ADMINISTRACION DE RED LAN CON WINDOWS 2003 PARA LOS LABORATORIOS DE ESIME.

Transcripción

1 INSTITUTO POLITECNICO NACIONAL ESCUELA SUPERIOR DE INGENIERIA MECANICA Y ELECTRICA UNIDAD PROFESIONAL ZACATENCO INGENIERIA EN COMUNICACIONES Y ELECTRONICA 1 ADMINISTRACION DE RED LAN CON WINDOWS 2003 PARA LOS LABORATORIOS DE ESIME. PROYECTO DE TITULACION INTEGRANTES: MORENO MERINO ANTONIO DE JESUS PEREZ GARCIA JESUS SILVA GALVAN JONAS DIRECTOR DE PROYECTO: ING. JERARDO RODRÍGUEZ COROY

2 INDICE GENERAL MEXICO D.F. NOVIEMBRE DE 2008 Antecedentes...5 Justificación..8 Objetivo General y Especifico.. 10 CAPITULO I 2 INTRODUCCION A WINDOWS SERVER Introducción Antecedentes Históricos Segmento Usuario Segmento empresarial Carácteristicas Recuperación Automática Del Sistema 5.2. Copia De La Sombra Del Volumen 5.3. Sistema De Archivo De-cifrada (EFS) 5.4. Retroceso De Conductor 6. Funcionalidades Del Directorio Activo Servidor De Instalación Remota(RIS) 6.2. Servidor De Información De Internet Versiones De Windows Server Requerimientos para la instalación..22 CAPITULO II DIRECTORIO ACTIVO, DNS Y POLÍTICAS DE USO Funcionalidades Controlador de dominio Controlador de dominio(directorio Activo) 1.2. Servidor De Archivo 1.3. Servidor De Impresión 1.4. Servidor DNS 1.5. Terminal Server 1.6. Herramienta Administre Su Servidor 2. Ventajas del Directorio Activo Que son los dominios y controladores de dominio?...27

3 4. Qué es una unidad organizativa? Ventajas del uso de unidades administrativas Que son árboles, bosques y confianza? Qué es el esquema? Requisitos de instalación del Directorio Activo Método para agregar un controlador de dominio a un dominio existente GPMC Administración De Políticas DHCP Definición Por qué utilizar DHCP? Configuración Manual TCP/IP Configuración Automática TCP/IP Cómo el DHCP asigna direcciones IP? Asignación De Direcciones IP Cómo funciona el proceso DHCP Lease Generation? Cómo funciona el proceso DHCP Lease Renewal? Período de Lease Proceso automático "Lease Renewal" Proceso manual Lease Renewal Servicio DNS Descripción del espacio de nombres de dominio DNS Cómo se organiza el espacio de nombres de dominio DNS Delegación Servidores de nombres de dominio Resolver Proceso de resolución de nombres Parte 1: El solucionador local Parte 2: Consultar un servidor DNS Estructura de la base de datos del DNS Resolución inversa WSUS (Servicio De Actualizaciones Para Servidores)Windows Aplicaciones soportadas Configuración De ESET NOD 32 Enterprise Multiusuario Servidor De Administración Remota ERAS Consola De Administración Remota ERAC

4 ANEXO 1 MANUALES DE INSTALCION Instalación de Windows server Instalación de Active Directory Instalación de DHCP Instalación de DNS Instalación de WSUS ANEXO 2 PRUEBAS Configuración de un equipo a dominio Creación de usuarios, grupos y equipos en Directorio Activo Configuración de ESET NOD32 Enterprise Multiusuario Comprobación Del Servidor DHCP Referencias 133

5 Administración de red lan con Windows 2003 para los laboratorios de ESIME -Antecedentes de la Escuela Superior de Ingeniería Mecánica y Eléctrica. - Politécnico proveniente del griego Polytechnikós, que a su vez, deriva de Polytechnós, cuyo significado es ave en distintas partes. Este adjetivo se aplica a cuánto abarca conocimientos de diversas ramas de la ciencia, y especialmente centro de enseñanza. Con frecuencia figura la designación propia de algunos de ellos. 5 El primer antecedente de la ESIME se remonta al decreto de creación de la Escuela de Artes y Oficios para Hombres, expedido por el Presidente Ignacio Comonfort en Este plantel no prosperó debido a las dificultades que debió enfrentar el gobierno de esa época y dos años después fue clausurado. En 1876, por decreto del Presidente Benito Juárez, reanudó sus actividades docentes; se le asignó para tal efecto el edificio del Ex-convento de San Lorenzo, en las calles de Allende y Belisario Domínguez, en el primer cuadro de la ciudad de México. El plantel cambió de nombre en varias ocasiones; en 1916 a Escuela Práctica de Ingenieros Mecánicos y Electricistas (EPIME); en 1921 a Escuela de Ingenieros Mecánicos y Electricistas (EIME); en 1932, por un período muy corto, a Escuela Superior de Mecánica y Electricidad (ESME), para adoptar en ese mismo año el nombre que hasta la fecha conserva de Escuela Superior de Ingeniería Mecánica y Eléctrica (ESIME). Esta escuela, junto con las Escuelas Superiores de Comercio y Administración (ESCA), de Ingeniería y Arquitectura (ESIA), de Ingeniería Textil (ESIT), la Nacional de Medicina y Homeopatía (ENMyH) y la Nacional de Ciencias Biológicas (ENCB), es fundadora, en 1936, del IPN. Con objeto de preservar el carácter integral de la ESIME, en agosto de 1990 se dio una reestructuración académicoadministrativa y se crearon cuatro unidades.

6 -Objetivo de ESIME (Zacatenco)- Formar profesionistas capaces de realizar eficientemente actividades de: dirección, diseño, construcción, producción, pruebas, instalación, industrialización, operación, mantenimiento, adaptación tecnológica aplicación y administración de equipo y sistemas electrónicos a través del proceso educativo obteniendo un alto nivel de conocimientos, con los cuales se desenvolverá con eficiencia en el desarrollo profesional del área de: electrónica, comunicaciones, control, computación, acústica; además de que al enfrentarse a los problemas de proyecto, diseño y operación de sistemas lo hará seleccionando y/o creando la tecnología que considere más adecuada con un sentido de responsabilidad social de transformaciones, preservando el medio ambiente. 6 -Descripción física- La Escuela Superior de Ingenieria Mecanica y Electrica forma parte del Instituto Politécnico Nacional y se ubica dentro de la Unidad Profesional "Adolfo Lopéz Mateos" Zacatenco, conformándose por los edificios 1,2,3,4 y 5. A demás de éstos edificios cuenta con un edificio principal llamado Edificio Z en el cual se encuentran la mayoría de los laboratorios que se ocupan para realizar las practicas necesarias de cualquier materia que así lo requiera. Sumándole uno mas que lleva por nombre Laboratorios Pesados de ESIME para las carreras de Ingeniería eléctrica e ingeniería en Control y Automatización. Enfocándonos mas en lo que es nuestro proyecto damos a conocer los principales laboratorios de la Carrera de Ingeniería en comunicaciones y electrónica para la especialidad de computación dentro de un organigrama que nos explica detalladamente como están formados y como se brinda el servicio.

7 -Ubicación de los laboratorios- La escuela cuenta con 7 laboratorios de computación ubicados 3 en el edificio 4 planta baja y 4 en el edificio 5 planta baja. En el cual 2 pertenecen a la especialidad de computación, 1 a la materia de circuitos lógicos,1 a la materia de basa de datos y 3 a la materia de computación. Organigrama de la Academia de Computación 7

8 - JUSTIFICACIÓN - El acceso a los laboratorios es administrado por 2 encargados en el turno matutino y 2 en el turno vespertino, los cuales cuentan con un checklist o un formato que lleva por nombre lista de control de laboratorios, en éste el alumno y el profesor tienen la tarea de llenar cada campo que se le solicita en dicho formato, los campos con los que cuentan son número de laboratorio, grupo, horario, fecha de asignatura, profesor titular, profesor adjunto, responsable de laboratorio, observaciones, reporte de las fallas de las pc s y por último el nombre de cada alumno, estos formatos son utilizados en su momento para reportar las fallas a la unidad de informática. 8 Actualmente cada laboratorio cuenta en promedio con 22 computadoras que dan servicio a un promedio de 400 alumnos por día en ambos turnos. Para evitar fallas recurrentes en el hardware y software solamente se les restringe a los alumnos verbalmente y por medio de circulares, ya que no se cuenta con una red para administras los privilegios que se les dan a los usuarios ya sea de hardware o software. Al finalizar cada periodo de estudio y al realizar el inventario general de los equipos de cómputo se observa que solo el 25% de las computadoras en promedio quedan funcionando correctamente. Conforme a esto actualmente se la da mantenimiento más de 9 veces al año, tanto al software como al hardware de cada computadora. Entre el software mas utilizado independientemente del software estándar (WINDOWS y OFFICE), se encuentran los antivirus y otros mas de acuerdo a las necesidades de cada profesor.

9 A continuación presentaremos algunos puntos de la problemática que se presenta al estar trabajando y no tener una buena administración de los laboratorios. 1. PROBLEMA DE NO TENER UN CONTROL EFICIENTE DEL PERSONAL QUE OCUPA UNA COMPUTADORA. En este caso la bitácora que lleva el personal de laboratorio no es muy útil pues el mismo alumno no le da la importancia que se merece. Tanto el personal a cargo como el profesor en turno, no están supervisando o monitoreando constantemente lo que realiza el alumno. Instalación de Software no necesario por el usuario. Desinstalación del software estándar sin permiso alguno por usuario. Pérdida de Información. Perdidas de dispositivos de los equipos de cómputo. Extremos problemas de VIRUS en las computadoras. Falta de Licencias de Software Falta de Actualización de paquetería y antivirus. Falta de Monitoreo Remoto 9 2. PROBLEMA DE NO PODER RESTRINGIR LA FORMA EN QUE SE UTIIZA UNA COMPUTADORA. Personal a cargo no capacitado. Falta de Red de Área Local. Procedimiento muy extenso y tedioso para solicitar la Instalación de un nuevo Software (Por oficio). 3. PROBLEMA DE NO GASTAR TIEMPOS EN MANTENIMIENTO Personal no capacitado para dar mantenimiento a las computadoras No se brinda mantenimiento preventivo o Limpieza de Hardware o Actualización de Software o Limpieza de Archivos no necesarios o Limpieza de Archivos Temporales No se brinda mantenimiento correctivo o Reparación de Equipos de computo dañados o Actualización de Hardware o Formateo de equipos con virus o Reinstalación de software dañado

10 -Objetivo general- Mejorar la calidad del servicio del uso de equipo de cómputo de los laboratorios. -Objetivos específicos- Proponer una solución que mejore la disponibilidad del equipo de computo de los laboratorios basado en una red. Instalar y administrar el servidor central de la red, basado en la estructura de dominio Generar información confiable sobre la cantidad de alumnos y profesores que hacen uso de los recursos de computo de los laboratorios. Adquirir los conocimientos que permitan comprender el comportamiento de los diferentes equipos, y a partir de su medición y supervisión incorporar una metodología para el mejoramiento de la productividad. 10 Evaluación de la calidad de servicio-

11 11

12 CAPITULO I 12 INTRODUCCION A WINDOWS SERVER 2003

13 1. Introducción Las nuevas características de Windows Server 2003 hacen que sea, hasta el momento, el sistema operativo más estable, robusto, escalable y sobre todo mejor orientado a perfeccionar la performance y las prestaciones para Servidores en distintos roles: Aplicación, Servicios Web, Servicios de Directorio, Servicios archivo & impresiones y Servicios de Infraestructura. La optimización de todas estas características, sin duda, también configuran a la familia Windows Server 2003, como la plataforma más que recomendable para los negocios, reduciendo notablemente aspectos tales como el TCO Antecedentes Históricos La historia evolutiva de la familia de sistemas operativos Windows es la siguiente: MS-DOS, Windows Salió en 1985 y es la extensión gráfica de DOS. Permitía visualizar múltiples aplicaciones en un mismo momento y la funcionalidad de compartir datos entre las aplicaciones. Segunda versión Windows Salió en 1987 y es la versión para procesadores de 16 bits, desarrollada para sacar provecho de los nuevos procesadores Versión 3.0 de Windows Salió en 1987 y es la primera versión que tiene éxito. Desarrollada para los procesadores Era un sistema operativo muy dependiente del DOS. Se potencia uso del portapapeles para pasar datos de una aplicación a otra. Versión 3.1 de Windows Salió en Mejoraba y corregía la versión anterior e introducía nuevos conceptos software. Windows para trabajo en grupo 3.1 Salió en Es el primer sistema operativo de Microsoft que incorpora soporte para redes. Era una red para grupos de trabajo, es decir, sin un servidor central.

14 A partir de aquí, los Sistemas Operativos Windows toman dos caminos. El camino que busca satisfacer el amplio espectro de usuarios domésticos y el que busca solucionar la problemática empresarial. 3. Segmento usuario Windows 95 Salió en Sistema operativo de 32 bits. Mejora notablemente el interfaz de usuario. No pierde la compatibilidad con el mundo de los 16 bits y las aplicaciones DOS. Esto hace que no sea un sistema verdaderamente de 32 bits. 14 Windows 98 Salió en Incorpora un convertidor de unidad (FAT32), se mejora el escritorio, se realiza la integración con la Web (incorpora el Internet Explorer), etc. Windows Millenium Salió en Windows XP Salió en Mayo del Tiene cuatro versiones, XP Professional, Home Edition y Tablec PC Edition. 4. Segmento empresarial Windows NT 3.1 Salió en Un sistema de 32 bits transportable (utilizado por más de una arquitectura de Procesador), con capacidad de multiproceso, fiable, seguro y orientado a redes. Windows NT 3.5 Salió en Aparece en dos versiones: servidor (server) y estaciones de trabajo (workstation). Es el primer sistema operativo de Microsoft que incorpora soporte para redes. Un sistema de 32 bits transportable. Windows NT Salió en Sistema realmente fiable y muy apto para el uso profesional de la informática.

15 Windows NT 4.0 Salió en Incorpora al Windows NT 3.51 el interfaz de usuario de Windows 95. Windows 2000 Salió en Dispone de cuatro versiones: Proffesional Edition, Server Edition, Advanced Server. Windows 2003 Salió en Dispone de cuatro versiones: Web Edition, Standard Edition, Enterprise Edition y Datacencer Edition, Edition y Datacencer Edition. 15 Desde el lanzamiento de los sistemas operativos de Redes, pasando por Windows NT, los sistemas se fueron perfeccionando a la medida de las necesidades de las empresas. Desde las ya conocidas diferencias que introdujo Windows 2000 sobre su predecesor Windows NT 4.0, llegamos hoy en día al Sistema Operativo óptimo para las exigencias del mercado Informático, donde se han implementado notables mejoras con respecto a su predecesor Windows En el caso de Windows Server 2003, éste está basado en experiencias del mercado consumidor Informático, y es por eso que en él encontraremos muchas características de las que siempre nos preguntamos Se puede hacer esto?... y aquello? Hasta el momento sin respuesta, pero a partir de ahora, esas preguntas encuentran posibles respuestas en Windows Server 2003.

16 5. Características Almacenamiento Directorio Activo Instalación Servicios Web Recuperación automática del sistema Esta nueva herramienta permite recuperar el sistema operativo a su estado anterior. Cómo funciona? Utiliza un Diskette con información de la configuración y un conjunto de copia de seguridad. Cuando Usted quiera iniciar el proceso de recuperación tendrá que tener ese diskette, el conjunto de copia de seguridad de la sistema de partición y el Cd-Rom de instalación de Windows Server Para este proceso, necesitará el diskette y los medios de ASR que contienen los archivos de copia de seguridad. El sistema operativo será restaurado al mismo estado que tenía en el momento de la copia de seguridad ASR, permitiéndole arrancar su sistema. 5.2 Copia de la sombra del Volumen Este nuevo servicio ayuda a recuperar archivos perdidos erróneamente. Para ello el servicio copia de la sombra guarda versiones anteriores de archivos para su posterior recuperación, eliminando la necesidad de recurrir a la Restauración de la copia de seguridad. Cómo funciona? Utiliza un cache en disco para el almacenamiento de versiones de archivos, que luego se pueden recuperar cuando sea necesario desde esa copia.

17 5.3 Sistema de archivos de cifrado (EFS) La nueva funcionalidad del EFS en Windows Server 2003 permite realizar una encripción del sistema de archivos en forma segura y también que otros usuarios tengan acceso a esos archivos. Esta funcionalidad es muy importante puesto que si bien en ocasiones es necesario darle seguridad a ciertos archivos, también es importante poder compartirlos entre usuarios. El sistema de encripción que utiliza EFS es una combinación de dos métodos, encripción Asimétrica y Infraestructura de Clave Publica (PKI) Retroceso de conductor Esta es una nueva utilidad para el manejo de versiones en Drivers de dispositivos y permite volver a la versión anterior del Driver. Si este ocasiona problemas, también hay mejoras en cuanto a la verificación de funcionamiento de los drivers con la nueva versión del "Driver Verifier V2" y firmado de Drivers. 6. Funcionalidades del Directorio Activo. ADMT versión 2.0 Ahora es sencillo migrar a Directorio Activo utilizando las mejoras de Directorio Activo Herramienta de Migración. ADMT 2.0 permite migrar contraseñas desde Microsoft Windows NT 4.0 a Windows 2000 y Windows Server 2003, o desde Windows 2000 a Dominios Windows Server Renombrado de Dominios Este es el soporte para cambiar nombres Sistema de Nombre de Dominios (DNS) y/o NetBIOS de dominios existentes en un bosque, conservando toda la estructura del Directorio. En escenarios de reestructuración de dominios, esto otorga una gran flexibilidad. Esquema La flexibilidad del Directorio Activo, ahora permite la desactivación de atributos y definición de clases en el Esquema de Directorio Activo. Asimismo se agrega una nueva funcionalidad que permite borrado de Esquema. Política de Grupo. Junto con Windows Server 2003, Microsoft lanzó una herramienta para la administración de GPO Consola de administración de políticas de Grupo

18 (GPMC), que permite administrar múltiples dominios, activar y desactivar Políticas y hacer soporte para arrastrar y soltar la herramienta. También incluye la funcionalidad de Copia de Seguridad, Restauración y copia de Políticas, y trae una herramienta de Reportes para analizar la utilización de Políticas. Encontrará mejoras sustanciales de las Políticas y muchas más configuraciones para administrar en forma centralizada. Relaciones de confianza Windows Server 2003 trae también sustanciales mejoras en cuanto al manejo de las relaciones de confianza entre bosques. La característica " Cruz-forestal de autenticación " permite a un usuario del bosque acceder en forma segura a recursos en otro Bosque, utilizando Kerberos ó NTLM, sin sacrificar los beneficios del "Single sing-on" y facilitando la administración. Asimismo permite seleccionar fácilmente usuarios y grupos para incluirlos en grupos locales de otros Bosques, manteniendo la seguridad y los SID de cada objeto, a pesar de tratarse de diferentes Bosques. 18 Políticas de Restricción de Software Por medio de estas Políticas se pueden proteger los entornos de Software no autorizados, especificando el Software que sí lo está. También se pueden realizar excepciones creando reglas específicas. Replicación de miembros en los grupos Anteriormente los miembros de un grupo eran un atributo del mismo, con lo cual, si durante la replicación se modificaba el grupo en dos Controladores de Dominio diferentes, el resultado era que la última modificación se replicaba. Es decir, si se agregaban dos usuarios a grupos, uno no era añadido, pero se tenía una limitación en cuanto a la cantidad de usuarios por grupo (Limitación del Atributo) de máximo A partir de Windows Server 2003, ahora cada usuario en un grupo es un atributo diferente, eliminando la limitación de 5000 usuarios y resolviendo los problemas de replicación. Manejo de Sitios El manejo de sitios incluye un nuevo algoritmo de sitios Generador de Topología (ISTG), eliminando la limitación del número máximo de Sitios en 500 a 5000 Sitios (Probado en laboratorio 3000). Rastreador de sucesos. El Rastreador de sucesos es una nueva herramienta que permite recolectar para futuros análisis, los motivos por los cuales un Server se reinicia, se

19 apaga, o fue apagado por falta de energía. En este caso la herramienta le preguntará, en el apagado o reinicio, el motivo del desperfecto para almacenarlo Servicio de Instalación Remota (RIS) Mejoras en el soporte para instalación: Todas las versiones de Windows 2000 (incluidas Server y Advanced Server) Windows XP Professional Todas las versiones de Windows Server 2003 Todas las versiones de 64-bit Windows XP y Windows Server 2003

20 Servicios de Información Internet 6.0 Este componente del sistema operativo tuvo significantes cambios con respecto a la versión anterior, que a continuación se detallan: Arquitectura de procesos Tolerantes a Fallos IIS 6.0 aísla web sitios y aplicaciones en unidades llamadas "Grupo de Aplicaciones". Los Grupos de Aplicaciones proveen una forma conveniente de administrar sitios web y aplicaciones e incrementan la confiabilidad, puesto que errores en un Grupo de Aplicaciones no causan errores en otros, o fallas en el server. Vigilancia IIS 6.0 chequea periódicamente el estatus de los Grupos de Aplicaciones y los reinicia automáticamente en caso de falla de sitios web o aplicaciones dentro de ese Grupo de Aplicaciones, incrementando la disponibilidad. Asimismo protege el servidor y otras aplicaciones, deshabilitando en forma automática el sitio web y aplicaciones, si fallan en un período de tiempo corto. Nueva vigilancia, HTTP.sys Windows Server 2003 introduce un nuevo Controlador de modo núcleo, protocolo HTTP (HTTP.sys), incrementando la rendimiento y escalabilidad. Este controlador está especialmente diseñado para mejorar el tiempo de respuesta del servidor web. Integración con Aplicaciones

21 IIS 6.0 ofrece integración con ASP.NET, Microsoft.NET Framework y XML Web servicios, pasando a ser la plataforma especialmente diseñada para aplicaciones.net. Seguridad IIS 6.0 es "Cerrando/servidor de forma predeterminada", en otras palabras, está seguro desde su instalación, requiriendo que el administrador habilite las funciones especiales y necesarias para correr el sitio web. Sin estas tareas sólo puede ofrecer contenido estático y extensiones dinámicas deshabilitadas. Todo esto hace de IIS 6.0 el servidor web más seguro Versiones de Windows Server Windows Server 2003 presenta cuatro versiones con diferentes funcionalidades que están descriptas en el siguiente cuadro. Para servicios web y hosting, esta versión provee una plataforma para el desarrollo y la instalación rápida de servicios y aplicaciones web. Solo Versión OEM Para servicios de administración de Redes, esta versión de Windows Server 2003 es ideal para file and print servers, web servers, y workgroups. También provee acceso remoto a redes. Contiene todas las características de Windows Server 2003 Standard y provee escalabilidad y disponibilidad incrementada. Esta versión es ideal para servers utilizados en grandes redes y para bases de datos de uso intensivo. Contiene todas las características de Windows Server 2003 Enterprise Edition y, además, soporte para más memoria y más CPU por computadora. Esta versión es ideal para uso de datawarehouses de gran tamaño, procesamiento online, transacciones (OLTP) y proyectos de consolidación de servidores.

22 8. Requerimientos. En el siguiente cuadro se presentan los requerimientos mínimos y recomendados para cada versión de Windows Server Requerimiento Edición Estándar Edición Empresarial Datacenter Edition Edición Web Velocidad de CPU mínima 133 MHz 133 MHz para arquitectura x MHz para arquitectura x MHz MHz para arquitectura Itanium 733 MHz para arquitectura Itanium Velocidad de CPU Recomendada 550 MHz 733 MHz 733 MHz 550 MHz RAM Mínima 128 MB 128 MB 512 MB 128 MB RAM Recomendada 256 MB 256 MB 1 GB 256 MB RAM Máxima 4 GB 32 GB for para arquitectura x GB para arquitectura Itanium 64 GB para arquitectura x GB para arquitectura Itanium 2 GB Soporte Multiprocesador SMP Hasta 4 Hasta 8 Requerido 8 Mínimo Hasta 2 Máximo 64 Espacio Mínimo en Disco 1.5 GB 1.5 GB para arquitectura x GB para arquitectura Itanium 1.5 GB para arquitectura x GB para arquitectura Itanium 1.5 GB

23 CAPITULO II DIRECTORIO ACTIVO 23 DNS Y POLITICA DE USO.

24 1. Funcionalidades Controlador de Dominio Los servidores desempeñan muchos papeles en el ambiente client/server de una red. Algunos servidores se configuran para proporcionar la autentificación y otros se configuran para funcionar con otros usos. Asimismo, muchos proporcionan los servicios de red que permiten a usuarios comunicar o encontrar otros servidores y recursos en la red. Como administrador de sistemas, de Usted se espera que sepa los tipos primarios de servidores y qué funciones realizan en su red. 1.1 Controlador de Dominio (Directorio Activo) 24 Los Controladores de dominio almacenan datos del directorio y manejan la comunicación entre los usuarios y los dominios, incluyendo procesos de conexión del usuario, autentificación y búsquedas del directorio. Cuando Usted instala Directorio Activo en una computadora que corre Windows Server 2003, la computadora se convierte en Controlador de dominio (controlador de dominio). 1.2 Servidor de Archivo Un servidor de Archivo proporciona una localización central en su red donde puede almacenar y compartir archivos con los usuarios a través de su red. Cuando los usuarios requieren un archivo importante, tal como un plan de proyecto, pueden tener acceso al archivo en el servidor de Archivo en vez de pasar el archivo entre sus computadoras separadas. 1.3 Servidor de impresión Un servidor de impresión proporciona una localización central en su red, donde los usuarios pueden imprimir. El servidor de impresión provee a los clientes los drivers actualizados de la impresora y maneja la cola de impresión y la seguridad. 1.4 Servidor de DNS El Sistema de Nombre de Dominio (DNS) es un servicio estándar de Internet y de TCP/IP. El servicio de DNS permite a las computadoras cliente, colocar en su red y resolver nombres de dominio DNS. Una computadora configurada para proporcionar servicios del DNS en una red, es un servidor DNS, lo que es necesario para poner en funcionamiento el Directorio Activo.

25 1.5 Terminal server Un Terminal Server provee a las computadoras alejadas, el acceso a los programas basados en Windows que funcionan en Windows Server 2003 Edición Estándar, Windows Server 2003 Edición Empresarial o Windows Server 2003 Datacenter Edition. Con un Terminal Server, Usted instala una aplicación en un solo punto y en un solo servidor. Los usuarios múltiples, entonces, podrán tener acceso a la aplicación sin la instalación de la misma en sus computadoras. Los usuarios pueden correr programas, y utilizar los recursos de la red de una posición remota, como si estos recursos fueran instalados en su propia computadora La herramienta Administre su Servidor. Cuando Windows Server 2003 es instalado y un administrador realiza el inicio de sesión por primera vez, la herramienta administre su Servidor corre automáticamente. Usted utiliza esta herramienta para agregar o para quitar Roles al servidor. Cuando agregue un Rol de Servidor a una computadora, la herramienta Administre su servidor agregará ese rol de la lista de roles disponibles. Después que el Servidor Role se agregue a la lista, usted podrá utilizar varios magos que le ayudarán a administrar roles específicos del Server. La herramienta administre su servidor también provee archivos de ayuda específicos a los Roles de Servidor, tiene lista de verificación y recomendaciones de solución de problemas.

26 2. Ventajas de Directorio Activo Integración con DNS. Directorio Activo utiliza el Sistema de nombres de dominio (DNS). DNS es un servicio estándar de Internet que traduce los nombres de equipo legibles por los humanos (como miequipo.microsoft.com) en direcciones numéricas (cuatro números separados por puntos) de Protocolo de Internet (IP) legibles por los equipos. De esta forma, los procesos que se ejecutan en equipos que están en redes TCP/IP pueden identificarse y conectarse entre sí. Consultas flexibles. Los usuarios y los administradores pueden utilizar el comando Buscar del menú Inicio, el icono Mis sitios de red del escritorio o el complemento Usuarios y equipos de Directorio Activo para buscar rápidamente un objeto de la red mediante sus propiedades. Por ejemplo, puede buscar un usuario por nombre, apellido, nombre de correo electrónico, ubicación en la oficina u otras propiedades de su cuenta de usuario. La búsqueda de información está optimizada gracias al uso del catálogo global. Capacidad de ampliación. Directorio Activo es ampliable, lo que significa que los administradores pueden agregar nuevas clases de objetos al esquema y nuevos atributos a las clases existentes de objetos. El esquema contiene una definición de cada clase de objeto y los atributos de las mismas, que se pueden almacenar en el directorio. Por ejemplo, podría agregar un atributo Autorización de compra al objeto Usuario y después almacenar el límite de autorización de compra de cada usuario como parte de su cuenta. Administración basada en políticas. Las políticas de grupo son valores de configuración que se aplican a equipos o usuarios cuando se inicializan. Todos los valores de Política de grupo están contenidos en los Objetos de política de grupo (GPO) que se aplican a sitios, dominios o unidades organizativas de Directorio Activo. Los valores de GPO determinan el acceso a objetos de directorios y recursos de dominios, a qué recursos de dominios (como las aplicaciones) tienen acceso los usuarios y cómo están configurados dichos recursos. Escalabilidad. Directorio Activo incluye uno o varios dominios, cada uno de los cuales tiene uno o varios controladores, lo que permite escalar el directorio para satisfacer cualquier requisito de red. Es posible combinar varios dominios en un árbol de dominios y varios árboles en un bosque. En la estructura más simple, una red con un único dominio es a la vez un único árbol y un único bosque. 26

27 Replicación de la información. Directorio Activo utiliza la replicación de múltiples maestros, que permite actualizar el directorio en cualquier controlador de dominio. Al distribuir varios controladores de dominio en un único dominio se proporciona tolerancia a errores y equilibrio de la carga. Si un controlador de dominio se vuelve lento, se detiene o produce un error, otros controladores del mismo dominio pueden proporcionar el acceso necesario al directorio, ya que contienen los mismos datos. Seguridad de la información. La administración de la autenticación de usuarios y el control de acceso, ambos integrados plenamente en Directorio Activo, son características de seguridad clave del sistema operativo Windows Directorio Activo centraliza la autenticación. El control de acceso puede definirse no sólo para cada objeto del directorio, sino también para todas las propiedades de cada objeto. Además, Directorio Activo proporciona el almacén y el ámbito de aplicación de las políticas de seguridad. Interoperabilidad. Puesto que Directorio Activo se basa en protocolos estándar de acceso a directorios, como el Protocolo compacto de acceso a directorios (LDAP), puede inter operar con otros servicios de directorio que empleen estos protocolos. Varias interfaces de programación de aplicaciones (API), como las Interfaces de servicio de Directorio Activo (ADSI), ofrecen a los programadores acceso a estos protocolos Qué son los dominios y los controladores de dominio Un dominio es un conjunto de equipos, definidos por un administrador, que comparten una base de datos de directorio común, directivas de seguridad y relaciones de seguridad con otros dominios. En Directorio Activo, la unidad central de la estructura lógica es el dominio. Un controlador de dominio es un equipo que realiza las siguientes acciones: Ejecuta un sistema operativo en la familia de Windows Server 2003 o ejecuta Microsoft Windows Almacena una réplica de Directorio Activo. Administra los cambios de la información de directorio. Replica los cambios de directorio en otros controladores de dominio del mismo dominio. Almacena datos de directorio. Administra los procesos de inicio de sesión y autenticación de los usuarios y de búsquedas de directorios.

28 Un dominio puede tener uno o varios controladores de dominio. Una organización pequeña que utilice una única red de área local (LAN, Local Area Network) puede que sólo necesite un dominio con dos controladores de dominio para proporcionar la disponibilidad y la tolerancia de errores adecuadas. Una organización grande con muchas ubicaciones geográficas puede necesitar uno o varios controladores de dominio en cada ubicación para proporcionar la disponibilidad y la tolerancia de errores adecuadas. 4. Qué es una unidad organizativa 28 Una unidad organizativa es un tipo especialmente útil de objeto de Directorio Activo que está contenido en un dominio. Las unidades organizativas son útiles porque pueden utilizarse para organizar cientos de miles de objetos en el directorio en unidades fáciles de administrar. Puede utilizar una unidad organizativa para agrupar y organizar objetos con fines administrativos, como delegar derechos administrativos y asignar directivas a un conjunto de objetos como una sola unidad. 5. Ventajas del uso de unidades administrativas Puede utilizar unidades organizativas para lo siguiente: Organizar objetos en un dominio. Las unidades organizativas contienen objetos de dominio, como grupos y cuentas de usuario y equipo. En las unidades organizativas también es posible encontrar recursos compartidos de archivo e impresora que se publican en Directorio Activo. Delegar el control administrativo. Puede asignar control administrativo completo, como el permiso Control total, a todos los objetos de la unidad organizativa o control administrativo limitado, como la capacidad de modificar la información de correo electrónico, a los objetos de usuario de la unidad organizativa. Para delegar el control administrativo, asigne permisos específicos a la unidad organizativa y a los objetos que ésta contiene para uno o varios usuarios y grupos. Simplificar la administración de los recursos normalmente agrupados.

29 Puede delegar la autoridad administrativa a atributos u objetos individuales en Directorio Activo, pero normalmente utilizará unidades organizativas para delegar esta autoridad. Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominio o para una sola. Con las unidades organizativas podrá crear contenedores en un dominio que representen las estructuras jerárquicas o lógicas de su organización. Así, podrá administrar la configuración y el uso de cuentas y recursos en función del modelo organizativo Qué son árboles, bosques y confianzas Término Árbol Bosque Definición Una disposición jerárquica de uno o varios dominios de la familia de Windows Server 2003 que forman un espacio de nombres contiguo. Un árbol también se denomina árbol de dominios. Uno o varios árboles se pueden unir para ormar un bosque. Un bosque también se denomina bosque de dominios. En Directorio Activo, el término confianza hace referencia a la relación entre dos dominios en la que un dominio reconoce la autoridad de autenticación del otro. Las definiciones proporcionadas en la siguiente tabla ayudarán a entender cómo otros dominios pueden reconocer la autoridad para autenticar de un dominio.

30 Término Confianza unidireccional Confianza bidireccional Confianza transitiva Confianza transitiva bidireccional Confianza entre bosques Definición Un dominio reconoce la autoridad de autenticación de otro pero no a la inversa. Por ejemplo, el dominio A confía en el dominio B, pero el dominio B no confía en el dominio A. La autoridad de autenticación entre dominios se reconoce mutuamente. Por ejemplo, si el dominio A confía en el dominio B, entonces el dominio B confía en el dominio A. La autoridad de autenticación se puede heredar implícitamente entre dominios. Por ejemplo, si el dominio A confía en el dominio B y el dominio B confía en el dominio C, el dominio A confía en el dominio C. La autoridad de autenticación se puede heredar implícitamente de forma bidireccional entre dominios. Por ejemplo, si el dominio B confía en el dominio A y el dominio C confía en el dominio A, entonces el dominio B confía automáticamente en el dominio C y el dominio C confía automáticamente en el dominio B. Una confianza que se extiende a través de bosques. 30 Éstas son las relaciones de confianza utilizadas con más frecuencia: Las relaciones de confianza transitivas bidireccionales se utilizan con más frecuencia porque son las predeterminadas entre dominios de la familia de Windows Server Las confianzas no transitivas unidireccionales se utilizan con frecuencia para admitir conexiones desde dominios de la familia de Windows Server 2003 a redes de Windows NT 4.0.

31 7. Qué es el esquema El esquema del servicio de Directorio Activo es una estructura de datos que contiene las definiciones de todos los objetos que se almacenan en Directorio Activo, como equipos, usuarios e impresoras. Hay dos tipos de definiciones en el esquema: clases y atributos. Las clases describen los objetos de directorio que se pueden crear. Cada clase es un conjunto de atributos, los cuales describen objetos. 31 Cuando se crea un objeto, los atributos de este objeto almacenan la información que lo describe. Los atributos se definen de forma independiente de las clases. Cada atributo se define sólo una vez y se puede utilizar en varias clases. Por ejemplo, el atributo de descripción se utiliza en muchas clases, pero se define sólo una vez en el esquema para asegurar la coherencia. Los usuarios pueden localizar objetos por todo Directorio Activo mediante la búsqueda de atributos específicos. Por ejemplo, un usuario puede localizar una impresora en un edificio concreto mediante la búsqueda del atributo Ubicación de la clase de objeto de la impresora. En la familia de Windows Server 2003, sólo hay un esquema para todo el bosque de manera que todos los objetos creados en Directorio Activo se ajustan a las mismas reglas. Cuando se realizan cambios en el esquema, estos cambios se replican en cada controlador de dominio del bosque. En Directorio Activo, el esquema se almacena en una base de datos, que es distinta de otros directorios que disponen de un esquema que se almacena como un archivo de texto y se lee al inicio. El almacenamiento del esquema en una base de datos significa que el esquema: Está disponible dinámicamente para aplicaciones de usuario. Se puede actualizar de forma dinámica. Puede utilizar listas de control de acceso discrecional para proteger todas las clases y atributos. El esquema se almacena en una partición de directorio de la base de datos de Directorio Activo. Una partición de directorio es una unidad de replicación. El archivo de la base de datos de Directorio Activo se llama Ntds.dit y se encuentra en SystemRoot\Ntds. Además del esquema, este archivo contiene toda la información almacenada en Directorio Activo.

32 8. Requisitos de instalación de Directorio Activo En la siguiente lista se identifican los requisitos para la instalación de Directorio Activo: Un equipo donde se ejecute la familia de Microsoft Windows Server Una partición o un volumen formateados con el sistema de archivos de Windows NT (NTFS, Windows NT File System). Espacio en disco suficiente para el directorio. Se recomienda disponer de 1 gigabyte (GB) como mínimo. Un servidor DNS que admite el registro de recurso de servicio (SRV). Protocolo de control de transmisión/protocolo Internet (TCP/IP) instalado y configurado para DNS. 32 Además, se recomienda disponer de un servidor DNS que admita el protocolo de actualización dinámica. Al crear un dominio o un controlador de dominio en una red de la familia de Windows Server 2003 existente, debe obtener las credenciales de red necesarias para crear un dominio. Estas credenciales son las siguientes: El nombre de inicio de sesión de una cuenta de usuario La cuenta de usuario debe tener suficientes privilegios administrativos para crear un controlador de dominio. La contraseña de la cuenta El nombre del dominio Cuando se instala Directorio Activo en un equipo donde se ejecuta un miembro de la familia de Windows Server 2003, se especifica el dominio en el que ese equipo va a ser un controlador de dominio. Debe elegir entre estas opciones para cada controlador de dominio que cree. Después de hacer la selección, el Asistente para la instalación de Directorio Activo le guiará para que especifique la información necesaria para el nuevo controlador de dominio. La información que debe proporcionar al instalar Directorio Activo varía según las opciones seleccionadas. Cuando instala Directorio Activo, se crean archivos de registro que enumeran los resultados de cada paso del

33 procedimiento de instalación. Los archivos de registro se guardan en la carpeta SystemRoot\Debug. 9. Métodos para agregar un controlador de dominio a un dominio existente Existen dos formas de agregar un controlador de dominio a un dominio existente: 33 Replicar una copia completa de la base de datos de Directorio Activo en la red. Las ventajas de utilizar este método son las siguientes: Permite utilizar una red de banda ancha. La replicación se actualiza y se completa en un solo paso en el momento de la promoción. Instalar un controlador de dominio a partir de los medios de copia de seguridad. Con este método, cuando se inicia la instalación de Directorio Activo, la replicación inicial se realiza con los archivos de copia de seguridad restaurados, en lugar de hacerlo con otro controlador de dominio a través de la red. La instalación a partir de medios de copia de seguridad permite implementar controladores de dominio en ubicaciones que disponen de conexiones de poco ancho de banda. Los archivos de copia de seguridad, generados por cualquier utilidad de copia de seguridad compatible con Directorio Activo, se pueden transferir al controlador de dominio candidato mediante medios como cinta, CD o DVD, o bien utilizando la copia de archivos en una red. Tenga en cuenta que los medios de copia de seguridad no están actualizados en el momento de la promoción. Después de promover el controlador de dominio, se debe replicar para que quede actualizado. El tiempo requerido y el ancho de banda consumido en este proceso dependen en gran medida de lo reciente que sea la copia de seguridad. Por esta razón, debe crear una copia de seguridad lo más cerca posible en el tiempo del momento en que vaya a utilizarla.

34 10. GPMC (CONSOLA DE ADMINISTRACION DE POLITICAS DE GRUPO ) 34 -La consola de administración de directivas de grupo (GPMC) admite la administración de varios dominios al mismo tiempo, donde cada dominio se agrupa por bosque en la consola. -GPMC también admite operaciones, como la realización de copias de seguridad y la importación, que permiten la migración de GPO entre dominios en los que no se confía en bosques separados. -Al realizar una copia de seguridad de un objeto de directiva de grupo (GPO) se copian los datos del GPO en el sistema de archivos. La función de copia de seguridad sirve además como capacidad de exportación de los GPO. La copia de seguridad de un GPO se puede utilizar para restaurar el GPO al estado de la copia de seguridad o para importar la configuración de la copia de seguridad a otro GPO. -Puede utilizar Administración de equipos para administrar equipos locales o remotos. -Puede utilizar Usuarios y grupos locales para proteger y administrar las cuentas de usuario y los grupos almacenados de forma local en el equipo. A cada cuenta de usuario o de grupo local se le puede asignar permisos y derechos en un equipo determinado, y sólo para ese equipo. -Administración de equipos se puede utilizar para: Supervisar sucesos del sistema, como la hora de inicio y cierre de sesión.

35 Crear y administrar recursos compartidos. Ver la lista de usuarios conectados a los equipos. Iniciar y detener servicios del sistema. Establecer las propiedades para los dispositivos de almacenamiento. Agregar controladores de dispositivo nuevos. Administrar aplicaciones y servicios. Encendido y Apagado Remoto de los equipos en dominio en hrs. Establecidas. Bloqueo y desactivación de parámetros de Windows. Establecer políticas de Instalación y Desinstalación de Software. Derechos de uso de aplicaciones sobre Windows (Programas). Monitoreo remoto a usuario dentro del dominio. El usuario podrá firmarse en cualquier equipo disponible dentro del laboratorio. Actualizaciones automáticas sobre los equipos de cómputo. Actualizaciones automáticas del antivirus NOD POLITICAS Las políticas que implementaremos para el dominio son las siguientes: Se dividirán los usuarios conforme al semestre que estén cursando, es decir las restricciones se darán por semestre. Cada alumno tendrá su cuenta de usuario así como su contraseña. La contraseña deberá tener 10 dígitos numéricos en este caso su numero de boleta. Su cuenta de cada usuario estará configurada como usuarios avanzados. No podrán instalar programas ni desinstalar. Cada usuario tendrá un espacio en el servidor para almacenar sus archivos. Las maquinas tendrán horario para prenderse y apagarse. Las maquinas tendrán horario para actualizar su sistema operativo, así como las actualizaciones del antivirus. Los usuarios no podrán acceder modificar los registros y archivos del sistema operativo. Los usuarios de la red serán monitoreados. Cada usuario será registrado al firmarse en cada maquina. El usuario podrá firmarse en cualquier maquina disponible. Restricción de uso de internet.

36 11.1 Definición 11. DHCP -Protocolo de Configuración de Host Dinámico- Protocolo de Configuración de Host Dinámico (DHCP) es un estándar IP para simplificar la administración de la configuración del IP del cliente. El estándar DHCP permite que Usted utilice los servidores de DHCP para manejar la asignación dinámica de las direcciones y la configuración de otros parámetros IP para clientes DHCP en su red Por qué utilizar DHCP? 36 En redes TCP/IP, DHCP reduce la complejidad y el trabajo administrativo de reconfigurar las computadoras cliente. Para entender por qué DHCP es útil para configurar clientes TCP/IP, es importante comparar la configuración manual de TCP/IP con la configuración automática que utiliza DHCP Configuración manual de TCP/IP Cuando Usted realiza la configuración IP para cada cliente, ingresando manualmente información como la Dirección IP, mascara de subred o puerta de enlace por default, pueden llegar a producirse errores de tipeo, que es probable deriven en problemas de comunicación o problemas asociados a la IP duplicada. Por otra parte, hay carga administrativa adicional en las redes donde las computadoras se mueven con frecuencia de una subnet a otra y, en adición, cuando necesita cambiar un valor IP para varios clientes, tiene que actualizar la configuración IP de cada cliente. Las direcciones IP se configuran manualmente en cada computadora cliente. Posibilidad de configuraciones incorrectas o en validas IP La configuración incorrecta puede producir fallas de comunicación. Sobre carga administrativa en las redes donde las computadoras de mueven con frecuencia Configuración automática TCP/IP Cuando Usted configura un DHCP Server para dar soporte a clientes DHCP, éste provee automáticamente la información de la configuración a clientes DHCP y también se asegura que los clientes de la red utilicen la configuración correcta. Además, si Usted necesita realizar un cambio en la configuración IP de varios clientes, podrá realizarlo una vez en el DHCP Server, para que el DCHP actualice automáticamente la configuración del cliente reflejando el cambio.

37 Las direcciones IP se asignan automáticamente a las computadoras cliente. Se aseguran que los clientes utilicen siempre la información correcta de la configuración. La configuración del cliente se actualiza automáticamente para reflejar cambios en la estructura de la red. Elimina el origen del problema de la red Cómo el DHCP asigna direcciones IP? 37 El lease es el espacio de tiempo en el cual un cliente DHCP puede utilizar una configuración dinámicamente asignada de IP. Antes de la expiración del tiempo de lease, el cliente debe renovarlo u obtener un nuevo lease del DHCP Asignación de direcciones IP El DHCP administra la asignación y el release de la configuración IP, concediendo la configuración IP al cliente. El estado del DHCP lease depende del tiempo en que el cliente pueda utilizar los datos de la configuración IP antes de liberarla y después de renovar los datos. El proceso de asignar la configuración IP se conoce como DHCP Proceso de Generacion del Lease y el proceso de renovar los datos de la configuración IP se conoce como DHCP Proceso de Renovacion del release. La primera vez que un cliente DHCP se agrega a la red, el mismo debe solicitar la configuración IP al DHCP Server para que, cuando éste reciba la solicitud, el

38 server seleccione una dirección IP del rango de direcciones que el administrador ha definido en el ámbito. El DHCP Server ofrece la configuración IP al cliente de DHCP. Si el cliente acepta la oferta, el DHCP Server asignará la dirección IP al cliente por un período de tiempo especificado. El cliente entonces utilizará la dirección IP para tener acceso a la red Cómo funciona el proceso DHCP Generación de Lease? 38 El cliente DHCP envía un broadcasts, paquete DHCPDISCOVER para localizar al DHCP Server. Este paquete DHCPDISCOVER es el mensaje que los clientes DHCP envían la primera vez que se conectan a la red y solicitan la información IP de un DHCP Server. Existen dos formas de comenzar el proceso DHCP Generación de Lease. La primera ocurre cuando una computadora cliente se enciende o se inicia TCP/IP por primera vez, y la segunda ocurre cuando un cliente intenta renovar su lease y recibe una denegación (DHCP NACK). (Por ejemplo, un cliente puede no lograr una renovación cuando Usted lo mueve a otra subnet.) El DHCP Server envía un broadcast paquete DHCPOFFER al cliente. El paquete DHCPOFFER es un mensaje que el DHCP Server utiliza para ofrecer el lease de una dirección IP al cliente, cuando éste se conecta a la red. Cada DHCP Server que responde, reserva la dirección IP ofrecida para no ofrecerla nuevamente a otro cliente DHCP, antes de la aceptación del cliente inicial. Si el cliente no recibe una oferta después de cuatro peticiones, utiliza una IP en la gama reservada a partir del a El uso de una de estas direcciones autoconfiguradas IP asegura que los clientes situados en una subnet DHCP Server

39 inaccesible, puedan comunicarse con otros clientes. Mientras tanto el cliente DHCP continúa buscando un DHCP Server disponible cada cinco minutos. Cuando el DHCP Server llegue a estar disponible, los clientes recibirán direcciones válidas IP, permitiendo que esos clientes se comuniquen con clientes en su subnet y en otras también. El cliente DHCP envía un broadcasts, paquete DHCPREQUEST. El paquete DHCPREQUEST es el mensaje que un cliente envía al DHCP Server para solicitar o renovar su lease de IP. El cliente DHCP responde al primer paquete DHCPOFFER que recibe con un broadcasts de DHCPREQUEST para aceptar la oferta. El paquete DHCPREQUEST incluye la identificación del server que oferta y el cliente que aceptó. Todos los otros DHCP Servers después eliminan sus ofertas y conservan sus direcciones de IP para otros lease. 39 El DHCP server envía un broadcast, DHCPACK al cliente. El paquete DHCPACK es un mensaje que DHCP Server envía a un cliente como acuse de recibo y finalización del proceso de lease. Este mensaje contiene un lease válido para la dirección IP y los otros datos de configuración IP. Cuando el cliente DHCP recibe el acknowledgment, inicia TCP/IP usando la configuración IP provista por el DHCP Server Cómo funciona el proceso DHCP Lease Renewal? DHCP Proceso de renovación de Lease es el proceso por el cual un cliente DHCP renueva o actualiza sus datos de configuración IP con el DHCP Server. El cliente DHCP renueva la configuración IP antes de la expiración del tiempo de lease. Si el período de lease expira y el cliente DHCP todavía no ha renovado su

40 configuración IP, pierde los datos de la configuración IP y comienza nuevamente el proceso DHCP Generación del Lease Período de Lease El proceso de Renovación Lease es el resultado del valor de tiempo del lease. El valor de período de lease se asegura que el DHCP mantenga la información IP y que los clientes actualicen o renueven regularmente sus datos de configuración IP. Teniendo DHCP se mantiene esta información e implica que puede administrar el direccionamiento IP desde el DHCP Server. El cliente debe renovar su configuración IP antes de la expiración del período de lease. En los intervalos específicos, un cliente DHCP intenta renovar su lease para asegurarse tener actualizada su configuración. En cualquier momento durante el período de lease, el cliente DHCP puede enviar un paquete de DHCPRELEASE al DHCP Server para liberar la configuración IP y para cancelar el lease restante Proceso automático "Renovación Lease " Un cliente DHCP intenta renovar automáticamente su lease al 50% del tiempo de expiración. El cliente DHCP también intenta renovar su lease cada vez que la computadora se reinicie, y para intentarlo envía paquete de DHCPREQUEST al DHCP Server directamente, del cual obtuvo el lease. Si el DHCP Server está disponible, renueva el lease y envía al cliente un paquete de DHCPACK con la nueva duración del lease y cualquier parámetro de configuración actualizado. El cliente actualiza su configuración cuando recibe el reconocimiento. Si el DHCP Server no está disponible, el cliente continuará utilizando sus parámetros actuales de configuración. Si el cliente DHCP no puede renovar su lease la primera vez, entonces el cliente DHCP enviará un broadcasts DHCPDISCOVER para actualizar su lease de la dirección cuando expira al 87.5 % de la duración del lease. En esta etapa, el cliente DHCP acepta el lease que cualquier DHCP Server le ofrezca. Si el cliente DHCP reinicia su computadora y el DHCP Server no responde al paquete DHCPREQUEST, el cliente DHCP intentará conectar con el Default Gateway. Si esta tentativa falla, el cliente cesará el uso de la dirección IP. Si el DHCP Server responde con un paquete DHCPOFFER para actualizar el lease del cliente, éste puede renovar su lease de acuerdo a la oferta del mensaje del server y continúa la operación. Pero si el lease expiró, el cliente deberá suspender inmediatamente el uso de la dirección IP actual. El cliente DHCP, entonces, comenzará un nuevo proceso de DHCP Lease Discovery, intentando obtener un nuevo lease de una nueva IP. Si el cliente DHCP falla al recibir la IP, el cliente se asignará una dirección usando la asignación automática de IP en el rango Proceso manual Lease Renewal Si necesita actualizar la configuración DHCP inmediatamente, Usted puede renovar manualmente el lease IP.(Por ejemplo, si quiere que los clientes DHCP

41 obtengan rápidamente la dirección del DHCP Server de un nuevo router instalado en la red, renueve el lease del cliente para actualizar la configuración.) Ejemplo: c:\inconfig /renew 12. Servicio DNS DNS es una abreviatura de Sistema de Nombres de Dominio (Sistema de Nombre de Dominio), un sistema para asignar nombres a equipos y servicios de red que se organiza en una jerarquía de dominios. La asignación de nombres DNS se utiliza en las redes TCP/IP, como Internet, para localizar equipos y servicios con nombres sencillos. Cuando un usuario escriba un nombre DNS en una aplicación, los servicios DNS podrán traducir el nombre a otra información asociada con el mismo, como una dirección IP. 41 Por ejemplo, la mayoría de los usuarios prefieren un nombre fácil de utilizar como para localizar un equipo (como un servidor Web o de correo electrónico) en la red. Un nombre sencillo resulta más fácil de aprender y recordar. Sin embargo, los equipos se comunican a través de una red mediante direcciones numéricas. Para facilitar el uso de los recursos de red, los servicios de nombres como DNS proporcionan una forma de asignar estos nombres sencillos de los equipos o servicios a sus direcciones numéricas Descripción del espacio de nombres de dominio DNS El espacio de nombres de dominio DNS, como se muestra en la siguiente figura, se basa en el concepto de un árbol de dominios con nombre. Cada nivel del árbol puede representar una rama o una hoja del árbol. Una rama es un nivel donde se utiliza más de un nombre para identificar una colección de recursos con nombre. Una hoja representa un nombre único que se utiliza una vez en ese nivel para indicar un recurso específico. El gráfico anterior muestra cómo Microsoft es la autoridad asignada por los servidores raíz de Internet para su propia parte del árbol del espacio de nombres de dominio DNS en Internet. Los clientes y los servidores DNS usan las consultas como el método fundamental para resolver los nombres en el árbol como información específica de los tipos de recurso. Los servidores DNS proporcionan esta información a los clientes DNS en las respuestas a las consultas, quienes, a continuación, extraen la información y la pasan al programa solicitante para resolver el nombre consultado. En el proceso de resolución de un nombre, tenga en cuenta que los servidores DNS funcionan frecuentemente como clientes DNS, consultando a otros servidores para resolver completamente un nombre consultado.

42 42 Figura: Ejemplo de un espacio de nombres de dominio 12.2 Cómo se organiza el espacio de nombres de dominio DNS Cualquier espacio de nombres de dominio DNS que se utiliza en el árbol es, técnicamente, un dominio. Por ejemplo, el nombre de dominio DNS registrado para Microsoft (microsoft.com.) se conoce como un dominio de segundo nivel. Esto se debe a que el nombre tiene dos partes (llamadas etiquetas) que indican que se encuentra dos niveles por debajo de la raíz o la parte superior del árbol. La mayor parte de los nombres de dominio DNS tienen dos etiquetas o más, cada una de las cuales indica un nuevo nivel en el árbol. En los nombres se utilizan puntos para separar las etiquetas.

43 Además de los dominios de segundo nivel, en la siguiente tabla se describen otros términos que se utilizan para describir los nombres de dominio DNS según su función en el espacio de nombres. Tipo de nombre Descripción Ejemplo El dominio raíz Es la parte superior del arbol, que representa un nivel sin nombre; a veces, se muestra como dos comillas vacías (""), que indican un valor nulo. Cuando se utiliza en un nombre de dominio DNS, empieza con un punto (.) para designar que el nombre se encuentra en la raíz o en el nivel más alto de la jerarquía del dominio. En este caso, el nombre de dominio DNS se considera completo e indica una ubicación exacta en el árbol de nombres. Los nombres indicados de esta forma se llaman nombres de dominio completos (FQDN, Fully Qualified Domain Names). Un sólo punto (.) o un punto usado al final del nombre, como"ejemplo.microsoft.com.". 43 Dominio de nivel superior Un nombre de dos o tres letras que se utilizan para indicar un país o región, o el tipo de organización que usa un nombre. ".com", que indica un nombre registrado para usos comerciales o empresariales en Internet. Dominio de segundo nivel Nombres de longitud variable registrados que un individuo u organización utiliza en Internet. Estos nombres siempre se basan en un dominio de nivel superior apropiado, según el tipo de organización o ubicación geográfica donde se utiliza el nombre. "microsoft.com.", que es el nombre de dominio de segundo nivel registrado para Microsoft por el registrador de nombres de dominio DNS de Internet.

44 Subdominio Nombre de recurso o de host Nombres adicionales que puede crear una organización y se derivan del nombre de dominio registrado de segundo nivel. Incluyen los nombres agregados para desarrollar el árbol de nombres de DNS en una organización y que la dividen en departamentos o ubicaciones geográficas Nombres que representan una hoja en el árbol DNS de nombres e identifican un recurso específico. Normalmente, la etiqueta de la izquierda de un nombre de dominio DNS identifica un equipo específico en la red. "ejemplo.microsoft.com.", que es un subdominio ficticio asignado por Microsoft para utilizarlo en nombres de ejemplo de documentación. "host-a.ejemplo.microsoft.com.", donde la primera etiqueta ("hosta") es el nombre de host DNS de un equipo específico en la red. 44 Un dominio es simplemente un subárbol del espacio de nombres. El nombre de un dominio es el nombre del nodo raíz correspondiente. Un dominio agrupa un conjunto de hosts y/o subdominios que se relacionan de acuerdo a cierto criterio, ya sea geográfico u organizacional. En el DNS cada dominio es administrado por una organización o empresa determinada. Ésta puede decidir dividir el o los dominios que administra en subdominios, así como asignar la administración de éstos a otras entidades. Cada dominio puede contener tanto subdominios como hosts independientes, al igual que un directorio posee subdirectorios y ficheros a la vez. El DNS en la actualidad sigue ciertos patrones en cuanto a su organización. Ésta se basa en niveles de acuerdo a la posición del dominio. El nivel superior o primer nivel lo forman aquellos dominios descendientes del dominio raíz. Los fundamentales se listan a continuación: Com: Agrupa a organizaciones comerciales. Ejemplos: ibm.com, yahoo.com, redhat.com, etc. Edu: Reune a organizaciones de propósitos educacionales. Ejemplos: berkeley.edu, cornell.edu, etc. Net: Agrupa a organizaciones dedicadas al desarrollo de las redes. Ejemplos rpmfind.net, nic.net, computing.net, etc.

45 Org: Reune a organizaciones no comerciales. Ejemplos: linuxdoc.org, ibiblio.org, linux.org, insflug.org, etc. Gov: Agrupa a organizaciones gubernamentales. Ejemplo: nasa.gov, nsf.gov, etc. Como parte del espacio de nombres de dominio también existen dominios de primer nivel que designan zonas geográficas. Sus nombres representan a todos los países a través de dos letras. Ejemplos: es para España, au para Australia, de para Alemania, etc. Para ver a todos los dominios geográficos de primer nivel puede consultarse Puede ocurrir que los dominios geográficos de primer nivel contengan a su vez algunos de los dominios organizativos de primer nivel. Ejemplos: edu.au, org.uk, etc Delegación Como ya se ha expresado anteriormente una de las ventajas fundamentales de la estructura distribuida del DNS es la descentralización de su administración. El mecanismo que permite resolver un nombre completamente es la delegación. La organización propietaria de un dominio puede dividir éste en varios subdominios y delegar a su vez todo lo concerniente al mantenimiento de la información relacionada y su accesibilidad, a cada uno de estos subdominios. Los dominios de segundo nivel pueden dividirse también en otros subdominios continuando el mecanismo de delegación. En resumen, el término delegación se refiere a que la organización encargada de un dominio determinado asigne la responsabilidad de sus subdominios a otras organizaciones Servidores de nombres de dominio Los programas encargados de agrupar y mantener disponible la información asociada a un espacio de nombres de dominio se conocen como servidores de nombres de dominio. Estos servidores usualmente administran la información referente a una parte del dominio, la cual se conoce como zona. Entonces se dice que el servidor tiene autoridad sobre la zona. El mismo servidor puede estar autorizado para varias zonas. Una zona se diferencia de un dominio en que ésta no necesariamente incluye la información asociada a los subdominios de éste, aunque puede hacerlo. En este último caso no se produce la delegación a los subdominios incluidos por parte del servidor del dominio padre. Algunos de los tipos de servidores de nombres que existen son:

46 Maestros: Almacena los registros de las zonas originales y tienen la autoridad de un cierto espacio de nombres donde buscan respuestas concernientes a dicho espacio de nombres. Esclavo: Responde también a las peticiones que provienen de otros servidores de nombres y que se refieren a los espacios de nombres sobre los que tiene autoridad. Los servidores esclavos obtienen la información de espacios de nombres deservidores de nombres maestros a través de una zona de transferencia, en la que el esclavo manda al servidor maestro una petición quese llama NOTIFY para una determinada zona y el maestro responde si el esclavo está autorizado para recibir la transferencia. 46 Almacenamiento en Cache: Ofrece servicios de resolución de nombres a direcciones IP pero no tiene ninguna autoridad sobre zonas. Las respuestas en general se pone en un caché que se encuentra en la base de datos almacenada en la memoria durante un periodo fijo, la cual está especificada por la zona importada y así obtener una resolución más rápida para otros clientes DNS después de la primera resolución. Transmisión: Hace que determinados servidores de nombres lleven a cabo la resolución. Si alguno de estos servidores no puede efectuar la resolución, el proceso se para y la resolución se anula. La posibilidad de definir más de un servidor de nombres de dominio para una misma zona permite tener redundancia de la información, mayor tolerancia ante el fallo de algún servidor y accesibilidad por parte de todos los hosts de la red. Y todo esto se logra sin tener que actualizar los datos manualmente lo cual puede ocasionar errores e inconsistencias en la información de la zona. Un servidor de nombres puede ser primario para unas zonas y secundario para otras. Existe un conjunto de servidores de nombres de dominio que controlan el dominio raíz y conocen todos los servidores autorizados para los dominios de primer nivel. Estos servidores son claves en el proceso de resolución de nombres de dominio. Actualmente existen catorce servidores raíces distribuidos en su inmensa mayoría en el territorio de los Estados Unidos, los otros se encuentra en Japón, Suecia, Gran Bretaña y España Resolver El resolver son los clientes que acceden a los servidores de nombres. Cualquier programa que necesite información de un espacio de nombres de dominio utiliza un resolver. El resolver realizan las siguientes funciones: Consultan a un servidor de nombres de dominio Interpretan la respuesta (ésta puede ser válida o un error)

47 Retornan la información al programa que la solicitó El resolver no son programas independientes, sino que son rutinas compiladas dentro de aquellos que las requieren, por ejemplo: los comandos ping, telnet, ftp, navegadores como el Netscape, Internet Explorer y otros Proceso de resolución de nombres Para satisfacer las solicitudes de resolver, los servidores de nombres no solamente retornan información acerca de las zonas para la que están autorizados, también tienen que hacerlo de aquellas para las que no lo están. Este proceso se denomina resolución. Gracias a que el espacio de nombres de dominio tiene estructura de árbol, sólo es necesario por parte del servidor de nombres conocer un punto de este árbol: los nombres y los números IP de los servidores de nombre del dominio raíz (servidores raíces). De esta forma, cualquier servidor de nombres para resolver un nombre determinado (o realizar otro tipo de consulta), sólo necesitará conocer algún servidor raíz y consultarlo. Éste le devolverá la dirección del servidor del subdominio correspondiente (dominio de primer nivel), el cual a su vez puede referir a otro servidor y así sucesivamente se va completando el proceso de resolución que puede concluir exitosamente o no. 47 En general, el proceso de consulta DNS se realiza en dos partes: 1. La consulta de un nombre comienza en un equipo cliente y se pasa al solucionador, el servicio Cliente DNS, para proceder a su resolución. 2. Cuando la consulta no se puede resolver localmente, se puede consultar a los servidores DNS según sea necesario para resolver el nombre. Estos dos procesos se detallan en las secciones siguientes.

48 12.7 Parte 1: El solucionador local La caché del solucionador local puede incluir información de nombres obtenida de dos orígenes posibles: Si un archivo Hosts está configurado localmente, las asignaciones de nombre a dirección de host de ese archivo se cargan con anterioridad en la caché cuando se inicia el servicio Cliente DNS. Los registros de recursos obtenidos en las respuestas de consultas DNS anteriores se agregan a la caché y se mantienen durante un período. Si la consulta no coincide con una entrada de la caché, el proceso de resolución continúa con la consulta del cliente al servidor DNS para resolver el nombre Parte 2: Consultar un servidor DNS Como se indicó en la figura 4.9, el cliente consulta un servidor DNS preferido. El servidor real utilizado durante la parte de la consulta inicial cliente-servidor del proceso se selecciona de una lista global. Cuando el servidor DNS recibe una consulta, primero comprueba si puede responder la consulta con autoridad en función de la información de registro de recursos contenida en una zona configurada localmente en el servidor. Si el nombre consultado coincide con un registro de recursos correspondiente en la información de zona local, el servidor responde con autoridad y usa esta información para resolver el nombre consultado. Si no existe ninguna información para el nombre consultado, a continuación el servidor comprueba si puede resolver el nombre mediante la información almacenada en la caché local de consultas anteriores. Si aquí se encuentra una coincidencia, el servidor responde con esta información. De nuevo, si el servidor preferido puede responder con una respuesta de su caché que concuerda al cliente solicitante, la consulta se finaliza. Si el nombre consultado no encuentra una respuesta coincidente en su servidor preferido, ya sea en su caché o en su información de zona, el proceso de consulta puede continuar y se usa la recursión para resolver completamente el nombre. Esto implica la asistencia de otros servidores DNS para ayudar a resolver el nombre. De forma predeterminada, el servicio Cliente DNS pregunta al servidor si va a utilizar un proceso de recursión para resolver completamente los nombres en nombre del cliente antes de devolver una respuesta. Para que el servidor DNS realice la recursión correctamente, primero necesita información acerca de los otros servidores DNS en el espacio de nombres de dominio DNS. Esta información se proporciona en forma de sugerencias de raíz, una lista de los registros de recursos preliminares que puede utilizar el servicio DNS para localizar otros servidores DNS que tienen autoridad para la raíz del árbol del espacio de nombres de dominio DNS. Los servidores raíz tienen

49 autoridad para el dominio raíz y los dominios de nivel superior en el árbol del espacio de nombres de dominio DNS. Mediante el uso de las sugerencias de raíz para encontrar los servidores raíz, un servidor DNS puede completar el uso de la recursión. En teoría, este proceso permite a un servidor DNS localizar los servidores que tienen autoridad en cualquier otro nombre de dominio DNS que se utiliza en cualquier nivel del árbol del espacio de nombres. Por ejemplo, piense en la posibilidad de usar el proceso de recursión para localizar el nombre "host-b.ejemplo.microsoft.com." cuando el cliente consulte un único servidor DNS. El proceso ocurre cuando un servidor y un cliente DNS se inician y no tienen información almacenada en la caché local disponible para ayudar a resolver la consulta de un nombre. Se supone que el nombre consultado por el cliente es para un nombre de dominio del que el servidor no tiene conocimiento, según sus zonas configuradas. 49 Primero, el servidor configurado por defecto analiza el nombre completo y determina que necesita la ubicación del servidor con autoridad para el dominio de nivel superior, "com". A continuación, utiliza una consulta iterativa al servidor DNS "com" para obtener una referencia al servidor "microsoft.com". Después, desde el servidor "microsoft.com" se proporciona una respuesta de referencia al servidor DNS para "ejemplo.microsoft.com". Finalmente, se entra en contacto con el servidor "ejemplo.microsoft.com.". Ya que este servidor contiene el nombre consultado como parte de sus zonas configuradas, responde con autoridad al servidor original que inició la recursión. Cuando el servidor original recibe la respuesta que indica que se obtuvo una respuesta con autoridad a la consulta solicitada, reenvía esta respuesta al cliente solicitante y el proceso de consulta recursiva se completa. Aunque el proceso de consulta recursiva puede usar muchos recursos cuando se realiza como se describe arriba, tiene algunas ventajas en el rendimiento para el servidor DNS. Por ejemplo, durante el proceso de recursión, el servidor DNS que realiza la búsqueda recursiva obtiene información acerca del espacio de nombres de dominio DNS. Esta información se almacena en la caché del servidor y se puede utilizar de nuevo para ayudar a acelerar la obtención de la respuesta de consultas subsiguientes que la utilizan o concuerdan con ella. A lo largo del tiempo, esta información almacenada en caché puede crecer hasta ocupar una parte significativa de los recursos de memoria del servidor, aunque se limpie siempre que el servicio DNS se activa y desactiva.

50 12.9 Estructura de la base de datos del DNS A cada nombre de dominio en el DNS se le pueden asociar varias informaciones. Para los nombres de dominio asociados a un host, la principal información es su número IP, pero también se le pueden hacer corresponder varios alias, indicar una descripción de la máquina (procesador y sistema operativo), etc. Los registros más importantes son: El registro SOA SOA significa Start Of Authority e informa que todos los registros de recursos que le siguen están autorizados a dicho dominio. Los datos asociados con un registro SOA son los siguientes: origen: Es el nombre canónico del servidor de nombres primario para este dominio, y generalmente se da como absoluto, es decir, con un punto al final. contacto: Es el nombre de la persona responsable para este dominio. Es parecido a una dirección de correo electrónico normal, a excepción que la arroba se remplaza con un punto. También termina con un punto. serial: Es un número que indica la versión del archivo de zona, y debe ser incrementado cada vez que el archivo se modifique. Es importante porque los servidores secundarios solicitan el registro SOA en ciertos intervalos, para verificar el serial. Si éste ha cambiado, entonces transfieren el archivo completo para actualizarse. Una práctica muy común es utilizar la fecha en el formato aammdd y agregarle dos dígitos más para los cambios que se hacen al archivo en el mismo día. De tal manera, un serial típico podría ser actualizar: Es el intervalo, en segundos, para las revisiones que hacen los servidores secundarios del registro SOA, con el fin de verificar si la información del dominio ha cambiado. El valor típico es de una hora (3600). reintento: Es el tiempo, en segundos, que un servidor secundario debe esperar para reintentar una conexión por refresh que ha fallado. El valor recomendado es de 10 minutos (600 segundos). expirara: Si un servidor secundario no ha podido comunicarse con su servidor primario para verificar que no haya habido cambios a la zona (mediante su registro SOA), descartará la información que tiene después de este periodo dado en segundos. El valor típico es de 42 días, o sea minimo: Este es el número de segundos empleado en los registros del archivo que no especifican su campo ttl (time to live). 50

51 El registro A Este registro sirve para asociar un nombre de máquina con una dirección IP. El único dato para este tipo de registro es la dirección IP en su forma estándar xxx.xxx.xxx.xxx. Debe haber sólo un registro A por cada dirección IP en el archivo, aunque es posible asignarle a una máquina más de una dirección mediante varios registros A. El registro NS Mediante un registro NS es posible designar un servidor que deberá responder para todas las peticiones que involucren un determinado subdominio. Esto es importante porque permite delegar la asignación de nombres y facilita el manejo de dominios complejos. Designar un servidor de nombres, sin embargo, no basta. Se necesita definir en alguna parte del archivo la dirección de este servidor, mediante un registro A, por supuesto. 51 El registro PTR Un registro PTR se utiliza para relacionar una dirección IP con un nombre de máquina, exactamente al revés que un registro tipo A. Estos registros aparecen en los archivos de zonas para la resolución inversa. En cada registro sólo aparece una fracción de la dirección IP: la dirección se completa porque a cada nombre que no termina en un punto se le agrega el origen. Los nombres de máquinas aparecen siempre en los registros PTR en su forma canónica, es decir, con el dominio completo. El punto es necesario porque de no aparecer se le agregaría erróneamente el origen. El registro MX Los registros MX sirven para anunciar a los programas de intercambio de correo, una máquina que se encarga de administrar el correo de un determinado dominio. El registro CNAME Este registro sirve para asignarle un nombre alternativo o alias a una máquina. Todos estos tipos de datos se conocen como Registros de Recursos (RR) y se asocian a los nombres de dominios.

52 12.10 Resolución inversa El proceso de resolución en el DNS no sólo permite traducir nombres a direcciones IP, también se puede hacer el proceso inverso, dado un número IP determinar el nombre principal asociado a esta. Esta facilidad permite que los programas puedan producir su salida en un formato más humano, por ejemplo el subsistema de trazas en lugar de colocar los números IP de las máquinas en las salidas que genera puede utilizar sus nombres. Este tipo de traducción también permite hacer ciertos chequeos de autorización por parte de algunos servidores que en función de ello dan determinadas facilidades de acceso. DNS no se diseñó originalmente para aceptar este tipo de consulta. Un problema observado al permitir el proceso de consulta inversa es la diferencia en la forma en que el espacio de nombres DNS organiza e indexa los nombres, y cómo se asignan las direcciones IP. Si el único método para responder a la pregunta anterior fuera buscar en todos los dominios en el espacio de nombres DNS, una consulta inversa podría llevar demasiado tiempo y requerir un procesamiento demasiado largo como para ser útil. 52 Para resolver este problema, en el estándar DNS se definió y se reservó un dominio especial, el dominio in-addr.arpa, en el espacio de nombres DNS de Internet con el fin de proporcionar una forma práctica y confiable para realizar las consultas inversas. Al crear el espacio de nombres inverso, los subdominios dentro del dominio in-addr.arpa se crean en el orden inverso de los números en la notación decimal con puntos de las direcciones IP. Este orden inverso de los dominios para el valor de cada octeto es necesario porque, a diferencia de los nombres DNS, cuando se leen las direcciones IP de izquierda a derecha se interpretan al contrario. Cuando se lee una dirección IP de izquierda a derecha, se ve desde su información más general (una dirección IP de red) en la primera parte de la dirección a la información más específica (una dirección IP de host) que contienen los últimos octetos. Por esta razón, se debe invertir el orden de los octetos de las direcciones IP cuando se crea el árbol del dominio in-addr.arpa. Con esta colocación, la administración de las ramas inferiores del árbol DNS in-addr.arpa se puede dejar a las organizaciones ya que se les asigna un conjunto de direcciones IP específicas o limitadas dentro de las clases de direcciones definidas en Internet. Finalmente, el árbol del dominio in-addr.arpa, como se crea en DNS, requiere que se defina un tipo de registro de recursos (RR) adicional, el registro de recursos de puntero (PTR). Este registro de recursos se utiliza para crear una asignación en la zona de búsqueda inversa que, normalmente, corresponde a un registro de recurso de dirección de host (A) con nombre para el nombre del equipo DNS de un host en su zona de búsqueda directa.

53 El proceso de búsqueda inversa que se muestra en esta ilustración se produce en los siguientes pasos: 1. El cliente, "host-b", consulta al servidor DNS un registro de recursos de puntero (PTR) que asigna la dirección IP a "host-a". 2. Ya que esta consulta se realiza en los registros de puntero, el solucionador invierte la dirección y agrega el dominio in-addr.arpa al final de la dirección inversa. De esta manera, forma el nombre de dominio completo (" in-addr.arpa.") que se va a buscar en una zona de búsqueda inversa Una vez localizado, el servidor DNS con autoridad en " inaddr.arpa" puede responder con la información del registro de puntero PTR. Esto incluye el nombre de dominio DNS para "host-a", lo que completa el proceso de búsqueda inversa.

54 13. Servicio de Actualizaciones para Servidores Windows (WSUS) Servicio de Actualizaciones para servidores Windows provee actualizaciones de seguridad para los sistemas operativos Microsoft. Mediante Servicio de Actualizaciones para servidores Windows, los administradores puede manejar centralmente la distribución de parches a través de Actualizaciones automáticas a todas las computadores de la red corporativa. WSUS se desarrolló a partir de Servicio de Actualizaciones (SUS), el que solo podía actualizar parches del sistema operativo. WSUS supera a SUS en que expande el rango de aplicaciones que puede actualizar. La infraestructura de WSUS permite que desde un servidor(es) central se descarguen automáticamente los parches y actualizaciones para los clientes en la organización, en lugar de hacerlo del sitio web Microsoft Windows Update. Esto ahorra ancho de banda, tiempo y espacio de almacenamiento debido a que las computadoras no necesitan conectarse individualmente a servidores externos a la organización, sino que se conectan a servidores locales. 54 Servicio de Actualizaciones para servidores Windows esta conformado por un repositorio de paquetes de actualización de Microsoft, una instancia de MSDE, un servicio que descarga las actualizaciones de un servidor superior y un sitio virtual de IIS. Como muchos otros nuevos productos de Microsoft, la administración de WSUS se realiza a través de una interface web, que permite a los administradores aprobar o declinar las actualizaciones y obtener amplios reportes sobre que actualizaciones necesita cada computadora. Los administradores del sistema pueden también configurar que WSUS apruebe automáticamente ciertas clases de actualizaciones (actualizaciones críticas, actualizaciones de seguridad, paquetes de servicio, drivers). Se puede igualmente aprobar actualizaciones solo para "detección", permitiendo que el administrador sepa que computadoras necesitas determinada actualización sin necesidad de instalarlo. Los administradores pueden usar WSUS junto con las políticas de grupo del Directorio Activo para realizar la configuración del cliente de Actualizaciones Automáticas, garantizando que los usuarios finales no puedan deshabilitar o evitar las políticas corporativas de actualización. WSUS, sin embargo, no necesita del Directorio Activo.

55 13.1 Aplicaciones soportadas Servicio de Actualizaciones para servidores Windows permitía actualizar los siguientes sistemas operativos de Microsoft Sistemas Operativos y aplicaciones: Windows 2000 Windows XP (32-bit, IA-64 and x64 Editions) Windows Vista Windows Server 2003 Windows Small Business Server 2003 Exchange Server 2000 Exchange Server 2003 SQL Server SQL Server 2005 Office XP Office 2003 Microsoft ISA Server 2004 Data Protection Manager 2006 Windows Live Mail Desktop Windows Live Toolbar Forefront Client Utility 55

56 14. Configuración de ESET NOD32 Enterprise Multiusuario ESET NOD32 Enterprise Multiusuario es el paquete de seguridad completo para empresas medianas y grandes. Contiene la versión estándar de ESET NOD32 Antivirus para estaciones de trabajo, la versión Profesional Multiusuario que descargará las actualizaciones desde ESET, Remote Administrator Server, que se ejecutará en el servidor de la compañía, y la consola de administración remota Remote Administrator Console, desde donde se podrá administrar el sistema completo. Esto implica que solo hay que descargar las actualizaciones en un servidor, hecho que reduce el tráfico de la red. Naturalmente, este servidor debe estar funcionando durante toda la jornada laboral, y utilizar un sistema operativo basado en Windows NT (NT4/2000/XP/2003/Vista). Las actualizaciones se guardarán en esa máquina, y después serán utilizadas por las estaciones de trabajo de la red. Por lo tanto, el servidor actúa como un espejo para los clientes, y en la configuración se lo denomina Mirror (espejo, en inglés). 56 A través de NOD32 Remote Administrator Console (RAC, Consola de administración remota), el administrador puede ver un panorama global de la actividad de ESET NOD32 en las estaciones de trabajo, y recibir información sobre las amenazas y otros problemas que pudieran existir, por correo electrónico o mediante Windows Messenger. Los datos que se obtienen de las estaciones de trabajo, se guardan de forma centralizada en el servidor NOD32 Remote Administrator Server (RAS, Servidor de administración remota). El administrador puede acceder a él utilizando la Consola RAC, desde su propia estación de trabajo u ordenador portátil. La comunicación se establece en ambos sentidos, y por ende el administrador puede reaccionar inmediatamente ante las nuevas situaciones, y asignar tareas a los clientes ESET NOD32 relevantes.

57 57 ESET Remote Administrator es una aplicación que permite gestionar las soluciones de seguridad de ESET en un entorno de red. Este programa facilita la implementación, administración y mantenimiento de los productos ESET, incluyendo estaciones de trabajo y servidores, de forma centralizada. ESET Remote Administrator cuenta con las siguientes capacidades: Proporcionar un rápido panorama de la seguridad de la red. Brindar información estadística completa, presentada de forma gráfica e intuitiva. Configurar clientes ESET remotos. Instalar o desinstalar de forma remota los productos ESET. Localizar ordenadores desprotegidos en la red. Para implementar un sistema completo de seguridad para la red utilizando productos ESET, es necesario realizar los siguientes pasos: Instalar el servidor de administración remota de ESET Remote Administrator (ERAS).Un servidor de administración remota es una herramienta de gestión que recolecta información acerca de los clientes ESET, cambios en la configuración y sucesos relacionados con la protección contra código malicioso. Instalar la consola de administración remota de ESET Remote Administrator (ERAC). La consola de administración remota es la interfaz del usuario para

58 el servidor ERAS, y funciona como la herramienta de gestión principal de los clientes ESET de la red. Instalar un servidor local de actualizaciones (Mirror). El servidor local de actualizaciones guarda una copia de los archivos de actualización descargados de los servidores de ESET. Instalar las aplicaciones de seguridad en los ordenadores cliente (ESET NOD32 Antivirus, ESET Smart Security, etcétera). 58 Técnicamente, ESET Remote Administrator está conformado por dos componentes separados: El servidor de administración remota, ESET Remote Administrator Server (ERAS). La consola de administración remota, ESET Remote Administrator Console (ERAC). Un usuario puede ejecutar en su red una cantidad ilimitada de clientes y de servidores ERAS, pues no existen restricciones de uso en el acuerdo de licencia.

59 La única lmitación es el total de clientes que puede administrar la instalación de ESET Remote Administrator, según el tipo de licencia adquirida Servidor de administración remota: ERAS El módulo ESET Remote Administrator Server se ejecuta como un servicio en los siguientes sistemas operativos de Microsoft: Windows NT4 Windows 2000 Windows XP Windows 2003 Windows Vista. 59 Su función principal es recolectar información de los clientes y enviarles varias solicitudes y órdenes, que incluyen tareas de configuración, instalaciones remotas, etcétera. Estas, son creadas a través de la consola de administración remota (ERAC). Es recomendable que el ordenador donde se instala ERAS esté siempre en línea y sea accesible a través de la red informática para: Las estaciones de trabajo cliente. El ordenador con la consola de administración remota. Otras instancias de ERAS, si se han creado copias de este servidor Consola de administración remota: ERAC ESET Remote Administrator Console es el módulo cliente de ESET Remote Administrator, y generalmente se instala en una estación de trabajo. Esta última, es utilizada por el administrador para controlar de forma remota las soluciones de seguridad ESET de cada cliente. Al instalar ERAC, es posible introducir el nombre de un servidor ERAS. Cuando se inicia, la consola se conectará automáticamente con dicho servidor. La consola ERAC también puede ser configurada después de su instalación. Los registros gráficos en formato HTML generados por ESET Remote Administrator Console se guardan en el ordenador local. El resto de la información se envía desde ERAS a través del puerto TCP 2223.

60 ANEXO 1 60 MANUALES DE INSTALACION

61 -MANUALES DE INSTALACION- 1. MANUAL DE INSTALACION DE WINDOWS 2003 SERVER Podremos instalar Microsoft Windows 2003 Server (en adelante w2k3) de las siguientes formas: Manualmente, desde una unidad de CD-Rom o de Red compartida. Mediante un archivo de respuestas y la unidad de CD-Rom o de Red compartida. Utilizando Sysprep y algún programa de creación de imágenes, para crear una imagen de una instalación, que pueda implantarse mediante una unidad de CD-Rom o de Red compartida. Automatizada durante el inicio del sistema desde la Red con RIS (Remote Installation Services). Actualización del sistema operativo, mediante las características de instalación/mantenimiento de software con las directivas de grupo (Group Policy s Software Installation and Maintenance, Intellimirror) o con SMS (Microsoft Systems Management Server). 61 Antes de ponerse manos a la obra, habría que planificar la instalación, los requisitos del sistema, las particiones que hemos de efectuar en los discos, el tipo de licencia de la instalación, etc... Hemos de tener el equipo desconectado de internet. La partición ha de ser NTFS. La contraseña debe ser segura. Si se utilizan archivos de respuesta hay que guardarlos con cuidado. Es interesante definir contraseña de acceso a la BIOS del equipo. Conectamos el equipo a la red eléctrica, pulsamos el botón de arrancada, abrimos el CD-Rom y colocamos el CD de nuestro w2k3, el equipo leé la BIOS y se prepara para iniciarse, recorriendo los dispositivos buscando los archivos necesarios para cargar un s.o., como éste no existe, llegará al CDRom y se iniciará la instalación, la primera pantalla que nos vamos a encontrar es la que sigue:

62 62 Sencilla, no? Pues le dejamos que nos inspeccione la configuración de hardware del equipo. Seguirán una série de pantallas de fondo azul, en las que se nos muestran acciones y/o opciones. En la BIOS se configura la secuencia de arranque, donde se incluirá el lector de CD-Rom. Si el Hdd no estuviese vacío, es decir que tenga un s.o., entonces deberíamos ponerlo el primero en la secuencia. Acciones: Lo que va haciendo el programa de instalación, copiando archivos tales, cuales, etc... Opciones: Además de la posible información, es posible, pulsando alguna tecla de Función (F2, F6, F5...) acceder a ciertas opciones durante la instalación.

63 63

64 Primero: Aquí se nos muestra las tres posibilidades que el programa de instalación nos ofrece, se adivina cada una de ellas. La primera es la que elegiremos para continuar con la instalación. La segunda nos serviría en el caso de querer recuperar una instalación anterior, y se nos ofrecerán algunas alternativas. La tercera finalizará el proceso sin instalar w2k3. 64 Se nos mostrará la licencia de uso del sistema, pulsaremos la tecla F8 para aceptarla y seguir con la instalación.

65 Aquí se nos muestra la información del espacio que tenemos, discos y particiones. En la imagen, un disco con 5114MB sin particiones. Podemos pulsar Entrar para instalar Windows en el espacio remarcado, o, escoger el resto de opciones para crear/eliminar particiones existentes. 65 Después de utilizar C y seguir las indicaciones de dicha opción, hemos creado una partición en el espacio que teníamos. La remarcamos y pulsamos ENTRAR para instalar W2k3 en ella.

66 Ahora se nos solicita el formato del sistema de archivos, los marcados como rápidos servirían si las particiones existen y ya tienen montado un sistema de archivos, fat o ntfs respectivamente, y se borraría todo lo que contienen. Las otras dos montarían el sistema de archivos y formatearían la partición con el mismo. Lo mejor es elegir NTFS, sin ninguna duda, no debe perderse las posibilidades que nos ofrece este sistema en un servidor. Pulsaremos ENTRAR cuando lo tengamos elegido. 66 Nos mostrará el progreso del formateo.

67 Luego examinará los discos. 67 Finalizada la comprobación, creará una lista de archivos para copiar.

68 Aquí nos muestra el progreso de copia de los archivos de la lista creada por el programa de instalación. 68 Al finalizar la copia nos indica que va a iniciar la configuración, desde el archivo que se nos indica en la barra inferior.

69 Fenómeno, hemos terminado la primera fase y el equipo se reiniciará automáticamente o pulsando nosotros mismos ENTRAR. En principio no hay que tocar el CD-Rom, ahora debería arrancar desde el disco duro. Asegurarse que la secuencia de arranque en la BIOS es correcta y no reinicialice el programa de instalación. 69 Si todo ha ido bien, durante el primer reinicio ya nos muestra la pantalla de arranque desde el disco duro.

70 Aquí ya nos muestra la primera pantalla gráfica del proceso de instalación, 39 minutos es el cálculo que hace para finalizarla; A la derecha irán mostrándose mensajes informativos mientras va realizando el proceso. 70 A los dos minutos ya va por la instalación de dispositivos, aquí puede darnos una série de pantallazos, cosa normal ya que estará instalando los controladores de la tarjeta gráfica/vídeo.

71 71 Comienzan las configuraciones: Primero nos solicitará la configuración regional y de idioma, por defecto los valores son de España, así que no sería necesario cambiar nada si es la configuración que nos interesa. Aún así, vemos en las siguientes imágenes que nos mostraría si pulsamos en Personalizar y/o Detalles.

72 Realmente estas configuraciones pueden cambiarse a posteriori desde los iconos que aparecerán en el Panel de Control. Pestaña Opciones regionales: Aquí nos muestra los valores para Español(España), si deseamos cambiarlos pulsaríamos en Personalizar. También nos indica la ubicación actual, en este caso España, pero podemos cambiarla eligiendo otra ubicación del desplegable. Tenemos el modo en que nos mostrará los números, la moneda que es el Euro, el formato de Hora, y los formatos corto y largo de la Fecha. 72 Personalizar nos ofrecerá una ventana con cinco pestañas. Donde podremos configurar los Números, Moneda, formato de Hora, formato de Fecha y Ordenar.

73 73 Pestaña Idiomas. Pestaña Opciones avanzadas.

74 74 En caso de pulsar Detalles, nos aparece la configuración del teclado (dispositivo de entrada).

75 75 Seguidamente se nos mostrará la ventana en donde introduciremos un nombre y el de la organización.

76 76 Luego se nos pedirá la clave del producto. Recordaremos que los productos adquiridos en caja necesitarán a posteriori de Activación, mediante Internet o telefónicamente; Mientras que existen Licencias por volumen que no necesitarán de éste requisito.

77 Una CAL de Windows (CAL de Dispositivo o de Usuario) puede aun ser designada para su uso con un solo servidor, autorizando acceso por medio de cualquier dispositivo o usuario, cuando la modalidad de software de licencia para el servidor esté definida en Por Servidor. En esta modalidad, el numero de CAL s de Windows es igual al numero máximo de conexiones corrientes. O, una CAL de Windows (de Dispositivo o de Usuario) puede ser designada para su uso con cualquier numero de servidores, autorizando el acceso por medio de un dispositivo especifico o usuario, cuando la modalidad de licencia del software de servidor este definida en Por Dispositivo o Por Usuario (Anteriormente llamada modalidad Por Asiento ). Se han agregado otras opciones que se detallan a continuación Un nuevo nombre para la modalidad de licencia Por Asiento y derechos de uso expandidos. Las dos modalidades de licencia CAL que existen en Windows 2000 Server todavía existen, pero una de las modalidades tiene un nuevo nombre: la modalidad Por Asiento ha sido cambiada a modalidad Por Dispositivo o Por usuario, y pueden aplicársele CAL s de usuario. El nombre de la modalidad Por Servidor no ha cambiado, y los derechos asociados con cada una de las modalidades no han cambiado en esencia. La modalidad Por Dispositivo o Por Usuario se refiere al numero total de dispositivos o usuarios (o una combinación de dispositivos y usuarios) que acceden el software del servidor a lo largo de cualquier numero de servidores, en cualquier momento. En esta modalidad, usted necesita una CAL Windows para cada dispositivo o usuario que accederá el Servidor Windows. En la Modalidad Por Dispositivo o Por Usuario, solamente se necesita una CAL Windows para que cualquier Dispositivo dado o Usuario acceda el Servidor Windows, sin importar cual servidor esté accediendo. La modalidad Por Servidor se refiere al número de conexiones corrientes al software del servidor. 77

78 Después de elegir el modo de licencia, seguimos con la instalación, se nos pedirán el nombre del equipo (aunque el programa de instalación nos ofrece uno) y la contraseña del administrador. Recomiendo cambiar el nombre a uno que nos defina mejor su función. En cuanto a la contraseña, si utilizamos una que no contenga los principios de robustez conocidos el propio programa nos lo recordará, pero en general: al menos entre 7 y 14 caracteres, que incluyan números, letras minúsculas, letras mayúsculas y algún carácter especial (` # $ % ^ & * ( ) _ + - = { } [ ] \ : " ; ' < >?,. /), que no contengan nuestro nombre ni nuestro nombre de usuario. 78 La fecha, la hora y la zona horaria.

79 79 Procedamos a instalar la Red, en cuanto detecte los dispositivos nos ofrecerá dos posibilidades, como vemos en la imagen siguiente.

80 Podemos elegir la típica y luego modificarla, o, podemos personalizarla. 80 Al elegir personalizar nos mostrará la imagen anterior, aquí nos interesa, de momento, más la parte del protocolo TCP/IP.

81 Señalaremos dicho protocolo y pulsaremos en propiedades, allí pasamos a configurarlo a nuestro antojo. En la pestaña general hemos de configurar como obtener la IP y el DNS. Si la instalación (como así seguiremos) es para un DC, la IP será fija y la sabremos de antemano, igual que la máscara de red y la puerta de enlace si existe, así mismo la IP del DNS será la misma, 81 o sea, el servidor se apuntará a sí mismo. En el caso de servidor miembro o independiente, podremos configurarlo de modo automático, sí, como debe ser, existe un servidor DHCP en la red. La configuración alternativa puede ser configurada de forma que sea automática o igual que en el paso anterior definida por nosotros mismos. En principio, no tocamos nada. Si se necesita ya se verá. Volvamos al apartado General, pero ésta vez vemos las opciones de la configuración avanzada, accesible al pulsar en Opciones avanzadas. Consta de cuatro pestañas, en la primera podemos definir los mismos datos que si no hubiesemos pulsado avanzadas. La IP, su máscara y la puerta de enlace. Significativamente tenemos aquí además la posibilidad de configurar la métrica, automáticamente o manualmente si nos interesa.

82 En realidad como vengo diciendo si esto va a ser un DC, durante el proceso de instalación no vamos a cambiar nada, una vez puesta la IP fija, máscara, puerta de enlace si la hay y la IP del DNS. Configuraciones de DNS. 82 Configuraciones de WINS y la configuración NETBIOS. En la dos imágenes de abajo, el filtrado TCP/IP y sus propiedades.

83 83 Aquí seguimos, podemos configurar la pertenencia del equipo, un grupo de trabajo (servidor independiente) o a un dominio (servidor miembro, o un DC más a añadir). Estamos instalando y configurando desde cero, así que lo dejamos así. Pero que sepais que en caso de escoger unirlo a un dominio, se nos pedirá un usuario y contraseña con privilegios para poder unirlo.

84 Seguirá con la copia de todos los archivos necesarios. 84 Guardará la configuración. Borrará archivos temporales usados y reiniciará de nuevo. Se dispone a Reiniciar el equipo y arrancar windows 2003 server

85 85

86 2. INSTALAR DNS Y ACTIVE DIRECTORY MEDIANTE LAS HERRAMIENTAS MANUALES 1.- Haga clic en el botón Inicio y en Ejecutar, escriba DCPROMO y, a continuación, haga clic en Aceptar Cuando aparezca el Asistente para instalación de Active Directory, haga clic en Siguiente para iniciar la instalación. 3.- Después de revisar la información de Compatibilidad de sistema operativo, haga clic en Siguiente

87 4.- Seleccione Controlador de dominio para un dominio nuevo (opción predeterminada) y, a continuación, haga clic en Siguiente Seleccione Dominio en un nuevo bosque (opción predeterminada) y, a continuación, haga clic en Siguiente 6.- Para Nombre DNS completo, escriba computación.ipn.mx y, después, haga clic en Siguiente. (Esta opción representa un nombre completo.)

88 7.- Haga clic en Siguiente para aceptar la opción predeterminada Nombre NetBIOS del dominio de COMPUTACION. (El nombre NetBIOS proporciona compatibilidad de bajo nivel.) En la pantalla Carpetas de la base de datos y del registro, establezca la Carpeta de registro de Active Directory de forma que apunte a C:\Windows\NTDS y, a continuación, haga clic en Siguiente para continuar 9.- Deje la ubicación de la carpeta predeterminada para Volumen del sistema compartido y, después, haga clic en Siguiente

89 10.- En la pantalla Diagnósticos de registro de DNS, haga clic en Instalar y configurar el servidor DNS en este equipo. Haga clic en Siguiente para continuar Seleccione Permisos compatibles sólo con sistemas operativos de servidor Windows 2000 o Windows Server 2003 (opción predeterminada) y, a continuación, haga clic en Siguiente Escriba la contraseña para Contraseña de modo de restauración y Confirmar contraseña y, después, haga clic en Siguiente para continuar.

90 13.- A continuación se representa un resumen de las opciones de instalación de Active Directory. Haga clic en Siguiente para iniciar la instalación de Active Directory. Si se le indica, inserte el CD de instalación de Windows Server En el proceso de instalación se nos pedirá el disco de instalación en windows 2003 server como se muestra 14.- Haga clic en Aceptar para finalizar la Instalación.

91 3. CONFIGURACION DEL SERVIDOR COMO SERVIDOR DHCP 1.- En la página Administre su servidor, haga clic en Agregar o quitar función Cuando aparezca el Asistente para configurar su servidor, haga clic en Siguiente. 3.- Haga clic en Configuración personalizada y, después, haga clic en Siguiente

92 4.- En Función del servidor, haga clic en Servidor de DHCP y luego en Siguiente Revise el Resumen de las selecciones y, a continuación, haga clic en Siguiente para iniciar la instalación. 6.- Cuando aparezca el Asistente para ámbito nuevo, haga clic en Siguiente para definir un ámbito de DHCP

93 7.- Para Nombre, escriba computación. Deje en blanco la descripción y, después, haga clic en Siguiente Escriba para Dirección IP inicial y para Dirección IP final. Haga clic en Siguiente 9.- En este punto no se definen las exclusiones. Haga clic en Siguiente para continuar la instalación

94 10.- Para aceptar el valor predeterminado de Duración de la concesión, haga clic en Siguiente Para definir Opciones de DHCP, haga clic en Siguiente 12.- En la pantalla Enrutador (puerta de enlace predeterminada), escriba para Dirección IP, haga clic en Agregar y luego en Siguiente.

95 13.- Para Dominio primario en la pantalla Nombre de dominio y servidores DNS, escriba computación.ipn.mx. Para Dirección IP, escriba , haga clic en Agregar y después en Siguiente Haga clic en Siguiente ya que no se van a utilizar Servidores WINS en este entorno Haga clic en Siguiente para Activar ámbito

96 16.- Haga clic en Finalizar Cierre la pantalla Administrar su servidor

97 4. MANUAL DE INSTALACION DE UN SERVIDOR DNS 1. Haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Panel de control. Enseguida doble clic en Agregar o quitar programas y, después, haga clic en Agregar o quitar componentes de Windows En el Asistente para componentes de Windows, haga clic en Servicios de red en la lista Componentes y, después, haga clic en Detalles.

98 3. Servicios de red, active la casilla de verificación Sistema de nombres de dominio (DNS) si no está activada y, después, haga clic en Aceptar En el Asistente para componentes de Windows, haga clic en Siguiente. Cuando se le pida, introduzca el CD-ROM de Windows Server 2003 en la unidad de CD-ROM del equipo. El programa de instalación copia al equipo el servidor DNS y los archivos de herramientas. 5. Cuando termine la instalación, haga clic en Finalizar.

99 6. Si el entorno ya tiene un dominio DNS y una infraestructura DNS, y Active Directory no está activada, puede utilizar el dominio DNS existente y delegar ciertas zonas a este servidor. Para utilizar el Asistente para configurar servidor DNS con el fin de delegar zonas al servidor DNS, se deben seguir los siguientes pasos: 7. Haga clic en Inicio, seleccione Programas, haga clic en Herramientas administrativas y, a continuación, en DNS. 8. Haga clic en el objeto Servidor DNS correspondiente a su servidor en el panel izquierdo de la consola y, después, expanda el objeto servidor para expandir el árbol Haga clic con el botón secundario del mouse (ratón) en el objeto servidor y haga clic en Configurar un servidor DNS para iniciar el Asistente para configurar servidor DNS. Haga clic en Siguiente. 10. Haga clic en Crear una zona de búsqueda directa (recomendado para redes pequeñas) y, a continuación, haga clic en Siguiente. Haga clic en Un proveedor de servicios de Internet (ISP) administra la zona y una copia secundaria de sólo lectura reside en este servidor. 11. En el cuadro de diálogo Nombre de zona, escriba el nombre de la zona. 12. En el cuadro de diálogo Servidores maestros DNS, escriba la dirección IP de un servidor DNS conocido. Haga clic en Siguiente. 13. Haga clic en No, no reenviar consultas y, a continuación, en Siguiente. 14. Haga clic en Finalizar para guardar la nueva configuración y configurar el servidor DNS. Ahora para crear una nueva zona para las zonas del servidor DNS de Windows Server 2003: 15. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en DNS. 16. Haga clic en el objeto Servidor DNS correspondiente a su servidor en el panel izquierdo de la consola y, después, expanda el objeto servidor para expandir el árbol.

100 17. Haga clic con el botón secundario del mouse en Zonas de búsqueda directa y, después, haga clic en Zona Nueva. Haga clic en Siguiente Haga clic en Zona principal para crear una copia maestra de la nueva zona. Haga clic en Siguiente. 19. Escriba el nombre de la nueva zona (por ejemplo, _tcp.miempresa.com y haga clic en Siguiente. 20. Haga clic en Aceptar para aceptar el nombre de archivo predeterminado para el nuevo archivo de zona y, después, haga clic en Siguiente.

101 Haga clic en Permitir actualizaciones dinámicas y, a continuación, en Siguiente. 22. Haga clic en Finalizar.

102 5. MANUAL DE INSTALACION WSUS 3.0 Instalación del WSUS 102

103 103 Aceptar los términos de licencia. Con WSUS podemos elegir no guardar las actualizaciones en local, con lo cual ahorraremos espacio en disco a costa de ancho de banda y más lentitud a la hora de realizar las actualizaciones.

104 Ubicación / Instalación del tipo de Base de Datos 104 WSUS puede instalar una base de datos interna (SQL Server especializado) o bien usar un SQL Server en local o remoto.

105 105

106 106

107 107

108 108 Siempre es recomendable crear un site independiente para el WSUS, después crearemos un alias en el DNS y pondremos un host header en el sitio configurado para responder solo al nuevo alias, de esta forma si el día de mañana movemos el wsus de sitio o necesitamos montar un balanceo lo tendremos mucho mas fácil. Un servidor de WSUS puede replicar de otros WSUS para ahorrar ancho de banda o directamente de Microsoft.

109 Un servidor replica es lo que montaremos en las delegaciones, de esta forma solo aprobaremos las actualizaciones en un servidor y el resto de replicas sincronizaran esas aprobaciones reduciendo así él trabajo necesario. En WSUS 3.0 las replicas informan al servidor upstream del estado de las actualizaciones. Solo los upstream servers necesitaran de acceso al proxy, recomiendo usar una cuenta especial que solo tenga privilegios para acceder a los sitios necesarios, en general no me gusta dar acceso a internet a cuentas de servicio como en este caso es obligatorio lo mínimo que podemos hacer es restringir todo lo que podamos este acceso. 109

110 La lista de productos ya es impresionante 110

111 Lo normal es configurar WSUS para que se actualice una vez al día. 111

112 112

113 113

114 Antes de poder dar importancia a la información que nos pueda dar WSUS, es necesario asegurarnos de que su base de datos esta limpia. En WUS 3.0 podemos usar la consola para correr un wizard de limpieza. En las siguientes imágenes se puede ver paso a paso como limpiar el servidor de: Actualizaciones y revisiones que no se utilizan Equipos que no están en contacto con el servidor Archivos de actualización que no se necesitan Actualizaciones caducadas Actualizaciones reemplazadas 114

115 115 En el siguiente artículo veremos como extraer de la base de datos WSUS la información que necesitaremos para nuestro informe.

116 OBTENER INFORMACION PARA GENERAR REPORTES WSUS guarda su información en SQL Server 2005 SP1 o en una base de datos interna que es en realidad un SQL Server Express pero sin las herramientas de administración. La buena noticia es que podemos acceder a la información almacenada en la base de datos para crear nuestros propios informes. En este artículo veremos cómo recoger los datos básicos, que mas tarde uniremos con el directorio activo para generar un informe global de la situación de actualizaciones. La base de datos de WSUS se llama SUSDB y provee de una serie de vistas públicas que son las que se supone que deberíamos usar para crear nuestros informes. Desgraciadamente estas vistas son un tanto enrevesadas y no incluyen algunos datos que queremos así que tendremos que acceder directamente a las tablas en las que se almacena la información, usar las tablas no está recomendado ni soportado y hay que entender que cualquier Service Pack o actualización de WSUS podría modificar el esquema de dichas tablas y nuestros informes dejarían de funcionar. 116 Tendremos que usar dos tablas. -tbcomputertarget, que contiene la lista de todos los ordenadores conectados al WSUS y su información básica como cuando se conectaron por última vez, la ip, etc. -tbcomputersummaryformicrosoftupdates, que nos permitirá saber cuántas actualizaciones tiene pendiente cada ordenador, cuantas ha instalado ya, etc.

117 ANEXO PRUEBAS

118 1. PASOS PARA METER UNA MAQUINA A UN DOMINIO. Como podemos observar en primer lugar la maquina esta en un grupo de trabajo llamado respaldo, como se muestra en la imagen 1.1. Cabe mencionar que la maquina se debe de dar de alta en el dominio con un nombre especifico en la red, antes de intentar meterla a el dominio. 118 Vamos a realizar lo dicho anteriormente. 1.1 Nos vamos a INICIO MI PC, ahí damos clic derecho, nos vamos a la opción PROPIEDADES, y enseguida a la pestaña NOMBRE DEL EQUIPO. Ahora dentro de las propiedades de esa pestaña seleccionamos CAMBIAR como se muestra en la imagen

119 Nos aparece una nueva ventana, dentro de esa vamos a poner el nombre del dominio, al cual va a pertenecer la maquina, en este caso ponemos computación.ipn.mx y damos clic en el botón de ACEPTAR. Nos sale una nueva ventana (imagen 1.3) en la cual se introduce la cuenta del administrador de la red y damos en ACEPTAR Sale una pantalla en la cual nos da la bienvenida al dominio computación (imagen 1.4) y nos pide que reiniciemos la máquina para terminar la configuración, como se muestra en la imagen 1.5 Imagen 1.4

120 120 Imagen 1.5 Después de que se reinicio la maquina el usuario se tiene que firmar con su cuenta de dominio como se muestra en la figura, obsérvese que en la parte de abajo muestra el nombre del dominio al cual pertenece la maquina. Imagen 1.6 Imagen 1.6 Por último se muestra el nombre del usuario y el dominio al cual pertenecen.

121 121 Figura 1.6

122 2. CREACION DE USUARIOS, GRUPOS Y EQUIPOS EN ACTIVE DIRECTORY Necesitamos entrar al active directory nos vamos a "Inicio" > "Programas" > "Herramientas Administrativas" > "Usuarios y equipos del Active Directory" 122 T Dentro del active directory nos vamos a la carpeta de USUARIOS damos clic derecho opción NUEVO USUARIO. Se presentara las siguiente pantalla para dar de alta al usuario.

123 Se llena los campos de nombre, apellidos y también se le asigna el inicio de sesión de usuario. Damos clic en siguiente. 123 Se presenta esta pantalla en la cual se introduce la contraseña de usuario, esta lleva por default una política que consta de tres letras dos números tres letras y un carácter especial, podemos seleccionar si queremos que cuando inicie sesión el usuario cambie su contraseña asignada así como si queremos que caduque etc. Damos clic en siguiente.

124 124 Se presenta la pantalla de arriba con una descripción de cómo va a quedar configurada la cuenta de usuario y damos clic en finalizar. Ahora seguiremos con la creación de grupos. Dentro de active directory seleccionamos la carpeta de USUARIO damos clic derecho NUEVO GRUPO y se nos presenta la siguiente pantalla:

125 Indicamos el nombre del Grupo, el tipo de grupo es el importante, si queremos aplicar para temas de permisos en carpetas a un grupo de usuarios escogemos "Seguridad"; en cambio, si es para crear el típico grupo que cuando alguien manda un mail quieres que llegue a varias personas a la vez, sería de tipo "Distribución", esto ya depende de que uso se le valla a dar a ese grupo, y damos clic en aceptar. Ahora veremos el procedimiento para hacer la asignación de usuario a un grupo. 125 Como se muestra en la imagen de arriba solo se seleccionan los usuarios que van hacer asignado a un grupo damos clic derecho y seleccionamos AGREGAR A UN GRUPO y se nos presenta la siguiente pantalla: Escribimos el nombre del grupo, damos a "Comprobar nombres" y después a "Aceptar". Por ultimo daremos de alta a un equipo dentro del dominio, dentro de active directory seleccionamos la carpeta de computers, damos clic derecho sobre la carpeta y seleccionamos nuevo equipo.

126 126 Se nos presenta la siguiente pantalla para especificar el nombre del equipo, se le asigna el más adecuado para usted, se le da clic en finalizar.

127 3. Instrucciones para crear un servidor local de NOD32 Pulse sobre el icono de Eset NOD32 en la bandeja del sistema, para abrir el centro de administración y control de esta aplicación. En Módulos de actualización, pulse sobre NOD32 Mirror, y seleccione Configuración. La primera vez que acceda al módulo NOD32 Mirror, este mostrará su icono en rojo debido a que todavía no ha sido configurado. 127 Marque la casilla Crear copias de actualizaciones para que se habilite la configuración de los parámetros necesarios. En la sección Componentes de programa disponibles, marque cada elemento que necesite para la correcta actualización de los diversos entornos disponibles en su red. Complete la ruta hacia la imagen de actualización en su servidor. Se puede crear esta carpeta en cualquier ubicación, pero se sugiere mantener la ruta por defecto, que suele ser la correspondiente a una subcarpeta dentro de la establecida para la instalación del programa. En este caso, debería habilitar un nombre para el acceso y una contraseña, que utilizarán los clientes para acceder a la imagen de actualización.

128 Marque la casilla Necesita confirmación para actualizar componentes del programa. Además de la actualización de la base de datos de firmas de virus, la licencia incluye la actualización de componentes del programa. Estas últimas, necesitan el reinicio del sistema operativo, e incorporan muchas funcionalidades nuevas y mejoras a Eset NOD32, ya que se trata de una migración a una versión completamente distinta, por ejemplo de Eset NOD a Eset NOD Seleccione esta opción para estar aseguro que la actualización de componentes del programa no se aplicará automáticamente a un servidor local de actualizaciones apenas estas estén disponibles en los servidores de ESET. 128 Esta opción depende de la elección del usuario, especialmente porque antes de actualizar todas las estaciones de trabajo de la red, la nueva versión debería ser probada en una red especialmente dedicada a la evaluación de aplicaciones y, además, para evitar el reinicio no controlado de las estaciones de trabajo. De esta forma, las estaciones de trabajo continuarán ejecutando la versión actual de Eset NOD32, y solo aceptarán las actualizaciones de las firmas provenientes del servidor local y, cuando el Administrador lo considere, se harán las actualización de componentes de programa. Marque la casilla de Habilitar acceso a archivos mediante protocolo HTTP para habilitar la actualización de la red a través de este protocolo. Pulse el botón Aceptar para conservar los cambios. Cuando el sistema le pregunte si desea crear una imagen actualizada, acepte ya que la nueva podría contener más componentes de los que está utilizando el sistema local.

129 129 Si lo prefiere, puede actualizar la imagen desde Módulos de actualización, NOD32 Mirror, pulsando en Crear imagen ahora.

130 Pasos para dar de alta un cliente en el servidor de antivirus Pulse sobre el icono de ESET NOD32 Antivirus Bussines Edition en la bandeja del sistema, para abrir el centro de administración y control de esta aplicación. 130 En la ventana de ESET NOD32 Antivirus Bussines Edition, pulse sobre Configuración, y seleccione Muestra las opciones avanzadas de configuración (F5 Acceso rápido).

131 131 Dentro de Configuración diríjase a la rama Varios y presione Administración Remota, luego active la casilla Conectar al servidor remoto de control, ingrese la dirección IP del equipo a ser Servidor de Antivirus; el puerto será 2222 y el intervalo entre conexiones al servidor: 0. Ahora el cliente al bajas las actualizaciones no tendrá que salir a internet sino que las obtendrá de nuestro servidor.