INFRAESTRUCTURA REDES II

INFRAESTRUCTURA REDES II SERVIDOR DE INFRAESTRUCTURA PRIMARIO (Active Directory DNS DHCP, WINS Archivos - Certificados) Usuario Remoto SRV-DCFS-01 SRV-FW-01 SERVIDOR DE INFRAESTRUCTURA SECUNDARIO (Active Directory DNS DHCP, WINS Exchange 2003) Conmutador Virtual PC-01 SRV-DCEX-01 Se usaran estos tres (3) servidores: Figura4. Topología de la Red a Implementar 1. SRV-DCFS-01: Este primer servidor será el controlador de dominio principal, y a partir de este se crearan las cuentas de usuario en el dominio. Este servidor contara con los servicios de: Active Directory, DNS, DHCP, WINS, Archivos y Certificados. Active Directory: Es la base de datos centralizada, donde estarán las cuentas de los usuarios con sus respectivas claves. También se almacenan las cuentas de grupos y las cuentas de máquinas. DNS: Es el que permite encontrar los recursos de la red. Cuando un usuario quiere comunicarse con otro servidor, lo que necesita saber es la dirección IP, entonces las consultas se van a realizar a través del servicio de DNS, este les va a devolver a los usuarios la dirección IP de la maquina con la cual quieren comunicarse; también FABIO ANDRES LASSO A. 1

brinda el caso inverso, es decir, que alguien tiene la dirección IP y quiere saber cuál es el nombre de esa máquina. DHCP: Es el que se encarga del asignamiento de direcciones IP a los usuarios. WINS: Se encarga de resolver o buscar recursos en la red, a través de una base de datos central que va a estar en uno de los servidores, es algo parecido al DNS, un poco más sencillo, para los recursos que están en tu red local. Archivos: Se comparte las carpetas principales de los usuarios y como se comparten estos recursos. Certificados: Es el servicio que nos va a permitir habilitar la encriptación de comunicaciones con el servidor de web. 2. SRV-DCEX-01: Este servidor es de mensajería o correo, en este se instalara una réplica del Active Directory: con el fin de tener redundancia en la autenticación de usuarios, replica de DNS, se configurara un rango de DHCP, replica de WINS, también se le instalara el Exchange 2003; contara con el servicio de OWA Exchange 2003: Permitirá tener mensajera interna y también con internet, si deseamos habilitarlo OWA: Es el acceso a correo vía web, tipo Hotmail, Gmail. RPC/HTTPS: Permite que los usuarios estando fueran de la red puedan levantar el cliente de Outlook, y que se conecte a través de internet. 3. SRV-FW-01: Es nuestro servidor ISA, que es el que permite la navegación de los usuarios, y controla el trafico saliente y entrante de la red, se habilitaran los servicios de VPN de un usuario, y se hará una prueba conectándonos desde un usuario remoto y también vamos a publicar los servicios internos, como el Outlook Web Access, el RPC/HTTPS y otros servicios para los usuarios externos. 4. PC-01: Internamente vamos a tener una maquina o usuario local. Todos estos se conectaran a un Switch Virtual, que no va a tener comunicación con la máquina de host, ni con internet directamente. Solo el ISA va a tener dos tarjetas de red; y la tarjeta de red externa estará conectada directamente a la red de afuera, para simular un entorno de conexión con un servidor de internet. A través, del usuario remoto se probara los servicios que vamos a ir publicando, a FABIO ANDRES LASSO A. 2

través del ISA Server. SERVIDOR DE INFRAESTRUCTURA PRIMARIO Como ya tenemos un clon de la máquina de referencia. Su nombre será: SRV-DCFS-01 o SRV: Servidor o DC: Controlador de Dominio o FS: Servidor de Archivos Nota: No olvidar ejecutar el NewSID desde el escritorio, y cambiar el nombre de la maquina en la red: SRV-DCFS-01 Es un asistente sin complicaciones, por lo que no se detalla. CONFIGURACION DEL CONTROLADOR DE DOMINIO 1. Adecuamos el hardware de la máquina virtual, para fines de laboratorio, de las siguiente manera: Recordemos que la RAM requerida en la práctica, no puede ser inferior a FABIO ANDRES LASSO A. 3

1GB por mínimo y recomendación: 2GB; todo esto con el fin de soportar el mayor número de usuarios conectados al servidor. El adaptador de red, se conecta al VMnet4 en este caso, podría ser cualquier Switch, la idea es que de ahora en adelante las maquinas que involucremos en la infraestructura se conectaran al mismo Switch, como se haría en la práctica. Para acceder de manera remota a través del visor VNC, configure el puerto 5900 para este servidor y una contraseña a su criterio o para efectos de estandarización del proceso: 0000 En resumen: Estamos conectando una maquina denominada Servidor de Infraestructura Primario a un Switch, según nuestra topología a implementar. FABIO ANDRES LASSO A. 4

2. Corremos nuestra máquina y configuramos el protocolo TCP/IP Todos nuestros servidores deben tener IP fija. 3. En la dirección IP colocamos 192.168.X.1, donde X puede ser cualquier número que defina nuestra sub red, y el 1 como principal, para nuestro caso nos basaremos en el número de switch, entonces X=4, entonces, la IP para este servidor quedara de la siguiente manera: 192.168.4.1 Mascara de Subred tipo C, entonces vamos a dejar los primeros 3 octetos como dirección de red y el ultimo como dirección de host, entonces vamos a tener maquinas que van desde la IP: 192.168.4.1 hasta la IP: 192.168.4.254. FABIO ANDRES LASSO A. 5

La puerta de enlace predeterminada, esta va a ser la maquina donde se instalara el ISA, según nuestra topología, deberá tener como dirección IP: 192.168.4.3 En servidor de DNS preferido, esta máquina será su DNS preferido, porque cuando la maquina está levantando, y se están levantando los servicios de Active Directory, toda la información se guarda en el DNS, entonces ella misma tiene almacenada la base de datos de DNS y va a configurar todas las opciones dentro de su propia base de datos: 192.168.4.1, dejamos el DNS alternativo en blanco, aunque debería ser el segundo servidor de respaldo. 4. Posteriormente, damos clic en Opciones Avanzadas Pestana DNS Y configuramos el Sufijo DNS para esta conexión: dominio.local y habilitamos la opción: Registrar estas direcciones de conexiones en DNS. Entonces, como hemos configurado que el DNS es la IP 192.168.4.1, él va a ir a este servidor en la zona: dominio.local y allí registrara la dirección IP que él tiene asignada, en este caso la misma: 192.168.4.1, con su respectivo nombre. FABIO ANDRES LASSO A. 6

5. Luego nos ubicamos en la pestaña de WINS Agregar Como él va a ser el servidor de WINS, colocamos su dirección IP, agregamos y habilitamos la opción: Habilitar NetBios sobre TCP/IP, con el fin de comunicarnos con otras sub redes. El protocolo de NetBios es un protocolo basado en Broadcast, que solo funciona de manera local, al habilitar la opción, el podrá encapsular paquetes NetBios, dentro de paquetes de TCP/IP, que si son enrutables. 6. Finalizamos: Aceptar Aceptar Cerrar 7. Ahora verificamos el nombre de la maquina en la red. A través de las Propiedades de Mi PC, este debe ser para este caso: SRV-DCFS-01 8. Reiniciamos la máquina. FABIO ANDRES LASSO A. 7

CONFIGURACIÓN DE ACTIVE DIRECTORY 1. En primera instancia debemos verificar que la tarjeta de red este trabajando correctamente, como se hace?, a través de un ping, desde una ventana de comando: Inicio Ejectutar cmd 2. Ahora comenzaremos ejecutando el asistente de Active Directory Inicio Ejecutar dcpromo FABIO ANDRES LASSO A. 8

3. Ahora sigue el asistente a través de las imágenes: FABIO ANDRES LASSO A. 9

Clave: abc12345 FABIO ANDRES LASSO A. 10

Se reinicia el equipo, y se ha creado la base de datos de Active Directory, por ende el dominio.local Este proceso migra la cuenta Administrador y su contrasena. 4. Ahora reconfiguramos el protocolo TCP/IP, en el ítem DNS, ya que por la instalación de Active Directory cambia, debemos colocar nuevamente la IP del servidor de DNS: 192.168.4.1 FABIO ANDRES LASSO A. 11

FABIO ANDRES LASSO A. 12

REVISIÓN DEL SERVICIO DE DNS, YA INSTALADO 1. Clic en Inicio Herramientas Administrativas DNS En las zonas de búsqueda directa, encontramos la zona dominio.local, donde se ubica el registro de tipo Host de la maquina servidor con su respectiva IP. FABIO ANDRES LASSO A. 13

2. Hay una zona importante que se debe crear, que es la Zona Inversa. 2.1 En primera instancia ejecutemos el comando nslookup Tarda un poco, y nos dice que no se puede encontrar el nombre del servidor para la dirección 192.168.4.1; esto debido a la falta de una zona de búsqueda inversa. 2.2 Creación de la Zona de Búsqueda Inversa Clic Contrario Crear Zona Nueva FABIO ANDRES LASSO A. 14

2.3 Seguimos el asistente y creamos una zona de tipo: Zona Principal y habilitamos la opción: Almacenar la Zona en Active Directory El ámbito de replicación de zona de Active Directory: para todos los controladores en el dominio: dominio.local de Active Directory FABIO ANDRES LASSO A. 15

2.4 El ID de red Esta zona traduce direcciones IP en nombres DNS, dejamos la posibilidad de agregar sub red con la cabecera 192.168. X, donde X toma cualquier valor. 2.5 Actualización Dinámica: (La idea de esta actualización dinámica es que las maquinas se encarguen de crear y de borrar los registros de DNS en los servidores y que esas tareas no las tenga que hacer un Administrador):Permitir Seguras FABIO ANDRES LASSO A. 16

Por ultimo Finalizar: Se creara la zona inversa con 192.168.X.X nombre: Zona de búsqueda inversa 192.168.X.X Subred 2.6 Ahora ejecutemos el comando ipconfig registerdns El resultado arroja el inicio del registro de los recursos DNS para todos los adaptadores del equipo. FABIO ANDRES LASSO A. 17

Regresando a la Herramienta Administrativa de DNS, en la zona reversa, encontraremos una zona expresada como una carpeta con el número de la subred y dentro de ella el puntero de la IP del equipo servidor en el dominio. 2.7 Ahora nuevamente ejecutamos el comando nslookup o Ahora bien, podemos observar la resolución directa y la resolución inversa de este servidor. 3. Configuraciones a nivel de servidor Clic contrario en el servidor Propiedades 3.1 Interfaces Aquí si se tienen varios adaptadores de red, se agregarían las direcciones IP a las cuales va a escuchar este servidor. Por ejemplo, este controlador de dominio tuviera una conexión de red a una red interna y la otra a otra red donde tengamos otra sucursal y no queremos que en esta otra tarjeta se escuchen o se resuelvan las direcciones IP, entonces dejamos únicamente la maquina interna, simplemente la apagamos en esta pestana. FABIO ANDRES LASSO A. 18

3.2 Reenviadores Los reenviadores son los servidores, a los cuales, este servidor de DNS, va a reenviar las solicitudes de DNS de los nombres que él no tenga. Normalmente las solicitudes serán asignadas a algún servidor de las sugerencias de raíz, la idea es que estos servidores raíz no se mantengan muy saturados, porque atienden todas las solicitudes de internet, por eso es recomendable configurar los reenviadores. Existen dos reenviadores en internet, que perteneces a una empresa denominada OpenDNS, esta empresa tiende dos servidores gratuitos, que se caracterizan por poseer una cache muy grande, donde guardan muchos registros; entonces los tiempos de resolución de nuestro DNS van a ser mucho más rápidos, que si estuviéramos visitando directamente los servidores raíz. Las direcciones son: 208.67.222.222 y 208.67.220.220, los agregamos, de la siguiente manera: FABIO ANDRES LASSO A. 19

Ahora los servidores de Sugerencias de Raíz, no se usan, ya que estamos usando los reenviadores. 3.3 Envejecimiento y Limpieza de Registro por Zonas El servicio de Active Directory, permite que las maquinas registren sus nombres y sus IP en las zonas de búsqueda directa e inversa del servicio de DNS. Conforme va pasando el tiempo, se presenta el problema que cuando se retira una máquina del dominio, los registros quedan remanentes en las zonas de DNS y se acumulan por el paso del tiempo, y llega un momento que se realiza un ping a una dirección IP o a algún nombre de una máquina, y nos responde otra totalmente diferente; entonces tenemos que identificar, cuales registros están activos y cuales inactivos, pero no tenemos forma de saber cuáles podemos y cuales no borrar. Para ello, DNS tiene un sistema de envejecimiento y limpieza de registros. En primera instancia nos ubicamos en la zona directa, denominada dominio.local, clic contrario Propiedades FABIO ANDRES LASSO A. 20

Clic en el botón de caducidad De igual forma se realiza en la zona reversa. FABIO ANDRES LASSO A. 21

3.4 Configuración de Limpieza de registros en el servidor Clic contrario en el servidor Propiedades INSTALACIÓN DE LAS HERRAMIENTAS DE SOPORTE Son herramientas de diagnósticos de Active Directory, y demás servicios. Estas herramientas se encuentran en el CD de instalación de Windows Server 2003. En la carpeta Support Carpeta Tools SUPTOOLS.MSI Se ejecuta el asistente de instalación hasta finalizar la instalación. FABIO ANDRES LASSO A. 22

Las herramientas instaladas se verán ahora en el carpeta Archivos de Programa Carpeta Support Tools INSTALACION DEL GPMC (Group Policy Management Console) En esta instancia debemos buscar a través del internet la versión más reciente de esta consola, es una instalación sencilla, por lo tanto, no detallaremos respecto a este proceso. Al finalizar debe Ud. Verificar que se instalaron, presionando en Inicio Herramientas Administrativas Group Policy Management Console o Administración de Directivas de Grupo en español. FABIO ANDRES LASSO A. 23

Cuando creemos políticas para nuestro dominio, utilizaremos más a fondo esta herramienta. CONFIGURAR EL TAMAÑO DEL PAGEFILE Este es un paso bien importante, y es necesario hacerlo en todos los servidores, para empezar, vamos a las Propiedades de Mi PC, en las pestaña de Opciones Avanzadas Rendimiento, Configuración. FABIO ANDRES LASSO A. 24

Nuevamente en Opciones Avanzadas Memoria Virtual Clic en Cambiar El tamaño inicial debe ser igual al tamaño máximo, y está regido por la fórmula: Total= Memoria de la Maquina * 1.5 Para nuestro caso tenemos la maquina con 256Mb de RAM Lo que resulta como una tamaño de memoria virtual igual a 384Mb. Para terminar, no olvidemos dar clic en Establecer y posteriormente en Aceptar. Y nos pide reiniciar la máquina. SERVICIO DE WINS El servicio de WINS es el que nos permite convertir los nombres NetBIOS de las maquinas que tenemos en nuestra red a direcciones IP. Normalmente cuando instalamos la máquina y al vamos a comunicar con otra máquina que está en la red, sino tenemos instalado un servidor de WINS,,lo primero que va a hacer la maquina es: hacer Broadcast en la red, es decir, si la estación A se quiere comunicar con la estación B, va a hacer un Broadcast en nuestro switch para todas las maquinas, preguntando quien es la estación B, esta va a responder y va a decir que la estación B tiene la dirección IP XX.XX.XX.XX, y luego, la estación A se va a comunicar directamente con B. FABIO ANDRES LASSO A. 25

Cuando tenemos una red con bastantes Host, la cantidad de Broadcast se convertirá en un problema, por eso, la importancia de implementar el servicio de WINS. Cuando instalamos el servicio de WINS, este crea una base de datos, donde todas las maquinas se van a registrar, con su respectiva dirección IP y su nombre; entonces, cuando una maquina se quiera comunicar con otra en la red, antes de enviar un Broadcast, establece comunicación con el servidor central de WINS, y le va a preguntar si él sabe cuál es la dirección IP de la maquina en cuestión. En resumen, WINS permite reducir la reproducción de Broadcast y nos permite comunicarnos entre enrutadores. Para su instalación, recuerde tener el CD de Instalación de Windows Server 03: 1. Vamos a Panel de Control Agregar o Quitar Programas 2. Clic en Agregar o quitar componentes de Windows Esperamos a que se cargue el informe de lo que esta y no instalado. FABIO ANDRES LASSO A. 26

Se debe ubicar en Servicios de Red Clic en Detalles 3. Ahora, Seleccionamos WINS Aceptar y Clic en Siguiente, para concluir con la instalación. 4. Ahora, se puede verificar la instalación del servicio, presionando clic en Inicio Herramientas Administrativas WINS FABIO ANDRES LASSO A. 27

Se observa el Estado: Responder, está dispuesto a responder peticiones SERVICIO DE DHCP El servicio de DHCP, permite asignar la dirección IP y la configuración de TCP/IP a las máquinas de manera automática. Para su instalación, se realizan los mismos pasos que en la instalación del servicio de WINS. Solo que en servicios de red, debe seleccionar el Servicio DHCP; No olvide tener el CD de Instalación de Windows Server 03. Después de finalizar la instalación, vamos a Inicio Herramientas Administrativas DHCP Por defecto el estado es No Autorizado. Para activar el servicio debe seguir los siguientes pasos: 1. Autorizar: Clic contrario en SRV-DCFS-01.dominio.local Autorizar 2. Presione F5 para actualizar, y ya se observa el nuevo estado en Autorizado o Activo. 3. Ahora va a crear un Scope o Ámbito Nuevo, Clic contrario nuevamente en el FABIO ANDRES LASSO A. 28

servidor Clic en Ámbito Nuevo Con el fin de configurar el Rango de Direcciones IP a asignar. 3.1 Nombre de ámbito: Nos pide un nombre, para la práctica asignaremos: red local 3.2 Intervalo de direcciones IP: Ahora nos pide ingresar el rango de IP para su posterior asignación, una práctica que se debe hacer es: dejar 50 direcciones IP para los servidores, pueden ser las primeras o las ultimas del rango. La dirección IP xxx.xxx.xxx.255, no se usa porque es la dirección IP para Broadcast o de multidifusión de todo el segmento de FABIO ANDRES LASSO A. 29

red, es decir, cuando las maquinas envían paquetes en Broadcast lo hacen hacia esta dirección para que todas las maquinas puedan recibir esta información. 3.3 Agregar Exclusiones: Ahora el asistente pregunta si desea excluir uno o varios rangos de direcciones IP. Normalmente, no sería necesario excluir nada, porque estamos partiendo de cero, y ningún equipo tiene asignada alguna de las direcciones IP de nuestro rango. Si tuviéramos por ejemplo, una impresora o un enrutador, que ya tuviera una dirección IP ya asignada, manualmente, y se encuentre dentro del rango de DHCP asignado, en este paso deberíamos excluirla, para que el servidor de DHCP no vaya a asignarla a una máquina, y se presente un conflicto de direcciones IP. Para este paso: se supone que existe una impresora con dirección IP asignada de forma manual: 192.168.4. 60, y al excluiremos del rango. No olvides dar clic en Agregar y posteriormente en Siguiente. Observa las siguientes imágenes. FABIO ANDRES LASSO A. 30

3.4 Duración de la concesión: Ahora me pregunta, cuanto tiempo va a durar el list, el tiquete o la asignación IP a la máquina, supongamos que una maquina la encendemos el día de hoy, y va a durar encendida una semana, durante esta semana, la maquina usara esta dirección IP, y ella por defecto va a renovar su tiquete ante el servidor DHCP en la mitad de ese tiempo. Clic en Siguiente FABIO ANDRES LASSO A. 31

3.5 Configurar Opciones DHCP El asistente pregunta si desea configurar las opciones adicionales, tales como: Servidores DNS, Configuración del servidor WINS, la puerta de enlace predeterminada para posteriormente asignarlas de manera automática a las maquinas que se conecten al dominio. Vamos a seleccionar: Configurar estas opciones ahora Clic en Siguiente 3.6 Enrutador (Puerta de enlace predeterminada): Según nuestra topología de red para la Infraestructura de trabajo, la puerta de enlace predeterminada será el Servidor ISA, quien tendrá como dirección IP: 192.168.4.3. Escribimos la dirección IP, y no olvides seleccionar Agregar, luego clic en siguiente. Ver siguiente imagen: FABIO ANDRES LASSO A. 32

3.7 Nombre de Dominio y Servidores DNS: el nombre de dominio o sufijo DNS, para nuestra infraestructura es: dominio.local y el servidor primario de DNS, es la maquina controlador de dominio principal. 3.8 Servidores WINS: Al igual que el servidor DNS, el servidor de WINS es la maquina controlador de dominio principal: 192.168.4.1 FABIO ANDRES LASSO A. 33

No olvides seleccionar Agregar Clic en siguiente 3.9 Activar Ámbito: el asistente pregunta si deseamos activar este ámbito ahora, le decimos que SI. Por ultimo clic en Finalizar. 3.10 Ámbito Activo: Ya activo el ámbito, se observa en su contenido, cuatro grupos: Conjunto de Dirección, Concesiones de direcciones, Reservas y Opciones de ámbito. FABIO ANDRES LASSO A. 34

3.10.1.1 El conjunto de direcciones muestras el rango completo de direcciones IP que asignara el DHCP, y sus exclusiones. 3.10.1.2 Las concesiones de direcciones, no son más que los registros de las máquinas que suben al dominio y la dirección IP que se le fue asignada y su caducidad. 3.10.1.3 Las reservas son máquinas, a las cuales se desea siempre asignarles la misma dirección IP, como es el caso d equipos de gerencia e impresoras compartidas. PRACTICA DE LABORATORIO 1. Se creara una Máquina Virtual con Windows XP, con tan solo 128Mb de RAM. 2. La configuración del TCP/IP de esta máquina XP, debe tener asignación de IP y servidores DNS Automáticamente. 3. Realizar la conexiones de la maquina XP en el mismo switch que está conectado el Controlador de Dominio Principal SRV-DCFS-01 4. Verificar la asignación de la configuración TCP/IP por medio del servidor DHCP, de acuerdo a los rangos establecidos y sus excepciones. FABIO ANDRES LASSO A. 35