SISTEMAS DISTRIBUIDOS

TALLER DE ARQUITECTURA CLIENTE – SERVIDOR BAJO PLATAFORMA WINDOWS

El siguiente taller tiene como objetivos montar una arquitectura cliente servidor bajo plataforma Windows. Teniendo en cuenta que para el laboratorio no se cuenta con una infraestructura de red y servidores completa, se utilizara el concepto de virtualización de servidores para esta práctica; en este caso se utilizara un equipo de práctica HP Server tc3100 series.

La arquitectura cliente-servidor a implementar estará basada en 3 servidores, como se muestra en la gráfica siguiente:

La infraestructura se encuentra dividida en 10 partes, que son las etapas a seguir para culminar con éxito el taller y lograr la práctica necesaria para montar una arquitectura similar en cualquier ámbito laboral.

ETAPA 1: DESCRIPCIÓN DE LA INFRAESTRUCTURA DE RED.

SERVIDOR 1: SER-CDSA-01 CONTROLADOR DE DOMINIO PRIMARIO

Servidor Controlador de Dominio Principal donde se crearan las cuentas de usuarios del dominio, para que estos puedan acceder a la red y los recursos y servicios de la misma.

Servicios:

Active Directory: Base de datos centralizada donde se encuentran almacenados las cuentas de usuario y sus respectivas claves de acceso al dominio. Adicionalmente en él también se almacenan las cuentas de grupo y las cuentas de máquinas del domino.

DNS: Permite a los usuarios comunicarse y encontrar recursos dentro de la red. Nos permite teniendo la dirección IP de una maquina en el dominio conocer su nombre o conociendo el nombre de una maquina en el dominio obtener su IP.

WINS: Es algo parecido al DNS, pero a nivel de la red local.

Archivo: Para Compartir las Carpetas y archivos de los usuarios y algunos recursos.

DHCP: Se encarga de la asignación de direcciones ip dinámicas a los usuarios del dominio.

Certificados: Nos permite que la comunicación segura con el servidor web, con la utilización de SSL, cifrando las contraseñas por la red evitando que viajen en modo texto plano.

SERVIDOR 2: SER-CDEX-01 CONTROLADOR DE DOMINIO SEGUNDARIO Y SERVIDOR DE CORREO EXCHANGE

Servidor Controlador de Dominio Segundario, será el servidor de respaldo en caso de que el controlador de dominio primario salga de línea por algún motivo programado o no, en este servidor adicionalmente, servirá como servidor de correo electrónico para el envío y recepción del servicio de correo.

Servicios:

Contará con los mismos servicios que el servidor primario exceptuando el servicio de archivos, y el servidor de certificados, adicionalmente se instalara el servidor de correo electrónico, el cual se encargará del correo interno, pero también se podrá acceder al servicio vía web, servicio que funciona gracias al OWA, que es el servicio que permite el acceso al correo electrónico tipo Hotmail, Gmail, etc.

SERVIDOR 3: SER-FW-01 SERVIDOR PROXI – ISA SERVER

Este servidor es el que se encargara de la navegación de los usuarios en la red y de filtrar el tráfico entrante y saliente, de igual forma se puede crean conexiones VPN para el acceso remoto de usuarios.

Servicios:

Contará con los servicios de proxi, conexión remota por VPN.

La práctica se desarrollara netamente en un ambiente virtual, el cual es aplicable en su totalidad en una ambiente real, aplicando una arquitectura de servidores dedicados o una infraestructura cliente servidor virtualizada. Para el laboratorio utilizaremos un servidor real HP Server tc3100 series con dos procesadores intel, con Windows 2003 server, sobre el cual se instalara el software, VMWare, quien nos proporcionará la infraestructura virtual para realizar el laboratorio.

La figura que a continuación se muestra, nos da una idea de cómo funciona un ambiente virtualizado.

ETAPA 2: INSTALACIÓN DE LOS SERVIDORES VIRTUALES.

La instalación de los servidores virtuales parte de la instalación previa de una máquina virtual de referencia con Windows 2003 server, la cual ya tiene instalada todas las actualizaciones de seguridad correspondientes para el prefecto funcionamiento del sistema operativo. En este laboratorio no se hablara de la instalación de Windows 2003 Server, como tampoco de la

instalación de la máquina virtual que nos servirá de referencia, veremos si en una nueva versión de este laboratorio se incluya esta parte, ya sea como una sección o como anexos del mismo.

El proceso principal es clonar la máquina virtual de referencia, y existen dos formas de hacerlo. La primera: es abrir el Explorador de Windows, e ir a la ruta donde se encuentra instalada la máquina virtual y copiarla en la nueva ruta donde se montara el primer servidor, pero no es recomendable debido a que en el proceso de la copia puede ocurrir u error de lectura o escritura, y no se podría crear luego una dependencia de los datos de la máquina de referencia. La segunda opción: es ir al escritorio y correr la aplicación VMWare, desde el servidor de laboratorio, como se muestra en la figura siguiente.

Una vez iniciada la aplicación, procedemos a ir al menú VM, y seleccionamos la opción Clonar, VMWare, nos permite dos opciones para iniciar el proceso de clonación de la máquina virtual y dos opciones de clonación como tal: “The current state in the virtual machine” y “An existing snapshot…”. La opción: “The current state in the virtual machine”, que es la que vamos a utilizar, es cuando tenemos un solo estado de instalación o “Snapshot”, y a que dentro de una máquina virtual como la que tenemos de referencia podemos tener varios estados o Snapshot de instalación, como se ve en la imagen. La “An existing snapshot…”, se utiliza cuando queremos clonar una máquina virtual de un estado ya existente.

Luego de escoger la opción “The current state…”, pasamos a los dos métodos de clonación. El primero es “Create a linked clone”, y el segundo es “Create a Full clone”. La primera opción se utiliza cuando nos encontramos limitados por el espacio de almacenamiento en disco y queremos ahorrar un poco. Esta opción lo que hace es clonar la máquina virtual sin los archivos del sistema de la máquina virtual de referencia, a la hora de iniciar la máquina virtual de nuestro servidor, se establece un link a los archivos de la máquina virtual de referencia.

El problema de esta opción es que si movemos la máquina virtual de referencia de capeta, el enlace creado entre esta y la máquina del servidor virtual, crearán inconsistencias haciendo que está funcione mal. Pero teniendo en cuenta nuestras limitantes de espacio en disco, será nuestra mejor opción.

La opción “Create a Full clone”, lo que hace es clonar completamente la máquina virtual de referencia para ser usada como servidor virtual.

Luego de esto lo que hacemos es buscar la ruta de destino donde se alojara la máquina virtual de nuestro primer servidor, que en este caso será nuestro controlador de dominio primario. Le damos el nombre correspondiente, según lo especificado en nuestra arquitectura inicial, el cual será: “SER-CDAR-01”- Servidor Controlador de Dominio y Archivos, el 01 es por ser primario. Es indispensable y recomendable hacer uso de las buenas prácticas en el diseño de una red. En este caso el de colocar una nomenclatura específica que nos permita identificar de una manera rápida a qué tipo de máquina estoy haciendo referencia.

Posterior a esto damos finalizar, e inmediatamente se iniciara el proceso de clonación de la máquina virtual de nuestro servidor el cual utilizaremos como controlador de dominio primario

Una vez terminado el proceso de clonación, podemos evidenciar en el VMWare, la creación virtual de nuestro Controlador de Dominio con el sistema operativo listo para ser configurado.

Hasta ahora lo que hemos hecho es preparar el sistema para el montaje de nuestro servidor. Para el siguiente paso, vamos a explicar antes algo correspondiente a nuestra infraestructura. Nuestros servidores no tendrán acceso a la rede de forma directa exceptuando el servidor proxi, el cual tendrá dos tarjetas de red, una para para la LAN y la otra para la salida a la WAN. Pero para lograr que los servidores se vean entre sí, y lograr el acceso desde la LAN como un usuario de la red o un acceso remoto desde la WAN, vamos a aprovechar las ventajas que nos brinda VMWare.

VMWare posee una estructura que nos permite crear redes virtuales entre maquina virtuales independientes que posean o simulen equipos (servidores, usuarios) reales. Esto es posible gracia a que trae unos switches virtuales, que funcionan igual que unos switches físicos. Algunos de estos con características especiales que harán posible esta configuración.

VMWare al instalarse, instala consigo 10 switches virtuales, enumerados del Vmnet0 al Vmnet9, la diferencia, entre cada uno de ellos radica en 3 de esos 10 switches, el Vmnet0, Vmnet1 y el Vmnet8.

El Vmnet0, funciona como un bridge real, que no es más que el hecho de que queramos conectar nuestro equipo directamente a un puerto de un switch físico. Lo que significa que el host virtual que conectemos a este switch, tendrá una MAC Addres independiente, una IP independiente y los

equipos conectados a él se podrán ver entre sí. Sería recomendable utilizarlo cuando queramos que estas máquinas virtuales estén en producción y que interactúen con otras maquina en la red.

El Vmnet8, posee un dispositivo de NAT, VMWare Driver, que lo que hace es simular las veces de un servidor proxi para tener a todas las ip locales dentro de la LAN y que al momento de querer salir a la WAN lo hagan a través de él.

El Vmnet1, o el host-only, se encuentra enlazado a la tarjeta física del host donde se encuentra montada la máquina virtual. Esto nos permite tener comunicación entre la máquina virtual y el host.

Siguiendo con el montaje del servidor, procedemos a la configuración de la máquina virtual SER-CDSA-01. Lo primero es revisar la configuración actual de la máquina, vamos a Editar Máquina Virtual, como se muestra en la gráfica.

Y en el tab Hardware, seleccionamos Memory, y la colocamos a 256MB. Posterior a esto nos vamos al ítem Network Adapter y lo configuramos cambiándolo a la opción personalizada y escogemos el Vmnet3 como esta en nuestra infraestructura inicial.

Luego, vamos al tab Remote Display, y habilitamos la visualización remota, y dejamos el mismo puerto y colocamos la contraseña “123”, y confirmamos con el mismo. Esto nos servirá en caso de querer conectarnos vía VNC. Hacemos click en OK, e iniciamos la máquina virtual, pulsando Ctrl+B,

o nos vamos al menú con el mouse y hacemos click en el icono .

De inmediato veremos como inicia nuestro servidor.

USANDO VNC.

Si deseamos para mayor comodidad, podemos trabajar desde una ventana remota usando el VNC, esta aplicación nos permitirá manejar nuestro servidor virtual, como si estuviéramos dentro del mismo servidor y realizar todas las operaciones correspondientes.

Lo primero que debemos hacer es ejecutar en nuestro equipo la aplicación VNC, e ingresar la IP del equipo host físico (en este caso nuestro servidor HP). Debemos asegurarnos de que la máquina virtual está corriendo de los contrario nos saldrá un error de conexión.

Para este caso la dirección ip de nuestro servidor es : 192.160.90.34, pero debemos verificar desde la línea de comando antes de ingresarla, con el comando ipconfig. Luego nos vamos el botón Options…, y seleccionamos en el tab Clour & Encoding, la opción Full (all available clours), hacemos click en OK, en ingresamos la contraseña de acceso que digitamos en la maquina virtual “123”

Siguiendo con la instalación del servidor, y de haber reiniciado la máquina virtual, entramos a realizar la configuración de la tarjeta de red. En este caso nos vamos a las propiedades de configuración del protocolo ip, e ingresamos la dirección correspondiente a nuestro esquema de red, en este caso la configuración sería así:

IP: 192.168.10.3Mascara: 255.255.255.0Puerta de Enlace: 192.168.10.1 (Sería nuestro Firewall, el cual no está configurado a un)Servidor DNS preferido (primario): 192.168.10.3 (será el mismo, ya que es el CD).

Luego nos vamos a opciones avanzadas y en el tab DNS, realizamos la configuración respectiva de nuestra interfaz de red para que reconozca quien será su servidor de DNS. Al mismo tiempo nos cercioramos de dejar marcadas las opciones Anexar sufijos primarios del sufijo DNS principal. Luego ingresamos el nombre de nuestro dominio, que para el laboratorio será: dominio.local, y dejar seleccionada la opción Registrar estas direcciones de conexiones en DNS.

Pasamos al tab WINS, y realizamos las configuraciones respectivas para que se dé la comunicación entre las máquinas del dominio, habilitamos la opción de NETBios, este sirve para enviar paquetes de Broadcast a nivel local dentro de una red TCP/IP, lo que nos permite enrutar los paquetes que provengan de este host en la red, de lo contrario solo serán locales.

Por ultimo hacemos click en Aceptar, Aceptar, y escogemos la opción que nos permita ver el icono de conexión de red, luego Cerrar. Luego verificamos desde la línea de comandos que realmente la configuración de nuestra tarjeta de red sea la que asignamos. Verificamos que la tarjeta esté funcionando, para eso realizamos un ping a la misma dirección ip y esperamos los tiempos de respuesta.

Luego verificado el funcionamiento de la tarjeta en su totalidad, procedemos a realizar el cambio del SID. El SID no es más que el número de seguridad único que poseen todos los SO Windows,el cual para este caso del laboratorio o cuando en la práctica profesional clonamos un sistema operativo a otro debemos cambiar, para evitar errores de seguridad en el sistema operativo. Para esto vamos a utilizar una herramienta que se conoce como: NewSID.

Iniciamos la aplicación, hacemos click en Agree, luego en Next, luego escogemos la opción Random y generamos el nuevo SID.

Procedemos a cambiar el nombre de nuestro equipo, y recordando las buenas practicas de diseño de topologías y arquitecturas de redes, colocamos a nuestro equipo el nombre de: SER-CDSA-01.

Se inicia el proceso de cambio de SID, esto tomara unos minutos. Realizado el cambio, reiniciamos nuestro equipo para que los cambios surjan efecto, pero lo hacemos escogiendo la opción de reinicio con Aplicación: instalación Planeada.

ETAPA 3: INSTALACIÓN DEL ACTIVE DIRECTORY.

Debemos iniciar con el concepto de lo que es un controlador de dominio, un controlador de dominio, no es más que un servicio que posee una base de datos centralizada en un equipo que se habilita como controlador de dominio como es nuestro caso, para administrar el acceso a los recursos de la red. Cada vez que un host u otro equipo de la red, desea utilizar un recurso de la misma, debe loguearse, y el encargado de verificar las credenciales de seguridad y los permisos de acceso a los recursos de la red, es el controlador de dominio. Esto se logra instalando y configurando el Active Directory.

Iniciamos la preparación de nuestro controlador de dominio, verificando la dirección ip de nuestra máquina y verificando que la tarjeta de red funciona correctamente haciendo ping, como lo

hicimos en el último paso. Posterior a eso, vamos a inicio y en la opción Ejecutar, y escribimos el comando dcpromo, este comando es el encargado de iniciar la ejecución de instalación y configuración del directorio activo.

En esta opción nos da una serie de recomendaciones y advertencia de compatibilidad que se deben tener en cuenta a la hora de realizar conexiones entre diferentes maquinas en especial con Mac o Linux. Seguimos y nos encontramos con una pantalla que nos pregunta como deseamos que sea nuestro controlador de dominio, primera vez o un crear un controlador de dominio dentro de un dominio ya existente. Para nuestro laboratorio, y por ser este nuestro primer controlador de dominio escogemos la primera opción: Domain in a few forest.

Colocamos el nombre de nuestro dominio local, se recomienda si tenemos un dominio externo (internet), no colocar el mismo nombre a nuestro dominio local, ya que se presta para que cuando estemos conectados fuera de nuestro dominio (fuera de nuestra red local) se produzca un

TIMEOUT, el cual nos indicara que no se puede conectar a la red. Colocamos el nombre del NETBIOS el cual para efectos de práctica va a ser: DOMINIO, luego vamos a colocar la ubicación de nuestra carpeta en la cual se almacenara la base de datos de nuestro controlador de dominio (Directorio Activo), así como el SYSVOL, que será el archivo en el que se publicara y replicara la información en los demás controladores de dominio del dominio. Por lo tanto lo dejamos por defecto los valores que aparecen en pantalla.

Escogemos la segunda opción: que será la que nos permitirá configurar nuestro servidor como servidor de DNS predefinido (Primario). Luego escogemos la segunda opción en la siguiente pantalla que será la que nos permitirá que nuestro servidor sea compatible con las actualizaciones de seguridad y que el grupo de invitados que en versiones anteriores podía visualizar el listado de los usuarios del sistema, con esta opción podemos evitar que esto suceda, y es la advertencia que nos hacen en la primera opción.

En esta pantalla digitaremos la contraseña de recuperación de la base de datos del directorio activo en caso de que entremos en modo de restauración de servicios de directorio, para nuestro caso será: LAB12345.

En la pantalla siguiente veremos el resumen de lo que hemos hecho y podemos hacer la verificación de toda la configuración que hemos realizado, damos click en Siguiente, y ahora es que en realidad comienza la instalación del Active Directory.

ETAPA 4: PREPARANDO LA INSTALACIÓN DEL CONTROLADOR DE DOMINIO.

Cuando se instalan sistemas operativos en este caso Windows X, en un equipo, sea este un servidor o un equipo de escritorio, cada uno crea una base de datos individual con los usuarios y contraseñas correspondientes a cada una de esas máquinas.

Teniendo en cuenta lo anterior, para poder crear una red donde los usuarios se loguen y tengan permisos de acceso y prioridades a los recursos de la misma, se requiere tener un controlador de dominio. En este caso utilizaremos el Active Drectory de Windows, sobre un servidor Windows 2003 Server, para preparar e instalar el controlador de dominio, que será para efectos de este laboratorio, el equipo sobre la máquina virtual llamado SER-CDSA-01, pero que físicamente la

maquina posee el nombre de SERLAB1, nombre que más adelante debemos tener en cuenta, ya que lo utilizaremos.

La diferencia de una base de datos en un servidor que tenga configurado el Active Directory, es que esta base de datos es cenralizada, y cualquier equipo de la rede se puede sincronizar con ella y obtener acceso a los recursos de la misma. Debemos tener en cuenta que si dentro de nuestra red existen varios controladores de dominio, la base de datos del servidor controlador de dominio principal se replicara en cada uno de los demas controladores, y las bases de datos locales de estos equipos desapareceran, con exepción de la base de datos local del controlador de dominio principal. Esto se da debido a que esta base de datos local entra a ser parte del directorio activo del controlador de dominio.

Un fenomeno que se da cuando nos encontramos dentro de un controlador de dominio, es que los usuarios pertenecientes al dominio (Usuarios registrados en la BD de Active Directory) se pueden loguear desde cuaquiel maquina de la red indicando su usuario, contraseña y dominio de red al que pertenece. Cosa totalmente contraria lo que sucede con los usuarios locales de la maquinas de la red; estos no pueden tener acceso al dominio ni usar los recursos de la red, incluso si se coloca el nombre del dominio a este usuario no registrado en la BD centralizada de Active Directory.

Cuando dentro de una empresa de forma física existen varios servidores como contralodor de domino (uno que no sea replica del otro, es decir dos dominios diferentes), esto se conoce como sitios de red. Para que un usuario de un sitio X se pueda usar los recursos de un sio Y, debe existir entre los controladores de dominio lo que se conoce como: Replicación entre Sitios. No esta demas que la autenticación de usuarios de cada sitio se hace de manera local en el sitio al que corresponde el ususario; solo en caso de creación, modificación o eliminación de susarios, se realiza el proceso de replicación entre sitios, permitiendo así que las bases de datos de los controladores de dominis esten siempre actualizadas, evitando tambien, tráfico innecesario en la red.

PREPARACIÓN DEL CONTROLADOR DE DOMINIO.

Existen tareas o pasos que debemos seguir para una instalación de un controlador de dominio, a continuación se mencionarán a manera general y aplicaremos una o algunas de ellas para este laboratorio. Las marcadas como Ok. Son la que tocaremos en este documento.

Instalar Sistema Operativo. Ok. Instalar Controladores. Ok. Instalar Herramientas de Soporte. Ok. Instalar GPMC (Group Policy Management Console with Service Pack 1). Ok. Revisar los Logs Configurar Boot order para reinicios remotos

Configurar los servicios de shadow copy Habilitar remote desktop Configurar tamaño de pagefile. Ok. Configurar automatic Updates Ok. Habilitar: Do not display the last usuer name Desfragmentar Discos Instalar Recovery Console: para 64 bits ejecutar D:\AMD64\winnt32.exe/cmdconsole Crear Boot Disk Poner Clave administrador local. Ok. Entre otras.

La preparación del Controlador de Dominio, inicio con la instalación y configuración del Active Directory en la etapa 3. Ahora iniciaremos con la verificación de la dirección ip de nuestro servidor para ver si esta sigue igual. Para sorpresa, nos encontraremos que la dirección ip de nuestro DNS primario cambio de 192.168.10.3 a 127.0.0.1, dirección que corresponde al Local host de nuestra máquina.

Lo que hacemos a continuación es cambiar esta dirección por la dirección real de nuestro esquma de red, que es 192.168.10.3.

Posterior a este paso, vamos a verificar la instalación de nuestro servicio de DNS, el cual se instalo en la etapa 3. Para ello vamos a Herramientas Administrativas ->DNS, y podremos visualizar la pantalla de administración de DNS.

Podemos verificar que el dominio se creo correctamente, por que nos aparecen varias señales al respecto:

Un icono con el nombre del servidor: SERLAB1 Dentro de la Zona de Busqueda directa, encontramos el nombre del dominio creado:

dominio.local Dentro del dominio, encontramos el NS (Servidor de Nombres): serlab1.dominio.local Dentro del dominio, encontramos el nombre del servidor con la dirección ip asignada a el:

192.168.10.3 Dentro del dominio, encontramos el nombre del equipo host con la dirección ip asignada a

el: 192.168.10.3

Para asegurar la configuración de DNS, debmos realizar otro paso importante que es crear la Zona de Reverza, o “Zona de búsqueda inversa”. Para ello vamos a ir a la consolo de comandos de DOS,y digitamos el comando: nslookup.

Al introducir este comando y dar “ENTER”, el sistema nos dirá que no pudo encontrar el nombre del servidor con la dirección ip: 192.168.10.3, la cual corresponde a nuestro servidor de DNS, y cuyo dominio es desconocido. Esto es por que la “Zona de búsqueda inversa”, aun no ha sido configurada.

Para ello nos vamos a la interfaz de configuración de DNS nuevamente y nos posicionamos sobre el tab: Zona de búsqueda inversa, hacemos click derecho con el mouse y escogemos “Zona Nueva”.

Esto dará inicio al asistente de configuración de la Zona de Búsqueda Inversa.

Debemos asegurarnos de que este seleccionada “Zona Primaria”, por corresponder a nuestro controlador de dominio primario, y chequeada la casilla de verificación al final de la pantalla: “Almacenar la zona en Active Directory”. Esto se encargara de que nuestra base de datos se replique en cada zona donde se encuentren los demás controladores de dominio. Hecho esto, seleccionamos “Siguiente”.

En esta interfaz, seleccionamos la opción tres (3), que lo que hace es asegurar que se replique la base de datos en todos los controladores de dominio del dominio: “dominio.local”.

Configuramos el “ID de Red”. Seleccionamos la primera opción e ingresamos solo los primeros 2 octetos de la red: “192.168”, esto con el fin de que si requerimos más sub-redes, el Controlador de dominio se encargue de crearlas automáticamente dentro de la zona de reversa.

En esta interfaz lo que vamos a hacer es permitir que las máquinas realicen las actualizaciones dinámicas por si solas dentro del servidor de DNS, y no delegare esta función al administrador del sistema, función que demanda tiempo considerable si se realiza de forma manual. Lo otro que se asegura, es que las únicas máquinas que podrán hacer estas actualizaciones, son las máquinas que pertenecen al dominio. Para cumplir con lo requerido chequeamos la primera opción (opción 1) y hacemos click en “Siguiente”, para finalizar el proceso de configuración de la zona de reversa.

Si miramos nuevamente en la interfaz de configuración de DNS, en la pestaña “Zonas de Búsqueda inversa”, nos daremos cuenta que ya tenemos una zona de reversa 192.168.x.x.

Luego nos dirigimos a la consola de comandos de DOS, y digitamos el comando, “exit”, luego el comando “ipconfig –registerdns”, este comando iniciara el registro de los recursos necesarios de DNS, para los adaptadores del equipo donde se está corriendo el servicio.

Nos regresamos a la interfaz de configuración de DNS y presionamos el icono de “Referescar”, o simplemente presionamos la tecla “F5” estando posicionados en la zona 192.168.x.x. Nos daremos cuenta que se ha creado una carpeta con el número 10, esta carpeta corresponde a la zona que acabamos de crear. Si abrimos la carpeta encontraremos un registro de eventos con el nombre del equipo, el tipo de puntero y la procedencia de los datos: nombre: 192.168.10.3, Puerto: PTR, Datos: serlab1.dominio.local.

Posterior a esto vamos nuevamente a la consola de comandos de DOS, y digitamos el comando “nslookup”, y verificamos que la resolución del domino de forma directa e inversa se realice de forma exitosa. De esta forma ya podemos optener respuesta del servidor ya sea por el nombre: serlab1.dominio.local, o por la dirección ip asignada: 192.168.10.3. Verificado esto escribimos “exit”.

Siguiendo con el proceso de configuración de DNS, vamos nuevamente a la interfaz de configuración de DNS, y cerramos todos los niveles de pestañas y nos colocamos sobre el icono “SERLAB1”, hacemos click derecho el ratón y nos vamos a propiedades.

En esta pestaña de propiedades “Interfaces”, colocamos todas las direcciones ip de los adaptadores de red (NIC) de donde queremos que el servidor escuche. Suponiendo que poseemos

más de una tarjeta de red en nuestro equipo. Una de las tarjetas se comunica a nivel interno con la LAN, y la otra con otra red (LAN, WAN, Internet, etc.), y no queremos que nuestro servidor escuche de esta última, entonces solo introducimos la dirección ip de la primera tarjeta de red, y esto nos garantiza que el servidor solo escuchara peticiones provenientes de esta dirección. En el siguiente tab “Reenviadores”, Los reenviadores, son los servidores a los cuales nuestro servidor de DNS, realizara las solicitudes de DNS que este no conozca.

Como funciona este servicio en realidad. Al nosotros tratar de resolver un DNS que no se encuentre dentro de nuestro dominio local, como por ejemplo: Facebook.com, este realizara las peticiones a los servidores raíz de internet (ver el tab: “Sugerencia de Raíz”), servidores que no deberiamos recargar con este trabajo, ya que los tiempos de respuesta serían demasiado largos, por el numero de consultas que esto tendrían que realzar en la web para dar respuesta a una solicitud local. Lo ideal que la consulta se realice a un servidor de reenvío, y estos servidores respondan a la solicitud de forma más rápida, siempre y cuando dentro de su cahce se encuentren los datos de la solicitud realizada, estos serán regresados al servidor nuestro, y este los reenviará al host que este hacendo la solicitud.

Para esto utilizaremos dos (2) reenviadores de internet de un aempresa llamada openDNS (www.opendns.com), esta empresa posee unos servidores con gran capacidad de chache y tiempos de respuesta más rapidos. Las direcciones de estos servidores son: 208.67.222.222 y 208.67.222.220.

Al realizar esto los servidores root no se utilizarán más. En las demás pestañas no se realizan cambios. Hacemos click en Aceptar y seguimos con la configuración. Nos vamos a la pestaña “Zonas de búsqueda directa-> dominio.local” y hacemos click derecho en “propiedades”, y nos aseguramos que en nuestra zona de búsqueda directa, también en el tab “General” se encuentre seleccionado en la check list: Actualizaciones directas la opción: Solo con seguridad, asi como lo hicimos en la zona de reversa.

Con Active Directory se presenta un inconveniente, debido a que por lo general en una red se agregan o se quitan máquinas de los dominios, están quedan sobrantes dentro del mismo, llenando nuestra base de datos de registros acumulados hasta el punto, de que es imposible hacerle mantenimiento y podemos llegar al punto de no saber cuáles si o cuales no borrar.

Para solucionar esto el directorio activo trae una opción de mantenimiento que se conoce como “Envejecimiento y limpieza de registros”. El mantenimiento de envejecimiento, se pude realizar a nivel de todas las zonas o por zonas específicas.

Si vamos a la zona de dominio.local, en las propiedades encontraremos un botón que dice: “Caducidad…”

Al hacer click en el botón, se nos muestra una interfaz que por defecto las opciones aparecen desactivadas. Para efectos del mantenimiento automático, activaremos esta opción y configuraremos el mantenimiento de envejecimiento.

Dentro de nuestro domino cada vez que encendemos una máquina, esta preguntara a nuestro controlador de dominio, por los DNS y le asignara una ip dentro del dominio, lo más seguro es que esta máquina es poco probable de que su dirección ip cambie a pesar de ser dinámica. Si dentro de la configuración: “Intervalo sin Actualizar”, colocamos que sea diaria, generaremos un tráfico innecesario en la red, en donde todos los computadores del dominio empezaran a preguntar todos los días por la dirección que le corresponde y generaran archivos en la base de datos del directorio activo innecesarios, por eso no es recomendable colocar en esta casilla 1 día. Para nuestro laboratorio colocaremos que esta actualización se realizará cada 15 días. Lo que significa que cada 15 días, los host podrán actualizar su información en el dominio.

La opción “Intervalo de actualización”, sucede lo siguiente: después de los primeros 15 días, la maquina no se ha registrado en el domino, espere 15 días más, si dentro de estos quince días siguientes la maquina no se registró, lo marque como un registro que expiro. Recuerde que esto también se debe realizar en la zona de reversa del dominio.

Luego de activar el proceso de envejecimiento de registros, debemos activar el servicio de limpieza de registros, para ello vamos a las “Propiedades” del servidor y en “Avanzadas” habilitamos el check list “habilitar limpieza automática de registros obsoletos”, el cual por defecto viene deshabilitado. Lo dejamos tal cual como viene por defecto.

Si vamos a la consola de configuración de DNS, y en el menú principal, nos vamos a la pestaña “Ver” escogemos la opción “Avanzada”, con esto nos aseguramos de lograr ver en el registro: serlab1 de la zona: dominio.local, haciendo doble click sobre él, las propiedades de envejecimiento y de limpieza del host. Los únicos registros que son afectados por este proceso automático, son los registros creados por las propias maquinas. Debido a que se pueden crear registros de forma manual estos no serán afectados por este proceso, aquí toca indicarle al registro de forma manual la fecha de envejecimiento y limpieza de éste registro.

Cuando se crea un registro de forma manual, este registro no espirara nunca de forma automática, realicemos la prueba de creación de un registro de forma manual.

En la zona: dominio.local, click derecho escogemos “Host nuevo (A)” y le colocamos como nombre “Prueba” una dirección cualquiera.

Al hacer doble click sobre el registro nuevo creado, nos damos cuenta que no aparece fecha de envejecimiento ni de limpieza programados, por lo cual nos tocaría hacerlo de forma manual.

Aclarado esto, borramos el registro, creado y seguimos con la configuración.

Anterior mente se mencionó que podíamos realizar una limpieza de registro y la programación de envejecimiento de manera automática para todas las zonas, esto se puede realizar siempre y cuando tengamos más de una zona en nuestro dominio. Ilustraremos la manera de hacerlo, pero

no lo aplicaremos en este caso ya que solo poseemos una sola zona en estos momentos. Vamos a nuestra consola de configuración de DNS, y con el botón derecho del mouse hacemos click sobre nuestro servidor, y nos ubicamos en: “Establecer caducidad/borrado para todas las zonas…”, si se dan cuenta es la misma pantalla que nos sale al momento de configurar este servicio para una sola zona, con la diferencia de que esto abarcaría todas las zonas dentro de nuestro dominio.

Lo anterior aplica para el envejecimiento, lo siguiente aplica para el borrado de registros de máquinas obsoletas en el sistema, hacemos el mismo procedimiento anterior, siendo que ahora seleccionamos: “Borrar registro de recursos obsoletos”, al hacer esto los registros serán marcados como si se hubiesen creado hoy, y hay que esperar el tiempo asignado de envejecimiento, para que se pueda evidenciar el borrado de registros, en nuestro caso serían 30 días. Este paso no lo haremos ahora.

Seguidamente, instalaremos unas herramientas de soporte, que se encuentra en el CD de instalación de Windows 2003 Server (ISO). Vamos al CD, e instalamos las herramientas de soporte, esto es recomendado hacerlo cada vez que instalemos un servidor Windows.

La ruta de instalación es la siguiente: D:\SUPPORT\TOOLS\SUPPORT.MSI, empezamos con la instalación de las herramientas.

Las herramientas quedan instaladas en la ruta: C:\Archivos de programa\Support Tools.

A continuación dentro de los pasos que al inicio de esta etapa mencionamos, se encuentra el de instalación de las políticas de administración de grupo: GPMC (Group Policy Management Console). Vamos a nuestra máquina física (host) i entramos a internet para descargarlo. Realizamos una búsqueda en Google y colocamos en la barra de búsqueda: GPMC.

Descargamos el archivo .MSI, a nuestro equipo y utilizando una ventaja que nos ofrece el VMWare, que es el Drop and Down, arrastramos el archivo hasta el escritorio de nuestra máquina virtual.

El GPMC, es una herramienta que nos permitirá gestionar las políticas del Active Directory de una forma más fácil y eficiente, anteriormente a la existencia de esta herramienta, era muy difícil saber que políticas estaban activas, o inactivas, o en que unidades de la organización existían políticas de administración del Active Directory.

Luego de tener el archivo en nuestra máquina virtual, instalamos la aplicación.

Luego de finalizada nuestra instalación vamos a Herramientas Administrativas, y veremos que nos aparecerá un nuevo ítem: “Administración de directivas de grupo”.

En esta consola de administración podremos visualizar todas las configuraciones por defecto e las políticas de administración del active directory. En estos momentos no entraremos en detalle en la configuración de estas políticas, al momento de hacerlo regresaremos a esta consola.

Aquí debemos de agregar el about:… a las páginas de confianza del dominio.

Luego de esto configuraremos otro paso que es el tamaño del pagefile, es importante también hacerlo en todos los servidores que instalemos. Para eso vamos Mi PC, click derecho, Propiedades.

Opcines avanzadas->[Rendimiento]->Configuración.

Seleccionamos la pestaña: “Opciones avanzadas”, y nos vamos al recuadro final que dice “Memoria Virtual”, y damos click en el botón “CAMBIAR”.

Lo recomendable en este aspecto es que el tamaño de nuestra memoria virtual sea 1.5 veces el tamaño de la memoria RAM del equipo, en este caso para nuestro equipo, inicialmente le colocamos 384MB, si lo multiplicamos por 1.5, nos da como resultado 576MB.

Es recomendable que el tamaño inicial y el tamaño final sean iguales, dado que en ocasiones al utilizar toda la memoria, el sistema pausa todos los servicios para ampliar la memoria, y los servicios que se estén ejecutando pueden generar error, y pérdida de información, al momento en que el servidor realice esta operación. Como paso final de la operación hacemos click en el botón “Establecer”, para que los cambios tengan efecto. Y reiniciamos el servidor.

Luego de reiniciado nuestro servidor, seguimos con la configuración de los servicios que en un principio definimos que tendría este equipo. El siguiente servicio a configurar es el WINS. Para evitar que las maquinas hagan broadcast en la red es necesario que WINS esté instalado, este crea un repositorio donde se encuentran identificados todos los host de la red con dirección ip y el nombre de la máquina. Adicional mente este servicio nos permitirá comunicarnos con host de otras redes enrutadas. Para agregar este servicio, nos vamos a Panel de control->Agregar o quitar programas->Agregar o quitar componentes de Windows.

Buscamos el componente Servicios de red, y seleccionamos detalles, y buscamos el servicio de WINS. Debemos tener el CD de Windows Server a la mano por que al momento de empezar la instalación lo vamos a necesitar. Una vez seleccionado el servicio, damos Aceptar->Siguiente, y empezara la instalación en el servidor. Esto nos creara un acceso a la consola de administración de WINS.

Nos dirigimos a Herramientas administrativas->WINS

En esta consola revisaremos las opciones que nos proporciona. Las describiremos pero no las utilizaremos en el momento.

En Estado del Servidor, nos mostrara los servidores conectados, la última vez que se conectaron, si están o no respondiendo.

Estadísticas del servidor, nos mostrara la fecha de inicio del server, número de consultas, etc.

Compactar la base de datos, en esta opción podemos verificar la consistencia de la base de datos y realizar manualmente una limpieza de la base de datos del Active Directory. Esto por lo general toma bastante tiempo y es recomendable hacerlo en horas de bajo o poco tráfico en la red.

Copia de seguridad de la Base de datos, podemos realizar copias de nuestra base de datos del active directory, como respaldo.

Todas las tareas, podemos reiniciar, pausar o detener el servicio del active directory. Pausar el servicio, significa que el no creara nuevos servicios, pero si responderá a las peticiones de los host de la red.

Dentro del WINS, poseemos dos carpetas, Registros Activos y Asociados de replicación.

Registros Activos: Podemos visualizar todos los registros de la base de datos, se puede filtrar por NETBios, IP, o Asignación de Registros.

Propietarios de registro, podemos decir o buscar que nos muestren los propietarios de un registro específico de un servidor o de varios servidores.

En este podemos buscar los registro pertenencientes a una máquina en especial por el nombre del equipo.

En esta última, podemos ver por tipos de registros. Si nos vamos al botón Buscar, nos mostrara la información de nuestro servidor actual. Que es el que se encuentra seleccionado.

Mostrándonos información como: Nombre del registro, tipo de registro, dirección ip, estado, etc. Si observamos en la información nos damos cuenta que aparece nuestro servidor. Las instrucciones en la descripción del tipo aparecen dos aspectos relevantes. El primero que aparece e [00h], que hace referencia a una estación de trabajo, el servidor como tal también se comporta como una estación de trabajo, creando un archivo tipo Estación de trabajo, esto sucede porque en las propiedades de nuestra tarjeta de red tenemos activado el elemento Cliente para redes Microsoft. El otro es [20h], esto hace referencia a que está activo el elemento de Compartir impresoras y archivos…, esto genera que se cree como lo evidenciamos un registro de tipo Servidor de Archivos.

Dentro de las propiedades de registros activos también encontraremos la opción Asignación estática nueva…, esta opción por lo general se utiliza cuando por ejemplo tenemos una máquina Linux de misión crítica o con un servicio de correo por ejemplo configurado en esa máquina y queremos que los usuarios lo vean por la red mediante WINS, usamos esta opción. Este servidor (Linux) no se encuentra registrado en la red ni en la base de datos de WINS, por lo que no posee un servicio WINS que se comunique con nuestro servidor Windows, y la manera de que nuestros host lo vean es por medio de esta opción.

Existe en Windows un comando que nos permite ver el estado del servicio WINS bajo consola de DOS, permitiéndonos ver estadísticas del NetBIOS, la cache, entre otras estadísticas, este comando es el nbtstat. So colocamos nbtstat y enter, nos mostrara la ayuda de comandos del nbtstat.

La grafica anterior nos muestra la tabla de direcciones remota del servidor, colocando el nombre del servido, esto mismo se puede realizar introduciendo la dirección ip, solo hay que cambiar –a por –A, esta misma información que la consola principal de WINS pero en otro formato.

En la imagen anterior podemos visualizar el estado de la CACHE. Si ejecutamos el comando nbtstat –c. Si notamos existe un campo que dice Vida, que es el tiempo de vida del proceso en la memoria cache, si lo volvemos a ejecutar este disminuirá. si nos sale información como “No se encontraron nombres en cache”. Una manera de registrar datos en la cache es: inicio->Ejecutar->\\serlab1. En esta pantalla no haremos nada, simplemente cerramos luego de que se abra, esto es para que en la cache se cree un registro de este equipo.

Podemos hacer una prueba con el comando nbtstat –R, el cual limpiara y volverá a cargar la tabla de la cache. Si inmediatamente colocamos el comando nbtstat –c, nuevamete veremos que no existen registros en la cache.

Este comando nbtstat –R, nos sirve cuando en algún momento se realizó un cambio de ip a un servidor y los host no lo registran, es bueno ejecutarlo para que estos renueven la cache y la tabla de direcciones ip. Hasta aquí el servicio WINS queda completo y configurado.

Siguiendo con la instalación de servicios en nuestro servidor controlador de dominio, pasamos a configurar el servicio (Servidor) de DHCP. Este servicio nos permite asignar direcciones ip de manera automática. Adicionalmente, asignara la puerta de enlace, las ip’s de los servidores DNS, y la ip del servidor WINS. Para esto vamos a Panel de control->Agregar o quitar programas->Agregar o quitar componentes de Windows.

Seleccionamos el componente Servicios de red, y presionamos el botón “Detalles”, y seleccionamos la casilla que dice: Protocolo de comunicación dinámica del host, damos click en el botón “Siguiente”, e instalamos el servicio.

Si vamos a las Herramientas del sistema podremos observar que ya se nos crea el acceso a la pantalla de configuración de DHCP.

Desde la versión de Windows 2000 server, cuando se monta un servicio como el de DHCP, este servicio se debe autorizar para que se pueda realizar el despliegue de asignación de direcciones IP de forma automática. Si nos vamos a la consola de configuración de DHCP, podremos ver que el servidor tiene un icono con una flecha roja hacia abajo (que más bien parece un punto rojo), al colocarnos sobre el servidor, en la pantalla del lado derecho nos indica que el servidor no se encuentra autorizado.

Para autorizar el servidor, hacemos clic derecho sobre el nombre del servidor y nos vamos a la opción “Autorizar”, posterior a esto refrescamos la interfaz con F5, o simplemente nos vamos al icono de refrescar pantalla y vemos que nuestro icono del servidor ya cambia, colocando una flecha verde hacia arriba (o un punto verde). Ya podemos ver que del lado derecho aparece en estado Activo.

Otra forma de hacerlo es dando click derecho sobre el servicio DHCP, e ir a la opción “Administrar servidores autorizados”, y en esta pantalla podemos autorizar nuestro servicio.

En este punto nos tocaria ingresar manualmente nuestra dirección IP del servidor.

Hasta ahora lo que hemos hecho es autorizar nuestro servidor DHCP para que pueda funcionar dentro de nuestro dominio. Pero no hemos dicho que rango de direcciones IP vamos a utilizar dentro de nuestro servidor. Para tal efecto debemos crear un “Ámbito”. Nos colocamos sobre nuestro servidor y hacemos click derecho y escogemos la opción “Ámbito Nuevo”.

Iniciamos el asistente que nos servirá para ingresar la información respectiva.

Nos preguntara por el nombre del ámbito, en este caso colocaremos Red Local, la descripción no es necesaria, para este caso la dejaremos en blanco.

Nos preguntara por la primera y la última dirección IP por la cual se regirá el servidor DHCP. Por caso a las buenas practicas se recomienda reservar las primeras 50 o las ultimas 50 direcciones IP para los servidores, en nuestro caso, reservaremos las primeras 50 direcciones, e iniciaremos en la 51, al igual que dirección de broadcast, que el ultimo octeto es el 255, no se utilizara por lo que es una dirección reservada. La máscara de subred colocaremos una longitud de 24 para que nos quede 255.255.255.0, si queremos asignar más subredes, podemos bajar la longitud de la mascara de subred, y así podremos obtener más direcciones.

Las exclusiones dentro de nuestro servidor de DHCP, sirven para cuando dentro de nuestra red, tengamos un equipo con una dirección ya específica y no queremos que cambie, Ejemplo: Un servidor de Impresión o un servidor de Aplicaciones, especificamos es IP dentro de esta consola y la agregamos, para ejemplo del taller haremos de cuenta que tenemos un servidor de impresión cuya dirección IP es: 192.168.10.220. Debemos tener en cuenta que se debe colocar la IP de inicio y la de final en la exclusión, para tal efecto como solo tenemos una sola ip la IP de inicio y final será la misma.

Presionamos el botón Siguiente, para seguir con el asistente de instalación.

Nos aparecerá la concesión de duración de apropiación de una dirección IP, en pocas palabras, aquí se le asigna el límite en días, horas, minutos, que un host, podrá utilizar una IP dentro de la red. Lo dejaremos por defecto en 8 horas.

En esta sección configuraremos la puerta de enlace o el Gateway. Le colocaremos la dirección IP de nuestro servidor que servirá como como gateway según nuestro esquema original. La IP sería 192.168.10.1. y presionamos el botón siguiente.

En esta sección, vincularemos nuestro servidor de DHCP al dominio para que al resolver y asignar las direcciones IP pueda resolver a que dominio pertenecen estas direcciones. En dominio primario colocaremos el dominio que creamos: dominio.local, Posterior a esto tenemos dos opciones de seguir configurando el dominio, en nombre del servidor escribimos el nombre del servidor, en este caso: serlab1, y presionamos el botón resolver, del otro lado donde dice dirección IP, nos aparecerá la dirección IP correspondiente al servidor y le damos Agregar. Este proceso se puede hacer a la inversa, primero la IP y Agregar, nos mostrara el nombre del equipo.

Lo mismo hacemos con el servidor de WINS, lo atamos al servidor de DHCP, para que pueda resolver las direcciones del dominio.

Posteriormente activamos el ámbito: Activar este ámbito ahora, siguiente, y por último Finalizar.

Si verificamos nuestra consola de DHCP, veremos que se ha creado el ámbito de direcciones IP, con el rango inicial y final donde se servirán las direcciones, así como la dirección reservada.

En la carpeta Opciones de Ámbito, encontraremos todas las opciones que acabamos de configurar. En la carpeta de Reseras, se encontraran todos aquellos equipos a los que queremos que siempre se le asignen las mismas direcciones IP. El funcionamiento es sencillo, simplemente en la consola que nos aparece al hacer doble click con el ratón, ingresaremos la dirección IP que deseamos asignar a una máquina específica y le asociamos la dirección MAC de esa máquina. Así nos aseguramos que esta IP siempre sea asignada a la misma máquina. Para efectos del taller no lo haremos en estos momentos. Presionamos Cerrar.

Dentro de las opciones de Opciones de ámbito, encontraremos una que en ningún momento configuramos, pero que está presente, y es la de 046 Tipo de nodo WINS/NBT, esta opción hace referencia al tipo de nodo con el que funcionara WINS.

WINS a nivel de clientes posee cuatro (4) formas de funcionamiento: 1. Nodo B: Este nodo, es un tipo de nodo Broadcast, lo que hace es que cuando se quiere comunicar con otro host de la red, comienza a enviar broadcast en el segmento de la rede donde se encuentra y a preguntar quién es el host que el necesita. Si el servidor no posee la dirección del host que se está buscando regresa un error diciendo que no se pudo encontrar la máquina destino. 2. Nodo P: Este tipo de nodo cliente-servidor, pregunta primero la dirección IP de la máquina que él está buscando al servidor WINS. Si el servidor no posee la dirección del host que se está buscando regresa un error diciendo que no se pudo encontrar la máquina destino. 3. Nodo M: Primero hace broadcast, se coloca primero en modo B, y si no encuentra la máquina destino, cambia a modo P, y vuelve a intentarlo, si en ambos casos falla, envía un error diciendo que no pudo encontrar el host destino, y regresa al estado M. 4. Nodo H: Es el que se configura por defecto y el más usado. Cuando contacta a una maquina primero pregunta por la IP al servidor WINS, si no lo encuentra comienza hacer broadcast. Dejaremos esta última, y el resto de las configuraciones igual.

Luego de configurar el servidor DHCP, nos toca ir a un cliente y realizar la configuración respectiva para saber si ya está recibiendo direcciones del servidor. Para tal efecto instalaremos un cliente Windows XP sobre otra máquina virtual, y lo uniremos a la red virtual que estamos creando. Una vez instalado el cliente XP, debemos instalar la herramientas de VMWare, para que pueda tomar todas las propiedades respectivas de independencia y configuraciones específicas, como pantalla, el comando CTRL+SUPR, entre otras. Por eso vamos a hacer click en el botón Install Tool, que se encuentra en la parte inferior izquierda de la pantalla de la máquina virtual.

Si abrimos el estado de conexiones de la red, nos damos cuenta que el equipo posee una dirección IP fuera del rango que ya nosotros con anterioridad hemos configurado. Lo que indica que este cliente no está dentro del segmento de red correspondiente y menos dentro del dominio.

Ahora, vamos con el primer paso. Nos vamos a las propiedades de la máquina virtual y en Network Adapter, cambiamos la opción a Customs Specific virtual network, y seleccionamos el Switch que estamos utilizando, para nuestro caso el VMnet3.

Configuramos luego el Remote Display, Habilitamos y cambiamos el puerto, colocamos 5901, y asignamos la clave respectiva. Esta configuración en caso de que vía VNC, queramos ver el cliente desde cualquier otro equipo de nuestra LAN, la conexión sería igual con la diferencia que en el campo donde se digita las dirección IP del equipo remoto, se digitara la dirección y el puerto. Suponiendo que la dirección IP del el Host físico donde tengo montada todas las máquinas es: 192.168.100.5, se debe colocar esta dirección más el puerto, así: 192.168.100.5:5901.

Luego empezamos a revisar nuevamente bajo DOS, la dirección de la tarjeta de red del cliente. Ejecutamos el comando cmd.

Ejecutamos el ipconfig, y verificamos el estado de la dirección IP, vamos a notar que la dirección IP sigue siendo herrada, en el sentido de que no está dentro del rango que configuramos en el servidor de DHCP. Para que el cliente tome una dirección de este pool de direcciones del servidor, debemos digitar otro comando, que es el ipconfig –release, este comando limpiara el registro de la tarjeta de red colocándolo a 0.0.0.0.

Luego procedemos a decirle al equipo que renueve la dirección IP, y como el cliente ya se encuentra en el mismo segmento de red, él ira al servidor y realizara la petición respectiva, el servidor deberá devolver una dirección IP, dentro del rango configurado. Para esto utilizaremos el comando ipconfig –renew. Notaremos que ya estamos en el dominio, y que la dirección IP asignada, pertenece al pool de direcciones previamente configuradas en el servidor DHCP, así como la puerta de enlace y la máscara de subred asignada y configurada previamente.

Si notamos, nuestra dirección IP, es la terminada en .51, por ser la primera del rango, ya que las 50 anteriores están reservadas para servidores.

Ahora si ingresamos el comando ipconfig –all, este nos mostrara toda la configuración de nuestro servidor en cuanto al direccionamiento IP, el dominio al que pertenece el equipo, tipo de adaptador de red, la dirección MAC de nuestro equipo, ente otras configuraciones. Pero las más importantes encontraremos las Direcciones del servidor de DHCP, DNS (principal, ya que solo hemos configurado uno), y el WINS principal, la fecha en que fue obtenida la dirección IP y la fecha en que esta expira.

Esta misma verificación la podemos hacer en la consola del servidor de DHCP, nos vamos a nuestro servidor y verificamos que en la consola dentro del Ámbito de red local, en la carpeta donde dice Concesiones de Direcciones, del lado derecho encontraremos el equipo que recién se agregó a la red local y la información que ya por DOS, en el cliente hemos obtenido.

ETAPA 5: INSTALANDO EL FIREWALL: ISA SERVER

Desde mucho antes de que la información se volviera el “Activo Intangible”, más importante para las compañías, a nivel informático se han creado estrategias y herramientas para asegurar que la información no sea accedida por intrusos o personal no autorizado. Una de estas grandes estrategias y/o herramientas se conoce como “FIREWALL” o pared de fuego.

Qué es un FIREWALL?, un firewall, no es más que una herramienta de software combinada con la capacidad de procesamiento del hardware que nos permite realizar un filtrado en el acceso a la información entre varias redes, pudiendo ser este filtrado entre una LAN y una WAN, o entre varias LAN. Un firewall restringe la comunicación entrante o saliente entre estas redes, permitiendo así resguardar la información.

Para nuestro laboratorio utilizaremos el servidor que hemos destinado para este fin como lo muestra nuestro diagrama de infraestructura física de red al inicio del taller. Este servidor tendrá dos (2) tarjetas de red, una para poder conectarse a la LAN (Interna), y la otra para la WAN (Externa) las cuales debemos configurar previamente.

Tabla 1- Configuración tarjeta de red 1: Tarjeta Interna

Campo Detalle DescripciónDirección IP 192.168.10.1 Red internaMascara de Red 255. 255. 255. 0 -Gatgeway N/A Solo tarjetas externasDNS 192.168.10.3 Controlador de dominio primarioWINS 192.168.10.3 Controlador de dominio primario

Tabla 2- Configuración tarjeta de red 2: Tarjeta Externa

Campo Detalle DescripciónDirección IP XXX.XXX.XXX.XXX Red externaMascara de Red 255. 255. 255. 0 -Gatgeway XXX.XXX.XXX.XXX Solo tarjetas externasDNS 192.168.10.3 Controlador de dominio primario

En esta configuración no necesitaremos un servidor WINS, por razones que se encuentran descritas anteriormente en la configuración de este servidor.

La tarjeta de red interna la conectaremos a nuestro Switch virtual el VMnet3, y la otra tarjeta la conectaremos a un bridge. Debemos tener en cuenta que la dirección IP y el Gateway, para la salida a Internet, nos la asigna nuestro proveedor de servicios de internet, para nuestro laboratorio, debemos solicitar al nuestro equipo de avances tecnológicos que nos habilite una dirección IP y junto con el Gateway para configurar nuestra tarjeta, si lo desean realizar en casa basta con colocar la dirección IP y el Gateway que nuestro proveedor nos da en nuestro equipo.

Iniciamos nuestro proceso de instalación del firewall. Para ello clonaremos nuevamente nuestra máquina de referencia, y le colocaremos por nombre el que le asignamos al servidor SER-FW-01.

Lo primero es configurar nuestras tarjetas de red. Para ello editamos nuestra máquina virtual y en la etiqueta de hardware buscamos la tarjeta de red 1 y la signamos el switch WMnet3.

Posterior a esto, en esta misma etiqueta, agregamos un nuevo hardware, pulsando el botón agregar, y escogemos Ethernet, y le asignamos en la configuración de conexiones de red (Panel derecho de la interfaz) la opción de Bridge.

Ya podemos visualizar en la interfaz que tenemos dos tarjetas de red: Ethernet y Ethernet 2. Luego configuramos nuestro Remote Dysplay, y le asignamos el puerto 5903, si queremos acceder de forma remota, e iniciamos nuestra máquina virtual y realizamos el proceso de renovación del SID, proceso que también se explicó anteriormente.

Lo que se recomienda cuando estamos instalando un firewall es no conectar directamente a internet la tarjeta de red 2, lo recomendable es conectar está a un equipo (Linksys, DLink, u otro quipo) que haga NAT y conectar la tarjeta de red al switch virtual VMnet3 (de nuestra LAN), con las direcciones IP suministradas, mientras instalamos y configuramos el firewall, para evitar que la información entrante infecte el equipo, ya que durante la instalación este es totalmente vulnerable.

Pasamos de esto a configurar nuestras tarjetas de red. Vamos a nuestra configuración de redes, en las propiedades de la tarjeta, encontraremos que está tiene asignada una dirección IP dentro del rango suministrado por el servidor DHCP, de nuestro controlador de dominio principal. Lo que hacemos es cambiar esta dirección IP por la dirección IP fija, así que tomamos la configuración de nuestra tarjeta de red interna así como se muestra arriba en la tabla 1 (Debemos acordarnos que los servidores deben tener direcciones IP fijas). Nos vamos a propiedades avanzadas (Botón avanzadas).

Configuramos la pestaña de DNS, y colocamos nuestro sufijo de dominio: dominio.local.

Configuramos la pestaña de WINS, y colocamos nuestro la IP de nuestro controlador de dominio local: 192.168.10.3, y habilitamos el checklist: Habilitar NetBios sobre TCP/IP. Por ultimo le decimos que nos muestre el icono de notificación de red en la barra de tareas.

En las conexiones de red, cambiamos el nombre de nuestro adaptador de red, y le colocamos el nombre de interna, para identificar que esta tarjeta será la que se conectara a nuestra LAN.

Es muy importante tener en cuenta que a través de la conexión de área local 2, no nos conectaremos a ningún cliente de red de Microsoft, como tampoco vamos a compartir archivos o impresoras externas, por lo tanto es importante desactivar las directrices de la configuración de la tarjeta, que hacen referencia a conexión con redes Microsoft y Compartir Archivos e Impresoras para redes Microsoft.

Luego de desactivar estas directrices pasamos a configurar la dirección IP de la tarjeta, esta configuración es relativa a la red donde usted se encuentre, en este caso, esta configuración corresponde a la red de la empresa donde me encuentro, usted deberá realizar esta configuración de acuerdo a la configuración del proveedor de servicios de internet de la red donde se encuentre.

Configuramos la IP del servidor DNS que va a ser nuestro servidor de DNS interno y que corresponde a: 192.168.10.3.

Nos vamos a propiedades avanzadas y en la pestaña DNS, desactivamos la selección de “Registrar estas direcciones de conexiones en DNS”, la razón de esto, es que lo que deseamos hacer, es que cuando los clientes pregunten por el FIREWALL (ISA Server), nuestro servidor de DNS, primero no registre la dirección en sus registros y los redirija a la IP externa, para que sea el ISA, quien controle el tráfico saliente y el tráfico entrante, por consiguiente en la pestaña WINS, desactivamos el envió de NetBios sobre TCP/IP. Por último renombramos la conexión de área local 2 y le colocamos “Externa”

El siguiente paso tiene que ver con el orden de prioridad de uso de las tarjetas de red. Cuando en nuestro equipo poseemos más de una tarjeta de red nuestro cliente de DNS utiliza las tarjetas en orden de preferencia según estas estén configuradas, para ello debemos asegurarnos de que el orden de uso de estas sea el indicado para que se puedan prestar los servicios correspondientes a través de cada tarjeta.

Vamos al menú “Opciones Avanzadas”, y nos damos cuenta que el orden de prioridad de las tarjetas es Externa-Interna, y lo debemos cambiar a Interna-Externa. La razón de esto es: si dejamos la configuración inicial, todas las resoluciones de las peticiones de los clientes, se realizarán primero en la tarjeta externa, lo que sucede en este caso, es que esta tarjeta no tiene registrado los recursos a los cuales los clientes desean tener acceso, ya que si recordamos desactivamos la directriz de conexión a los clientes de Red de Microsoft, esto generaría un TIMEOUT en el servidor dando como respuesta que “El recurso no existe”, o “Recurso Inalcanzable”. Lo que hacemos es que configurando la misma dirección IP de DNS en ambas tarjetas, y cambiando el orden de Interna-Externa, es asegurar que todas las solicitudes de los clientes a recurso internos sean resueltas y que las solicitudes externas también, estas últimas se resuelven gracias a que en nuestro servidor de dominio principal hemos configurado la directriz de “reenviadores” cuyas direcciones IP corresponden a: 208.67.220.220 y 208.67.222.222, configuración que realizamos al momento de parametrizar nuestro DNS. Sabiendo esto procedemos a realizar el cambio.

Finalizada esta sección, lo que nos toca hacer ahora es ingresar este servidor al dominio, para aprovechar las políticas de manejo de grupo que nos brinda el Active Directory.

Para realizar esta operación vamos a Inicio->Mi PC->Propiedades.

Seguidamente vamos a la pestaña Nombre del Equipo, y pulsamos el botón cambiar.

Seleccionamos el combobox, Dominio, y escribimos el nombre de nuestro dominio: dominio.local y presionamos Aceptar, nos pedirá que reiniciemos nuestro equipo.

Luego de reiniciada la máquina, procedemos a entrar al equipo, pero esta vez, presionamos el botón Opciones, y donde dice “Conectarse a”, seleccionamos “Dominio”, y presionamos “Enter”. Una vez ingresado al equipo este realizara un cargue de controladores y actualizaciones de registro con nuestro servidor de Dominio.

Siguiendo la configuración del servidor, ahora debemos colocarle una contraseña al Usuario Administrador Cliente, esto debemos hacerlo debido a que cualquier usuario que se conecte desde internet con el escritorio remoto puede acceder al servidor y obtener las claves del servidor de dominio utilizando un software espía y obtener dominio de completo de la red, pero no solo eso, sino que también puede obtener información muy valiosa de manera sigilosa de la empresa. De igual forma Windows 2003 Server no permite acceder remotamente si el usuario Administrador local no posee una contraseña.

Procedamos entonces a realizar este procedimiento, para ello vamos a Inicio->Mi PC->Click Derecho->Administrar->Enter. Nos saldrá una interfaz de Administración de Equipos.

Dentro de la interfaz nos vamos al árbol de directorios (Mano izquierda), y desplegamos el directorio “Usuarios y Grupos Locales”, abrimos la carpeta usuario, del lado derecho escogemos el usuario “Administrador”, Click derecho y escogemos “Establecer contraseña”, en la pantalla siguiente presionamos “Continuar”, e ingresamos la contraseña, dos veces en las casillas de la interfaz de ingreso de contraseña.

Para este efecto, la contraseña será: “Labfw123”. Debemos tener en cuenta los parámetros de asignación de contraseñas de Windows Server 2003 para este aparte, en caso de que desee colocar otra. (Investigar y colocar como anexo lo descubierto en su investigación). Por último damos aceptar.

Descomprimimos el archivo de ISA Server 2006, y ejecutamos el archivo .exe de instalación de la aplicación.

Una vez iniciada la instalación de ISA, procedemos a seguir los pasos de configuración pertinentes.

Pulsamos el botón “Siguiente”, y aceptamos el acuerdo de licenciamiento del software, luego seleccionamos instalación personalizada para ver las opciones de instalación que nos trae el ISA.

ISA Server se compone de 3 componentes fundamentales: Servidor ISA, Registro Avanzado, Administración del Servidor ISA.

Servidor ISA: Posee todos los componentes de instalación del Firewall.

Registro Avanzado: A la hora de realizar auditorías al sistema, este componente nos permitirá realizarlo de forma ágil y segura.

Administración del Servidor ISA: Esta es una consola de administración de ISA la cual podemos utilizar sin necesidad de una VNC o Escritorio Remoto, esta es una buena alternativa y se puede instalar en un equipo con SO, XP, o WIN_VIATA. Lo único que se requiere es insertar el CD de ISA Server 2006 en el equipo y seleccionar instalar solo este componente. Visto esto procedemos a pulsar el botón “Siguiente”.

Lo siguiente que nos pregunta es el rango de direcciones internas, para lo cual realizaremos una pequeña explicación:

Caso Hipotético 1.

“Supongamos que somos los administradores de una red compuesta por varias subredes en diferentes ubicaciones geográficas tanto locales como no locales, lo que se conoce técnicamente como la intranet de la empresa, esto implica que entre cada sede de la empresa existe comunicación mediante routers y cada sede posee un direccionamiento IP distinto.

Teniendo claro lo anterior, se nos pide que el tráfico o salida a Internet de cierta aplicación de la sede X de la empresa deba ser por el firewall de la sede principal (Nuestro servidor SER-FW-01). Para que esto sea posible le debemos decir al servidor en este paso de configuración que direcciones se tomaran como direcciones de tráfico local de la red, incluyendo las de la LAN donde se encuentra el Firewall y las otras IP’s que se requieran”.

En esta imagen, vamos a agregar las direcciones en el orden de. “DE-A”, “De X dirección A Y dirección”, podemos escoger el rango desde un adaptador de red (Tarjeta de Red), o ingresar un rango de forma manual. Para el caso, escogeremos el rango de direccionamiento de la tarjeta interna. Pulsamos “Agregar->Agregar Adaptador->Interna”.

Nos damos cuenta que el rango que direcciones que se asignan corresponden al rango de direcciones IP que previamente se habían destinado para la red.

Existe un concepto dentro del direccionamiento IP, que consiste en la asignación de Rutas Estáticas. Las rutas estáticas no son más que una serie de ip’s dentro de nuestra red que nos ayudan a redireccionar de forma efectiva paquetes que ingresan de redes remotas a nuestra LAN y de nuestra LAN a estas redes remotas.

Caso Hipotético 2

“Tomemos el caso hipotético 1, descrito anteriormente, pero esta vez, queremos que una máquina de la LAN donde se encuentra nuestro Firewall, se comunique con un equipo de una de las redes remotas de la empresa. Para el efecto de que un PC de la red remota se comunique con otro PC de la LAN local no hay problema, ya que la configuración realizada en los routers se encargara de hacer llegar el paquete, el problema está en cuando la PC de la máquina de nuestra LAN le responda a la PC remota, ya todo el tráfico sale por el Firewall, este no reconocerá la dirección IP de la PC remota como una dirección local y tratara de enviar la respuesta hacia la WAN, ocasionando una pérdida de información. Para solucionar este inconveniente, lo que hacemos es crear Rutas Estáticas, diciéndole al Firewall que mande la respuesta a una puerta de enlace específica (interfaz del Router de la LAN que comunica con el router de la red remota), para que este se encargue de enviar la información a su destinatario.

Cabe anotar que esta comunicación solo se dará entre las PC´s de la LAN a cualquier PC de la red remota que este dentro del rango de IP destino.”

Miremos como se crea una ruta estática:

Ingresamos a la consola de comandos de DOS y digitamos el comando “route”, como se muestra en la siguiente imagen.

Si solo digitamos “route”, nos mostrara un listado con los ejemplos de cómo crear una ruta estática. En este caso los parámetros que ingresaríamos serían los siguientes:

route add –p [DIRECCION IP DESTINO] mask [MASCARA DE RED] [GATEWAY]

Descripción del comando:

route: Es el comando que le dice al SO, que se creara una ruta estática.

add: Es parámetro que nos dice que la ruta en nueva.

-p: Este parámetro se utiliza para decir que la esta ruta sea persistente, con ello logramos que no se borre en caso de que se reinicie la máquina.

[DIRECCION IP DESTINO]: Es el rango de IP, o el segmento de direcciones IP´s de la red remota

[MASCARA DE RED]: Mascara de red de la dirección remota que por lo general sería 255.255.255.0, para indicar que son todas las direcciones IP del segmento señalado en el parámetro anterior.

[GATEWAY]: Es la dirección IP de la interfaz de comunicaciones del router de nuestra LAN que se comunica con el router de la red remota.

Debemos tener en cuenta que las rutas estáticas se deben crear antes de la instalación completa del ISA Server, la razón es sencilla; cuando yo llegue al punto de la instalación del ISA donde nos toque agregar el rango de direcciones locales como vemos nuevamente en la gráfica, podamos visualizar las rutas estáticas, de lo contrario no se podrá realizar. Para ello se recomienda tener un diseño detallado de la red y los direccionamientos que se utilizarán.

Si hacemos el ejercicio de crear una ruta estática, sería de la siguiente forma:

Luego verificamos que la ruta se haya creado correctamente con el comando “route print”:

ANTES DE RUTAS ESTATICAS DESPUES DE RUTAS ESTATICAS

En la imagen de la derecha nos damos cuenta que se han agregado las rutas de las IP´s que fijamos en nuestro Servidor DNS de forma automática y la ruta estática que creamos recientemente. Luego de que hemos realizado esto, procedemos a borrarla, la razón, no vamos a necesitar rutas estáticas en este laboratorio, pero es bueno saber de qué existen alternativas de configuración en la red. Como borramos la ruta que hemos creado; procedemos con el siguiente comando:

Y verificamos nuevamente con “route print”.

Regresamos a esta pantalla y removemos los rangos de IP´s que aparecen y luego hacemos nuevamente el proceso de agregar las IP’s desde nuestra tarjeta de red interna de forma automática y damos “Aceptar”.

Se nos mostrara la siguiente interfaz y le damos siguiente:

En esta imagen seleccionamos la casilla de verificación que nos aparece, las razones son las siguientes: 1. Para que usuarios que tenían conexiones anteriores a ISA 2006 Server, no utilizaban conexión con cifrado, es necesario que esta casilla este seleccionada, y 2. Como la comunicación será entre los clientes de la LAN y el Firewal, no corremos riesgos de seguridad por el momento.

En las siguientes pantallas encontraremos información de lo que se instalara, lo que hacemos es presionar el botón siguiente.

A partir de este momento se inicia el proceso real de instalación del ISA Server.

Nota: Para que el proceso se cumpla de forma exitosa es recomendable tener iniciado el servidor de dominio, y haberse logueado en el servidor firewall estando el servidor de DNS iniciado, en ambos servidores nos debemos loguear dentro del dominio:

Instalando ISA:

Comprobamos la instalación del ISA yendonos a: Inicio->Todos los programa->Microsoft ISA Server:

Reiniciamos el Servidor para que si algun servicio del ISA no se inicio con la instalación estos se inicien al reiniciar.

Una vez reiniciado el servidor, abrimos la consola de administración de servicios del ISA Server.

Si nos posicionamos sobre el nombre del servidor en el panel de navegación, observaremos que en las opciones de configuración nos aparecerá la opción: Defina la Configuración de Red del Servidor ISA.

Panel de navegación Opciones de Configuración Ventana de Tareas

Al ingresar a esta función, nos aparecerá en el panel de navegación el cursor situado en “Configuración->Redes” y en el panel de opciones, una plantilla de red predefinida que nos ayudara a configurar nuestro sistema. Si nos vamos a la ventana de tareas, observaremos una serie de posibles configuraciones en forma de plantilla que nos ayudan a configurar nuestro sistema según las especificaciones que deseemos.

Ya habiendo dado un vistazo general a la consola de administración, procedemos a ir a las directivas del Firewall, click derecho, “Ver->Mostrar reglas de directivas del sistema”, se nos mostraran alrededor de 30 directrices de comunicación con la red interna que el servidor trae por defecto. Estas directrices se recomiendan cambiar solo en caso de que sea necesario.

La regla número 1, es la que nos permite comunicación con el active directory de nuestro servidor de dominio.

Volvemos a directivas del Firewall, click derecho, “Ver->Mostrar reglas de directivas del sistema”, y de-seleccionamos nuevamente esta opción para no sobrecargar la pantalla. A partir de este momento vamos a crear nuestras políticas del servidor.