GRUPO ERNESTO · Creo una nueva carpeta en el disco de datos: Ya tengo creado un espacio de...

UT-01-Escenario

Administración de Sistemas Operativos (ASO) Página 1

GRUPO ERNESTO.COM

Introducción

La empresa que voy a crear va a ser un grupo multimedia y se llamará ERNESTO.COM. Para administrar esta empresa voy a necesitar crear 2 servidores, uno será principal (ERNESTO1) y otro secundario de respaldo (ERNESTO2). El sistema operativo para los servidores será Windows Server 2012. Para mejorar y simplificar la administración aplicaré ciertos requisitos previos: Dirección IPv4 estática, IPv6 deshabilitado, un DNS que apunte a la dirección del servidor principal, el firewall desactivado y un nombre de equipo adecuado. Además cada servidor contará con dos tarjetas de red y 3 discos duros como mínimo. La empresa está organizada en los siguientes departamentos: RADIO, TV, MARKETING, DIRECCIÓN y TELEFONÍA. Además de estos departamentos incluiré uno de ADMINISTRACIÓN. En los equipos se instalarán principalmente sistemas operativos Windows 7, Windows 10 y Ubuntu. Las características de los servidores son:

- Domain Controller 1 Principal: WS-2012 Nombre: ERNESTO1 Dominio: ERNESTO.COM Usuario y pass: Administrador Clave123 Pass modo restauración: Clave123 Tres discos duros de 40, 30, 30 GB Dos tarjetas de red: Interna-Vmnet2, Externa-Bridge IP: 192.168.70.20 netmask 255.255.255.0 DNS: 192.168.70.20

- Domain Controller 2 Backup: WS-2012

Nombre: ERNESTO2 Dominio: ERNESTO.COM Usuario y pass: Administrador Clave123 Pass modo restauración: Clave123 Tres discos duros de 40, 30, 30 GB Dos tarjetas de red: Interna-Vmnet2, Externa-Bridge IP: 192.168.70.30 netmask 255.255.255.0 DNS: 192.168.70.20

UT-01-Escenario


Instalación de servicios

Comienzo a instalar los servicios de administración de dominio en el servidor principal ERNESTO1. Instalamos los servicios Active Directory (Bosque nuevo) y DNS (Zona directa e inversa). DNS es el sistema de nombre de dominio asociado a una dirección IP del dominio. La zona inversa es para conocer que la IP del dominio pertenece a ese nombre de dominio. Abrimos el asistente para agregar roles y características:

UT-01-Escenario


(Para ser fiel a la instalación desde el principio he dejado las primeras capturas donde todavía no estaba integrado al dominio y la dirección IP era distinta. Tuve que hacerlo varias veces por problemas con DFS) Marco la casilla de “Servicios de dominio de Active Directory (AD)”

Instalación:

UT-01-Escenario


Agregamos un nuevo bosque (no hay ninguno por defecto).

El nivel funcional va a ser de WS-2012 porque no vamos a trabajar con servidores más antiguos como puede ser un WS-2008 (en el caso de que si, pondremos el nivel funcional 2008 para una administración sin errores).

UT-01-Escenario


Por defecto, en la instalación de Active Directory también podemos instalar el servicio de DNS. Lo hacemos y seguimos la instalación.

UT-01-Escenario


La instalación sigue su curso y acaba sin mayor problema.

Como ya tenemos también nuestro servicio DNS instalado deberemos crear la zona inversa (la directa se crea por defecto). En nuestro panel de administración del servidor vamos a Herramientas > DNS:

UT-01-Escenario


Sigo el asistente de configuración:

UT-01-Escenario


Apuntamos a la red de nuestro dominio para que identifique las IP de los clientes que se conectarán en un futuro bajo esa dirección de red.

Aquí está la zona inversa:

UT-01-Escenario


Cuando tengamos todo instalado, comprobamos que el DNS es el correcto (suele cambiar en la instalación) y finalmente registramos los cambios en el equipo mediante los comandos “ipconfig –registerdns” y “nslookup”.

En este momento el servidor ERNESTO1 ya es controlador de dominio, ahora tenemos que hacer controlador de respaldo al servidor ERNESTO2. En mi escenario este servidor ya está configurado como controlador de dominio adicional, por lo que voy a explicar el proceso desde el servidor de PRUEBAS.

Servidor de respaldo En este servidor tengo que instalar AD, que será el mismo proceso que en ERNESTO1 hasta que lo promocione a DC (Domain Controller), que habrá que hacer unos cambios. La documentación empieza aquí, en la promoción:

UT-01-Escenario


Como tenemos ya creado un dominio debemos agregar el servidor de respaldo a este dominio, ERNESTO.COM

Los directorios que se crearan en el servidor principal deberán ser replicados en el servidor adicional. Si un servidor se cae debe ser posible acceder a los datos de los equipos y usuarios que accedan al dominio, por ese motivo los datos se replican desde el servidor principal hacia el adicional.

UT-01-Escenario


He de decir, que en la parte superior derecha pone que el servidor se llama WS-2012.PRUEBAS.COM. Esto se debe a la primera prueba de instalación que hice. Como la réplica de directorios me dio ciertos fallos tuve que reiniciar el servidor y empezar de 0. Al reiniciar ese nombre cambió a WS-2012.ERNESTO.COM y aquí la prueba:

UT-01-Escenario


Aquí se aprecia cómo la réplica se está haciendo satisfactoriamente.

Se está configurando el servicio de DNS junto a la instalación de controlador de dominio adicional (zona directa e inversa).

UT-01-Escenario


Todo correcto y reinicio:

Para comprobar si nuestro servidor de pruebas es controlador adicional del dominio ERNESTO.COM iremos a nuestro servidor principal ERNESTO1 > Usuarios y Equipos de AD > Domain Controllers En esta captura se verifica que existe ese servidor ERNESTO2 y que, efectivamente, está integrado en el dominio.

Pido disculpas por la instalación de este servidor de PRUEBAS como si fuese el segundo controlador de dominio, pero me parecía un engaño hacer las capturas una vez hecho controlador. De todas formas intento explicarlo de la manera más clara posible.

UT-01-Escenario


Instalación del servicio DFS

Una vez integrado nuestro servidor adicional al dominio voy a instalar un servicio DFS que nos permite mantener directorios de forma sincronizada entre varios servidores. Si el servidor cae, las rutas del directorio no pueden apuntar a éste, sino que debe tener una ruta flotante, que no dependa del servidor. Instalamos un rol de espacio de nombres y otro de replicación:

Una vez instalado vamos a replicar una carpeta. Vamos a Herramientas > Administración de DFS. Una vez allí vamos a crear un nuevo Espacio de nombres y seguimos los pasos:

UT-01-Escenario


Creo una nueva carpeta en el disco de datos:

Ya tengo creado un espacio de nombres, ahora voy a crear un nuevo grupo de replicación:

UT-01-Escenario


Replicaré la carpeta que creé para mi espacio de nombres:

Y la ruta en el servidor secundario también será en el disco de datos E:

UT-01-Escenario


Ya tenemos hecho el grupo de replicación y nos queda comprobar si funciona. Para ello voy a crear un archivo de texto cualquiera en la carpeta del servidor principal y veré si se replica en el secundario:

En el secundario:

Vemos que la replicación funciona correctamente.

UT-01-Escenario


Diseño lógico de ERNESTO.COM

La estructura lógica del dominio la creo en Administrador del servidor > Herramientas > “Usuarios y Equipos de Active Directory”. Dentro de nuestro bosque ERNESTO.COM habrá una unidad organizativa (OU) para cada departamento. Dentro de cada una de ellas habrá dos unidades organizativas más, una para almacenar usuarios y otra para almacenar equipos. Además de éstas tendré dos unidades organizativas independientes de los departamentos, que son la OU-GRUPOS y OU-ADMINISTRACION, encargadas de almacenar grupos y usuarios dedicados a la administración de la empresa respectivamente.

Equipos Usuarios

UT-01-Escenario


Estructura de los discos duros Montaré tres discos duros, uno es C:\ que es el disco donde está almacenado el sistema y archivos del mismo, otro es E:\ que tiene como función almacenar los datos de la empresa así como las carpetas compartidas de cada departamento. El último disco es F:\ que es el encargado de almacenar las copias de seguridad de los datos que hay en E:\.

UT-01-Escenario


Integración de equipos al dominio ERNESTO.COM

Documentaré la integración al dominio con dos equipos cliente, un Windows y un Linux. Solo lo haré de estos dos porque en Windows todos se integran de igual manera y en Linux solo voy a necesitar uno (Ubuntu).

Windows Como ejemplo de integración voy a utilizar un Windows 7, que lo utilizaré para el departamento de TV. Como requisito fundamental, cada cliente tendrá un nombre de equipo adecuado y una IPv4 estática.

- Para cambiar el nombre del equipo voy a Mi Equipo > Propiedades > Configuración avanzada del sistema > Nombre del equipo > Cambiar

- Para cambiar la tarjeta de red voy a Centro de redes y recursos compartidos > Conexión de área local > Propiedades > Protocolo IPv4

Una vez configurado esto el equipo tendrá que reiniciar.

UT-01-Escenario


Hecho esto volvemos a la pestaña de Cambiar nombre del equipo, pero esta vez lo hacemos miembro del dominio ERNESTO.COM. Lo escribimos en la casilla correspondiente e introducimos las credenciales necesarias, que serán las de administrador:

Compruebo que se ha integrado accediendo al servidor principal a Usuarios y Equipos de AD > ERNESTO.COM > Computers

Ya está integrado al dominio, ahora solo tengo que moverlo a su unidad organizativa correspondiente (OU-TV, OU-EQUIPOS) para que los solo los usuarios de este departamento puedan usarlo. Este proceso es el mismo para cada equipo de cada departamento.

UT-01-Escenario


Linux El equipo que voy a integrar al dominio va a ser Ubuntu 16.04 LTS y será para el departamento de DIRECCION. Para integrarlo correctamente voy a necesitar usar el servicio “Samba”. Seguiré el documento que envió José Guillermo.

En la instalación puse los datos de mi dominio y servidor principal (se me escapó hacer las capturas a tiempo). ERNESTO.COM ERNESTO1.ERNESTO.COM Configuro la interfaz de mi tarjeta de red:

Ahora autentico con Kerberos:

UT-01-Escenario


Configuro el fichero /etc/samba/smb.conf

Añado el equipo al dominio:

UT-01-Escenario


Cambio este fichero para poder iniciar sesión:

Vemos en nuestro servidor que le equipo se ha añadido al dominio correctamente. Ahora lo meteré en su OU-DIRECCION, OU-EQUIPOS:

UT-01-Escenario


Creación de usuarios y grupos

Para crearlos lo haré desde la consola de “Usuarios y equipos de AD”. Ahí se encuentran las unidades organizativas de cada departamento por lo que crearé los usuarios correspondientes dentro de sus unidades. Los grupos los crearé en la unidad organizativa OU-GRUPOS.

Grupos:

Aquí están creados:

UT-01-Escenario


Usuarios: Dentro de la OU correspondiente y a su vez dentro de OU-USUARIOS creo el usuario. El ejemplo que voy a usar va a ser con los usuarios de Telefonía:

El proceso es el mismo con cada usuario de cada departamento. Aquí están creados:

Para mover un usuario a su grupo correspondiente no hace falta nada más que hacer clic derecho sobre él, Mover, y elegir el grupo al que pertenecerá.

UT-01-Escenario


Carpetas compartidas

Voy a crear una carpeta compartida para que cada departamento pueda tener acceso a sus documentos de forma organizada e independiente. Serán TV, RADIO, TFN, IMÁGENES (para los tapices), MARKETING y DIRECCION. Las carpetas las crearé en el disco duro de datos.

Les asigno permisos y las comparto. El ejemplo lo hago con la carpeta de MARKETING pero es igual con el resto de departamentos: MARKETING (G-MARK, C)

(G-ADMIN, CT)

UT-01-Escenario


Compruebo en el cliente que puedo ver la carpeta y acceder a ella:

Accedo:

UT-01-Escenario


Directivas de grupo (GPO)

Modificaré la GPO Default Domain Policy, que es la que viene por defecto y en la que deberemos aplicar directivas generales para no sobrecargar el esquema con demasiadas GPO. Deshabilitaré el Panel de Control y quitaré la complejidad de las contraseñas. Para ello voy a Herramientas > Administración de directivas

La editamos en Configuración de usuario > Directivas > Plantillas administrativas > Panel de control > Prohibir el acceso al Panel de control. La habilitamos.

Para los requisitos de complejidad vamos a Configuración del Equipo > Directivas > Configuración de Windows > Configuración de Seguridad > Directivas de cuenta > Directiva de Contraseñas. Lo deshabilitamos.

UT-01-Escenario


Voy a configurar una directiva de grupo para que todos los clientes del dominio tengan una imagen corporativa. Para ello voy a Herramientas > Administración de directivas. Una vez dentro creamos una nueva GPO (GPO-Tapiz-escritorio) y la vinculo al dominio:

La editamos en Configuración de usuario > Directivas > Plantillas administrativas > Todos los valores. Una vez allí habilitamos “Active Desktop” y “Tapiz de escritorio”. La primera únicamente hay que habilitarla, la segunda hay que añadirle una ruta relativa. La carpeta IMÁGENES está previamente compartida para Todos con permisos de lectura (Todos, L):

UT-01-Escenario


Compruebo en un cliente, por ejemplo TV-W10 si funciona nuestro escritorio:

Ahora voy a configurar un tapiz diferente solo para el departamento de MARKETING. Tenemos que hacer los mismo solo que vinculándola a la unidad organizativa de MARKETING. Como la última directiva que se crea es la que prevalece no tendremos problemas.

UT-01-Escenario


Compruebo en el equipo de MARKETING que efectivamente tiene su tapiz propio:

Unidad de red a través de Preferencias de Directiva de Grupo Voy a crear una unidad de red para los usuarios del departamento de Marketing. Primero crearé una GPO (GPO-Unidad de red) y la vincularé a la unidad organizativa de Marketing:

UT-01-Escenario


A continuación la edito en Configuración de usuario > Preferencias > Configuración de Windows > Asignación de unidades. Una vez allí damos al botón derecho y elegimos Nueva Unidad. La acción que elegimos es la de “Crear”, añadimos la ubicación de la carpeta compartida y la etiquetamos. Además la letra de la unidad será la M de Marketing.

Aceptamos y la veremos creada. Debe aparecer un triangulo verde que indicará que todo funciona correctamente:

Abro el cliente de Marketing y accedo con un usuario mark-1. Vemos que ahí está la unidad de red:

UT-01-Escenario


Instalación de Python mediante Preferencia de directiva Para que los equipos cliente puedan tener acceso a un programa sin tener que instalar nada en su equipo cliente deberemos usar las Preferencias de directiva de grupo. En mi caso voy a instalar Python. Hay varios pasos que detallaré: 1-Crear GPO-Python Creo una directiva nueva con el nombre GPO-Python, la vinculo al dominio y la edito:

2-Crear una carpeta Una vez dentro de la GPO vamos a Configuración de equipo > Preferencias > Configuración de Windows > Carpetas y creamos una nueva con el nombre Utilidades. La ubicaré en el disco C: de todos los equipos cliente:

En el cliente vemos que también está (deberemos actualizar las directivas con gpupdate):

UT-01-Escenario


3-Copiar los archivos desde el servidor al cliente Ya tenemos la carpeta creada, ahora deberemos copiar el archivo de ejecución del programa (Python.exe) a la carpeta utilidades. Para hacer esto previamente deberemos instalar el programa Python en el servidor y compartir la carpeta que lo ubica, también en el servidor. En mi caso comparto esta carpeta, Python (Todos, L):

Una vez compartida vamos a Configuración de equipo > Preferencias > Configuración de Windows > Archivos

Ahora podemos verlo en C:\Utilidades del equipo cliente:

UT-01-Escenario


4-Poner Acceso directo a sus escritorios Solo nos queda hacer un Acceso directo para que sea más cómodo acceder al software. Para ello vamos a Configuración de equipo > Preferencias > Configuración de Windows > Accesos directos

Comprobamos en el cliente:

GRUPO ERNESTO · Creo una nueva carpeta en el disco de datos: Ya tengo creado un espacio de...

Documents

Transcript of GRUPO ERNESTO · Creo una nueva carpeta en el disco de datos: Ya tengo creado un espacio de...