Requisitos y Recomendaciones

1 BPMS 2 Intranet 3 Document Management 4 Content Management 5 Online Commerce 6 Business Rules Instalación Requisitos y Recomendaciones (22 Febrero 2016) Esta publicación pertenece al Servicio de Documentación de AuraPortal (SDAP) y todos los derechos están reservados. La reproducción total o parcial de este documento, así como la entrega a terceras partes sin el permiso escrito del SDAP quedan prohibidas. www.auraportal.com info@auraportal.com Skype: AuraPortal Tel: +34 962 954 497 Internacional: +18 572 390 070

ÍNDICE INTRODUCCIÓN... 4 1. ESQUEMAS GENERALES... 4 1.1 ESQUEMA DE FUNCIONALIDADES... 4 1.2 ESQUEMA BÁSICO... 5 1.3 ESQUEMA MÁXIMO RENDIMIENTO... 5 2. REQUISITOS ORDENADORES... 7 2.1 ORDENADORES CLIENTE... 8 2.2 CAPACIDADES DE WINDOWS SERVER Y SQL SERVER... 10 2.3 RESUMEN REQUERIMIENTOS SERVIDORES... 11 2.4 SERVIDOR PARA 5-10 USUARIOS... 13 2.5 SERVIDOR PARA 10-25 USUARIOS... 14 2.6 SERVIDOR PARA 25-50 USUARIOS... 15 2.7 SERVIDOR PARA 50-100 USUARIOS... 16 2.8 SERVIDOR PARA 100-500 USUARIOS... 17 2.9 SERVIDOR PARA 500-1000 USUARIOS... 18 2.10 SERVIDOR PARA MÁS DE 1000 USUARIOS... 19 3. INTERNET... 20 3.1 SELECCIÓN DE UNA CONEXIÓN A INTERNET... 20 3.1.1 Ancho de Banda... 20 3.1.2 IP Fija o Dinámica... 21 3.1.3 Garantía... 22 3.1.4 Precio... 22 3.1.5 Qué Tecnología Elegir... 22 3.2 CÓMO SE ESTABLECE UNA CONEXIÓN POR INTERNET... 23 3.3 PUBLICACIÓN DE UN SERVIDOR EN INTERNET... 25 3.4 IP FIJA O DINÁMICA... 27 4. DNS LOCAL Y PÚBLICO... 28 4.1 SERVICIO DNS EN INTERNET... 28 4.2 SERVICIO DNS EN ACTIVE DIRECTORY DE WINDOWS... 28 4.3 QUÉ SERVIDOR DNS UTILIZAR EN UNA RED LOCAL... 29 4.4 URL DE AURAPORTAL. ENCABEZADO HOST... 29 4.4.1 Coinciden Host y Dominio... 29 4.4.2 No coincide Host, Sí coincide Dominio... 30 4.4.3 No coincide Dominio... 30 5. INSTALACIÓN REMOTA... 31 5.1 ACTIVACIÓN ESCRITORIO REMOTO... 31 5.2. PUBLICACIÓN DEL PUERTO 3389... 31 INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 2 de 43

5.3 CONEXIÓN REMOTA... 32 5.3.1 Cierre de Sesión... 33 6. SEGURIDAD. TOLERANCIA A FALLOS... 34 7. SEGURIDAD. FIREWALL... 36 7.1 NIVEL 0. PROTECCIÓN MÍNIMA... 37 7.2 NIVEL 1. PROTECCIÓN BÁSICA... 38 7.3 NIVEL 2. ROUTER + FIREWALL + VIRTUAL DMZ... 39 7.4 NIVEL 3. DMZ + 1 SERVIDOR AURAPORTAL... 40 7.5 NIVEL 4. DMZ + 2 SERVIDORES AURAPORTAL... 41 7.6 NIVEL 5. DMZ + 2 FIREWALLS... 42 INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 3 de 43

INTRODUCCIÓN En este documento se detallan los requisitos y las recomendaciones para la instalación de AuraPortal Helium, clasificados en los siguientes capítulos: 1. ESQUEMAS GENERALES 2. REQUISITOS ORDENADORES 3. INTERNET 4. DNS LOCAL Y PÚBLICO 5. INSTALACIÓN REMOTA 6. SEGURIDAD. TOLERANCIA A FALLOS 7. SEGURIDAD. FIREWALL 1. ESQUEMAS GENERALES En este capítulo se muestran varios esquemas generales de la estructura general de una instalación de AuraPortal. 1.1 Esquema de Funcionalidades En la siguiente imagen se muestra una visión general de los componentes funcionales de AuraPortal: INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 4 de 43

1.2 Esquema Básico En la siguiente imagen se muestra la estructura básica, donde es necesario un ordenador servidor dedicado para instalar AuraPortal y ordenadores cliente con un navegador de Internet desde donde se accederá: 1.3 Esquema Máximo Rendimiento En la siguiente imagen se muestra una estructura escalable para conseguir el máximo rendimiento. Se pueden distinguir los siguientes componentes: BASES DE DATOS DE AURAPORTAL Dado que los sistemas de Cluster de SQL están orientados a Alta Disponibilidad y no a Balanceo de Carga, se requiere que toda la carga esté soportada por el servidor que actúe como nodo Activo. Si se desea que soporte más carga será necesario ampliarlo o sustituirlo, pero no es posible añadir más servidores para repartir la carga como es el caso de los servidores de AuraPortal que sí soportan Balanceo de Carga. Como se muestra en la siguiente imagen, en un escenario en donde se requiera máximo rendimiento, puede ser conveniente separar las bases de datos de SharePoint y BPM en servidores separados. Con respecto al sistema de Reporting utilizado, por ejemplo MS Reporting Services, normalmente está instalado en los mismos servidores de MS SQL y los datos se obtienen directamente de Producción. En caso de que los Reports sean demasiado pesados, se pueden valorar dos escalamientos: 1. Separar MS Reporting Services. Una primera acción para aliviar la carga del servidor MS SQL de AuraPortal es que el servicio MS Reporting Services esté en otro servidor y acceda a las bases de datos de AuraPortal que estén en producción para obtener los datos. 2. Data Warehouse. Si el punto anterior no es suficiente porque el acceso online a las bases de datos de AuraPortal representa una carga demasiado elevada para la CPU del servidor, se puede utilizar la clásica estructura Data Warehouse, donde el Reporting se realiza sobre una base de datos que está en INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 5 de 43

un servidor aparte y que es actualizado diariamente por la noche. Este es el ejemplo mostrado en la imagen: DISTRIBUCIÓN DE FICHEROS DE MS SQL Para conseguir un máximo rendimiento en MS SQL, los distintos ficheros que constituyen la base de datos se tienen que distribuir de la siguiente manera: - Un disco para los ficheros.mdb (datos) - Otro disco para los ficheros.ldf (transacciones), separado físicamente del anterior (aunque pueden estar en la misma cabina). Esta separación se tiene que aplicar a cada una de las tres bases de datos SQL que se van a utilizar (BPM, Contenido de SharePoint y Tempdb). Por lo tanto, en este escenario ideal se requieren un total de 6 conjuntos de discos independientes. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 6 de 43

DOCUMENTOS EN FILE SYSTEM Por motivos de rendimiento conviene utilizar Bibliotecas En Diccionario con Almacenamiento en File System. La estructura que se requiere para ello es la clásica basada en File System de Windows, es decir, suficiente capacidad para los documentos esperados y un acceso de red desde los servidores de AuraPortal que sea rápido y seguro. En cualquier caso, el cambio o ampliación de un File System por otro es una operación fácil que se puede realizar en cualquier momento, por lo que no se requieren acciones en este momento. Las ventajas más notorias del Almacenamiento en File System están relacionadas con evitar el alto crecimiento de las bases de datos MS SQL debido a los documentos almacenados, que normalmente se traduce en problemas de rendimiento y dificultad en la realización de copias de seguridad. RED LOCAL En un sistema de alto rendimiento, la comunicación de red entre los servidores tiene que ser estable y estar bien dimensionada. SERVIDORES DE AURAPORTAL El número de servidores de AuraPortal que pertenezcan al sistema de Balanceo de Carga es fácilmente escalable, y podrá ir determinándose en la medida en que la incorporación de usuarios al sistema lo requiera. MOTOR BPM En general, en un sistema de Balanceo de Carga se recomienda tener centralizado el Motor BPM en un solo servidor, si bien en la mayoría de casos puede ser un servidor que esté añadido al sistema de Balanceo de Carga y por lo tanto compartido con el uso normal que hagan los usuarios. Sin embargo, en casos extremos de necesidad de alto rendimiento del Motor BPM, será recomendado dedicar un servidor exclusivamente para el Motor BPM, es decir, que no esté añadido al sistema de Balanceo de Carga. En los siguientes capítulos se detallan los requisitos enfocados desde el punto de vista del número de usuarios concurrentes. SERVIDOR PARA INFORMES En general, si va utilizar Informes, por ejemplo de Reporting Services u otra aplicación similar, es conveniente configurar un Servidor de Informes en un servidor o equipo físico (o virtual) diferente a los de Aura- Portal (SharePoint o Bases de datos). 2. REQUISITOS ORDENADORES Básicamente es necesario un ordenador servidor dedicado en donde estará instalado AuraPortal y ordenadores cliente con un navegador de Internet desde donde se accederá. En general suele ser recomendado separar AuraPortal en dos servidores, uno para AuraPortal propiamente dicho y otro para la Base de Datos. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 7 de 43

Los requerimientos de estos servidores varían dependiendo de muchos factores, principalmente del número de usuarios concurrentes, la carga de trabajo que éstos desempeñen y del propio diseño de los Procesos BPMS. En los apartados sucesivos se muestran varios esquemas con orientación de los requisitos según el número de usuarios. 2.1 Ordenadores Cliente Con respecto a los ordenadores cliente, es decir, los ordenadores de los usuarios desde donde se utilizará AuraPortal, el único requisito es que disponga de un navegador de Internet, si bien hay que tener en consideración las siguientes aplicaciones adicionales: Recomendado en Ordenadores Cliente Descripción Navegador de Internet El único requisito para los ordenadores cliente es que dispongan de un navegador de Internet. Están homologados los siguientes: - Internet Explorer (versiones 7 o superior), - FireFox (versión 3 o superior), - Chrome, - Safari. Y cualquier navegador compatible estándar. MS Office Es posible utilizar cualquier suite de ofimática (tratamiento de textos, hoja de cálculo, Email, ), si bien Microsoft Office es la opción más recomendada por su especial integración con Aura- Portal y con SharePoint. Se puede utilizar cualquier versión de MS Office, si bien, cuanto más moderna sea mayores serán las opciones disponibles. Las versiones de Office homologadas son: 2003, 2007, 2010 y 2013. AuraPortal Utilities Es un conjunto de Utilidades que se instalan en cada ordenador cliente con facilidades extra para el trabajo con AuraPortal: - Avisador. Cuando un usuario reciba una tarea en su workflow, aparecerá una ventanita emergente en su Escritorio de Windows avisándole, aunque no tenga una sesión abierta en AuraPortal. - Ingresador. Permite ingresar documentos y ficheros a Aura- Portal desde el Escritorio de Windows, desde MS Word, MS Excel y MS Outlook, sin necesidad de tener una sesión abierta INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 8 de 43

de AuraPortal. AuraPortal BPM Modeler En AuraPortal Helium, la herramienta para diseñar los diagramas de los Procesos está incluida en AuraPortal y no es necesario que sea instalada en el ordenador cliente. Esta nueva versión del BPM Modeler está diseñada en Java. En versiones anteriores era necesario la instalación de AuraPortal BPM Modeler basada en MS Visio en el ordenador desde donde se iban a diagramar los Procesos de AuraPortal, es decir en el ordenador desde donde se diseñaban. En AuraPortal Helium esta herramienta basada en MS Visio sigue siendo funcional, en cuyo caso requiere que se tenga instalado MS Visio 2003, 2007, 2010 o 2013 (Standard o Professional). Ambas herramientas, tanto la diseñada en Java como la basada en MS Visio, están disponibles para diseñar diagramas BPMS sin necesidad de tener conexión a AuraPortal. Una vez diseñado el diagrama, puede ser importado en AuraPortal para crear o modificar una Clase de Proceso. DocBase Editor Herramienta para diseñar los Documentos Base MS Word, que servirán de plantillas con las que durante la ejecución de los Procesos se crearán Documentos Automáticos. Sólo hay que instalarla en el ordenador desde donde se diseñen los Documentos Base MS basados en MS Word. No es necesario ni para los Documentos Base HTML ni para el trabajo normal de los usuarios, sólo para el diseñador, el cual requiere MS Word 2003, 2007, 2010 o 2013 en su ordenador. En AuraPortal Helium, DocBase Editor no necesita tener instalado AuraPortal Utilities, funciona independientemente. Estos requerimientos de los ordenadores Cliente son independientes del número de usuarios de AuraPortal, no así la capacidad de los servidores, que ha de incrementarse a medida que el número de usuarios crezca. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 9 de 43

Resumen para ordenadores Cliente: En los siguientes apartados se muestran esquemas orientativos de la capacidad necesaria de los servidores de AuraPortal, si bien hay que tener en cuenta que en cada situación las condiciones pueden ser muy diferentes. Con una capacidad determinada de servidores, el número de usuarios soportados puede ser muy diferente según el uso que estén haciendo de AuraPortal. Para establecer un criterio uniforme, cuando a lo largo de este documento se haga referencia al número de usuarios, siempre se considerarán concurrentes, es decir, que estén trabajando al mismo tiempo en AuraPortal y con una carga de trabajo media. Y se supone que los servidores están dedicados a AuraPortal, o sea que no tienen otras aplicaciones instaladas que consumen recursos significativamente. 2.2 Capacidades de Windows Server y SQL Server Antes de entrar en el detalle de los esquemas de ejemplo con los requisitos de instalación de AuraPortal, hay que tener en cuenta las capacidades de procesador y memoria RAM que tienen los diferentes Sistemas Operativos de servidor que están disponibles para instalar AuraPortal. A continuación se muestran las capacidades de las versiones 2008 R2 de Windows y 2008 y 2012 de SQL, que son las versiones recomendadas: INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 10 de 43

(CPU = Procesadores, GB = Gigabytes de Memoria RAM, TB = Terabytes de Memoria RAM) Nota 1 Estos valores solo son válidos para las ediciones de 64 bits, tanto de Windows como de SQL. Es altamente recomendable la instalación de las ediciones de 64 bits, y no de 32. Nota 2 Windows Server Web Edition no requiere que los usuarios dispongan de licencia (CAL), sólo se necesita la licencia del servidor, lo cual hace que sea una opción económicamente muy interesante. Nota 3 Estos valores están obtenidos de la web de Microsoft y no tienen carácter vinculante a Aura, que sólo los aporta para facilitar su conocimiento. Para su confirmación o posibles cambios consultar a Microsoft. 2.3 Resumen requerimientos Servidores En la tabla mostrada a continuación se resumen los requerimientos de los servidores de AuraPortal según número de usuarios concurrentes: INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 11 de 43

Nota. Para instalaciones donde se prevea un elevado número de usuarios, o bien un volumen de manejo de información (datos: documentos, procesos,etc.) muy alto, es recomendable contactar con el Departamento Support de AuraPortal para contrastar el dimensionamiento de la infraestructura de los servidores. En los siguientes apartados de este Capítulo se muestran los detalles de cada escenario. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 12 de 43

2.4 Servidor para 5-10 Usuarios Los requerimientos mínimos para la instalación de AuraPortal se reflejan en el siguiente esquema donde se muestra que se puede instalar sin problemas junto al motor de Base de Datos en un mismo servidor: Nota. Siempre es recomendable que los servidores estén dedicados a AuraPortal. Instalar software demasiado heterogéneo en un mismo servidor siempre es fuente de posibles incompatibilidades difíciles de definir y diagnosticar. Nota. Es altamente recomendable que la edición del Sistema Operativo y MS SQL sea de 64 bits, no de 32 bits. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 13 de 43

2.5 Servidor para 10-25 Usuarios A medida que se incrementa el número de usuarios hay que aumentar la potencia del procesador y la memoria RAM del servidor. Para 10-25 usuarios es posible seguir con el esquema anterior de un único servidor con tal de aumentar su procesador y memoria RAM, pero siempre es recomendable separar AuraPortal y la Base de Datos en dos servidores distintos: Nota. Siempre es recomendable que los servidores estén dedicados a AuraPortal. Instalar software demasiado heterogéneo en un mismo servidor siempre es fuente de posibles incompatibilidades difíciles de definir y diagnosticar. Nota. Altamente recomendable que la edición del Sistema Operativo y MS SQL sea de 64 bits, no de 32 bits. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 14 de 43

2.6 Servidor para 25-50 Usuarios A medida que se incrementa el número de usuarios también suben los requisitos de los servidores. En el siguiente esquema se muestra cómo la diferencia de requisitos entre 10-25 y 25-50 usuarios es que el Servidor de Base de datos tiene más procesador y memoria RAM: Nota. Siempre es recomendable que los servidores estén dedicados a AuraPortal. Instalar software demasiado heterogéneo en un mismo servidor siempre es fuente de posibles incompatibilidades difíciles de definir y diagnosticar. Nota. Altamente recomendable que la edición del Sistema Operativo y MS SQL sea de 64 bits, no de 32 bits. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 15 de 43

2.7 Servidor para 50-100 Usuarios Con un número considerable de usuarios es recomendable disponer de más de un servidor de AuraPortal e instalarlos con Balanceo de Carga entre ellos. De esta manera, además de repartirse el trabajo, en caso de avería de uno de ellos el otro seguiría proporcionando servicio a los usuarios. El sistema de Balanceo de Carga utilizado es independiente de AuraPortal, si bien hay que considerar que Windows 2008 y 2012 disponen de uno gratuito incluido en el sistema operativo. Otra alternativa sería aumentar el procesador y memoria RAM del servidor de AuraPortal, pero con las siguientes desventajas con respecto al sistema de Balanceo de Carga: No se dispone de Fault Tolerance (Tolerancia a Fallos). Algunas versiones de Windows Server requieren la edición Enterprise para soportar más de 4 GB de memoria RAM, considerablemente más costosa que la edición Standard, o bien la edición de 64 bits. Ver detalles en esquema sobre Sistemas Operativos al principio de este documento. Nota. Siempre es recomendable que los servidores estén dedicados a AuraPortal. Insta- INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 16 de 43

lar software demasiado heterogéneo en un mismo servidor siempre es fuente de posibles incompatibilidades difíciles de definir y diagnosticar. Nota. Altamente recomendable que la edición del Sistema Operativo y MS SQL sea de 64 bits, no de 32 bits. 2.8 Servidor para 100-500 Usuarios Para 100-500 usuarios se mantiene la misma estructura pero incrementando el procesador y memoria RAM del servidor de Base de Datos y el número de servidores de AuraPortal: Nota. Siempre es recomendable que los servidores estén dedicados a AuraPortal. Instalar software demasiado heterogéneo en un mismo servidor siempre es fuente de posibles incompatibilidades difíciles de definir y diagnosticar. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 17 de 43

Nota. Altamente recomendable que la edición del Sistema Operativo y MS SQL sea de 64 bits, no de 32 bits. 2.9 Servidor para 500-1000 Usuarios Para 500-1000 usuarios el esquema sigue siendo el mismo. Más procesador y memoria RAM para el servidor de Base de Datos y más servidores en paralelo para AuraPortal: Nota. Siempre es recomendable que los servidores estén dedicados a AuraPortal. Instalar software demasiado heterogéneo en un mismo servidor siempre es fuente de posibles incompatibilidades difíciles de definir y diagnosticar. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 18 de 43

Nota. Altamente recomendable que la edición del Sistema Operativo y MS SQL sea de 64 bits, no de 32 bits. 2.10 Servidor para más de 1000 Usuarios Para más de 1000 usuarios el esquema sigue siendo el mismo. Más procesador y memoria RAM para el servidor de Base de Datos y más servidores en paralelo para AuraPortal: INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 19 de 43

Nota. Siempre es recomendable que los servidores estén dedicados a AuraPortal. Instalar software demasiado heterogéneo en un mismo servidor siempre es fuente de posibles incompatibilidades difíciles de definir y diagnosticar. Nota. Altamente recomendable que la edición del Sistema Operativo y MS SQL sea de 64 bits, no de 32 bits. 3. INTERNET AuraPortal puede utilizarse en una red Local sin necesidad de conexión a Internet. De esta manera los usuarios de la red Local pueden trabajar en AuraPortal con todas sus funcionalidades sin ninguna limitación. Internet sólo es necesario si se desea que el servidor de AuraPortal esté disponible para usuarios que están fuera de la red Local y quieran conectarse a él a través de Internet. En este caso hay que poner el servidor al alcance de Internet, acción que en este documento de denomina publicar. La publicación de un servidor de AuraPortal en Internet es un proceso relativamente sencillo si bien requiere ciertas condiciones y conocimientos técnicos. En este Capítulo se tratan estos aspectos. 3.1 Selección de una conexión a Internet Básicamente, 4 son los puntos que determinan la elección de una conexión a Internet: Ancho de Banda. Indica la velocidad con la que se va a navegar y/o publicar el servidor. IP Fija o Dinámica. Como veremos más adelante, para publicar un servidor en Internet, conviene que la IP pública de la conexión a Internet sea Fija. Garantía. Este concepto tiene dos aspectos. Porcentaje garantizado del Ancho de Banda contratado y garantía de disponibilidad en el tiempo. Precio. El precio siempre tiene su peso en la decisión, si bien hay que considerar con atención que la calidad de la conexión estará directamente relacionada con la agilidad con la que se trabaje a través de Internet. 3.1.1 Ancho de Banda El Ancho de Banda es fundamental en la selección de una conexión a Internet para la publicación de un servidor, ya que determina la velocidad con la que los usuarios de Internet se conectarán al servidor de AuraPortal. El Ancho de Banda siempre se valora por dos parámetros: Download. Tráfico desde Internet hacia la Red Local. Es la velocidad con la que los usuarios de una red Local podrán navegar, es decir, obtener información de servidores que están en Internet. Upload. Tráfico desde la Red Local hacia Internet. Es el parámetro que determina el Ancho de Banda con el que será publicado el servidor de AuraPortal en Internet, es decir, la velocidad con la que los usuarios de Internet podrán acceder al servidor de AuraPortal que está en la red Local. Es, INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 20 de 43

por lo tanto, un valor fundamental en la elección de la conexión adecuada, y lógicamente, cuanto mayor sea el Upload más rápida será la respuesta de AuraPortal en Internet. Determinar cuál es el Upload recomendado depende de muchos factores, si bien pueden servir como orientación los siguientes valores: Usuarios Externos desde Internet Upload Garantizado 5-10 500 kbps 10-25 1 Mbps 25-50 2 Mbps 50-100 4 Mbps 100-500 6 Mbps En el siguiente esquema se puede ver cómo el cliente utiliza el Download de su conexión, y en cambio, la publicación del servidor su Upload: Nótese que cada cliente tendrá el particular Download de su conexión, mientras que el servidor tiene que atender la suma de todas esas peticiones con su Upload. 3.1.2 IP Fija o Dinámica Conociendo el funcionamiento básico de cómo se establecen las conexiones por internet, se puede concluir lo siguiente: INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 21 de 43

Un router para navegar por Internet puede tener la IP Pública Fija o Dinámica, es indiferente. Un router para publicar un servidor en Internet conviene que tenga la IP Pública Fija. Para entender esta conclusión conviene leer el apartado Cómo se establece una Conexión por Internet más adelante en este Capítulo. Normalmente, el coste de una IP Fija es mínimo, incluso es gratuito para muchos operadores de Internet. Y si por algún motivo, aunque no sea la opción recomendada, no es posible disponer de una IP Fija, una posible solución es utilizar un DNS Dinámico, que es un servicio que proporcionan algunos proveedores. 3.1.3 Garantía Cuando se habla del Ancho de Banda que proporciona una conexión a Internet, además de diferenciar el Download del Upload, hay que distinguir el Ancho de Banda Total del Garantizado. Por ejemplo, cuando se habla de una conexión ADSL de 6 Mb de Ancho de Banda, se está refiriendo al Download, pero el Upload, que normalmente no se cita, es sólo de 300 Kb. Además, estas cifras son el máximo de Ancho de Banda que se puede disponer en las mejores condiciones, pero sólo está garantizado un 10% (hay proveedores que pueden garantizar más). 3.1.4 Precio Poco hay que decir sobre el precio de la conexión. Lógicamente cuanto mejor sea la conexión a Internet mayor será su precio. Por otra parte, en cada ubicación geográfica hay diferentes posibilidades. Lo importante es conocer los requisitos y así en cada caso podrá valorarse la mejor opción, pero siempre hay que considerar que para trabajar a través de Internet es importante una buena conexión. 3.1.5 Qué Tecnología Elegir Muchas son las posibilidades tecnológicas en el momento de elegir una conexión a Internet, y muy distintas según la ubicación geográfica incluso dentro de un mismo País. En este apartado sólo se comentan detalles, a modo orientativo, de cuatro de las conexiones más utilizadas: ADSL. Es, probablemente, la tecnología más utilizada para la conexión a Internet. Como indica la A de su nombre (Asymetric Digital Subscriber Line), esta tecnología está caracterizada por tener un Ancho de Banda asimétrico, esto es, un Download muy superior al Upload. Está orientada sobre todo a la navegación, no a la publicación de servidores. Además, suele tener una garantía baja del Ancho de Banda, normalmente sólo un 10% (algunos operadores pueden garantizar más). Sin embargo, dado su económico precio se utiliza mucho en la publicación de servidores, y en definitiva con buenos resultados. Si se elige este tipo de conexión asegurarse de que tiene un Upload garantizado suficiente. Cable-Modem. Probablemente la mejor opción calidad-precio, si bien no está tan extendida geográficamente como la ADSL. Su Ancho de Banda suele poder contratarse simétrico, es decir, igual Download que Upload y además con un alto porcentaje de caudal garantizado. Si su ubicación geográfica dispone de un proveedor con este tipo de tecnología, valore su contratación. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 22 de 43

Frame Relay. Tecnológicamente es de lo mejor, por su estabilidad y fiabilidad, aunque suele tener un elevado precio. Modem Analógico. Tecnología obsoleta que utiliza líneas de voz analógicas para la transmisión de datos digitales. Aunque todavía se utiliza en aquellas zonas donde no hay otra tecnología, es excesivamente lenta para un funcionamiento normal de cualquier servicio web moderno. 3.2 Cómo se establece una conexión por Internet El protocolo TCP/IP es la base de la comunicación entre los ordenadores a través de Internet, y entre otras cosas requiere que cada ordenador tenga una dirección IP única, no repetida. Para que esto sea posible, varias organizaciones internacionales (fundamentalmente ICANN) controla la asignación de direcciones IP para todos y cada uno de los dispositivos que están interconectados en Internet, ya sean ordenadores, routers, gateways, impresoras, o cualquier elemento conectado a ella. De forma similar, el Gobierno de una ciudad asigna calles y números únicos a todos los domicilios y locales, de manera que el cartero sabe con certeza dónde tiene que entregar una carta postal. A estas direcciones IP que asigna ICANN las llamaremos IPs Públicas. Paralelamente, si alguna empresa quiere instalar una red privada en sus oficinas utilizando el protocolo TCP/IP, podrá elegir las direcciones IP que quiera sin tener que solicitarlas a ICANN. Siguiendo con el ejemplo de las direcciones postales, para identificar cada habitación de nuestra oficina le pondremos un nombre de nuestra elección, pero único. Así tendremos despacho de dirección, sala de reuniones 1, sala de reuniones 2. No se repetirán nombres para poder dirigirse a cada ubicación inequívocamente. Estas direcciones IP que se asignan particularmente en la redes privadas, las llamaremos IPs Privadas. Cuando en una red privada se contrata una conexión a Internet a un operador, éste instala un router (en ocasiones Modem) que siempre tiene dos interfaces, uno conectado a Internet con una IP Pública (recordemos, controlada por ICANN) y el otro conectado a la red de la oficina con una IP Privada. El router se encargará de mantener la conexión necesaria entre las dos redes, Internet y la privada de la oficina. Las conexiones entre ordenadores en internet son siempre bidireccionales, es decir, un navegante envía una petición desde su ordenador a un servidor web, y éste le devuelve las páginas o ficheros solicitados. En este tráfico de datos, en la cabecera de los paquetes IP (unidades de información), están indicadas las direcciones IP de origen y destino. De esta manera, el navegante envía la petición al servidor web deseado y éste sabe a dónde entregar las páginas o ficheros solicitados. Según el escenario que hemos descrito hasta ahora, como las direcciones IP Privadas no están controladas por ICANN, un ordenador de una red privada nunca podría navegar por internet por sí mismo, ya que su petición llegaría al servidor web, pero éste no sabría dónde responder porque la IP originaria es Privada y por lo tanto no conocida por ICANN. Para solucionar esto, los routers de conexión a Internet disponen de un mecanismo llamado NAT (Network Address Translation), que se ocupa de recibir la petición del ordenador privado, y reenviarla al servidor web como si fuera suya, con su propia IP Pública. El servidor web recibe la petición como si el origen fuera el router, que al disponer de IP Pública sí sabe localizar. Cuando el router recibe los datos devueltos, mira en sus registros cual fue el ordenador privado que le había hecho la petición original, y le renvía los datos solicitados. De esta manera, con una sola IP Pública (la del router), muchos ordenadores de una red privada pueden navegar a la vez. A este tipo de NAT le llamaremos NAT Dinámico, ya que automáticamente gestiona todas las peticiones desde/hasta las direcciones IP de las conexiones que se establecen, y generalmente está configurado por defecto en todos los routers sin necesidad de hacer nada. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 23 de 43

Aunque las conexiones a través de Internet siempre se realizan entre direcciones IP, a la práctica, cuando un navegante quiere conectarse a una web, utiliza un nombre más fácil de recordar, llamado URL (Uniform Resource Locator). De esta manera, para acceder a AuraPortal o a cualquier web, pondremos su URL, por ejemplo http://www.auraportal.com y no su dirección IP. Como al final, la conexión siempre se establece a la dirección IP del servidor, hay un mecanismo, llamado DNS (Domain Name Service) que traduce las URL a direcciones IP. La relación de nombres de Dominio con sus direcciones IP también está controlada por ICANN. Cuando una empresa solicita un dominio a ICANN para identificar su servidor en internet, es necesario que indique el servidor DNS en dónde se establecerá la relación entre la URL y la dirección IP real del servidor. Así, cuando cualquier navegante de Internet haga una petición a la URL, se sabrá a qué servidor DNS hay que consultar para finalmente conocer la dirección IP real del servidor. Ahora ya tenemos todos los datos para ver el proceso completo de conexión desde un ordenador cliente a un servidor web. Se establece así: INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 24 de 43

1. Un navegante introduce una URL en el campo dirección de su navegador web. Punto (1) en el dibujo. 2. Internamente, el ordenador cliente comprobará cual es la dirección IP de su servidor DNS (proporcionado por su operador de Internet) y le solicitará que averigüe la dirección IP de la URL escrita por el usuario. Punto (3) en el dibujo. 3. El Servidor DNS mirará en sus registros y si no tiene la respuesta se comunicará con los servidores DNS Root de ICANN (4) para preguntar quién es el servidor DNS que controla ese Dominio. Cuando lo conoce, le traslada la consulta (5). Finalmente conseguirá la IP del servidor de AuraPortal y se la comunicará al ordenador cliente. 4. Cuando el ordenador cliente ya sabe cuál es la dirección IP del servidor web ya puede establecer conexión directamente. Punto (6) en el dibujo. Todo este proceso es transparente para el usuario navegante y en una conexión con una velocidad normal se realiza en un instante, apenas inapreciable. 5. Si la dirección IP del servidor web está en Internet, la solicitud será enviada al router, que la reenviará como si fuera suya, con su propia IP Pública, y se guardará en un registro interno la IP Privada del ordenador donde se originó esta petición (NAT Dinámico). Punto (2) en el dibujo. 6. El router del servidor de AuraPortal recibirá la petición y se la trasladará al servidor de AuraPortal (NAT Estático). Punto (7) en el dibujo. 7. El servidor web recibirá la petición, y responderá enviando la información solicitada. Punto (8) en el dibujo. 8. El router donde se originó la petición recibirá la información y comprobará en sus registros cuál fue el ordenador cliente que la solicitó. Punto (2) en el dibujo. 9. Finalmente, el ordenador cliente verá en su navegador la página web o ficheros solicitados. Punto (1) en el dibujo. Para navegar por Internet, el router (2) puede tener tanto una dirección Pública Dinámica como Fija, es indiferente, porque aunque la IP vaya cambiando de vez en cuando, el router tramitará cada petición con la IP que tenga en ese momento, y a menos que ésta cambie antes de recibir los datos (poco probable), el ordenador cliente siempre podrá recibir su información. En el siguiente apartado veremos por qué el router del servidor de AuraPortal (7) sí conviene que tenga la IP Fija. 3.3 Publicación de un Servidor en Internet En el apartado anterior hemos visto cómo se establece una conexión que se origina en el ordenador cliente de una red privada, con destino a un servidor de Internet. Ahora veremos detalles sobre la publicación de este servidor en Internet. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 25 de 43

Por Publicación de un servidor en Internet entendemos el hecho de que un ordenador (en este caso servidor web) que está situado físicamente en una red privada, con una IP Privada, pueda estar disponible en Internet, lo cual no es factible, en principio, ya que las IP Privadas no son accesibles desde Internet. Para ello también se utiliza (Network Address Translation), pero en este caso no es Dinámico como el utilizado para navegar por Internet, sino NAT Estático. La configuración del NAT Estático en un router se tiene que realizar a medida de cada situación. Se trata de indicar la IP Privada del servidor a la que serán renviadas las peticiones que se realicen a la IP Pública del router. Por motivos de seguridad, generalmente también se especifica a qué Puertos TCP-UDP se limita el NAT, como por ejemplo el 80 http- o el 443 https-. Una vez configurado el NAT Estático, en el servidor DNS responsable del dominio en cuestión se indicará la IP Pública del router. El resultado es que las conexiones se establecen así: 1. Un navegante introduce una URL en el campo dirección de su navegador web. Punto (1) en el dibujo. 2. Como ya hemos visto en el apartado anterior, a través de consultas DNS se averiguará la IP Pública del servidor web al que se quiere acceder, que será la IP Pública del router que hemos configurado en este apartado. Puntos (3) (4) (5) y (6) en el dibujo. 3. Cuando el router recibe la petición, consulta su configuración de NAT Estático y la desvía a la IP Privada del servidor web. Punto (7) en el dibujo. 4. El servidor web envía la información solicitada al router, y este la renvía al cliente originario, que finalmente la verá en su navegador. Puntos (8) (6) y (2) en el dibujo. El resultado de la publicación del servidor es que únicamente está disponible desde Internet el puerto con el que ha hecho el NAT, generalmente el 80 (http) o el 443 (https, SSL). Se representa así: INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 26 de 43

3.4 IP Fija o Dinámica A diferencia del NAT Dinámico utilizado para navegar por Internet, donde la IP Pública podía ser Fija o Dinámica, en el caso de NAT Estático es recomendable que sea IP Fija. Si se utiliza IP Dinámica, cada vez que ésta cambie, habría que dirigirse al servidor DNS que controla su Dominio (URL) y cambiar la dirección que tenga asociada. Mientras este cambio se efectúe, cualquier petición será dirigida a la antigua dirección IP que ya no sería válida. Si además tenemos en cuenta que un cambio de DNS puede tardar en transmitirse por internet unas 24-48 horas, comprenderemos que no es una opción interesante. Entendido el funcionamiento básico de cómo se establecen las conexiones por internet, se puede deducir lo siguiente: Un router para navegar por Internet puede tener la IP Pública Fija o Dinámica, es indiferente. Un router para publicar un servidor web conviene que tenga la IP Fija. Normalmente, el coste de una IP Fija es mínimo. Incluso es gratuito para muchos operadores de Internet. Si por algún motivo no es posible disponer de una IP Fija, otra posible solución es utilizar un DNS Dinámico, que es un servicio que proporcionan algunos proveedores para poder solucionar esta problemática. Aunque no es la opción recomendada, si se desea esta solución se puede contactar con alguno de esos proveedores (se pueden localizar poniendo las palabras clave Dynamic DNS en un buscador de Internet como Google). INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 27 de 43

4. DNS LOCAL Y PÚBLICO Un conflicto muy extendido, pero fácil de solucionar, es el que se produce cuando AuraPortal está en una red local basada en Active Directory de Windows Server, que tiene su propio DNS (Domain Name Service), y por otro lado, AuraPortal se también se registra en DNS Públicos para que se pueda acceder desde Internet. En estos casos, la tendencia suele ser la de utilizar dos Encabezados Host (URL) diferentes en la misma instalación de AuraPortal, uno que se resolverá por el DNS del Active Directory de Windows y el otro por los DNS de Internet. Esta estructura tiene varios inconvenientes que se resuelven fácilmente con un único Encabezado Host tal como se explica a continuación: 4.1 Servicio DNS en Internet Como ya se ha visto en el apartado Cómo se Establece una Conexión por Internet de este documento, para navegar por Internet desde cualquier ordenador es necesario que se le indique al menos un servidor DNS para que resuelva las direcciones IP de las URL de internet que el usuario vaya escribiendo en el navegador. Cuando un operador instale una conexión de Internet en una red Local, proporcionará uno o dos servidores DNS que serán configurados en los PC de esa red para poder navegar. 4.2 Servicio DNS en Active Directory de Windows La instalación de un Active Directory de Windows Server (en adelante AD), automáticamente activa un servicio DNS (Domain Name Service) necesario, entre otras cosas, para la Resolución IP de los Nombres de los ordenadores de la red Local. En la instalación de un AD es obligatorio indicar un nombre de dominio, por ejemplo, midominio.local. También se pueden utilizar dominios de Internet, por ejemplo, midominio.com, pero en estos casos, conviene que sea un dominio de internet que tengamos registrado. Con el nombre de dominio indicado en la instalación del AD, en el DNS se creará una Zona DNS con el mismo nombre, por ejemplo midominio.local o midominio.com. En esta Zona, automáticamente se irán añadiendo los Nombres y Direcciones IP de todos los ordenadores que se vayan agregando al AD. Ejemplo1 Al agregar un ordenador llamado PC-1 al AD midominio.local, se creará una entrada del tipo Host llamada PC-1 en la Zona midominio.local, dando como resultado que el ordenador tendrá PC- 1.midominio.local como nombre de dominio en el AD. Ejemplo2 Si agregamos un servidor llamado AuraPortal al AD midominio.com, se creará una entrada Host llamada AuraPortal en la Zona midominio.com. Se llamará auraportal.midominio.com en el AD. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 28 de 43

4.3 Qué Servidor DNS utilizar en una red local Según hemos visto en el apartado SERVICIO DNS EN INTERNET, para navegar por Internet los ordenadores de la red Local deberían utilizar el DNS proporcionado por el operador que instaló la conexión a Internet. Sin embargo, cualquier ordenador que pertenezca a un Dominio de Windows basado en AD es imprescindible que utilice como DNS el servidor DNS de su AD. De lo contrario estará muy limitado en el uso de las ventajas del AD además de experimentar diversos errores. Entonces, si se desea trabajar sin problemas en la red Local y al mismo tiempo navegar por Internet cuál de los dos Servidores DNS hay que utilizar? La solución es clara: el DNS del AD con conexión a Internet. Veamos por qué. El servicio DNS que se activa con el AD, es válido también para la Resolución IP de los nombres de dominio de Internet. Para ello, lo único que se necesita es que el servidor dónde esté instalado el servicio DNS del AD tenga conexión a Internet. Por lo tanto, con esa única condición (que tenga conexión a Internet), el servidor DNS del DA proporcionará los dos servicios de Resolución IP necesarios en una red local típica, estos son, para los ordenadores de la red local y para los dominios de Internet. Como se verá en los apartados siguientes, en algunos casos puede ser necesario realizar ciertos ajustes sencillos en el servidor DNS del DA. 4.4 URL de AuraPortal. Encabezado Host Durante la instalación de AuraPortal, independientemente de cómo se llamen el servidor y el AD donde se instale, hay que indicar cuál será su Encabezado Host, es decir, la URL con la que los usuarios se conectarán a AuraPortal. Este encabezado es muy recomendable que cumpla las siguientes características: Ser único, conviene indicar un solo Encabezado Host. Que esté compuesto con el dominio registrado en Internet, aunque no coincida con el del AD. Por ejemplo auraportal.midominio.com. Podría darse el caso que el Encabezado Host de AuraPortal no coincida con el nombre del servidor en el AD. Por ejemplo, en el servidor PC-1.midominio.local podría estar instalado AuraPortal con un Encabezado Host (URL) auraportal.midominio.com. Nota. Es sencillo cambiar el Encabezado Host de una instalación de AuraPortal que ya esté funcionando. Si tiene dudas de cómo hacerlo póngase en contacto con el SAT de AuraPortal (Servicio de Atención Técnica). Según coincidan el nombre del Host y Dominio, habrá que tener en cuenta ciertos detalles: 4.4.1 Coinciden Host y Dominio Por ejemplo en el servidor auraportal del AD midominio.com (por lo tanto nombre completo en el AD auraportal.midominio.com) está instalado AuraPortal con un Encabezado Host (URL) auraportal.midominio.com. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 29 de 43

En este caso tener en cuenta lo siguiente: DNS de AD. En caso de que el Encabezado Host coincida con el nombre del servidor y AD donde esté instalado AuraPortal, no habrá que hacer nada en el DNS del AD, porque ya existirá el registro adecuado que se creó automáticamente cuando el servidor fue agregado al AD. DNS de Internet. Si se han seguido las recomendaciones de este documento, el Encabezado Host estará compuesto con el nombre del dominio registrado en Internet. Para que el DNS de Internet donde esté registrado el dominio, resuelva la IP de AuraPortal correctamente a quien se la solicite, sólo habrá que añadirle una entrada Host en la Zona correspondiente al dominio (por ejemplo midominio.com), que tenga el nombre del host indicado en el encabezado (por ejemplo auraportal) y la Dirección IP pública del servidor de AuraPortal. De esta manera, a los ordenadores de la red Local, el DNS del AD les resolverá la IP interna del servidor de AuraPortal, y a los de Internet, los DNS públicos les resolverán la IP pública del Router. AuraPortal funcionará desde ambas ubicaciones. 4.4.2 No coincide Host, Sí coincide Dominio Por ejemplo, en el servidor PC-1 del AD midominio.com (nombre completo PC-1.midominio.com) está instalado AuraPortal con un Encabezado Host (URL) auraportal.midominio.com. En este caso tener en cuenta lo siguiente: DNS de AD. Bastará con añadir una entrada Host en la Zona DNS ya existente, con el nombre del host indicado en el Encabezado de AuraPortal, por ejemplo auraportal, y con la Dirección IP interna del servidor donde esté instalado AuraPortal. Por ejemplo, si AuraPortal está instalado en PC-1.midominio.com y el Encabezado Host es auraportal.midominio.com, en la Zona midominio.com hay que añadir, manualmente, una entrada Host llamada auraportal con la IP privada del servidor PC-1. DNS de Internet. Ver el apartado correspondiente. 4.4.3 No coincide Dominio Esta es la opción más común. Por ejemplo, en el servidor PC-1 del AD midominio.local (nombre completo PC-1.midominio.local) está instalado AuraPortal con un Encabezado Host (URL) auraportal.midominio.com. En este caso tener en cuenta lo siguiente: DNS de AD. Será necesario crear una nueva Zona en el DNS del AD con el nombre del dominio registrado en Internet y añadirle una entrada Host para AuraPortal con la Dirección IP interna del servidor donde esté instalado AuraPortal. Por ejemplo, si el dominio de AD se llama midomino.local, el servidor donde está instalado AuraPortal es PC-1, y el dominio de Internet midominio.com, en el servicio DNS del AD hay que crear, manualmente, una Zona llamada midominio.com y añadirle una entrada Host llamada auraportal (o como se haya indicado en el Encabezado) con la IP del servidor PC-1. DNS de Internet. Ver el apartado correspondiente. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 30 de 43

5. INSTALACIÓN REMOTA AuraPortal se puede instalar a través de Internet fácilmente. Para ello sólo es necesario disponer de lo que normalmente se llama acceso remoto al escritorio del servidor. En este documento se detalla la opción de Escritorio Remoto de Windows porque está incluida gratuitamente en el sistema operativo, es fácil de utilizar y muy rápida. Sin duda una de las mejores opciones. Para su funcionamiento hay que tener en cuenta tres cosas: 5.1 Activación Escritorio Remoto En el caso de Windows Server 2008 (en Windows 2012 es muy parecido), dirigirse al Panel de Control de Windows y entrar en la opción Sistema Acceso Remoto Configuración de Escritorio Remoto y, en la pestaña Acceso remoto, marcar alguna de las opciones que permite conexión remota. Con esta simple acción ya estará disponible el Escritorio Remoto desde la red Local, y se podrán conectar 2 usuarios (que pertenezcan al Grupo de Windows Administradores), además del que inicie sesión desde la consola, esto es, desde el propio teclado y pantalla del servidor. En total 3 usuarios podrán tener acceso simultáneo al Escritorio de este servidor. 5.2. Publicación del puerto 3389 Desde la red Local se puede acceder al servidor sin hacer nada más porque el puerto TCP 3389 que utiliza el Escritorio Remoto está disponible a través de la red Local a menos que haya un Firewall que lo impida. Pero para acceder a través de Internet es necesario publicar el puerto TCP 3389 en Internet. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 31 de 43

Tal como se ha descrito en el apartado 2.2. Publicación de un servidor en Internet de este documento, por Publicación de un servidor en internet entendemos el hecho de que un ordenador (en este caso su Escritorio Remoto) que está situado físicamente en una red privada, con una IP Privada, pueda estar disponible en Internet, lo cual no es factible, en principio, ya que las IP Privadas no son accesibles desde Internet. Para ello se utiliza NAT (Network Address Translation) Estático. La configuración del NAT Estático en un router se tiene que realizar a medida de cada situación. Se trata de indicar la IP Privada y puerto TCP del servidor a la que serán renviadas las peticiones que se realicen a la IP Pública del router. En el caso del Escritorio Remoto hay que especificar el Puerto TCP 3389: Nota. Para conectarse desde Internet al Escritorio Remoto de un servidor, éste tiene que navegar por Internet a través del router donde se ha configurado la publicación de su puerto 3389. Normalmente esto significa que la Puerta de Enlace Predeterminada del servidor será la IP privada del router. 5.3 Conexión remota Una vez esté configurado el Escritorio Remoto del servidor y publicado en el router, ya se podrá acceder desde la red Local y desde Internet. Para conectarse realizar lo siguiente: Dirigirse a la Conexión de Escritorio Remoto, que normalmente está situada en Inicio Programas - Accesorios de cualquier ordenador con Windows, y se abrirá una ventana parecida a la siguiente: INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 32 de 43

En la casilla Equipo escribir la IP Pública del servidor, o bien, la IP Privada si la conexión se realiza desde la red Local. Seleccionar Opciones si se desea. Para conectarse pulsar en el botón Conectar y aparecerá la ventana de autenticación de Windows del servidor remoto: En Nombre de usuario indicar el Login de un usuario que pertenezca al Grupo de Windows Administradores de ese servidor, y su Contraseña. La casilla Conectarse a: aparecerá si este ordenador pertenece a un Active Directory de Windows Server. En ese caso normalmente habrá dos opciones, una para indicar el dominio del AD y la otra para el propio servidor. Hay que seleccionar la ubicación del usuario que se ha indicado arriba. Pulsar Aceptar para iniciar sesión en el Escritorio Remoto del servidor. 5.3.1 Cierre de Sesión Una vez abierto el Escritorio, téngase en cuenta que todas las acciones se realizan directamente en aquel servidor remoto. Si utiliza la opción Inicio - Apagar, se apagará aquel servidor y si no tiene acceso físico a él no podrá iniciarlo de nuevo. Para cerrar la sesión, utilizar la opción Inicio Cerrar Sesión de Si en lugar de cerrar la sesión se utilizan las opciones de Desconectar, aparecerá el siguiente aviso: INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 33 de 43

Si pulsa Aceptar la ventana se cerrará pero la sesión seguirá iniciada, y si se dejó algún proceso en marcha seguirá funcionando. Cuando el mismo usuario vuelva a conectarse, recuperará la sesión y verá el resultado del proceso que dejó. Téngase en cuenta que las sesiones Desconectadas cuentan como ocupadas, y el Escritorio Remoto sólo permite dos conexiones (además de la consola directa del teclado y monitor). Si se desea cerrar una conexión de otro usuario, desde el servidor entrar en la opción Herramientas Administrativas Administración de servicios de Terminal Server y se abrirá una ventana así: Pulsando el botón alternativo del ratón sobre la conexión que se desea cerrar, aparecerá una lista de opciones, entre ellas Cerrar sesión. 6. SEGURIDAD. TOLERANCIA A FALLOS Además de los propios mecanismos de seguridad incluidos en AuraPortal (Niveles de Seguridad, Recintos Seguros, Grupos de Empleados, Administradores Delegados, AdminPortal, ), es importante que la plataforma donde esté instalado AuraPortal esté bien estructurada. AuraPortal se instala sobre Windows 2008 y 2012, plataformas muy sólidas y seguras, que incluyen muchas medidas de protección de la información, tanto a nivel de disponibilidad de los servicios (Fault Tolerance - Tolerancia a Fallos) como los accesos indeseados (Firewall). En este capítulo se tratan recomendaciones para los sistemas de Fault Tolerance y en el siguiente, esquemas de seguridad basados en Firewall. Si bien AuraPortal puede estar instalado en un servidor único, en general se recomienda separar la base de datos en otro servidor. Un ejemplo sería el siguiente: INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 34 de 43

Siguiendo este modelo, para asegurar la continuidad del acceso a la información habrá que proteger los dos servidores: Load Balancing (Balanceo de Carga): Específico para los servidores de AuraPortal, se trata de añadir uno o más servidores y configurarlos con un sistema que reparta la carga de trabajo. Cuando un usuario intente acceder a AuraPortal, el balanceador le desviará al servidor de Aura- Portal más disponible en ese momento. De esta manera, además de distribuir la carga entre los servidores disponibles, en caso de caída de uno de ellos los usuarios seguirán accediendo a Aura- Portal a través de los demás (ver esquema en la imagen siguiente). Windows 2008 y 2012 disponen de su propio sistema de Load Balancing incluido en el sistema operativo. Además, hay sistemas de terceros tanto a nivel de software como hardware. Cluster: MS SQL 2008, 2012 y 2014 incluyen su propio sistema de Cluster, que proporciona las mecánicas para que varios servidores de Base de Datos trabajen en colaboración y sirvan de recambio en caso de caída del principal. Los datos deberán estar alojados en una cabina de discos externa a esos servidores, la cual estará a su vez protegida con un sistema RAID 0, 1 o 5. En el caso del Cluster no hay balanceo de carga entre los servidores, sino que sólo está activo un servidor, que es el que proporciona los datos. Los demás servidores están en estado pasivo y sólo actuarán cuando el principal no esté disponible. El esquema general de una instalación de AuraPortal con Load Balancing y Cluster sería el siguiente: INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 35 de 43

Como se puede ver en la imagen, en este ejemplo hay tres servidores de AuraPortal con balanceo de carga y dos servidores de Base de Datos con Cluster. Estos últimos acceden a una cabina externa de discos (Hard Disk Array) que tiene 4 discos duros en Raid 5. 7. SEGURIDAD. FIREWALL Cuando un servidor de AuraPortal está disponible a través de Internet, es recomendable interponer un Firewall que lo proteja de accesos y ataques indeseados. Este documento no entra a valorar la selección del Firewall más adecuado en cada caso. Se limita a mostrar escenarios válidos con diferentes niveles de seguridad. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 36 de 43

7.1 Nivel 0. Protección Mínima Aunque siempre es recomendable la instalación de un Firewall específico, los Router que se utilizan para las conexiones a Internet incluyen siempre ciertas características de protección: En este ejemplo, para que el servidor de AuraPortal (que está en la red Local) esté disponible en Internet, se publicará con la funcionalidad NAT (Network Address Translation) del Router, únicamente para los Puertos (TCP-UDP) necesarios para la conexión a AuraPortal, que son el 80 para http y el 443 para https (SSL). De esta manera, cuando un usuario intente conectarse a AuraPortal a través de Internet, únicamente tendrá disponibles el/los puertos publicados, limitándose mucho las posibilidades a accesos indeseados. Nota. Normalmente es recomendable el uso de https (SSL) porque los datos se transmiten cifrados, si bien requiere de la instalación de un Certificado en el Servidor. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 37 de 43

7.2 Nivel 1. Protección Básica Para disponer de una protección básica, siempre es recomendable que la conexión a Internet se realice con un Firewall en lugar de un simple Router. En general, los Firewalls incluyen toda la funcionalidad de Routers, pero con la inclusión de rutinas y componentes específicos contra los accesos y ataques indeseados desde Internet: INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 38 de 43

7.3 Nivel 2. Router + Firewall + Virtual DMZ Una opción interesante aplicable a muchas instalaciones que ya tienen una conexión a Internet con un Router, es añadir un Firewall en la red local interna y realizar una DMZ Virtual donde publicar el servidor de AuraPortal. Se conoce como DMZ (De-Militarized Zone) a una red en donde se aíslan los servidores que se desea que sean accedidos desde Internet, y estén separados del resto de ordenadores de la red interna. De esta manera, cualquier acceso indeseado se produce a la DMZ, sin llegar a alcanzar la red interna. En una DMZ clásica se conectan físicamente los servidores que se desea que estén disponibles en Internet, pero en el esquema propuesto ahora, la DMZ no tendría ordenadores físicos conectados, sería una zona virtual en donde se publicaría el servidor de AuraPortal: Esquemáticamente se trata de lo siguiente: El Router tiene dos conexiones, por un lado a Internet con su IP Pública y por otro a la DMZ Virtual (De-Militarized Zone). La DMZ es una red Local privada, pero con un cableado de red y un rango de Direcciones IP distinto a la de los ordenadores de la empresa. En realidad, en este esquema la DMZ no tendría ordenadores físicos, sólo virtuales publicados con NAT. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 39 de 43

A su vez, el Firewall tiene dos conexiones de red, una a la DMZ Virtual y otra a la LAN. La LAN representa la Red Local de todos los ordenadores de la empresa, incluidos los servidores de Aura- Portal y Base de Datos. A través del Firewall, el servidor de AuraPortal (1) se publicaría en la DMZ (2). Y al mismo tiempo, el servidor de AuraPortal publicado en la DMZ se publicaría de nuevo a Internet a través del Router (3). Se publicaría dos veces, una con el Firewall y otra con el Router, aumentando la protección. 7.4 Nivel 3. DMZ + 1 Servidor AuraPortal La forma clásica de instalación de una DMZ es la siguiente: El Firewall tiene 3 conexiones: A Internet, a la DMZ y a la LAN. En la DMZ se ubican los servidores que se quiere que sean accesibles desde Internet, en este caso el de AuraPortal. En la red interna (LAN) se ubican el resto de ordenadores de la empresa, incluido el servidor de Base de Datos de AuraPortal. El Firewall se encarga de direccionar, filtrar y proteger las conexiones entre las diferentes zonas. Por ejemplo: - Desde Internet únicamente se puede acceder a la DMZ. - Desde la DMZ, sólo el servidor de AuraPortal puede acceder a su servidor de Base de Datos que está en la LAN. - Los ordenadores de la LAN, también accederán a la DMZ para utilizar AuraPortal. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 40 de 43

7.5 Nivel 4. DMZ + 2 Servidores AuraPortal Este modelo es una evolución del anterior, con la diferencia de que hay dos servidores de AuraPortal, uno en la DMZ para los accesos desde Internet, y otro en la LAN para los accesos desde la red privada. Ambos acceden al mismo servidor de Base de Datos que está en la LAN. La ventaja de este esquema es que si, a pesar de las protecciones, el servidor de la DMZ queda inoperativo, desde la red interna se podría seguir trabajando en AuraPortal: INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 41 de 43

7.6 Nivel 5. DMZ + 2 Firewalls El nivel máximo de protección es la separación de la DMZ con dos Firewalls. Uno separa Internet de la DMZ y otro la DMZ de la red interna. Los Firewalls deberían ser de diferente fabricante, de manera que las posibles vulnerabilidades de uno queden cubiertas por el segundo. INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 42 de 43

INSTALACIÓN. REQUISITOS Y RECOMENDACIONES Página 43 de 43