Prácticas de Redes II Ciclo 01-2014
Universidad Salvadoreña Alberto Masferrer
Página 1
Universidad SalvadoreĂąa Alberto Masferrer
PĂĄgina 2
Universidad SalvadoreĂąa Alberto Masferrer
PĂĄgina 3
UNIVERSIDAD SALVADOREÑA ALBERTO MASFERRER FACULTAD DE CIENCIAS EMPRESARIALES LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN
GUÍA # 1 Asignatura: Docente:
ADMINISTRACIÓN DE REDES II.
Ciclo: I-2014
Ing. Téc. Mario Enrique Salguero Juárez
Tema:
Tiempo: 2 horas
Fecha: _________________
CREACIÓN DE MÁQUINAS VIRTUALES.
Contenido
Máquinas Virtuales. Concepto e Instalación. Requisitos de Hardware y Software en equipo Anfitrión. Sistemas Operativos Anfitrión y Sistemas Operativos Invitados. Promoción de un Sistema Operativo de Red: De grupo de trabajo a dominio. Objetivos Generales
Conocer los procedimientos de instalación y configuración de los Sistemas Operativos de Red comerciales y gratuitos, implementados comúnmente en el entorno laboral, a través del uso de máquinas virtuales. Realice la instalación y configuración de máquinas virtuales como mecanismos de implementación de prácticas de laboratorio o entornos de prueba.
Material y Equipo
1 Computadora con Procesador P4 3.4GHz (min), Core 2 Duo 2.6GHz (std), I5 2.8 GHz (best). RAM 1GB RAM (min), 2GB (std), 4GB (best). Disco duro 80GB (min), 160GB (std), 300GB (best). Sistema Operativo Anfitrión: Windows xp (min), Windows 7 32 bits (std), Windows 7 64 bits (best). No se sugiere Windows 8 en entorno virtual, debido a rendimiento. Programas VirtualBox-4.3.6-91406.exe, como gestor de máquinas virtuales. Compatible con Sistemas Operativos Windows XP, Vista, 7 y 8, a 32 y 64 bits. Y el Oracle_VM_VirtualBox_Extension_Pack-4.3.6-91406.vbox-extpack.exe, como paquete de opciones del Gestor de máquinas virtuales. (https://www.virtualbox.org/wiki/Downloads). IMPORTANTE: Discos (CD) de instalación: (1) Windows XP, (2) Windows 2003 Server R2. EN FORMATO ISO, SP2 para 2003. COPIADOS EN LA CARPETA DE ARCHIVOS VDI. Carpeta con 3 archivos VDI de máquinas virtuales: 1 para cliente xp, 2 para Servidor. 2 Memorias USB 16 GB u otro medio de almacenamiento de disco externo para copiar Discos duros virtuales de XP y Windows 2003 Server. Guía de laboratorio 1. Video tutorial 2, instalación de Windows 2003 Server. Lapicero.
Universidad Salvadoreña Alberto Masferrer
Página 4
Introducción Teórica
MÁQUINAS VIRTUALES. Una “máquina virtual” no es más que una máquina que no existe, que se ejecuta dentro de un sistema operativo de una “máquina o computadora real”, y que se aprovecha de cierto porcentaje de recursos de esta última (memoria, disco duro y procesador), para poder operar como una real. Las máquinas virtuales fueron desarrolladas por IBM en los años 60, para proveer un acceso concurrente e interactivo a los sistemas Mainframes. Cada máquina virtual es una réplica de una máquina física y los usuarios habían conseguido la ilusión de ejecutar programas en la máquina física. Las máquinas virtuales también proveen beneficios como aislamiento y fuente de recursos compartidos, y la habilidad de múltiples sabores y configuraciones de variados Sistemas Operativos. En cuanto al hardware del procesador, en el caso de procesadores PC compatibles de INTEL conocida como X86, históricamente estaba detenida para soporte de virtualización. La necesidad de virtualizar Sistemas Operativos y aplicaciones (para una ejecución más rápida, sin contratiempos de control de acceso y búsqueda en discos duros) operando arquitectura X86, pudo realizarse para usar una transición binaria completamente de manera Virtual (con el uso de la herramienta de Software VMWARE Workstation, Virtual PC 2007 de Microsoft, o Virtual Box de Oracle como ejemplos)
Universidad Salvadoreña Alberto Masferrer
Página 5
La Figura 1 ilustra la organización tradicional de una máquina virtual. Una capa de software llamada Monitor de Máquina Virtual (VMM) toma control completo del Hardware de la máquina y crea máquinas virtuales, cada una de las cuales se comporta como una máquina física completa y que puede poseer su propio Sistema Operativo. Contrasta esto con un Sistema normal donde un solo Sistema Operativo tiene el control de una máquina. Para maximizar el rendimiento, el monitor de la máquina virtual se aleja de cualquier forma posible permitiendo a la máquina virtual ejecutarse directamente en el hardware, aunque en un modo No Privilegiado. El monitor recupera el control siempre que la Máquina Virtual trate de desarrollar una operación que pueda afectar la operación correcta de otra Máquina Virtual o del Hardware. El monitor emula con seguridad la operación antes de retornar el control de la Máquina Virtual. Esta propiedad de ejecución directa permite a las Máquinas Virtuales con clase de Mainframes - lograr aproximarse al rendimiento nativo y poner la tecnología lejos de los emuladores de la máquina que siempre imponen una capa adicional de interpretación de la Máquina Emulada. El resultado de la virtualización de una Máquina completa es la creación de un conjunto de máquinas virtuales que corren sobre una Computadora Física. Diferentes Sistemas Operativos "invitados", en instancias separadas del mismo Sistema Operativo "anfitrión". Variadas técnicas y murallas pragmáticas pueden suceder cuando se está virtualizando una Plataforma de PC. Los Mainframes tradicionales alcanzan a ejecutar sus Máquinas Virtuales en un modo menos privilegiado para permitir al Monitor de la Máquina Virtual (VMM) mantener el control de instrucciones privilegiadas, y permitir sobre el VMM la virtualización de una interface directa a los dispositivos de entrada y salida. También, el VMM está en control completo de la Máquina. Esta aproximación no aplica fácilmente a los dispositivos o razones siguientes (partes no virtualizables en el entorno virtual):
Procesador.
Memoria RAM (Diversidad de Hardware).
Software pre-existente en la PC.
En la figura 2 se ilustran los componentes de una Arquitectura anfitrión. La arquitectura permite al virtualizador arreglárselas con la diversidad del hardware en la PC (que contiene una cantidad de memoria RAM suficiente) y ser compatible con el software existente. Bajo este principio de virtualización, se instalarán
dos máquinas virtuales en el Sistema Operativo
Universidad Salvadoreña Alberto Masferrer
Página 6
Anfitrión para recrear la infraestructura virtual CLIENTE-SERVIDOR, donde el Cliente será un equipo virtual con Windows XP; y el Servidor otro equipo virtual con Windows 2003 Server R2. El proceso de instalación de los sistemas operativos, no es discutido en este curso. Consulte al instructor sobre los videos tutoriales que demuestran el proceso. Esta guía es útil para poder implementar el concepto de un entorno de red de datos en la computadora personal del estudiante, realizando un repaso de los conceptos prácticos del laboratorio. Si se desea implementar la instalación nueva de un sistema operativo de red –directamente en el disco duro del equipo anfitrión- no se requeriría la virtualización para fines de laboratorio. En la actualidad, la virtualización en los Servidores de Producción de las empresas, se utiliza como mecanismo de contingencia, ante eventualidades de hardware o software (fallas en disco duro, daño en hardware del servidor, cambio de hardware obsoleto de Servidores, infección de virus, daño en programas), para poder restablecer de forma casi inmediata la operatividad del sistema operativo de red virtualizado (con todas sus configuraciones), y reducir los tiempos muertos de operación, asegurando de una mejor forma la continuidad del negocio. Existen 3 formas de virtualización. a) Creando una nueva máquina virtual. En la que se requiere el software para realizar una instalación nueva, como una máquina física, donde la Unidad lectora de discos compactos o puertos USB de la máquina anfitrión se usa como unidad lectora virtual. b) Creando una máquina virtual, adicionando un disco de otra anteriormente creada.
c) Clonando una máquina virtual existente. En la que la gestión de máquinas virtuales se administra con una consola que permite dicha clonación, dentro de una infraestructura robusta de hardware, con abundantes recursos de Memoria, Procesador y Discos duros.
Algunos ejemplos de proveedores virtuales son: Oracle VDI, Microsoft Hyper V, VMWARE junto con cisco para virtualización de redes, entre otros).
Universidad Salvadoreña Alberto Masferrer
Página 7
Procedimiento
INSTALACIÓN DE MÁQUINA VIRTUAL. El método de instalación en esta guía de laboratorio es el segundo de los anteriormente definidos. Se toma en cuenta que ya está descargado e instalado el gestor de máquinas virtuales, su paquete de complementos, y que se ha realizado la copia de los discos duros de las máquinas virtuales anteriormente creadas. El procedimiento de instalación de las máquinas virtuales es el siguiente: 1)
Ejecute el programa Virtual Box, ya instalado en el equipo con los programas ejecutables. Haga clic en inicio, todos los programas, Carpeta Oracle VM VirtualBox, Oracle VM VirtualBox.
2)
Haga clic en el botón “Nueva”.
FIGURAS 3 y 4. Ejecución de gestor de máquinas virtuales desde Sistema Operativo Anfitrión Windows 7. 3)
Seleccione la opción “Agregar un equipo virtual existente”, y también con un clic izquierdo, presione botón siguiente.
4)
Se debe escribir el nombre de la máquina virtual según el Sistema Operativo a Instalar y su función en la red virtual que se desea implementar. Por ejemplo: Windows XP Cliente, Windows 2003 Server, Linux SAMBA, Linux Correo, etc. para diferenciarlas de las otras máquinas adicionadas en el Virtualizador. También, en el TextBox Versión, se debe seleccionar el tipo de Sistema Operativo, para utilizar el Sistema de Archivos apropiado. Haga clic en el botón “NEXT”.
Universidad Salvadoreña Alberto Masferrer
Página 8
5)
En la ventana “Crear máquina Virtual”, aparecerá la opción por defecto de la cantidad de memoria RAM sugerida por el gestor de acuerdo al sistema operativo seleccionado. En esta parte, se debe considerar la capacidad total de RAM del equipo físico versus la cantidad de máquinas virtuales a utilizar. Seleccione la cantidad de memoria sugerida y haga clic en el botón siguiente (Puede utilizar el siguiente criterio):
TABLA 1. COMPARACIÓN DE TAMAÑOS DE MEMORIA Y DISCO DURO EN MÁQUINAS VIRTUALES. Por ejemplo, si tiene una computadora con Windows XP y 1GB de RAM, solo podría poner Windows 2003 server con 256MB, y Windows 2000 con 64MB. Tratando de dejar un poco más del 50% de la memoria para el Sistema Operativo ANFITRIÓN. 6)
En la siguiente pantalla, “Unidad de disco duro”, hacer clic en botón de carpeta.
FIGURAS 5 Y 6. DEFINICIÓN DE MEMORIA RAM Y UBICACIÓN DE DISCO DURO VIRTUAL.
Universidad Salvadoreña Alberto Masferrer
Página 9
7)
Se debe realizar una búsqueda en el disco duro, para encontrar los archivos de los discos duros virtuales. Consulta a tu instructor la ubicación de la carpeta donde están estos archivos. Con el explorador, ubica esa ruta. Una vez encuentres el archivo del disco duro, selecciónalo, y se habilita el botón “Abrir”. Haz clic izquierdo sobre él.
8)
En la siguiente pantalla, aparecerá definido el disco duro seleccionado, y se debe hacer clic en el botón “Crear”.
FIGURAS 7 Y 8. SELECCIONANDO ARCHIVO .VDI COMO DISCO VIRTUAL.
9)
Aparecerá definida la nueva máquina virtual, dentro del Administrador de Máquinas Virtuales. Haz clic en el botón de configuración.
FIGURA 9 Y 10. DEFINICIÓN Y CONFIGURACIÓN FINAL DE LA NUEVA MÁQUINA VIRTUAL. Universidad Salvadoreña Alberto Masferrer
Página 10
10) Se debe configurar el tipo de red que se tendrá en el entorno virtual. Seleccione el ícono de red de la columna de la izquierda. (Algunos aspectos a configurar en una máquina nueva adicionada son los siguientes: Si se desea tener internet en la red virtual utilizando el internet del equipo anfitrión, agregar una nueva tarjeta de red para realizar un NATPROXY, o si se desea aislar la red virtual de la red del sistema operativo. Si se desea agregar un segundo disco duro al equipo virtual, o si se desea agregar una archivo de imagen ISO de CD a la máquina virtual para realizar la instalación de sistemas operativos). 11) En “Conectado a:” seleccione la opción “Red Interna” para aislar la red virtual de la real. Luego haga clic en la opción “Avanzadas” para desplegar todas las opciones de la tarjeta de red del equipo virtual. Verifique que el Combobox esté marcado en “Cable Conectado”. Haga clic en botón “Aceptar”.
FIGURA 11. CONFIGURACIÓN FINAL DE LA TARJETA DE RED DE LA MÁQUINA VIRTUAL. 12) Seleccione la máquina virtual recién creada en el panel izquierdo del administrador de Máquinas virtuales. 13) Haga clic en el botón “iniciar”. Se debe ejecutar la máquina virtual.
Universidad Salvadoreña Alberto Masferrer
Página 11
14) Adicione una nueva máquina virtual, llamada Windows 2003 Server. Realice el procedimiento para cargar dicha máquina en el Administrador de Máquinas Virtuales, con 256MB de RAM y el archivo Windows 2003 Server.vdi como disco duro. 15) Antes
de
ejecutar
la
máquina
virtual
del
servidor,
adicione
el
segundo disco duro en el servidor, archivo
usando
el
software.vdi,
ubicado en la carpeta de máquinas virtuales.
FIGURA 12. Agregando un segundo disco duro a la máquina Virtual “2003 Server”. 16) Ejecute y verifique que las dos máquinas virtuales se ejecuten correctamente. Opción
archivo, Insertar Ctrl+Alt+Supr. Los usuarios son “Administrador”, y la contraseña “$emperfidel!5” en Server, y “espacio en blanco en el equipo cliente”.
FIGURAS 13 Y 14 . EJECUCIÓN SIMULTÁNEA DE MÁQUINAS VIRTUALES Y COMPROBACIÓN DEL ENTORNO DE RED VIRTUAL CON SOFTWARE VIRTUAL PC 2007. 17) Defina las IP del Servidor y el equipo cliente. Promueva el Servidor de grupo de trabajo a Domino REDES.EDU.SV. y luego instale el SP2 para Windows 2003. Consulte a su instructor para poder realizar esto. Universidad Salvadoreña Alberto Masferrer
Página 12
Conclusiones
PC No._____
Fecha: _____________
Nombre: _______________________________________
Carnet: _____________
Asignatura:
GUÍA # 1
ADMINISTRACIÓN DE REDES II.
NOTA:_____
Realice un pequeño resumen y comentarios personales acerca de la práctica de laboratorio. _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________
Evaluación Previa Conteste las siguientes preguntas al reverso de la hoja. 1) ¿Cuáles son los aspectos del Sistema Anfitrión que no pueden virtualizarse? 2) ¿Cuál sería el porcentaje de memoria RAM que debe dejarse disponible para el Sistema Operativo del Anfitrión?. 3) ¿Porqué se configura la red virtual de tipo INTERNA? 4) ¿Cuál fue el motivo por la que utilizó el segundo mecanismo de creación de máquinas virtuales? ¿en qué ayuda esto?. 5) ¿De qué forma puede configurarse una máquina virtual desde el inicio con un disco duro nuevo? ¿cuáles serían los pasos?. 6) Para usted, ¿Cuál es la importancia de utilizar un entorno virtual en ambientes de producción?. 7) ¿Cuál es la diferencia entre el “Dominio” y “Controlador Principal de Dominio” (o Controlador de Dominio). Bibliografía http://www.oracle.com/us/technologies/virtualization/virtual-desktop-infrastructure/overview/index.html http://www.microsoft.com/en-us/server-cloud/solutions/virtualization.aspx#fbid=GGQusHq_daS http://www.vmware.com/
Universidad Salvadoreña Alberto Masferrer
Página 13
Universidad SalvadoreĂąa Alberto Masferrer
PĂĄgina 14
UNIVERSIDAD SALVADOREÑA ALBERTO MASFERRER FACULTAD DE CIENCIAS EMPRESARIALES LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN
GUÍA # 2 Asignatura: Docente:
ADMINISTRACIÓN DE REDES II.
Ciclo: I-2014
Ing. Téc. Mario Enrique Salguero Juárez
Tema:
Tiempo: 4 Horas
Fecha: _________________
PERFILES LOCALES Y DE DOMINIO.
Contenido
Roles funcionales de red: Grupo de Trabajo y Dominio.
Perfiles de usuario: Locales y de Dominio.
Objetivos Generales
Verificar las diferencias de los perfiles de usuarios de forma local en un equipo según el tipo de sesión de inicio del sistema utilizada. Comprobación de los diferentes mecanismos de acceso de contraseña en una red de grupo o red de dominio. Desarrolle criterios éticos en el manejo de perfiles, información de usuario y desbloqueo de contraseñas en equipos bloqueados con perfiles de administrador.
Material y Equipo 1 Computadora con Procesador P4 3.4GHz (min), Core 2 Duo 2.6GHz (std), I5 2.8 GHz (best). RAM 1GB RAM (min), 2GB (std), 4GB (best). Disco duro 80GB (min), 160GB (std), 300GB (best). Sistema Operativo Anfitrión: Windows xp (min), Windows 7 32 bits (std), Windows 7 64 bits (best). No se sugiere Windows 8 en entorno virtual, debido a rendimiento. Programa VirtualBox-4.3.6-91406.exe, como gestor de máquinas virtuales. Compatible con Sistemas Operativos Windows XP, Vista, 7 y 8, a 32 y 64 bits. Previamente instalado. Carpeta con 3 archivos VDI de máquinas virtuales: 1 para cliente xp, 2 para Servidor. 2 Máquinas virtuales previamente instaladas: 1 Cliente XP, 1 Servidor Windows 2003. (Puede obviarse las máquina virtuales si se cuenta con 2 computadoras con los sistemas Operativos XP y Windows 2003 Server instalados en una partición primaria). 1 Memoria USB. COPIAR EN CARPETA LOCAL DEL EQUIPO Programas o archivos UNLOCK-xp.ISO, Hiren´s_boot_cd_v.15.2.ISO para posible desbloqueo de contraseñas. Programa YUMI-1.9.9.9.EXE para creación de USB de inicio. Guía de laboratorio. Lapicero. Universidad Salvadoreña Alberto Masferrer
Página 15
Introducción Teórica
Entorno de red Windows
Un entorno de red basado en Windows se puede implantar como modelo de trabajo en grupo o modelo de dominios. Tanto Windows 2000, XP, VISTA, 7 en sus versiones CLIENTE Profesional como Windows 2000
y 2003 en sus versiones SERVER pueden participar en
cualquiera de los dos modelos. Las diferencias administrativas entre los dos productos dependen del entorno del modelo de red requerida o configurada. GRUPO DE TRABAJO: El modelo Windows, LINUX o mezclado. Un grupo de trabajo Windows es un agrupamiento lógico de equipos en red que comparte recursos, como ficheros a impresoras. (El esquema de la Figura 15 no indica un cableado de red con topología de anillo, más bien muestra que todos los equipos están a un mismo nivel). Un grupo de trabajo se interpreta como una red de igual a igual, porque todos los equipos del grupo de trabajo pueden compartir recursos por igual sin un servidor dedicado. Cada equipo en el grupo de trabajo, con Sistema Operativos de Red (Server), o con Sistemas Operativos Clientes, mantiene una base de datos local de seguridad. Una base de datos local de seguridad es una lista de cuentas de usuario a información de recursos de seguridad para el equipo en la que reside. Las configuraciones personalizadas de los accesos se almacenan en el disco duro y son conocidos como PERFIL DE USUARIO. Por consiguiente, la administración de cuentas de usuario y recursos de seguridad en un grupo de trabajo se encuentra descentralizado, puesto que todos los equipos tienen perfiles independientes.
FIGURA 15. ESQUEMA DE UNA RED DE GRUPO DE TRABAJO.
Universidad Salvadoreña Alberto Masferrer
Página 16
Las ventajas de un grupo de trabajo son:
No se requiere un controlador principal de dominio, que es muy difícil de administrar.
Bajo costo de licenciamiento.
Un grupo de trabajo es sencillo de diseñar a implementar. Un grupo de trabajo no precisa de las largas labores de planificación y administración que requiere un dominio.
Un grupo de trabajo es conveniente para un número limitado de equipos que se encuentren próximos. (Un grupo de trabajo llega a ser no práctico en entornos con más de 10 equipos.) Las desventajas de la utilización de grupos de trabajo, son:
Un usuario debe tener una cuenta de usuario en cada equipo al que quiera tener acceso.
Cualquier cambio en las cuentas de usuario, como el cambio de la contraseña o la inclusión de nuevas cuentas de usuario, se debe realizar en cada equipo del grupo de trabajo. Si olvida añadir una cuenta de usuario en un equipo del grupo de trabajo, el nuevo usuario no será capaz de iniciar la sesión en ese equipo y no podrá acceder a los recursos que se encuentran en la misma.
El compartir ficheros y dispositivos se administra individualmente por parte de equipos y por los usuarios individuales que tienen cuentas en cada equipo.
DOMINIO. Administración Centralizada. Un Dominio es la Unidad Central de una estructura lógica que puede almacenar millones de objetos. Los objetos que se almacenan en un dominio son aquellos que se consideran parte de la red. Estos objetos, son productos que los miembros de la comunidad de la red necesitan para realizar su trabajo: impresoras, documentos, direcciones de correo electrónico, bases de datos, usuarios, componentes distribuidos y otros recursos. Todos los objetos de la red existen en un dominio, y cada dominio almacena información exclusivamente sobre los objetos que contiene. El Dominio, es un rol funcional dentro de un sistema operativo de red, instalado en un equipo de cómputo robusto, con capacidades mucho mayores a las de las PC comunes, con interconexiones de red con gran ancho de banda.
Universidad Salvadoreña Alberto Masferrer
Página 17
FIGURA 16. ESQUEMA GRÁFICO Y JERÁRQUICO DE LOS ELEMENTOS DE UN DOMINIO. Agrupar objetos en uno o más dominios permite a la red reflejar la organización de la empresa. Los dominios comparten estas características:
El controlador de dominio “servidor” y las computadoras “cliente” ó “host”, deben tener el mismo rango de red IP para poder interactuar entre si.
Todos los objetos de red pueden estar dentro de un dominio, aunque cada dominio almacena información referida exclusivamente a los objetos que contiene. Teóricamente, un directorio de dominio puede contener hasta diez millones de objetos, aunque es más práctico el número de un millón de objetos.
Un dominio es un límite de seguridad. Las listas de control de acceso (ACL -Access Control List) controlan el acceso a los objetos del dominio. Las ACL contienen los permisos asociados con los objetos que controlan los usuarios que pueden acceder a un objeto, así como los tipos de acceso que pueden realizar. En Windows Server, los objetos pueden ser archivos, carpetas, comparticiones, impresoras y otros objetos del Directorio Activo (Active Directory, conocido como AD). Las directivas de seguridad y las configuraciones, como derechos administrativos, directivas de seguridad y ACL, no van de un dominio a otro. El administrador del dominio tiene derechos totales para establecer directivas dentro de un dominio.
Universidad Salvadoreña Alberto Masferrer
Página 18
Los recursos de un dominio estaban asociados a un identificador de seguridad único (SID - Security IDentificer) que se generaba dentro del dominio. Esto implicaba que había garantías de tener un SID único solamente dentro de un dominio. Un GUID es único en todos los dominios, lo que implica que se pueden mover objetos entre dominios y los objetos pueden conservar un identificador único.
Las cuentas de usuario (y demás objetos del dominio) tienen un nombre denominado el nombre principal de usuario (UPN - User Principal Name). El UPN se compone de un nombre «taquigráfico» de la cuenta de usuario y del nombre DNS del árbol donde el objeto de la cuenta de usuario está localizado. Por ejemplo, Nombre Apellido (sustituto del primer y segundo nombre del usuario actual) en el árbol microsoft.com tiene un UPN NombreA@microsoft.com (utilizando el nombre completo y la primera letra del apellido).
TABLA 2. VENTAJAS Y DESVENTAJAS DE UNA RED DE DOMINIO, INDEPENDIENTE DEL SISTEMA OPERATIVO UTILIZADO. PERFIL DE USUARIO LOCAL Y PERFIL DE USUARIO DE DOMINIO. Un perfil de usuario, define el tipo de privilegios de acceso que pueda tener un usuario en un equipo. Se almacenan en el disco duro y almacenan información de documentos, páginas favoritas, contactos, configuraciones personalizadas de usuario, contraseñas, etc. El perfil del usuario “Administrador” a través de su sesión, tiene el control total
sobre
el
equipo,
permitiéndole
realizar
configuraciones específicas y avanzadas del mismo. FIGURA 17. Ubicación de cuentas de usuario es distinta a la ubicación de los perfiles de usuario.
Universidad Salvadoreña Alberto Masferrer
Página 19
Veamos el siguiente caso, al que llamaremos CASO 1. Se cuenta con la computadora PC01. Cuando el usuario “Administrador” inicia la sesión dentro de este equipo, se genera un perfil del mismo en el disco duro (en Windows XP es la carpeta c:\Document and Settings; En
Windows
7
es
la
carpeta
c:\usuarios), en la que se almacena toda la información utilizada en su sesión. Igual sucede con los usuarios JOSE Y JUAN, solo que éstos, no tienen control total del equipo. FIGURA 18. Acceso restringido a equipos de acuerdo al tipo de perfil. Para iniciar la sesión, el usuario con login o acceso de administrador debe digitar su nombre de usuario y contraseña para tener acceso completo al equipo PC01 como se muestra en la Figura 19. Puede digitarse PC01\Administrador como nombre de usuario, indicando que es el usuario Administrador dentro de un perfil local del equipo PC01. En Windows XP, en el botón de Opciones, aparecerá un nuevo cuadro de texto, Solo si el equipo previamente haya establecido una relación de confianza con algún dominio, como se muestra en la Figura 20).
FIGURA 19 Y 20. Diferentes pantallas para acceso a perfil local del usuario Administrador en PC01. Universidad Salvadoreña Alberto Masferrer
Página 20
Ahora veamos el CASO 2. En el ámbito
laboral,
informático
Un
posee
el
profesional acceso
de
administrador en un servidor Robusto de Hardware, en el que se ha realizado la configuración
del
rol
funcional
de
Controlador Principal de Dominio (o “Domain Controller DC”) en la red de su empresa. FIGURA 21. Acceso Total al Servidor Controlador de Dominio de una red.
Cuando el usuario con login o acceso de administrador inicia su sesión en el Servidor controlador de dominio, posee control total sobre todos los elementos del dominio: usuarios, equipos, grupos, unidades organizativas, relaciones de confianza con otros servidores, políticas, servicios de red, etc. Este usuario tiene el control total de la operatividad de la red. (Por ello, los administradores establecen criterios de contraseña robustos con letras mayúsculas, minúsculas, números y caracteres especiales para no vulnerar la seguridad del Servidor). En la pantalla de inicio, aparece por defecto el nombre corto del dominio, el cual define el perfil de dominio para el usuario administrador de la siguiente manera: como
REDES\Administrador perfil
local
del
(pero servidor
SRVREDES01\Administrador).
FIGURA 22. Pantalla de acceso del Administrador al Controlador de Dominio SRVREDES01, del Dominio REDES.
Universidad Salvadoreña Alberto Masferrer
Página 21
Vistos ambos casos, se tienen las siguientes 4 conjeturas: 1) El usuario con perfil local de administrador del equipo PC01, que se denomina “Administrador”, no es el mismo perfil de usuario “Administrador” del perfil local del equipo SRVREDES01 de dominio, aunque se llamen igual. Los nombres de los usuarios en Sistemas Operativos Windows, no son KEY-SENSITIVE. En Linux, Administrador no es igual que administrador.y el usuario Administrador en Linux se llama “root”.
FIGURA 23. Los Perfiles locales del usuario Administrador son diferentes porque se almacenan en diferentes ubicaciones.
2) El
usuario
administrador
SRVREDES01
del
REDES.EDU.SV, administrador
del
del
está
por
equipo
equipo dominio
encima PC01
y
del de
cualquier otro equipo de la red, siempre y cuando los equipo hayan establecido una relación de confianza con el dominio REDES (Nombre
corto
de
REDES.EDU.SV).
¡Incluso, el administrador de dominio puede cambiar la contraseña del administrador local, sin que éste se de cuenta!... FIGURA 24. Superioridad del Administrador de Dominio con respecto al Administrador local de un equipo de dominio. Universidad Salvadoreña Alberto Masferrer
Página 22
3)
El equipo PC01, para poder pertenecer al dominio, debe “pegarse” o “adicionarse al dominio, utilizando el usuario y contraseña del administrador de dominio, para poder heredar o estar autorizado a utilizar los recursos disponibles de la red del dominio.
FIGURA 25. Esquema lógico de pasos para establecer relación de confianza de un equipo a un dominio.
FIGURA 26. Secuencia de configuración de Cliente, para establecer relación de confianza con el dominio. Se requiere usuario autorizado de dominio. Universidad Salvadoreña Alberto Masferrer
Página 23
4) El usuario administrador del perfil local del Servidor, puede coexistir junto con el usuario administrador del equipo PC01 dentro del equipo PC01, solo que se diferencian a través del nombre de perfil. (Creyendo que srvredes01\Administrador, fue el usuario que promovió al equipo Servidor SRVREDES01 de grupo de trabajo a Controlador de Dominio).
FIGURA 27. El perfil de Administrador del dominio puede coexistir con el administrador del equipo cuando inicia sesión en él. 5) ¿Qué sucedería si la contraseña de administrador local se pierde? ¿y si la computadora se colocó de una red distinta a la red destino, y que el administrador de dominio no pueda ingresar a su perfil? ¿o se bloqueó el perfil
de
administrador?
¿qué
se
puede hacer?.
FIGURA 28. Perfil local de usuario administrador bloqueado en equipo.
Universidad Salvadoreña Alberto Masferrer
Página 24
Uno de los soportes mayormente realizados en los equipos informáticos con sistemas operativos comerciales, es el bloqueo de la contraseña de administrador local. Puede ser que un usuario quiera tener el control del equipo de manera propia, o puede que un usuario disgustado no quiere que utilicen el equipo, una infección de virus informático, o simplemente, el traslado del equipo de una red IP diferente a la que trabajaba, y que requiera cambiar el valor IP de forma manual. Todas estas situaciones, bloquean el acceso al equipo. Existen 3 formas para desbloquear un perfil de administrador local dentro de un equipo:
Utilizando el Servidor de Dominio, con sesión de administrador de dominio, para borrar o cambiar la contraseña de administrador del equipo cliente. (Siempre y cuando el equipo haya establecido una relación de confianza con el dominio).
Utilizando de forma local en el equipo, software libre para la eliminación de la contraseña que tiene el usuario administrador dentro del perfil local. Se pueden utilizar CDs o memorias USB, configurando el BIOS de la máquina para que inicie a través de estos medios y realizar los pasos del programa para borrar las contraseñas.
Formateando el equipo e instalarle todos los programas y archivos.
Como administrador de red, debe haber un respeto al criterio de privacidad que debe tenerse a la información u acceso de contraseñas para ver la información sensible del usuario. Las empresas deben tener apartados legales en los contratos de los profesionales de informática en no revelar a personas la información recolectada. Incluso, con una situación sencilla: Un usuario que llame por el vencimiento de su contraseña…. El administrador debe estar completamente seguro de que es la persona, pidiéndole alguna clave o identificación personal, como por ejemplo, el número de carnet de empleado… U otro usuario que solicite acceso de navegación de internet irrestricta, sin estar autorizado por el jefe del departamento. La ética, debe gobernar la decisión de configuración de accesos a los equipos. Esto ayudará a incrementar la seguridad de la red, que está expuesta en la actualidad a muchas técnicas de ingeniería social, para ser vulnerada. La contraseña de Administrador, puede ser borrada, incluso sin estar establecida la “Relación de confianza” con el dominio. Esto solo debe hacerse por fines de soporte al usuario, con toda la ética que esto implica. Si concluyes la práctica rápidamente, pide a tu instructor que te muestre como hacerlo.
Universidad Salvadoreña Alberto Masferrer
Página 25
Procedimiento PARTE I. Verificación de perfiles creados en equipos CLIENTE y SERVIDOR. En esta parte, se ejecutará un Sistema Operativo de Red “Windows 2003 Server”, y otro sistema Operativo Cliente “Windows XP”, ya sea en un entorno real o virtual, que realice la siguiente topología de red.
FIGURA 29. Topología de red utilizada en la práctica de laboratorio. 1) Ejecute el programa Oracle Virtual Box, ubicado dentro de la carpeta de programas (de contar con un entorno virtual de laboratorio). 2) Ejecute inicialmente el sistema operativo de red en la máquina virtual servidor. Cuando haya cargado y muestre la pantalla de acceso, haga clic en la opción máquina (ubicada en la esquina superior izquierda), y luego en la opción “Insertar Ctrl-Alt-Supr”. 3) Digite la contraseña del usuario Administrador de Dominio. Nombre de usuario:
administrador
Contraseña:
$emperfide!5
4) Permita que cargue el sistema operativo de red y que muestre el escritorio del Servidor.
Universidad Salvadoreña Alberto Masferrer
Página 26
5) Con el explorador de archivos, ubique la ruta c:\Document and Settings dentro del disco duro del servidor. ¿Qué carpetas observa? ______________________________________________________________________ ______________________________________________________________________ _____________________________________________________________________ 6) Ejecute el equipo o máquina virtual, con el sistema operativo “Cliente” Microsoft Windows XP. Cuando haya cargado y muestre la pantalla de acceso, haga clic en la opción máquina (ubicada en la esquina superior izquierda), y luego en la opción “Insertar CtrlAlt-Supr”. 7) Digite la contraseña del usuario Administrador del perfil local del equipo VPC01. Nombre de usuario:
administrador
Contraseña:
(en blanco, no tiene).
8) Permita que cargue el sistema operativo “Cliente”. 9) Con el explorador de archivos, ubique la ruta c:\Document and Settings dentro del disco duro “C” del equipo cliente. ¿Qué carpetas observa? ¿existe alguna diferencia con las encontradas en el servidor? Explique. ______________________________________________________________________ ______________________________________________________________________ _____________________________________________________________________ 10) Verifique si su equipo cliente tiene relación de confianza con el dominio. ¿Cómo se puede determinar esto? ______________________________________________________________________ ______________________________________________________________________ 11) De no contar con relación de confianza con el dominio, realice los pasos necesarios para configurar la VPC01 con el dominio. 12) En este punto, solicite a su instructor que le bloquee la cuenta administrador del equipo cliente. 13) Minimice la sesión del equipo cliente.
Universidad Salvadoreña Alberto Masferrer
Página 27
PROCEDIMIENTO. Superioridad del Administrador de Dominio: Desbloqueo de perfil local de usuario Administrador en equipo local. 1) Maximice e ingrese en la sesión del equipo o máquina virtual “Cliente” con Windows XP. 2) Trate de ingresar a la sesión Administrador del equipo cliente virtual o real. Cuando haya cargado y muestre la pantalla de acceso, haga clic en la opción máquina (ubicada en la esquina superior izquierda), y luego en la opción “Insertar Ctrl-Alt-Supr”. 3) Digite la contraseña del usuario Administrador del perfil local del equipo VPC01. i. Nombre de usuario:
administrador
ii. Contraseña:
(en blanco, no tiene).
4) ¿Pudo hacerlo? ¿qué sucedió? ______________________________________________________________________ ______________________________________________________________________ 5) Ingrese a la sesión del administrador, en el equipo SERVIDOR. Cuando haya cargado y muestre la pantalla de acceso, haga clic en la opción máquina (ubicada en la esquina superior izquierda), y luego en la opción “Insertar Ctrl-Alt-Supr”. 6) Digite la contraseña del usuario Administrador de Dominio. i. Nombre de usuario:
administrador
ii. Contraseña:
$emperfide!5
7) Permita que cargue el sistema operativo de red y que muestre el escritorio del Servidor.
8) Haga clic en el botón de inicio, programas, herramientas administrativas, usuarios y equipos de Active Directory, según la siguiente figura.
FIGURA 30. Secuencia para la ejecución del Directorio Activo en Windows 2003 Server.
Universidad Salvadoreña Alberto Masferrer
Página 28
9) Haga clic sobre el signo (+) a la izquierda del nombre del dominio “redes.edu.sv”, luego haga doble clic en la carpeta “Computers”, en la ventana de
la
derecha
derecho
sobre
“VPC01”
y
haga el
clic
equipo
seleccione
la
opción “Administrar”.
FIGURA 31. Secuencia para desbloqueo de contraseña en cliente con Windows 2003 Server 10) Aparecerá la ventana de “Administración de equipos”. Expanda la opción “Herramientas del sistema” (haciendo clic en el símbolo (+) de la izquierda), luego expandir “Usuarios y grupos locales”, haga clic en la carpeta “usuarios”, en la ventana de la derecha haga clic derecho sobre el usuario “Administrador” y clic derecho sobre él, para seleccionar la opción “Establecer contraseña”.
FIGURA 32. Secuencia de administración de perfil local Administrador del equipo VPC01 dentro de la consola de administración del Directorio Activo del Servidor. Universidad Salvadoreña Alberto Masferrer
Página 29
11) Aparecerá el mensaje siguiente. Haga clic en continuar.
FIGURA 33. Advertencia por cambio de contraseña de administrador en equipo VPC01.
12) Digite la contraseña “Inform4tic@” dos veces
(Observe
contiene
los
mayúsculas,
que
criterios
la
contraseña
de
minúsculas,
seguridad números
y
caracteres especiales), en los cuadros de texto “Contraseña Nueva” y “Confirmar contraseña. Haga clic en aceptar.
FIGURA 34. Para digitar la contraseña. 13) Diríjase al equipo o máquina virtual “cliente”. 14) Cuando haya cargado y muestre la pantalla de acceso, haga clic en la opción máquina (ubicada en la esquina superior izquierda), y luego en la opción “Insertar Ctrl-Alt-Supr”. 15) Digite la contraseña del usuario Administrador del perfil local del equipo VPC01. i. Nombre de usuario:
administrador
ii. Contraseña:
(en blanco) (como estaba antes)
16) ¿Pudo hacerlo? ¿qué sucedió? ______________________________________________________________________ ______________________________________________________________________ 17) Digite la contraseña del usuario Administrador del perfil local del equipo VPC01. i. Nombre de usuario:
administrador
ii. Contraseña:
Inform4tic@
18) ¿Pudo hacerlo? ¿qué sucedió? ______________________________________________________________________ ______________________________________________________________________
Universidad Salvadoreña Alberto Masferrer
Página 30
Conclusiones
PC No._____
Fecha: _____________
Nombre: _______________________________________
Carnet: _____________
Asignatura:
GUÍA # 2
ADMINISTRACIÓN DE REDES II
NOTA:_____
Realice un pequeño resumen acerca de las primeras 4 conjeturas entre un perfil Local y uno de Dominio. _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ Evaluación Previa
Conteste las siguientes preguntas al reverso de la hoja. 8) ¿Cual es la principal diferencia entre un Grupo y un Dominio? 9) ¿Qué es un perfil de usuario?. 10) ¿Puede un usuario Administrador de Dominio borrar la contraseña de un administrador local? ¿cómo puede hacerse esto? 11) ¿Es correcto cambiar la contraseña de un usuario sin su consentimiento?. ¿Bajo qué condiciones usted haría eso? 12) ¿Dónde se almacenan los perfiles del dominio?, ¿en el equipo cliente o en el servidor?. 13) ¿Dónde se almacenan las contraseñas para los perfiles de dominio? ¿en el equipo cliente o en el servidor? 14) Para usted, ¿Cuál es la importancia de poner contraseñas complejas en los accesos a los servidores?. Bibliografía http://www.pendrivelinux.com/yumi-multiboot-usb-creator/ http://windows.microsoft.com/es-xl/windows/connect-computer-domain#1TC=windows-7 Universidad Salvadoreña Alberto Masferrer
Página 31
Universidad SalvadoreĂąa Alberto Masferrer
PĂĄgina 32
UNIVERSIDAD SALVADOREÑA ALBERTO MASFERRER FACULTAD DE CIENCIAS EMPRESARIALES LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN
GUÍA # 3 Asignatura: Docente:
Tema:
ADMINISTRACIÓN DE REDES II. Ing. Téc. Mario Enrique Salguero Juárez
Ciclo: I-2014
Tiempo: 4 Horas
Fecha: _________________
CREACIÓN DE USUARIOS, GRUPOS Y UNIDADES ORGANIZATIVAS.
Contenido Componentes lógicos de Active Directory. Componentes de estructura física. Espacio de nombres DNS. Convenio de nombres. Consola para administración del Servidor. Objetivo General Desarrollar la habilidad para la asignación de nombres de los componentes lógicos y físicos de un Directorio Activo a través de la diferenciación de cada uno de ellos, para una adecuada implementación y administración de una red de datos. Objetivos Específicos
Identificar los componentes lógicos y físicos que un Directorio Activo utiliza para la representación y administración de los elementos de un Dominio. Reconocer la importancia del uso de un directorio activo como herramienta administrativa del rol funcional de un controlador principal de dominio dentro de un Sistema Operativo de Red.
Material y Equipo
(best). RAM 1GB RAM (min), 2GB (std), 4GB (best). Disco duro 80GB (min), 160GB (std), 300GB (best). Sistema Operativo Anfitrión: Windows xp (min), Windows 7 32 bits (std), Windows 7 64 bits (best). No se sugiere Windows 8 en entorno virtual, debido a rendimiento. Programa VirtualBox-4.3.6-91406.exe, como gestor de máquinas virtuales. Compatible con Sistemas Operativos Windows XP, Vista, 7 y 8, a 32 y 64 bits. Previamente instalado. 2 Máquinas virtuales previamente instaladas: 1 Cliente XP, 1 Servidor Windows 2003. (Puede obviarse las máquina virtuales si se cuenta con 2 computadoras con los sistemas Operativos XP y Windows 2003 Server instalados en una partición primaria). Guía de laboratorio. Lapicero.
Universidad Salvadoreña Alberto Masferrer
Página 33
Un Directorio Activo no es más que la agrupación de los objetos de uno o más dominios, que pueden representar de forma lógica -a través de una interfaz gráfica- la propia organización de la empresa. Todos los objetos de la red existen en un dominio, ¡y es posible albergar hasta 10 millones de objetos!. Quizás al usuario final este tipo de estructura no le diga nada, sin embargo, para administrar una red empresarial, AD permite hacerlo de manera fácil, centralizada y automática en muchos de sus parámetros. Y para el usuario significa no tener que recordar números o nombres abstractos, y tener los recursos de la red disponibles sin tener que preocuparse por saber donde están. AD permite un punto único de administración para todos los recursos públicos, entre los que se pueden incluir archivos, dispositivos periféricos, conexiones al host, bases de datos, accesos Web, usuarios, otros objetos arbitrarios, servicios, etc. En Windows 2003, Active Directory integra el concepto de espacio de nombres de Internet con los servicios de directorio del sistema operativo. Esta combinación permite la unificación de múltiples espacios de nombres. Utiliza el DNS de Internet como servicio de localización, organiza los objetos en dominios dentro de una jerarquía de unidades organizativas (OU, Organizational Unit) y permite que varios dominios se conecten en una estructura en árbol.
FIGURA 35. Consola de Administración personalizada que integra el Directorio Activo para la administración de los elementos de un dominio de red de datos.
Universidad Salvadoreña Alberto Masferrer
Página 34
Componentes lógicos de Active Directory. AD utiliza componentes para construir una estructura de directorio acorde con las necesidades de una organización. Las estructuras lógicas de la organización se representan en los siguientes componentes de Active Directory: dominio, unidades organizativas, árboles y bosques. La estructura física de una organización está recogida por los siguientes componentes de Active Directory: sitios (subredes físicas) y controladores de dominio. Active Directory separa completamente la estructura lógica de la física. En AD, los recursos se organizan en una estructura lógica que refleja la estructura lógica de una organización. Agrupar recursos lógicamente permite encontrar un recurso por su nombre en vez de por su localización física. Por el hecho de agrupar recursos lógicamente, Active Directory hace transparente la estructura física a los usuarios.
DOMINIOS. La unidad central de la estructura lógica de AD es el dominio, que puede almacenar millones de objetos. Los objetos que se almacenan en un dominio son aquellos que se consideran «interesantes» para la red. Los objetos «interesantes» son productos que los miembros de la comunidad de la red necesitan para realizar su trabajo: impresoras, documentos, direcciones de correo electrónico, bases de datos, usuarios, componentes distribuidos y otros recursos. Todos los objetos de la red existen en un dominio,
y
cada
dominio
almacena
información exclusivamente sobre los objetos que
contiene.
Active
Directory
está
compuesto por uno o más dominios. Un dominio puede expandirse en más de una localización física. Agrupar objetos en uno o más dominios permite a la red reflejar la organización de la empresa. Los dominios comparten estas características: FIGURA 36. ESQUEMA DE UN DOMINIO
Universidad Salvadoreña Alberto Masferrer
Página 35
Todos los objetos de red pueden estar dentro de un dominio, aunque cada dominio almacena información referida exclusivamente a los objetos que contiene. Teóricamente, un directorio de dominio puede contener hasta diez millones de objetos, aunque es más práctico el número de un millón de objetos. Un dominio es un límite de seguridad. Las distas de control de acceso (ACL -Access Control List) controlan el acceso a los objetos del dominio. Las ACL contienen los permisos asociados con los objetos que controlan los usuarios que pueden acceder a un objeto, así como los tipos de acceso que pueden realizar. En Windows 2003, los objetos pueden ser archivos, carpetas, comparticiones, impresoras y otros objetos de Active Directory. Las directivas de seguridad y las configuraciones, como derechos administrativos, directivas de seguridad y ACL, no van de un dominio a otro. El administrador del dominio tiene derechos totales para establecer directivas dentro de un dominio. Unidades organizativas. Una unidad organizativa (OU - Organizational Unit) es un contenedor que se utiliza para organizar objetos dentro de un domino en grupos administrativos lógicos que reflejan la estructura funcional y de negocios de una organización. Una OU puede contener objetos tales como cuentas de usuarios, grupos, equipos, impresoras, aplicaciones, archivos compartidos y otras OU del dominio. La jerarquía de una OU dentro de un dominio es independiente de la estructura jerárquica de la OU de otros dominios: cada dominio puede implementar su propia jerarquía de OU. La unidad organizativa es un tipo de objeto de directorio muy útil incluido en los dominios. Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios. Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa. Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las estructuras lógicas y jerárquicas existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos, en función de su modelo organizativo
Universidad Salvadoreña Alberto Masferrer
Página 36
FIGURA 37. Esquema de Unidades Organizativas de Grupos de usuarios, Grupos de equipos, Otras Unidades Organizativas (con categoría jerárquica u geográfica). Las OU pueden proporcionar una forma de manejar las tareas administrativas, ya que representan el punto de vista más pequeño de delegación para las autoridades administrativas. Esto proporciona un método para delegar la administración de usuarios y recursos. Árboles. Un árbol es una agrupación o una ordenación jerárquica de uno o más dominios de Windows 2003 que se pueden crear añadiendo uno o más dominios secundarios a un dominio principal existente. Los dominios en un árbol comparten un espacio de nombres contiguo y una estructura
jerárquica de nombres.
El
espacio de nombres se abarca en detalle en siguientes apartados. Los árboles comparten estas características: FIGURA 38. EL CONJUNTO DE DOMINIOS JERÁRQUICAMENTE ORGANIZADOS ES UN ÁRBOL
Universidad Salvadoreña Alberto Masferrer
Página 37
Acorde con los estándares del Sistema de nombres de dominio (DNS - Domain Name System), el nombre de dominio de un dominio secundario es el nombre relativo de ese dominio secundario agregado al nombre del dominio principal. Todos los dominios dentro de un mismo árbol comparten un esquema común, que es una definición formal de todas las clases de objeto que se pueden almacenar en el desarrollo de Active Directory. Todos los dominios dentro de un mismo árbol comparten un catálogo global, que es el depósito central de información de los objetos del árbol. El catálogo global se comenta en detalle en la siguiente lección. Al crear una jerarquía de dominios en un árbol, se puede preservar la seguridad y se puede permitir la administración dentro de una OU o dentro de un dominio simple de un árbol. Los permisos se pueden extender hacia abajo en un árbol mediante la concesión de permisos al usuario utilizando los esquemas comunes de una OU. Esta estructura de árbol puede contemplar con facilidad los cambios en una organización.
Bosques. Un
bosque
agrupación
o
es
una
configuración
jerárquica de uno o más árboles de
dominio
completamente
distintos
y
independientes
entre sí. Por consiguiente, los bosques
tienes
las
siguientes
características: FIGURA 39. Esquema de un Bosque. Todos los árboles de un bosque comparten un esquema común. Los árboles de un bosque tienen diferentes estructuras de nombre de acuerdo con sus dominios.
Universidad Salvadoreña Alberto Masferrer
Página 38
Todos los dominios de un bosque comparten un catálogo común global. Los dominios en un bosque operan independientemente, pero el bosque permite la comunicación a lo largo de toda la organización. Existe una relación transitiva de confianza bidireccional entre los dominios y los árboles de dominio.
II. Componentes de Estructura física. Los componentes físicos de Active Directory son los sitios y los controladores de dominio. Utilizará estos componentes para desarrollar una estructura de directorio que refleje la estructura física de una organización.
Controladores de dominio. Un controlador de dominio es un equipo con Windows 2003 Server que almacena una copia del directorio de dominio (base de datos local del dominio). Dado que un dominio puede contener uno o más controladores de dominio, todos los controladores de dominio en un dominio tienen una copia completa de la porción de dominio del directorio.
FIGURA 40. Diferentes fabricantes, modelos de servidores con infraestructura apropiada para Controlador de Dominios
Universidad Salvadoreña Alberto Masferrer
Página 39
Las funciones de los controladores de dominio, son:
Cada controlador de dominio almacena una copia completa de toda la información de Active Directory para ese dominio, administra los cambios y replica esos cambios a otros controladores de dominio del mismo dominio.
Los controladores de dominio de un dominio replican todos los objetos del dominio entre ellos. Cuando se realiza una acción que provoca la actualización de Active Directory, se realiza en realidad un cambio en uno de los controladores de dominio. En ese caso, ese controlador de dominio replica el cambio a los demás controladores de dominio del dominio. Se puede controlar el tráfico de replicación entre controladores de dominio en la red especificando la frecuencia a la que se produce la replicación y la cantidad de datos que Windows 2003 replica cada vez.
Los controladores de dominio replican inmediatamente ciertas actualizaciones urgentes, tales como la eliminación de una cuenta de usuario.
Active Directory utiliza replicación multimaestro, en la cual ningún controlador de dominio es el maestro. En lugar de eso, todos lo controladores de dominio de un dominio son iguales, y contienen una copia de la base de datos del directorio en la que pueden escribir. Los controladores de dominio pueden mantener información diferente durante cortos espacios de tiempo hasta que todos los controladores de dominio han sincronizados los cambios en Active Directory.
El hecho de tener más de un controlador de dominio en un dominio provoca tolerancia a fallos. Si un controlador de dominio está desconectado, otro controlador de dominio puede proporcionar todas las funciones necesarias, tales como almacenamiento de cambios de Active Directory. Los controladores de dominio administran todas las facetas de las interacciones de los usuarios en un dominio, como pueden ser la localización de los objetos de Active Directory y la validación de los intentos de inicio de sesión por parte de los usuarios.
Universidad Salvadoreña Alberto Masferrer
Página 40
Sitios. En la red física, un sitio representa un conjunto de equipos que están conectados mediante una red de alta velocidad, como una red de área local (LAN). Normalmente, todos los equipos del mismo sitio físico residen en el mismo edificio o quizás en la misma red del campus. En AD DS, un objeto de sitio representa los aspectos del sitio físico que se pueden administrar, especialmente la replicación de datos de directorio entre controladores de dominio. Puede usar Sitios y servicios de Active Directory para administrar los objetos que representan los sitios y los servidores que residen en esos sitios. Los objetos de sitio y sus objetos relacionados están replicados en todos los controladores de dominio de un bosque de Active Directory. Puede administrar los siguientes objetos en Sitios y servicios de Active Directory:
Sitios
Subredes
Servidores
Configuración NTDS
Conexiones
Vínculos a sitios
Transportes entre sitios IP y SMTP . Con Active Directory, los sitios no son parte de los espacios de nombres. Cuando se
mira en el espacio de nombres lógico, se pueden ver equipos y usuarios agrupados en dominios y en OU, no en sitios. Los sitios contienen solamente a los objetos equipo y conexión utilizados para configurar la replicación entre sitios. Un dominio simple se puede expandir por muchos sitios geográficos, y un único sitio puede contener cuentas de usuario y equipos pertenecientes a muchos dominios.
Universidad Salvadoreña Alberto Masferrer
Página 41
ESPACIO DE NOMBRES DNS. Active Directory, como todos los servicios de directorio, es por encima de todo un espacio de nombres. Un espacio de nombres es un área de circunscripción donde un nombre puede ser resuelto. La resolución de nombres es el proceso que se utiliza para traducir un nombre en algún objeto o información que representa el nombre. El espacio de nombres de Active Directory se basa en el esquema de nombres de DNS, que permite la interoperabilidad con las tecnologías de Internet. La redes privadas utilizan DNS con mucha frecuencia para resolver los nombres de equipos y localizar sus equipos dentro de su red local así como en Internet. La utilización de DNS aporta los siguientes beneficios: Los nombres de DNS son amigables, lo que significa que son más fáciles de recordar que las direcciones IP.
Los nombres DNS permanecen de forma más constante que las direcciones IP'. Una dirección IP de un servidor puede cambiar, pero el nombre del servidor permanece igual.
DNS permite a los usuarios enlazar sus servidores locales utilizando el mismo convenio de nombres que en Internet.
Debido a que Active Directory utiliza DNS come su servicio de nombres de dominio y localización, los nombres de dominio de Windows 2003 son también nombres DNS. Windows 2003 Server utiliza DNS dinámico (DDNS - Dynamic DNS), que permite a los clientes que tienen asignadas direcciones dinámicas registrarse directamente en un servidor DNS y actualizar las tablas DNS dinámicamente. DDNS elimina la necesidad de utilizar otros servicios de nombres de Internet, como puede ser el Servicio de nombres de Internet de Windows (WINS - Windows Internet Name Service), en un entorno homogéneo. Para que Active Directory y su software asociado funcionen correctamente, debe instalar y configurar su servicio DNS.
Espacio de nombres de dominio. El espacio de nombres de dominio es el esquema de nombres que proporciona la estructura jerárquica para la base de dates DNS. Cada nodo representa un partición de la base de dates DNS. A estos nodos se les denomina dominios. La base de dates DNS está indexada por nombres, por tanto, cada dominio debe tener un nombre.
Universidad Salvadoreña Alberto Masferrer
Página 42
Cuando se añaden dominios a la jerarquía, el nombre del dominio principal se añade al del dominio secundario (llamado subdominio). Come consecuencia, un nombre de dominio identifica su propia posición en la jerarquía. La estructura jerárquica del espacio de nombres de dominio contiene típicamente un dominio raíz, dominios de nivel superior, dominios de segundo nivel y nombres de host. Hay dos tipos de espacios de nombres:
Espacio de nombres contiguo. El nombre del objeto secundario en una jerarquía de objetos siempre contiene el nombre del dominio principal. Un árbol es un espacio de nombres contiguo.
Espacio de nombres discontinuo. Los nombres de un objeto principal y secundario del mismo objeto principal no guardan relación directa entre ellos. Un bosque es un espacio de nombres discontinuo. El término dominio, en el contexto de DNS, no se refiere al dominio del que se habla en
el servicio de directorios de Windows 2003. Un dominio Windows 2003 es un grupo de equipos y dispositivos que se administran como una sola unidad. Dominio raíz. El dominio raíz en el nivel más alto de la jerarquía y se representa como un punto (.). El dominio raíz de Internet se gestiona por varias organizaciones, encabezadas por Network Solutions, Inc. Dominios de nivel superior. Los dominios de nivel superior se organizan por clases de organización o por localización geográfica. Los nombres de países son parte también de los dominios de nivel superior. Ejemplos de nombres de países son < uk» para Reino Unido, < pt» para Portugal o «au» para Australia. Los dominios de nivel superior pueden contener dominios de segundo nivel y nombres de host. Dominios de segundo nivel. Organizaciones, tales como Network Solutions, Inc., y otras, asignan y registran dominios de segundo nivel de Internet a particulares y organizaciones. Un nombre de segundo Universidad Salvadoreña Alberto Masferrer
Página 43
nivel tiene dos partes: un nombre de nivel superior y un único nombre de segundo nivel. En el caso de nombres de países, «gov.au»,«edu.au» y «com.au» son dominios de nivel superior. Si el nombre se estructura como «empresa.au», entonces (y sólo en este caso), «.au» es el dominio de nivel superior. Nombres de host. Los nombres de host se refieren a equipos específicos de Internet o a redes privadas. El nombre de host es el situado completamente a la izquierda de un nombre de dominio totalmente cualificado (FQDN - Fully Qualified Domain Name), que describe la posición exacta de un host dentro de una jerarquía de dominios. El nombre del host no tiene que ser el mismo que el nombre del equipo, NetBIOS o de otro protocolo.
FIGURA 41. Estructura de Dominio Raíz, Dominios Secundarios y Dominios Hijos para identificar el nombre de un hosts en Internet
Universidad Salvadoreña Alberto Masferrer
Página 44
Zonas. Una zona representa una porción pequeña de un espacio de nombres de dominio. Las zonas proporcionan una forma de dividir el espacio de nombres de dominio en secciones administrables. El hecho de tener muchas zonas en un espacio de nombres de dominio se utiliza para distribuir las tareas administrativas en grupos diferentes. Una zona debe comprender un espacio de nombres de un dominio contiguo. El mapeo de nombres y direcciones IP en una zona se almacena en el archivo de la base de datos de la zona. Cada zona está sujeta a un dominio específico, que se conoce como el dominio raíz de la zona. El archivo de la base de datos de la zona no contiene necesariamente información de todos los subdominios del dominio raíz de la zona, sólo de aquellos dominios que están dentro de la zona. Servidores de nombres. Un servidor de nombres DNS almacena el archivo de la base de datos de la zona. Los servidores de nombres pueden almacenar datos de una zona o de muchas zonas. Un servidor de nombres tiene autoridad sobre el espacio de nombres de dominio que comprende toda la zona. Un servidor de nombres contiene el archivo maestro de la base de datos de la zona, que se conoce como archivo de base de datos de La zona principal, para la zona especificada. Como consecuencia, debe haber por lo menos un servidor de nombres por cada zona. Los cambios en una zona, como pueden ser añadir dominios o hosts, se realizan en el servidor que contiene el archivo de base de datos de la zona principal. Pueden existir muchos servidores de nombres que actúan como copia de seguridad del servidor de nombres y contienen el archivo de base de datos de la zona principal. El hecho de tener muchos servidores de nombres proporciona las siguientes ventajas: Realizan transferencias de zonas. Los servidores de nombres adicionales obtienen una copia del archivo de la base de datos de la zona del servidor de nombres que contiene el archivo de base de datos de la zona principal. Esto se denomina transferencia de zona. Estos servidores de nombres preguntan periódicamente al
Universidad Salvadoreña Alberto Masferrer
Página 45
servidor de nombres que contiene el archivo de base de datos de la zona principal por si es necesario realizar un refresco de los datos de la zona.
Proporcionan redundancia. Si el servidor de nombres que contiene el archivo de base de datos de la zona principal falla, el resto de servidores de nombres pueden proporcionar el servicio.
Mejoran la velocidad de acceso para localizaciones remotas. Si hay clientes en localizaciones remotas, se pueden utilizar servidores de nombres adicionales para reducir el tráfico de preguntas a través de los enlaces de la red de área extendida (WAN -Wide Area Network).
Reducen la carga en el servidor de nombres que contiene el archivo de base de datos de la zona principal.
IV. CONVENIOS DE NOMBRES. Cada objeto en Active Directory se identifica por su nombre. Active Directory utiliza una variedad de convenios de nombres: nombres completos, nombres completos relativos, identificadores globales únicos y nombres principales de usuarios. Nombre completo.
Cada objeto en Active Directory tiene un nombre completo (DN - Distinguished Name) que lo identifica de manera única y contiene suficiente información para que un cliente sea capaz de coger un objeto del directorio. El DN incluye el nombre del dominio que contiene al objeto, al igual que la ruta completa a través de la jerarquía del contenedor del objeto. Por ejemplo, el siguiente DN identifica el objeto de usuario Nombre Apellido en el dominio microsoft.com (donde Nombre y Apellido representan el nombre y apellidos de una cuenta de usuario): /DC=COM/DC=microsoft/OU=dev/CN=Usuario/CN=Nombre Apellido DC: Nombre del componente del dominio. OU: Nombre de la unidad organizativa. CN: Nombre común
Universidad Salvadoreña Alberto Masferrer
Página 46
Los DN deben ser únicos. Active Directory no permite DN duplicados. Nombre completo relativo. Active Directory soporta preguntas por atributos, de forma que se pueda localizar un objeto incluso en el caso de que el DN sea desconocido o haya cambiado. El hombre completo relativo (RDN - Relative Distinguished Name) de un objeto es la parte del hombre que es atributo del propio objeto. En el ejemplo anterior, el RDN del objeto de usuario Nombre Apellido es Nombre Apellido. El RDN del objeto principal es Usuarios. Se pueden tener RDN duplicados en los objetos de Active Directory, pero no se pueden tener dos objetos con el mismo RDN dentro de la misma OU. Por ejemplo, si una cuenta de usuario se denomina Jane Doe, no se puede tener otra cuenta de usuario denominada Jane Doe en la misma OU. Sin embargo, pueden existir objetos con hombres RDN duplicados en OU diferentes porque tienen diferentes DN.
Identificador global único. Un identificador global único (GUID - Globally Unique IDentifier) es un número de 128 bits único. Los GUID se asignan a los objetos cuando se crean. El GUID nunca cambia, incluso si se mueve o se renombra un objeto. Las aplicaciones pueden almacenar el GUID de un objeto y utilizarlo para acceder al objeto con independencia del DN actual del objeto. En versiones anteriores de Windows NT, los recursos de un dominio estaban asociados a un identificador de seguridad (SID - Security IDentificer) que se generaba dentro del dominio. Esto implicaba que había garantías de tener un SID único solamente dentro de un dominio. Un GUID es único en todos los dominios, lo que implica que se pueden mover objetos entre dominios y los objetos pueden conservar un identificador único
Universidad Salvadoreña Alberto Masferrer
Página 47
Nombre principal de usuario. Las cuentas de usuario tienen un nombre < amigable», el nombre principal de usuario (UPN - User Principal Name). El UPN
se
compone
de
un
nombre
«taquigráfico» de la cuenta de usuario y del nombre DNS del árbol donde el objeto de la cuenta de usuario está localizado. Por ejemplo, Nombre Apellido (sustituto del primer y segundo nombre del usuario actual) en el árbol microsoft.com tiene un UPN NombreA@microsoft.com
(utilizando
el
nombre completo y la primera letra del apellido). FIGURA 42. Distintas formas de nombrar a un usuario según DNS y AD-
V. BUENAS PRÁCTICAS PARA NOMBRAMIENTO DE OBJETOS EN ACTIVE DIRECTORY. USUARIOS:
Colocar nombre completo.
Cargo
Departamento
Insitución
Teléfono
Código de empleado (puede utilizar un campo de los atributos de teléfonos).
Página WEB de acceso, o dirección de la Intranet de la empresa. Equipo que utilizará en la Sesión
Universidad Salvadoreña Alberto Masferrer
Página 48
El nombre de sesión de usuario debe tener el primer nombre y el primer apellido, separado por un punto. Si hubiese otro empleado con nombres y apellidos similares, el segundo nombre será utilizado en el último usuario como identificador.
Contraseña de sesión compleja: Utilizar mayúsculas, minúsculas, números y signos especiales.
La contraseña debe ser cambiada en
un período de tiempo estimado por el
administrador de red. Un criterio intermedio sería al menos cada 2 meses. Un criterio óptimo de seguridad sería 1 vez al mes.
Se deben bloquear aquellos empleados que ya no laboran en la empresa.
EQUIPOS.
El nombre del equipo NO DEBE TENER EL NOMBRE DEL DEPARTAMENTO DONDE SERÁ CONFIGURADO. Debe indicar una característica única del mismo. Como tipo de equipo, número de inventario, etc.
Puede llevar letras y números.
No colocar nombres de usuario para identificar un equipo.
GRUPOS.
Los grupos deben ser identificados por la función en común más que por el departamento en el que están ubicados los equipos.
Se agrupan solo usuarios, o solo equipos a un grupo.
UNIDADES ORGANIZATIVAS.
Puede tenerse el criterio de Jerarquía o Estructura Organizacional de la Empresa.
Puede tener el criterio geográfico de las regionales de la empresa.
Puede haber un criterio mixto de los dos tipos anteriores. Pueden crearse unidades organizativas secundarias dentro de una unidad organizativa
Universidad Salvadoreña Alberto Masferrer
Página 49
PARTE I. CREANDO CONSOLA DE ADMINISTRACIÓN PERSONALIZADA EN EL SERVIDOR. En todas las actividades de administración de un servidor, cada actividad se ejecuta a través de un programa que agrupa los procedimientos comunes de dicha actividad. Sin embargo, cuando se tienen muchas actividades que administrar, se sugiere crear una consola personalizada para poder ejercer un control más efectivo y rápido, de estas actividades. 1) Inicie el equipo Servidor, o máquina virtual con el Sistema Operativo de Red. 2) Ingrese con el usuario de Administrador. Digite la contraseña. Permita que el sistema Operativo de red muestre el escritorio. 3) Para
crear
una
consola
de
administración
personalizada, haga clic izquierdo sobre botón de inicio, ejecutar, y digite “mmc”. Presione ENTER. FIGURA 43. Ejecutando Microsoft Management Console. 4)
Aparecerá la ventana “Consola 1”. Se deben agregar complementos de administración en la Consola para configurar las opciones más utilizadas en el Controlador Principal de Dominio.
5) Haciendo clic izquierdo en la barra demenú, opción consola, se desplegará un menú de contexto. Seleccionar con clic izquierdo la opción “Agregar o quitar complemento”, como lo muestra la siguiente figura.
FIGURAS 44 y 45. CREANDO CONSOLA DE ADMINISTRACIÓN.
Universidad Salvadoreña Alberto Masferrer
Página 50
6) Se debe hacer clic izquierdo en botón “agregar”, como lo muestra la Figura 45. 7) Luego, se deben agregar (de manera individual) los complementos siguientes: Administración de discos, Administrador de dispositivos, Carpetas compartidas, Defragmentador de disco, DHCP (de encontrarse…), Directiva de grupo, DNS, Información del Sistema, Servicios, Usuarios y equipos de Active Directory, y el Visor de Sucesos. 8) Se debe hacer clic izquierdo en el botón “agregar”, como lo muestra la Figura 46. 9) Luego, se deben agregar (de manera individual)
los
complementos
siguientes:
Administración de discos, Administrador de dispositivos,
Carpetas
compartidas,
Defragmentador de disco, DHCP (NO ESTÁ), Directiva de grupo, DNS, Información del Sistema, Servicios, Usuarios y equipos de Active Directory, y el Visor de Sucesos.
FIGURA 46, 47 y 48. SELECCIÓN DE COMPLEMENTOS PARA DEFINIR CONSOLA DE ADMINISTRACIÓN.
Universidad Salvadoreña Alberto Masferrer
Página 51
10) En algunos complementos, se tiene que definir el equipo al que se le aplicará el complemento. Como estamos
realizando
la
consola
del
Servidor,
seleccionaremos la opción “Equipo Local”, y luego clic izquierdo en botón “finalizar”. Como lo muestran las Figuras 47 y 48. 11) Se regresa a la ventana “Agregar o quitar complemento”, en el que se verifica la instalación de los complementos en la consola, según lo muestra la Figura 49. Hacemos clic izquierdo en botón “Aceptar”. FIGURA 49. COMPLEMENTOS AGREGADOS. 12) Debemos guardar la consola creada. En la ventana “Consola 1”, en la barra de herramientas menú, seleccionar “Consola”, en el menú de contexto la opción “Guardar como”, Digitar en Nombre de archivo “Administrar Servidor”, hacer clice en botón mostrado en la Figura 50.
13) Seleccionar con clic izquierdo “Escritorio” en el menú emergente, y hacer clic izquierdo en botón “guardar”. Como lo muestra la Figura 52.
14) Cerrar todas las ventanas. Observe el escritorio del Servidor. ¿Qué sucede cuando hace doble clic izquierdo en el acceso directo recientemente creado de la Figura 53? . ____________________________________________________________________________ ____________________________________________________________________________ ___________________________________________________________________________
Universidad Salvadoreña Alberto Masferrer
Página 52
FIGURAS 50, 51, 52, 53. GUARDANDO CONSOLA DE ADMINISTRACIÓN. ACCESO DIRECTO.
Universidad Salvadoreña Alberto Masferrer
Página 53
PARTE II. Realice el cuadro siguiente de usuarios de una empresa.
Universidad SalvadoreĂąa Alberto Masferrer
PĂĄgina 54
Conclusiones
PC No._____
Fecha: _____________
Nombre: _______________________________________
Carnet: _____________
Asignatura:
GUÍA # 4
ADMINISTRACIÓN DE REDES II
NOTA:_____
Realice un pequeño resumen acerca de práctica, acerca de la relación de la consola de administración y la denominación de nombres de dominio. _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ Evaluación Previa
Conteste las siguientes preguntas al reverso de la hoja. 1) ¿Cuál es la relación entre un Dominio y un controlador de Dominio? 2) Siendo la Unidad Organizativa, un contenedor de objetos, ¿porqué pueden crearse unidades organizativas dentro de si misma? 3) ¿Qué es el Directorio Activo? ¿Para que se utiliza? 4) ¿Cómo concibe el concepto de Bosque, sabiendo que el Dominio es toda la agrupación de objetos?
Bibliografía http://technet.microsoft.com/es-es/library/cc758565(v=ws.10).aspx
Universidad Salvadoreña Alberto Masferrer
Página 55
Universidad SalvadoreĂąa Alberto Masferrer
PĂĄgina 56
UNIVERSIDAD SALVADOREÑA ALBERTO MASFERRER FACULTAD DE CIENCIAS EMPRESARIALES LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN
GUÍA # 4 Asignatura: Docente:
ADMINISTRACIÓN DE REDES II. Ing. Téc. Mario Enrique Salguero Juárez
Tema:
Ciclo: I-2014
Tiempo: 4 Horas
Fecha: _________________
CREACIÓN DE USUARIOS, GRUPOS Y UNIDADES ORGANIZATIVAS.
Contenido
Objetos: Usuarios, grupos, equipos y Unidades Organizativas. Movimiento de objetos entre distintas Unidades Organizativas. Verificación de cuentas de usuario en equipos clientes.
Objetivo General Conocer procedimientos de administración de objetos en un directorio activo dentro de un Servidor controlador principal de dominio, a través del uso de Sistemas Operativos de Red, como procedimientos básicos de la Administración de una Red de Datos. Objetivos Específicos a) Diferenciar la funcionalidad de los objetos de un directorio activo, para una correcta representación de la Infraestructura de datos de una empresa. b) Aplique criterios de contraseña compleja en la asignación de contraseñas de usuario para mejorar la seguridad de acceso a una red de datos.
Material y Equipo
1 Computadora con Procesador P4 3.4GHz (min), Core 2 Duo 2.6GHz (std), I5 2.8 GHz (best). RAM 1GB RAM (min), 2GB (std), 4GB (best). Disco duro 80GB (min), 160GB (std), 300GB (best). Sistema Operativo Anfitrión: Windows xp (min), Windows 7 32 bits (std), Windows 7 64 bits (best). No se sugiere Windows 8 en entorno virtual, debido a rendimiento. Programas VirtualBox-4.3.6-91406.exe, como gestor de máquinas virtuales. Compatible con Sistemas Operativos Windows XP, Vista, 7 y 8, a 32 y 64 bits. Y el Oracle_VM_VirtualBox_Extension_Pack-4.3.6-91406.vbox-extpack.exe, como paquete de opciones del Gestor de máquinas virtuales. (https://www.virtualbox.org/wiki/Downloads). Carpeta con 3 archivos VDI de máquinas virtuales: 1 para cliente xp, 2 para Servidor. IMPORTANTE: Guías de laboratorio 3 y 4. Lapicero.
Universidad Salvadoreña Alberto Masferrer
Página 57
Introducción Teórica OBJETO “USUARIO” EN DIRECTORIO ACTIVO. Las operaciones conmúnmente realizadas en la administración de los objetos “usuarios” dentro del Directorio Activo son: creación, edición , agrupación en grupos, mover, tipo y cambio de contraseña, Inhabilitar cuenta, eliminación, etc. Una buena gestión de
un
administrador
de
red
es
la
adecuada
manipulación de la información en el cuadro de diálogo “Propiedades de cuenta de usuario”. Muchas de esas operaciones se realizan en dicho cuadro de diálogo. FIGURA 55. Cuadro de diálogo con las propiedades del objeto usuario. Los objetos “usuarios”, se pueden almacenar en cualquier parte del Directorio Activo. Existe una carpeta denominada “Users” donde se almacenan las categorías por defecto que el Dominio puede asignar a dichas cuentas de usuario. La creación de usuarios “permite” el acceso a los recursos del dominio definido, con criterios de seguridad apropiados, como formación de grupos, políticas, etc. Una de las propiedades más utilizadas en el objeto usuario, es la manipulación de la contraseña. Con ella, el usuario puede iniciar la sesión a través de la cuenta registrada en el dominio. Dependiendo el criterio de la cuenta, existen opciones para su configuración:
FIGURAS 56 Y 57. Tipos de configuración y restablecimiento de contraseña de cuenta de usuario de dominio. Universidad Salvadoreña Alberto Masferrer
Página 58
En algunas ocasiones, por cuestiones de seguridad de acceso a los recursos de la red y a la información almacenada en los perfiles de domino en el equipo de usuario, se requiere bloquear o deshabilitar una cuenta de usuario, ya sea por un empleado despedido, o para proteger los datos contra compañeros que han intentado ingresar al perfil del usuario cuando el usuario está en período de vacaciones, solicitudes de cambio de contraseña via telefónica a los administradores de red sin autorización de las jefaturas o del mismo empleado, personas malintencionadas que han intentado ingresar al perfil del usuario un número de veces mayor al permitido para buscar o robar información, etc. Recuerde que los perfiles se almacena en el equipo, y las cuentas en el dominio.
FIGURAS 58 Y 59. Bloqueo, Habilitando y Deshabilitando cuentas de usuario en Directorio Activo. Universidad Salvadoreña Alberto Masferrer
Página 59
Se modifican las propiedades de una cuenta de usuario bajo los siguientes criterios:
Facilitar el uso de las capacidades de búsqueda al localizar a los usuarios.
Contrastar la jerarquía organizativa de una empresa.
Determinar la pertenencia a un grupo de cuentas de usuario.
Algunas prácticas recomendadas para crear cuentas de usuario con perfil local son:
No habilite cuentas invitado.
Limite el número de personas que pueden iniciar la sesión de forma local.
Prácticas recomendadas para crear cuentas de usuario de dominio.
Deshabilite cualquier cuenta que no vaya a utilizarse inmediatamente.
Exija que los usuarios cambien la contraseña de sus cuentas la primera vez que inicien la sesión. OBJETO “GRUPO” EN EL DIRECTORIO ACTIVO. El grupo, no es más que la asociación lógica de usuarios. Suponga que en la empresa
existe la Gerencia Financiera. Dentro de ella, laboran contadores, secretarias, digitadores, etc. Si se quisiera realizar una clasificación de los usuarios de dicha gerencia, pueden crearse grupos como los siguientes: “Usuarios Contabilidad”, “Usuarios Tesoreria” que puedan hacer una diferencia de los tipos de usuario dentro de la empresa. En
el
directorio
Activo, el objeto grupo es similar al objeto usuario: Posee las propiedades de creación,
modificación,
movilidad, eliminación, y en un
grupo
se
adicionan
usuarios. FIGURA 60. Diferencia de usuario y grupo dentro del Directorio Activo.
Universidad Salvadoreña Alberto Masferrer
Página 60
OBJETO “EQUIPO” EN EL DIRECTORIO ACTIVO. Los
objetos
“equipos”,
son
almacenados de forma predeterminada en el contenedor o carpeta “Computers”, cuando se ha establecido una relación de confianza de un equipo de la red al dominio. Pueden moverse de una Unidad Organizativa
hacia
otra,
crearse
directamente en el Directorio Activo (pocas veces utilizada), eliminarse, etc. Pero no pueden formar grupos. FIGURA 61. Ubicación por defecto de los objetos “equipos” en el Directorio Activo.
Se modifican las propiedades de una cuenta de equipo bajo los siguientes criterios:
Ayudar en el seguimiento de activos (Propiedad-Ubicación).
Documentar quién administra un equipo (propiedad-Administrado por). OBJETO “UNIDAD ORGANIZATIVA” EN EL DIRECTORIO ACTIVO.
Anteriormente, se habló de las Unidades Organizativas como mecanismo para la clasificación de los objetos dentro de un directorio Activo. Un administrador de Red “recrea” la empresa a través de la creación de las Unidades Organizativas dentro del Directorio Activo, Los objetos “usuarios” y “Equipos”, pueden agregarse, crearse, moverse dentro de las Unidades Organizativas. El nombre de las Unidades Organizativas dependerá de cómo el Administrador de Red organice los elementos del dominio, cuyos criterios pueden ser:
Diseño Geopolítico: En la que se describen como nombre de municipios, departamentos, zonas, ciudades, países, edificios, planteles, sucursales, etc.
Diseño Empresarial: En la que se describen como Departamentos o Unidades del organigrama de la empresa.
Diseño Mixto: Contempla los criterios anteriores.
Universidad Salvadoreña Alberto Masferrer
Página 61
FIGURA 62. Criterio de organización de los usuarios dentro de las OU.
contiene 2 OU: “Contabilidad” y “Tesorería”.
Universidad Salvadoreña Alberto Masferrer
Página 62
Procedimiento
PARTE I. CREACIÓN DE USUARIOS EN EL SERVIDOR. El procedimiento de creación de usuarios en el servidor, debe realizarse por el Administrador de la Red, para que los usuarios “ingresen” a la red, o para que tengan acceso a recursos compartidos como: Carpetas, Impresores, Sistemas, aplicativos, correo electrónico, internet, etc. Este paso se realiza solamente en el Servidor de Dominio. 1) Ejecute el equipo o máquina virtual “Servidor”. Inicie sesión como administrador y digite la contraseña. Ahora creamos los usuarios. Teniendo en ejecución la consola “Administrar Servidor”, expandir las ramas de la estructura de árbol, que aparece en la ventana izquierda de la consola. Las ramas con signo (+) se expanden para mostrar el contenido dentro de ellas. Una vez extendida, cambia su signo a (-).
FIGURA 64. Expandiendo las ramas del Directorio Activo (AD).
2) Expanda
el
Complemento
Usuarios y equipos de Active Directory. ¿Qué son los objetos que están dentro de este complemento? _________________________________________________________________________ _________________________________________________________________________ ______________________________________________________________ 3) Para esta parte de la práctica es necesario crear TODOS LOS USUARIOS, de acuerdo a las personas, los equipos utilizados y/o al criterio de selección de nombres, definidos en la Tabla 3, en la guía de laboratorio 3.
Universidad Salvadoreña Alberto Masferrer
Página 63
4) Expandido el dominio con sus objetos, haga un clic izquierdo sobre el objeto “User” para seleccionarlo. 5) Luego haga un clic derecho sobre la carpeta
“User”
seleccionada
para
obtener el menú emergente. 6) Seleccione la opción nuevo con clic izquierdo. Seleccione la opción usuario, como lo muestra la Figura 65. FIGURA 65. Creando un usuario nuevo en el Directorio Activo. 7) Debemos digitar el nombre, apellidos, nombre y apellidos de la persona que tendrá acceso al servidor, en sus respectivas cajas de texto mostradas en la Figura 66. El nombre de usuario puede ser o no, distinto al nombre de inicio de sesión en el servidor. El nombre de inicio de sesión, es el nombre de la conexión realizada por el usuario hacia el servidor, con la que tendrá acceso a los recursos. El nombre de sesión, puede ser similar al nombre del usuario. En las empresas y corporaciones, se normaliza estos accesos según los ejemplos mostrados en la Tabla 3, de la Guía de Laboratorio 3. 8) Haga un Clic izquierdo en el botón “siguiente” al concluir la digitación, en la ventana de la Figura 66.
FIGURAS 66 Y 67. Parámetros y Contraseñas de usuario definidos en el Servidor, utilizando la lista de usuarios creados en la guía de Laboratorio 3.
Universidad Salvadoreña Alberto Masferrer
Página 64
9) Luego debemos definir la contraseña de acceso que utilizará el usuario para conectarse al servidor. En la actualidad, los sistemas Operativos de Red, sugieren a través del uso de políticas, normalizaciones de contraseñas complejas, es decir, que tengan mayúsculas, minúsculas y números, en una combinación de todos y sin excepción, para incrementar la seguridad en el acceso a la red. Utilizaremos las contraseñas según la convención de equipos de la Tabla 3, de la guía de Laboratorio 3. 10) Digite la contraseña respectiva, según su lista de usuarios y equipos en su empresa, como lo muestra la Figura 67. Debe escribir dos veces la contraseña para verificar su correcta escritura. 11) Haga un clic izquierdo en las opciones “El usuario no puede cambiar la contraseña”, y, “La contraseña nunca caduca”. En esta parte podemos definir el tipo de política de acceso del usuario para la contraseña. Hacemos clic izquierdo en botón siguiente como lo muestra la Figura 67. 12) Aparece una ventana resumen, de las opciones
del
Usuario
creado.
Hacer
clic
izquierdo en botón finalizar. FIGURA 68. Finalizando proceso de creación de usuario en el Directorio Activo (AD) en el servidor Controlador de Dominio. 13) Al finalizar, se regresa a la ventana de la consola. ¿Qué aparece como elemento nuevo creado en el contenedor de usuarios? ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ __________________________________________________________________________ 14) Realice la creación de TODOS los usuarios de su empresa (Según Tabla 3), siguiendo los pasos 5 hasta el 12, por cada uno de ellos.
Universidad Salvadoreña Alberto Masferrer
Página 65
PARTE II. CREACIÓN DE UNIDADES ORGANIZATIVAS Y GRUPOS DE USUARIOS. MOVIMIENTO DE OBJETOS EN ACTIVE DIRECTORY (SERVIDOR). Como una administración avanzada de acceso a recursos, Active Directory “Virtualiza” la estructura organizacional de la empresa, definiendo los departamentos como Unidades Organizativas que contiene equipos, usuarios, recursos compartidos, etc. Esto mejora rendimiento de procesos administrativos (en una perspectiva física u organizacional de la empresa) para administrar gran cantidad de recursos (entre usuarios, equipos, acceso a carpetas por ejemplo, para más de 50 usuarios). También, para definir políticas de acceso de sesión, personalizando escritorios y accesos a programas no autorizados, que incrementan el riesgo de amenazas informáticas en los equipos de la Organización. 1) En el equipo SERVIDOR, ejecute la consola “Administrar el Servidor”, ubicada en el
escritorio (en caso que no esté activa). 2) Expandir el complemento “Usuarios y Equipos de Active Directory”, y también
Expandir Dominio “REDES.EDU.SV”, haciendo clic izquierdo sobre signo (+). 3) Hacer clic derecho sobre el dominio, y seleccionar con clic izquierdo del menú
emergente, las opciones “Nuevo” y “Unidad Organizativa”, como se observa en la Figura 69. 4) En la ventana “Nuevo objeto-Unidad Organizativa”, digite en el cuadro de texto digite
el nombre de las Unidades que escribió en la Tabla 3 de la Guía de Laboratorio 3. (Un ej. Nombre “COMPUTO” sin comillas). Luego haga clic izquierdo en botón “Aceptar”, según Figura 42.
FIGURA 69 Y 70. CREACIÓN DE LA UNIDAD ORGANIZATIVA “CÓMPUTO”.
Universidad Salvadoreña Alberto Masferrer
Página 66
5)
Moveremos a todos los usuarios creados (que tienen pertenencia) a la nueva Unidad Organizativa. Haga clic izquierdo sobre el objeto “Users” ubicado en la rama del dominio local, dentro de la Consola.
6) Utilizando la barra de desplazamiento vertical, localice a cada uno de los usuarios. Haga
clic derecho sobre un usuario y seleccione la opción “Mover”. Aparecerá una nueva ventana y dentro de ella, seleccione la nueva Unidad Organizativa “COMPUTO”, y haga clic izquierdo en el botón “Aceptar”. Recuerde realizar este paso para los Usuarios creados que pertenezcan a un departamento. Otro mecanismo para mover a los usuarios de una OU hacia otra, es haciendo un clic sostenido sobre el objeto, y soltarlo en la nueva OU destino. Aparecerá el mensaje de advertencia, al cual debe hacer clic en el botón “Si”.
FIGURA 71. Mensaje de confirmación para movimiento de objetos. 7) Crearemos un Grupo de Usuarios dentro de una Unidad Organizativa. Siempre
ejecutada la Consola, y con el dominio expandido, hacer clic derecho sobre la nueva Unidad Organizativa “COMPUTO”, y en el menú emergente, seleccionar las opciones “Nuevo” y “Grupo” con clic izquierdo, como lo muestra la Figura 73.
FIGURAS 72 y 73. MOVIENDO A UN USUARIO Y CREANDO GRUPO DE USUARIOS EN LA UNIDAD ORGANIZATIVA.
Universidad Salvadoreña Alberto Masferrer
Página 67
8)
En la ventana “Nuevo objeto-Grupo”, digitaremos “Usuarios de Informática” en las cajas de texto “Nombre de Grupo” y “Nombre de Grupo (anterior a Windows 2000)”. En el Ámbito de grupo, seleccionaremos Dominio Local, y hacemos clic izquierdo en botón “Aceptar”. Figura 74.
9) Moveremos a un solo usuario al nuevo Grupo Creado dentro de la Unidad
Organizativa. Regresando a la consola, hacemos clic izquierdo sobre la Unidad Organizativa “COMPUTO”, donde se ubica el nombre del usuario 1. Haciendo un clic derecho sobre el usuario, en el menú emergente, seleccionar la opción “Agregar miembros a un grupo”, haciendo clic izquierdo.
FIGURA 74 Y 75. Creando grupos y agregando usuarios a la nueva OU “COMPUTO”. 10) En la ventana “Seleccionar Grupo”, y
utilizando las
barras de desplazamiento
vertical, seleccionamos el nuevo Grupo Creado “Usuarios de Informática” haciendo un clic izquierdo sobre él, y luego en el botón “Aceptar”. Aparecerá un mensaje de Active Directory. Hacer clic izquierdo en botón “Aceptar”.
FIGURAS 76 Y 77. FINALIZANDO PROCESO DE AGREGAR USUARIO AL GRUPO “USUARIOS DE INFORMÁTICA”.
Universidad Salvadoreña Alberto Masferrer
Página 68
11) Verifique el acceso de las cuentas de usuario en el equipo cliente. Ejecute el equipo o máquina virtual, con el sistema operativo “Cliente” Microsoft Windows XP. Cuando haya cargado y muestre la pantalla de acceso, haga clic en la opción máquina (ubicada en la esquina superior izquierda), y luego en la opción “Insertar Ctrl-Alt-Supr”. 12) Digite el nombre de alguna cuenta nueva (recientemente creada en el servidor) y la contraseña del usuario respectivo, (de acuerdo a la lista de usuarios de la Tabla 3 en Guia de Laboratorio 3). según se muestra. i. Nombre de usuario:
mario.salguero (por ejemplo)
ii. Contraseña:
Inform4tic@.
iii. Conectarse a:
REDES
FIGURA 78. Verificando cuentas de usuarios creados, ingresando en el cliente con sesión de dominio REDES. 13) Permita que cargue el sistema operativo “Cliente”. 14) ¿Pudo cargarse el perfil del usuario creado en el escritorio del equipo cliente? Describa lo observado. _________________________________________________________________________ _________________________________________________________________________ _________________________________________________________________________ _________________________________________________________________________ _________________________________________________________________________
Universidad Salvadoreña Alberto Masferrer
Página 69
Conclusiones
PC No._____
Fecha: _____________
Nombre: _______________________________________
Carnet: _____________
Asignatura:
GUÍA # 4
ADMINISTRACIÓN DE REDES II
NOTA:_____
Realice un pequeño resumen acerca de las dos partes desarrolladas en la práctica. _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________
Evaluación Previa Conteste las siguientes preguntas al reverso de la hoja. 5) ¿Cuáles son los 4 tipos de objetos que se estudiaron en la presente práctica? Defínalos. 6) ¿Puede crearse un grupo de computadoras?. 7) Describa los dos métodos para mover usuarios a través de Unidades Organizativas. 8) ¿Cuáles son los criterios para organizar objetos dentro de un Directorio Activo?. 9) ¿Utilizó criterio de contraseña compleja en la creación de las contraseñas en las cuentas de usuario? ¿Porqué?.
Bibliografía http://windows.microsoft.com/es-xl/windows/connect-computer-domain#1TC=windows-7 http://technet.microsoft.com/es-es/library/cc758565(v=ws.10).aspx
Universidad Salvadoreña Alberto Masferrer
Página 70
UNIVERSIDAD SALVADOREÑA ALBERTO MASFERRER FACULTAD DE CIENCIAS EMPRESARIALES LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN
GUÍA # 5 Asignatura: Docente:
ADMINISTRACIÓN DE REDES II.
Ciclo: I-2014
Ing. Téc. Mario Enrique Salguero Juárez
Tema:
Tiempo: ______
Fecha: _________________
DIRECTIVAS DE GRUPOS DE UN DOMINIO
Contenido
Establecimiento de Políticas en las Unidades Organizativas. Establecimiento de Políticas con el uso de la Consola de Gestión de Políticas de grupo GPMC.
Objetivo General
Que el Alumno:
A través de la administración y aplicación de políticas de grupo en un Diretorio Activo de un dominio, incremente la seguridad de acceso a los recursos de una red de datos.
Material y Equipo
1 Computadora con Procesador P4 3.4GHz (min), Core 2 Duo 2.6GHz (std), I5 2.8 GHz (best). RAM 1GB RAM (min), 2GB (std), 4GB (best). Disco duro 80GB (min), 160GB (std), 300GB (best). Sistema Operativo Anfitrión: Windows xp (min), Windows 7 32 bits (std), Windows 7 64 bits (best). No se sugiere Windows 8 en entorno virtual, debido a rendimiento. Programas VirtualBox-4.3.6-91406.exe, como gestor de máquinas virtuales. Compatible con Sistemas Operativos Windows XP, Vista, 7 y 8, a 32 y 64 bits. Y el Oracle_VM_VirtualBox_Extension_Pack-4.3.6-91406.vbox-extpack.exe, como paquete de opciones del Gestor de máquinas virtuales. (https://www.virtualbox.org/wiki/Downloads). Carpeta con 3 archivos VDI de máquinas virtuales: 1 para cliente xp, 2 para Servidor. IMPORTANTE: 1 Memorias USB 1 GB o superior u otro medio de almacenamiento de disco externo para copiar archivo de instalación GMPC.MSI y papel TAPIZ en el servidor. Dominio con Unidades Organizativas, grupos y usuarios creados. Guía de laboratorio 5. Lapicero.
Universidad Salvadoreña Alberto Masferrer
Página 71
Introducción Teórica DIRECTIVAS DE GRUPO. Las Directivas de Grupo y la infraestructura de servicios del Directorio Activo en Windows Server 2003 permiten a los administradores de TI automatizar la gestión "uno-amuchos" de usuarios y máquinas, simplificando las tareas administrativas y reduciendo los costes de TI. Las
Políticas, son configuraciones hechas en el Directorio activo sobre una
Unidad Organizativa o Dominio, para definir configuraciones personalizadas en equipos, bloquear accesos o programas no autorizados a los usuarios, o incrementar la seguridad del acceso a la red, etc. MÉTODO 1: De forma nativa, las políticas son propiedades de las Unidades Organizativas y del Dominio, por lo que pueden editarse de forma rápida sin ayuda de programas adicionales para administrar los componentes del Directorio Activo. MÉTODO 2: Con la aparición de la Consola de Gestión de Políticas de Grupo (GPMC), la administración basada en políticas es aún más fácil. Los administradores pueden implantar de forma efectiva los parámetros de seguridad, aplicar de forma obligatoria las políticas de TI y distribuir software adecuadamente dentro de un site, un dominio o un rango de unidades organizativas (OUs). El término Directiva, está asociada a instrucciones lógicas predeterminadas en el dominio y la política son directivas adicionales a las predeterminadas, por lo que los conceptos pueden generar alguna confusión.
FIGURA 79. Pantalla del programa Group Policy Management Console “GPMC” donde se administran las directivas utilizadas en el Dominio. Universidad Salvadoreña Alberto Masferrer
Página 72
Procedimiento
PARTE I. MÉTODO 1 EN EL ESTABLECIMIENTO DE POLÍTICAS EN LAS UNIDADES ORGANIZATIVAS. 1. Ejecute el equipo “Servidor” en una PC o máquina virtual (con el uso del programa Oracle Virtual Box, ubicado dentro de la carpeta de programas). 2. Ejecute inicialmente el sistema operativo de red en la máquina virtual servidor. Cuando haya cargado y muestre la pantalla de acceso, haga clic en la opción máquina (ubicada en la esquina superior izquierda), y luego en la opción “Insertar Ctrl-Alt-Supr”. 3. Digite la contraseña del usuario Administrador de Dominio. i. Nombre de usuario:
administrador
ii. Contraseña:
$emperfide!5
4. Permita que cargue el sistema operativo de red y que muestre el escritorio del Servidor. 5. Para acceder a editar las políticas, se pueden realizar de dos formas. La primera: Ejecutando la consola “Administrar el Servidor”, luego ejecutando “Usuarios y Equipos de Active Directory”, o, la segunda: Haciendo clic sobre el botón de inicio, todos los programas, herramientas administrativas, y “Usuarios y Equipos de Active Directory”.
FIGURA 80. Ejecución del Directorio Activo para establecimiento de Políticas. Universidad Salvadoreña Alberto Masferrer
Página 73
6. Se requiere configurar políticas de grupo para que cualquiera de los usuarios de dominios creados anteriormente dentro de Unidades Organizativas, ingrese en su sesión de dominio con los siguientes bloqueos: a.
No pueda ingresar al panel de control de Windows, para instalación de dispositivos o desinstalación del Antivirus.
b. Prohibir que el usuario ponga una foto personal en el escritorio o que cambie la resolución de la pantalla. c. No coloque archivos personales en el escritorio, ya que cada vez que se inicia el sistema operativo, carga muy lento, y es difícil realizar labores de respaldo de los archivos. d. Que el usuario no pueda modificar las propiedades de la impresora, para cambiar el código que lo identifica para realizar un control estadístico de la cantidad de impresiones que el usuario utiliza. e. Instalar un papel tapiz corporativo, que destaque el logo de la empresa. 7. Expanda el dominio “REDES.EDU.SV”, haciendo clic en el símbolo (+). 8. En una Unidad Organizativa creada, donde tenga algún usuario creado, haga clic derecho sobre ella, y luego seleccione la opción propiedades. 9.
En la ventana de Propiedades
de
la
Unidad Organizativa, haga clic sobre la pestaña “Directiva de grupo”. FIGURA 81. Pasos iniciales para crear políticas de grupos.
Universidad Salvadoreña Alberto Masferrer
Página 74
10. Haga clic en el botón nuevo, y digite el nombre “Bloqueo del Panel de Control”. Presione ENTER. Y luego clic en el botón “Editar”. FIGURA 82. Pasos para la creación de la política de grupo.
11. Aparece la ventana “Editor de objetos de directiva de grupo”. En la configuración de Usuario, expanda “plantillas administrativas, haciendo clic sobre el signo (+), Haga clic en panel de control, seleccione la propiedad de “Prohibir el acceso al Panel de Control” con doble clic por la condición “Habilitada”. 12. Haga clic en el botón “Aplicar” y luego en el botón “Aceptar”. Y cierre la ventana.
FIGURA 83. Pasos finales en la creación de una Directiva. 13. Ejecute en el menú de inicio, ejecutar gpupdate /force (ENTER). 14. Repita los pasos del 10 al 13 para crear las políticas de grupo siguientes. BLOQUEO DEL PANEL DE CONTROL. (Realizada) a. Configuración del Usuario. b. Plantillas Administrativas. c. Panel de Control. d. Prohibir el acceso al Panel de Control (Habilitada). Universidad Salvadoreña Alberto Masferrer
Página 75
PROHIBIR EL CAMBIO DE LAS PROPIEDADES DE PANTALLA. e. Configuración del usuario. f.
Plantillas Administrativas.
g. Panel de Control. h. Pantalla i.
Ocultar la ficha configuración.
OCULTAR ICONOS DEL ESCRITORIO. j.
Configuración del usuario.
k. Plantillas Administrativas. l.
Escritorio.
m. Ocultar y deshabilitar todos los íconos del escritorio. IMPEDIR MODIFICACIÓN DE IMPRESORAS. n. Configuración del usuario. o. Panel de Control p. Plantillas Administrativas. q. Impresoras. i. Buscar Impresoras (deshabilitado) ii. Impedir la agregación de impresoras (habilitado). iii. Impedir la eliminación de impresoras (habilitado). 15. Ejecute el equipo o máquina virtual, con el sistema operativo “Cliente” Microsoft Windows XP. Cuando haya cargado y muestre la pantalla de acceso, haga clic en la opción máquina (ubicada en la esquina superior izquierda), y luego en la opción “Insertar Ctrl-Alt-Supr”. (DEBE ASEGURARSE QUE EL EQUIPO TENGA RELACIÓN DE CONFIANZA CON EL DOMINIO. Si no está seguro, establezca dicha relación). 16. Digite algún nombre de sesión de usuario (que se encontró en la Unidad Organizativa donde se realizaron las políticas). Digite además la contraseña. i. Nombre de usuario:
(el ubicado en la OU)
ii. Contraseña:
(la que digitó según tabla).
17. Permita que cargue el sistema operativo “Cliente”. 18. Haga clic en el botón de inicio. ¿qué observa? ¿Ha cambiado el escritorio? Explique. _______________________________________________________________________________ _______________________________________________________________________________ Universidad Salvadoreña Alberto Masferrer
Página 76
PARTE II. MÉTODO 2 EN EL ESTABLECIMIENTO DE POLÍTICAS CON EL USO DE LA CONSOLA DE GESTIÓN DE POLÍTICAS DE GRUPO (GPMC) 19. En el equipo o máquina virtual “Servidor”, ejecute el programa “GPMC.MSI”. Consulte al instructor acerca de la ubicación del programa. Una vez se realice el proceso de instalación el proceso es irreversible, por lo que no se puede quitar dicho programa en el panel de control y realizar la edición de políticas con el Método I anteriormente visto. 20. En la pantalla del asistente, haga clic en el botón “siguiente”.
FIGURA 84. Proceso de instalación inicial de la Consola GPMC.msi 21. Seleccione “acepto” en el contrato de licencia, y “Finalizar” al concluir.
FIGURA 85. Finalizando el proceso de instalación del GPMC.msi.
Universidad Salvadoreña Alberto Masferrer
Página 77
22. Vaya el botón de inicio, programas, herramientas del sistema, y seleccione “Administración de directivas de grupo”. (O puede ejecutar el Directorio Activo, clic derecho sobre el nombre del dominio redes.edu.sv, propiedades, directivas de grupo, botón “abrir”.
FIGURA 86. Consola de Administración de Directivas de grupo (GPO), con algunas de las directivas creadas recientemente. Solo para aclarar: Del paso 19 al 22, son los pasos que se realizaron para instalar un módulo en el Sistema Operativo de Red, para la administración de las directivas de grupo, y solamente se realiza una tan sola vez en el servidor. La generación de políticas de grupo, con esta nueva interface, viene a continuación. 23. En el servidor, con el explorador de Windows, en el disco duro secundario, debe crear una carpeta denominada “tapiz”. 24. Copiar el archivo papeltapiz.jpg, (de la ubicación sugerida por el instructor) a dicha carpeta. 25. Haga clic derecho sobre la carpeta, y seleccione la opción “Compartir y Seguridad”. 26. Haga clic sobre el combo-box “Compartir esta carpeta”, y haga clic en el botón “permisos”. Deben aparecer todos los usuarios, con el permiso “leer” solamente. Haga clic en el botón “aceptar”. 27. Haga clic en la pestaña “Seguridad”. Hacer clic en el botón “agregar”, digitar “todos”, hacer clic en botón “aceptar”. Hacer clic en botón “aplicar” y luego “aceptar”. Universidad Salvadoreña Alberto Masferrer
Página 78
FIGURA 87. Carpeta “TAPIZ” compartida en el servidor para almacenar papel tapiz del dominio REDES.EDU.SV 28. Una vez realizado el proceso de la carpeta, ejecute el complemento recién instalado “Administración de las directivas del grupo” (de no tenerlo abierto en este momento). Expanda haciendo clic en el signo (+) el nombre del bosque, dominios, (el nombre del dominio) REDES.EDU.SV, y seleccione “Objetos de directiva de grupo” con doble clic. 29. En el cuadro de la derecha, donde aparecen las políticas recientemente creadas, en un espacio en blanco ubique el cursor, haga clic derecho y seleccione la opción “nuevo”. 30. Digite el nombre “Papel Tapiz Definido”, y presione ENTER. 31. Seleccione el nuevo GPO creado (Papel Tapiz Definido), haciendo clic “derecho” sobre él, y seleccione la opción “editar”. 32. Habilite la propiedad “Papel Tapiz de Active Desktop” con la secuencia siguiente. PAPEL TAPIZ DEFINIDO. a. Configuración del usuario. b. Plantillas Administrativas. c. Escritorio. d. Active Desktop. Habilitar Active Desktop (habilitado). Papel Tapiz de Active Desktop (habilitado). Ruta UNC para el nombre del papel tapiz \\SRVREDES01\TAPIZ\papeltapiz.jpg
Universidad Salvadoreña Alberto Masferrer
Página 79
33. Haga clic en el botón “aplicar” y luego “aceptar”. 34. Dentro del complemento “Administración de directivas de Grupo”, agregue la nueva política dentro de la Unidad Organizativa del usuario. Haga clic derecho sobre la OU, seleccione “Vincular un GPO existente”, y seleccione “Papel Tapiz Definido”. Haga clic en el botón “aceptar”. (Deben mostrarse las 4 políticas en la OU del usuario). 35. Ordene las políticas así: 1 Bloqueo de Panel de control, 2 Papel tapiz definido (forzado), 3 Ocultar íconos del escritorio y 4 Prohibir el cambio de las propiedades de pantalla. 36. Haga clic en el botón de inicio de la barra de tareas, seleccione la opción “ejecutar”, y digite el comando siguiente “gpupdate /force”, como aparece en la siguiente figura.
FIGURA 88. Comando para actualizar y distribuir las políticas recién creadas. 37. Ahora nos vamos al equipo cliente… Si tiene la sesión del usuario activa, cierre y reinicie dicha sesión. 38. Ejecute el equipo o máquina virtual, con el sistema operativo “Cliente” Microsoft Windows XP. Cuando haya cargado y muestre la pantalla de acceso, haga clic en la opción máquina (ubicada en la esquina superior izquierda), y luego en la opción “Insertar Ctrl-Alt-Supr”. 39. Digite algún nombre de sesión de usuario (que se encontró en la Unidad Organizativa donde se realizaron las políticas). Digite además la contraseña. i. Nombre de usuario:
(el ubicado en la OU)
ii. Contraseña:
(la que digitó según tabla).
40. Permita que cargue el sistema operativo “Cliente”. 41. Haga clic en el botón de inicio. ¿qué observa? ¿Ha cambiado el escritorio? Explique. _______________________________________________________________________________ _______________________________________________________________________________ _______________________________________________________________________________ Universidad Salvadoreña Alberto Masferrer
Página 80
Conclusiones
PC No._____
Fecha: _____________
Nombre: _______________________________________
Carnet: _____________
Asignatura:
GUÍA # 5
ADMINISTRACIÓN DE REDES II.
NOTA:_____
Realice un pequeño resumen acerca de las dos partes desarrolladas en la práctica. _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________
Evaluación Previa Conteste las siguientes preguntas al reverso de la página. 1. ¿A qué se le denomina Política o Directiva? 2. Para crear varias directivas con el módulo de Administración, ¿se requiere instalarlo cada vez que se requiera? ¿Puede desinstalarse? 3. ¿Para qué se utiliza el comando gpupdate /force después de crear las políticas? Bibliografía
http://www.microsoft.com/spain/windowsserver2003/technologies/management/grouppolicy/ default.aspx
Universidad Salvadoreña Alberto Masferrer
Página 81
Universidad SalvadoreĂąa Alberto Masferrer
PĂĄgina 82
UNIVERSIDAD SALVADOREÑA ALBERTO MASFERRER FACULTAD DE CIENCIAS EMPRESARIALES LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN
GUÍA # 6 Asignatura: Docente:
ADMINISTRACIÓN DE REDES II. Ing. Téc. Mario Enrique Salguero Juárez
Tema:
Tiempo: 4 Horas Fecha: _________________
Ciclo: I-2014
SERVIDOR DE ARCHIVOS
Contenido
Creación de recursos compartidos en el equipo “Servidor”. Verificación de acceso al recurso compartido (carpeta) en el equipo cliente. Mapeo de usuarios a recurso compartido en el Servidor.
Objetivo General
Que el alumno: Configure correctamente el rol nativo de un Sistema Operativo de Red como lo es un “Servidor de archivos”, dentro en un controlador principal de dominio de una red de datos, como forma de almacenamiento de aplicaciones y datos en una empresa.
Objetivos Específicos c) Desarrolle el criterio de administración de recursos de espacio de discos duros y medios de almacenamiento para la implementación de un servidor de datos.
Material y Equipo
1 Computadora con Procesador P4 3.4GHz (min), Core 2 Duo 2.6GHz (std), I5 2.8 GHz (best). RAM 1GB RAM (min), 2GB (std), 4GB (best). Disco duro 80GB (min), 160GB (std), 300GB (best). Sistema Operativo Anfitrión: Windows xp (min), Windows 7 32 bits (std), Windows 7 64 bits (best). No se sugiere Windows 8 en entorno virtual, debido a rendimiento. Programas VirtualBox, como gestor de máquinas virtuales. Carpeta con 3 archivos VDI de máquinas virtuales: 1 para cliente xp, 2 para Servidor. IMPORTANTE: Carpeta u otro medio de almacenamiento de disco externo para copiar carpetas SOFTWARE, SOFTWARE IMAGEN CD, SERVICE PACK en el servidor. Dominio con Unidades Organizativas, grupos y usuarios creados. Guía de laboratorio 6. Lapicero.
Universidad Salvadoreña Alberto Masferrer
Página 83
Introducción Teórica Nadie en el ámbito informático discutirá el hecho que el rol fundamental de cualquier Servidor de cómputo –de forma nativa- es un Servidor de archivos. Ya sea que éste sea un Servidor Antivirus, de correo electrónico, de internet, de base de datos, de aplicaciones, etc, todo servidor almacena información importante para los usuarios. Los recursos compartidos fueron utilizados dentro de los servidores de archivos también por los programadores, cuyas aplicaciones (dentro de los sistemas operativos comerciales) como visual fox, visual basic, etc., fueron diseñadas para ejecutarse en unidades lógicas específicas, diferentes a la unidad lógica C. Otra aplicación bastante común de un servidor de archivos, es implementada por los administradores de red como apoyo a soporte técnico o al equipo de informática, en el cual, se mapea como unidad lógica dentro de la sesión del usuario, recursos compartidos de programas de instalación, drivers, services pack, etc, para poder realizar tareas de soporte técnico. Debido a ello, el administrador de red de una empresa debe considerar el porcentaje de incremento de la información para realizar estimaciones de espacios en discos duros para poder cumplir con la demanda de almacenamiento. Este criterio es tan importante como el conocimiento de la administración de dichos recursos, por lo que se discutirá más adelante algunas configuraciones de almacenamiento. La redes de grupo de trabajo, debido a su naturaleza de compartir información, crearon un precedente en cuanto a la creación de recursos compartidos: el nivel de infección de virus informáticos, hizo que muchas
redes
de
datos
quedaran
inoperables. Por ejemplo: el virus Sasser, afectaba la operatividad de la red y exponía su acceso a atacantes externos. FIGURA 89. Recursos compartidos en grupo de trabajo.
Universidad Salvadoreña Alberto Masferrer
Página 84
Una de las medidas utilizadas para controlar el acceso a los recursos de almacenamiento, validando el acceso a dicho recurso a través de la sesión de usuario
de
dominio.
El
cual,
podía
eventualmente a través del uso de software antivirus, realizar revisiones periódicas a dicho recurso y eliminar los virus que se encontraran. FIGURA 90. En un dominio, el recurso no se duplica, y se controla el acceso a él.
Una buena práctica es almacenar el recurso compartido en un disco distinto al utilizado por el sistema operativo.
Bajo esta situación, muchos sistemas operativos de red comerciales, quedaron mal evaluados al compararse con distribuciones de sistemas operativos de red LINUX, cuyos recursos compartidos a través del rol funcional SAMBA (SMB) continuaban operativos, a pesar que sus recursos de almacenamiento estaban infectados para los sistemas operativos comerciales. Actualmente, la versión simplificada de un servidor de archivos es un NAS Server. Es un dispositivo de red, que conecta varios discos duros rígidos en el que pueden configurarse los distintos tipos de arreglos, para crear un recurso compartido en red, y ser accedido incluso desde internet. No hay que comprender la configuración de un Sistema Operativo de Red: El software del fabricante, a través de asistentes hace que cualquier usuario no experimentado realice la configuración del dispositivo, incluso como mecanismo de respaldo periódico.
Universidad Salvadoreña Alberto Masferrer
Página 85
ARREGLO DE DISCOS DUROS. En informática, el acrónimo RAID (del inglés Redundant Array of Independent Disks, originalmente Redundant Array Inexpensive Disks), traducido como «conjunto redundante de discos independientes», hace referencia a un sistema de almacenamiento de datos que usa múltiples unidades de almacenamiento de datos (discos duros: IDE, SCSI, SATA, SAS o SSD) entre los que se distribuyen o replican los datos. Dependiendo de su configuración, los beneficios de un RAID respecto a un único disco son uno o varios de los siguientes: mayor integridad, mayor tolerancia a fallos, mayor throughput (rendimiento) y mayor capacidad. Existen tipos de arreglos de discos duros físicos:
HARDWARE: En el caso de los físicos, los servidores poseen tarjetas controladoras adicionales en sus puertos de interface, las cuales controlan el tráfico de datos de una granja de discos duros. El sistema Operativo ve el conjunto de discos como una unidad lógica, por lo que es transparente para la operación del sistema.
SOFTWARE: El servidor puede no contar con una infraestructura de hardware como las tarjetas controladoras, pero puede tener capacidad de interconexión de varios discos duros físicos. En este caso, se configura al sistema operativo de red para que pueda crear “Un volumen” o “raid” en los discos, y es éste el que controla el arreglo. La unidad lógica creada puede observarse a través del Administrador de Discos.
Por el tipo de configuración de los discos, los arreglos más conocidos son: RAID 0 Un RAID 0 (también llamado conjunto dividido, volumen dividido, volumen seccionado) distribuye los datos equitativamente entre dos o más discos sin información de paridad que proporcione redundancia. Se usa normalmente para incrementar el rendimiento, aunque también puede utilizarse como forma de crear un pequeño número de grandes discos virtuales a partir de un gran número de pequeños discos físicos. FIGURA 91. ALMACENAMIENTO PARCIALIZADO EN RAID 0.
Universidad Salvadoreña Alberto Masferrer
Página 86
RAID 1 (ESPEJO). Un RAID 1 crea una copia exacta (o espejo) de un conjunto de datos en dos o más discos. Esto resulta útil cuando el rendimiento en lectura es más importante que la capacidad. Un conjunto RAID 1 sólo puede ser tan grande como el más pequeño de sus discos. Un RAID 1 clásico consiste en dos discos en espejo, lo que incrementa exponencialmente la fiabilidad respecto a un solo disco; es decir, la probabilidad de fallo del conjunto es igual al producto de las probabilidades de fallo de cada uno de los discos (pues para que el conjunto falle es necesario que lo hagan todos sus discos). FIGURA 92. AMBOS DISCOS TIENEN LA MISMA INFORMACIÓN EN RAID 1. El RAID 1 tiene muchas ventajas de administración. Por ejemplo, en algunos entornos 24/7, es posible «dividir el espejo»: marcar un disco como inactivo, hacer una copia de seguridad de dicho disco y luego «reconstruir» el espejo. Esto requiere que la aplicación de gestión del conjunto soporte la recuperación de los datos del disco en el momento de la división. RAID 5 Un RAID 5 (también llamado distribuido con paridad) es una división de datos a nivel de bloques distribuyendo la información de paridad entre todos los discos miembros del conjunto. El RAID 5 ha logrado popularidad gracias a su bajo coste de redundancia. Generalmente, el RAID 5 se implementa con soporte hardware para el cálculo de la paridad. RAID 5 necesitará un mínimo de 3 discos para ser implementado. FIGURA 93. En RAID 5, se tiene redundancia y velocidad.
Universidad Salvadoreña Alberto Masferrer
Página 87
Cada vez que un bloque de datos se escribe en un RAID 5, se genera un bloque de paridad dentro de la misma división (stripe). Un bloque se compone a menudo de muchos sectores consecutivos de disco. Una serie de bloques (un bloque de cada uno de los discos del conjunto) recibe el nombre colectivo de división (stripe). Si otro bloque, o alguna porción de un bloque, es escrita en esa misma división, el bloque de paridad (o una parte del mismo) es recalculada y vuelta a escribir. El disco utilizado por el bloque de paridad está escalonado de una división a la siguiente, de ahí el término «bloques de paridad distribuidos». Las escrituras en un RAID 5 son costosas en términos de operaciones de disco y tráfico entre los discos y la controladora. El fallo de un segundo disco (con un RAID 5 compuesto de 3 discos) provoca la pérdida completa de los datos. El número máximo de discos en un grupo de redundancia RAID 5 es teóricamente ilimitado, pero en la práctica es común limitar el número de unidades. Los inconvenientes de usar grupos de redundancia mayores son una mayor probabilidad de fallo simultáneo de dos discos, un mayor tiempo de reconstrucción y una mayor probabilidad de hallar un sector irrecuperable durante una reconstrucción. A medida que el número de discos en un conjunto RAID 5 crece, el MTBF (tiempo medio entre fallos) puede ser más bajo que el de un único disco. Esto sucede cuando la probabilidad de que falle un segundo disco en los N-1 discos restantes de un conjunto en el que ha fallado un disco en el tiempo necesario para detectar, reemplazar y recrear dicho disco es mayor que la probabilidad de fallo de un único disco. Algunos ejemplos de configuraciones de arreglos en servidores de producción, son: CONTROLADOR DE DOMINIO:
RAID 1, ó RAID 5 para el sistema operativo de red.
SERVIDOR ADICIONAL DE DOMINIO:
RAID 1, ó RAID 5 para el sistema operativo de red.
SERVIDOR ADICIONAL DNS:
RAID 1, ó RAID 5 para el sistema operativo de red.
SERVIDOR DE ARCHIVOS, WEB:
RAID 1 para el sistema operativo de red + RAID 1, ó RAID 5 para el recurso compartido de datos.
SERVIDOR DE CORREO :
RAID 1 para el sistema operativo de red + RAID 1, ó RAID 5 para la base de datos de correo.
SERVIDOR DE BASE DE DATOS:
RAID 1 para el sistema operativo de red + RAID 5 ó superior para la base de datos.
Universidad Salvadoreña Alberto Masferrer
Página 88
Procedimiento
PARTE I .
CREACIÓN DE RECURSOS COMPARTIDOS EN EL SERVIDOR.
Vamos a crear el recurso compartido (carpeta) en el SERVIDOR, donde se copiarán algunos programas o archivos, que se desean utilizar por parte del cliente (En esta parte, el cliente no se configurará). Esta carpeta puede ser creada de varias formas:
Desde la consola creada, expandiendo la rama del componente Carpetas Compartidas “Locales” Figura 95; o desde herramientas administrativas y carpetas compartidas del menú de inicio) y estará ubicada físicamente en el equipo definido como servidor.
En el disco duro directamente, creando una carpeta y en las propiedades de compartir y seguridad, dar los accesos.
1) Haga doble clic izquierdo en el acceso directo de la Consola “Administrar Servidor” (de no tener ejecutada la consola, puede hacer también clic izquierdo en botón de inicio, programas, herramientas administrativas y Carpetas Compartidas). 2) Expanda el Complemento “Carpetas compartidas (locales)”, haciendo clic izquierdo en el signo (+). 3) Expandido el Complemento con el signo (-). Haga un clic izquierdo sobre la opción “Recurso compartido”, y seleccione la opción “Nuevo recurso compartido de archivo” del menú emergente, haciendo otro clic izquierdo, mostrado en la Figura 18.
FIGURAS 94 Y 95. EXPANDIENDO COMPLEMENTO Y CREANDO NUEVO RECURSO COMPARTIDO.
Universidad Salvadoreña Alberto Masferrer
Página 89
4) Aparece la ventana “Crear carpeta compartida”, Hacer clic izquierdo en botón examinar. (Figura 96). 5) Por convención, seguridad, respaldo y protección de los archivos, el recurso a crear, DEBERÁ ESTAR EN UN DISCO O PARTICIÓN DISTINTO AL DEL SISTEMA OPERATIVO DEL SERVIDOR. Con el fin de mejorar la gestión administrativa y el rendimiento de acceso al disco duro del Servidor. 6) Aparece la ventana “Buscar carpeta”. Primero haga clic izquierdo sobre el disco, partición o unidad lógica distinta a la del Sistema Operativo. Luego haga clic izquierdo sobre la carpeta “SOFTWARE” encontrada. Y luego haga clic izquierdo en “Aceptar”. Según lo muestra el ejemplo de la Figura 97.
FIGURAS 96 Y 97. Creando recurso y seleccionando carpeta destino.
7)
Se regresará a la ventana “Crear carpeta compartida” (Figura 98). Por defecto, aparecerá la ruta de la carpeta seleccionada, y se debe digitar el Nombre del Recurso “SOFTWARE” y la Descripción del mismo, en los cuadros de textos. Es importante recalcar en esta práctica, que el NOMBRE DEL RECURSO NO ES IGUAL AL NOMBRE DE LA CARPETA A COMPARTIR, AUNQUE PUEDEN LLAMARSE IGUAL. El nombre del recurso, es como se conocerá en la red por los usuarios que tengan acceso. El nombre de la carpeta, es como está definida en el directorio del disco duro del SERVIDOR.
Universidad Salvadoreña Alberto Masferrer
Página 90
8) Como propiedad de acceso a la Carpeta compartida, aparecerá una nueva ventana (Figura 99), en la que se debe personalizar el acceso al recurso compartido. Como ya hemos creado los usuarios, seleccionaremos con clic izquierdo la opción “Personalizar permisos de recurso compartido y carpeta” y hacemos otro clic izquierdo en botón “Personalizar…”. (Si no hubiésemos creado usuarios, tendríamos que seleccionar la opción “Todos los usuarios tienen control total”, para personalizarlo después).
FIGURAS 98 Y 99. Ejemplo de personalización de permisos a nuevo recurso compartido. 9) La ventana “Personalizar Permisos”, contiene dos pestañas: “Permisos de los recursos compartidos”, y “Seguridad”, como lo muestra la Figura 100. Ambas pestañas deben configurarse para que solamente el usuario seleccionado (PREFERIBLENTE DE OTRA OU QUE SE USÓ EN LAS POLÍTICAS)
TENGA
ACCESO APROPIADO AL RECURSO. 10) Haga clic izquierdo en botón “Agregar” de la Figura 100. 11) En la ventana “Seleccionar Usuarios, Equipos o Grupos” (Figura 101), SOLAMENTE DEBEMOS SELECCIONAR UN USUARIO de los creados anteriormente. Se busca con la barra de desplazamiento vertical, ubicada a la derecha de la ventana. Al encontrarlo, se hace clic izquierdo sobre el usuario para marcarlo, luego en el botón “Agregar”. Luego hacemos clic izquierdo en botón “Aceptar”.
Universidad Salvadoreña Alberto Masferrer
Página 91
FIGURA 100 Y 101. Personalizando acceso y seleccionando usuario en nuevo recurso compartido. 12) Agregue a los usuarios “Administrador” y “Administradores”, para que éstos, tengan ACCESO TOTAL al recurso compartido (Esto no quiere decir que tiene que crear estos usuarios, ya están definidos por defecto en el Servidor). Siga el procedimiento del paso 10, seleccionando los usuarios “Administrador” y “Administradores”. 13) Compare el ícono del usuario seleccionado con el ícono de “Todos” en la ventana de la Figura 101 (utilice la barra de desplazamiento vertical para ubicar estos objetos). ¿Qué representa esta diferencia? ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ____________________________________ 14) Aparece
la
ventana
“Personalizar
Permisos”.
En
ella,
están
los
usuarios:
“Administrador”, “Administradores”, “el nombre del usuario”, y el grupo de usuarios “Todos”.
Universidad Salvadoreña Alberto Masferrer
Página 92
15) En la pestaña Permisos de los recursos compartidos, ELIMINE EL GRUPO DE TRABAJO “Todos”.
Haga clic izquierdo sobre “Todos”, y luego sobre el botón
“Quitar”. Quedando una pantalla parecida a la Figura 102. 16) El tipo de Acceso de los usuarios agregados, están definidos en la Tabla 4. TABLA 3. TIPO DE ACCESO PARA USUARIOS
DEFINIDOS
CON
ACCESO A CARPETA COMPARTIDA "APLICATIVOS".
17) Para cambiar el tipo de permisos de un usuario, selecciónelo, haciendo clic izquierdo sobre él, y en la parte de abajo, se hace clic sobre las opciones “Control Total”, “Cambiar” y “Leer” (para los usuarios Administrador, Administradores); y, SOLAMENTE “leer”, para el usuario (por ejemplo Iris Roxana Olguín o el personalizado). Al finalizar este paso, la pantalla tendrá la apariencia de la Figura 102.
FIGURAS 102 Y 103. Finalizando configuración
de
permisos e inicio de configuración seguridad
al
de nuevo
recurso compartido.
18) Hacemos un clic izquierdo en la pestaña “Seguridad” de la ventana “Personalizar Permisos”. La pantalla obtenida se muestra en la Figura 103. 19) Aparece la ventana “Seleccionar Usuarios, Equipos o Grupos”. Al igual que en el paso 11, debemos seleccionar los usuarios Administrador, Administradores, y el Universidad Salvadoreña Alberto Masferrer
Página 93
nombre del Usuario, utilizando la barra de desplazamiento vertical para encontrarlos, luego hacer clic izquierdo en botón “agregar”. Los usuarios (o grupos de usuarios) agregados, aparecerán subrayados en la parte inferior de la ventana, como una lista, según lo muestra la Figura 104. 20) En la pestaña de “Seguridad”, en la ventana “Personalizar Permisos”, aparecerán los usuarios agregados, INCLUYENDO EL GRUPO TODOS. Este grupo, NO SE DEBE BORRAR, ya que por herencia, el usuario Seleccionado está dentro de la categoría de usuarios de Dominio local, por lo que aparecería un mensaje de error al realizar esta acción. La pantalla de Personalizar permisos en la pestaña de seguridad, quedará en forma similar como en la Figura 105. 21) Personalice el tipo de permiso para cada usuario, de acuerdo a la Tabla 4 (como se hizo en la pestaña “Permisos de los recursos compartidos”). Aparecen más tipos de permisos. En el caso del Usuario seleccionado, aparecerán activos por defecto los tipos de permisos, debe observar que no tiene que tener permiso “Control Total”. Para los usuarios Administrador y Administradores, seleccione “Control Total” para marcarlos todos de una sola vez. Haga clic izquierdo sobre cada usuario y cambie los tipos de permisos según lo definido.
FIGURAS 104 Y 105. Agregando usuarios en pestaña seguridad del nuevo recurso compartido. 22) Al finalizar de personalizar los permisos en la pestaña “Seguridad”, haga clic izquierdo en el botón aceptar. Universidad Salvadoreña Alberto Masferrer
Página 94
23) Haga clic izquierdo en botón Finalizar, en la ventana “Crear carpeta compartida”. Figura 106. Haga clic izquierdo en botón “No”. Figura 107.
FIGURAS 106 Y 107. FINALIZANDO LA CREACIÓN DEL NUEVO RECURSO COMPARTIDO. 24) Debemos haber copiado archivos al recientemente creado Recurso Compartido, para que el usuario lo utilice. Dependiendo la función definida por el Administrador de Red, esta carpeta puede ser utilizada para que el usuario almacene archivos, ejecute alguna aplicación o Sistema de la Organización. En nuestro caso, el usuario solamente podrá leer los archivos que se encuentren en la carpeta. ¿Qué sentido tendría crear un recurso compartido vacío?¿Qué cambiaría si tuviera permiso de control total? ____________________________________________________________________________ ____________________________________________________________________________ __________________________________________________________________________
FIGURAS 108 Y 109. Los archivos de datos o recursos compartidos no deben estar en la partición, unidad lógica o disco duro del Sistema Operativo de Red.
Universidad Salvadoreña Alberto Masferrer
Página 95
PARTE II: VERIFICACIÓN DE ACCESO A RECURSO COMPARTIDO (CARPETA) EN EL EQUIPO CLIENTE (EQUIPO DE LOS USUARIOS). La PARTE II del procedimiento se realizará SOLAMENTE en el CLIENTE. El equipo SERVIDOR, debe estar activo. En este momento, encienda e ingrese en el equipo CLIENTE de su respectiva mesa de trabajo, de no estar encendido. 25) Ejecute el equipo o máquina virtual, con el sistema operativo “Cliente” Microsoft Windows XP. Cuando haya cargado y muestre la pantalla de acceso, haga clic en la opción máquina (ubicada en la esquina superior izquierda), y luego en la opción “Insertar Ctrl-Alt-Supr”. 26) Digite el nombre de la cuenta de usuario (a la que le dio derechos de acceso al recurso) y la contraseña respectiva, según se muestra. i. Nombre de usuario:
mario.salguero (por ejemplo)
ii. Contraseña:
Inform4tic@.
iii. Conectarse a:
REDES. Recuerde que la contraseña es
sensitiva a mayúsculas. Verifique además, que en la caja de texto “Conectarse a” aparezca el nombre del dominio apropiado. 27) Verifique el entorno de red del Equipo “Cliente”. Haga clic izquierdo en el ícono Mis sitios de red, Toda la Red, contenido completo, Red de Microsoft Windows, “REDES”, y hacemos doble clic izquierdo en el equipo “SRVREDES01” según sea el caso del nombre del servidor por mesa de trabajo, y en la carpeta visualizada "SOFTWARE". 28) ¿Qué observa cuando trata de ingresar al contenido de la carpeta compartida en el servidor?
¿A
qué
se
debe
el
resultado
de
la
pantalla
obtenida?
______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________
Universidad Salvadoreña Alberto Masferrer
Página 96
FIGURA
110.
Pantalla
de
ejemplo
para
verificar
el
entorno de red del cliente
de
dominio.
29) Cierre ventanas, Cierre la sesión del usuario. Clic izquierdo en el botón inicio, apagar, Cerrar sesión. Hacer clic en botón aceptar. 30) Similar al paso 26, Ingrese de nuevo en el EQUIPO CLIENTE, utilizando la sesión de un SEGUNDO USUARIO creado, con su respectiva “Contraseña” digitada anteriormente. (Puede ser de la misma OU del usuario anterior). Recuerde que la contraseña es sensitiva a mayúsculas. Verifique además, que en la caja de texto “Conectarse a” aparezca el nombre del dominio apropiado “REDES”. 31) Verifique el entorno de red del EQUIPO CLIENTE con la nueva sesión iniciada. Haga clic izquierdo en el ícono Mis sitios de red, Toda la Red, Contenido completo, Red de Microsoft Windows, REDES, y hacemos doble clic izquierdo en el equipo "SRVREDES01, y en la carpeta visualizada "SOFTWARE". 32) ¿Qué observa cuando trata de ingresar al contenido de la carpeta compartida en el servidor con el segundo usuario? ¿A qué se debe el resultado de la pantalla obtenida? ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ Universidad Salvadoreña Alberto Masferrer
Página 97
PARTE III. MAPEO DE USUARIOS A RECURSO COMPARTIDO EN SERVIDOR.
El concepto de “Mapeo” en el ámbito informático, es sinónimo de “disco virtual remoto”. Con ayuda de este principio, el usuario con su equipo cliente podrá contar otro disco duro o unidad lógica de forma local, (verificable en el ícono de Mi PC, en el escritorio del Cliente), con el que podrá tener acceso al recurso compartido específico. Esto implica que en esta parte, SE UTILIZARÁN EL SERVIDOR Y EL CLIENTE. Este concepto es muy útil, cuando hay daño en disco duro local del equipo cliente, o se ha dañado la integridad del sistema operativo del equipo cliente por ataque de virus. Bajo esta premisa, un usuario afectado en su equipo, podría utilizar otro equipo para poder acceder a sus archivos personales (y no ver los archivos del usuario del otro equipo), con solo conectarse y validar su sesión al dominio. Lo que se hace es “mapear”, la carpeta “Mis documentos” del Cliente, al recurso compartido “mapeado” desde el Perfil del usuario, para que pueda tener acceso a sus archivos. (Es obvio pensar, que el usuario debe ser “validado”, para usar otro equipo del dominio, y lograr el cometido expuesto). 33) Cierre cualquier ventana abierta en el escritorio del Servidor. 34) En el escritorio del servidor, inicie la consola “Administrar Servidor”. 35) Expanda la rama del complemento “Usuarios y equipos de Active Directory” de la estructura de árbol de la izquierda, haciendo un clic izquierdo sobre el signo (+) de ese complemento. 36) Expanda el dominio “redes.edu.sv”, haciendo un clic izquierdo sobre el signo (+). 37) En el objeto “Users” del Directorio Activo o en cualquier “Unidad Organizativa” creada, Haga doble clic izquierdo sobre el usuario al que le dio derecho a la carpeta compartida. O puede hacer un clic derecho sobre el usuario, y con el clic izquierdo seleccionar la opción propiedades, como lo muestra la Figura 111. 38) Aparece la ventana de las propiedades del usuario. Por defecto, se sitúa en la pestaña “General”. 39) Haga un clic izquierdo sobre la pestaña “Perfil”, como lo muestra la Figura 112.
Universidad Salvadoreña Alberto Masferrer
Página 98
FIGURA 111 Y 112. Configurando mapeo en usuario para tener acceso al recurso compartido. 40) En la misma ventana, y en la pestaña “Perfil” (Como se muestra en la Figuras 112 y 113), se debe seleccionar en el cuadro “Directorio Principal”, donde seleccionaremos la opción “Conectar”, seleccionando la letra “T” (que es la unidad lógica que deseamos que aparezca en el equipo Cliente cuando el usuario inicie sesión válida en el dominio), y luego digitaremos \\srvredes01\software (siendo SRVREDES01, el nombre del servidor de Dominio; y SOFTWARE, EL NOMBRE DEL RECURSO COMPARTIDO CREADO (Y NO EL NOMBRE DE LA CARPETA CREADA EN EL DISCO DEL SERVIDOR). (Verifique el nombre del recurso según paso 7). ¿Cuál es el nombre del Recurso Compartido Correcto? _______________________________. ¿Es correcto el nombre del recurso de la Figura 113 y de la explicación anterior? _________. 41) Hacemos clic izquierdo en el botón “Aplicar”, y luego en “Aceptar”. 42) Inicie la sesión en EL EQUIPO CLIENTE, con el usuario al que se definió el mapeo. Si tenía una sesión abierta, reinicie el equipo. 43) Una vez ingresado al escritorio del cliente, haga doble clic izquierdo en el ícono de “Mi PC”. ¿Qué observa? ¿Cómo se logra?
Universidad Salvadoreña Alberto Masferrer
Página 99
FIGURAS 113 Y 114. Ejemplo para definir mapeo en el servidor, y visualización de mapeo en equipo cliente. 44) Haga doble clic izquierdo en la Unidad Lógica T del EQUIPO CLIENTE. ¿Qué observa? ¿Pueden borrarse algunos archivos? Explique. _________________________________________________________________________ _________________________________________________________________________ _________________________________________________________________________ ________________________________________________________________________ 45) Cierre todas las ventanas abiertas en el EQUIPO CLIENTE. Cierre la Sesión del USUARIO. 46) Inicie una nueva sesión, en el EQUIPO CLIENTE, con otro usuario. 47) Una vez ha ingresado en la sesión y al escritorio del otro usuario, haga doble clic izquierdo en el ícono de “Mi PC”. ¿Qué observa?. Explique el resultado obtenido. _________________________________________________________________________ _________________________________________________________ 48) Cierre las ventanas activas y apague máquinas del EQUIPO CLIENTE, y del SERVIDOR. Universidad Salvadoreña Alberto Masferrer
Página 100
Conclusiones
PC No._____
Fecha: _____________
Nombre: _______________________________________
Carnet: _____________
Asignatura:
GUÍA # 6
ADMINISTRACIÓN DE REDES II.
NOTA:_____
Escriba sus conclusiones personales de cada una de las partes del procedimiento. _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________
Evaluación Previa Conteste las siguientes preguntas al reverso de la página.
¿Cuál es la diferencia entre RAID 0 y RAID 1, si ambos arreglos tuviesen 2 discos? ¿Cuánto es el número mínimo de discos para la implementación de RAID 5? Escriba al menos 3 modelos de NAS Server (Investigue). En una red de grupo, ¿es seguro tener resguardo de datos? ¿qué ventaja ofrece? ¿Cuál es la diferencia entre discos SATA y SAS? (Investigue). Bibliografía http://es.wikipedia.org/wiki/RAID http://www.freenas.org/
Universidad Salvadoreña Alberto Masferrer
Página 101
Universidad SalvadoreĂąa Alberto Masferrer
PĂĄgina 102
UNIVERSIDAD SALVADOREÑA ALBERTO MASFERRER FACULTAD DE CIENCIAS EMPRESARIALES LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN
GUÍA # 7 Asignatura: Docente:
ADMINISTRACIÓN DE REDES II. Ing. Téc. Mario Enrique Salguero Juárez
Ciclo: I-2014
Tiempo: 4 Horas
Fecha: _________________
Tema: ESTRATEGIA DE GRUPOS A G DL P Contenido
Administración de Unidades Organizativas y Grupos de usuarios en Active Directory (servidor). Asignando derechos de acceso de Grupo a Recurso Compartido (servidor). Verificando acceso de grupo a Recurso Compartido (Cliente).
Objetivo General
Que el alumno
Utilice la estrategia de Grupos A G DL P, para la asignación de permiso de acceso a recursos dentro de un Domino administrado por un Directorio Activo, para incrementar la seguridad de acceso en una red de datos.
Material y Equipo
1 Computadora con Procesador P4 3.4GHz (min), Core 2 Duo 2.6GHz (std), I5 2.8 GHz (best). RAM 1GB RAM (min), 2GB (std), 4GB (best). Disco duro 80GB (min), 160GB (std), 300GB (best). Sistema Operativo Anfitrión: Windows xp (min), Windows 7 32 bits (std), Windows 7 64 bits (best). No se sugiere Windows 8 en entorno virtual, debido a rendimiento. Programas VirtualBox, como gestor de máquinas virtuales. Carpeta con 3 archivos VDI de máquinas virtuales: 1 para cliente XP, 2 para Servidor. IMPORTANTE: Carpeta u otro medio de almacenamiento de disco externo para copiar carpetas SOFTWARE, SOFTWARE IMAGEN CD, SERVICE PACK en el servidor. Dominio con Unidades Organizativas, grupos y usuarios creados. Guía de laboratorio 7. Lapicero.
Universidad Salvadoreña Alberto Masferrer
Página 103
Introducción Teórica GRUPOS DE USUARIOS. CONCEPTOS AVANZADOS. Como una administración avanzada de acceso a recursos, Active Directory “Virtualiza” la estructura organizacional de la empresa, definiendo los departamentos como Unidades Organizativas que contiene equipos, usuarios, recursos compartidos, etc. Esto apoya en mejor rendimiento de procesos administrativos (en una perspectiva física u organizacional de la empresa) para administrar gran cantidad de recursos (entre usuarios, equipos, acceso a carpetas por ejemplo, para más de 50 usuarios). También, para definir políticas de acceso de sesión, personalizando escritorios y accesos a programas no autorizados, que incrementan el riesgo de amenazas informáticas en los equipos de la Organización. Los objetos “Grupos de Usuarios” (o GU, Group Users), son objetos que almacenan a usuarios. Pueden crearse en el raíz del Directorio Activo, o en las OU creadas. Por ej. si dichas OU tienen administradores diferentes, se pueden crear grupos globales para dichas unidades. Los recursos compartidos que tienen mayor demanda, ya que son accedidos por una gran cantidad de usuarios, requerirían demasiado tiempo de administración por parte del Administrador de red para poder aplicar los derechos de lectura hacia el recurso compartido. En el GU, los usuarios son “trasladados” a este contenedor dentro de la Unidad Organizativa, y dentro del recurso compartido se definen permisos solamente al GU, es decir, a todos los usuarios ingresados al Grupo de Usuarios definido. Si existiera un usuario, incluso dentro de la Unidad Organizativa que y que no estuviese contenido en el GU, no tendrá acceso a dicho recurso.
FIGURA 114. Los grupos simplifican la administración, ya que permiten asignar permisos a los recursos.
Universidad Salvadoreña Alberto Masferrer
Página 104
Los grupos se distinguen por su tipo y ámbito.
FIGURA 115. Pantalla de Directorio Activo, en la creación de Grupo de usuarios. TIPOS DE GRUPO: Categorizados por Seguridad (control de recursos), y de Distribución, usuarios normales, aplicadas las restricciones.
TABLA 4. Tipos de Grupo.
Universidad Salvadoreña Alberto Masferrer
Página 105
ÁMBITOS DE GRUPOS: El ámbito de un grupo determina si el grupo comprende varios dominios o si se limita a uno solo. Los 4 ámbitos de grupo son: Global, Universal, Local de Dominio y Local. El modo mixto se refiere a servidores 2003 e inferiores. Modo Nativo, 2003 o superior.
TABLAS 5,6,7,8. Reglas de los distintos Grupos según su ámbito. Universidad Salvadoreña Alberto Masferrer
Página 106
DIRECTRICES PARA LA NOMENCLATURA DE GRUPOS. GRUPOS DE SEGURIDAD:
Incorpore el ámbito en la convención de nomenclatura del nombre del grupo.
El nombre debe reflejar la posesión (nombre de la división o del equipo).
Coloque los nombres de dominio o su abreviatura al principio del nombre del grupo.
Use un descriptor para identificar los permisos máximos que puede tener un grupo, como DL Admins de TI de OU de London.
GRUPOS DE DISTRIBUCIÓN.
Utilice un alias corto.
No incluya un nombre de alias como parte del nombre a mostrar
Un único grupo de distribución puede tener un máximo de cinco copropietarios. ANIDAMIENTO DE GRUPOS. Se deben anidar grupos para consolidar la
administración de los grupos. Las opciones de anidamiento varían según se haya establecido el nivel funcional del dominio configurado (distintas versiones de Sistema Operativo de Red en modo mixto o nativo).
FIGURA 116. Anidamiento de grupos. ESTRATEGIAS DE GRUPOS ANIDADOS “A G DL P”.
Universidad Salvadoreña Alberto Masferrer
Página 107
A G DL P, es una estrategia recomendada para utilizar grupos en un único dominio. De acuerdo con esta estrategia, las cuentas de “usuario A”, se colocan en Grupos “Globales G”, estos grupos globales se colocan en grupos “Locales de Dominio DL”, y a continuación se conceden los “Permisos P” al grupo Local de Dominio. La estrategia, se resume en 4 pasos: 1) Identificar las cuentas de Usuario con responsabilidades comunes (A). 2) Determinar el grupo Global de Dominio (G). 3) Agregar a los grupos Globales con necesidades similares al grupo Local de Dominio (DL). 4) Conceder Permisos de acceso a recursos al grupo Local de Dominio. (P). Para comprender el concepto A G DL P, consideremos el ejemplo del departamento de ventas donde todos los empleados disponen de los mismos recursos. Al configurar los grupos, se debe considerar lo siguiente: 1) Identificar a los usuarios con responsabilidades comunes, y agregar las cuentas de usuario a un grupo Global. En el ejemplo del departamento de ventas se agregarán las cuentas de usuario de todos los empleados de este departamento a un grupo global llamado “ventas”. 2) En segundo lugar, deberá determinar si puede usar un grupo local de dominio integrado, o bien es necesario crear uno para dar a los usuarios acceso a los recurso del dominio. Por ejemplo, para permitir a los usuarios imprimir en una impresora en color compartida en el dominio, crearemos un grupo local de dominio llamado “Usuarios de impresora en color”. 3) En tercer lugar, identifique todos los grupos globales que comparten las mismas necesidades de acceso a los recursos y hágalos miembros del grupo local de dominio que corresponda. En el ejemplo del departamento de ventas, agregará los grupos Globales adecuados, incluido el de ventas, al grupo local de dominio “Usuarios de impresora en color”. 4) Por último, conceda los permisos requeridos al grupo local de dominio en el controlador de dominio. Los permisos se conceden en el recurso. Para permitir que los usuarios impriman en la impresora de color compartida, deberá conceder los permisos necesarios para utilizar impresoras en color en el grupo Local de Dominio “Usuarios de impresora en color”.
Universidad Salvadoreña Alberto Masferrer
Página 108
Procedimiento
PARTE I. ADMINISTRACIÓN DE UNIDADES ORGANIZATIVAS Y GRUPOS DE USUARIOS EN ACTIVE DIRECTORY (SERVIDOR). En esta parte de la práctica, se utilizará el equipo: SERVIDOR. 1) En el equipo SERVIDOR, ejecute la consola “Administrar el Servidor”, ubicada en el escritorio. 2) Expandir el complemento “Usuarios y Equipos de Active Directory”, haciendo clic izquierdo sobre signo (+). 3) Expandir Dominio local, haciendo clic izquierdo sobre signo (+). 4) Hacer clic derecho sobre el dominio, y seleccionar con clic izquierdo del menú emergente, las opciones “Nuevo” y “Unidad Organizativa”, como se observa en la Figura 117. 5) En la ventana “Nuevo objeto-Unidad Organizativa”, digite en el cuadro de texto Nombre “COMPUTO” (sin comillas). Luego haga clic izquierdo en botón “Aceptar”, según Figura 118.
FIGURAS 117 Y 118. CREACIÓN DE LA UNIDAD ORGANIZATIVA “CÓMPUTO”. 6)
Moveremos los dos usuarios creados a la nueva Unidad Organizativa. Haga clic izquierdo sobre el objeto “Users” u otra unidad Organizativa creada que tenga usuarios, y que estén ubicados en la rama del dominio local, dentro de la Consola.
7) Utilizando la barra de desplazamiento vertical, localice a cada uno de los usuarios. Haga clic derecho sobre un usuario y seleccione la opción “Mover”. Aparecerá una ventana Universidad Salvadoreña Alberto Masferrer
Página 109
como en la Figura 119. Dentro de esta nueva ventana, seleccione la nueva Unidad Organizativa “COMPUTO”, y haga clic izquierdo en el botón “Aceptar”. Recuerde realizar este paso para los dos Usuarios creados. 8) Crearemos un Grupo de Usuarios dentro de una Unidad Organizativa. Siempre ejecutada la Consola, y con el dominio expandido, hacer clic derecho sobre la nueva Unidad Organizativa “COMPUTO”, y en el menú emergente, seleccionar las opciones “Nuevo” y “Grupo” con clic izquierdo, como lo muestra la Figura 120.
FIGURAS 119 Y 120. MOVIENDO A UN USUARIO Y CREANDO GRUPO DE USUARIOS EN LA UNIDAD ORGANIZATIVA. 9)
En la ventana “Nuevo objeto-Grupo”, digitaremos “Usuarios de Informática” en las cajas de texto “Nombre de Grupo” y “Nombre de Grupo (anterior a Windows 2000)” . En el Ámbito de grupo, seleccionaremos Dominio Local, y hacemos clic izquierdo en botón “Aceptar”. Figura 121.
10) Moveremos a un solo usuario al nuevo Grupo Creado dentro de la Unidad Organizativa. Regresando a la consola, hacemos clic izquierdo sobre la Unidad Organizativa “COMPUTO”, donde se ubica el nombre del usuario. Haciendo un clic derecho sobre el usuario, en el menú emergente, seleccionar la opción “Agregar miembros a un grupo”, haciendo clic izquierdo. Universidad Salvadoreña Alberto Masferrer
Página 110
FIGURA 121 Y 122. CREANDO Y AGREGANDO USUARIOS AL NUEVO GRUPO COMPUTO. 11) En la ventana “Seleccionar Grupo”, y
utilizando las
barras de desplazamiento
vertical, seleccionamos el nuevo Grupo Creado “Usuarios de Informática” haciendo un clic izquierdo sobre él, y luego en el botón “Aceptar”. Aparecerá un mensaje de Active Directory. Hacer clic izquierdo en botón “Aceptar”.
FIGURAS 123 Y 124. FINALIZANDO PROCESO DE AGREGAR USUARIO AL GRUPO “USUARIOS DE INFORMÁTICA”. 12) Debemos quitar el acceso de CUALQUIER USUARIO INDIVIDUAL En las propiedades “Permisos del recurso compartidos” y “Seguridad” del recurso creado. Siempre en la Consola del SERVIDOR, expandir complemento “Carpetas Compartidas (locales)”. Hacer un clic izquierdo sobre “Recursos Compartidos”, “Aplicativos”. Universidad Salvadoreña Alberto Masferrer
Página 111
Luego hacer clic derecho sobre dicho recurso para obtener la ventana de “Propiedades de Aplicativos”, como lo muestran las Figuras 125,126,127,128. Al finalizar haga clic en botones “Aplicar” y “Aceptar” de la Figura 128.
FIGURAS 125, 126, 127, 128. ELIMINANDO EL ACCESO DEL USUARIO 1 EN LAS PROPIEDADES DEL RECURSO “APLICATIVOS”, EN PESTAÑAS PERMISOS Y SEGURIDAD.
Universidad Salvadoreña Alberto Masferrer
Página 112
PARTE II. ASIGNANDO DERECHOS DE ACCESO DE GRUPO A RECURSO COMPARTIDO (SERVIDOR) 13) Configurando acceso en Recurso Compartido al Grupo creado. Para permitir al grupo de usuarios tener acceso al Recurso Compartido, (y como estamos actualmente en Recursos Compartidos dentro de la consola), Hacemos clic derecho sobre el Recurso “Aplicativos”, “Propiedades”, en el botón “Agregar”, y buscando en la ventana emergente con las barras de desplazamiento vertical, al Grupo “Usuarios de Informática”. Hacemos clic izquierdo en “Agregar” y “Aceptar”. Debemos dar acceso de “Control Total”, seleccionando el cuadro con clic izquierdo. Y de nuevo, hacer clic izquierdo en botones “Aplicar” y “Aceptar”. Mostrado en las Figuras 129 y 130.
FIGURAS 129, 130, 131 Y 132. Ejemplo de configuración del acceso del grupo “USUARIOS DE INFORMÁTICA” en las propiedades del recurso compartido “APLICATIVOS”,
PESTAÑAS: “Permisos de los recursos compartidos” y
“Seguridad” Universidad Salvadoreña Alberto Masferrer
Página 113
14) Luego, en la pestaña “Seguridad”, hacemos “clic izquierdo en botón “Agregar”, y buscamos también en la ventana emergente con las barras de desplazamiento vertical, Grupo “Usuarios de Informática”. Hacemos clic izquierdo en los botones “Agregar” y “Aceptar”. 15) Luego, modificamos el tipo de Permisos con “Control Total” Mostrado en las Figuras 131 y 132.
PARTE III. VERIFICANDO ACCESO DE GRUPO A RECURSO COMPARTIDO (CLIENTE)
16) En el EQUIPO CLIENTE….
Iniciar la sesión con el
primer usuario o con el
seleccionado.
17) Verifique el entorno de red del EQUIPO CLIENTE con la sesión iniciada de "USERPC01" (o el seleccionado). Haga clic izquierdo sobre el ícono de “Mi PC”. ¿Por qué no se puede ver el mapeo del recurso compartido del SERVIDOR en el CLIENTE? ________________________________________________________________________ ________________________________________________________________________ ________________________________________________________________________ _______________________________________________________________________ 18) Siempre en el equipo Cliente… Ahora haga clic izquierdo en el ícono Mis sitios de red, Toda la Red, contenido completo, Red de Microsoft Windows, REDES, y hacemos doble clic izquierdo en el equipo "SRVREDES01", y en la carpeta visualizada "Aplicativos". ¿Qué observa? ¿A qué se debe? ________________________________________________________________________ ________________________________________________________________________ ________________________________________________________________________ _______________________________________________________________________
Universidad Salvadoreña Alberto Masferrer
Página 114
19) Cierre la sesión del Usuario 1 en el EQUIPO CLIENTE. 20) Ingrese con la sesión del Usuario 2 en el EQUIPO CLIENTE. 21) Realice los pasos 16 y 17 con el nuevo usuario. ¿Tiene acceso al recurso compartido? ¿Por qué si el USUARIO 2 es un usuario registrado en la Unidad Organizativa “COMPUTO”, no tiene acceso al recurso compartido? ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ____________________________________ 22) Ejecute en el EQUIPO CLIENTE (con el USUARIO 2 activo), clic izquierdo en botón de inicio, ejecutar, digite “cmd” (sin comillas y luego enter), y digite la instrucción siguiente: net use P: \\SRVREDES01\SOFTWARE /USER:Administrador $emperfidel!5 (Considere el nombre del servidor, nombre del recurso, y al finalizar presione la tecla ENTER). Minimice la consola de comandos, y en el escritorio del equipo ¿Qué observa en el ícono de mi PC del CLIENTE? ____________________________________________________________________________ ____________________________________________________________________________ 23) APAGUE LOS EQUIPOS.
Universidad Salvadoreña Alberto Masferrer
Página 115
Conclusiones
PC No._____
Fecha: _____________
Nombre: _______________________________________
Carnet: _____________
Asignatura:
GUÍA # 7
ADMINISTRACIÓN DE REDES II.
NOTA:_____
Escriba sus conclusiones personales de cada una de las partes del procedimiento. _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ Evaluación Previa Conteste las siguientes preguntas al reverso de la página.
¿Qué significa la estrategia A G DL P?
¿Qué ventajas ofrece utilizar esta estrategia para la asignación de recursos compartidos?
¿Cuál es la ventaja que ofrece crear grupos en un Directorio Activo?
Bibliografía
http://www.microsoft.com/spain/windowsserver2003/technologies/management/grouppolicy/default.aspx http://msmvps.com/blogs/juansa/archive/2005/12/20/79522.aspx
Universidad Salvadoreña Alberto Masferrer
Página 116
UNIVERSIDAD SALVADOREÑA ALBERTO MASFERRER FACULTAD DE CIENCIAS EMPRESARIALES LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN
GUÍA # 8 Asignatura: Docente:
ADMINISTRACIÓN DE REDES II. Ing. Téc. Mario Enrique Salguero Juárez
Ciclo: I-2014
Tiempo: 4 Horas
Fecha: _________________
Tema: SERVIDOR DNS
Contenido
Instalación y configuración de un servidor DNS. Verificación del funcionamiento de un servidor DNS. Procedimiento de activación de un dominio público a través de SVNET. Determinación de bloqueos de sitios DNS en listas negras de internet “BLACKLIST”.
Objetivo General “Que el alumno conozca la configuración y administración de un Servidor DNS, como parte vital en el funcionamientos de redes de dominio, correo electrónico e internet, para la correcta operatividad y confiabilidad de una red de datos empresarial, gubernamental o privada”. Material y Equipo
1 Computadora con Procesador P4 3.4GHz (min), Core 2 Duo 2.6GHz (std), I5 2.8 GHz (best). RAM 1GB RAM (min), 2GB (std), 4GB (best). Disco duro 80GB (min), 160GB (std), 300GB (best). Sistema Operativo Anfitrión: Windows xp (min), Windows 7 32 bits (std), Windows 7 64 bits (best). No se sugiere Windows 8 en entorno virtual, debido a rendimiento. Servicio de Internet activado en computadora con Sistema Operativo Anfitrión. Programa VirtualBox, como gestor de máquinas virtuales. Carpeta con 3 archivos VDI de máquinas virtuales: 1 para cliente xp, 2 para Servidor. Guía de laboratorio 8. Lapicero.
Universidad Salvadoreña Alberto Masferrer
Página 117
Introducción Teórica Estamos ingresando en una gestión avanzada en los Sistemas Operativos comerciales. El servicio de Resolución de nombres, requiere que se manejen algunos conceptos para saber cómo un servidor realiza la resolución de nombres. Es importante antes de configurar cualquier otro servicio de red, tener instalado un Servidor DNS (Domain Name Service), que ofrece la resolución de nombres de direcciones IP a nombres de dominio. Si no tuviésemos el DNS, tendríamos que aprendernos todas las IP de las páginas o dominios existentes. El DNS nos facilita la situación porque ese es su trabajo, también en viceversa. DNS es una base de datos jerárquica distribuida que contiene mapeo de nombres de hosts dns a direcciones IP. DNS habilita la localización de computadoras y servicios usando nombres alfanuméricos, fácil de recordar.
FIGURA 133. Funcionamiento de un DNS. Este nombre alfanumérico, puede estar compuesto de letras y números, y fácilmente nos ayuda a recordar nombres de servidores de internet o de una red local corporativa (intranet). También habilita la localización de servicios de red, por ejemplo, los nombre de los servidores de correo, o del Controlador de Directorio Activo. En la Base de Datos, residen una gran cantidad de datos que nos ayudan a resolver los nombres. Es distribuida, porque podemos poner en varios servidores los datos y agilizar la resolución de nombres. Por esa razón, se dice que el DNS se puede definir como un árbol con estructura jerárquica. A ese árbol podemos llamarle “Domain Name Space”, el cual se puede representar de la forma siguiente:
Universidad Salvadoreña Alberto Masferrer
Página 118
FIGURA 134. Arquitectura Jerárquica del Espacio de nombres de Dominio. Cuando un usuario se refiere al DNS, generalmente se piensa en el internet, por la resolución de nombres. Pero también nos ayuda para definir equipos específicos en la intranet o en la red local, para que la búsqueda sea efectiva y poder conectar dos equipos de forma inmediata. Este Domain Name Space está dividido en 4 partes.
Dominio Raíz: Es la fuente de todos los dominios, manejados por el internic.net, es el que maneja todos los dominios de internet, que es el servidor DNS raíz.
Dominios de Nivel Superior: están las diferentes categorías de sitios web. Org, sitios de ongs, Los EDU, educativas, los geográficos, sv El Salvador, co Inglaterra, etc.
Dominio de Segundo Nivel: Los nombres o categorías de empresas comerciales o instituciones que usan los dominios.
Subdominio: Subdivisión de dominios de segundo nivel, subsidiarias de la empresa o representación de zonas geográficas, o departamentales.
Equipos usuarios o servidores: el nombre de dominio completo FQDN. Nombre de dominio DNS completo.
Las búsquedas se realizan de forma inversa, desde el dominio raíz hasta el nombre del equipo. Universidad Salvadoreña Alberto Masferrer
Página 119
Existe una estandarización para la utilización del servicio de nombres de dominio, para la organización o página web, o cualquier utilidad que se requiera. Los estándares de denominación DNS.
FIGURA 135. Estándares para Denominación de DNS. La ñ no se utiliza porque no existe en inglés. Estos caracteres deben admitir una coherencia y contar con los elementos de la figura. No se recomienda usar caracteres. Para tener un esquema funcional de resolución de nombres se tiene que tener la siguiente infraestructura.
FIGURA 136. Componentes de una solución DNS. Universidad Salvadoreña Alberto Masferrer
Página 120
Estos servidores DNS, poseen un recurso, que es una BDD distribuida que tiene la información de los equipos, que contiene el FQDN y la IP, y los clientes DNS hacen uso del servicio. Con esta estructura, se da una resolución de nombres efectivas, de forma local, o hacia el exterior. Esas resoluciones son consultas que clientes DNS hacen a nuestros servidores. Con esta estructura, logramos tener los componentes necesarios para dar una resolución efectiva a los componentes de nuestras redes. Se pueden hacer resoluciones de nombres a nivel local o hacia el exterior. Esas resoluciones son consultas que los clientes DNS hacen al servidor, en el que resultan dos tipos de consultas: Queriy Recursiva, y Query Iteractiva. La Query Recursiva es enviada al DNS, realizada por el cliente DNS y el Servidor DNS provee la respuesta completa. FIGURA 137. Query Recursiva. Query Iteractiva: Primero, se le solicita al servidor la dirección IP de un equipo. Como el servidor local no encuentra el equipo en su base, el Servidor realiza la consulta al dominio raíz. Hace su consulta basado en el nivel superior. El servidor externo le responde, y luego el servidor DNS con la respuesta, busca a través
de
otra
query,
los
servidores realizando la estructura organizativa de DNS. Una vez aprendida la dirección IP por el Servidor, la envía al cliente DNS.
FIGURA 138. Query Iteractiva.
Universidad Salvadoreña Alberto Masferrer
Página 121
Existe otra característica importante de los reenviadores, que son servidores DNS designados por otros servidores DNS internos para reenviar consultas y resolver nombres de dominio DNS externos o fuera del sitio.
FIGURA 139. Servidores DNS “REENVIADORES”. Un ejemplo práctico de un Reenviador gratuito, es el sitio www.opendns.org, el cual, determina los valores IP para los routers, y contiene una gran base de datos para realizar controles de acceso y bloquear por criterios, aquellos sitios web restringidos, como pornografía, etc.
FIGURA 140. Reenviador gratuito OpenDNS. Se debe crear un usuario para colocar las IP DNS en el equipo “router” casero. Universidad Salvadoreña Alberto Masferrer
Página 122
Cada vez que se realiza una consulta DNS, posiblemente se considera que se realizan frecuentement Querys Iteractivas y que saturan el enlace de comunicaciones por una sobrecarga de peticiones al servidor DNS. Esto no sucede, debido a que para agilizar el proceso de consulta, el servidor mantiene en la memoria “caché” la información retenida por un espacio de tiempo “TTL Time to LIve”, dicha consulta para uso de otro usuario para que no sea necesario realizar todo el proceso de nuevo.
FIGURA 141. Almacenamiento de Caché DNS. El TTL determina el criterio de actualización de la Base de Datos, a menor tiempo, más reciente tendrá las actualizaciones al día, pero esto es determinado por el Administrador del Servidor de Zona Primaria donde están los datos. Sin embargo, definir esto, aumenta la carga del trabajo del servidor de nombres, porque estaría en una actualización constante. Cuando el valor de TTL se reduce y llega a 0 segundos, el registro DNS se elimina de la base.
Universidad Salvadoreña Alberto Masferrer
Página 123
Una “ZONA DNS” es una parte esencial en el servidor DNS, que tiene la autoridad para resolver las consultas DNS. El espacio de nombres DNS se pueden dividir en diferentes zonas, que almacenan información de nombres de uno o varios dominios DNS, ya que también estas zonas pueden ser replicadas a otros servidores DNS. Para cada nombre de dominio DNS, incluido en una zona, ésta se convierte en el dominio autorizado de la información acerca de ese dominio. En otras palabras las zonas son importantes, ya que son las que específicamente las que nos dan los permisos necesarios para hacer las resoluciones de nombres.
FIGURA 142. ZONAS DNS. Los tipos de zona que existen en un DNS son:
PRINCIPAL: Es una copia de lectura y escritura de una base de datos DNS. Los cambios realizados en la zona se registran en el archivo de zona principal.
SECUNDARIA: Es una copia de solo lectura de una base de datos DNS. Es necesario tener una zona principal. Se requieren dos servidores DNS, uno principal y otro secundario. Cualquier cambio efectuado que se realiza en la zona principal, es almacenado en la zona secundaria.
CODIGO AUXILIAR: Copia de los registros realmente necesarios y limitados para la zona. Por ejemplo, los registros SOA, u otras zonas integradas al directorio activo.
Universidad Salvadoreña Alberto Masferrer
Página 124
FIGURA 143. Tipos de Zonas DNS.
Los archivos de zona, contienen la información a la que un servidor DNS hace referencia para hacer dos tareas distintas: convertir nombres de host a IP y convertir IP a nombres de host. Esta información se almacenan como registros de recursos que llenan los datos de la zona, incluidos los registros de los recursos: Resource Records o Record Types, ya que ayudan a definir algunas características importantes. Los Resource Records, son entradas en la base de datos que incluyen los atributos de un equipo, ej. Nombre de host, IP, alias. Entre los cuales tenemos.
FIGURA 144. Tipos de Registro DNS. Universidad Salvadoreña Alberto Masferrer
Página 125
Explicaciones adicionales se originan dentro de los tipos de Registros DNS:
A: Utilizado para ubicar un Servidor que tiene el dominio para una IP específica. Contiene la resolución del nombre a Dirección IP.
PTR: Inverso al Tipo “A”, resuelve la IP en nombre de hosts, y es almacenado en la Zona inversa dentro del directorio activo, en el complemento del DNS.
SOA: Start of Autority. Raíz, primer registro, o punto de partida para la información inicial de la Zona. Contiene también otros parámetros, como por ejemplo, el tiempo de vida de la información de la zona, entre otros.
SRV: Resuelve el nombre de servidores que proveen servicios.
NS: Identifica el servidor que tienen autoridad en una zona determinada.
MX: Identifica al servidor de Correo utilizado por los usuarios. Cuando se implementa un servidor de correo, debe agregarse este registro.
CNAME: Permite proporcionar nombres adicionales a un servidor que ya tiene un nombre en el registro tipo ”A”. Por ejemplo, www.redes.edu.sv, es un CNAME del dominio redes.edu.sv. INSCRIPCIÓN DE UN DOMINIO NUEVO EN SVNET. Para que un dominio empresarial o personal pueda verse a través del internet, la red del
dominio debe poseer una IP de tipo público de Internet, esto puede ser a través de un proveedor de servicios de Internet (ISP). También, debe “registrarse” en el dominio raíz de El Salvador, que tiene a cargo la administración del servicio DNS de todos los sitios del país. Esta organización se llama SVNET. Si no se puede determinar si su nombre de dominio empresarial está siendo utilizado ya en Internet, o si su dominio está en una “lista negra” de dominios categorizados como inseguros o peligrosos, utilice el sitio siguiente: + Abrir el explorador de internet. + digitar www.MXTOOLBOX.com + Clic en DNSLOOKUP + Escribir el nombre del dominio desconocido en el cuadro de texto. + Verificar la existencia del dominio. El formulario utilizado se encuentra a continuación.
Universidad Salvadoreña Alberto Masferrer
Página 126
FORMA B-1
SOLICITUD DE REGISTRO DE NOMBRE DE SUBDOMINIO EN INTERNET
Si su organización está interesada en registrar un nombre de subdominio bajo el dominio superior de Internet para El Salvador (SV), complete esta solicitud a máquina o en letra de molde y entréguela en Asociación Conexión, oficina receptora de SVNet. También debe realizar el pago tal como se indica abajo, y presentar el comprobante en Asociación Conexión, para que el dominio sea registrado durante la vigencia que haya seleccionado.
ACLARACIÓN
SVNet realiza el mejor esfuerzo para que los nombres de dominio asignados guarden concordancia con las asociaciones legales del Registro de Marcas y Patentes. Por ello, se reserva el derecho de requerir al solicitante documentación legal adicional en ese sentido. No obstante lo anterior, la asignación de nombres de dominio en Internet no se halla vinculada legalmente a tales Registros, por lo que SVNet no asume responsabilidad por la propiedad de nombres de marcas usados en los subdominios asignados.
Fecha (dd/mmm/aa) _____ / _____ /________
Universidad Salvadoreña Alberto Masferrer
Página 127
Nombre de Subdominio solicitado (2º ó 3er nivel) 1 2
Organización Nombre Contacto Administrativo1 Firma manuscrita del Contacto Administrativo Dirección postal Teléfono / Fax Correo electrónico
3
Nombre Contacto Técnico Teléfono / Fax Correo electrónico
4
Nombre Contacto Financiero Teléfono / Fax Correo electrónico
5
Actividad principal de la organización solicitante
6
Nombre Servidor de Nombres Primario Dirección IP Servidor Primario Nombre Servidor de Nombres Secundario 1 Dirección IP Servidor Secundario 1 Nombre Servidor de Nombres Secundario 2
1
De acuerdo a las políticas vigentes de SVNet, la persona que es el Contacto Administrativo debe residir permanentemente en El Salvador.
Universidad Salvadoreña Alberto Masferrer
Página 128
Precios vigentes (01/10/2012) (Incluyen IVA)
Años pagados de una vez
Precio por dominio 3er nivel (*.com.sv, *.gob.sv, *.edu.sv, *.org.sv)
Precio por dominio 2º nivel (*.sv)
1
$ 25
$ 50
2
$ 45
$ 90
3
$ 65
$ 130
4
$ 80
$ 170
5
$ 100
$ 200
FAVOR REALIZAR ABONO EN CUENTA DE AHORRO EN BANCO CITI NÚMERO 012-401-00-007336-1, o en BANCO AGRÍCOLA NÚMERO 003550327499, A NOMBRE DE ASOCIACION SVNet
Para resolver dudas o solicitar información adicional, por favor diríjase a SVNet
Vía correo electrónico: info@svnet.org.sv Vía telefónica: 2298-5421 Vía fax: 2298-5421 Dirección: Calle La Reforma No 249, Col. San Benito, San Salvador
Universidad Salvadoreña Alberto Masferrer
Página 129
Procedimiento
PARTE I. CONFIGURACIÓN DEL SERVIDOR DNS. 1) Ejecute el equipo “Servidor” en una PC o máquina virtual (con el uso del programa Oracle Virtual Box, ubicado dentro de la carpeta de programas). 2) Ejecute inicialmente el sistema operativo de red en la máquina virtual servidor. Cuando haya cargado y muestre la pantalla de acceso, haga clic en la opción máquina (ubicada en la esquina superior izquierda), y luego en la opción “Insertar Ctrl-Alt-Supr”. 3) Digite la contraseña del usuario Administrador de Dominio. i. Nombre de usuario:
administrador
ii. Contraseña:
$emperfide!5
4) Permita que cargue el sistema operativo de red y que muestre el escritorio del Servidor. 5) Cuando un servidor de controlador de Dominio, por defecto, se activa el servicio DNS. Si ya aparece el servicio DNS dentro de las herramientas administrativas o en la consola creada, expandamos el signo (+) del complemento “DNS”. Si no, seleccionamos la Opción “Administrar este Servidor DNS”.
FIGURA 145. Ejecución de la consola DNS en el Directorio Activo. Universidad Salvadoreña Alberto Masferrer
Página 130
6) La interfaz del DNS tiene un visor de sucesos. Nos dice que es lo que ha pasado. Lo más importante son los dos tipos de Zonas que podemos tener en el servidor: Zonas de búsqueda directa e inversa. 7) Lo primero que tenemos que hacer es configurar
las
zonas
de
búsqueda
inversa. Por lo tanto, hacemos clic derecho
sobre
zona
inversa…
y
Seleccionamos Zona nueva en inversa… FIGURA 146 . Creando una nueva zona de búsqueda inversa.
8) Aparece un asistente diferente al anterior para crear una zona nueva inversa. Los 3 tipos de zona se definen acá. Como es un primer servidor, es Zona Principal (Una Zona Principal es una copia de lectura y escritura en una Base de Datos de DNS). Hacer clic en el botón “Siguiente”.
FIGURA 147. Creación de Zona de búsqueda Principal Inversa en un DNS.
Universidad Salvadoreña Alberto Masferrer
Página 131
9) Se tiene que definir el ámbito del DNS. Se debe seleccionar la segunda opción “para todos los servidores DNS en el dominio….”, ya que de modo nativo, está configurado el controlador principal de dominio. La primera opción, se por si se cuenta con servidores adicionales dentro del dominio. La tercera opción, es para dominios con servidores inferiores a 2003 Server. FIGURA 148. Configuración del ámbito de un Servidor DNS. 10) El ID de red, se define la dirección IP que corresponde a la IP de la tarjeta, pero sin el último octeto. Se digita en orden de escritura. “192.168.1”. Hacemos clic izquierdo en botón “siguiente” (habilitado después de digitar el rango IP).
FIGURA 149. Configurando el ID de red de la Zona de búsqueda Inversa. Universidad Salvadoreña Alberto Masferrer
Página 132
11) Como es una zona inversa, se guardará la configuración del archivo DNS de la Zona. Hacemos clic en siguiente. (La dirección IP está invertida, porque realizará la tarea de conversión IP a nombres, dejamos el mismo nombre que aparece). 12) Las actualizaciones dinámicas permiten que los equipos clientes se registren y actualicen dinámicamente sus registros de recursos cuando con un servidor DNS cuando se produzcan cambios (el servidor está actualizado).
Es importante notar que
hay algunos riesgos referentes a la seguridad (de que origen son las actualizaciones). Seleccionaremos la opción “Permitir todas las actualizaciones dinámicas seguras)”. Y aparece un resumen final del Asistente. Hacer clic izquierdo en botón finalizar. FIGURA 150. Seleccionar el tipo de actualización del servidor DNS en base a su rol. 13) En la zona de búsqueda inversa, ya tenemos la primera Zona Principal Inversa. Esta nueva zona posee los registros SOA (Primer registro en cualquier archivo de Zona. Es la raíz o el primer registro de Zona. Tiene parámetros como tiempo o la frecuencia de uso de la zona…) y el registro NS (Identifica el Servidor DNS para cada Zona). Para visualizar… Hacemos doble clic izquierdo sobre el Registro de “Inicio de autoridad (SOA)”. Aparecen algunas propiedades … Número de Serie, Servidor Primario, persona Responsable… Podemos disminuir 1 Hora en el “TTL para este registro”, pero el servidor trabajaría más…
Hacemos Clic izquierdo en Botón
“Aceptar”. FIGURA 151 . Definiendo propiedades de Zona Inversa. Universidad Salvadoreña Alberto Masferrer
Página 133
14) Regresamos a la pantalla anterior… Y hacemos doble clic izquierdo sobre “Servidor de nombres (NS)”. En la pestaña “Servidores de nombres” define el nombre del servidor, pero si no se tiene dirección IP, porque no tenemos definido el Servidor de Zona directa. Si la dirección IP aparece, es porque ya está configurado nuestro servidor como controlador principal de dominio, o por la instalación del servidor de actualizaciones.
FIGURAS 152 Y 153 . El servidor DNS está agregado en las propiedades de DNS. 15) SOLO
SI
NO
HAY
ZONA
DIRECTA: Hacer clic derecho sobre
Zona
directa...
de
Siempre
búsqueda con
el
asistente. Seleccionamos Zona Principal (Copia de lectura y escritura de la Base de Datos del DNS), haciendo clic en botón siguiente. FIGURA
154. Configurando
Zona de búsqueda directa.
Universidad Salvadoreña Alberto Masferrer
Página 134
16) Tenemos que definir el nombre del dominio que queremos realizar. (redes.edu.sv). De requerirse (solo si no aparece en la Zona de búsqueda directa). Hacer clic izquierdo en botón “siguiente” del asistente... Si aparece el nombre del dominio en la Zona de búsqueda directa, ¡¡¡diríjase al paso 25!!!….. 17) De nuevo se tiene que definir una Zona Principal. Haga clic en el botón “siguiente”.
FIGURA 155. Creación de la Zona directa para el controlador Principal de Dominio.
18) Seleccionar la opción adecuada para la nueva Zona Directa.
FIGURA 156. Segundo asistente para crear la nueva zona directa. Por defecto, el controlador de dominio la crea…
FIGURA 157. El Nombre de la zona nueva puede ser el nombre FQDN del dominio.
Universidad Salvadoreña Alberto Masferrer
Página 135
19) Se creará el archivo para DNS de zona directa. Se guardará en la carpeta Windows\System32. Dejamos el mismo nombre. redes.edu.sv.dns (Nombre del archivo). Hacemos clic izquierdo en botón “siguiente”. FIGURA 158. Creando el archivo de zona para la Zona Directa.
20) De la misma forma, dinámicas…
En
la
aparecen las actualizaciones cual
le
permitiremos
las
actualizaciones dinámicas. Hacer clic izquierdo sobre
Actualizaciones
Dinámicas,
hacer
clic
izquierdo en botón “siguiente”. FIGURA 159 . Tipo de actualizaciones para la Zona Directa.
21) Con eso, hemos creado la zona de búsqueda principal o directa. Tenemos los registros SOA y NS también en la Zona Directa. 22) Para que haya una correcta resolución de nombres, tenemos que crear un registro (A) o registro del tipo hosts. Que define la forma en que se va a trabajar o el nombre que va a resolver nuestro servidor. Expandir la zona directa, haciendo clic izquierdo sobre signo (+) de la Zona de búsqueda directa. 23) Permaneciendo en la zona directa agregamos la opción que dice Host nuevo(A), definimos el nombre de dominio completo….
(Dejar en Blanco). 192.168.1.10 IP
DEL SERVIDOR. La dirección IP de nuestro servidor, debe digitarse en el text box de dirección IP.
Universidad Salvadoreña Alberto Masferrer
Página 136
24) Dejar marcado crear el registro de puntero (PTR) asociado…
Hacer
clic
izquierdo
en
botón
“Agregar Host”, y hacer clic izquierdo en botón “Realizado”. Hacer clic en botón Agregar host. Aparece una ventana DNS, mencionando que el Registro host ……. fue creado con éxito. Hacer clic izquierdo en botón aceptar, y luego en botón realizado. FIGURA
160. Finalización de creación de
registro Host para el Servidor DNS. 25) Nos falta el nombre canónico para definir la dirección www.redes.edu.sv. Seleccionado el nombre del dominio dentro de la Zona de búsqueda directa, en la ventana de la derecha , donde aparecen los registros de “Inicio de autoridad (SOA)”, “Servidor de nombres (NS), y, “Host (A)” (recién creado), hacemos clic derecho y seleccionamos la opción “Alias nuevo (CNAME)“ (Canonic Name) del menú emergente…
FIGURA 161. Creación del registro CNAME para el domino redes.edu.sv.
Universidad Salvadoreña Alberto Masferrer
Página 137
26) Aparece una ventanaw con el Nuevo registro de recursos… Y se digita “www” en el textbox nombre del alias… 27) Y en el textbox de abajo, el Nombre de dominio completo (FQDN) se busca el nombre del servidor destino (haciendo clic sobre el botón “Examinar“), y se busca el registro del nombre del servidor (haciendo doble clic izquierdo sobre el nombre del servidor DNS), y se buscará en la zona de búsqueda directa, (hacer doble clic izquierdo en Zona de búsqueda directa, doble clic sobre dominio) desplácese hacia abajo hasta encontrar el archivo Host (A) que es el archivo Host de nuestro servidor. Seleccionar el archivo y hacer clic izquierdo en botón aceptar.
FIGURA 162. Creando el registro CNAME para el dominio redes.edu.sv
28) Y se cuenta con los registros necesarios para que sea reconocido el DNS. Se configurará el equipo para que sea reconocido el DNS. Se cierra la consola. Realizaremos la configuración DNS del equipo en la tarjeta de red del Servidor.
FIGURA 163. Servicio DNS completamente configurado en Controlador de dominio. Universidad Salvadoreña Alberto Masferrer
Página 138
29) Nos vamos a la configuración de la red, nos vamos a propiedades y propiedades de red local. Propiedades de TCPIP, y definimos la dirección de nuestro servidor DNS. Y ponemos en la dirección DNS PREFERIDO, “la dirección IP de Nuestro Servidor DNS”. En DNS Alternativo, se puede poner la dirección del proveedor de Servicios de Internet. Dirección IP:
192.168.1.10
Máscara:
255.255.255.0
Puerta de Enlace: 192.168.1.1 (o la que sea necesaria). DNS PREFERIDO: 192.168.1.10 (ó 127.0.0.1, si está configurado como DNS localmente). DNS ALTERNATIVO:172.19.0.30 (Ejemplo de un Servidor DNS externo, de una red diferente a la del servidor).
FIGURA 164. Configuración de red en tarjeta de red.
PARTE II. VERIFICACIÓN EN EQUIPO CLIENTE. 30) Ahora comprobamos a nivel local… Cerramos la ventana de las propiedades de la red…Abrimos el símbolo de sistema para hacer algunas pruebas…. 31) Ejecutamos
el
símbolo
de
sistema….
Hacemos Ping srvredes01 (Y resuelve el nombre). Podemos
hacer
ping
al
alias…
ping
www.redes.edu.sv FIGURA 165. Prueba de resolución de nombre.
Universidad Salvadoreña Alberto Masferrer
Página 139
PARTE III. VERIFICACIÓN DE SITIOS DNS (UTILIZADOS O BLOQUEADOS EN LISTA NEGRA). 32) En el equipo real, (no virtual), ejecute el explorador de internet preferido. 33) Digite la dirección URL www.mxtoolbox.com
FIGURA 166. Sitio MXTOOLBOX para comprobar existencia o alerta de seguridad de un dominio. 34) Digite el nombre de los dominios siguientes y verifique si se encuentran activos.
www.usam.edu.sv www.mh.gob.sv www.lawebdelprogramador.com www.medicamentos.gob.sv www.915.gob.sv www.torrentz.eu
35) Seleccione la pestaña “Blacklist” para determinar si los sitios anteriores son confiables.
FIGURA 167. Opción para verificar si un sitio DNS está en una categoría de “lista negra”.
Universidad Salvadoreña Alberto Masferrer
Página 140
Conclusiones
PC No._____
Fecha: _____________
Nombre: _______________________________________
Carnet: _____________
Asignatura:
GUÍA # 8
ADMINISTRACIÓN DE REDES II.
NOTA:_____
Explique las etapas más importantes para configurar un servidor DNS. _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ Evaluación Previa
¿Cuál es la diferencia de una Zona Principal y una Zona Inversa>? ¿Porqué el servicio de resolución de nombres se categoriza como jerárquico y distribuido? ¿Cuales son los registros utilizados en el Servicio DNS? ¿Cómo puede hacerse que un sitio DNS sea publicado en Internet?
Bibliografía www.opendns.org www.svnet.org.sv
Universidad Salvadoreña Alberto Masferrer
Página 141
Universidad SalvadoreĂąa Alberto Masferrer
PĂĄgina 142
UNIVERSIDAD SALVADOREÑA ALBERTO MASFERRER FACULTAD DE CIENCIAS EMPRESARIALES LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN
GUÍA # 9 Asignatura: Docente:
ADMINISTRACIÓN DE REDES II. Ing. Téc. Mario Enrique Salguero Juárez
Ciclo: I-2014
Tiempo: 4 Horas
Fecha: _________________
Tema: SERVIDOR DHCP
Contenido
Definición y obtención de valores de red del equipo cliente. Implementación de un ámbito dentro del rol funcional DCHP en el Servidor. Verificación de valores IP de red en equipo cliente. Implementación de un super-ámbito. Verificación de valores IP de red en equipo cliente.
Objetivo General
A través de la configuración del rol funcional DHCP en un servidor, el alumno pueda administrar de forma efectiva, la configuración de direcciones IPv4 en una red de datos.
Material y Equipo
2 o más computadoras (para implementación real) con Procesador P4 3.4GHz (min), Core 2 Duo 2.6GHz (std), I5 2.8 GHz (best). RAM 1GB RAM (min), 2GB (std), 4GB (best). Disco duro 80GB (min), 160GB (std), 300GB (best). Sistema Operativo Anfitrión: Windows 2003 Server, Windows xp (min), Windows 7 32 bits (std), Windows 7 64 bits (best). No se sugiere Windows 8 en entorno virtual, debido a rendimiento. Programas VirtualBox, como gestor de máquinas virtuales. Carpeta con 3 archivos VDI de máquinas virtuales: 1 para cliente XP, 2 para Servidor. Dominio con Unidades Organizativas, grupos y usuarios creados. Disco 1 de instalación de Windows 2003 Server R2 (o carpeta I386 copiada en disco duro). Guía de laboratorio 9. Lapicero.
Universidad Salvadoreña Alberto Masferrer
Página 143
Introducción Teórica
CONCEPTO DE DHCP. (Dynamic Host Configuration Protocol). Cuando se habla de diseñar, implementar, o simplemente conectarse de una forma inalámbrica hacia una red Ethernet, intrínsecamente se tiene el concepto del Protocolo TCP/IP como variable vital (dentro del Modelo OSI Capa 3 de Red) para poder establecer una conexión o enlace apropiado. El concepto DHCP se puede valorar en 3 aspectos:
Como un Protocolo de Comunicación.
Como un Servicio de equipos de comunicación: Access Point y Routers alámbricos e inalámbricos.
Como un Rol Funcional de Sistemas Operativos de Red. Un
equipo
Servidor
(Servidor,
DCHP Access
es
un
Point
inalámbrico, Router) que asigna los valores IP (utilizando un protocolo de comunicación) en un rango o “pool” de direcciones de red, a clientes que poseen configuración automática en sus adaptadores de red. FIGURA 168 . SERVIDOR DCHP ASIGNANDO DIRECCIONES IP DE RED. DHCP hace posible el acceso a Internet utilizando zonas activas inalámbricas en aeropuertos o cafés. Una vez que ingresa al área, el cliente de DHCP de la computadora portátil contacta al servidor de DHCP mediante una conexión inalámbrica. El servidor de DHCP asigna una dirección IP a la computadora portátil. Con las redes domésticas, el servidor de DHCP se ubica en el router AP del ISP (Internet Services Provider) y un host de la red doméstica recibe la configuración IP directamente desde el dicho equipo. DHCP puede representar un riesgo a la seguridad porque cualquier dispositivo conectado a la red puede recibir una dirección. Este riesgo hace de la seguridad física un factor importante a la hora de determinar si se utiliza direccionamiento manual o dinámico.
Universidad Salvadoreña Alberto Masferrer
Página 144
DIRECCIONES DE RED IPv4 La dirección IPv4 es una agrupación de 4 octetos binarios para Identificar host en una red. La dirección IPv4 es para los host de una red similar a la dirección de una persona. Se conoce como dirección lógica porque está asignada lógicamente en función de la ubicación del host. La dirección IP o dirección de red es asignada a cada host por un administrador de la red en función de la red local. Las direcciones IP contienen dos partes. Una parte identifica la red local. La porción de red de la dirección IP será la misma para todos los hosts conectados a la misma red local. La segunda parte de la dirección IP identifica el host individual. En la misma red local, la porción de host de la dirección IP es única para cada host. Para que una computadora pueda comunicarse en una red jerárquica, se necesitan tanto la dirección MAC física como la dirección IP lógica, de la misma manera en la que se necesitan el nombre y la dirección de una persona para poder enviarle una carta. En la gestión de administración de red, el diseño o administración de las direcciones IP, es vital para el buen funcionamiento de la red de datos. El nombre de una persona generalmente no cambia. Por otro lado, la dirección de una persona indica dónde vive esa persona y puede cambiar. En un host, la dirección MAC no cambia; está físicamente asignada a la NIC del host y se conoce como dirección física. La dirección física es siempre la misma, independientemente del lugar de la red en donde se encuentre el host. Los tipos de direcciones IP, por su forma de configuración, pueden ser definidas en Estáticas y Dinámicas.
FIGURA
169.
FORMA
DE
ASIGNACIÓN DE LAS DIRECCIONES IP EN LOS HOSTS DE UNA RED.
Universidad Salvadoreña Alberto Masferrer
Página 145
Entonces, si consideramos que en un Servidor DHCP la asignación de los valores IP son de tipo dinámicas, entonces las opciones DHCP son esos valores asignados por el servidor, y que configuran de forma apropiada a los adaptadores de los equipos en una misma red. FIGURA
170.
OPCIONES
DHCP
ASIGNADAS POR EL SERVIDOR.
PROTOCOLO DHCP. El servicio Protocolo de configuración dinámica de host (DHCP) permite a los dispositivos de una red obtener direcciones IP y demás información de un servidor DHCP. Este servicio automatiza la asignación de direcciones IP, máscaras de subred, gateways y otros parámetros de redes IP. DHCP permite a un host obtener una dirección IP en forma dinámica cuando se conecta a la red. Se realiza el contacto con el servidor de DHCP y se solicita una dirección. El servidor DHCP elije una dirección de un rango configurado de direcciones denominado "pool" y se la asigna ("alquila") al host por un período establecido.
FIGURA 171. FUNCIONAMIENTO DEL PROTOCOLO DHCP.
Universidad Salvadoreña Alberto Masferrer
Página 146
En redes locales más grandes o donde cambia frecuentemente la población usuaria, es preferible el DHCP. Los nuevos usuarios llegan con computadoras portátiles y necesitan una conexión. Otros tienen nuevas estaciones de trabajo que necesitan conexión. En lugar de tener direcciones IP asignadas por el administrador de red en cada estación de trabajo, resulta más eficiente tener direcciones IP asignadas en forma automática utilizando un DHCP. Las direcciones de DHCP distribuidas no se asignan a los hosts en forma permanente, sólo se alquilan durante un período de tiempo. Si el host se apaga o se desconecta de la red, la dirección regresa al pool para volver a utilizarse. Esto es muy útil para los usuarios móviles que entran y salen de la red. Los usuarios pueden moverse libremente desde una ubicación a otra y volver a establecer las conexiones de red. El host puede obtener una dirección IP una vez que se realice la conexión del hardware, ya sea mediante una LAN inalámbrica o conectada por cable. Los direccionamientos dinámico y estático tienen su lugar en los diseños de red. Muchas redes utilizan tanto el direccionamiento estático como el DHCP. DHCP se utiliza para hosts de propósitos generales, como los dispositivos de usuario final, y las direcciones fijas se utilizan para dispositivos de red como gateways, switches, servidores e impresoras.
FIGURA 172. RAZONES POR LAS QUE SE UTILIZA EL DHCP.
Universidad Salvadoreña Alberto Masferrer
Página 147
CONCEPTOS VARIOS.
FIGURAS 173 y 174. CONCEPTOS UTILIZADOS EN LA GESTIÓN DEL SERVIDOR DHCP.
Universidad Salvadoreña Alberto Masferrer
Página 148
Procedimiento
PARTE I. CONFIGURACIÓN Y AMBIENTACIÓN INICIAL DE CLIENTES DHCP. 1) Implementar con el switch y los cables UTP la red del esquema de interconexión mostrado en la figura. F I G U R A
1 7 5 . ESQUEMA DE INTERCONEXIÓN DE LA PRÁCTICA.
2) Se utilizará un servidor y 2 o más clientes por cada red. Cada servidor DHCP realizará la configuración IP (en el rango mostrado) por columna de computadoras. 3) Encienda los equipos interconectados, tanto clientes como servidores. 4) Inicie sesión de usuario con perfil de administrador local en todos los equipos clientes interconectados; e inicie sesión con administrador de dominio en los servidores. 5) Configure los equipos clientes XP en las tarjetas de red: clic en “botón inicio”, clic en “panel de control”, clic en opción “Cambiar a vista clásica”), clic sobre ícono “Conexiones de red”, doble clic en el ícono de “Conexión de Área Local”, clic en botón “Propiedades”, doble clic sobre “Protocolo TCP/IP”, hacer clic en el combo box “Obtener una dirección IP automáticamente”, hacer clic “Obtener la dirección IP del Servidor DNS automáticamente”, hacer clic en botón “Aceptar”, hacer clic en botón “Aceptar” (de nuevo), y por último, hacer clic en botón “Cerrar”. 6) Determine el valor IP y la máscara de cada equipo cliente. Ejecute una sesión de comandos. Haga clic en el botón inicio, ejecutar, digite “cmd” y presione ENTER. Universidad Salvadoreña Alberto Masferrer
Página 149
7) En la ventana de comandos, ejecute el comando IPCONFIG /ALL para determinar los valores de direcciones IP y MAC ADDRESS de cada uno de los equipos cliente. _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ _________________________________________________________________
8) ¿Por qué los clientes no poseen valor IP y sí poseen MAC ADDRESS? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ _________________________________________________________________
PARTE II. CONFIGURACIÓN DEL ROL DHCP AUTOMÁTICO EN SERVIDOR. 9) Permita que cargue el sistema operativo de red y que muestre el escritorio del Servidor, con inicio del usuario administrador de dominio. 10) Se adicionará el rol funcional DHCP. Haga clic en el botón de Inicio, Todos los programas (1), Herramientas Administrativas (2), Administre su Servidor (3).
FIGURA 176. INICIANDO CONFIGURACIÓN SERVICIO
DHCP
DEL EN
SERVIDOR.
11) En la pantalla de “Administre su Servidor”, haga clic en la opción “Agregar o quitar función”.
Universidad Salvadoreña Alberto Masferrer
Página 150
12) Aparecerá la ventana inicial del asistente. Haga clic en el botón “siguiente”.
FIGURAS 177 Y 178. INICIO DEL ASISTENTE PARA CONFIGURAR DHCP. 13) Se debe seleccionar el rol o
función
del
servidor
“Servidor de DHCP”. Haga clic sobre dicha función para marcarla (1), y luego haga
clic
en
el
botón
“Siguiente” (2). FIGURA 179. SELECCIONANDO FUNCIÓN DHCP. 14) En el asistente hacer clic en el botón “Siguiente” para
iniciar
la
configuración del Servidor DHCP. FIGURA 180. Iniciando Asistente para configurar DHCP.
Universidad Salvadoreña Alberto Masferrer
Página 151
15) Inicia el Asistente para Ámbito nuevo. Hacer clic en botón “Siguiente”. Aparecerá una nueva ventana, para que digitemos el nombre con el que describiremos la red IP. Hacemos clic en el botón “Siguiente”.
FIGURAS 181 Y 182. INICIADO EL ASISTENTE Y NOMBRE DE LA NUEVA ZONA O RED. 16) Se
debe
direcciones DHCP
digitar IP
que
asignará
el
rango
de
el
Servidor
de
forma
automática. Debe estar seguro de qué red es la que tiene que configurar.
Rango
Red
1:
192.168.1.11-192.168.1.254; Rango de
Red
2:
192.168.2.1-
192.168.2.254. Las máscaras se mantienen. 17) Digite el rango de exclusiones. Digite los valores indicados en (1) y (2). Luego hacer clic en botón “Agregar”, y en botón “Siguiente”. FIGURAS
183
Y
184.
CONFIGURACIÓN DE VALORES IP DEL ÁMBITO EN EL SERVIDOR DHCP.
Universidad Salvadoreña Alberto Masferrer
Página 152
18) Duración de Concesión. Determine el tiempo que el cliente puede mantener el valor asignado de Dirección IP. Seleccione 1 día, luego clic en botón “Siguiente. Digite el valor de la puerta de enlace y agregue la dirección IP del Servidor.
FIGURAS 185-188. CONFIGURACIÓN DE TIEMPO DE CONCESIÓN, VALORES IP DE PUERTA DE ENLACE Y SERVIDOR. 19) No se cuenta con servidor WINS. Y se debe activar el ámbito creado.
FIGURAS 189 Y 190. PASOS FINALES EN LA CONFIGURACIÓN DEL DHCP. Universidad Salvadoreña Alberto Masferrer
Página 153
20) Finalizado el asistente, el servidor ya tiene configurado la función de “Servidor DHCP”.
FIGURA 191 Y 192. FINALIZANDO EL ASISTENTE. 21) Se cierra la ventana “Administrar el Servidor”. 22) Ejecute la administración del Servidor DHCP. Haga clic en inicio, Todos los Programas, Herramientas Administrativas, DHCP. (Si lo prefiere, agregue el complemento “DHCP” en la consola “Administrar Servidor”). 23) Expanda el nombre del servidor haciendo clic sobre el símbolo (+). Expanda además, el Ámbito creado para poder observar las opciones de DHCP. Observe que el ícono del impresor, tiene un círculo de color verde, que indica que el servidor está activo. Pueda ser que el servidor no esté inicializado y muestre un círculo rojo con una X. Debe inicializarse, haciendo clic derecho sobre él, tareas, iniciar. El servidor debe quedar en condición “Activado”, para poder realizar la práctica.
.
Universidad Salvadoreña Alberto Masferrer
Página 154
PARTE III. VERIFICACIÓN DEL SERVIDOR DHCP EN EQUIPOS CLIENTES. 24) Reinicie todos los equipos clientes de la red implementada. 25) Digite nombre de usuario y contraseña. Preferiblemente, inicie con una sesión del dominio. Si hubiesen equipos que no están pegados al dominio, realice procedimiento de relación de confianza entre el equipo cliente y el dominio. 26) Ejecute la consola de comandos en los equipos clientes. 27) En la ventana de comandos, ejecute el comando IPCONFIG /ALL para determinar los valores de direcciones IP y MAC ADDRESS de cada uno de los equipos cliente. _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ _________________________________________________________________
28) Compare los valores con los obtenidos en la PARTE I. Explique. _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ _________________________________________________________________
FIGURA 195. COMPROBACIÓN DE OBTENCIÓN DE DIRECCIÓN IP EN EQUIPO CLEINTE. Universidad Salvadoreña Alberto Masferrer
Página 155
Conclusiones
PC No._____
Fecha: _____________
Nombre: _______________________________________
Carnet: _____________
Asignatura:
GUÍA # 9
ADMINISTRACIÓN DE REDES II.
NOTA:_____
Escriba sus conclusiones personales de cada una de las partes del procedimiento. _______________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________
Evaluación Previa Conteste al reverso de la hoja las siguientes preguntas, de forma personal.
¿Cuál será la diferencia entre un “Ámbito” y un “Super-Ámbito”. ¿Cuál es la diferencia de una Concesión y una Reserva”. ¿Puede tener un Servidor DHCP varios ámbitos? ¿Cómo se lograría con una tan sola tarjeta de red en el Servidor? ¿Cuál es la diferencia entre una Asignación IP Estática, IP Automática y una IP Dinámica entre un Cliente y un Servidor DHCP? ¿Cómo se configura un superámbito en DHCP? Describa los pasos.
Bibliografía
http://support.microsoft.com/kb/323416/es http://es.wikipedia.org/wiki/Dhcp
Universidad Salvadoreña Alberto Masferrer
Página 156
UNIVERSIDAD SALVADOREÑA ALBERTO MASFERRER FACULTAD DE CIENCIAS EMPRESARIALES LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN
GUÍA # 10 Asignatura: Docente:
ADMINISTRACIÓN DE REDES II. Ing. Téc. Mario Enrique Salguero Juárez
Ciclo: I-2014
Tiempo: 4 Horas
Fecha: _________________
Tema: SERVIDOR WEB Contenido
Configuración del Servicio IIS en el Servidor. Verificación de los registros DNS en el Servidor DNS. Verificación de navegación del Sitio en el Cliente. Objetivo General
Que el alumno:
Implemente un servidor de INTERNET o INTRANET en una red corporativa, a través de la configuración del rol funcional del Sistema Operativo Comercial Windows 2003 Server, como plataforma para publicar Sistemas o web Informativa de una empresa.
Objetivos Específicos
Adquirir conocimientos sobre el servicio IIs.
Mostrar como integrar el servicio de IIs en Windows 2003 Server.
Pueda configurar y publicar una página WEB.
Material y Equipo
2 o más computadoras (para implementación real) con Procesador P4 3.4GHz (min), Core 2 Duo 2.6GHz (std), I5 2.8 GHz (best). RAM 1GB RAM (min), 2GB (std), 4GB (best). Disco duro 80GB (min), 160GB (std), 300GB (best). Sistema Operativo Anfitrión: Windows 2003 Server, Windows xp (min), Windows 7 32 bits (std), Windows 7 64 bits (best). No se sugiere Windows 8 en entorno virtual, debido a rendimiento. Programas VirtualBox, como gestor de máquinas virtuales. Carpeta con 3 archivos VDI de máquinas virtuales: 1 para cliente XP, 2 para Servidor. Dominio con Unidades Organizativas, grupos y usuarios creados. Disco 1 de instalación de Windows 2003 Server R2 (o carpeta I386 copiada en disco duro). Carpeta, sitio o páginas WEB como contenido de INTERNET o INTRANET Guía de laboratorio 10. Lapicero.
Universidad Salvadoreña Alberto Masferrer
Página 157
Introducción Teórica SERVIDOR WEB. Un servidor WEB en Windows 2003 Server es un rol funcional activado con el servicio IIs, para poder publicar en un dominio, un sitio, una página o una intranet. Este rol funcional es, después del servidor de archivos, el rol más fácil de configurar. Sin embargo, se requiere una robusta infraestructura de seguridad perimetral, procedimientos de respaldo, servidores DNS, direcciones IP Públicas y enlaces dedicados de alta velocidad para poder promover el sitio en la World Wide Web.
INTERNET INFORMATION SERVICES. Internet Information Services IIS, es una serie de servicios para los equipos de cómputo que trabajan con el Sistema Operativo Windows. Los servicios que ofrece son: FTP (File Transfer Protocol), SMTP, NNTP y HTTP/HTTPS. Existen otros servidores WEB que pueden usarse como alternativa en distribuciones de Software libre, como Apache WEB Server de LINUX, entre otros.
FIGURA 196. IMAGEN DE UN DATACENTER CON SERVIDORES WEB.
Universidad Salvadoreña Alberto Masferrer
Página 158
Procedimiento
PARTE I. CONFIGURACIÓN DEL SERVICIO IIS EN SERVIDOR. 1) Permita que cargue el sistema operativo de red y que muestre el escritorio del Servidor, con inicio del usuario administrador de dominio. 2) Se adicionará el rol funcional WEB. Haga clic en el botón de Inicio, Todos los programas (1), Herramientas Administrativas (2), Administre su Servidor (3). FIGURA 197. INICIANDO CONFIGURACIÓN
DEL
SERVICIO IIS WEB EN SERVIDOR.
3) En la pantalla de “Administre su Servidor”, haga clic en la opción “Agregar o quitar función”. 4) Aparecerá la ventana inicial del asistente. Haga clic en el botón “siguiente”.
FIGURAS 198 Y 199. INICIO DE ASISTENTE PARA CONFIGURAR IIS.
Universidad Salvadoreña Alberto Masferrer
Página 159
5) Se debe seleccionar el rol o función del servidor “Servidor de Aplicaciones IIS ASP.NET”. Haga clic sobre dicha función para marcarla (1), y luego haga clic en el botón “Siguiente” (2).
FIGURA 200. SELECCIONANDO FUNCIÓN IIS.
6) Ahora hacemos clic en botón siguiente en las imágenes siguientes.
7) Luego se ejecuta el asistente para componentes… y pedirá el disco 1 de instalación de Windows 2003 Server. Haga clic en el botón aceptar luego de haber insertado el disco o conocer la ruta en disco duro donde se encuentra la carpeta I386. FIGURAS 201 – 203. PROCESO DE ASISTENTE EN CONFIGURACIÓN IIS. Universidad Salvadoreña Alberto Masferrer
Página 160
8) Se debe insertar el CD 1 de Windows 2003 Server; instalar un software para virtualizar el CD y utilizar el archivo ISO del disco de instalación, o copiar la carpeta i386 en el disco duro C del servidor, según se muestra.
FIGURA 204. COPIANDO O CREANDO RECURSO VIRTUAL DE CD PARA DISCO DE INSTALACIÓN.
9) Se debe reiniciar el servidor para ejecutar
el
servicio del IIS.
10) Cuando carga el servidor, ejecute el complemento “Administrar.
FIGURA 205. EJECUTANDO EL COMPLEMENTO IIS PARA ADMINISTRAR EL SERVIDOR WEB. Universidad Salvadoreña Alberto Masferrer
Página 161
11) Para administrar el sitio o añadir uno nuevo, se debe expanderse el servidor WEB haciendo clic en el signo (+); expandir el Sitio Web haciendo clic en el signo (+), y se hace clic en la opción “Sitio Web predeterminado”. 12) Se visualiza en el contenido del sitio web predeterminado en la ventana de la derecha. Se observan dos archivos. La página web por defecto está con extensión htm. Se puede verificar con el explorador de internet,
al
colocar
en
la
dirección, “localhost”.
FIGURA 206. EXPLORANDO EL SITIO WEB PREDETERMINADO POR EL IIS.
13) Ahora, adicionaremos un sitio WEB ya construido. Generalmente un diseñador WEB da soporte al sitio desde su equipo local, con alguna herramienta de diseño gráfico para sitios WEB como Dreamweaver, subline text, Jumla, entre otros. Una vez concluido el diseño, se sube la carpeta del sitio al servidor WEB, via LAN (INTRANET) o via FTP hacia un servidor en la WEB (INTERNET). Pregunta a tu instructor donde está ubicada la carpeta del sitio de ejemplo, para copiarla a la carpeta c:\inetpub\wwwroot.
14) Una vez copiada la carpeta, en
el
servidor,
hacer
clic
derecho sobre “Sitios Web” (1), luego en “Nuevo” (2), y “Sitio Web” (3). FIGURA 207. AGREGANDO UN SITIO WEB NUEVO. Universidad Salvadoreña Alberto Masferrer
Página 162
15) Inicia un asistente para crear un sitio Web. Hacer clic en el botón “Siguiente”. Luego en la siguiente ventana, se debe agregar una descripción o detalle del nuevo Sitio. Puede escribir “Sitio del Dominio REDES” u otra descripción que le ayude a identificarlo.
FIGURAS 208 Y 209. PROCESO INICIAL DE ADICION DEL SITIO WEB A TRAVÉS DEL ASISTENTE. 16) Se digita la dirección IP donde se alojará el sitio WEB. También, se determina el puerto TCP/IP que se utilizará para visualizar el sitio. (En algunas ocasiones, se usa el puerto 8080 de manera local, y se configuran las propiedades de los navegadores con este puerto por razones de seguridad). Se hace clic en el botón “Siguiente”. En la ventana posterior, se hace clic en el botón “Examinar” para ubicar la ruta de la carpeta donde se localiza el sitio. También, se sugiere almacenar en un disco o partición distinto al del sistema operativo, para poder ser contemplado en procedimientos de respaldo.
FIGURAS 210 Y 211. CONFIGURACIÓN Y DETERMINACIÓN DE RUTA PARA NUEVO SITIO WEB. Universidad Salvadoreña Alberto Masferrer
Página 163
17) Se ubica la ruta de la carpeta copiada del sitio. Hacer clic en botón “Aceptar” (1). Luego, un aspecto de seguridad importante es “Permitir accesos anónimos a este sitio Web”. Si el sitio es una INTRANET, esta opción debe estar desmarcada, para que solo usuarios autenticados puedan tener acceso al recurso. Si el sitio WEB está promovido a INTERNET, esta opción debe estar activada (2). Hacer clic en botón siguiente (3).
FIGURAS 212 Y 213. UBICACIÓN CARPETA DE SITIO.
18) Luego se asignan los permisos para acceso a sitio. Si el sitio solo es para visualizar, seleccione únicamente la opción “leer”. Si el sitio tiene formularios o algunas opciones en las que requiera ingresar información, debe seleccionar alguna o todas las demás opciones según se requiera. Hacer clic sobre botón “Siguiente” y en la siguiente pantalla, en el botón “Finalizar”.
FIGURAS 214 Y 215. FINALIZANDO EL ASISTENTE PARA CONFIGURACIÓN DEL WEB. Universidad Salvadoreña Alberto Masferrer
Página 164
19) De regreso en el “Administrador de IIS”, hacer clic derecho sobre “Sitio Web Predeterminado” (1), y luego hacer clic izquierdo sobre la opción del menú emergente “Detener” (2). Esto se hace para deshabilitar el sitio por defecto. Cuando se realiza este paso, el ícono del sitio web predeterminado cambia. ¿qué forma tiene? ____________________________________ _________________________________
FIGURA 216. DESHABILITANDO EL SITIO WEB PREDETERMINADO. 20) Ahora debemos definir la página inicial del sitio WEB. Hacemos clic derecho sobre el nombre del sitio “REDES” (1), luego seleccionamos la opción “Propiedades” (2) del menú emergente. En la siguiente pantalla, seleccionamos la pestaña “Documentos” (3), marcamos cada una de las páginas que no sean la página inicio del sitio (4) y las quitamos con el botón “Quitar” (5). Y por último, el botón “Aceptar” (6).
FIGURAS 217 Y 218. DEFINIENDO PÁGINA DE INICIO DE SITIO WEB. Universidad Salvadoreña Alberto Masferrer
Página 165
PARTE II. VERIFICACIÓN DE LOS REGISTROS DNS EN EL SERVIDOR. 21) El funcionamiento de todo sitio WEB, se debe en gran parte al servidor DNS que lo resuelve. Para realizar una configuración apropiada del sitio WEB, debemos verificar en el servidor 2 cosas: a) Que la IP del DNS esté correctamente digitada en la tarjeta de red, y b) Que el servidor DNS esté correctamente configurado. 22) Ejecute la consola de comandos, para verificar el servidor DNS. Digite los comandos siguientes: ipconfig /all (ENTER). a. Anote los valores siguientes. DIR IP SERVIDOR: MÁSCARA: PUERTA DE ENLACE: DNS PRINCIPAL: DNS ALTERNATIVO:
____________________ ____________________ ____________________ ____________________ ____________________
Si la IP del DNS principal es la misma que la DIR IP del Servidor, eso indica que el servidor local es un servidor DNS. Se puede colocar la IP de otro servidor DNS, en caso el servidor WEB no esté configurado en el Controlador de Dominio o en dicho servidor DNS. 23) Ejecute el comando siguiente: Ping 192.168.1.10 (ENTER). ¿Qué respuesta obtuvo? ¿Fue respondido el ping? Explique: _______________________________________________________________________________ _________________________________________________________________. 24) Ejecute el comando siguiente: Ping www.redes.edu.sv (ENTER). ¿Qué respuesta obtuvo? ¿Fue respondido el ping? Explique: _______________________________________________________________________________ _________________________________________________________________. (Si el comando no responde el ping. Se debe agregar al servidor DNS, el registro CNAME del dominio).
FIGURA 219. RESPUESTA CORRECTA DEL DNS AL RESOLVER NOMBRE DEL DOMINIO. Universidad Salvadoreña Alberto Masferrer
Página 166
PARTE III. VERIFICACIÓN DE NAVEGACIÓN DEL SITIO EN EL CLIENTE. 25) Ejecute la consola de comandos, para verificar el cliente. Digite los comandos siguientes: ipconfig /all (ENTER). Anote los valores siguientes. DIR IP CLIENTE: ____________________ MÁSCARA: ____________________ PUERTA DE ENLACE:__________________ DNS PRINCIPAL: ____________________ DNS ALTERNATIVO: ____________________ Si la IP del DNS principal no es la misma que la DIR IP del Servidor DNS, la navegación del sitio puede estar comprometida al no resolver correctamente la dirección URL con el valor de la dirección IP del sitio. También la puerta de enlace en las redes de producción reales, debe coincidir con la IP del Router principal. 26) Ejecute el Internet Explorer u otro navegador en el equipo cliente. 27) Digite en la dirección URL la dirección IP del servidor WEB ó el nombre del sitio (www.redes.edu.sv). ¿Qué observa? _______________________________________________________________________________ _______________________________________________________________________________ _______________________________________________________________________________
FIGURA 220. SITIO DE EJEMPLO EJECUTADO DESDE ROL FUNCIONAL WEB.
Universidad Salvadoreña Alberto Masferrer
Página 167
Conclusiones
PC No._____
Fecha: _____________
Nombre: _______________________________________
Carnet: _____________
Asignatura:
GUÍA# 10
ADMINISTRACIÓN DE REDES II.
NOTA:_____
Escriba sus conclusiones personales de las 3 partes del procedimiento. _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________
Evaluación Previa Conteste las preguntas siguientes previa realización de la práctica de laboratorio al reverso de la hoja.
Mencione al menos 5 soluciones de servidores WEB. ¿Qué pasos serían los requeridos para configurar una política o directiva del dominio para definir la página WEB del sitio creado para que los clientes de Dominio por defecto tengan esa página en el explorador?. ¿Se pueden tener más de dos sitios WEB en un solo servidor? ¿Cómo se lograría esto? Explique.
Bibliografía http://technet.microsoft.com/es-es/library/aa998483(v=exchg.65).aspx http://httpd.apache.org/ Universidad Salvadoreña Alberto Masferrer
Página 168
UNIVERSIDAD SALVADOREÑA ALBERTO MASFERRER FACULTAD DE CIENCIAS EMPRESARIALES LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN
GUÍA # 11 Asignatura: Docente:
ADMINISTRACIÓN DE REDES II.
Ciclo: I-2014
Ing. Téc. Mario Enrique Salguero Juárez
Tiempo: 2 Horas
Fecha: _________________
Tema: DELEGACIÓN DE AUTORIDAD EN DIRECTORIO ACTIVO Contenido
Delegando autoridad en el Servidor. Configuración de acceso al servidor para el usuario autorizado. o Agregando al usuario al grupo de Escritorio Remoto. o
Habilitar política y agregar al usuario en: Permitir el inicio de sesión local
o
Habilitar política y agregar al usuario en: Permitir el inicio de sesión a través de Servicios de Terminal Server.
Verificación de administración del AD en equipo cliente.
Objetivo General Que el alumno Realice la delegación de administración del Directorio Activo como apoyo y eficiencia a los procesos administrativos de objetos del Dominio. Material y Equipo
2 o más computadoras (para implementación real) con Procesador P4 3.4GHz (min), Core 2 Duo 2.6GHz (std), I5 2.8 GHz (best). RAM 1GB RAM (min), 2GB (std), 4GB (best). Disco duro 80GB (min), 160GB (std), 300GB (best). Sistema Operativo Anfitrión: Windows 2003 Server, Windows xp (min), Windows 7 32 bits (std), Windows 7 64 bits (best). No se sugiere Windows 8 en entorno virtual, debido a rendimiento.
Programas VirtualBox, como gestor de máquinas virtuales.
Carpeta con 3 archivos VDI de máquinas virtuales: 1 para cliente XP, 2 para Servidor.
Dominio con Unidades Organizativas, grupos y usuarios creados.
Guía de laboratorio 12.
Lapicero.
Universidad Salvadoreña Alberto Masferrer
Página 169
Introducción Teórica Un administrador de dominio de una gran empresa o institución, posee demasiada carga administrativa. No solo tiene la tarea de creación y organización de usuarios y objetos de dominio. Además, de la administración de enlaces de comunicación, configuración de equipos, documentación (entre otras) hacen que se recargue dicha función. Con el establecimiento de políticas de seguridad y contraseñas, muchas veces los usuarios requieren apoyo para activar su usuario y utilizar los recursos de la red, y no se cuenta con el tiempo apropiado. La delegación de autoridad del directorio activo nace de la necesidad de un administrador de dominio de apoyo – como el personal informático de las regiones de una empresa o institución – para administrar las unidades organizativas seleccionadas y realizar las labores de soporte a usuarios regionales, reduciendo con ello, su carga administrativa del Directorio Activo.
FIGURA 221. EL ADMINISTRADOR DE RED DE DOMINIO POSEE LA ADMINISTRACIÓN DE TODAS LAS UNIDADES ORGANIZATIVAS Y OBJETOS DEL DOMINIO Y CDCs. Universidad Salvadoreña Alberto Masferrer
Página 170
Este proceso de “Delegar” conlleva una gran responsabilidad (parecido a la película del arácnido…), por lo que el Administrador debe establecer los criterios de acción que cada administrador de red de cada subdominio debe cumplir. La responsabilidad “moral” de respetar el contenido personal de los usuarios, verificación de información en los equipos y la manipulación de contraseñas a solicitud o autorización del usuario, son alguna de ellas.
El controlador principal de dominio, también conocido como “DC” (Domain Controller), establece un enlace lógico (relación de confianza) con los subdominios hijo, denominados “CDC” (Child Domain Controller) para poder ejercer las administraciones de los objetos contenidos en ellos. Es a través de este enlace, que el administrador de dominio puede “Delegar” su función de administración, a personal específico de los subdominios, a través de la formas de administración del Directorio Activo: Geográfica, Política o Mixta, cuando se crean las Unidades Organizativas del Dominio. Se conoce que la Base de Datos del Directorio Activo, o Catálogo Global, puede “copiarse” de un controlador de dominio a otro servidor de respaldo, denominado “ADC” (Aditional Domain Controller) o CDC, con el fin de que cualquier solicitud de acceso a la red en los subdominios pueda ser resuelta en el menor tiempo posible. Este proceso se le denomina “Replicación”. En un entorno real, este proceso debe realizarse en el período de tiempo de menor actividad de la red, ya que al replicar la base de datos completa a través de los servidores
(que
posiblemente
estén
interconectados con enlaces WAN de bajo ancho de banda) utilicen la mayor cantidad de recurso de red disponible, poniendo las aplicaciones internas y servicios de correo electrónico
e
internet,
en
un
nivel
inaceptable de operación. FIGURA 222. ESTRUCTURA DE DIRECTORIO ACTIVO PARA DELEGAR CONTROL DE OU.
Universidad Salvadoreña Alberto Masferrer
Página 171
Procedimiento
PARTE I. DELEGANDO AUTORIDAD EN EL SERVIDOR. 1) Ejecute el equipo “Servidor” en una PC o máquina virtual (con el uso del programa Oracle Virtual Box, ubicado dentro de la carpeta de programas). 2) (Entorno virtual). Ejecute inicialmente el sistema operativo de red en la máquina virtual servidor. Cuando haya cargado y muestre la pantalla de acceso, haga clic en la opción máquina (ubicada en la esquina superior izquierda), y luego en la opción “Insertar CtrlAlt-Supr”. 3) Digite la contraseña del usuario Administrador de Dominio. Nombre de usuario: Contraseña:
administrador $emperfide!5
4) Ejecute la Consola “Administrar Servidor” o diríjase (haciendo clic izquierdo) al botón de inicio, programas, herramientas administrativas, Usuarios y Equipos de Active Directory. 5) Expanda el dominio “REDES.EDU.SV”, haciendo clic en el símbolo (+). 6) Debe
contar
con
Unidades
Organizativas y usuarios creados. FIGURA DOMINIO
223.
EXPANDIENDO
Y
SUS
EL
UNIDADES
ORGANIZATIVAS.
7) Seleccione una OU creada. Escriba el nombre :______________________________. En dicha OU, donde tenga algún usuario creado, haga clic derecho sobre ella, y luego seleccione la opción “Delegar Control”. a. F I G U R A
224. PASOS INICIALES PARA DELEGAR AUTORIDAD SOBRE LA OU. Universidad Salvadoreña Alberto Masferrer
Página 172
8) En la ventana, hacer clic en botón “Agregar” (1), se digita el nombre de la cuenta del usuario (2). Escriba el nombre de la cuenta del usuario:_________________________, Se hace clic en botón “Comprobar nombres” (3), Se observa el nombre FQDN (4), se hace clic en el botón “Aceptar” (5), y luego en botón “Siguiente” (6).
FIGURA 225. PASOS PARA AGREGAR USUARIO AUTORIZADO. 9) Luego se seleccionan las opciones a las que se autoriza el usuario (1), se hace clic en botón “Siguiente” (2) y luego en botón “Finalizar” (3).
FIGURA 226. TIPOS DE DERECHOS EN DELEGACIÓN DE CONTROL. Universidad Salvadoreña Alberto Masferrer
Página 173
PARTE I I. CONFIGURACIÓN DE ACCESO AL SERVIDOR PARA EL USUARIO AUTORIZADO.
10) Para que el usuario autorizado tenga acceso
a
también
la
tener
administración, acceso
debe
remoto
al
servidor. FIGURA 227. HABILITANDO EL ESCRITORIO REMOTO A USUARIO AUTORIZADO.
11) Luego agregue el usuario para acceso remoto como se muestra.
FIGURA 228. PASOS FINALES PARA CONFIGURAR EL ESCRITORIO REMOTO. Universidad Salvadoreña Alberto Masferrer
Página 174
a. PARTE III. CONFIGURACIÓN DE DOS DIRECTIVAS EN EL SERVIDOR PARA DAR ACCESO A EQUIPO CLIENTE. 12) Inicie el equipo cliente. Ingrese con el usuario seleccionado: Haga clic sobre inicio, ejecutar, digite “mstsc”, presione ENTER. Digite el nombre o la IP del Servidor para ingresar via escritorio Remoto. Cuando el usuario autorizado en la OU digita su nombre y contraseña ¿Qué sucede? _________________________________________________________________ _________________________________________________________________ 13) En el equipo servidor, botón de inicio (1), Todos los programas (2), Herramientas administrativas (3), Directiva de seguridad en el controlador de dominio (4).
FIGURAS 229 Y 230. SE DEBE CONFIGURAR LAS DIRECTIVAS PARA DAR ACCESO AL CLIENTE.
14) Se inicia el complemento de seguridad predeterminada de controlador de dominio. Expanda: Configuración de Windows. Configuración de Seguridad (1). Directivas locales (2). Asignación de derechos de usuario (3). Permitir el inicio de sesión local
(4)
con
doble
clic
izquierdo. FIGURA 231. DIRECTIVA “PERMITIR INICIO DE SESIÓN LOCAL” EN CONTROLADOR DE DOMINIO DEBE HABILITARSE PARA PERMITIR INICIAR UNA SESIÓN AL USUARIO. Universidad Salvadoreña Alberto Masferrer
Página 175
15) Agregaremos al usuario al que se le ha delegado la autoridad de la Unidad Organizativa. Haga clic sobre botón “Agregar usuario o grupo” (1), botón “Examinar” (2), Digite el nombre de la cuenta del usuario al que se le delegó autoridad (3), haga clic en el botón “Comprobar nombres” (4), haga clic en el botón “Aceptar” (5), y luego en la pantalla inicial, clic en el botón “Aceptar” (6).
FIGURAS 232, 233 Y 234. AGREGANDO AL USUARIO PARA INICIO DE SESIÓN EN CONTROLADOR DE DOMINIO.
Para mayor seguridad, se debe agregar un grupo de acceso al usuario e ingresar un grupo a la directiva de inicio de sesión del controlador de dominio.
16) La Segunda Directiva que se debe configurar en el servidor es: La directiva para permitir el escritorio remoto del usuario con delegación de autoridad en la OU a través de Servicios de Terminal Server. De no configurarse, se tendrá el siguiente error de acceso de escritorio remoto por parte del usuario desde el equipo cliente.
FIGURA 235. PANTALLA DE ERROR EN EL ESCRITORIO REMOTO
DEL
POR
HABILITAR
NO
CLIENTE LA
DIRECTIVA DE ACCESO DE SESIÓN
DE
TERMINAL
SERVICES. Universidad Salvadoreña Alberto Masferrer
Página 176
17) Si
ya
cerró
“Configuración
la de
ventana Seguridad
predeterminada del controlador de dominio”….. De nuevo en el equipo servidor, botón de inicio (1), Todos los programas (2), Herramientas administrativas (3),
Directiva de
seguridad en el controlador de dominio (4). FIGURA 236. EJECUTANDO LA DIRECTIVA DE SEGURIDAD DEL DC PARA LA SEGUNDA DIRECTIVA A CONFIGURAR. 18) Se debe habilitar y agregar al usuario en la siguiente política. Configuración de Windows. Configuración
de
Seguridad (1). Directivas locales (2). Asignación de derechos de usuario (3). Permitir inicio de sesión a través
de
Servicios
de
Terminal Server (4) con doble clic. FIGURA 237. PASOS INICIALES PARA CONFIGURACIÓN DE 2ª DIRECTIVA.
19) Nuevamente…. Agregaremos al usuario al que se le ha delegado la autoridad de la Unidad Organizativa. Haga clic sobre botón “Agregar usuario o grupo” (1), botón “Examinar” (2), Digite el nombre de la cuenta del usuario al que se le delegó autoridad (3), haga clic en el botón “Comprobar nombres” (4), haga clic en el botón “Aceptar” (5), y luego en la pantalla inicial, clic en el botón “Aceptar” (6).
Universidad Salvadoreña Alberto Masferrer
Página 177
FIGURAS 238, 239 Y 240. AGREGANDO AL USUARIO PARA INICIO DE SESIÓN EN SERIVCIOS DEL TERMINAL SERVER. 20) Cerrar todas las ventanas del servidor. 21) Haga clic en el botón “inicio”, “ejecutar”, y para actualizar las directivas digite el comando: gpupdate /force
PARTE IV. VERIFICACIÓN DE ADMINISTRACIÓN DEL AD EN EQUIPO CLIENTE. 22) Ingrese en el equipo cliente o verifique si ha iniciado una sesión con el usuario seleccionado. 23) Ejecute el escritorio remoto hacia el servidor, en inicio, ejecutar, digitando el comando “mstsc” (1) y en el botón “Aceptar” (2). 24) En la ventana de Escritorio Remoto, digite la dirección IP o el nombre del servidor (3). Haga clic en botón “Conectar” (4).
FIGURA 241. PASOS PARA INICIAR LA SESIÓN REMOTA
DE
USUARIO
AUTORIZADO
PARA
ADMINISTRAR LA OU EN EL DIRECTORIO ACTIVO.
Universidad Salvadoreña Alberto Masferrer
Página 178
25) Digite el nombre de la cuenta del usuario autorizado, su contraseña, y verificar que se conecta al dominio. FIGURA 242. INICIO DE SESIÓN AL CONTROLADOR DE DOMINIO
A
TRAVÉS DE ESCRITORIO REMOTO EN EL EQUIPO CLIENTE.
26) Luego que ha iniciado la sesión de escritorio remoto en el servidor, haga clic en el botón inicio, ejecutar, y digite el comando dsa.msc FIGURA 243. COMANDO DIRECTO DEL COMPLEMENTO DE USUARIOS Y EQUIPOS DE ACTIVE DIRECTORY. 27) Se inicia el complemento “Usuarios y Equipos de Active Directory”. 28) Verifique si se puede crear un usuario nuevo en una Unidad Organizativa distinta a la del usuario autorizado. ¿Qué sucede? ¿Se pudo crear? Explique. _______________________________________________________________________________ _______________________________________________________________________________ 29) Verifique si el usuario autorizado puede crear un usuario en la Unidad Organizativa a la que tiene permisos. ¿Se pudo crear? ¿Cuál es la diferencia con el paso anterior? Explique. __________________________________________________________________________________ __________________________________________________________________________________ 30) Cierre la conexión remota del cliente. Inicio, cerrar, cerrar, aceptar. NO SELECCIONE LA OPCIÓN APAGAR, YA QUE APAGARÍA EL SERVIDOR.
Universidad Salvadoreña Alberto Masferrer
Página 179
Conclusiones
PC No._____
Fecha: _____________
Nombre: _______________________________________
Carnet: _____________
Asignatura:
GUÍA #11
ADMINISTRACIÓN DE REDES II.
NOTA:_____
Escriba sus conclusiones personales de las partes del procedimiento. _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ Evaluación Previa
Bajo que condiciones se debe autorizar una Delegación de autoridad a un usuario del dominio. Explique.
¿Cuáles son las dos directivas que deben habilitarse en el controlador de dominio para que un usuario al que se le ha delegado autoridad sobre alguna Unidad Organizativa del Dominio pueda tener acceso al Directorio Activo?
Además de las directivas habilitadas, ¿es necesario colocar al usuario en algún grupo o grupos? ¿Cuáles? ¿a qué se debe esto?.
Cuando se utiliza el complemento “Usuarios y Equipos de Active Directory” que está en herramientas administrativas, se administra el árbol del directorio activo, ¿existe otra forma en la que pueda ejecutarse dicho complemento? ¿cuál es?
Bibliografía http://technet.microsoft.com/es-es/library/cc775585(v=ws.10).aspx http://www.youtube.com/watch?v=WM6IHYvwViU Universidad Salvadoreña Alberto Masferrer
Página 180
UNIVERSIDAD SALVADOREÑA ALBERTO MASFERRER FACULTAD DE CIENCIAS EMPRESARIALES LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN
GUÍA # 12 Asignatura: Docente:
ADMINISTRACIÓN DE REDES II.
Ciclo: I-2014
Ing. Téc. Mario Enrique Salguero Juárez
Tiempo: 2 Horas
Fecha: _________________
Tema: ESTRATEGIAS DE RESPALDO Contenido
Procedimiento de Backup del Servidor.
Objetivo General
Que el alumno:
Utilice estrategias de respaldo como mecanismo de prevención contra desastres o fallas en infraestructuras físicas de Datacenter o Servidores, para mantener continuidad en la operación del negocio.
Objetivos Específicos d) Determine la importancia de realizar respaldo de datos. e) Aplique procedimientos de respaldo para datos personales. Material y Equipo
1 ó 2 Computadora con Procesador P4 3.4GHz (min), Core 2 Duo 2.6GHz (std), I5 2.8 GHz (best). RAM 1GB RAM (min), 2GB (std), 4GB (best). Disco duro 80GB (min), 160GB (std), 300GB (best). Cliente ó Sistema Operativo Anfitrión: Windows xp (min), Windows 7 32 bits (std), Windows 7 64 bits (best). Las características de Hardware también aplican con el Sistema Operativo de Red Windows 2003 Server R2. AMBIENTE VIRTUAL. Programas VirtualBox, como gestor de máquinas virtuales. Carpeta con 3 archivos VDI de máquinas virtuales: 1 para cliente xp, 2 para Servidor. AMBIENTE REAL.
1 Memoria USB de 4GB o mayor. Dominio con Unidades Organizativas, grupos y usuarios creados. Interconexión de red Ethernet entre equipos. Asignación IP de red en Cliente-Servidor. Guía de laboratorio 9. Lapicero.
Universidad Salvadoreña Alberto Masferrer
Página 181
Introducción Teórica El respaldo es un proceso de almacenado de información en una localización alterna o en un medio de almacenaje. Por ejemplo, se pueden almacenar un archivo en un folder remoto, en otro volumen de disco o en un medio de almacenamiento externo, tal como un TAPE DRIVE. Respaldar la información le permitirá protegerse contra pérdida de datos o incidentes tales como ataque de virus o fallas del sistema. Windows 2003 Server provee una utilidad de respaldo que le permite fácilmente realizar respaldos de archivos y carpetas. Las estrategias de respaldo son un procedimiento interno dentro de la gestión de las TIC, en los que se respalda: Configuración de Servidor de Dominio, Correo electrónico, Servidor de aplicaciones, etc, en medios varios, como: Cintas, discos duros, USB, DVDs, etc. Se debe determinar el ámbito del respaldo para realizar la planificación y resguardo de información. Hay 5 tipos de respaldos:
NORMAL: Todos los archivos y folders seleccionados. Limpia el atributo de archivo, pero no considera el atributo de archivo cuando se decide que archivos respaldar. COPIA: Todos los archivos y folders seleccionados. Ni borra ni observa el atributo de archivo. DIFERENCIAL: Solamente los archivos y folders seleccionados que tienen el atributo de cambio puesto. INCREMENTAL: Solamente los archivos y folders que tienen el atributo de archivo puesto. Limpia el archivo de atributo. DIARIO: Todos los archivos y folders que han sido modificados durante el día. Ni borra y no hace consideraciones del atributo de archivo.
El respaldo más efectivo, es el que se realiza de los equipos de operación crítica del negocio. Los medios que almacenan el respaldo, deben estar fuera del área de operación del sistema, identificados, categorizados y almacenados para que tengan su función de resguardo.
Basados en los tipos de respaldo usted puede decidir en la estrategia de Backup. Algunas estrategias comúnmente utilizadas son:
ESTRATEGIA A “DIARIOS”: De lunes a viernes Cintas etiquetadas por equipo y día de la semana. El lunes es un backup normal, y de martes a viernes Incremental. De modo que si el sistema falla n sábado, se requerirá para restablecer completo el backup, iniciar con el backup del lunes y agregar todos los demás respaldos hasta el día viernes. La ventaja de esta estrategia es que utiliza menos espacio de almacenamiento en los medios. Su desventaja es que el tiempo de restablecimiento del sistema toma mucho tiempo.
Universidad Salvadoreña Alberto Masferrer
Página 182
ESTRATEGIA B “DIARIOS”: De lunes a viernes cintas etiquetadas por equipo y día de la semana. El lunes se desarrolla un backup normal, y de martes a viernes uno diferencial. De modo que si el sistema falla el sábado, se restablece el backup completo del lunes y el backup diferencial del viernes. La ventaja de esta estrategia es que la operación de restablecimiento se realiza rápidamente. Sin embargo, su desventaja es que utiliza gran capacidad de almacenamiento realizarla. SEMANALES: Días sábado: Cintas etiquetadas y realizadas una vez por semana. MENUALES: 1 vez al mes, Completo.
RESTABLECIENDO DATOS. Windows 2003 Server le permite restablecer el backup de datos en su disco duro u otro disco que pueda tener acceso. Puede utilizar la función de restablecer para restablecer el equipo a su condición original. Se puede restablecer los datos en los sistemas de archivos de discos FAT y NTFS. Sin embargo, se recomienda que los archivos y folders sean respaldados en los mecanismos de backup a través del sistema de archivos NTFS, ya que si se restablecen las carpetas y archivos en FAT, se pueden perder los permisos de archivos, información de cuota de discos y función de encriptación de archivos. Además de ello, se pueden programar tareas de respaldo de forma automática, ya que se prefiere realizar los procedimientos de respaldo cuando los usuarios no estén dentro del sistema, en tiempos de nocturnidad, cuando no hay empleados que realicen dicho proceso. Un usuario administrador de dominio o un Operador de copias de respaldo, puede realizar la operación de Backup o restablecimiento de la información.
FIGURA 140. LOS USUARIOS DENTRO DE LOS GRUPOS “ADMINISTRADOR DE DOMINIO” Y “OPERADORES DE COPIA” PUEDEN REALIZAR Y RESTABLECER RESPALDOS O BACKUPS. Universidad Salvadoreña Alberto Masferrer
Página 183
Procedimiento
PARTE I. CREACIÓN DE BACKUP PROGRAMADO EN EQUIPO SERVIDOR.
1) Ejecute inicialmente el equipo “Servidor” en una PC o máquina virtual (con el uso del programa Oracle Virtual Box, ubicado dentro de la carpeta de programas). 2) Ejecute inicialmente el sistema operativo de red en la PC o máquina virtual servidor. Cuando haya cargado y muestre la pantalla de acceso: a. Si es una PC presione las teclas combinadas Ctrl-Alt-Supr. b. Si es una máquina virtual, haga clic en la opción máquina (ubicada en la esquina superior izquierda), y luego en la opción “Insertar Ctrl-Alt-Supr”. 3) Digite la contraseña del usuario Administrador de Dominio. i. Nombre de usuario:
administrador
ii. Contraseña:
$emperfide!5
4) Permita que cargue el sistema operativo de red y que muestre el escritorio del Servidor. 5) Haga clic en botón de inicio, ejecutar, y digite el comando “ntbackup”. Presione la tecla ENTER. FIGURA 245. EJECUTANDO EL PROGRAMA NTBACKUP.
6) Cancele el modo de Asistente de manera inicial. 7) Se presenta la pantalla inicial de la
Utilidad
de
copia
de
seguridad. Contiene 4 pestañas: La Bienvenida para ejecutar los asistentes. Copia de Seguridad para
realizar
pasos
manualmente. Restaurar para restablecer datos y Programar trabajos para automatizar los respaldos.
FIGURA 246. PANTALLA INICIAL.
Universidad Salvadoreña Alberto Masferrer
Página 184
8) Anote la fecha y hora del sistema. Asegúrese que sea la fecha y hora actual. FECHA:____________________ HORA:______________ 9) Haga clic en la pestaña “ Programar Trabajos” (1), y doble clic en la fecha actual dentro del calendario (2). Haga clic en el botón siguiente cuando se ejecute Asistente.
FIGURA 247 Y 248. EJECUCIÓN PROGRAMADA DE UTILIDAD DE RESPALDO.
10) Al aparecer el asistente, elija la opción mostrada en (1) para seleccionar los datos y configuraciones del sistema de forma personalizada. Luego haga clic en botón “Siguiente” (2). Luego expanda el contenido de Mi PC haciendo clic en signo (+) (1), marque en el combo box el “Disco C” y “System State” (2). Haga clic en botón “Siguiente” (3).
FIGURAS 249 Y 250. SELECCIONANDO EL TIPO DE RESPALDO Y LOS ARCHIVOS.
Universidad Salvadoreña Alberto Masferrer
Página 185
11) Se debe definir la ruta o ubicación destino del respaldo. Digite el nombre del trabajo de respaldo que identifique la información respaldada (por ej. Respaldo Servidor de Dominio) (1), y luego haga clic en el botón “Examinar” (2). Cuando se guarde el trabajo configurado, haga clic en el ícono de “Mi PC” (1), luego seleccione un disco diferente al del sistema Operativo T: (2), cree una carpeta llamada “BACKUP SERVIDOR” (3), haga doble clic sobre la carpeta (4), y luego haga clic en botón “Guardar” (5).
FIGURAS 251 Y 252. DETERMINANDO UBICACIÓN DESTINO. 12) Luego hacemos clic en botón “Siguiente”. Y seleccionamos el tipo de Respaldo.
FIGURAS 253 Y 254. SELECCIONANDO EL TIPO DE RESPALDO A REALIZAR.
Universidad Salvadoreña Alberto Masferrer
Página 186
13) Finalizando la configuración programada, haga clic en botón “Siguiente” y “Reemplazar las copias de seguridad existentes” (1), luego clic en botón “Siguiente” (2).
FIGURAS 255 Y 256. NO SE DEBE SELECCIONAR REEMPLAZAR LAS COPIAS DE SEGURIDAD SI SE DESEA ALMACENAR TODOS LOS PROCESOS DE RESPALDO
14) Para verificar si cumple con la programación del trabajo, seleccione 5 minutos después del tiempo actual.
FIGURA 257. DETERMINANDO HORA DEL TRABAJO DE RESPALDO PARA VERIFICAR PROGRAMACIÓN. Universidad Salvadoreña Alberto Masferrer
Página 187
15) Defina el usuario y contraseña del usuario que realizará el respaldo y finalice el asistente.
FIGURAS 258 Y 259. COMPLETANDO EL ASISTENTE DE RESPALDO.
16) El asistente debe ejecutarse en el período programado. La pantalla será la siguiente:
FIGURA 260. EJECUCIÓN DEL TRABAJO DE RESPALDO PROGRAMADO.
Universidad Salvadoreña Alberto Masferrer
Página 188
Conclusiones
PC No._____
Fecha: _____________
Nombre: _______________________________________
Carnet: _____________
Asignatura:
GUÍA 12 113#114
ADMINISTRACIÓN DE REDES II.
NOTA:_____
Explique con sus propias palabras, qué procedimiento realiza usted con sus datos personales, ventajas y desventajas de dicho mecanismo y que necesitaría para establecer un procedimiento apropiado de respaldo. _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ Evaluación Previa Conteste las preguntas al reverso de la página.
¿Cuál es la diferencia entre un respaldo “DIFERENCIAL” y uno “INCREMENTAL”.
¿De qué depende seleccionar el tipo de estrategia de respaldo?
Si la operación del negocio es crítica y utiliza respaldos diarios, y mensuales ¿Qué medio utilizaría para realizar los respaldos mensuales? ¿sería diferente al de los respaldos diarios? Explique.
¿Bajo qué condición se debe sobreescribir un trabajo de respaldo existente por uno nuevo? ¿es esto correcto? Explique.
Bibliografía http://h10010.www1.hp.com/wwpc/us/en/sm/WF04a/12169-304612-3446236-34462363446236.html?dnr=2 http://www.acronis.com/enus/?adpos=1t1&device=c&network=g&matchtype=p&gclid=CP6Dq8Hpu70CFUpnOgodPE8Agg Universidad Salvadoreña Alberto Masferrer
Página 189
Universidad SalvadoreĂąa Alberto Masferrer
PĂĄgina 190