Informe Final Practica Académica Modalidad Práctica Empresarial Departamento de Ingeniería Sistemas Identificación del estudiante. Nombres y apellidos. Aparicio Ernesto Luna Toro Documento de identidad. 8.028.831 Teléfono. 3014344748 Semestre académico. 10 E-mail. Aluna215@gmail.com Identificación del asesor interno (U. de A.). Nombres y apellidos. Deisy Loaiza Berrío Teléfono. 3014983073 Oficina. 21-408 E-mail. yuried@gmail.com Identificación del asesor externo (empresa). Nombres y apellidos. Fabian Arley Salazar Teléfono. 4489600 Dirección. E-mail. fsalazar@intergrupo.com Cargo. Gerente de servicios Identificación de la empresa. Nombre de la empresa. Intergrupo S.A Dirección. Ciudad. Medellín Teléfono. 4489600 Actividad económica. TI Solutions Services
Implementación de la Infraestructura de Directorio de servicios, Mensajería y seguridad con Active Directory 2008R2 y Exchange server 2010. Resumen. Este documento relata de manera explícita las etapas del proceso de migración de las plataformas tecnológicas de Directorio Activo y Exchange Server de la empresa. Este proyecto surgió por la necesidad de la empresa de corregir problemas del pasado y llevar a cabo una renovación y actualización de los productos a la versión más reciente. El proyecto inició con la etapa de estructuración del proyecto, donde se planteó toda la estrategia de gerencia del proyecto, posteriormente se dio inicio a una práctica muy recomendada por el fabricante Microsoft y es hacer una chequeo de salud de la plataforma antes de iniciar el proyecto esta etapa fue muy provechosa puesto que sirvió como insumo para la segunda fase que era el levantamiento de la información. Una vez concluidas las etapas de chequeo y levantamiento de información se inició la parte más importante dentro de todo el proyecto y fue la de diseño de la solución; allí nos encontramos con varios retos, como mejorar la seguridad de la empresa en el manejo de la información y poder brindar una plataforma que permitiera implementar un sistema de colaboración para mejorar la productividad y eficiencia, teniendo la premisa de costos versus rendimiento; lo cual se pudo lograr con éxito gracias al sistema de colaboración que se pudo implementar con Exchange server y su posterior integración con la telefonía IP. Finalmente se llevó a cabo toda la implementación de la plataforma nueva la cual recibió todos los servicios de Autenticación, seguridad y Mensajería de la empresa; en esta etapa se ejecutó todo los que se había planteado en la etapa de diseño. Introducción. Dentro del proceso de actualización tecnológica, la empresa. Ha planteado varias estrategias, entre las cuales se encuentra la definición de un nuevo modelo de servicios integrados para toda su Organización. Los servicios de Active Directory Domain Services y Exchange server hacen parte de este conjunto de servicios que se tiene planeado consolidarse y unificarse bajo una única arquitectura con la cual se ofrezcan servicios de mejor calidad a un menor costo. Teniendo en cuenta esta nueva visión se ha definido el diseño de la nueva plataforma de servicios de dominio para la empresa. Este proyecto ha sido abordado teniendo en cuenta premisas, con las cuales se espera implementar una nueva plataforma que facilite el uso de nuevas alternativas de servicios, mejoras en las comunicaciones, compatibilidad con las aplicaciones Microsoft
integradas al directorio activo, principalmente Lync Server, Servicios de PKI, Servicios de Licenciamiento de Terminal Services, Exchange 2010, a su vez en los procesos de gestión y operación de la infraestructura de la red. Objetivos. Objetivo General Implementar una plataforma de Active Directory Domain and Services, Exchange Server 2010, Active Directory Certificate Services, con tecnología Microsoft, el cual brindará a la organización servicios de directorio, Autenticación, seguridad, certificados digitales, auditoría y Mensajería electrónica. Objetivos Específicos Chequear la salud de la plataforma de autenticación, Directorio Activo, mensajería, Exchange Server y certificados digitales. Levantar la información de la plataforma de Directorio Activo 2003, Exchange server 2003 y Certificados Digitales. Diseñar la infraestructura de Dominio con Windows Server 2008R2, Mensajería con Exchange Server 2010 y Certificados Digitales con Active Directory Certificate Services. Implementar un sistema de Bosque y Domino basado en Active Directory 2008R2, implementación de mensajería basado en Exchange Server 2010 y una PKI (Public Key Infraestructure) basado en Windows Server 2008R2 Planteamiento del Problema. En la empresa anteriormente se ejecutó un proyecto de migración de dominio el cual no se pudo terminar y quedaron 2 dominios con ciertas actividades pendientes como la de eliminar el domino más antiguo y dejar el dominio nuevo funcional; tal proyecto no se llevó a cabo de la forma adecuada por lo cual se tuvieron que mantener los dos dominios coexistiendo, debido a esto y adicionalmente al tiempo de obsolescencia de los sistemas de Active Directory y Exchange Server que ya existían. Se decidió hacer una implementación desde cero de toda la plataforma de Directorio de servicios y mensajería; y una vez esta plataforma nueva estuviera implementada se migrarían todos los demás servicios de la empresa a esta plataforma. Marco Teórico. La mayor parte de los sistemas informáticos y redes mantienen de uno u otro modo una relación de identidades personales (usuarios) asociadas normalmente con un perfil de seguridad, roles y permisos. La autenticación de usuarios permite a estos sistemas asumir con una seguridad razonable que
quien se está conectando es quien dice ser para que luego las acciones que se ejecuten en el sistema puedan ser referidas luego a esa identidad y aplicar los mecanismos de autorización y/o auditoría oportunos. El primer elemento necesario (y suficiente estrictamente hablando) para la autenticación, es la existencia de identidades biunívocamente identificadas con un identificador único (valga la redundancia). Los identificadores de usuarios pueden tener muchas formas siendo la más común una sucesión de caracteres conocida comúnmente como login. El proceso general de autenticación consta de los siguientes pasos: El usuario solicita acceso a un sistema. El sistema solicita al usuario que se autentique. El usuario aporta las credenciales que le identifican y permiten verificar la autenticidad de la identificación. El sistema valido según sus reglas si las credenciales aportadas son suficientes para dar acceso al usuario o no. Active Directory (AD) es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, Kerberos) para los procesos de autenticación. Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos, permisos, asignación de recursos y políticas de acceso. Active Directory está basado en una serie de estándares llamados X.500, el cual consiste en una definición lógica a modo jerárquico. Los dominios y subdominios se identifican utilizando la misma notación de las zonas DNS, razón por lo cual Active Directory requiere uno o más servidores DNS que permitan el direccionamiento de los elementos pertenecientes a la red, como por ejemplo; computadores y servidores; y los componentes lógicos de la red, como usuarios y grupos. Los sistemas de directorio también están hechos para trabajar y ser compatibles con sistemas basados en estándares X.400 como lo son los sistemas de correo electrónico. El correo electrónico es un servicio de red que permite a los usuarios enviar y recibir mensajes mediante el protocolo SMTP. SMTP (protocolo para la transferencia simple de correo electrónico), es un protocolo de la capa de aplicación. Protocolo de red basado en texto, utilizados para el intercambio de mensajes de correo electrónico y es un estándar oficial de internet.
Exchange Server es el término que usa Microsoft para referirse a su implementación de servicio de correo electrónico, dicho sistema es una completa plataforma de colaboración que permite a los usuarios intercambio de correo electrónico, colaboración, agenda y mensajería unificada. Metodología. Para realizar la migración de la infraestructura de dominio actual a un nuevo bosque con un dominio unificado en Windows server 2008 R2 incluyendo los servicios asociados como mensajería (Exchange Server 2010 y Active Directory Certificate services), se llevaron a cabo las siguientes actividades: Chequeo de salud Ejecución de herramientas de diagnóstico como scripts Recolección de Logs de eventos Ejecución de herramientas del diagnóstico del fabricante Levantamiento de información Revisión detallada de documentación existente de la plataforma Revisión detallada del estado de configuración actual de los servidores Entrevista detallada con los administradores de la plataforma Diseño Documento de diseño de la infraestructura de bosque y dominio con Active Directory 2008R2 Documento de diseño de la infraestructura de mensajería con Exchange server 2010 Documento de diseño de la infraestructura de Certificados digitales con Active Directory Certificate Services Implementación Instalación y configuración del Directorio Activo 2008R2 Instalación y configuración del Exchange Server 2010 Instalación y configuración en Windows server 2008R2 Cronograma de Actividades y Estimación
Resultados y análisis. Etapa de chequeo de salud de la plataforma actual. Una verificación de la salud directorio está diseñada para evaluar el estado general de su entorno de Active Directory y Exchange server. Este proceso está destinado a determinar si pueden existir problemas que podrían afectar negativamente el rendimiento o la capacidad del entorno Microsoft. El resultado esperado de un chequeo de salud de Active Directory y Exchange Server es una serie de resultados de diversas herramientas que permitirá identificar los problemas que se detectaron en términos de configuración, rendimiento, o la replicación. En la realización del chequeo del AD y Exchange se revisa las salidas producidas por cada herramienta y comprender estos, que nos están diciendo. A continuación vamos a mostrar el resultado de la
interpretación de todas las salidas generadas por las herramientas de diagnóstico ejecutadas en el dominio. Chequeo Active Directory SALUD RIESGO ITEM Severidad Severidad AD Replication Site Configuration sin problemas sin riesgo Replication Status sin problemas sin riesgo Replication Configuration sin problemas medio AD Convergence sin problemas sin riesgo Subnet Information sin problemas bajo Large Groups sin problemas sin riesgo Forest/Domain Info sin problemas sin riesgo FRS Group Policy SYSVOL Information sin problemas sin riesgo FSR Convergence sin problemas sin riesgo Orphaned GPTs sin problemas bajo Unliked GPOs sin problemas bajo GPOTool sin problemas medio Name Resolution DNS Lint sin problemas sin riesgo DSDiag -DNS sin problemas bajo DNS Information sin problemas sin riesgo IP Configuration problemas medio WINS 1B & 1C sin problemas medio DC Health DCDiag -General sin problemas sin riesgo OS Information sin problemas sin riesgo Events Logs problemas alto Security Updates sin problemas bajo Performance Info sin problemas sin riesgo Time Configuration sin problemas alto AD Database Database Info sin problemas sin riesgo Partition ACLs sin problemas sin riesgo AD Object Count sin problemas sin riesgo Backup Backup Status sin problemas sin riesgo Other Exchange DSAccesss sin problemas bajo Machine Account Information sin problemas sin riesgo Account Lockouts sin problemas sin riesgo Tabla 1
Resultados Active Directory Explicación: El ambiente de Active Directory ha sido calificado con un total de Salud o Estado de Impacto Medio, sin embargo, esto sólo significa que al menos uno de los problemas de salud encontrados Fue en el marco de categoría "medio" Temas que necesitan atención inmediata: 1. Replication Configuration. 2. Subnet Information 3. IP Configuration 4. WINS 1B & 1C 5. Event Logs Information 6. Security Updates 7. Time Configuration Chequeo Exchange Server SALUD RIESGO ITEM Severidad Severidad Conectividad Availability problemas alto Configuration problemas alto internet Protocol sin problemas sin riesgo Active Directory Access sin problemas sin riesgo Certificates sin problemas bajo Clustering NLB problemas alto DNS sin problemas sin riesgo Security sin problemas sin riesgo Network sin problemas medio MSExchangeRPC problemas alto Mailbox Availability problemas medio Public Folders sin problemas sin riesgo Security sin problemas sin riesgo Configuration DB problemas critico Storage sin problemas medio Clustering sin problemas medio Databse Availanility Group problemas alto Active directory Access sin problemas sin riesgo Database Copy status problemas medio Test Replication sin problemas sin riesgo
Enrutamiento Availability problemas medio Rounting sin problemas medio Active directory Access sin problemas sin riesgo Messaging hygiene sin problemas sin riesgo Backups Backups Status problemas Critico Other Licensing problemas alto Windows Updates sin problemas alto Tabla 2 Resultados Exchange Server Explicación: El ambiente de Exchange Server ha sido calificado con un total de Salud o Estado de Impacto Critico, sin embargo, esto sólo significa que al menos uno de los problemas de salud encontrados Fue en el marco de categoría Critico" Temas que necesitan atención inmediata: 1. Client Access Availability. 2. Client Access Configuration 3. Client Access Clustering NLB 4. Client Access MSExchange RPC 5. Mailbox Availability 6. Mailbox DB Configuration. 7. Mailbox DataBase Availability Group 8. Mailbox Storage Drivers 9. Mailbox CopyStatus 10. Backups Databases 11. Windows update. Resumen calificación de estado de salud de cada plataforma
Ilustración 1 Los Controles de salud se deberían realizar trimestralmente y es una buena práctica para ejecutar una comprobación adicional al momento de realizar cambios importantes en la infraestructura, para identificar cualquier problema que pueda haber en la plataforma. En general las condiciones de salud del Directorio Activo y Exchange Server de la empresa es: operativo, sin embargo considerando la naturaleza de la topología de red Microsoft en la empresa es urgente realizar labores de mantenimiento sobre la plataforma. Etapa de levantamiento de información Un levantamiento de información de Directorio Activo consta de una serie de actividades las cuales dan por resultado un documento de donde se muestra el estado actual en el que se encuentra la plataforma con el objetivo de tener una visión amplia de las condiciones en las que se encuentra la compañía y hacia donde la podemos llevar con el proceso de migración. Como resultado de esta actividad encontramos que la empresa tenía 2 dominios de Active Directory, en la versión 2003 los cuales se encontraban conectados con relaciones de confianza y prestaban los servicios de autenticación en la compañía. El dominio que solo contiene 1 servidor en la gráfica era el más antiguo el cual había sido instalado y configurado en los 90 s, el segundo era un dominio instalado a inicio del año 2000; la siguiente grafica ilustra los dominios, los servidores y su distribución geográfica.
Ilustración 2 El estado actual de la infraestructura de correo no era tan antiguo sin embargo presentaba una configuración un poco compleja y por razones obvias obsoleta. Topologia de red Exchange Server Ilustración 3
Etapa de diseño de la nueva infraestructura Después de haber concluido las dos etapas iniciales del proyecto donde primero, se hizo una verificación del estado de salud de las plataformas de directorio y Mensajería y segundo, se consolidó toda la información acerca de las plataformas; se procedió con una parte vital para el éxito del proyecto, la cual consiste en el diseño de la solución. Como resultado del proceso se genera un documento de diseño donde se consignan todos los detalles de la nueva arquitectura. A continuación se muestran algunos de las gráficas y tablas con los aspectos más relevantes dentro del diseño. Arquitectura de Active Directory y Exchange 100% virtualizada Ilustración 4 En esta arquitectura se propone virtualizar toda la plataforma de mensajería de Exchange Server 2010, y la plataforma de directorio Activo a Windows Server 2008 R2. Dicha arquitectura no cuenta con redundancia ante fallos para el rol de Acceso a clientes CAS/HT.
Para la instalación de los servidores donde estarán configuradas las plataformas de Directorio y Exchange es muy importante hacer un diseño de los requerimientos de hardware que se necesitan, de lo contrario el proyecto estaría corriendo un grave riesgo porque de no ser bien planificados y dimensionadas las capacidades de los servidores las plataformas no funcionarían adecuadamente. Ilustración 5 Ilustración 6 Ilustración 7
Etapa de implementación de la nueva infraestructura La etapa de implementación llevó al desenlace del proyecto, aquí fue donde se realizó la instalación y configuración de todo lo que se había diseñado según las especificaciones del negocio y las bondades de los productos en este caso Active Directory y Exchange server 2010. Arquitectura implantada Ilustración 8 Configuración bases de datos en Alta disponibilidad Ilustración 9
Configuración almacenamiento y virtualización Ilustración 10 Configuración PKI (Infraestructura de claves publicas) Ilustración 11
Conclusiones. La nueva arquitectura de servicios de directorio Activo (basados en Microsoft Windows Server 2008R2 y Exchange server 2010); se pudo mejorar la administración y el control de los recursos de la red, con los cuales se consiguió: Implementar los servicios de colaboración y mensajería instantánea con la planta de telefonía IP Lync Server; con la cual se integraron varios servicios fundamentales para el desempeño de las labores de los empleados de la compañía ya que en con un mismo producto integraron la telefonía, la colaboración, asistencia remota buzón de correo, presencia y sala de reuniones Se pudo integrar los servicios de colaboración entre la empresa y su proveedor de servicios de outsorcing, federando las plataformas de colaboración y correo. La mejora a los niveles de seguridad de la compañía se aumentaron con la implementación de Active Directory 2008R2 y la infraestructura de PKI, con la cual se pudo cifrar la información con certificados digitales para el correo electrónico, comunicaciones unificadas, terminal server y servidores Web de la compañía. Con la implementación de esta migración obtuve gran experiencia en la implementación de proyectos basado en la metodología PMI Referencias Bibliográficas. Libros. Brian Komar, Microsoft Press Corporation, Windows 2008 PKI and Certificate Security, Redmond, Washington 98052-6399 Cibergrafía. Upgrading Active Directory Domains to Windows Server 2008 and Windows Server 2008 R2 AD DS Domains http://technet.microsoft.com/en-us/library/cc731188(v=ws.10).aspx Install Exchange 2010 in an Existing Exchange 2003 Organization http://technet.microsoft.com/en-us/library/dd638130(v=exchg.141).aspx