Taller sistemas distribuidos sobre Windows usando VMWare
Upcoming SlideShare
Loading in...5
×
 

Taller sistemas distribuidos sobre Windows usando VMWare

on

  • 763 views

Un taller sobre sistemas distribuidos usando VMWare con plataformas Windows

Un taller sobre sistemas distribuidos usando VMWare con plataformas Windows

Statistics

Views

Total Views
763
Views on SlideShare
763
Embed Views
0

Actions

Likes
3
Downloads
62
Comments
1

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft Word

Usage Rights

CC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • Muy buen documento Damián!
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Taller sistemas distribuidos sobre Windows usando VMWare Taller sistemas distribuidos sobre Windows usando VMWare Document Transcript

  • SISTEMAS DISTRIBUIDOS TALLER DE ARQUITECTURA CLIENTE – SERVIDOR BAJO PLATAFORMA WINDOWSEl siguiente taller tiene como objetivos montar una arquitectura cliente servidor bajo plataformaWindows. Teniendo en cuenta que para el laboratorio no se cuenta con una infraestructura de redy servidores completa, se utilizara el concepto de virtualización de servidores para esta práctica;en este caso se utilizara un equipo de práctica HP Server tc3100 series.La arquitectura cliente-servidor a implementar estará basada en 3 servidores, como se muestra enla gráfica siguiente: 192.168.10.3 USUARIO REMOTO SER-CDSA-01 192.168.10.1 SW-VMNET3 SER-FW-01 192.168.10.2 SER-CDEX-01 PC01-USUARIO-LANLa infraestructura se encuentra dividida en 10 partes, que son las etapas a seguir para culminarcon éxito el taller y lograr la práctica necesaria para montar una arquitectura similar en cualquierámbito laboral.
  • ETAPA 1: DESCRIPCIÓN DE LA INFRAESTRUCTURA DE RED.SERVIDOR 1: SER-CDSA-01 CONTROLADOR DE DOMINIO PRIMARIOServidor Controlador de Dominio Principal donde se crearan las cuentas de usuarios del dominio,para que estos puedan acceder a la red y los recursos y servicios de la misma.Servicios: Active Directory: Base de datos centralizada donde se encuentran almacenados las cuentas de usuario y sus respectivas claves de acceso al dominio. Adicionalmente en él también se almacenan las cuentas de grupo y las cuentas de máquinas del domino. DNS:Permite a los usuarios comunicarse y encontrar recursos dentro de la red. Nos permite teniendo la dirección IP de una maquina en el dominio conocer su nombre o conociendo el nombre de una maquina en el dominio obtener su IP. WINS: Es algo parecido al DNS, pero a nivel de la red local. Archivo:Para Compartir las Carpetas y archivos de los usuarios y algunos recursos. DHCP:Se encarga de la asignación de direcciones ip dinámicas a los usuarios del dominio. Certificados:Nos permite que la comunicación segura con el servidor web, con la utilización de SSL, cifrando las contraseñas por la red evitando que viajen en modo texto plano.SERVIDOR 2: SER-CDEX-01 CONTROLADOR DE DOMINIO SEGUNDARIO Y SERVIDOR DE CORREOEXCHANGEServidor Controlador de Dominio Segundario, será el servidor de respaldo en caso de que elcontrolador de dominio primario salga de línea por algún motivo programado o no, en esteservidor adicionalmente, servirá como servidor de correo electrónico para el envío y recepción delservicio de correo.Servicios: Contará con los mismos servicios que el servidor primario exceptuando el servicio de archivos, y el servidor de certificados, adicionalmente se instalara el servidor de correo electrónico, el cual se encargará del correo interno, pero también se podrá acceder al servicio vía web, servicio que funciona gracias al OWA, que es el servicio que permite el acceso al correo electrónico tipo Hotmail, Gmail, etc.SERVIDOR 3: SER-FW-01 SERVIDOR PROXI – ISA SERVER
  • Este servidor es el que se encargara de la navegación de los usuarios en la red y de filtrar el tráficoentrante y saliente, de igual forma se puede crean conexiones VPN para el acceso remoto deusuarios.Servicios: Contará con los servicios de proxi, conexión remota por VPN.La práctica se desarrollara netamente en un ambiente virtual, el cual es aplicable en su totalidaden una ambiente real, aplicando una arquitectura de servidores dedicados o una infraestructuracliente servidor virtualizada. Para el laboratorio utilizaremos un servidor real HP Server tc3100series con dos procesadores intel, con Windows 2003 server, sobre el cual se instalara el software,VMWare, quien nos proporcionará la infraestructura virtual para realizar el laboratorio.La figura que a continuación se muestra, nos da una idea de cómo funciona un ambientevirtualizado.ETAPA 2: INSTALACIÓN DE LOS SERVIDORES VIRTUALES.La instalación de los servidores virtuales parte de la instalación previa de una máquina virtual dereferencia con Windows 2003 server, la cual ya tiene instalada todas las actualizaciones deseguridad correspondientes para el prefecto funcionamiento del sistema operativo. En estelaboratorio no se hablara de la instalación de Windows 2003 Server, como tampoco de la View slide
  • instalación de la máquina virtual que nos servirá de referencia, veremos si en una nueva versiónde este laboratorio se incluya esta parte, ya sea como una sección o como anexos del mismo.El proceso principal es clonar la máquina virtual de referencia, y existen dos formas de hacerlo. Laprimera: es abrir el Explorador de Windows, e ir a la ruta donde se encuentra instalada la máquinavirtual y copiarla en la nueva ruta donde se montara el primer servidor, pero no es recomendabledebido a que en el proceso de la copia puede ocurrir u error de lectura o escritura, y no se podríacrear luego una dependencia de los datos de la máquina de referencia. La segunda opción: es ir alescritorio y correr la aplicación VMWare, desde el servidor de laboratorio, como se muestra en lafigura siguiente.Una vez iniciada la aplicación, procedemos a ir al menú VM, y seleccionamos la opción Clonar,VMWare, nos permite dos opciones para iniciar el proceso de clonación de la máquina virtual ydos opciones de clonación como tal: “The current state in the virtual machine” y “An existingsnapshot…”. La opción: “The current state in the virtual machine”, que es la que vamos a utilizar,es cuando tenemos un solo estado de instalación o “Snapshot”, y a que dentro de una máquinavirtual como la que tenemos de referencia podemos tener varios estados o Snapshot deinstalación, como se ve en la imagen. La “An existing snapshot…”, se utiliza cuando queremosclonar una máquina virtual de un estado ya existente. View slide
  • Luego de escoger la opción “The current state…”, pasamos a los dos métodos de clonación. Elprimero es “Create a linked clone”, y el segundo es “Create a Full clone”. La primera opción seutiliza cuando nos encontramos limitados por el espacio de almacenamiento en disco y queremosahorrar un poco. Esta opción lo que hace es clonar la máquina virtual sin los archivos del sistemade la máquina virtual de referencia, a la hora de iniciar la máquina virtual de nuestro servidor, seestablece un link a los archivos de la máquina virtual de referencia.
  • El problema de esta opción es que si movemos la máquina virtual de referencia de capeta, elenlace creado entre esta y la máquina del servidor virtual, crearán inconsistencias haciendo queestá funcione mal. Pero teniendo en cuenta nuestras limitantes de espacio en disco, será nuestramejor opción.La opción “Create a Full clone”, lo que hace es clonar completamente la máquina virtual dereferencia para ser usada como servidor virtual.Luego de esto lo que hacemos es buscar la ruta de destino donde se alojara la máquina virtual denuestro primer servidor, que en este caso será nuestro controlador de dominio primario. Ledamos el nombre correspondiente, según lo especificado en nuestra arquitectura inicial, el cualserá: “SER-CDAR-01”- Servidor Controlador de Dominio y Archivos, el 01 es por ser primario. Esindispensable y recomendable hacer uso de las buenas prácticas en el diseño de una red. En estecaso el de colocar una nomenclatura específica que nos permita identificar de una manera rápidaa qué tipo de máquina estoy haciendo referencia.
  • Posterior a esto damos finalizar, e inmediatamente se iniciara el proceso de clonación de lamáquina virtual de nuestro servidor el cual utilizaremos como controlador de dominio primario
  • Una vez terminado el proceso de clonación, podemos evidenciar en el VMWare, la creación virtualde nuestro Controlador de Dominio con el sistema operativo listo para ser configurado.Hasta ahora lo que hemos hecho es preparar el sistema para el montaje de nuestro servidor. Parael siguiente paso, vamos a explicar antes algo correspondiente a nuestra infraestructura. Nuestrosservidores no tendrán acceso a la rede de forma directa exceptuando el servidor proxi, el cualtendrá dos tarjetas de red, una para para la LAN y la otra para la salida a la WAN. Pero para lograrque los servidores se vean entre sí, y lograr el acceso desde la LAN como un usuario de la red o unacceso remoto desde la WAN, vamos a aprovechar las ventajas que nos brinda VMWare.VMWare posee una estructura que nos permite crear redes virtuales entre maquina virtualesindependientes que posean o simulen equipos (servidores, usuarios) reales. Esto es posible graciaa que trae unos switches virtuales, que funcionan igual que unos switches físicos. Algunos de estoscon características especiales que harán posible esta configuración.VMWare al instalarse, instala consigo 10 switches virtuales, enumerados del Vmnet0 al Vmnet9, ladiferencia, entre cada uno de ellos radica en 3 de esos 10 switches, el Vmnet0, Vmnet1 y elVmnet8.El Vmnet0, funciona como un bridge real, que no es más que el hecho de que queramos conectarnuestro equipo directamente a un puerto de un switch físico. Lo que significa que el host virtualque conectemos a este switch, tendrá una MAC Addres independiente, una IP independiente y los
  • equipos conectados a él se podrán ver entre sí. Sería recomendable utilizarlo cuando queramosque estas máquinas virtuales estén en producción y que interactúen con otras maquina en la red.El Vmnet8, posee un dispositivo de NAT, VMWare Driver, que lo que hace es simular las veces deun servidor proxi para tener a todas las ip locales dentro de la LAN y que al momento de querersalir a la WAN lo hagan a través de él.El Vmnet1, o el host-only, se encuentraenlazado a la tarjeta física del host donde se encuentramontada la máquina virtual. Esto nos permite tener comunicación entre la máquina virtual y elhost.Siguiendo con el montaje del servidor, procedemos a la configuración de la máquina virtual SER-CDSA-01. Lo primero es revisar la configuración actual de la máquina, vamos a Editar MáquinaVirtual, como se muestra en la gráfica.
  • Y en el tab Hardware, seleccionamos Memory, y la colocamos a 256MB. Posterior a esto nosvamos al ítem Network Adapter y lo configuramos cambiándolo a la opción personalizada yescogemos el Vmnet3como esta en nuestra infraestructura inicial.
  • Luego, vamos al tab Remote Display, y habilitamos la visualización remota, y dejamos el mismopuerto y colocamos la contraseña “123”, y confirmamos con el mismo. Esto nos servirá en caso dequerer conectarnos vía VNC. Hacemos click en OK, e iniciamos la máquina virtual, pulsando Ctrl+B,o nos vamos al menú con el mouse y hacemos click en el icono .De inmediato veremos como inicia nuestro servidor.
  • USANDO VNC.Si deseamos para mayor comodidad, podemos trabajar desde una ventana remota usando el VNC,esta aplicación nos permitirá manejar nuestro servidor virtual, como si estuviéramos dentro delmismo servidor y realizar todas las operaciones correspondientes.Lo primero que debemos hacer es ejecutar en nuestro equipo la aplicación VNC, e ingresar la IPdel equipo host físico (en este caso nuestro servidor HP). Debemos asegurarnos de que la máquinavirtual está corriendo de los contrario nos saldrá un error de conexión.Para este caso la dirección ip de nuestro servidor es : 192.160.90.34, pero debemos verificar desdela línea de comando antes de ingresarla, con el comando ipconfig. Luego nos vamos el botónOptions…, y seleccionamos en el tab Clour & Encoding, la opción Full (all available clours),hacemos click en OK, en ingresamos la contraseña de acceso que digitamos en la maquina virtual“123”
  • Siguiendo con la instalación del servidor, y de haber reiniciado la máquina virtual, entramos arealizar la configuración de la tarjeta de red. En este caso nos vamos a las propiedades deconfiguración del protocolo ip, e ingresamos la dirección correspondiente a nuestro esquema dered, en este caso la configuración sería así:IP: 192.168.10.3Mascara: 255.255.255.0Puerta de Enlace: 192.168.10.1 (Sería nuestro Firewall, el cual no está configurado a un)Servidor DNS preferido (primario): 192.168.10.3 (será el mismo, ya que es el CD).
  • Luego nos vamos a opciones avanzadas y en el tab DNS, realizamos la configuración respectiva denuestra interfaz de red para que reconozca quien será su servidor de DNS. Al mismo tiempo noscercioramos de dejar marcadas las opciones Anexar sufijos primarios del sufijo DNS principal.Luego ingresamos el nombre de nuestro dominio, que para el laboratorio será: dominio.local, ydejar seleccionada la opción Registrar estas direcciones de conexiones en DNS.Pasamos al tabWINS, y realizamos las configuraciones respectivas para que se dé la comunicaciónentre las máquinas del dominio, habilitamos la opción de NETBios, este sirve para enviar paquetesde Broadcast a nivel local dentro de una red TCP/IP, lo que nos permite enrutar los paquetes queprovengan de este host en la red, de lo contrario solo serán locales.
  • Por ultimo hacemos click en Aceptar, Aceptar, y escogemos la opción que nos permita ver el iconode conexión de red, luego Cerrar. Luego verificamos desde la línea de comandos que realmente laconfiguración de nuestra tarjeta de red sea la que asignamos. Verificamos que la tarjeta estéfuncionando, para eso realizamos un ping a la misma dirección ip y esperamos los tiempos derespuesta.
  • Luego verificado el funcionamiento de la tarjeta en su totalidad, procedemos a realizar el cambiodel SID. El SID no es más que el número de seguridad único que poseen todos los SO Windows,elcual para este caso del laboratorio o cuando en la práctica profesional clonamos un sistemaoperativo a otro debemos cambiar, para evitar errores de seguridad en el sistema operativo. Paraesto vamos a utilizar una herramienta que se conoce como: NewSID.Iniciamos la aplicación, hacemos click en Agree, luego en Next, luego escogemos la opciónRandom y generamos el nuevo SID.Procedemos a cambiar el nombre de nuestro equipo, y recordando las buenas practicas de diseñode topologías y arquitecturas de redes, colocamos a nuestro equipo el nombre de: SER-CDSA-01.
  • Se inicia el proceso de cambio de SID, esto tomara unos minutos. Realizado el cambio, reiniciamosnuestro equipo para que los cambios surjan efecto, pero lo hacemos escogiendo la opción dereinicio con Aplicación: instalación Planeada.ETAPA 3: INSTALACIÓN DEL ACTIVE DIRECTORY.Debemos iniciar con el concepto de lo que es un controlador de dominio, un controlador dedominio, no es más que un servicio que posee una base de datos centralizada en un equipo que sehabilita como controlador de dominio como es nuestro caso, para administrar el acceso a losrecursos de la red. Cada vez que un host u otro equipo de la red, desea utilizar un recurso de lamisma, debe loguearse, y el encargado de verificar las credenciales de seguridad y los permisos deacceso a los recursos de la red, es el controlador de dominio. Esto se logra instalando yconfigurando el Active Directory.Iniciamos la preparación de nuestro controlador de dominio, verificando la dirección ip de nuestramáquina y verificando que la tarjeta de red funciona correctamente haciendo ping, como lo
  • hicimos en el último paso. Posterior a eso, vamos a inicio y en la opción Ejecutar, y escribimos elcomando dcpromo, este comando es el encargado de iniciar la ejecución de instalación yconfiguración del directorio activo.
  • En esta opción nos da una serie de recomendaciones y advertencia de compatibilidad que sedeben tener en cuenta a la hora de realizar conexiones entre diferentes maquinas en especial conMac o Linux. Seguimos y nos encontramos con una pantalla que nos pregunta como deseamos quesea nuestro controlador de dominio, primera vez o un crear un controlador de dominio dentro deun dominio ya existente. Para nuestro laboratorio, y por ser este nuestro primer controlador dedominio escogemos la primera opción: Domain in a few forest.Colocamos el nombre de nuestro dominio local, se recomienda si tenemos un dominio externo(internet), no colocar el mismo nombre a nuestro dominio local, ya que se presta para que cuandoestemos conectados fuera de nuestro dominio (fuera de nuestra red local) se produzca un
  • TIMEOUT, el cual nos indicara que no se puede conectar a la red. Colocamos el nombre delNETBIOS el cual para efectos de práctica va a ser: DOMINIO, luego vamos a colocar la ubicación denuestra carpeta en la cual se almacenara la base de datos de nuestro controlador de dominio(Directorio Activo), así como el SYSVOL, que será el archivo en el que se publicara y replicara lainformación en los demás controladores de dominio del dominio. Por lo tanto lo dejamos pordefecto los valores que aparecen en pantalla.
  • Escogemos la segunda opción: que será la que nos permitirá configurar nuestro servidor comoservidor de DNS predefinido (Primario). Luego escogemos la segunda opción en la siguientepantalla que será la que nos permitirá que nuestro servidor sea compatible con las actualizacionesde seguridad y que el grupo de invitados que en versiones anteriores podía visualizar el listado delos usuarios del sistema, con esta opción podemos evitar que esto suceda, y es la advertencia quenos hacen en la primera opción.En esta pantalla digitaremos la contraseña de recuperación de la base de datos del directorioactivo en caso de que entremos en modo de restauración de servicios de directorio, para nuestrocaso será: LAB12345.
  • En la pantalla siguiente veremos el resumen de lo que hemos hecho y podemos hacer laverificación de toda la configuración que hemos realizado, damos click en Siguiente, y ahora esque en realidad comienza la instalación del Active Directory.ETAPA 4: PREPARANDO LA INSTALACIÓN DEL CONTROLADOR DE DOMINIO.Cuando se instalan sistemas operativos en este caso Windows X, en un equipo, sea este unservidor o un equipo de escritorio, cada uno crea una base de datos individual con los usuarios ycontraseñas correspondientes a cada una de esas máquinas.Teniendo en cuenta lo anterior, para poder crear una red donde los usuarios se loguen y tenganpermisos de acceso y prioridades a los recursos de la misma, se requiere tener un controlador dedominio. En este caso utilizaremos el Active Drectory de Windows, sobre un servidor Windows2003 Server, para preparar e instalar el controlador de dominio, que será para efectos de estelaboratorio, el equipo sobre la máquina virtual llamado SER-CDSA-01, pero que físicamente la
  • maquina posee el nombre de SERLAB1, nombre que más adelante debemos tener en cuenta, yaque lo utilizaremos.La diferencia de una base de datos en un servidor que tenga configurado el Active Directory, esque esta base de datos es cenralizada, y cualquier equipo de la rede se puede sincronizar con ella yobtener acceso a los recursos de la misma. Debemos tener en cuenta que si dentro de nuestra redexisten varios controladores de dominio, la base de datos del servidor controlador de dominioprincipal se replicara en cada uno de los demas controladores, y las bases de datos locales de estosequipos desapareceran, con exepción de la base de datos local del controlador de dominioprincipal. Esto se da debido a que esta base de datos local entra a ser parte del directorio activodel controlador de dominio.Un fenomeno que se da cuando nos encontramos dentro de un controlador de dominio, es que losusuarios pertenecientes al dominio (Usuarios registrados en la BD de Active Directory) se puedenloguear desde cuaquiel maquina de la red indicando su usuario, contraseña y dominio de red alque pertenece. Cosa totalmente contraria lo que sucede con los usuarios locales de la maquinasde la red; estos no pueden tener acceso al dominio ni usar los recursos de la red, incluso si secoloca el nombre del dominio a este usuario no registrado en la BD centralizada de ActiveDirectory.Cuando dentro de una empresa de forma física existen varios servidores como contralodor dedomino (uno que no sea replica del otro, es decir dos dominios diferentes), esto se conoce comositios de red. Para que un usuario de un sitio X se pueda usar los recursos de un sio Y, debe existirentre los controladores de dominio lo que se conoce como: Replicación entre Sitios. No estademas que la autenticación de usuarios de cada sitio se hace de manera local en el sitio al quecorresponde el ususario; solo en caso de creación, modificación o eliminación de susarios, serealiza el proceso de replicación entre sitios, permitiendo así que las bases de datos de loscontroladores de dominis esten siempre actualizadas, evitando tambien, tráfico innecesario en lared.PREPARACIÓN DEL CONTROLADOR DE DOMINIO.Existen tareas o pasos que debemos seguir para una instalación de un controlador de dominio, acontinuación se mencionarán a manera general y aplicaremos una o algunas de ellas para estelaboratorio. Las marcadas como Ok. Son la que tocaremos en este documento. Instalar Sistema Operativo. Ok. Instalar Controladores. Ok. Instalar Herramientas de Soporte. Ok. Instalar GPMC (Group Policy Management Console with Service Pack 1). Ok. Revisar los Logs Configurar Boot order para reinicios remotos
  • Configurar los servicios de shadow copy Habilitar remote desktop Configurar tamaño de pagefile. Ok. Configurar automatic Updates Ok. Habilitar: Do not display the last usuer name Desfragmentar Discos Instalar Recovery Console: para 64 bits ejecutar D:AMD64winnt32.exe/cmdconsole Crear Boot Disk Poner Clave administrador local. Ok. Entre otras.La preparación del Controlador de Dominio, inicio con la instalación y configuración del ActiveDirectory en la etapa 3. Ahora iniciaremos con la verificación de la dirección ip de nuestro servidorpara ver si esta sigue igual. Para sorpresa, nos encontraremos que la dirección ip de nuestro DNSprimario cambio de 192.168.10.3 a 127.0.0.1, dirección que corresponde al Local host de nuestramáquina.Lo que hacemos a continuación es cambiar esta dirección por la dirección real de nuestro esqumade red, que es 192.168.10.3.
  • Posterior a este paso, vamos a verificar la instalación de nuestro servicio de DNS, el cual se instaloen la etapa 3. Para ello vamos a Herramientas Administrativas ->DNS, y podremos visualizar lapantalla de administración de DNS.
  • Podemos verificar que el dominio se creo correctamente, por que nos aparecen varias señales alrespecto: Un icono con el nombre del servidor: SERLAB1 Dentro de la Zona de Busqueda directa, encontramos el nombre del dominio creado: dominio.local Dentro del dominio, encontramos el NS (Servidor de Nombres): serlab1.dominio.local Dentro del dominio, encontramos el nombre del servidor con la dirección ip asignada a el:192.168.10.3 Dentro del dominio, encontramos el nombre del equipo host con la dirección ip asignada a el: 192.168.10.3Para asegurar la configuración de DNS, debmos realizar otro paso importante que es crear la Zonade Reverza, o “Zona de búsqueda inversa”. Para ello vamos a ir a la consolo de comandos deDOS,y digitamos el comando: nslookup.
  • Al introducir este comando y dar “ENTER”, el sistema nos dirá que no pudo encontrar el nombredel servidor con la dirección ip: 192.168.10.3, la cual corresponde a nuestro servidor de DNS, ycuyo dominio es desconocido. Esto es por que la “Zona de búsqueda inversa”, aun no ha sidoconfigurada.Para ello nos vamos a la interfaz de configuración de DNS nuevamente y nos posicionamos sobreel tab: Zona de búsqueda inversa, hacemos click derecho con el mouse y escogemos “ZonaNueva”.
  • Esto dará inicio al asistente de configuración de la Zona de Búsqueda Inversa.
  • Debemos asegurarnos de que este seleccionada “Zona Primaria”, por corresponder a nuestrocontrolador de dominio primario, y chequeada la casilla de verificación al final de la pantalla:“Almacenar la zona en Active Directory”. Esto se encargara de que nuestra base de datos sereplique en cada zona donde se encuentren los demás controladores de dominio. Hecho esto,seleccionamos “Siguiente”.En esta interfaz, seleccionamos la opción tres (3), que lo que hace es asegurar que se replique labase de datos en todos los controladores de dominio del dominio: “dominio.local”.
  • Configuramos el “ID de Red”. Seleccionamos la primera opción e ingresamos solo los primeros 2octetos de la red: “192.168”, esto con el fin de que si requerimos más sub-redes, el Controlador dedominio se encargue de crearlas automáticamente dentro de la zona de reversa.En esta interfaz lo que vamos a hacer es permitir que las máquinas realicen las actualizacionesdinámicas por si solas dentro del servidor de DNS, y no delegare esta función al administrador delsistema, función que demanda tiempo considerable si se realiza de forma manual. Lo otro que seasegura, es que las únicas máquinas que podrán hacer estas actualizaciones, son las máquinas quepertenecen al dominio. Para cumplir con lo requerido chequeamos la primera opción (opción 1) yhacemos click en “Siguiente”, para finalizar el proceso de configuración de la zona de reversa.
  • Si miramos nuevamente en la interfaz de configuración de DNS, en la pestaña “Zonas de Búsquedainversa”, nos daremos cuenta que ya tenemos una zona de reversa 192.168.x.x.
  • Luego nos dirigimos a la consola de comandos de DOS, y digitamos el comando, “exit”, luego elcomando “ipconfig –registerdns”, este comando iniciara el registro de los recursos necesarios deDNS, para los adaptadores del equipo donde se está corriendo el servicio.Nos regresamos a la interfaz de configuración de DNS y presionamos el icono de “Referescar”, osimplemente presionamos la tecla “F5” estando posicionados en la zona 192.168.x.x. Nos daremoscuenta que se ha creado una carpeta con el número 10, esta carpeta corresponde a la zona queacabamos de crear. Si abrimos la carpeta encontraremos un registro de eventos con el nombre delequipo, el tipo de puntero y la procedencia de los datos: nombre:192.168.10.3, Puerto: PTR,Datos: serlab1.dominio.local.
  • Posterior a esto vamos nuevamente a la consola de comandos de DOS, y digitamos el comando“nslookup”, y verificamos que la resolución del domino de forma directa e inversa se realice deforma exitosa. De esta forma ya podemos optener respuesta del servidor ya sea por el nombre:serlab1.dominio.local, o por la dirección ip asignada: 192.168.10.3. Verificado esto escribimos“exit”.Siguiendo con el proceso de configuración de DNS, vamos nuevamente a la interfaz deconfiguración de DNS, y cerramos todos los niveles de pestañas y nos colocamos sobre el icono“SERLAB1”, hacemos click derecho el ratón y nos vamos a propiedades.En esta pestaña de propiedades “Interfaces”, colocamos todas las direcciones ip de losadaptadores de red (NIC) de donde queremos que el servidor escuche. Suponiendo que poseemos
  • más de una tarjeta de red en nuestro equipo. Una de las tarjetas se comunica a nivel interno con laLAN, y la otra con otra red (LAN, WAN, Internet, etc.), y no queremos que nuestro servidorescuche de esta última, entonces solo introducimos la dirección ip de la primera tarjeta de red, yesto nos garantiza que el servidor solo escuchara peticiones provenientes de esta dirección. En elsiguiente tab “Reenviadores”, Los reenviadores, son los servidores a los cuales nuestro servidor deDNS, realizara las solicitudes de DNS que este no conozca.Como funciona este servicio en realidad. Al nosotros tratar de resolver un DNS que no seencuentre dentro de nuestro dominio local, como por ejemplo: Facebook.com, este realizara laspeticiones a los servidores raíz de internet (ver el tab: “Sugerencia de Raíz”), servidores que nodeberiamos recargar con este trabajo, ya que los tiempos de respuesta serían demasiado largos,por el numero de consultas que esto tendrían que realzar en la web para dar respuesta a unasolicitud local. Lo ideal que la consulta se realice a un servidor de reenvío, y estos servidoresrespondan a la solicitud de forma más rápida, siempre y cuando dentro de su cahce se encuentrenlos datos de la solicitud realizada, estos serán regresados al servidor nuestro, y este los reenviaráal host que este hacendo la solicitud.Para esto utilizaremos dos (2) reenviadores de internet de un aempresa llamada openDNS(www.opendns.com), esta empresa posee unos servidores con gran capacidad de chache ytiempos de respuesta más rapidos. Las direcciones de estos servidores son: 208.67.222.222 y208.67.222.220.
  • Al realizar esto los servidores root no se utilizarán más. En las demás pestañas no se realizancambios. Hacemos click en Aceptar y seguimos con la configuración. Nos vamos a la pestaña“Zonas de búsqueda directa-> dominio.local” y hacemos click derecho en “propiedades”, y nosaseguramos que en nuestra zona de búsqueda directa, también en el tab “General” se encuentreseleccionado en la check list: Actualizaciones directas la opción: Solo con seguridad, asi como lohicimos en la zona de reversa.
  • Con Active Directory se presenta un inconveniente, debido a que por lo general en una red seagregan o se quitan máquinas de los dominios, están quedan sobrantes dentro del mismo,llenando nuestra base de datos de registros acumulados hasta el punto, de que es imposiblehacerle mantenimiento y podemos llegar al punto de no saber cuáles si o cuales no borrar.Para solucionar esto el directorio activo trae una opción de mantenimiento que se conoce como“Envejecimiento y limpieza de registros”. El mantenimiento de envejecimiento, se pude realizar anivel de todas las zonas o por zonas específicas.Si vamos a la zona de dominio.local, en las propiedades encontraremos un botón que dice:“Caducidad…”Al hacer click en el botón, se nos muestra una interfaz que por defecto las opciones aparecendesactivadas. Para efectos del mantenimiento automático, activaremos esta opción yconfiguraremos el mantenimiento de envejecimiento.
  • Dentro de nuestro domino cada vez que encendemos una máquina, esta preguntara a nuestrocontrolador de dominio, por los DNS y le asignara una ip dentro del dominio, lo más seguro es queesta máquina es poco probable de que su dirección ip cambie a pesar de ser dinámica. Si dentrode la configuración: “Intervalo sin Actualizar”, colocamos que sea diaria, generaremos un tráficoinnecesario en la red, en donde todos los computadores del dominio empezaran a preguntartodos los días por la dirección que le corresponde y generaran archivos en la base de datos deldirectorio activo innecesarios, por eso no es recomendable colocar en esta casilla 1 día. Paranuestro laboratorio colocaremos que esta actualización se realizará cada 15 días. Lo que significaque cada 15 días, los host podrán actualizar su información en el dominio.
  • La opción “Intervalo de actualización”, sucede lo siguiente: después de los primeros 15 días, lamaquina no se ha registrado en el domino, espere 15 días más, si dentro de estos quince díassiguientes la maquina no se registró, lo marque como un registro que expiro. Recuerde que estotambién se debe realizar en la zona de reversa del dominio.
  • Luego de activar el proceso de envejecimiento de registros, debemos activar el servicio delimpieza de registros, para ello vamos a las “Propiedades” del servidor y en “Avanzadas”habilitamos el check list “habilitar limpieza automáticade registros obsoletos”, el cual por defectoviene deshabilitado. Lo dejamos tal cual como viene por defecto.Si vamos a la consola de configuración de DNS, y en el menú principal, nos vamos a la pestaña“Ver” escogemos la opción “Avanzada”, con esto nos aseguramos de lograr ver en el registro:serlab1 de la zona: dominio.local, haciendo doble click sobre él, las propiedades deenvejecimiento y de limpieza del host. Los únicos registros que son afectados por este procesoautomático, son los registros creados por las propias maquinas. Debido a que se pueden crearregistros de forma manual estos no serán afectados por este proceso, aquí toca indicarle alregistro de forma manual la fecha de envejecimiento y limpieza de éste registro.
  • Cuando se crea un registro de forma manual, este registro no espirara nunca de forma automática,realicemos la prueba de creación de un registro de forma manual.En la zona: dominio.local, click derecho escogemos “Host nuevo (A)” y le colocamos como nombre“Prueba” una dirección cualquiera.
  • Al hacer doble click sobre el registro nuevo creado, nos damos cuenta que no aparece fecha deenvejecimiento ni de limpieza programados, por lo cual nos tocaría hacerlo de forma manual.Aclarado esto, borramos el registro, creado y seguimos con la configuración.Anterior mente se mencionó que podíamos realizar una limpieza de registro y la programación deenvejecimiento de manera automática para todas las zonas, esto se puede realizar siempre ycuando tengamos más de una zona en nuestro dominio. Ilustraremos la manera de hacerlo, pero
  • no lo aplicaremos en este caso ya que solo poseemos una sola zona en estos momentos. Vamos anuestra consola de configuración de DNS, y con el botón derecho del mouse hacemos click sobrenuestro servidor, y nos ubicamos en: “Establecer caducidad/borrado para todas las zonas…”, si sedan cuenta es la misma pantalla que nos sale al momento de configurar este servicio para una solazona, con la diferencia de que esto abarcaría todas las zonas dentro de nuestro dominio.Lo anterior aplica para el envejecimiento, lo siguiente aplica para el borrado de registros demáquinas obsoletas en el sistema, hacemos el mismo procedimiento anterior, siendo que ahoraseleccionamos: “Borrar registro de recursos obsoletos”, al hacer esto los registros serán marcadoscomo si se hubiesen creado hoy, y hay que esperar el tiempo asignado de envejecimiento, paraque se pueda evidenciar el borrado de registros, en nuestro caso serían 30 días. Este paso no loharemos ahora.
  • Seguidamente, instalaremos unas herramientas de soporte, que se encuentra en el CD deinstalación de Windows 2003 Server (ISO). Vamos al CD, e instalamos las herramientas de soporte,esto es recomendado hacerlo cada vez que instalemos un servidor Windows.La ruta de instalación es la siguiente: D:SUPPORTTOOLSSUPPORT.MSI, empezamos con lainstalación de las herramientas.
  • Las herramientas quedan instaladas en la ruta: C:Archivos de programaSupport Tools.A continuación dentro de los pasos que al inicio de esta etapa mencionamos, se encuentra el deinstalación de las políticas de administración de grupo: GPMC (Group Policy ManagementConsole). Vamos a nuestra máquina física (host) i entramos a internet para descargarlo.Realizamos una búsqueda en Google y colocamos en la barra de búsqueda: GPMC.
  • Descargamos el archivo .MSI, a nuestro equipo y utilizando una ventaja que nos ofrece elVMWare, que es el Drop and Down, arrastramos el archivo hasta el escritorio de nuestra máquinavirtual.
  • El GPMC, es una herramienta que nos permitirá gestionar las políticas del Active Directory de unaforma más fácil y eficiente, anteriormente a la existencia de esta herramienta, era muy difícil saberque políticas estaban activas, o inactivas, o en que unidades de la organización existían políticas deadministración del Active Directory.Luego de tener el archivo en nuestra máquina virtual, instalamos la aplicación.
  • Luego de finalizada nuestra instalación vamos a Herramientas Administrativas, y veremos que nosaparecerá un nuevo ítem: “Administración de directivas de grupo”.
  • En esta consola de administración podremos visualizar todas las configuraciones por defecto e laspolíticas de administración del active directory. En estos momentos no entraremos en detalle en laconfiguración de estas políticas, al momento de hacerlo regresaremos a esta consola.
  • Aquí debemos de agregar el about:… a las páginas de confianza del dominio.
  • Luego de esto configuraremos otro paso que es el tamaño del pagefile, es importante tambiénhacerlo en todos los servidores que instalemos. Para eso vamos Mi PC, click derecho,Propiedades.Opcines avanzadas->[Rendimiento]->Configuración.
  • Seleccionamos la pestaña: “Opciones avanzadas”, y nos vamos al recuadro final que dice“Memoria Virtual”, y damos click en el botón “CAMBIAR”.Lo recomendable en este aspecto es que el tamaño de nuestra memoria virtual sea 1.5 veces eltamaño de la memoria RAM del equipo, en este caso para nuestro equipo, inicialmente lecolocamos 384MB, si lo multiplicamos por 1.5, nos da como resultado 576MB.
  • Es recomendable que el tamaño inicial y el tamaño final sean iguales, dado que en ocasiones alutilizar toda la memoria, el sistema pausa todos los servicios para ampliar la memoria, y losservicios que se estén ejecutando pueden generar error, y pérdida de información, al momento enque el servidor realice esta operación. Como paso final de la operación hacemos click en el botón“Establecer”, para que los cambios tengan efecto. Y reiniciamos el servidor.Luego de reiniciado nuestro servidor, seguimos con la configuración de los servicios que en unprincipio definimos que tendría este equipo. El siguiente servicio a configurar es el WINS. Paraevitar que las maquinas hagan broadcast en la red es necesario que WINS esté instalado, este creaun repositorio donde se encuentran identificados todos los host de la red con dirección ip y elnombre de la máquina. Adicional mente este servicio nos permitirá comunicarnos con host deotras redes enrutadas. Para agregar este servicio, nos vamos a Panel de control->Agregar o quitarprogramas->Agregar o quitar componentes de Windows.
  • Buscamos el componente Servicios de red, y seleccionamos detalles, y buscamos el servicio deWINS. Debemos tener el CD de Windows Server a la mano por que al momento de empezar lainstalación lo vamos a necesitar. Una vez seleccionado el servicio, damos Aceptar->Siguiente, yempezara la instalación en el servidor. Esto nos creara un acceso a la consola de administración deWINS.
  • Nos dirigimos a Herramientas administrativas->WINS
  • En esta consola revisaremos las opciones que nos proporciona. Las describiremos pero no lasutilizaremos en el momento.
  • En Estado del Servidor, nos mostrara los servidores conectados, la última vez que se conectaron, si están o no respondiendo. Estadísticas del servidor, nos mostrara la fecha de inicio del server, número de consultas, etc. Compactar la base de datos, en esta opción podemos verificar la consistencia de la base de datos y realizar manualmente una limpieza de la base de datos del Active Directory. Esto por lo general toma bastante tiempo y es recomendable hacerlo en horas de bajo o poco tráfico en la red. Copia de seguridad de la Base de datos, podemos realizar copias de nuestra base de datos del active directory, como respaldo. Todas las tareas, podemos reiniciar, pausar o detener el servicio del active directory. Pausar el servicio, significa que el no creara nuevos servicios, pero si responderá a las peticiones de los host de la red.Dentro del WINS, poseemos dos carpetas, Registros Activos y Asociados de replicación.Registros Activos: Podemos visualizar todos los registros de la base de datos, se puede filtrar porNETBios, IP, o Asignación de Registros.
  • Propietarios de registro, podemos decir o buscar que nos muestren los propietarios de unregistro específico de un servidor o de varios servidores.
  • En este podemos buscar los registro pertenencientes a una máquina en especial por el nombre delequipo.En esta última, podemos ver por tipos de registros. Si nos vamos al botón Buscar, nos mostrara lainformación de nuestro servidor actual. Que es el que se encuentra seleccionado.
  • Mostrándonos información como: Nombre del registro, tipo de registro, dirección ip, estado, etc.Si observamos en la información nos damos cuenta que aparece nuestro servidor. Lasinstrucciones en la descripción del tipo aparecen dos aspectos relevantes. El primero que aparecee [00h], que hace referencia a una estación de trabajo, el servidor como tal también se comportacomo una estación de trabajo, creando un archivo tipo Estación de trabajo, esto sucede porqueen las propiedades de nuestra tarjeta de red tenemos activado el elemento Cliente para redesMicrosoft. El otro es [20h], esto hace referencia a que está activo el elemento de Compartirimpresoras y archivos…, esto genera que se cree como lo evidenciamos un registro de tipoServidor de Archivos.
  • Dentro de las propiedades de registros activos también encontraremos la opción Asignaciónestática nueva…, esta opción por lo general se utiliza cuando por ejemplo tenemos una máquinaLinux de misión crítica o con un servicio de correo por ejemplo configurado en esa máquina yqueremos que los usuarios lo vean por la red mediante WINS, usamos esta opción. Este servidor(Linux) no se encuentra registrado en la red ni en la base de datos de WINS, por lo que no poseeun servicio WINS que se comunique con nuestro servidor Windows, y la manera de que nuestroshost lo vean es por medio de esta opción.
  • Existe en Windows un comando que nos permite ver el estado del servicio WINS bajo consola deDOS, permitiéndonos ver estadísticas del NetBIOS, la cache, entre otras estadísticas, este comandoes el nbtstat. So colocamos nbtstat y enter, nos mostrara la ayuda de comandos del nbtstat.
  • La grafica anterior nos muestra la tabla de direcciones remota del servidor, colocando el nombredel servido, esto mismo se puede realizar introduciendo la dirección ip, solo hay que cambiar –apor –A, esta misma información que la consola principal de WINS pero en otro formato.
  • En la imagen anterior podemos visualizar el estado de la CACHE. Si ejecutamos el comando nbtstat–c. Si notamos existe un campo que dice Vida, que es el tiempo de vida del proceso en la memoriacache, si lo volvemos a ejecutar este disminuirá. si nos sale información como “No se encontraronnombres en cache”. Una manera de registrar datos en la cache es: inicio->Ejecutar->serlab1. Enesta pantalla no haremos nada, simplemente cerramos luego de que se abra, esto es para que enla cache se cree un registro de este equipo.Podemos hacer una prueba con el comando nbtstat –R, el cual limpiara y volverá a cargar la tablade la cache. Si inmediatamente colocamos el comando nbtstat –c, nuevamete veremos que noexisten registros en la cache.
  • Este comando nbtstat –R, nos sirve cuando en algún momento se realizó un cambio de ip a unservidor y los host no lo registran, es bueno ejecutarlo para que estos renueven la cache y la tablade direcciones ip. Hasta aquí el servicio WINS queda completo y configurado.Siguiendo con la instalación de servicios en nuestro servidor controlador de dominio, pasamos aconfigurar el servicio (Servidor) de DHCP. Este servicio nos permite asignar direcciones ip demanera automática. Adicionalmente, asignara la puerta de enlace, las ip’s de los servidores DNS, yla ip del servidor WINS. Para esto vamos a Panel de control->Agregar o quitar programas->Agregar o quitar componentes de Windows.
  • Seleccionamos el componente Servicios de red, y presionamos el botón “Detalles”, yseleccionamos la casilla que dice: Protocolo de comunicación dinámica del host, damos click en elbotón “Siguiente”, e instalamos el servicio.
  • Si vamos a las Herramientas del sistema podremos observar que ya se nos crea el acceso a lapantalla de configuración de DHCP.
  • Desde la versión de Windows 2000 server, cuando se monta un servicio como el de DHCP, esteservicio se debe autorizar para que se pueda realizar el despliegue de asignación de direcciones IPde forma automática. Si nos vamos a la consola de configuración de DHCP, podremos ver que elservidor tiene un icono con una flecha roja hacia abajo (que más bien parece un punto rojo), alcolocarnos sobre el servidor, en la pantalla del lado derecho nos indica que el servidor no seencuentra autorizado.Para autorizar el servidor, hacemos clic derecho sobre el nombre del servidor y nos vamos a laopción “Autorizar”, posterior a esto refrescamos la interfaz con F5, o simplemente nos vamos alicono de refrescar pantalla y vemos que nuestro icono del servidor ya cambia, colocando unaflecha verde hacia arriba (o un punto verde). Ya podemos ver que del lado derecho aparece enestado Activo.
  • Otra forma de hacerlo es dando click derecho sobre el servicio DHCP, e ir a la opción “Administrarservidores autorizados”, y en esta pantalla podemos autorizar nuestro servicio.
  • En este punto nos tocaria ingresar manualmente nuestra dirección IP del servidor.Hasta ahora lo que hemos hecho es autorizar nuestro servidor DHCP para que pueda funcionardentro de nuestro dominio. Pero no hemos dicho que rango de direcciones IP vamos a utilizardentro de nuestro servidor. Para tal efecto debemos crear un “Ámbito”. Nos colocamos sobrenuestro servidor y hacemos click derecho y escogemos la opción “Ámbito Nuevo”.
  • Iniciamos el asistente que nos servirá para ingresar la información respectiva.
  • Nos preguntara por el nombre del ámbito, en este caso colocaremos Red Local, la descripción noes necesaria, para este caso la dejaremos en blanco.
  • Nos preguntara por la primera y la última dirección IP por la cual se regirá el servidor DHCP. Porcaso a las buenas practicas se recomienda reservar las primeras 50 o las ultimas 50 direcciones IPpara los servidores, en nuestro caso, reservaremos las primeras 50 direcciones, e iniciaremos en la51, al igual que dirección de broadcast, que el ultimo octeto es el 255, no se utilizara por lo que esuna dirección reservada. La máscara de subred colocaremos una longitud de 24 para que nosquede 255.255.255.0, si queremos asignar más subredes, podemos bajar la longitud de la mascarade subred, y así podremos obtener más direcciones.
  • Las exclusiones dentro de nuestro servidor de DHCP, sirven para cuando dentro de nuestra red,tengamos un equipo con una dirección ya específica y no queremos que cambie, Ejemplo: Unservidor de Impresión o un servidor de Aplicaciones, especificamos es IP dentro de esta consola yla agregamos, para ejemplo del taller haremos de cuenta que tenemos un servidor de impresióncuya dirección IP es: 192.168.10.220.Debemos tener en cuenta que se debe colocar la IP de inicioy la de final en la exclusión, para tal efecto como solo tenemos una sola ip la IP de inicio y finalserá la misma.
  • Presionamos el botón Siguiente, para seguir con el asistente de instalación.
  • Nos aparecerá la concesión de duración de apropiación de una dirección IP, en pocas palabras,aquí se le asigna el límite en días, horas, minutos, que un host, podrá utilizar una IP dentro de lared. Lo dejaremos por defecto en 8 horas.
  • En esta sección configuraremos la puerta de enlace o el Gateway. Le colocaremos la dirección IPde nuestro servidor que servirá como como gateway según nuestro esquema original. La IP sería192.168.10.1. y presionamos el botón siguiente.
  • En esta sección, vincularemos nuestro servidor de DHCP al dominio para que al resolver y asignarlas direcciones IP pueda resolver a que dominio pertenecen estas direcciones. En dominio primariocolocaremos el dominio que creamos: dominio.local, Posterior a esto tenemos dos opciones deseguir configurando el dominio, en nombre del servidor escribimos el nombre del servidor, en estecaso: serlab1, y presionamos el botón resolver, del otro lado donde dice dirección IP, nosaparecerá la dirección IP correspondiente al servidor y le damos Agregar. Este proceso se puedehacer a la inversa, primero la IP y Agregar, nos mostrara el nombre del equipo.Lo mismo hacemos con el servidor de WINS, lo atamos al servidor de DHCP, para que puedaresolver las direcciones del dominio.
  • Posteriormente activamos el ámbito: Activar este ámbito ahora, siguiente, y por último Finalizar.Si verificamos nuestra consola de DHCP, veremos que se ha creado el ámbito de direcciones IP,con el rango inicial y final donde se servirán las direcciones, así como la dirección reservada.
  • En la carpeta Opciones de Ámbito, encontraremos todas las opciones que acabamos deconfigurar. En la carpeta de Reseras, se encontraran todos aquellos equipos a los que queremosque siempre se le asignen las mismas direcciones IP. El funcionamiento es sencillo, simplementeen la consola que nos aparece al hacer doble click con el ratón, ingresaremos la dirección IP quedeseamos asignar a una máquina específica y le asociamos la dirección MAC de esa máquina. Asínos aseguramos que esta IP siempre sea asignada a la misma máquina. Para efectos del taller no loharemos en estos momentos. Presionamos Cerrar.
  • Dentro de las opciones de Opciones de ámbito, encontraremos una que en ningún momentoconfiguramos, pero que está presente, y es la de 046 Tipo de nodo WINS/NBT, esta opción hacereferencia al tipo de nodo con el que funcionara WINS.
  • WINS a nivel de clientes posee cuatro (4) formas de funcionamiento: 1. Nodo B: Este nodo, es untipo de nodo Broadcast, lo que hace es que cuando se quiere comunicar con otro host de la red,comienza a enviar broadcast en el segmento de la rede donde se encuentra y a preguntar quién esel host que el necesita. Si el servidor no posee la dirección del host que se está buscando regresaun error diciendo que no se pudo encontrar la máquina destino. 2. Nodo P: Este tipo de nodocliente-servidor, pregunta primero la dirección IP de la máquina que él está buscando al servidorWINS. Si el servidor no posee la dirección del host que se está buscando regresa un error diciendoque no se pudo encontrar la máquina destino. 3. Nodo M: Primero hace broadcast, se colocaprimero en modo B, y si no encuentra la máquina destino, cambia a modo P, y vuelve a intentarlo,si en ambos casos falla, envía un error diciendo que no pudo encontrar el host destino, y regresa alestado M. 4. Nodo H: Es el que se configura por defecto y el más usado. Cuando contacta a unamaquina primero pregunta por la IP al servidor WINS, si no lo encuentra comienza hacerbroadcast. Dejaremos esta última, y el resto de las configuraciones igual.
  • Luego de configurar el servidor DHCP, nos toca ir a un cliente y realizar la configuración respectivapara saber si ya está recibiendo direcciones del servidor. Para tal efecto instalaremos un clienteWindows XP sobre otra máquina virtual, y lo uniremos a la red virtual que estamos creando. Unavez instalado el cliente XP, debemos instalar la herramientas de VMWare, para que pueda tomartodas las propiedades respectivas de independencia y configuraciones específicas, como pantalla,el comando CTRL+SUPR, entre otras. Por eso vamos a hacer click en el botón Install Tool, que seencuentra en la parte inferior izquierda de la pantalla de la máquina virtual.
  • Si abrimos el estado de conexiones de la red, nos damos cuenta que el equipo posee una direcciónIP fuera del rango que ya nosotros con anterioridad hemos configurado. Lo que indica que estecliente no está dentro del segmento de red correspondiente y menos dentro del dominio.Ahora, vamos con el primer paso. Nos vamos a las propiedades de la máquina virtual y en NetworkAdapter, cambiamos la opción a Customs Specific virtual network, y seleccionamos el Switch queestamos utilizando, para nuestro caso el VMnet3.
  • Configuramos luego el Remote Display, Habilitamos y cambiamos el puerto, colocamos 5901, yasignamos la clave respectiva. Esta configuración en caso de que vía VNC, queramos ver el clientedesde cualquier otro equipo de nuestra LAN, la conexión sería igual con la diferencia que en elcampo donde se digita las dirección IP del equipo remoto, se digitara la dirección y el puerto.Suponiendo que la dirección IP del el Host físico donde tengo montada todas las máquinas es:192.168.100.5, se debe colocar esta dirección más el puerto, así: 192.168.100.5:5901.
  • Luego empezamos a revisar nuevamente bajo DOS, la dirección de la tarjeta de red del cliente.Ejecutamos el comando cmd.Ejecutamos el ipconfig, y verificamos el estado de la dirección IP, vamos a notar que la dirección IPsigue siendo herrada, en el sentido de que no está dentro del rango que configuramos en elservidor de DHCP. Para que el cliente tome una dirección de este pool de direcciones del servidor,debemos digitar otro comando, que es el ipconfig –release, este comando limpiara el registro dela tarjeta de red colocándolo a 0.0.0.0.
  • Luego procedemos a decirle al equipo que renueve la dirección IP, y como el cliente ya seencuentra en el mismo segmento de red, él ira al servidor y realizara la petición respectiva, elservidor deberá devolver una dirección IP, dentro del rango configurado. Para esto utilizaremos elcomando ipconfig –renew. Notaremos que ya estamos en el dominio, y que la dirección IPasignada, pertenece al pool de direcciones previamente configuradas en el servidor DHCP, asícomo la puerta de enlace y la máscara de subred asignada y configurada previamente.Si notamos, nuestra dirección IP, es la terminada en .51, por ser la primera del rango, ya que las 50anteriores están reservadas para servidores.
  • Ahora si ingresamos el comando ipconfig –all, este nos mostrara toda la configuración de nuestroservidor en cuanto al direccionamiento IP, el dominio al que pertenece el equipo, tipo deadaptador de red, la dirección MAC de nuestro equipo, ente otras configuraciones. Pero las másimportantes encontraremos las Direcciones del servidor de DHCP, DNS (principal, ya que solohemos configurado uno), y el WINS principal, la fecha en que fue obtenida la dirección IP y la fechaen que esta expira.Esta misma verificación la podemos hacer en la consola del servidor de DHCP, nos vamos a nuestroservidor y verificamos que en la consola dentro del Ámbito de red local, en la carpeta donde diceConcesiones de Direcciones, del lado derecho encontraremos el equipo que recién se agregó a lared local y la información que ya por DOS, en el cliente hemos obtenido.ETAPA 5: INSTALANDO EL FIREWALL: ISA SERVERDesde mucho antes de que la información se volviera el “Activo Intangible”, más importante paralas compañías, a nivel informático se han creado estrategias y herramientas para asegurar que lainformación no sea accedida por intrusos o personal no autorizado. Una de estas grandesestrategias y/o herramientas se conoce como “FIREWALL” o pared de fuego.
  • Qué es un FIREWALL?, un firewall, no es más que una herramienta de software combinada con lacapacidad de procesamiento del hardware que nos permite realizar un filtrado en el acceso a lainformación entre varias redes, pudiendo ser este filtrado entre una LAN y una WAN, o entrevarias LAN. Un firewall restringe la comunicación entrante o saliente entre estas redes,permitiendo así resguardar la información.Para nuestro laboratorio utilizaremos el servidor que hemos destinado para este fin como lomuestra nuestro diagrama de infraestructura física de red al inicio del taller. Este servidor tendrádos (2) tarjetas de red, una para poder conectarse a la LAN (Interna), y la otra para la WAN(Externa) las cuales debemos configurar previamente.Tabla 1- Configuración tarjeta de red 1: Tarjeta Interna Campo Detalle Descripción Dirección IP 192.168.10.1 Red interna Mascara de Red 255. 255. 255. 0 - Gatgeway N/A Solo tarjetas externas DNS 192.168.10.3 Controlador de dominio primario WINS 192.168.10.3 Controlador de dominio primarioTabla 2- Configuración tarjeta de red 2: Tarjeta Externa Campo Detalle Descripción Dirección IP XXX.XXX.XXX.XXX Red externa Mascara de Red 255. 255. 255. 0 - Gatgeway XXX.XXX.XXX.XXX Solo tarjetas externas DNS 192.168.10.3 Controlador de dominio primarioEn esta configuración no necesitaremos un servidor WINS, por razones que se encuentrandescritas anteriormente en la configuración de este servidor.La tarjeta de red interna la conectaremos a nuestro Switch virtual el VMnet3, y la otra tarjeta laconectaremos a un bridge. Debemos tener en cuenta que la dirección IP y el Gateway, para lasalida a Internet, nos la asigna nuestro proveedor de servicios de internet, para nuestrolaboratorio, debemos solicitar al nuestro equipo de avances tecnológicos que nos habilite unadirección IP y junto con el Gateway para configurar nuestra tarjeta, si lo desean realizar en casabasta con colocar la dirección IP y el Gateway que nuestro proveedor nos da en nuestro equipo.Iniciamos nuestro proceso de instalación del firewall. Para ello clonaremos nuevamente nuestramáquina de referencia, y le colocaremos por nombre el que le asignamos al servidor SER-FW-01.Lo primero es configurar nuestras tarjetas de red. Para ello editamos nuestra máquina virtual y enla etiqueta de hardware buscamos la tarjeta de red 1 y la signamos el switch WMnet3.
  • Posterior a esto, en esta misma etiqueta, agregamos un nuevo hardware, pulsando el botónagregar, y escogemos Ethernet, y le asignamos en la configuración de conexiones de red (Panelderecho de la interfaz) la opción de Bridge.
  • Ya podemos visualizar en la interfaz que tenemos dos tarjetas de red: Ethernet y Ethernet 2.Luegoconfiguramos nuestro Remote Dysplay, y le asignamos el puerto 5903, si queremos acceder deforma remota, e iniciamos nuestra máquina virtual y realizamos el proceso de renovación del SID,proceso que también se explicó anteriormente.Lo que se recomienda cuando estamos instalando un firewall es no conectar directamente ainternet la tarjeta de red 2, lo recomendable es conectar está a un equipo (Linksys, DLink, u otroquipo) que haga NAT y conectar la tarjeta de red al switch virtual VMnet3 (de nuestra LAN), con lasdirecciones IP suministradas, mientras instalamos y configuramos el firewall, para evitar que lainformación entrante infecte el equipo, ya que durante la instalación este es totalmentevulnerable.Pasamos de esto a configurar nuestras tarjetas de red. Vamos a nuestra configuración de redes, enlas propiedades de la tarjeta, encontraremos que está tiene asignada una dirección IP dentro delrango suministrado por el servidor DHCP, de nuestro controlador de dominio principal. Lo quehacemos es cambiar esta dirección IP por la dirección IP fija, así que tomamos la configuración denuestra tarjeta de red interna así como se muestra arriba en la tabla 1 (Debemos acordarnos quelos servidores deben tener direcciones IP fijas). Nos vamos a propiedades avanzadas (Botónavanzadas).
  • Configuramos la pestaña de DNS, y colocamos nuestro sufijo de dominio: dominio.local.Configuramos la pestaña de WINS, y colocamos nuestro la IP de nuestro controlador de dominiolocal: 192.168.10.3, y habilitamos el checklist: Habilitar NetBios sobre TCP/IP. Por ultimo ledecimos que nos muestre el icono de notificación de red en la barra de tareas.
  • En las conexiones de red, cambiamos el nombre de nuestro adaptador de red, y le colocamos elnombre de interna, para identificar que esta tarjeta será la que se conectara a nuestra LAN.Es muy importante tener en cuenta que a través de la conexión de área local 2, no nosconectaremos a ningún cliente de red de Microsoft, como tampoco vamos a compartir archivos oimpresoras externas, por lo tanto es importante desactivar las directrices de la configuración de latarjeta, que hacen referencia a conexión con redes Microsoft y Compartir Archivos e Impresoraspara redes Microsoft.
  • Luego de desactivar estas directrices pasamos a configurar la dirección IP de la tarjeta, estaconfiguración es relativa a la red donde usted se encuentre, en este caso, esta configuracióncorresponde a la red de la empresa donde me encuentro, usted deberá realizar esta configuraciónde acuerdo a la configuración del proveedor de servicios de internet de la red donde se encuentre.Configuramos la IP del servidor DNS que va a ser nuestro servidor de DNS interno y quecorresponde a: 192.168.10.3.
  • Nos vamos a propiedades avanzadas y en la pestaña DNS, desactivamos la selección de “Registrarestas direcciones de conexiones en DNS”, la razón de esto, es que lo que deseamos hacer, es quecuando los clientes pregunten por el FIREWALL (ISA Server), nuestro servidor de DNS, primero noregistre la dirección en sus registros y los redirija a la IP externa, para que sea el ISA, quiencontrole el tráfico saliente y el tráfico entrante, por consiguiente en la pestaña WINS,desactivamos el envió de NetBios sobre TCP/IP. Por último renombramos la conexión de área local2 y le colocamos “Externa”
  • El siguiente paso tiene que ver con el orden de prioridad de uso de las tarjetas de red. Cuando ennuestro equipo poseemos más de una tarjeta de red nuestro cliente de DNS utiliza las tarjetas enorden de preferencia según estas estén configuradas, para ello debemos asegurarnos de que elorden de uso de estas sea el indicado para que se puedan prestar los servicios correspondientes através de cada tarjeta.Vamos al menú “Opciones Avanzadas”, y nos damos cuenta que el orden de prioridad de lastarjetas es Externa-Interna, y lo debemos cambiar a Interna-Externa. La razón de esto es: sidejamos la configuración inicial, todas las resoluciones de las peticiones de los clientes, serealizarán primero en la tarjeta externa, lo que sucede en este caso, es que esta tarjeta no tieneregistrado los recursos a los cuales los clientes desean tener acceso, ya que si recordamosdesactivamos la directriz de conexión a los clientes de Red de Microsoft, esto generaría unTIMEOUT en el servidor dando como respuesta que “El recurso no existe”, o “RecursoInalcanzable”. Lo que hacemos es que configurando la misma dirección IP de DNS en ambastarjetas, y cambiando el orden de Interna-Externa, es asegurar que todas las solicitudes de losclientes a recurso internos sean resueltas y que las solicitudes externas también, estas últimas seresuelven gracias a que en nuestro servidor de dominio principal hemos configurado la directriz de“reenviadores” cuyas direcciones IP corresponden a: 208.67.220.220 y 208.67.222.222,configuración que realizamos al momento de parametrizar nuestro DNS. Sabiendo estoprocedemos a realizar el cambio.
  • Finalizada esta sección, lo que nos toca hacer ahora es ingresar este servidor al dominio, paraaprovechar las políticas de manejo de grupo que nos brinda el Active Directory.Para realizar esta operación vamos a Inicio->Mi PC->Propiedades.Seguidamente vamos a la pestaña Nombre del Equipo, y pulsamos el botón cambiar.Seleccionamos el combobox, Dominio, y escribimos el nombre de nuestro dominio: dominio.localy presionamos Aceptar, nos pedirá que reiniciemos nuestro equipo.
  • Luego de reiniciada la máquina, procedemos a entrar al equipo, pero esta vez, presionamos elbotón Opciones, y donde dice “Conectarse a”, seleccionamos “Dominio”, y presionamos “Enter”.Una vez ingresado al equipo este realizara un cargue de controladores y actualizaciones deregistro con nuestro servidor de Dominio.Siguiendo la configuración del servidor, ahora debemos colocarle una contraseña al UsuarioAdministrador Cliente, esto debemos hacerlo debido a que cualquier usuario que se conectedesde internet con el escritorio remoto puede acceder al servidor y obtener las claves del servidorde dominio utilizando un software espía y obtener dominio de completo de la red, pero no soloeso, sino que también puede obtener información muy valiosa de manera sigilosa de la empresa.De igual forma Windows 2003 Server no permite acceder remotamente si el usuarioAdministrador local no posee una contraseña.Procedamos entonces a realizar este procedimiento, para ello vamos a Inicio->Mi PC->ClickDerecho->Administrar->Enter. Nos saldrá una interfaz de Administración de Equipos.
  • Dentro de la interfaz nos vamos al árbol de directorios (Mano izquierda), y desplegamos eldirectorio “Usuarios y Grupos Locales”, abrimos la carpeta usuario, del lado derecho escogemos elusuario “Administrador”, Click derecho y escogemos “Establecercontraseña”, en la pantallasiguiente presionamos “Continuar”, e ingresamos la contraseña, dos veces en las casillas de lainterfaz de ingreso de contraseña.
  • Para este efecto, la contraseña será: “Labfw123”. Debemos tener en cuenta los parámetros deasignación de contraseñas de Windows Server 2003 para este aparte, en caso de que deseecolocar otra. (Investigar y colocar como anexo lo descubierto en su investigación). Por últimodamos aceptar.Descomprimimos el archivo de ISA Server 2006, y ejecutamos el archivo .exe de instalación de laaplicación.
  • Una vez iniciada la instalación de ISA, procedemos a seguir los pasos de configuración pertinentes.Pulsamos el botón “Siguiente”, y aceptamos el acuerdo de licenciamiento del software, luegoseleccionamos instalación personalizada para ver las opciones de instalación que nos trae el ISA.ISA Server se compone de 3 componentes fundamentales: Servidor ISA, Registro Avanzado,Administración del Servidor ISA.Servidor ISA: Posee todos los componentes de instalación del Firewall.Registro Avanzado: A la hora de realizar auditorías al sistema, este componente nos permitirárealizarlo de forma ágil y segura.Administración del Servidor ISA: Esta es una consola de administración de ISA la cual podemosutilizar sin necesidad de una VNC o Escritorio Remoto, esta es una buena alternativa y se puedeinstalar en un equipo con SO, XP, o WIN_VIATA. Lo único que se requiere es insertar el CD de ISAServer 2006 en el equipo y seleccionar instalar solo este componente. Visto esto procedemos apulsar el botón “Siguiente”.
  • Lo siguiente que nos pregunta es el rango de direcciones internas, para lo cual realizaremos unapequeña explicación:Caso Hipotético 1.“Supongamos que somos los administradores de una red compuesta por varias subredes endiferentes ubicaciones geográficas tanto locales como no locales, lo que se conoce técnicamentecomo la intranet de la empresa, esto implica que entre cada sede de la empresa existecomunicación mediante routers y cada sede posee un direccionamiento IP distinto.Teniendo claro lo anterior, se nos pide que el tráfico o salida a Internet de cierta aplicación de lasede X de la empresa deba ser por el firewall de la sede principal (Nuestro servidor SER-FW-01).Para que esto sea posible le debemos decir al servidor en este paso de configuración quedirecciones se tomaran como direcciones de tráfico local de la red, incluyendo las de la LAN dondese encuentra el Firewall y las otras IP’s que se requieran”.En esta imagen, vamos a agregar las direcciones en el orden de. “DE-A”, “De X dirección A Ydirección”, podemos escoger el rango desde un adaptador de red (Tarjeta de Red), o ingresar unrango de forma manual. Para el caso, escogeremos el rango de direccionamiento de la tarjetainterna. Pulsamos “Agregar->Agregar Adaptador->Interna”.
  • Nos damos cuenta que el rango que direcciones que se asignan corresponden al rango dedirecciones IP que previamente se habían destinado para la red.Existe un concepto dentro del direccionamiento IP, que consiste en la asignación de RutasEstáticas. Las rutas estáticas no son más que una serie de ip’s dentro de nuestra red que nosayudan a redireccionar de forma efectiva paquetes que ingresan de redes remotas a nuestra LAN yde nuestra LAN a estas redes remotas.Caso Hipotético 2“Tomemos el caso hipotético 1, descrito anteriormente, pero esta vez, queremos que una máquinade la LAN donde se encuentra nuestro Firewall, se comunique con un equipo de una de las redesremotas de la empresa. Para el efecto de que un PC de la red remota se comunique con otro PC dela LAN local no hay problema, ya que la configuración realizada en los routers se encargara dehacer llegar el paquete, el problema está en cuando la PC de la máquina de nuestra LAN leresponda a la PC remota, ya todo el tráfico sale por el Firewall, este no reconocerá la dirección IPde la PC remota como una dirección local y tratara de enviar la respuesta hacia la WAN,ocasionando una pérdida de información. Para solucionar este inconveniente, lo que hacemos escrear Rutas Estáticas, diciéndole al Firewall que mande la respuesta a una puerta de enlaceespecífica (interfaz del Router de la LAN que comunica con el router de la red remota), para queeste se encargue de enviar la información a su destinatario.Cabe anotar que esta comunicación solo se dará entre las PC´s de la LAN a cualquier PC de la redremota que este dentro del rango de IP destino.”Miremos como se crea una ruta estática:Ingresamos a la consola de comandos de DOS y digitamos el comando “route”, como se muestraen la siguiente imagen.Si solo digitamos “route”, nos mostrara un listado con los ejemplos de cómo crear una rutaestática. En este caso los parámetros que ingresaríamos serían los siguientes:route add –p [DIRECCION IP DESTINO]mask [MASCARA DE RED] [GATEWAY]Descripción del comando:route: Es el comando que le dice al SO, que se creara una ruta estática.
  • add: Es parámetro que nos dice que la ruta en nueva.-p: Este parámetro se utiliza para decir que la esta ruta sea persistente, con ello logramos que nose borre en caso de que se reinicie la máquina.[DIRECCION IP DESTINO]: Es el rango de IP, o el segmento de direcciones IP´s de la red remota[MASCARA DE RED]: Mascara de red de la dirección remota que por lo general sería255.255.255.0, para indicar que son todas las direcciones IP del segmento señalado en elparámetro anterior.[GATEWAY]: Es la dirección IP de la interfaz de comunicaciones del router de nuestra LAN que secomunica con el router de la red remota.Debemos tener en cuenta que las rutas estáticas se deben crear antes de la instalación completadel ISA Server, la razón es sencilla; cuando yo llegue al punto de la instalación del ISA donde nostoque agregar el rango de direcciones locales como vemos nuevamente en la gráfica, podamosvisualizar las rutas estáticas, de lo contrario no se podrá realizar. Para ello se recomienda tener undiseño detallado de la red y los direccionamientos que se utilizarán.Si hacemos el ejercicio de crear una ruta estática, sería de la siguiente forma:Luego verificamos que la ruta se haya creado correctamente con el comando “route print”:
  • ANTES DE RUTAS ESTATICAS DESPUES DE RUTAS ESTATICASEn la imagen de la derecha nos damos cuenta que se han agregado las rutas de las IP´s que fijamosen nuestro Servidor DNS de forma automática y la ruta estática que creamos recientemente.Luego de que hemos realizado esto, procedemos a borrarla, la razón, no vamos a necesitar rutasestáticas en este laboratorio, pero es bueno saber de qué existen alternativas de configuración enla red. Como borramos la ruta que hemos creado; procedemos con el siguiente comando:Y verificamos nuevamente con “route print”.Regresamos a esta pantalla y removemos los rangos de IP´s que aparecen y luego hacemosnuevamente el proceso de agregar las IP’s desde nuestra tarjeta de red interna de formaautomática y damos “Aceptar”.
  • Se nos mostrara la siguiente interfaz y le damos siguiente:En esta imagen seleccionamos la casilla de verificación que nos aparece, las razones son lassiguientes: 1. Para que usuarios que tenían conexiones anteriores a ISA 2006 Server, no utilizabanconexión con cifrado, es necesario que esta casilla este seleccionada, y 2. Como la comunicaciónserá entre los clientes de la LAN y el Firewal, no corremos riesgos de seguridad por el momento.En las siguientes pantallas encontraremos información de lo que se instalara, lo que hacemos espresionar el botón siguiente.
  • A partir de este momento se inicia el proceso real de instalación del ISA Server.Nota: Para que el proceso se cumpla de forma exitosa es recomendable tener iniciado el servidorde dominio, y haberse logueado en el servidor firewall estando el servidor de DNS iniciado, enambos servidores nos debemos loguear dentro del dominio:Instalando ISA:
  • Comprobamos la instalación del ISA yendonos a: Inicio->Todos los programa->Microsoft ISAServer:Reiniciamos el Servidor para que si algun servicio del ISA no se inicio con la instalación estos seinicien al reiniciar.
  • Una vez reiniciado el servidor, abrimos la consola de administración de servicios del ISA Server. Panel de navegación Opciones de Configuración Ventana de TareasSi nos posicionamos sobre el nombre del servidor en el panel de navegación, observaremos que enlas opciones de configuración nos aparecerá la opción: Defina la Configuración de Red del ServidorISA.
  • Al ingresar a esta función, nos aparecerá en el panel de navegación el cursor situado en“Configuración->Redes” y en el panel de opciones, una plantilla de red predefinida que nosayudara a configurar nuestro sistema.Si nos vamos a la ventana de tareas, observaremos una seriede posibles configuraciones en forma de plantilla que nos ayudan a configurar nuestro sistemasegún las especificaciones que deseemos.Ya habiendo dado un vistazo general a la consola de administración, procedemos a ir a lasdirectivas del Firewall, click derecho, “Ver->Mostrar reglas de directivas del sistema”, se nosmostraran alrededor de 30 directrices de comunicación con la red interna que el servidor trae pordefecto. Estas directrices se recomiendan cambiar solo en caso de que sea necesario.
  • La regla número 1, es la que nos permite comunicación con el active directory de nuestro servidorde dominio.Volvemos a directivas del Firewall, click derecho, “Ver->Mostrar reglas de directivas del sistema”, yde-seleccionamos nuevamente esta opción para no sobrecargar la pantalla. A partir de estemomento vamos a crear nuestras políticas del servidor.