones: una máquina que gestiona un equilibrio de carga de sesiones de clientes entre los distintos servidores terminal que tengamos en nuestra empresa.
Una nueva caracteristica de TS. Remoteapp: sirve para poder utilizar una aplicación remota desde una máquina con sistema operativo XP Service Pack 2 en adelante que es el que proporciona el protocolo RDP 6.0. Los programas bajo remoteapp son programas que se comportan en un equipo cliente como si estuvieran implementados localmente. Un usuario va ha poder ejecutar bajo esta caracteristicas aplicaciones remotas como locales de forma simultanea sin tener que iniciar una sesión hacia un terminal server porque la propia ejecución de la aplicacion
remoteapp lanza la sesión hacia el terminal, Esos programas implementados en el cliente como remoteapp comparten la misma sesión del cliente con lo que le permite al usuario ejecutar impresión sobre sus impresoras locales o incluso acceso desde esa aplicacion a unidades de red locales (como si la aplicación estuviera implementeda en el equipo). Vamos a poder crear bajo la caracteristica remoteapp encapsular una aplicacion exe en msi para que el usuario se lo instales en su equipo. Nos permite crear paquetes windows instaler e incluso paquetes .rdp Reduce el que un usuario tenga que ejecutar varias sesiones para ejecución de aplicacioens. Vendría bien para sucursales donde tengan un ancho de banda limitado. Agregar programas remoteapp desde el panel de acciones del remoteapp decimos añadir programa, podemos crear archivos o documentos .rdp o windows instaler a partir de una aplicacion en concreto.
Mejora de las resoluciones soportadas por el emulador de Terminal: rdp 6.1 soporta resoluciones de 1920 X1200 y la capacidad de permitir al usuario el uso de multiples monitores . SSO: single sing only : para terminal server 2008. permite a un usuario con una sesión iniciada en dominio poder abrir varias sesiones hacia los TS aplicando unicamente esas mismas credenciales y medio de validación. Soporta NAP y trabajar con IPv6.
06-07-11 Envio de contraseñas entre usuario y servidor de forma segura. IPSEC. Contraseñas de un solo uso: caracteristica para TS, emplea algoritmos hash como md5 para encriptar esas contraseñas y almacenarlas de forma encriptada. Estos algoritmos (hash o sha1)
no tienen un proceso inverso para poder comparar las credenciales del usuario. El sistema de contraseñas de un solo uso está basado en la técnologia SSL, la idea de las conexiones https. Un TS no almacena contraseñas de usuario sino las reseñas de la aplicación del algoritmo hash a la contraseña de un usuario, si se pierde la contraseña del usuario no podrá ser posible la recuperación ya que solo se dispone del valor generado. Para poder enviar las contraseñas de forma segura tenemos que emplear un sistema en el cual enviando la reseña se pueda realizar la autenticación. El cliente inicia una sesión en el TS que envia al cliente una clave temporal (una llave) que se basa en la hora en la que se procesa el intento de inicio de sesión, una vez enviada la clave, el cliente con esa clave encripta la reseña de la contraseña y se envia al servidor; el servidor utiliza la misma clave para obtener el valor ( la reseña de la contraseña) si coinciden esa contraseña no ha sido modificada. Esa llave va cambiando para cada petición de clientes. Se reduce el riesgo de que alguien sin autorización pueda descubrir la contraseña. Hay tres métodos para generar las contraseñas de un único uso: - El primero utiliza los algoritmos hash para generar la contraseña a partir de la contraseña anterior que utilizó el usuario. - El segundo se basa en la sincronización de tiempo entre el servidor y el cliente. - El tercero proporciona algoritmos hash empleando la información IP del cliente. kerberos, otp one time password, tarjetas inteligentes, ntlm, ssl son las tecnologias soportadas para la encriptación. Un TS deberia implementarse siempre en una máquina que no fuera un DC ya que a parte de que el TS estará destinado a ejecutar aplicaciones, la seguridad seria la cuestión ya que en el DC solo se pueden logar los administradores y si abrimos para que se puedan logar los usuarios del dominio estaríamos abriendo un agujero de seguridad. Para trabajar con TS debemos disponer de una máquina que trabaje como servidor de licencias. Todo equipo que se conecta a un TS debe disponer de una CAL. El servidor de licencias se suele implementar en un DC. Lo primero que tiene que hacer es activarse que se hace mediante una
conexión a una BBDD de Microsoft denominada Microsoft ClearingHouse. Hay dos tipos de servidores de licencia. Servidor de licencias de dominio y el Empresarial. De dominio: el más apropiado si queremos tener un servidor de licencias independiente por cada dominio. Un TS accede a un servidor de licencias de dominio solo si se encuentra en el mismo dominio, de forma predeterminada el servidor de licencias se instala con esta opción. Empresarial: solo se permite la implementación en un controlador de dominio. Nunca en un servidor independiente. Es la opción más adecuada si disponemos de un entorno de bosque con muchos dominios y lo que queremos es tener un único servidor de licencias que pueda atender a todos mis TS de todos mis dominios. Centralizamos licencias pero necesitamos una organización en esta máquina. Un TS realiza una consulta o intenta buscar u obtener información de un servidor de licencias de dominio cada 15 min. Cada hora lo que hace un TS es ir a AD para buscar un servidor de licencias de bosque o empresarial. Cuando el servidor de licencias se activa es cuando tu ya puedes solicitar paquetes de licencias, si el servidor de licencias no se activa, no ofrecerá licencias y no podremos instalar los paquetes de licencias. Todas esas licencias se guardan en el System32 en una carpeta denominada LSERVER, es importante guardar una copia de seguridad de esta carpeta. Cuando se implementa un servidor de licencias, en la sam local de dicho equipo se crea un grupo denominado Terminal Servers Computers, este grupo es para que los Ts puedan comunicarse con los servidores de licencia. Para instalar un TS nos iriamos al Server Manager y dentro de roles, buscamos Terminal Server (remote desktop services). 11-07-11 Servidor de aplicaciones
Modo de trabajo de TS, nos permite distribuir aplicaciones desde un lugar centralizado, mantenimiento dinámico, nos permite la conexión de multiples usuarios a determinadas aplicaciones mediante el emulador de terminal. La instalación de aplicaciones se puede hacer directamente o por directiva de grupo. No todas las aplicaciones funcionarían bien en el Terminal Server. Terminal server no reconoce perifericos que estén conectados a puertos series o paralelos, un TS que funcione como servidor de aplicaciones nos permite multitud de conexiones a multitud de usuarios de forma simultanea. La instalación de las aplicaciones tiene que realizarse a través del panel de control o preparando al ts para la recepción de aplicaciones. 1º En panel de control aparecerá un icono que dice agregar aplicaciones a Terminal Server. Nos permite que de forma automática el TS se prepare para permitir la instalación de aplicaciones para el registro multiusuario. 2º A través del cmd, ejecutamos change user /install y empezaríamos a empezar las aplicaciones. una vez que terminamos tendremos que poner change user /execute y el TS ya estaría de nuevo en su modo ejecución de aplicaciones. TS web access //localhost/ts/.... hay que añadir el rol de web acces Permite poner conexiones de escritorio a disposición de los usuarios a través de una conexión http, así como remoteapps.osea, crea un acceso web a las aplicaciones remoteapp. Los programas de los que accede un usuario se ejecutan en un TS en una unica sesión, permite implementar aplicaciones desde un lugar más centralizado. Todo cliente que quiera utilizar el acceso web deberá tener la versión 7.0 de rdp. EasyPrint Es una solución que permite mapear impresoras en las sesiones de terminal usando un driver universal. Cuando el usuario necesita modificar las propiedades de la impresora lo realizará en su driver local no el el TS. Es un servicio de proxy, lo que hace es redirigir todo el trabajo de
impresion a la máquina local del usuario sin necesidad de tener que instalar cada driver de impresora en el terminal. Para poder trabajar con easyprint se necesita: - Con su configuración local va ha poder trabajar en la impresión de documentos. - Necesitará la versión 6.1 de rdp y netframework 3.1 tanto en cliente como en el terminal server. - Versiones xp en adelante van a poder trabajar con esta tecnologia. Crea un driver o generar un sistema de dirver en el servidor que se encargue de volver a dirigir el docuemtno que el cliente quiere imprimir, 2 pasos: 1º. al usuario se le presenta una interface de impresión, esas configuraciones que el usuario establece a la hroa de imprimir lo que hace el TS es generar un documento xps, con lo cual el trabajo de impresion es enviado a la máquina local del usuario conectado al TS, la caracteristica que tienen los documentos xps es que incluyen el documento mas las propiedades de impresión. Para que un usuario pueda usar la caracteristica de easy print se debe configurar una directiva de grupo que gestione la redirección de impresoras. Dentro de administrative templates, windows component, terminal server, y dentro en terminal server, printer redirection.
SESION BROKER servicio compatible con NLB Lo que hace es encargarse de almacenar toda la información del estado de las sesiones de los usuarios que han iniciado sesión en TS a través de él. La información que un sesion broker tiene es;id de sesión, nombre de usuario que inicia sesión en Ts, nombre del ts en el cual ha iniciado sesión.( si no es un usuario nuevo) A partir de windows 2008 en standar, enterprise o datacenter. El servidor que ejecuta dicho servicio asi como los TS tienen que tener la versión de Windows 2008. Para que los clientes puedan beneficiarse de esta caracteristica, el cliente de conexiones de escritorio remoto tiene que jecutar la versión 5.2 de rdp. Un agente de sesiónes lo que hace es distribuir de forma uniforme la carga de trabajo entre los distintos servidores terminal con los que trabaja. Realiza el equilibrio de carga en funcion de las nuevas sesiones de usuario que se realizan a través de él, redirigiendo esas nuevas sesiones a los ts que tienen menos sesiones iniciadas en ellos. El equilibrio de carga trabaja en varias fases. 1º las conexiones nuevas que se inician hacia los Ts se llevan a cabo mediante equilibrio de carga por DNS o NLB
•
El session broker tendrá un listado con los TS con los que trabaja asi como los TS tendrán que conocer cual es su session broker.
Por directiva de grupo podemos configurar para que el agente de sesiones establezca varios tipos de comportamiento con respecto a los inicios de sesión, dentro de configuración de equipo, plantillas administrativas, componenetes de windows, terminal server, terminal server, hay una opción llamada TS Session Broker, aqui tenemos varios opciones: - Join TS session broker - Configure TS Session Broker farm name - Use IP Address Redirection - Use TS Session Broker load balancing
13-07-11 TSGATEWAY Una puerta de enlace es cualquier equipo que permite la conexión entre dos máquinas distintas o que incluso usan distintos protocolos. Un servidor de TS de puerta de enlace es un tipo que permite que usuarios que estén autorizados se puedan conectar a equipos remotos de una red corporativa desde cualquier equipo que disponga de una conexión a internet. La puerta de enlace de un TS se caracteriza porque utiliza el mismo protocolo que un TS osea RDP, si el cliente se conectará a un TS desde otra red distinta tendriamos que tener abierto el 3389, el tsgateway combina el protocolo https junto a rdp y lo que hace es crear una conexión segura y cifrada. Las puertas de enlace pueden o no trabajar con entidades certificadoras o autogenerar su propio certificado de autenticación para lo que tendremos que instalar los certificados en el equipo remoto para poder trabajar. Las versiones anteriores de escritorio remoto teniamos un problema con respecto a los firewalls porque suponia abrir ciertos puertos de conexión de red, principalmente el 3389, para que un cliente pudiera conectarse a través del protocolo rdp primero tenía que hacer una conexión VPN, y crear otro sistema de infraestructura vpn y luego rdp. -Con las puertas de enlace de TS nos evitamos que tengamos que establecer esa VPN para conectar al TS porque el protocolo RDP es encapsulado con el SSL. - No se necesita abrir puertos en los firewalls en referencia a las conexiones RDP porque todo firewall siempre tiene abiertos el puerto 443. A la hora de instalar un tsgateway necesitamos. - Certificados ( certificado de autenticación de equipos) solicitado a una entidad certificadora o generado por él mismo. - IIS 7.0 -NPS servidor de politicas de acceso a la red( gestionara las CAP y las RAP) policicas de autorización de conexiones y la politica de autorización de recursos. -rpc sobre http Los certificados se pueden solicitar de tres formas distintas. -Solicitar un certificado ya solicitado a una entidad certificadora de terceros.
-Crear su propio certificado y además instalar ese certificado en todos los equipos cliente que quieran conectarse al TS. -Configurar en el proceso de instalación el proceso de certificado. Instalar NPS para gestionar las directivas de autorización de conexiones y las politicas de acceso a recursos.
CAP politicas que nos permiten especificar que usuarios van a poder conectarse a mis puertas de enlace de TS así como tambien, son politicas que determinan cual es el método que utilizan mis usuarios para autenticarse ya sea por contraseña o tarjeta inteligente. O usuarios locales del Gateway o del AD.
RAP politica de acceso a recursos que nos permite especificar los recursos a los cuales mis usuarios van a poder acceder a través de mi TSGATEWAY, nos define los equipos de mi red interna a los cuales se van a poder conectar mis usuarios a través de mi TSGATEWAY. En nuestro Server Manager, roles, añadir roles, TS gateway. Configurar las CAP y las RAP así como el certificado etc...
18-07-11 examen 6418 instalar virtual server 2005R2 en 2008R2 gpedit msc nos vamos a configuración de equipos, pantillas administrativas,componentes de windows, compatibilidad de aplicaciones, todas aquellas politicas que empiecen por deshabilitar, hay que habilitarlas. En configuracion de equipo, plantillas administrativas, sistema,diagnostico y resolucion, diagnostico de compatilidad de aplicaciones, deshabilitar todas. Reiniciamos la máquina e instalamos el virtual server. 20-07-11 Standard 250 conexiones d Enterprise DataCenter itanium Web center Fundation
R2 solo con procesadores de 64bit cantidad minima de memoria 512MB Las versiones R2 admiten hyperV, solo se podrá instalar si la placa y procesador permiten virtualización (intel VT o AMDV procesadores a partir de doble núcleo). Si nos decidimos a R2 no es posible volver a la versión anterior del SO por sus 64 bit, pero si se produce un error de instalación, si seria posible. Desde las versiones xp, vista ,7 2000,2003 o 2003 sp1 no se puede hacer, solo para poder actualizar nuestro sistema operativo sobre 2008r2 sería desde 2003sp2,2003r2 o 2008 en adelante. A la hora de realizar la actualización a R2 dependiendo de la versión previa condiciona la actualización, si tenemos un 2003standar sp2 o r2, esa migración solo se podrá realizar a windows 2008 r2 standard o enterprise.Si tenemos un 2003 enterprise, podemos pasar a un r2 enterprise o datacenter. Si tenemos un datacenter solo podemos implementarlo a datacenter. Con el core pasa lo mismo, la actualización sobre las versiones core también se podrán llevar a cabo, desde 2008 porque solo admite core el 2008. Si partimos de una version estandar con o sin sp2, la actualización se podra hacer a standar o enterprise, si es enterprise a enterprise o datacenter, si tengo datacenter solo a core datacenter. Una migración a w2008 solo se ejecuta cuando se va ha disponer de hardware nuevo o se van a mover servicios o aplicaciones de un equipo a otro. Migrar a 2008r2 implica una instalación limpia del sistema operativo que ofrece el beneficio de que el nuevo so pueda alojar apliaciones de 32 a 64bit, implementar paquetes adicionales de idiomas, tendriamos que mover datos, redirigir a los clientes al nuevo servidor etc. Existen herramientas para hacer el proceso de migración con MAP microsoft asigment aplaintment toolkit, nos permite evaluar la red, generar informes e inventariar la red sin necesidad de instalar soft adicionarl en mis equipos clientes, nos permite planificar el proceso de migración o actualización de ssoo vista, office, hyperv, sql... Es una herramienta capaz de examinar el hard de una máquina y determinar si la migración es lo recomendable o no por medio de esos informes nos indicará cual es la razon por la que no es recomendable dicha migración. Otra de las herramientas sería MSIA (microsoft software inventary analyzer). Nos permite generar un inventario de los productos de microsoft que están instalados tanto en un equipo local como en toda la red. Otra herramienta USMT (User State MIgration Toolkit) que es una herramienta de linea de comandos que nos permite llevarnos el estado de usuario (perfil). Para poder trabajar con MAP es necesario que la máquina tiene que tener instalador microsoft office 2007 en adelante. Pasos a seguir para migrar windows 2003 a 2008 El schema es diferente, Antes de instalar un DC en un dominio con sistemas operativos 2003 hay que tener en consideración una serie de cosas. Una de ellas es la de preparar el bosque para 2008, esto se debe a que hay atributos u objetos o atributos de objetos en 2008 que no existen en los AD de 2003, con lo cual al actualizar el bosque se actualiza el schema y con ello tienes todos los demás dominios preparados para admitir 2008. Para preparar el schema del bosque para 2008: **deberemos localizar cual es esl servidor denominado maestro de esquema, una vez estamos aqui e iniciados con una cuanta administradora del dominio, vamos con nuestro dvd de 2008 y navegamos en él hasta la carpeta denominada Sources, dentro tenemos una carpeta llamada ADPREP, todo lo que tenemos aqui lo extraemos al controlador de dominio que es maestro de esquema a la ruta que quiera y desde el cmd y navegando ejecutamos la herramienta adprep con el comando
ADprep/forestprep que lo que hace es preparar el schema para que pueda admitir windows 2008, ejecutado esto se deben replicar por todos los controladores de dominio, para obtener informaciรณn de si los DC han actualizaso sus sistemas se emplea repadmin/showreps * y vemos el estado de las replicas. DCdiag es un comando que nos permite hacer un diagnostico de nuestros DC y con un redirector sacarlo a un txt o lo que sea. Una vez que los cambios se han producido hay que seguir preparando nuestros entornos de dominio para poder seguir trabajando, **El siguiente paso es iniciar sesiรณn en aquella mรกquina que ejecute la funciรณn de maestro de infraestructura que es el encargado de gestionar el sistema de replicaciรณn, una vez iniciada sesiรณn en dicha mรกquina, hacemos lo mismo que en el maestro de schema, ejecutamos la herramienta adprep/domineprep /gpprep. Despues de replicar todos los cambios ya podrรญamos instalar controladores de dominio windows 2008, solo controladores a secas, un RODC no nos dejaria instalarlo. Para poderlo hacer deberiamos ejecutar en un servidor ya sea maestro de nombres de dominio o de read el comando adprep/ preprodc. Si queremos instalar 2008 tenemos que pasar todas las funciones de maestro a mi nuevo 2008 con comandos como son: ntdsutil Hay que poner la mรกquina 2008 como catalogo global. netsh firewall set remoteadmin enable habilitar administraciรณn remota de un core. Existen varios tipos de licencias de soft para windows, una de ellas es la OEM. OEM: esta licencia estรก supeditada al equipo de un fabricante concreto, estรก prohibida venderla si no es bajo esa condiciรณn. Ese soft comprado bajo ese tipo de licencia implica la propiedad del mismo por parte del que la compra. Existen fabricantes que trabajan con estas licencias y que pueden poner ciertas limitaciones de dichas licencias como por ejemplo el numero de reinstalaciones mรกximo que puedes reinstalar. Es plenamente operativo y siempre se podrรก reinstalar en el mismo equipo. RETAIL: son licencias o versiones de venta a nivel de comercio en la que el sistema operativo es de entera propiedad del usuario que la compra, pudiendo incluso cederlo a terceros o incluso venderlo. LICENCIA POR VOLUMEN: son licencias destinadas a empresas, normalmente estรก bajo las mismas condiciones o similares a las OEM pero no estรกn supeditadas al equipo, si que tienen cierto parecido con las OEM, basicamente estas licencias se caracterizan por tratarse de un sistema que es capaz de licencias un determinado numero de equipios utilizando el mismo nยบ de licencia y quedando el fabricante de dicho soft autorizado a hacer comprobaciรณnes que considere oportunas para comprobar que la licencia es valida en las mรกquinas en las que estรก implementado. Son licencias que se venden en paquetes de 25. Esta licencia no se puede ni vender ni ceder a terceros ni total ni parcialmente. Existen varios metodos para administrar estas licencias: Para administrar licencias por volumen KMS o MAK KMS: es un servicio (key management service) que se configura en una mรกquina concreta y se encarga de activar todas las instalaciones de so de mis equipos cliente del entorno de red. Se caracteriza porque es una mรกquina que utiliza el puerto 1688, una vez implementado un KMS no es necesario que los equipos se conecten a microsoft para la activacion. No requiere de servicios hospedados. Asรญ los equipos que ejecutan ediciones de so windows 7 y windows server 2008r2 se pueden configurar como equipos KMS, tambien en 2003 instalando el servicio. Tenemos que contar con una licencia KMS para que la mรกquina sea un KMS, una vez
introducida la clave KMS en nuestro servidor ya está preparado para trabajar como KMS, esa licencia lo que hace es generar un registro en la BBDD del DNS del tipo SRV que será el que los equipos cliente buscarán para licenciarse. Tenemos que activar el servico KMS a través del comando SLMGR.VBS /SKMS. Tenemos que tener varias consideraciones: Todo equipo que se activa mediante un KMS, esa licencia no es perpetura, solo es de 180 días. Pasado ese tiempo, el equipo cliente se tendrá que poner en contacto de nuevo en el KMS para volverse a activar por otros 180 días y asi sucesívamente. Este intervalo de 180 se llama intervalo de validez de activación. Todo equipo intenta reactivarse cada 7 días sin que muestre un globo al usuario, durante el periodo de 180 días. MAK: multiple activation key: claves de activación multiple, se utilizan despu.es de instalar un sistema operativo. Se puede realiar en linea o por telefono, para comprender la clave de activación multiple imaginamos que hemos comprado un dvd de windows y lo instalamos en un equipo. el so nos pedirá la clave que se encuentra en la caja con lo que al ponerlo el proceso de activacion se realiza mediante los servidores de activaciones de microsoft esto implica que no podemos instalar muchos equipos con la misma clave. MAK aplica el mismo sistema pero esa clave tiene un recuento de activacion distinto para la activacion. Si tenemos una empresa con mas de 50 equipos podriamos tener una MAK con 50 activaciones con la misma licencia. MAK da una activación perpetura, una vez que se activan no es necesario que los equipos se reactiven a menos que se produzca un cambio de hard significativo como puede ser cambiar el Hdd. Para organizaciones con 25 equipos o menos lo más facil seria usar MAK, una organización mucho mas grande seria mejor usar KMS. KMS es preferible para equipos que normalmente se conecten a nuestra red almenos alguna vez durante 180 dias. MAK para aquellos equipos portatiles que no están conectados durante un largo periodo de tiempo que comprenda esos 180 días. Para disponer de una licencia KMS necesitas de un servidor KMS como minimo que licencie 25 equipos de windows vista en adelante. Otra diferencia es que KMS se caracteriza porque es una licencia que engloba todo el arból de ediciones del sistema operativo del producto. Si disponemos de una clave KMS en la rama superior de activaciones nos permitirá activar otros producto. Las MAK son lineales, la licencia que compras con respecto a un nivel de producto es el unico producto que puedes licenciar. KMS al ser jerarquico si optenemos una licencia del grupo de servidores c datacenter vamos a poder licencia todo lo que hay por debajo. data center, enterprise, standar,web, vista, 7 c datacenter b enterprise y standard a web VL vista, windows 7 (licencia por volumen VL)
Para poder implementar un servidor KMS tenemos que modificar la clave actual del servidor mediante cscript /slmgr.vbs -ipk clave kms y despues activamos slmgr /ato de automatico.
En el momento que se activa se han generado los registros SRV con respecto al licenciamiento KMS. Para configurar un equipo cliejnte para que localice el servidor kms seria con cscript /slmgr.vbs /kms y despues /ato nslookup -type =srv vlmcs_tcp.nombredominio hace consulta sobre el srv y veremos los registros de kms comprobar nº equipos activados por mi kms slmgr.vbs nombredelservidorkms /dlv \find /I “Current count” VAMT es una herramienta que nos permite gestionar las activaciones (la bajamos de microsoft), y consultar que tipo de licencias tiene. La nueva tecnologia de despliegue de sistemas operativos hablamos de las imagenes de sistema operativo que están dentro de unos archivos denominados WIM denominados windows imagen que remplazan a los archivos cabinet CAB a partir de Vista. para poder llevar a cabo un despliegue de máquinas w2008 ofrece varias herramientas. WAIK windows automait instalation kit USMT user state migration toolkit MDT Microsoft deployement toolkit ACT microsoft aplication compatibility BDD Businnes desktop deployment que incorpora guias de mejores prácticas WDS windows deployement services MSCCM microsoft system center configuration management La instalación del so a partir de Wvista incorporan todas las versiones del so en un unico disco, los procesos de instalación se pueden llevar a cabo de forma atendida o desatendida. desatendida por una serie de scripts que son conocidos como archivos unatent.xml Existen tres tipos de escenario de despliegue de máquina. Despliegue de sistema nuevo Actualizacion de sistema Lado a lado Desplieque de sistema nuevo, este tipo de despliegue lo que hace es formatear una particion e instalar un so ahi, con la consecuencia de la perdida de datos. Actualización de sistema tipo de despliegue que instala el so sobre uno antiguo existente, se mantienen las aplicaciones implementadas anteriormente así como todos los documentos. Lado a lado: se conoce como migración, tenemos que pasar la informacion del equipo antiguo al nuevo por medio de un conjunto de copias de seguridad. Desaparece la carpeta i386 para dejarlo todo en la carpeta Windows. Utilizar estos escenarios depende de lo que se quiera hacer. WSIN permite crear archivos de respuesta y viene incluido con WAIK. PKGMGR para incorporación de paquetes. Setup sustituye al WinNT o win32 IMAGEX herramienta de linea de comandos que nos permite crear archivos .win aplicada para entornos winp. WSIN herramienta basada en imagenes, herramienta gráfica que permite crear y
modificar archivos de respuestas denominados unatend.xml, nos permite trabajar con la imagen de windows install.wim. PEIMG nos permite la personalización de imagenes de Windows (install.wim) WDS sustituye a RIS nos agrega la capacidad de implementar las imagenes de windows xp en adelante. Tecnologias pxe PNPUTIL para agregar o quitar controladores de dispositivos que están agregados en el propio almacén de Windows. PKGMGR para incorporación a imagenes wim paquetes o service pack OCSETUP se usa para instalar componentes de Windows. BCDEDIT herramienta de linea de comandos para la edición y configuración de los inicios del sistema, sustituye a la herramienta bloc de notas para la modificación del archivo boot.ini ACT o kit de herramientas de compatibilidad de aplicaciones. Nos permite evaluar si las aplicaciones son compatibles con las versiones de windows asi como instalar actualizaciones. BDD WORKBENCH herramienta grafica de administración de imagenes de despliegue. DISM herramienta de linea de comandos que nos permite la administración de drivers, habilitar/deshabilitar roles o caracteristicas de windows, preparar imagenes windowspe. 27-07-11WDS El proceso de instalación de windows contaba con un paso inicial en modo texto, utilizando el teclado se descomprimian todos los archivos, se creaban los registros y se aplicaba la seguridad. A partir de Windows Vista entramos en un proceso de instalación modular establecido en una serie de fases de configuración. Estas fases nos van a permitir y ayudar a personalizar imagenes del despliegue del sistema operativo. 7 fases WindowsPE Offline Servicing Especialice Generalice AuditSystem AuditUser OOBESystem No todas las fases se ejecutan en el proceso de instalación, algunas como son AuditSystem y AuditUser solo se ejecutan si el sistema se arranca en un modo auditoría. También solo se ejecutaria la fase Generalice que se ejecutaria si hubiera un previo sysprep. WindowsPE Esta fase se encarga de configurar las opciones básicas de instalación de windows como son: Introducción de clave del producto Particiones de disco Instalación de controladores de dispositivos para que pueda tener acceso a unidades de disco duro o de red..
Determina cuales son los controladores de dispositivo criticos para que windows pueda arrancar. Durante esta fase, también vuelca la imagen de windows directamente al equipo una vez que se hayan procesado todas las opciones de configuración de windowspe. Offiline Servicing Esta fase se ejecuta automáticamente tras la fase windowspe y antes de que se reinicie el equipo. Se aplican actualizaciones a la imagen del sistema operativo. Aplicación de paquetes, correciones de software, idioma, actualizaciones de seguridad, incorporación de controladores. Especialice Se ejecuta automaticamente cuando la imatgen de windows se arranca por primera vez, o en un segundo arranque cuando ejecutamos sysprep/especialice o generalice. Esta fase se encarga de crear y aplicar información especifica del sistema en referencia al hardware. por ejemplo, opciones de red, de configuración internacional... Se generan los SID únicos para ese equipos (identificadores de seguridad). Generalice Dependiente de sysprep, solo se ejecuta con el comando de sysprep y una vez completada la fase generalice, en el siguiente arranque empezaría. Esta fase se encarga de configurar opciones para renovar los identificadores de seguridad en esa máquina. Nos permitiria quitar los SID y poner unos nuevos. Aplica las configuraciones predeterminadas del sistema operativo. AuditSystem Solo se ejecuta cuando ejecutamos sysprep/audit y arranca el equipo en un modo auditoria. Se suele usar para realizar configuraciones adicionales en una instalación de windows antes que el usuario arranque la máquina. AuditUser Solo se ejecua si hacemos un sysprep/audit. Nos permite configurar opciones del shell de windows, para implementación también de controladores que se ejecuten incluso despues del proceso de inicio del usuario. OOBESystem Aplica configuraciones antes de que se aplique la pantalla de bienvenida de windows. Se utiliza para creación de cuentas de usuario, configuraciones de idioma o regionales, también de teclado.
Sysprep:
en system32
problemas con SID cuando hacemos una imagen de un equipo ya configurado, al clonar podemos tener
problemas con los SID ya que todos los equipo clonados tendrían el mismo. para solucionarlo lo haríamos con el sysprep y despues hacer la imagen. Instalación minima de windows xp: personalización: El desplieque de versiones anteriores a windows vista se ejecutaba con el archivo boot.ini, este archivo ya no se usa, ha sido sustituido por un nuevo cargador de inicio denominado boot.mgr que se encarga de leer los datos de configuración de inicio de un archivo especial denominado BCD. que podemos modificar con la herramienta de linea de comandos denominada BCDedit. Cuando queramos configurar el contenido del archivo de configuración de inicio del sistema operativo utilizaremos el BCDedit. En windows xp la información de configuración de instalacion se almacenaba en distintos archivos de texto, en los sistemas nuevos, los archivos txt han sido reemplazados por la extnsión xml. unatent.xml reemplaza tres archivos utilizados en la personalización de sistemas anteriores a windows vista que son: sysprep.inf para configurar la imagen de windowsxp instalación minima. Wimbom.ini utilizada para la configuración de los entornos de arranque de windows. cmdlines.txt para especificar una lista de comandos para que se puedan ejecutar durante la instalación minima de windows. Los nuevos archivos unatent.xml presentan un esquema definido de tal forma que vamos a poder distinguir cada una de las fases del proceso de instalación de windows. WindowsPE ofrece varias ventajas en la implementación. Menos tiempo para busqueda de controladores de dispositivo. Herramientas compatibles con 32 64 bit. Se lanzo al mismo tiempo que windows xp service pack 2 y 1. Se proporciona como una imagen.
WindowsPE es el entorno de preinstalación de windows. Una versión de arranque del SO de Windows que prepara el sistema para la implementación del mismo. Se conoce también como MicroKernel. Se encarga de que la bios reconozca el hardware y pasen todo el control al sistema y es cuando se carga en linea de comandos como lo hacia anteriormente el MSDOS. WindowsPE trae una serie de herramientas de administración. DISKPART IMAGEX nos permite la captura y modificación de imagenes .wim DRVLOAD permite añadir controladores de dispositivo a la instalación. OSCDIMG permite crear isos de windowspe (como un disco de arranque) Todos los archivos que componen windowspe están ubicados en una carpeta dentro del disco de instalación de windows denominada BOOT. Los archivos que componen windowspe son: BCD Boot configuration Data archivo que reenplaza a boot.ini contiene instruciones y opciones de configuracion de arranque del SO. BOOTSEC : es la herramienta que establece el sector de arranque del disco duro para que ntldr así como boot.mgr puedan acceder a la lectura del disco y determinar desde donde iniciar la carga del SO. BOOT.SDI archivo de windowspe que es un script que permite el arranque de imagenes .wim BOOTFIX comprobación del sector de arranque y arreglo del mismo. Memtest utilidad para probar la memoria RAM.
La tecnologia de imagenes .win está basada en archivos muy reducidos no basada en sectores sino en archivos. Son imagenes muy comprimidas. Emplean lo que se denomina SIS single instance Store (almacenamiento de instancia unica) que es un almacen que contiene unicamente copias de dll u otros archivos que se repitan en cada una de las versiones de sistema operativo que esten incluidas en un dvd. No existen archivos repetidos. Permite contar con un DVD unificado con varios SO incluso con todos los idiomas disponibles. Los .wim se pueden editar y podremos añadir controladores etc directamente sobre la imagen. La ventaja de que esten basados en archivos es que no ofrecen problemas con la instalacion en particiones o discos de distinto tamaño siempre y cuando tengan espacio para volcar la imagen. La imagen wim incluye solo el contenido de un volumen o un apartición de un unico disco, si tenemos varias particiones que capturar deberemos crear una imagen distinta para cada una. El formato de archivo wim admite varias imagenes de archivo. A partir de 2008r2 existen las denominadas imagenes VHD. Solo pueden ser generadas a traves de la herramienta WDS, nos van ha aportar ventajas y limitaciones. Ventajas: vamos a poder implementar sistemas operativos en equipos fisicos como virtuales. Inconvenientes: no pueden contener nada más que un sistema operativo ( una unica versión de sistema operativo). Las VHD no admiten aplicaciones ni datos, no pueden contener nada más que una partición de disco, no pueden contener sistemas operativos de 64bit ni particiones GPT. Los sistemas operativos que se pueden incluir son Windows 7 ultimate e interprise como W2008R2. Imagex se utiliza para creación y manipulacion de .wim, proporciona herramientas para montar la imagen como sistema de archivos. Para ayudar a la implentación de SO, microsoft ha creado una serie de herramientas que se incluyen en el acelerador de soluciones para la implementación de escritorio (bussines desktop deployement BDD).(Descargable desde microsoft) El objetivo de BDD es intentar simplificar el proceso de implementación de Windows. Incorpora varios metodos de implementación: LiteTouch ZeroTouch
LiteTouch: requiere la interactuación del usuario para iniciar la implementación del So. No necesita ninguna infraestructura especial pero podriamos utilizar WDS. ZeroTouch: no necesita la intervención del usuario. El proceso de instalación es totalmente automatico basado en un serie de directivas ejecutadas a través de herramientas como ADDS, WDS, MAP,ACT, WAIK. El equipo cliente utiliza una tecnologia de configuración PXE. hight touch detail media deployement: implementación manual, el so se instala
mediante el DVD de instalación y es configurado manualmente. higt touch standard imagen deployement: para instalar el SO se utiliza una imagen standard que incluye personalizaciones. El proceso de instalación se lleva a cabo instalando el SO, las aplicaciones, los drivers, las configuraciones y luego ejecuto sysprep. Generamos la imagen y luego implementamos en otro equipo.
WDS Windows deployment Services Servicio de implementación de Windows que ha evolucionado desde que apareció el antiguo sistema denominado RIS. Ris fue para los sistemas operativos Windows 2003, WDS a partir de 2003r2 en adelante. Permite que una máquina cliente sin sistema operativo pueda contactar con el servidor dhcp, obtener una ip y contactar con el servidor WDS e instalarse un sistema operativo de forma online. RIS se encargaba de copiar localmente un SO y lo compartia hacia los clientes, pero con las herramientas como sms y la novedad del formato de imagen .wim, windows lanzó WDS para poder trabajar con otro sistema de despliegue. Como pasaba con RIS, WDS necesita que los clientes dispongan en sus interfaces de red de un sistema de aranque denominado preboot execution environment. WDS permite instalar SO en equipos desde origen remoto. Para poder trabajar con WDS es necesario que nuestra infraestructura de red disponga de tres servicios indispensable ADDS, DHCP y DNS. Para poder implementar este rol deberemos de contar con una partición distinta a la que esté instalado el SO, en esa partición se depositarán las imagenes de SO que nosotros vayamos a distribuir, pudiendo hacerlo desde windows xp en adelante. WDS cuenta con dos tipos de formato de imagen para distribuir SO. Imagenes de arranque y de instalación De arranque: es aquella que se utiliiza básicamente para poder descargar las imágenes de instalación en los equipos cliente.(seria la pe). De Instalación: la propia imagen del sistema operativo de windows Las dos imagenes están en el dvd de windows. una es boot.wim y la otra es la install.wim
WDS necesita tecnologias y protocolos.
Bootp: para poder trabajar en la infraestructura WDS, para que las maquinas sin sistema operativo puedan recibir un SO. TFTP: trivial file transfer protocol: se encarga de trasferir aquellos archivos necesarios para el proceso de instalación. 14-09-2011
BRANCHCACHE Nos va ha permitir mantener una información en una cache pasiva a los cuales puedan acceder los equipos cliente. Está diseñada para que los usuarios que trabajan en oficinas remotas o fuera de la organización y necesitan el acceso a archivos, puedan hacer ese acceso a archivos y servidores mediante sus conexiones WAN y mantenerlos en una cache sin necesidad de volver a utilizar el enlace WAN a esos servidores (parecido a ficheros fuera de linea). Es una caracteristica de Windows 2008 R2 y Windows 7. El funcionamiento del branchcache se ofrece en dos formas de trabajo o modalidades: - Caché distribuida - Caché hospedada CACHE DISTRIBUIDA: es una configuración que se establece tanto en el servidor como en el cliente y en el que la red es considerada una red punto a punto, en la que los propios clientes trabajan como si fueran un grupo de trabajo mas o menos. Se caracteriza porque los equipos clientes que solicitan información la van almacenando en una caché propia, una vez guardada esa información la van reenviando u ofreciendo a todos los equipos clientes que se encuentran en la misma red en la que se descargo ese primer cliente la información. La mejor opción para sucursales en las que no cuentan con un servidor de almacenamiento de información. CACHE HOSPEDADA: es considerada una arquitectura cliente servidor, los datos que los clientes solicitan van a ser almacenados en una cache dentro de un servidor con version 2008r2 de forma centralizada, los clientes dejan todos los documentos en un equipo u servidor local ( cache hospedada) que tiene habilitada la caracteristica de branchcache, los equipos que necesitan esos datos lo van recuperando de la cache hospedada de dicho servidor, no de un equipo cliente como la caché distribuida. La ventaja que ofrece es que la caché hospedada aumenta la disponibilidad, los datos están siempre disponibles aun cuando un cliente que solicitó dichos datos esté apagado o sin conexión. Tambén ahorra tráfico de multidifusión de la red de area local. Branchcaché trabaja con varios protocolos que son: http, https, smbp (server messeges block protocol), incluso con contenido cifrado (ssl e ipsec). SMBP es un protocolo de archivo de transferencia de servidor que trabaja con el puerto 445. Como un equipo con BC habilitado es capaz de recuperar información utilizando http o smbp. solicita información al servidor, el servidor autentica al usuario y comprueba que el usuario tiene acceso a esa información, el servidor envia al cliente una serie de
identificadores del contenido que está solicitando en lugar de enviarle la información concreta, con ese identificador dependiendo del modo de cache que tenga configurada hará una cosa u otra. Si es distribuida lo que hara será buscar o realizar una multidifusión con esa información para encontrar el cliente que tiene descargada dicha información. Si es hospedada, lo que hará es coger ese identificador, irse al servidor de la cache hospedada y solicitarsela. si el contenido ya esta disponible en algún otro equipo, recuperará esa información y se asegurara de que la información es actual y no está dañada. Toda transferencia que se realiza va a estar cifrada. Para habilitar branchcaché se hace modificando directivas de grupo. En computer configuration, policies, administrative template, network, branchcache. Lanman Server también hay que habilitarla, lo que hace es que un equipo o servidor pueda publicar los identificadores u ofrecer los identificadores a los clientes que le solicitan la información. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Param eters aqui hay que crear un dword de 32 bit denominado hashStorageLimitPercent, y modificarlo en decimal darle el valor de porcentaje que queramos que será el limite de almacenamiento de branchcache del todal del disco. Hay que instalar la caracteristica de BranchCache ( en el controlador de dominio por ejemplo) y una vez hecho hay que configurar el servidor de archivos. En el server manager, instalamos el files services y habilitamos tambien el branchcache. Nos quedaría habilitar por gpo a los equipos cliente para habilitarlos con cache distribuida u hospedada, en la opción de antes. Aquellos clientes con funcionalidad distribuida tiene que modificar su firewall porque utilizan una multidifusión para este tipo de funcionalidad, con lo cual hay que crear una regla de entrada en el firewall de windows ( para los equipos clientes por gpo), ceamos una nueva regla y en predefinidas tenemos las de branchCache. hay que habilitar la de http y la peer discovery.
21-09-11 PLANEAMIENTO DE INSTALACIÓN WINDOWS 2008 Hablaremos del conjunto de bibliotecas con las que contar para a partir de cero poder ofrecer un servicio a nuestros clientes. Dentro de los diferentes tipos de documentación para implementar una infraestructura de red son: ITIL information tecnology infraestructure library un conjunto de bibliotecas que establecen los procedimientos que debe seguir toda empresa que desarrolla u ofrece servicios informaticos. Dan todas las recomendaciones indispensables para la administración siempre que esa administración esté enfocada a ofrecer un servicio de calidad. Es un standar de gestión de servicios informaticos, son 10 libros que cubren todas las areas de la informatica, desde soporte, administración, prestación de servicio así como implementación.
Microsoft también cuenta con una guia de buenas prácticas que se conocen como los MOF Microsoft Operation Framework, que son la guia de microsoft que aporta las mejores practicas, modelos de desarrollo y gestión de todos los productos de microsoft. Vamos a poder encontrar unos libros de apoyo para la implementación de tecnología Microsoft. Está estructurado en una serie de operaciones, consta de 4 fases: Cambios. Funcionamiento. Soporte técnico. Optimización. Si hablamos de cambios, lo que intenta es responder todas las necesidades y demandas de los clientes, ofrecer a los administradores una guia de soporte para cubrir esas demandas de clientes incluso implementación de servicios. Funcionamiento: asegurar que cada servicio que hay implementado en nuestra red esté en perfecto estado y sea ofrecido en todo momento aportando un conjunto de soluciones para la ejecución de esos servicios de forma ininterrumpida. Soporte: ofrecer todo tipo de medio de monitorización para evitar o poder descubrir cualquier mal funcionamiento que afecte al usuario final. Optimización: intentar identificar la manera de mejorar o dinamizar todos los servicios o procesos que se están ofreciendo en mi red incluso con esa visión de futuro en la que nos permita una linea de crecimiento de nuestro negocio a largo plazo.
Otro de los documentos con los que también se trabaja en la implementación de servicios informaticos en el SLA Service Level Agreement acuerdo de nivel de servicio. Es un documento que estipula las condiciones y parámetros que van a comprometer al que presta el servicio a ofrecerlo con calidad. Hay varios tipos de acuerdos de SLA. Interno Externo Informal SLA Interno: son acuerdos de servicio que se ofrecen entre departamentos de una misma organización. SLA externo: acuerdos que se establecen entre empresas. SLA informal: se suelen establecer en pequeñas empresas, los contratos suelen ser verbales.
MSA Microsoft Solution Aceleration: un conjunto de soluciones, guias y herramientas de Microsoft todas ellas de administración y que van a permitir a un administrador poder implementar cualquier tipo de tecnología de Microsoft. ( WAIK; WSUS, guias de seguridad, herramientas de migración, virtualización …). 2008r2 Standar solo soporta 4 procesadores físicos, memoria estándar hasta 32 Gb de memoria RAM. 1 máquina virtual. La enterprise: 8 procesadores físicos, memoria 2 Teras de RAM. 4 máquinas virtuales. Soporta el que puedas hacer cambios de memoria en caliente. Data Center e Itanium: soportan 64 procesadores fisicos, a 8 nucleos. 2 Teras.
Ilimitado conjunto de máquinas virtuales. Reemplazar modulos de memoria en caliente y reemplazo de procesador. File over clustering solo en enterprise y datacenter, en standard no nos deja clusterizar. La web server nos deja implementar unicamente el IIS. La standar incluia servicios como DFS, disponibilidad sobre el espacio de nombres. DNS de SO 2003 con DNS de SO 2008 : diferencia, soporte para ipv6, desaparece wins por las zonas de nombres globales, 2003 no tiene reenviadores condicionales. ( El sufijo coincida con el que hemos configurado).
26-09-11
Schema: estructura del servicio del directorio en el que están definidos todos sus componentes. ( objeto, OU etc..). Para poder administrar el schema primero tenemos que instalar la dll y después instalar la herramienta que lo administra.
Los niveles funcionales nos sirven para incorporar nuevas funcionalidades al dominio.
Con el nivel funcional del bosque, decimos el minimo nivel del dominio. Si quieres que un usuario no se aplique la directiva hay que añadirle a la ficha seguridad de la directiva y denegarle que se aplique dicha directiva.
Procesamiento de bucle invertido, podemos combinar o reemplazar, esto nos hace que se aplique la directiva tanto del equipo como del usuario, independientemente quien se logue, se aplicarán las directivas de uno y otro. Starter gpo de solo lectura y combinable con las que vamos a crear. GUID son las directivas gpo dentro de la carpeta SYSVOL.